[keweonDNS][Online Security und Adblock][Ohne Root][Offiziell-Support]

[MrT69]

So, da die neuen Root Server mit meiner neuen DNS Server Version ausgestattet sind und die echt schnell sind, lass ich mal die Release Candidate 3 des DoT Servers auf euch los.

Wer testen will - hier mal ein kleiner Vorgeschmack. Nur zur Info, nach dem WE ist der Server wieder offline.

DNS over TLS für Android (privates DNS):
sdns.asecdns.ch

Bin über Feedback gespannt, vor allem Interessiert mich wie schnell eure Handys damit sind.

 

[Wattsolls]

Mit Android 6 und nebulo schneller als die bisherigen Server.

 

[MrT69]

Da ich alle Root Instanzen neu machen musste oder durfte, je nachdem wie man es sieht, hab ich das natürlich auf meine aktuellste DNS Technik gemacht. Ein paar Leute haben das schon getestet. So konnte ich die VPS Infrastruktur jetzt umstellen und das läuft jetzt etwas zügiger. Laut Aussagen von ein paar Usern "das schnellste DNS was jemals da war" doch soweit würde ich selbst nicht gehen denn es kommt drauf an wie viele das dann nutzen. Wenn mal 30 User auf einem Server sind dann langweilt das ja selbst einen Mini VPS Server.
Ich präsentiere meinen neuen DNS Accelerator (derzeit im DEV RC4 Status).

Feedback und Kritik jederzeit willkommen.

DoH Server (mit Intra und PDF)
doh.asecdns.com/dns-query

DoH Server (Nebulo App)
1st DNS: doh.asecdns.com/nebulo
2nd DNS: doh.asecdns.com/nebulo

DoT Server (Android & Co.)
dot.asecdns.com

DoT Server (Nebulo App)
1st DNS: dot.asecdns.com
2nd DNS: dot.asecdns.com

 

[MrT69]

Mal was lustiges über T-Online:

Eben festgestellt dass die T-Online News App nicht geht. Also, denkt ich mir, ist irgendwas von der T-Online auf den Blacklisten. Neeeee, war da nicht, denn die T-Online leitet alles über die URL stroeerdp.de und die sind - bekanntlich eine Werbeplattform.
Also wenn man die URL login.t-online.de aufruft, dann ist das lediglich ein CNAME und die ganzen Logindaten der T-Online Kunden laufen durch diese Werbeplatfform. Das geht dann auf login.stroeerdp.de - da laufen ALLE T-Online Kundendaten durch.
Da fällt mir gerade echt nix mehr dazu ein.

Das sind so die Beispiele warum ich mir 1000% sicher bin dass ich in Deutschland keinen Investor für keweon finden werde, denn was die alle an Daten sammeln oder sammeln lassen, ernsthaft - das ist echt unglaublich. Aber T-Online? Das is echt krass.

 

[nik]

@MrT69 liegt daran, dass die Seite t-online.de 2016 an Ströer verkauft wurde.

 

[MrT69]

@nik
Ja, die Webseite. Aber soweit ich mich noch erinnere gehen auch die T-Online Zugangsdaten und Mails über login.t-online.de und das wurde, soweit mir das bekannt ist, nicht verkauft.

 

[nik]

richtig, du weißt ja aber nicht, was die da im Hintergrund umgebaut haben.

 

[MrT69]

Na ja... Ganz ehrlich? Also wundern würde es mich nicht wenn die das alles durchschieben. Aber ich hab's trotzdem von der Blackliste erstmal runtergenommen. Vielleicht haste ja recht aber ich glaub da eher an den Osterhasen.
Vor allem wenn ich was verkaufe, dann trennt man sich ganz davon. Wäre das gleich wenn du ein Auto kaufst und der Verkäufer darf das noch regelmäßig fahren.

 

[nik]

@MrT69 das kannst du schwer vergleichen.
T-Online war "damals" ja alles, was irgendwie mit Internet zu tun hatte, von deren gruseligen Software bis zu Webhosting. GEhörte zu Zeiten der AOL-CDs ja zum guten Ton. Das wurde dann mit der Zeit immer weiter in die einzelnen Bestandteile aufgeteilt, so dass bis auf den Mutterkonzern nur noch eins gemeinsam hatten: das T-Online im Namen. Und später haben sie den Bereich "T-Online Nachrichten", der zum Schluss auch nur daraus bestand, Nachrichten von bild.de abzuschreiben und Werbung einzubinden, verkauft.

