• Ich habe noch eine Frage.


    Gibt es eine Möglichkeit die "Du geblockt von Pi-Hole, Massafagga!" Seite im "IP" Blockingmodus für HTTPS Aufrufe gangbar zu bekommen? Mich ärgert, daß ich das nur bei HTTP so sehen kann. Wäre ECHT nützlich, weil 99% vom Netz sind nun Mal HTTPS heutzutage, auch jene, die unerwünschte Inhalte servieren.

    In der [Pi-Hole Doku] finde ich dazu leider nichts.

    Muß ich hierzu nur den lighthttpd mit HTTPS gangbar machen? Oder wie?


    Danke!

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be! Edit: 2019 wasn't too bad either... Edit: 2020... holy crap, we're on a roll here~♡!

    Quote Bier.jpg@IRC 2020: "Je schlimmer der Fetisch, desto besser!"

  • Hm. Du würdest ja aus Verschlüsselungssicht damit praktisch einen Man-in-the-Middle-"Angriff" ausführen. Also zumindest würde ich erwarten, dass Dein Browser meckert, weil das Zertifikat nicht valide ist.

    Ob/wie man den Pi-hole so konfigurieren kann, dass es überhaupt funktionert, weiß ich nicht. Ich selbst bin wieder weg vom IP-Modus zum NULL-Modus, weil der einfach wesentlich schneller ist.

    We are Microsoft of Borg. Assimilation is imminent. Resistance is... Error in Borg.dll. Press OK to abort.

  • Der Speed ist mir nicht so wichtig. Mein Netz sucked sowieso. ;) Ich will nur die Unterscheidung machen können.

    Bei HTTPS stellt sich die Frage.. ich will ja im Fall des Blocks mit dem Zielserver gar nicht erst sprechen. Der DNS Request ist sowieso unverschlüsseltes UDP oder TCP zu einem völlig anderen Server. Wenn sich Pi-Hole auf dieser Ebene zu einem Block entscheidet, spielt HTTPS praktisch betrachtet doch keine Rolle mehr, weil sowieso keine entsprechende, sichere Verbindung mehr aufzubauen ist. Korrigiere mich wenn ich falsch liege, aber ich verstehe das so:

    1. Clientprogramm (z.B. Webbrowser) will per HTTPS zu Host A verbinden
    2. DNS Client erbittet forward-Auflösung von Host A zu IP von seinem eingetragenen DNS Server (Pi-Hole blockt hier bereits, weil's eine andere IP zurückgibt, bevor ein Application-Layer Protokoll für die eigentliche Verbindung ausgehandelt wird!)
    3. Im ungeblockten Fall: Client öffnet HTTPS Verbindung zu IP von Host A, und handelt HTTPS per Handshake aus (und schickt HTTP header mit Zielhostnamen usw.).
    4. Im geblockten Fall: HTTPS wird gegenstandslos, weil der anvisierte Host gar nicht erst erreicht werden soll, es gibt also keine Vertrauensstellung zu verifizieren; Relay zur implizit vertrauten Blockseite.

    Mein Pi wird dann natürlich im Fall eines Blocks ein Zertifikat anbieten, das nicht zum ursprünglichen Host paßt. Jeder vernünftige Browser wird jetzt rot aufleuchten. Das ist aber keine Injection, kein MITM. Ich biege nur die Verbindung auf einen falschen Host um, ohne das TLS an sich aufzubrechen. Klar ist, der Pi würde hier mein selbsterzeugtes Zertifikat anbieten, mit zwei Problemen: Hostname Mismatch und self-signed. Aber, wenn ich mir das "problematische" Zert im Browser ansehe und erkenne daß es mein selbst erzeugtes ist, dann kann ich dem Zert hier für alle Hosts vertrauen. Ist ja mein Zert auf meinem Pi in meinem LAN, und die Funktion ist mir bekannt, und ich vertraue meinem eigenen System in dem Kontext.

    Sprich: Ich sehe hier keine Injection, weil ich als Nutzer das (technisch falsche) Zertifikat präsentiert bekomme, und auf dessen Basis entscheide, es zuzulassen. Also kein "Avast Problem", weil mir ja keine trusted CA unwissentlich untergejubelt wird.

    Ist da irgendwo ein Denkfehler bei mir?

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be! Edit: 2019 wasn't too bad either... Edit: 2020... holy crap, we're on a roll here~♡!

    Quote Bier.jpg@IRC 2020: "Je schlimmer der Fetisch, desto besser!"

  • Genau so habe ich es gemeint. Ja, MITM passt nicht richtig, weil er sich gar nicht mehr mit dem eigentlichen Zielhost verbindet, also nicht "in der Mitte" steht. Aber das weiß dein Client ja nicht. Er merkt nur, da gibt sich jemand als example.com aus, hat aber kein Zertifikat, was auf diese Domain ausgestellt ist.

