对银行帐户、SSH、Adsense帐户使用OpenDNS是否不太安全？

Question

我的房子里有一个WiFi连接，用于iPad、电话和电脑。

我想阻止成人网站，每一个使用WiFi连接的设备都需要时间。

所以我偶然发现了OpenDNS。但是我很担心，因为我把连接用于我的银行业务，SSH，Adsense帐户等等。

失去这些账户等于失去我的房子。

那么在我的情况下使用OpenDNS安全吗？或者你有什么建议？

Answer 1

两者都应该和以前一样安全。DNS只是将域名解析为ip地址。这与任何安全模型都是完全不同的，OpenDNS可能与您从本地ISP获得的DNS一样可靠。

当你进入一个网站时，你输入了一个域名(security.stackexchange.com)。您的浏览器比查询DNS服务器来获得IP地址(64.34.119.12)。这将告诉您的计算机，您的请求包应该通过开放的internet定向到哪个地址。然后，您的数据包在开放的internet上路由，因此它们应该转到分配给IP地址的计算机上。通过选择使用OpenDNS，您只是询问不同的计算机security.stackexchange.com的IP地址是什么，是信任您的ISP的DNS服务器还是使用OpenDNS来进行这些类型的查询。

然而，这两个系统都可能被颠覆。DNS记录/响应可能被篡改以指向错误的IP地址，或者恶意路由器可能会将路由重定向到错误的服务器。因此，一般来说，您不应该信任常规的旧http连接。

但是，如果连接到银行，通常会访问HTTPS站点(https://www.yourbank.com)。如果浏览器具有由可信证书颁发机构(CA)颁发的正确签名证书，大多数现代web浏览器将显示锁定URL并将https设置为绿色。您的web浏览器附带了一个受信任CA列表，并自动检查证书是否有效、是否受信任，并被颁发给您想要访问的域名。如果页面没有正确签名的证书，或错误站点的证书，或过期的证书等，您也会收到警告。您不应该在非https连接上进行任何类型的银行/信用卡交易。此外，https通信将被加密，因此窃听者无法监听。您应该小心确保https的域名是正确的，例如，它的https://www.yourbank.com而不是https://yourbank.notyourbank.com。

当您将ssh连接到您过去连接过的服务器时，您将远程服务器的公钥存储在计算机上的~/.ssh/known_hosts文件中。如果远程服务器无法回答对公钥的挑战(服务器只有在具有相应的私钥时才能回答)或公钥更改，则会警告您。因此，在从受信任的计算机连接到ssh服务器一次之后，可以确保后续连接已连接到同一台计算机。ssh还加密所有通信量。

Answer 2

使用像OpenDNS这样的提供程序阻止任意的信息并不能充分地检查连接中可用的信息。智障儿童可以通过提供一个新的DNS服务器来绕过这个问题，比如Google著名的ip地址8.8.8.8或8.8.4.4。

在内容过滤方面，你应该看看中国、沙特阿拉伯和叙利亚这样的国家。这些国家使用昂贵的内容过滤器来执行数据包检查。市场上有很多产品，你也可以使用免费使用鱿鱼代理。但是要记住，乌贼并不能阻止洋葱路由器，叙利亚也是如此。