Firefox z DNS-over-HTTPS tylko w USA. Dlaczego nie w Europie? Strona główna Aktualności28.02.2020 08:20 Firefox z DNS-over-HTTPS tylko w USA (fot. Pixabay) Udostępnij: O autorze Kamil J. Dudek @wielkipiec Najnowsza wersja przeglądarki Firefox domyślnie włącza wykorzystanie protokołu DoH, czyli DNS-over-HTTPS. Mozilla tłumaczy to chęcią zapewnienia ochrony przed nowymi typami ataku, wymierzonymi w DNS, dzięki którym możliwa jest przezroczysta podmiana treści na stronach internetowych: nie zarażając ofiary, doprowadzi się do przekierowania ruchu na podstawione serwery. Komunikacja HTTPS sprawia w dodatku, że zapytania DNS są szyfrowane, a ich wiarygodność – zapewniana przez szyfrowanie. Komunikacja DoH jest jednak domyślnie włączona tylko w Stanach Zjednoczonych. Wiele osób odetchnie dzięki temu z ulgą, ale taki stan rzeczy jest dość podejrzany. Skoro DoH jest taki bezpieczny, czemu nie wdrożyć go od razu wszędzie? Mozilla nie odpowiada na te pytania wprost. A sam DNS-over-HTTPS wcale nie jest uniwersalnym rozwiązaniem wszystkich problemów, tworzy bowiem sporo własnych. Centralizacja po amerykańsku Należy tu brać poprawkę na amerykańskie realia. Jak podkreśla Mozilla , rynek dostawców telekomunikacyjnych jest w przeważającej większości w rękach pięciu dostawców-gigantów ISP. Ich klienci otrzymują (przez DHCP) domyślną konfigurację serwerów DNS. Rzecz jasna, ustawienia te można zmienić/nadpisać, ale to jeszcze nie oznacza, że ISP nie ma dzięki temu rozległej wiedzy o użytkowniku i wpływu na niego. # apropos "Baby Bells" Z tym, że nawet nie używając DNS-ów od dostawcy, zależność od niego jest fundamentalna. Zastąpienie obsługi DNS własną warstwą tego nie zmieni. Ma za to trochę wad. Na przykład ignoruje ustawienia systemu operacyjnego, twierdząc że przecież wie lepiej. Co prawda informuje o tym użytkownika, ale skuteczność jednorazowego powiadomienia o włączeniu DoH jest podważalna. Po drugie, wprowadzenie alternatywnej ścieżki rozwiązywania nazw wymaga użycia jakiejś innej infrastruktury. "Standards are paper" Wybór Mozilli jest tu istotnie "zdecentralizowany" ponieważ ich rozwiązanie nie stosuje systemu nazw o centralnym korzeniu. Zamiast tego, używana jest zamknięta lista firm, które dostarczają usługę DoH. Rzecz jasna, powstały ścisłe regulacje dotyczące tego, co wolno usługodawcom DNS-over-HTTPS i tylko firmy spełniające zdefiniowane kryteria mogą być używane. Obecnie jest to NextDNS i... CloudFlare. Lepiej wymuszać coś architekturą niż przepisami Takie rozwiązanie jest zdecydowanie bardziej scentralizowane niż poprzednie. Tym razem bezpieczeństwo i jednoznaczność rozwiązywania nazw są powierzane jakiejś wielkiej firmie, której Firefox ufa ponieważ jest zgodna z jakimś papierkiem z wymaganiami. Można użyć innej. Ale po co używać którejkolwiek? Całą sprawa jest stawiania w bardzo dziwny sposób. Znane wątpliwości i problemy pozornie są adresowane, wydano nawet dokument FAQ na temat DoH, ale po głębszej analizie można stwierdzić, że w zasadzie nie odpowiada on na żadne pytanie w pełni. Mniejsza centralizacja okazuje się większą centralizacją. Bezpieczeństwo nagle opiera się tylko na szyfrowaniu (bo DNSSec-over-HTTPS nie funkcjonuje), z użyciem certyfikatu firm trzecich. Zła wola czy krótkowzroczność? Wreszcie, jest też brak wdrożeń w Europie. Rynek ISP jest tutaj odmienny niż w USA, ale przecież argumenty za stosowaniem DoH miały być uniwersalne. Zakładając złą wolę, można wręcz podejrzewać, że Mozilla po prostu nie chciała męczyć się na obszarze, gdzie obostrzenia prawne działają odrobinę lepiej niż w Stanach. i've uninstalled all mozillacorp software at home and will do so shortly at work. no vendor who would ever override my dns settings with their own new defaults is welcome anywhere near my personal or corporate information. mozilla has fallen considerably from their former grace. https://t.co/i7Rh8b5UZ3— Paul Vixie (@paulvixie) February 25, 2020 Ale już samo to, że zastanawiamy się, czy Mozilla nie ma tu jakichś upiornych intencji pokazuje, że firma jest dziś cieniem samej siebie z przeszłości. Stanie na straży niezależności i bezpieczeństwa internetu kiedyś wyglądała w jej wykonaniu znacznie lepiej niż dziś. Wielu fachowców odwraca się od niej. Akcje takie, jak wdrożenie DNS-over-HTTPS jej nie pomagają. Firefox na Windowsa i macOS-a jest dostępny do pobrania z naszej bazy oprogramowania. Oprogramowanie Internet Bezpieczeństwo IT.Pro Udostępnij: © dobreprogramy Zgłoś błąd w publikacji Zobacz także Firefox 83.0 Przeglądarki stron WWW 3 Firefox 83.0.0 Przeglądarki stron WWW 13843 Firefox 72 i jeszcze mniej śledzenia: Mozilla na życzenie usunie dane z telemetrii 3 sty Oskar Ziomek Oprogramowanie Internet Bezpieczeństwo 88 Gadatliwy jak Firefox. Sprawdzamy, co przeglądarka robi za naszymi plecami 22 sty Kamil J. Dudek Oprogramowanie Bezpieczeństwo IT.Pro 132