    In der Praxis frage ich mich gerade noch: kann man denn ein Zertifikat pauschal für alle Domains als vertrauenswürdig akzeptieren? Ansonsten würdest Du bei jedem Aufruf einer (neuen) geblockten Domain wieder die Zertifikatswarnung bekommen und erst aufwändig prüfen/freigeben müssen.

    We are Microsoft of Borg. Assimilation is imminent. Resistance is... Error in Borg.dll. Press OK to abort.

  • In der Praxis frage ich mich gerade noch: kann man denn ein Zertifikat pauschal für alle Domains als vertrauenswürdig akzeptieren? Ansonsten würdest Du bei jedem Aufruf einer (neuen) geblockten Domain wieder die Zertifikatswarnung bekommen und erst aufwändig prüfen/freigeben müssen.

    Das wird eben mMn nicht gehen. Dafür müsste das Zertifikat inkl privatem Schlüssel in den Store der trusted CAs importiert werden.

  • Das habe ich implizit so angenommen, daß das nicht geht. Wäre aber auch ok so, also für mich zumindest. Für den Nutzer kann das wohl lästig werden, aber ich hätts halt gern ausprobiert. Scheinbar lösen die Leute im Netz das aber nicht mit einer Rekonfiguration des Webservers, sondern mit irgendwelchen Firewallregeln... muß ich mir noch anschauen.

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be! Edit: 2019 wasn't too bad either... Edit: 2020... holy crap, we're on a roll here~♡!

    Quote Bier.jpg@IRC 2020: "Je schlimmer der Fetisch, desto besser!"

  • OK, so sollte es gehen - aber dann sehe ich keinen Mehrwert.

    Wenn ich erst bei jedem Block Zertifikate akzeptieren/speichern muss, um dann die blockseite zu sehen - dann kann ich auch einfach ein NULL-Blocking machen und im Zweifel hab ich eh im Bauchgefühl, dass es am Pihole liegt und kann da nachschauen.

    We are Microsoft of Borg. Assimilation is imminent. Resistance is... Error in Borg.dll. Press OK to abort.

  • Nicht direkt zu PiHole, sondern generell zu RPi und verwandten Systemen, aber ich wußte noch nicht daß sowas wie TRIM mittlerweile auch mit SD Karten geht:

    Code
    # fstrim -v /
    /: 20.6 GiB (22070943744 bytes) trimmed

    Grade nach'm x265 Benchmark mein 16GiB Swapfile deaktiviert und gelöscht und dann so versucht ein TRIM (oder ERASE) abzusetzen. Laut Spezifikationen gibt's das nämlich auch bei SD, und es scheint in der Tat zu funktionieren!

    Macht Linux das jetzt auch auf SD Karten schon laufend von selber, so wie bei SSDs? Oder muß man hier wirklich noch per Hand hinlangen, so wie ich es gerade Mal gemacht habe? Mein Dateisystem ist ext4, Kernel ist 5.10.17-v8+.

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be! Edit: 2019 wasn't too bad either... Edit: 2020... holy crap, we're on a roll here~♡!

    Quote Bier.jpg@IRC 2020: "Je schlimmer der Fetisch, desto besser!"

  • Auf Dauer isses eh (fast) egal, also von der Leistung her, weil da wohl ned viel I/O passieren wird. Nur grade wenn du drauf swappst (so wie beim Benchmark), dann hilft es halt wohl, wenn der Speicher halbwegs schnell schreiben kann. So der Gedanke. Und es müßte ja auf lange Sicht auch die SD Karte weniger abnutzen, wenn man TRIM'ed.

    Wobei 4 Jahre eh schon gut klingen, wenn in der Zeit keine Schäden aufgetreten sind bei der SD. Btw.: Beaglebone in Weiß, nette Optik.

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be! Edit: 2019 wasn't too bad either... Edit: 2020... holy crap, we're on a roll here~♡!

    Quote Bier.jpg@IRC 2020: "Je schlimmer der Fetisch, desto besser!"

  • Ich muß endlich irgendwelche Sekundäreinsatzgebiete für meinen Pi4 finden, echt. Der langweilt sich mit PiHole alleine...

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be! Edit: 2019 wasn't too bad either... Edit: 2020... holy crap, we're on a roll here~♡!

    Quote Bier.jpg@IRC 2020: "Je schlimmer der Fetisch, desto besser!"

  • Ich bin mir sicher daß sind alles sinnvolle Vorschläge. Leider ist meine IT Existenz etwas.. speziell. :topmodel: WebDAV habe ich schon, aber ich verwalte diese Sachen eigentlich über meinen Mailserver. Firefox Sync Server wäre echt gut, aber ich hab' halt auch Palemoon (Linux) & MyPal (XP x64) laufen, die können damit sicher nicht. Und ich verwende keine Bookmarks, sondern multiple tabbed SpeedDials (Ein Opera 12 Nutzer läßt grüßen). Sync per FTP. Urscheiße, aber najo, es funzt.

    Was ist Node-RED? Noch nie im Leben gehört. Muß ich Mal nachlesen was das ist.

