Mozilla: Cloudflare betaalt niet voor DNS over HTTPS-verkeer
Mozilla krijgt naar eigen zeggen niet betaald voor het doorsturen van dns-verzoeken van Firefoxgebruikers naar Cloudflare, zo heeft de browserontwikkelaar via de eigen website bekendgemaakt. Op dit moment maken de meeste internetgebruikers bij het opvragen van een domeinnaam gebruik van de dns-server van hun internetprovider.
Een probleem met dns-verzoeken is dat ze het ip-adres, of een groot deel hiervan, van de gebruiker bevatten, alsmede de opgevraagde domeinnaam. De verzoeken zijn daarnaast onversleuteld, zodat allerlei partijen die onderweg kunnen inzien of veranderen. DNS over HTTPS (DoH) moet dit probleem verhelpen door een versleutelde verbinding voor dns-verzoeken te gebruiken.
Mozilla wil DoH straks standaard voor Firefoxgebruikers inschakelen en heeft voor een implementatie gekozen waarbij op dit moment internetbedrijf Cloudflare de versleutelde dns-verzoeken ontvangt. Volgens Mozilla krijgt het hier niet voor betaald en heeft het beleid opgesteld dat het te gelde maken van DoH-verkeer verbiedt. "Ons doel met deze feature is om een belangrijke privacybescherming aan onze gebruikers te bieden en het lastiger voor bestaande dns-providers te maken om aan het dns-verkeer van gebruikers te verdienen."
Tegenstanders van Mozillas plan zijn bang dat straks een handvol bedrijven de dns-verzoeken van miljarden gebruikers zal verwerken en er een gecentraliseerd ecosysteem ontstaat. Mozilla stelt dat het Cloudflare heeft gekozen omdat het aan de gestelde eisen voldoet. Daarnaast is het in gesprek met andere dns-providers om zich ook aan te aansluiten. "We verwachten meer providers te zullen toevoegen. Daarnaast is onze visie dat DoH universeel wordt toegepast en ondersteund door alle dns-providers", aldus de browserontwikkelaar.
Mozilla zal DoH als eerste bij Amerikaanse Firefox-gebruikers inschakelen. Wanneer de uitrol voor Firefoxgebruikers in andere landen plaatsvindt is nog niet bekend.
Chrome
Naast Mozilla is ook Google met het implementeren van DoH bezig. Deze week verscheen Chrome 78 waarmee Google verschillend DoH-experimenten gaat uitvoeren. Google kijkt echter bij het inschakelen van DoH of de al ingestelde dns-provider van de gebruiker DoH ondersteunt. Op dit moment zijn dit volgens Google zes partijen, namelijk Cleanbrowsing, Cloudflare, DNS.SB, Google, OpenDNS en Quad9.
Wanneer Chrome deze providers detecteert wordt de DoH-dienst van dezelfde provider ingeschakeld. Wanneer de dns-provider van de gebruiker niet op de lijst voorkomt blijft Chrome op dezelfde manier werken. Hierdoor zouden gebruikers niets van het experiment moeten merken, aldus Google.
Reacties (32)
Volgens Mozilla krijgt het hier niet voor betaald en heeft het beleid opgesteld dat het te gelde maken van DoH-verkeer verbiedt.
Dat vind ik wat te zwakjes. Veel te veel loopholes om alsnog iets met die informatie te gaan doen. Dan wordt er wellicht niet betaald voor die informatie maar voor een dienst die gebruik maakt van die informatie om iets anders mogelijk te maken.Bovendien vertrouw ik mijn eigen ISP meer dan Cloudflare.
Misschien handig om duidelijk te maken dat we geen idee hebben of Cloudflare het wordt voor NL.
Mozilla heeft een procedure voor organisaties om zich aan te melden.
Dus we zullen zien wat de opties gaan zijn. En of er een detault zal zijn of een random keuze of gewoon helemaal niks zoals in UK. Of dat men wacht tot er een discovery protocol is (daar wordt ook aan gewerkt volgens mij) voor aansluiten op de ISP of lokaal netwerk.