 

[MrT69]

Da kannst doch nimmer durchblicken wo die welche Daten wie von wem hinschieben... Aber ne Datenschutzerklärung.
Sorry, aber das versteh ich echt nicht mehr.

 

[Wattsolls]

Also zur Geschwindigkeit. Threema ist bei mir ein recht guter Index für den Speed. Und für mich ist keweon.center zumindest im Moment am besten. Die anderen (DOT) schwächeln abends bei mir gerne mal in der Geschwindigkeit. Während keweon.center auch dann noch ziemlich flink ist. Ob das nur damit zusammen hängt das jetzt wieder mehr die anderen verwendet werden weist Du natürlich bessser.

 

[MrT69]

@Wattsolls
Das Problem sind halt die VPS und wenn da abends auf dem HOST alle Maschinen Daten saugen oder schieben, dann ist da halt irgendwann schluss. dns.keweon.center sind halt physikalische Geräte. Da merkt man das halt gewaltig dass das eine ganz andere Geschwindigkeit ist.

 

[halfmaratoni]

Hallöle - ich hätte da mal ein bisschen was OT:
Auf meinem Hua.P30 benutze ich als privaten DNS Server dns.keweon.center, was auch hervorragenst funktioniert.
Jetzt habe ich auch noch ein iPhone in Betrieb und würde hier gerne das gleiche machen. Der Morhill DNS-Changer spackt bei mir immer nach kurzer Zeit ab, also hab ich dnscloak installiert, das läuft bei mir stabil. Hier muss man keweon manuell in eine Config eintragen und hierfür einen DNS-Stamp gererieren; Ich gebe zu, daß ich dafür echt zu blöde bin. Das Ganze ist hier beschrieben:
Adding Custom DNS over HTTPS Resolvers to DNSCloak
Kann mir ein DNS-Guru hier irgendwie Schützenhilfe geben?
Vielen lieben Dank aus dem Ländle ... Martin

 

[MrT69]

Aus gegebenem Anlass habe ich die AV-Datenbank mit EMOTET-Feeds aktualisiert und sie nicht mit der Whitelist verglichen. Dies führte zu einigen falschen Positiv sperren. Im Moment bin ich dabei das zu bereinigen.

Sorry...

EDIT:
Läuft wieder alles wie gewohnt!

@halfmaratoni

Hi... Also das mit DNSCloak versteh ich bis heute nicht warum man das so kompliziert machen muss. Ich hab leider kein (noch) kein iPhone aber ich kann da echt selbst nur raten was die da an Infos haben wollen. Aber ich frag da mal an anderer Stelle nach, vielleicht kann da jemand anders nachhelfen.

 

[halfmaratoni]

Habe noch ein bisschen mit dem DNSStamp-Generator rumprobiert und da ist mir aufgefallen, daß der Stamp sich schon während der Eingabe ändert - on the fly - man muss wohl nichts bestätigen. Aber ich trag da wohl immer was Falsches ein, da der generierte Stamp in dnscloak nicht funktioniert?
LG Martin

 

[MrT69]

@halfmaratoni

Probier den mal aus. Das ist zwar jetzt nur mein Testserver aber immerhin, der sollte zumindest mal gehen:

sdns://AgYAAAAAAAAADDc4LjQ2LjEyOS40MAATc2Rucy5hc2VjZG5zLmNoOjQ0MwovZG5zLXF1ZXJ5

Das ist erstmal nur DoH. Wenn das geht, dann kann ich dir den Rest auch generieren. Ganz schlau werd ich aus dem Ding da nicht...

Edit:
Jetzt glaub ich hab ich das Ding verstanden. Hmmm...

 

[halfmaratoni]

Stamp scheint zu funktionieren - Subbi
Auf Mobiflip sehe ich mal keine Werbung mehr - werde noch ein bisschen testen, aber es sieht schonmal ganz gut aus. Ist es auch hier sinnvoll, das Zertifikat zu installieren?

 

[MrT69]

Dann generiere ich dir nachher eine Liste mit Stamps und ich würde mich freuen wenn du die Testen könntest.
Denk dran, im Moment hast du nur meinen Testserver drin. Vorher im Büro wusste ich auswendig keinen anderen auf die schnelle den ich nehmen kann.