Udostępnij: O autorze Kamil J. Dudek @wielkipiec Najnowsza wersja przeglądarki Firefox domyślnie włącza wykorzystanie protokołu DoH, czyli DNS-over-HTTPS. Mozilla tłumaczy to chęcią zapewnienia ochrony przed nowymi typami ataku, wymierzonymi w DNS, dzięki którym możliwa jest przezroczysta podmiana treści na stronach internetowych: nie zarażając ofiary, doprowadzi się do przekierowania ruchu na podstawione serwery. Komunikacja HTTPS sprawia w dodatku, że zapytania DNS są szyfrowane, a ich wiarygodność – zapewniana przez szyfrowanie. Komunikacja DoH jest jednak domyślnie włączona tylko w Stanach Zjednoczonych. Wiele osób odetchnie dzięki temu z ulgą, ale taki stan rzeczy jest dość podejrzany. Skoro DoH jest taki bezpieczny, czemu nie wdrożyć go od razu wszędzie? Mozilla nie odpowiada na te pytania wprost. A sam DNS-over-HTTPS wcale nie jest uniwersalnym rozwiązaniem wszystkich problemów, tworzy bowiem sporo własnych. Centralizacja po amerykańsku Należy tu brać poprawkę na amerykańskie realia. Jak podkreśla Mozilla , rynek dostawców telekomunikacyjnych jest w przeważającej większości w rękach pięciu dostawców-gigantów ISP. Ich klienci otrzymują (przez DHCP) domyślną konfigurację serwerów DNS. Rzecz jasna, ustawienia te można zmienić/nadpisać, ale to jeszcze nie oznacza, że ISP nie ma dzięki temu rozległej wiedzy o użytkowniku i wpływu na niego. # apropos "Baby Bells" Z tym, że nawet nie używając DNS-ów od dostawcy, zależność od niego jest fundamentalna. Zastąpienie obsługi DNS własną warstwą tego nie zmieni. Ma za to trochę wad. Na przykład ignoruje ustawienia systemu operacyjnego, twierdząc że przecież wie lepiej. Co prawda informuje o tym użytkownika, ale skuteczność jednorazowego powiadomienia o włączeniu DoH jest podważalna. Po drugie, wprowadzenie alternatywnej ścieżki rozwiązywania nazw wymaga użycia jakiejś innej infrastruktury. "Standards are paper" Wybór Mozilli jest tu istotnie "zdecentralizowany" ponieważ ich rozwiązanie nie stosuje systemu nazw o centralnym korzeniu. Zamiast tego, używana jest zamknięta lista firm, które dostarczają usługę DoH. Rzecz jasna, powstały ścisłe regulacje dotyczące tego, co wolno usługodawcom DNS-over-HTTPS i tylko firmy spełniające zdefiniowane kryteria mogą być używane. Obecnie jest to NextDNS i... CloudFlare. Lepiej wymuszać coś architekturą niż przepisami Takie rozwiązanie jest zdecydowanie bardziej scentralizowane niż poprzednie. Tym razem bezpieczeństwo i jednoznaczność rozwiązywania nazw są powierzane jakiejś wielkiej firmie, której Firefox ufa ponieważ jest zgodna z jakimś papierkiem z wymaganiami. Można użyć innej. Ale po co używać którejkolwiek? Całą sprawa jest stawiania w bardzo dziwny sposób. Znane wątpliwości i problemy pozornie są adresowane, wydano nawet dokument FAQ na temat DoH, ale po głębszej analizie można stwierdzić, że w zasadzie nie odpowiada on na żadne pytanie w pełni. Mniejsza centralizacja okazuje się większą centralizacją. Bezpieczeństwo nagle opiera się tylko na szyfrowaniu (bo DNSSec-over-HTTPS nie funkcjonuje), z użyciem certyfikatu firm trzecich. Zła wola czy krótkowzroczność? Wreszcie, jest też brak wdrożeń w Europie. Rynek ISP jest tutaj odmienny niż w USA, ale przecież argumenty za stosowaniem DoH miały być uniwersalne. Zakładając złą wolę, można wręcz podejrzewać, że Mozilla po prostu nie chciała męczyć się na obszarze, gdzie obostrzenia prawne działają odrobinę lepiej niż w Stanach. i've uninstalled all mozillacorp software at home and will do so shortly at work. no vendor who would ever override my dns settings with their own new defaults is welcome anywhere near my personal or corporate information. mozilla has fallen considerably from their former grace. https://t.co/i7Rh8b5UZ3— Paul Vixie (@paulvixie) February 25, 2020 Ale już samo to, że zastanawiamy się, czy Mozilla nie ma tu jakichś upiornych intencji pokazuje, że firma jest dziś cieniem samej siebie z przeszłości. Stanie na straży niezależności i bezpieczeństwa internetu kiedyś wyglądała w jej wykonaniu znacznie lepiej niż dziś. Wielu fachowców odwraca się od niej. Akcje takie, jak wdrożenie DNS-over-HTTPS jej nie pomagają. Firefox na Windowsa i macOS-a jest dostępny do pobrania z naszej bazy oprogramowania. Oprogramowanie Internet Bezpieczeństwo IT.Pro Udostępnij: © dobreprogramy Zgłoś błąd w publikacji