Voor Mozilla (en deels Google) is het doel om security op te schroeven en de DNS van de ISPs in de VS en landen met een minder fijn regime te omzeilen.
Er zijn nog 3 stappen nodig voordat alle browser protocollen er van de buitenkant het zelfde uit zien en geen plaintext meer zichtbaar is: DoH, encrypted SNI, default HTTPS (optioneel: IETF QUIC via UDP als optimalisatie)
Voor Cloudflare is het marketing en extra optimalisatie/security voor hun klanten, uit eindelijke doel is natuurlijk net als een boel diensten tegenwoordig: dat men veel gebruikers heeft. Liefst betaald, maar niet allemaal betaald is ook prima, als er maar verder nog een business model is. Facebook heeft ads,etc., Cloudflare heeft extra betaalde features. Beide gaat het er om om de userbase uit te breiden, zodat de marktwaarde van het bedrijf stijgt (marktwaarde voor overname of beursgang).
Mozilla heeft een procedure voor organisaties om zich aan te melden.
Dus we zullen zien wat de opties gaan zijn. En of er een detault zal zijn of een random keuze of gewoon helemaal niks zoals in UK. Of dat men wacht tot er een discovery protocol is (daar wordt ook aan gewerkt volgens mij) voor aansluiten op de ISP of lokaal netwerk.
Voor Mozilla (en deels Google) is het doel om security op te schroeven en de DNS van de ISPs in de VS en landen met een minder fijn regime te omzeilen.
Er zijn nog 3 stappen nodig voordat alle browser protocollen er van de buitenkant het zelfde uit zien en geen plaintext meer zichtbaar is: DoH, encrypted SNI, default HTTPS (optioneel: IETF QUIC via UDP als optimalisatie)
Voor Cloudflare is het marketing en extra optimalisatie/security voor hun klanten, uit eindelijke doel is natuurlijk net als een boel diensten tegenwoordig: dat men veel gebruikers heeft. Liefst betaald, maar niet allemaal betaald is ook prima, als er maar verder nog een business model is. Facebook heeft ads,etc., Cloudflare heeft extra betaalde features. Beide gaat het er om om de userbase uit te breiden, zodat de marktwaarde van het bedrijf stijgt (marktwaarde voor overname of beursgang).
Het is wel goed je (nog maar weer eens) te realiseren dat mozilla dus ook maar gewoon een bedrijf is en dat het dus ergens geld vandaan moet halen. Maar z'n producten (firefox en thunderbird) geeft het gratis weg. Hoe zit dat nu?
Ze krijgen onder andere geld van google (ook al heeft dat advertentiebedrijf nu dus een eigen browser). En nu pushen ze "DoH" met als partner cloudflare (webstukmakers par excellence) die overigens ook nogal wat "product" gratis weggeeft. Voor mozilla zal het "business as usual" zijn, maar toch, waar zijn ze nou echt mee bezig?
Het is ook gewoon zo dat de browser"markt" beheerst wordt door een paar grote spelers die allemaal vage agendas voeren, en dus niet noodzakelijkerwijs bezig zijn met wat het beste is voor de eindgebruiker. Terwijl ze dat natuurlijk wel voorspiegelen, want hoe krijg je anders je plannetjes doorgedrukt? Nou dan.
Ze krijgen onder andere geld van google (ook al heeft dat advertentiebedrijf nu dus een eigen browser). En nu pushen ze "DoH" met als partner cloudflare (webstukmakers par excellence) die overigens ook nogal wat "product" gratis weggeeft. Voor mozilla zal het "business as usual" zijn, maar toch, waar zijn ze nou echt mee bezig?
Het is ook gewoon zo dat de browser"markt" beheerst wordt door een paar grote spelers die allemaal vage agendas voeren, en dus niet noodzakelijkerwijs bezig zijn met wat het beste is voor de eindgebruiker. Terwijl ze dat natuurlijk wel voorspiegelen, want hoe krijg je anders je plannetjes doorgedrukt? Nou dan.
Door Anoniem:Bovendien vertrouw ik mijn eigen ISP meer dan Cloudflare.
Ik denk dat dat in NL ook heel logisch is, daarom doet Mozilla het ook eerst alleen in VS 'binnenkort'.
