Firefox začal skrývať DNS dotazy pred poskytovateľom pripojenia

Značky: FirefoxDNS

DSL.sk, 25.2.2020

Organizácia Mozilla dnes začala vo svojom webovom prehliadači Firefox masovo zapínať štandardnú podporu využívania štandardu DNS-over-HTTPS, DoH, pri ktorom sa DNS dotazy na preklad domén na IP adresy prenášajú šifrovaným protokolom HTTPS.

Organizácia o tom infornuje v tomto oznámení.

Štandardné nasadzovanie sa týka len užívateľov v USA a bude uskutočňované postupne niekoľko týždňov, aby sa potvrdilo že nasadzovanie nespôsobuje nejaké problémy.

Pri využívaní DoH už analyzovaním dátovej komunikácie užívateľa nebude možné analýzou DNS dotazov zistiť aké domény navštevuje. V prípade často používaného šifrovaného protokolu TLS môžu byť domény ale stále zisťované z indikácie rozšírením SNI, Server Name Indication, ak sa ešte nevyužíva šifrovaná verzia ESNI.

Použitie DoH samozrejme tiež ale zabraňuje manipulácii DNS odpovedí, podobne ako DNSSEC, a tiež blokovaniu domén na úrovni DNS. DNSSEC je zatiaľ nasadený ale len na časti domén.

Firefox užívateľom v USA nastavuje pre DoH server služby Cloudflare a za tento aspekt je kvôli centralizácii DNS Mozilla kritizovaná.

Nastaviť používanie DoH si môžu aj ostatní užívatelia prehliadača Firefox a to v sieťových nastaveniach prehliadača. Pri manuálnom nastavení je okrem Cloudflare možné zvoliť aj NextDNS ale tiež ľubovoľný iný DoH server.




Najnovšie články:



Diskusia:

Zapínať? Od: sensei-san | Pridané: 25.2.2020 13:24 To by ešte tak chýbalo, aby niekto iný ako ja menil nastavenia software-u bežiaceho na mojom stroji ... Odpovedať Známka: -2.6 Hodnotiť:

nezvladnúta samoliečba = zápaľ plúc Od: šípka v smere erekcie | Pridané: 25.2.2020 15:39 Nevyhnutné je mať okrem ja aj druhé ja. Keby mal Pellegrini ženu, mal by mu kto variť čajíček a nemusel skončiť v nemocnici ako bezdomovec s pneumoniou. Nehovoriac o tom, keby mal deti pravidelne by aktualizoval imunitu a bol by funkční. Deti vždy donesú aktuálny vírus z kolektívu, nie všetko si môže človek robiť sám. Odpovedať Známka: 1.5 Hodnotiť:

Re: nezvladnúta samoliečba = zápaľ plúc Od: opakovanie | Pridané: 25.2.2020 16:39 Keby si mal deti ty, naučili by ťa gramatiku. Na tretí pokus by sa im to určite podarilo. Odpovedať Známka: 7.4 Hodnotiť:

Re: nezvladnúta samoliečba = zápaľ plúc Od: digDilino | Pridané: 25.2.2020 20:13 Kebi sa aspoň ďebiľňie ĎeŤeŇeĽeĎiŤiŇiĽi DODRŽIAVALO!!! Všakže... aĽe, aĽebo, Ľes, Ľesňík, ĽenŤilki, Ďelfín, Ďiktát, gramaŤika, maŤemaŤika.... Mňa! Všetki! Tieto slová! MAMA naučila!!! Takže sú to MOJE MAŤERINSKÉ SLOVÁ!!! (Ďebiľňie víhovorki že sú to cudzie slová si láskavo strčťe! vieťe presňe KAM!) Tak láskavo prestaň uprednostnovať FORMU pred OBSAHOM! (Áno presňe tak! S IQ to má spoločné presňe toľko ako Tvoja! Slaboduchosť!) Odpovedať Známka: -6.0 Hodnotiť:

Re: Zapínať? Od: reg.: Houston | Pridané: 26.2.2020 14:50 Podla seba sudim teba? Tato zmena je len pre: 1) Tych co maju zapnute STUDIE. Ked chces mat nastavania pod kontrolou ty, mas STUDIE urcite vypnute. 2) Ak si si nastavenia neskontroloval a studie mas zapnute, aj tak ti Firefox pri spusteni ukaze vyzvu, ktoru musis POTVRDIT alebo ZAMIETNUT. Odpovedať Známka: 10.0 Hodnotiť:

Nemate istotu ze provider nic nevidi Od: rolh | Pridané: 25.2.2020 13:37 Nestaci VPN? Tam si moze provider piskat ... tu nemam istotu, ze neuvidi co niekto navstevuje ... Priklad: Jozko pojde na pornostranku a Firefox skryje DNS, takze provider nevidi kam isiel Lenze potom jozko streamuje video z https://pornostranka.xxx/Jebacka.avi a toto uz provider vidi, ci??? Odpovedať Známka: -6.4 Hodnotiť:

ničivý praktik S$(($(od -An -N2</dev/urandom)))E$RANDOM Od: syntaxterrorX XXX. | Pridané: 25.2.2020 13:50 Že by zrovna pornostránky adresy, či eventuálne infraštuktúru, sharovali kvôli optimalizácii nákladov, neistej budúcnosti biznisu, či neschopnosti samostatného prevádzkovania, s kdekým, takže by bol pre skrývanie DNS príklad k veci, predstavuje priekazne vysoko expertný konštrukt. Odpovedať Známka: -3.8 Hodnotiť:

Re: ničivý praktik S$(($(od -An -N2</dev/urandom)))E$RANDOM Od: NASA tem | Pridané: 25.2.2020 13:51 Pán používa generátor náhodnych slov ale si synom Andreja Danka? Odpovedať Známka: 2.6 Hodnotiť:

ultraradikalny empaticizmus Od: syntaxterrorX XXX. | Pridané: 25.2.2020 15:50 Presne tak. Znalosti elementárnej kvantovej mechaniky stavajú pravdepodobnosť možnosti používania generátora náhodnych slov priekazne na úroveň schopnosti jeho zostrojenia. Odpovedať Známka: -2.7 Hodnotiť:

Re: ničivý praktik S$(($(od -An-72</dev/uran235}))E$RANDOM Od reg.: ujo horar | Pridané: 25.2.2020 16:57 c: je spravne Odpovedať Známka: 10.0 Hodnotiť:

Re: ničivý praktik S$(($(od -An -N2</dev/urandom)))E$RANDOM Od: Lord of heaven | Pridané: 26.2.2020 23:14 Poslechni svého pána, střílej ... au au Odpovedať Známka: 3.3 Hodnotiť:

Re: Nemate istotu ze provider nic nevidi Od: hulvat2 | Pridané: 25.2.2020 13:54 Nie. Provider nevidi nic. URL nieje sucastou DNS requestu. To ze Jozko pozera porno bude vediet cloudflare. Odpovedať Známka: 8.8 Hodnotiť:

Re: Nemate istotu ze provider nic nevidi Od: rolh | Pridané: 25.2.2020 13:58 A ked provider pomeni requesty, poopripade ti podstrci certifikat??? Odpovedať Známka: -8.2 Hodnotiť:

Re: Nemate istotu ze provider nic nevidi Od reg.: John D. Bill | Pridané: 25.2.2020 14:05 takeho providera ktory na teba robi MITM utok mozes jebat Odpovedať Známka: 8.9 Hodnotiť:

Re: Nemate istotu ze provider nic nevidi Od: rolh | Pridané: 25.2.2020 14:07 Presne lenze ty to nikdy nevies skontrolovat. Co ak budes v hladaciku tajnych sluzieb? Vyuziju vsetky prostriedky a provider musi spolupracovat Odpovedať Známka: -2.0 Hodnotiť:

ultraradikalny fakticizmus Od: syntaxterrorX XXX. | Pridané: 25.2.2020 14:16 Ten zákaz zrušenia firmy sa týka len providerov či priekazne všetkých činností? Odpovedať Známka: -1.4 Hodnotiť:

Re: Nemate istotu ze provider nic nevidi Od reg.: John D. Bill | Pridané: 25.2.2020 14:24 Mal by si to vediet skontrolovat. V pripade MITM bude certifikat servera podpisany utocnikom a nie CA. Odpovedať Známka: 10.0 Hodnotiť:

Re: Nemate istotu ze provider nic nevidi Od reg.: Kvík? | Pridané: 25.2.2020 15:41 Po prvé to treba zákonom zakázať, po druhé treba aspoň Tor... Odpovedať Známka: 6.0 Hodnotiť:

Re: Nemate istotu ze provider nic nevidi Od: rouen | Pridané: 25.2.2020 14:28 Ako ti podstrci certifikat tvojho nastaveneho DoH servera? Ak nebude podpisany niekym, koho mas v trusted chaine nainstalovanom na tvojom PC, tak to nie je platne. A ak si naimportujes certifikat hocikoho, kto o to poziada, tak ti niet pomoci.. Odpovedať Známka: 10.0 Hodnotiť:

Re: Nemate istotu ze provider nic nevidi Od reg.: holden | Pridané: 25.2.2020 16:14 Presne tak. Navyse Firefox nepouziva root CA certifikaty nainstalovane v operacnom systeme, ale bundluje si svoje vlastne (na rozdiel od Chromium based prehliadacov). Takze je to este o jednu vrstvu bezpecnejsie. Odpovedať Známka: 10.0 Hodnotiť:

Re: Nemate istotu ze provider nic nevidi Od: knjiCdo | Pridané: 25.2.2020 17:50 nepodstrčí ti nič, nato je tam to HTTPS://, komunikácia medzi serverom a klientom je už šifrovaná a podpis je overovaný treťou stranou, teda Certifikačnou autoritou. Tvoj provider si môže aj trhať vlasy, keď ti v prehliadači svieti tá pekná zelená kládka nikto nevidí a ani nemôže upraviť dáta ktoré idú od klienta na server a späť. Do toho spadajá aj celá cesta stránky... to ale neplatí pre DNS requesty, čo znamená, že pokiaľ nepoužívaš DNSSEC alebo pod. systém tak čo vidí tvoj provider je toto: pripojíš sa na "some website . co, / some params" ------ DNS Client -> "some website . com" 123.123.123.123 <- DNS Server [Encrypted Request] -> [123.123.123.123] 127.0.0.1 <- [Encrypted Response] ...atď... ------ Odpovedať Známka: 10.0 Hodnotiť:

Re: Nemate istotu ze provider nic nevidi Od: aedf | Pridané: 25.2.2020 18:11 Zabudol si na ip adresy... z top milion stranok podla Alexy ma 95% z nich priame mapovanie medzi hostname a ip adresou. To, ze Jozkov blog ma rovnaku ipcku ako Ferkov, je uplne nepodstatne. Odpovedať Známka: 0.0 Hodnotiť:

Re: Nemate istotu ze provider nic nevidi Od: knjiCdo | Pridané: 25.2.2020 18:31 to už až tak neovplyvníš. podstatné je, že nevidí, čo na tej adrese robíš :) a vôbec, môžeš si skočiť cez nejaké to proxy ak to potrebuješ vážne ukryť... z toho čo provider vie je maximálne to, že si niekde pripojený a keď veľmi chce môže si resolvnúť meno pre tú IP aby zistil kde... ale to v podstate môže úplne každý cez koho preskočíš, nehovoriac o tom, že keď si za reouterom alebo niečo podobné, tak nevie kto presne sa tam pripojil :) tak si si nechal odomknutú Guest Wifi a niekto tam cez teba skočil... to už je predsa detail, overiť to nemajú ako, lebo nevidia obsah ani parametre, žiaden login ani iný jednoznačný identifikátor... v podstate hádať sa o tom kto vidí IPčky je zbytočné, lebo niekto ich vidieť musí, či je to tvoj ISP alebo VPN provider, alebo Proxy provider... pick your poison Odpovedať Známka: 10.0 Hodnotiť:

A lokalne domeny? Od: hgdfretysu | Pridané: 25.2.2020 14:25 A ked mam nejake lokalne domeny pristupne iba z mojej siete tak si mozem piskat. Je mi u riti ci provider vidi ake domeny navstevujem, ked aj tak bude vidiet IP adresy na ktore pristupujem. Skor mam problem s tym ze firefox bude vidiet domeny ktore navstevujem. Ale ako sposob na sledovanie uzivatelov firefoxu je to dobre... Odpovedať Známka: -4.3 Hodnotiť:

Re: A lokalne domeny? Od: ParaNoik | Pridané: 25.2.2020 17:26 tvrdis, ze pred zapunitim DoH to nevie a potom bude? Odpovedať Známka: 10.0 Hodnotiť:

Re: A lokalne domeny? Od: aedf | Pridané: 25.2.2020 18:12 Cloudflare... predtym to nevedel, teraz to vediet bude. Odpovedať Známka: -6.0 Hodnotiť:

Re: A lokalne domeny? Od: sensei-san | Pridané: 25.2.2020 18:58 Nie. Tvrdí, že má DNS server ktorý mu prekladá neverejné IP adresy a mená a to sa po zapnutí DoH prekladať prestane. Odpovedať Hodnotiť:

Re: A lokalne domeny? Od: dziny1 | Pridané: 25.2.2020 20:11 To je pravda. Pokusne som mal DNSSEC zapnuty vo Firefoxe a robilo mi to problem pri lokalnych domenach. Riesenim doma je mat DNSSEC na urovni routera a nie na kompe. Neriesi to samozrejme cudziu siet. Odpovedať Známka: 10.0 Hodnotiť:

Re: A lokalne domeny? Od: reg.: Houston | Pridané: 26.2.2020 14:48 Samozrejme, ze ich to v Mozille napadlo. Je moznost cez network.trr.excluded-domains urobit zoznam lokalnych domen, na ktore bude pouzivat nastavenia OS. Druha moznost: To signal that their local DNS resolver implements special features that make the network unsuitable for DoH, network administrators may configure their networks to modify DNS requests for the following special-purpose domain called a canary domain: use-application-dns.net. Odpovedať Známka: 10.0 Hodnotiť:

Re: A lokalne domeny? Od: aedf | Pridané: 26.2.2020 15:54 A samozrejme, pretoze v Mozille tiez pouzivaju mozgove myslenie, na vytvorenie canary domain treba rozbit DNSSEC pre cely .net root. Keby rozumeli tomu co robia, nahradili by jednu pomlcku bodkou a len tato subdomena by mala vypnute DNSSEC. Niet divu, ze ich cela DNS komunita ma v zuboch. Odpovedať Známka: 3.3 Hodnotiť:

Firefox Od: idaho | Pridané: 25.2.2020 14:28 Po rokoch na Chrome a Opere, som si nasiel cestu naspat na novy Firefox. Mozem povedat, ze velka spokojnost, na mojom MX Linux ide velmi dobre. Odpovedať Známka: 7.8 Hodnotiť:

Re: Firefox Od: ffsvbryjtnb | Pridané: 25.2.2020 18:59 ak si rozchodis dnscrypt-proxy nemusis cakat na firefox... trochu poguuglis a da sa... Odpovedať Hodnotiť:

Re: Firefox Od: Chcem späť do matrixu | Pridané: 26.2.2020 23:15 sem tu cestu Odpovedať Hodnotiť:

prenesenie dovery Od: jancici | Pridané: 25.2.2020 14:36 Bez DoH dôveruješ poskytovateľovy pripojenia a firme ktorá prevádzkuje DNS server, že nezneužije informácie ktoré domény pozeráš. S DoH dôveruješ firme ktorá prevádzkuje DoH server. Keď použiješ VPN tak dôveruješ firme ktorá prevádzkuje VPN server. Ja používam https://www.dnscrypt.org/ Dôverujem firmám, osobám ktoré prevádzkujú servery. Je ich viac, existuje Anonymized DNS relays. Odpovedať Známka: 10.0 Hodnotiť:

Re: prenesenie dovery Od: dsfsdfsd | Pridané: 25.2.2020 15:16 Presne,dobre si to napisal. Firefox, len rozsiruje moznosti tu doveru presunut na niekoho ineho. Nejde spiclovat alebo co, dava dalsiu moznost so svojimi plusmi a aj minusmi. Odpovedať Známka: 6.0 Hodnotiť:

Re: prenesenie dovery Od: reg.: Houston | Pridané: 26.2.2020 14:44 Presne tak! Je dobre mat na vyber. Len pripomeniem, ze NASTROJE - MOZNOSTI - VSEOBECNE - NASTAVENIA siete - Zapnut DNS cez HTTPS (pripadne vybrat poskytovatela) Okrem toho, Firefox ukaze pri spusteni okno, kde moze uzivatel zmenu POTVRDIT alebo ZAMIETNUT. Je to robene cez studie, kto ma studie vypnute, toho sa to netyka. Odpovedať Známka: 10.0 Hodnotiť:

Re: prenesenie dovery Od: aedf | Pridané: 25.2.2020 18:14 Je tu este ta moznost, ze rekurzivny resolver si budes prevadzkovat sam. Odpovedať Známka: 10.0 Hodnotiť:

Re: prenesenie dovery Od: ... | Pridané: 26.2.2020 8:40 zopar rekurzivnych DNS serverov si uz vyse 20 rokov prevadzkujem sam a vsetky svoje DNS requesty sa snazim podla moznosti smerovat voci nim... Odpovedať Známka: 10.0 Hodnotiť:

Re: prenesenie dovery Od: Agent | Pridané: 26.2.2020 11:57 Alebo cez VPN sa pripojíš na Tor a dovi dopo. Tu už nikto nedôveruje nikomu. Ľudia si zaslúžia istoty Odpovedať Hodnotiť:

DoH: áno či nie? Od: jancici | Pridané: 25.2.2020 14:39 https://dopice.sk/nHh Odpovedať Hodnotiť:

Re: DoH: áno či nie? Od: Mxxl | Pridané: 25.2.2020 23:51 zaujímavé čítanie ale je to naozaj dilema: buď si vyberieš nešifrované DNS, pri ktorom každý hop vidí o akú IP adresu ide + vidia to všetci útočníci (man in the middle) alebo si vyberieš DoH, pri ktorom nikto nevidí o akú IP adresu ide, žiaden MITM útočník nevidí plaintext IP - ale, môže sa stať že ju rozširuje (ak sa použije šifra typu sha-1 alebo md5) alebo zaútočí na šifrovací server alebo samotný šifrovací server si to rozšifruje resp. si môže uložiť log pred zašifrovaním prípadne môže poskytnúť kľúče iným subjektom a pod. čiže dilema typu: kúpim si lacné hodinky, odvediem z nich daň ale nedarí sa mi ixh skryť, takže všetci tie hodinky vidia a vedia že sú moje a že ich nosím alebo kúpim si drahé hodinky, neodvediem z nich daň nikto mi ich nikdy na ruke nevidí aj keď ich nosím ale dúfam že ma nenatre predavač, že si predavač neurobil záznam o tom že som si ich kúpil a že daňováci nekúpia od predavača info Odpovedať Známka: 10.0 Hodnotiť:

Firefox Od: opl | Pridané: 25.2.2020 18:15 Pri otvoreni niektorych stranok pada (firefox) ako prezreta hruska, napr. shmu.sk. Odpovedať Známka: -10.0 Hodnotiť:

Re: Firefox Od: asters | Pridané: 25.2.2020 18:20 shmu.sk na ff pozerám takmer denne, nespadol ani raz. a na druhú stranu tiež neskenuje aké aplikácie máš nainštalované v PC ako to robí chrome. Odpovedať Známka: 10.0 Hodnotiť:

OMG WTF Od: feroxxx | Pridané: 27.2.2020 2:56 DNS cez HTTPS... Vam musi jebat chalani, vam musi docista jebat. Mame take rychle siete a pocitace, ze mozeme robit neefektivne a zbytocne veci, a to vo velkom. Parada. Keby niekto s takymto napadom prisiel na internet v 1995, tak by ho jemnesie povahy hnali svinskym krokom a radikalnejsie by ho utlkli hlavickami IP paketov. Odpovedať Známka: -5.0 Hodnotiť:

KKISS.CLUB - úžasné zoznamovacie miesto pre dospelých, ktorí chcú nájsť partnera na sex Od reg.: Lynee | Pridané: 27.2.2020 12:33 www.KKISS.CLUB - úžasné zoznamovacie miesto pre dospelých, ktorí chcú nájsť partnera na sex Odpovedať Hodnotiť:

cechizmus Od: juHele | Pridané: 1.3.2020 0:21 slovo Dotazy nieje nahodou cechizmus? Odpovedať Hodnotiť:

KKISS.CLUB - úžasné zoznamovacie miesto pre dospelých, ktorí chcú nájsť partnera na sex Od reg.: Jennifer | Pridané: 2.3.2020 23:02 www.KKISS.CLUB - úžasné zoznamovacie miesto pre dospelých, ktorí chcú nájsť partnera na sex Odpovedať Hodnotiť:

KKISS.CLUB - úžasné zoznamovacie miesto pre dospelých, ktorí chcú nájsť partnera na sex Od reg.: Amanda | Pridané: 3.3.2020 4:00 www.KKISS.CLUB - úžasné zoznamovacie miesto pre dospelých, ktorí chcú nájsť partnera na sex Odpovedať Hodnotiť:

Pridať komentár