Zum Zertifikat mal ne Anmerkung, denn das ist auch nur in Verbindung mit meinen DNS Servern wirksam. Das Zertifikat macht 3 Dinge:

1.
Aufgrund von Adblock und HTTPS-Webseiten verursacht das Blockieren von HTTPS Seiten Fehler im Browser. Mit dem Cert werden all diese Fehler unterdrückt. Ohne Fehler läuft die Website schneller und zusätzlich wird der Browser und die Website auch optisch bereinigt. Einfaches Beispiel ist die Seite denic.de - einfach mal mit und ohne vergleichen und dabei auf die Ladezeiten mal achten.

2.
Verschiedene Webseiten nutzen HTTPS-Fehler für die Adblock-Erkennung. Wenn Du eine Website besuchen und die Werbung blockierst die über HTTPS geschaltet werden, bemerken diese Website das und die Adblock-Erkennung erfolgt.

3.
Wenn Du mit Hosts Dateien durch 127.0.0.1 diese Seiten blockiert, dann kann es nie eine Antwort für die Website geben. Jeder Block auf keweonDNS führt immer zu einer gültigen HTTP/200-Antwort, die der Website bestätigt, dass alles erfolgreich durchgeführt wurde.
Ohne das Cert deckt es nur die Port 80 (HTTP) Kommunikation ab. Mit dem Cert bekommst Du immer eine für den Browser gültige HTTP/200 Antwort (d.h. alles in Ordnung) und alle diese dummen Java-Skripte gehen davon aus, dass keine zusätzlichen Anfragen oder Übertragungen notwendig sind. Zusätzliche Downloads werden somit erfolgreich blockiert. Das ist auch ein Grund, warum mit dem Cert alles etwas schneller läuft.

Wenn für dich alles ohne Probleme funktioniert, wenn Du mit der Geschwindigkeit zufrieden bist und wenn dich diese hässlichen Löcher innerhalb der Website nicht stören, dann gibt es keine Notwendigkeit, das Zertifikat zu verwenden.

In den 90er Jahren habe ich eine Zeit lang Patches, Cracks und Keygens programmiert, das auf keweonDNS umgesetzt und das ist einer der Gründe warum kaum einer versteht und verstehen kann wie keweon genau funktioniert.
All diese Erfahrungen aus dieser Zeit sind in das Projekt mit eingeflossen.
Eine Webseite ist nichts anderes als eine ausführbare Datei, die zur Laufzeit kompiliert wird. Werbung ist nichts anderes als diese dummen Nag-Screens, die durch einen einfachen Bytewechsel abgeschaltet werden können. Klingt jetzt erst mal einfach, aber das ist dann doch schon ein bisschen mehr.

Das Zertifikat ist nur da um ein komplettes Paket anzubieten. Wenn Du mit der Hälfte des Pakets zufrieden bist, dann ist das völlig in Ordnung. Und dieses Zertifikat läuft auch 100% nur mit meinen DNS Servern und mit sonst nix anderem.

Das Wichtigste für mich ist, dass alles zu 100% sauber läuft und dank dessen, das alle Seiten, auch Werbung über HTTPS laufen, geht es leider nicht anders. Wenn da jemand eine bessere Idee hat würde ich mich auch darüber freuen.

Wichtig ist, du hast die freie Entscheidung. Es gibt inzwischen mehr und mehr Webseiten die, dank diesem Adblock Blocker Schrott, das Zertifikat beim Blocken benötigen, aber das merkst du selbst recht schnell. Ebenso wichtig, das Zertifikat hat mit den DNS Servern direkt erst mal nichts zu tun, sondern lediglich mit den Antworten. Und wenn du dir den Unterschied mit und ohne mal angesehen hast, dann wirst du ganz schnell selbst merken und auch sehen was es macht.

 

[MrT69]

Update - EMOTET Feeds

Nach der Extraktion der EMOTET-Feeds ist es leider passiert, dass ein paar falsche/positive Domains WIEDER auf der Blacklist stehen.
Das Extraktions Skript habe ich angepasst und ich habe den Whitelist Check um diese Domänen erweitert:

twitter.com
pastebin.com
github.com

Sorry... Das Update ist auf dem Weg.

 

[Wattsolls]

Rüstet Web.de langsam auf? Sehe ich bei WEb.de zum ersten Mal. Oder ist mir das nur noch nie aufgefallen?
Rufe ich folgenden Link auf dem Smartphone mit aktivem keweon auf, erscheint sofort "Es wurde ein Adblocker in ihrem Browser erkannt..... "
SWR-Liebling Thomas Schmidt ist tot

Ich meine soo wichtig ist mir das Video jetzt nicht. War nur etwas verwundert.