Door Anoniem: Of dat men wacht tot er een discovery protocol is (daar wordt ook aan gewerkt volgens mij) voor aansluiten op de ISP of lokaal netwerk.
Volgens mij heeft Mozilla, juist in tegenstelling tot hoe Chrome dit doet, expliciet gekozen voor géén discovery protocol. Juist omdat dat kwetsbaar is doordat je afhangt van de onveilige verbinding naar je DNS server, in tegen stelling tot dit gewoon standaard aan te zetten (met default server). Ik heb er een hard hoofd in dat ze voor een upgrade mechanisme zouden kiezen als dat beschikbaar is.Ik hoop zelf vooral dat webbrowsers gewoon de OS settings overnemen (eventueel via upgrade mechanisme) en Windows et al. zelf een degelijke DNS server keuze aanbieden. Eventueel in combinatie met een 'trusted resolver' lijstje. Dan bepaalt je netwerk de DNS resolver (via DHCP/RA DNSSL en alleen als die op de vertrouwde lijst staat) of moet je als gebruiker deze eerst accepteren (Trust on first use, en we zijn toch al aan captive portals gewend geraakt). Daarna bouw je gewoon een mooie strict DoT connectie en zal ook de Chrome upgrade veilig zijn.
Toen ik in de jaren negentig met Trumpet Winsock onder Windows 3.1 bezig was, stelde ik de DNS servers van XS4All in, hoewel ik op het (na vele overnames) latere Ziggo zat.
Waarom ik dat deed weet ik eigenlijk niet meer zo goed. Ik was toen sowieso fan van XS4All en zat daar wel een beetje jaloers naar te kijken. Mijn vader wilde dat niet "omdat het een stelletje hacker was".
Op een gegeven moment werkte de DNS van XS4All niet meer voor mij. Maar ik heb geen flauw idee of dat door een firewall rule was van XS4All of door iets anders.
Ik gebruik nu de DNS servers van XS4All met poortbeveiliging niveau 4 (en het malwarefilter), wat poort 53 filtert zodat alleen de DNS servers van XS4All toegestaan zijn. Dit geeft mij wel een veilig gevoel. https://www.xs4all.nl/service/diensten/beveiliging-en-veiligheid/installeren/hoe-zet-ik-poortbeveiliging-aan.htm
Misschien komt XS4All wel met een eigen DoH server. Dat hoop en verwacht ik van wel.
Waarom ik dat deed weet ik eigenlijk niet meer zo goed. Ik was toen sowieso fan van XS4All en zat daar wel een beetje jaloers naar te kijken. Mijn vader wilde dat niet "omdat het een stelletje hacker was".
Op een gegeven moment werkte de DNS van XS4All niet meer voor mij. Maar ik heb geen flauw idee of dat door een firewall rule was van XS4All of door iets anders.
Ik gebruik nu de DNS servers van XS4All met poortbeveiliging niveau 4 (en het malwarefilter), wat poort 53 filtert zodat alleen de DNS servers van XS4All toegestaan zijn. Dit geeft mij wel een veilig gevoel. https://www.xs4all.nl/service/diensten/beveiliging-en-veiligheid/installeren/hoe-zet-ik-poortbeveiliging-aan.htm
Misschien komt XS4All wel met een eigen DoH server. Dat hoop en verwacht ik van wel.
Door Anoniem: Negativiteit voert hier weer de overhand!
dat komt omdat sommige verder kijken. En daarom.zien dat DOH een slechte oplossing is.Door Anoniem: Toen ik in de jaren negentig met Trumpet Winsock onder Windows 3.1 bezig was, stelde ik de DNS servers van XS4All in, hoewel ik op het (na vele overnames) latere Ziggo zat.
Je was zeker niet de enige. XS4ALL had spul dat werkte. Elders was dat veel minder vanzelfsprekend.Op een gegeven moment werkte de DNS van XS4All niet meer voor mij. Maar ik heb geen flauw idee of dat door een firewall rule was van XS4All of door iets anders.