    Ich dachte an einen nginx HTTPS Reverse Proxy für meinen Webserver, aber leider ist das Backend wohl zu alt dafür...

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be! Edit: 2019 wasn't too bad either... Edit: 2020... holy crap, we're on a roll here~♡!

    Quote Bier.jpg@IRC 2020: "Je schlimmer der Fetisch, desto besser!"

    Einmal editiert, zuletzt von GrandAdmiralThrawn (4. Juni 2021 um 19:14)

  • So, Fun Fact am Rande. Mit zig Blocklisten (inkl. Windows Telemetrie) bin ich ja auf ~3.6 Millionen geblockter Hosts.

    XP x64 ist nach wie vor mein primärer Web Client, also Chat, Mail, HTTP/HTTPS und so weiter. Wenn ich rumsurfe, dann darauf, via voll gepatchtem Palemoon Backport (aktuell MyPal). Man mag darüber denken was man will.

    Auf Windows 10 laufen eigentlich nur Spiele (Steam, Epic) und hin und wieder surfe ich auch drauf, um relevante Informationen zu einem von mir aktiv gespieltem Spiel zu finden, einfach weil es simpler ist als per KVM rüberzuwechseln. Aktuell steht da Subnautica: Below Zero hoch im Kurs (da sind bisher keine Blocks dabei, Wiki und so). Generell möchte ich aber sagen, daß geschätzt wohl ca. 95% meiner interaktiven Aufrufe (HTTPS, IMAPS, SSH, FTP+S, was auch immer) nach wie vor auf XP x64 stattfinden. Also die, wo ich selbst aktiv was abrufe. Dahingehend finde ich die Blockstatistiken von Pi-Hole recht amüsant:

    • XP x64, blocked requests: 16
    • Windows 10, blocked requests: 1121

    Man sollte anmerken, daß ein klarer Großteil der Hosts im Win10 Fall auf *.microsoft.com und *.live.com entfallen. Ich habe recht weit zurückgeblättert und konnte eigentlich nichts finden, was nicht MS Datensammlerei (so nenne ich es Mal) gewesen wäre.

    Notiz: Ein Kumpel hat einen Win 2003 Server laufen, mit PiHole als DNS. Der ist in den Stats noch nicht Mal aufgetaucht bei ihm (er hat sonst auch nur Win10 als Client dran). "lol"?

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be! Edit: 2019 wasn't too bad either... Edit: 2020... holy crap, we're on a roll here~♡!

    Quote Bier.jpg@IRC 2020: "Je schlimmer der Fetisch, desto besser!"

  • Ein echt guter Effekt von Pi-hole, dass man einen Eindruck darüber bekommt...

    Was mich interessieren würde: ist das bei Dir eine "normale" Win10-Installation, oder hast Du in Sachen Datenschutz schon Dinge abgestellt / eins dieser einschlägigen "Windows10-Shutup-Tools" verwendet?

    We are Microsoft of Borg. Assimilation is imminent. Resistance is... Error in Borg.dll. Press OK to abort.

  • Gut daß du mich dran erinnerst. Ich habe auf dem Host den Windows 10 Decrapifier und auch O&O ShutUp10 drüberlaufen lassen. Allerdings ist das schon etliche Feature Releases her, daher kann es gut sein, daß diese größeren Updates einiges an Telemetrie wieder reaktiviert oder neu ins System gebracht haben. Sollte ich vielleicht Mal wieder machen.

    Was mir noch auffällt: Es gibt immer noch zig Blocks durch Adblock Plus im Browser, auch durch Disconnect. Je nach Webseite halt, aber jo. Ich weiß nur schön langsam nicht mehr welche Blocklisten ich noch dazustopfen sollte.

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be! Edit: 2019 wasn't too bad either... Edit: 2020... holy crap, we're on a roll here~♡!

    Quote Bier.jpg@IRC 2020: "Je schlimmer der Fetisch, desto besser!"

  • Liste unten anbei. Zu beachten sei aber, daß ich mich nicht weiß Gott wie genau bei jeder informiert habe. Nur bei der oisd.nl habe ich etwas mehr nachgelesen. Ich habe also größtenteils einfach blind nach Blocklisten gesucht und so gut wie alles reingesetzt was ich finden konnte. Sind trotzdem "nur" 3.6 Millionen Hosts.

    Ich denke ich bin eher der, der Anregungen braucht. ;)

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be! Edit: 2019 wasn't too bad either... Edit: 2020... holy crap, we're on a roll here~♡!

    Quote Bier.jpg@IRC 2020: "Je schlimmer der Fetisch, desto besser!"

  • Alter Schwede. 66 Listen? Das muss ja ne Stunde dauern, die zu updaten. Ich hab 31 Listen und das dauert schon. Aber ich komme damit auf 4.4 Mio Domains.

    Meine Listen:

    We are Microsoft of Borg. Assimilation is imminent. Resistance is... Error in Borg.dll. Press OK to abort.