Ze hebben op een gegeven moment hun DNS-resolvers afgeschermd voor vraagverkeer van buitenaf, en dus alleen nog maar beschikbaar gemaakt voor hun eigen klanten.Misschien komt XS4All wel met een eigen DoH server. Dat hoop en verwacht ik van wel.
Wat moet dat voor ze oplossen?Dit is wel de crux: Als je op het netwerk van XS4ALL zit en hun servers vertrouwt dan is het nergens voor nodig om niet de normale DNS-servers op hetzelfde netwerk te gebruiken. En dan is DoH een stuk nodeloze complexiteit. Nog nodelozer complexer dan DoT, wat de betere optie is als je met alle geweld je communicatie met de DNS-servers op hetzelfde netwerk wil versleutelen.
DoH is dan ook een (halfslachtige, technisch jammere) "oplossing" om "je DNS ergens anders te halen" als je op een netwerk zit dat je niet vertrouwt. Maar dat is voor jou niet het geval. Dus waarom hoop je toch op DoH?
Door Anoniem:
Ik hoop zelf vooral dat webbrowsers gewoon de OS settings overnemen (eventueel via upgrade mechanisme) en Windows et al. zelf een degelijke DNS server keuze aanbieden. Eventueel in combinatie met een 'trusted resolver' lijstje. Dan bepaalt je netwerk de DNS resolver (via DHCP/RA DNSSL en alleen als die op de vertrouwde lijst staat) of moet je als gebruiker deze eerst accepteren (Trust on first use, en we zijn toch al aan captive portals gewend geraakt). Daarna bouw je gewoon een mooie strict DoT connectie en zal ook de Chrome upgrade veilig zijn.
Door Anoniem: Of dat men wacht tot er een discovery protocol is (daar wordt ook aan gewerkt volgens mij) voor aansluiten op de ISP of lokaal netwerk.
Volgens mij heeft Mozilla, juist in tegenstelling tot hoe Chrome dit doet, expliciet gekozen voor géén discovery protocol. Juist omdat dat kwetsbaar is doordat je afhangt van de onveilige verbinding naar je DNS server, in tegen stelling tot dit gewoon standaard aan te zetten (met default server). Ik heb er een hard hoofd in dat ze voor een upgrade mechanisme zouden kiezen als dat beschikbaar is.Ik hoop zelf vooral dat webbrowsers gewoon de OS settings overnemen (eventueel via upgrade mechanisme) en Windows et al. zelf een degelijke DNS server keuze aanbieden. Eventueel in combinatie met een 'trusted resolver' lijstje. Dan bepaalt je netwerk de DNS resolver (via DHCP/RA DNSSL en alleen als die op de vertrouwde lijst staat) of moet je als gebruiker deze eerst accepteren (Trust on first use, en we zijn toch al aan captive portals gewend geraakt). Daarna bouw je gewoon een mooie strict DoT connectie en zal ook de Chrome upgrade veilig zijn.
Mozilla heeft meerdere methodes ingebouwd om automatische DoH uit te schakelen, dus ze zijn hoe dan ook kwestbaar in dat opzicht.
Wat ik graag zou willen zien is echte integratie in het OS: je verbind met een wifi netwerk krijgt via DHCP nameservers en de naam van een certificaat van de DNS server komt in beelt te staan: verbonden met: office.eenbedrijf.nl
Door Anoniem: Toen ik in de jaren negentig met Trumpet Winsock onder Windows 3.1 bezig was, stelde ik de DNS servers van XS4All in, hoewel ik op het (na vele overnames) latere Ziggo zat.
Waarom ik dat deed weet ik eigenlijk niet meer zo goed. Ik was toen sowieso fan van XS4All en zat daar wel een beetje jaloers naar te kijken. Mijn vader wilde dat niet "omdat het een stelletje hacker was".
Op een gegeven moment werkte de DNS van XS4All niet meer voor mij. Maar ik heb geen flauw idee of dat door een firewall rule was van XS4All of door iets anders.
Waarom ik dat deed weet ik eigenlijk niet meer zo goed. Ik was toen sowieso fan van XS4All en zat daar wel een beetje jaloers naar te kijken. Mijn vader wilde dat niet "omdat het een stelletje hacker was".
Op een gegeven moment werkte de DNS van XS4All niet meer voor mij. Maar ik heb geen flauw idee of dat door een firewall rule was van XS4All of door iets anders.
Ja, ISPs doen dat niet meer, vanwege misbruik via DDOS attacks via reflection attacks omdat DNS een UDP protocol is.
Dus DNS van de ISP is alleen nog maar toegestaan voor de directe klanten.
Door Anoniem: DoH is dan ook een (halfslachtige, technisch jammere) "oplossing" om "je DNS ergens anders te halen" als je op een netwerk zit dat je niet vertrouwt. Maar dat is voor jou niet het geval. Dus waarom hoop je toch op DoH?
Omdat het nu in Chrome en Firefox zit. En ik maak liever niet gebruik van Cloudflare om mijn domein namen te resolven (dit kunnen ze verkeerd doen, zoals fritz.box of ze kijken mee met wat je doet op internet).
DoH is er, en het is nu te laat om te hopen dat het weer weg gaat. Met over een paar maanden alle browsers die het als default gaan gebruiken.
Als ik internetbankier kijk ik eerst in Firefox of ik geen connectie met Cloudflare ga maken. Zo wantrouwend ben ik er tegenover. Als XS4All zijn eigen DoH heeft (met malwarefilter), kan ik toch nog browsen zonder mij zorgen te hoeven maken dat Cloudflare weet bij welke bank ik zit of dat ze mij naar het verkeerde IP adres sturen door een fout in hun wereldwijde DNS database.
Anoniem 11:49
Het is wel goed je (nog maar weer eens) te realiseren dat mozilla dus ook maar gewoon een bedrijf is en dat het dus ergens geld vandaan moet halen. Maar z'n producten (firefox en thunderbird) geeft het gratis weg. Hoe zit dat nu?
https://fourweekmba.com/how-does-mozilla-make-money/
@Anoniem van 11:49 & 13.16
Dan heb je kennelijk hier niet zo'n vertrouwen in: https://www.cloudflare.com/ssl/encrypted-sni/
Stapje bij stapje gaat de overname van het eens vrije Internet door de grote globale monoploistische spelers verder.
Ze doen het via browser overnames, via vaststellen van protocollen en nu weer via DoH.
Ze doen het niet voor u en uw en mijn veiligheid als het product,.
Ze doen het voor de uitbouw van het eigen verdienmodel en daar profiteren wij binnen Europa
en binnen haar vazalstaat, Nederland, veel te weinig van. Het meeste vloeit terug naar de USA.
Maar wat kun je er tegen uitrichten? De autoriteiten vinden het wel best.
Die het zien hebben er geen invloed op en die er invloed op kunnen hebben kijken er niet naar.
CloudFlare spint daar heel goed garen bij. Zelfs als CloudFlare/ naast Pi-Hole.
En de rest staat gelijkaardig in de markt: Amazon, Alibaba en niet te vergeten Alphabet.
Je kunt ook je telraam weer opzoeken, heb je er geen last meer van.
Geen optie zul je zeggen. Wat zullen ze weer gaan verzinnen als iedereen zowat op een VPN zit?
J.O.
Dan heb je kennelijk hier niet zo'n vertrouwen in: https://www.cloudflare.com/ssl/encrypted-sni/
Stapje bij stapje gaat de overname van het eens vrije Internet door de grote globale monoploistische spelers verder.
Ze doen het via browser overnames, via vaststellen van protocollen en nu weer via DoH.
Ze doen het niet voor u en uw en mijn veiligheid als het product,.
Ze doen het voor de uitbouw van het eigen verdienmodel en daar profiteren wij binnen Europa
en binnen haar vazalstaat, Nederland, veel te weinig van. Het meeste vloeit terug naar de USA.
Maar wat kun je er tegen uitrichten? De autoriteiten vinden het wel best.
Die het zien hebben er geen invloed op en die er invloed op kunnen hebben kijken er niet naar.
CloudFlare spint daar heel goed garen bij. Zelfs als CloudFlare/ naast Pi-Hole.
En de rest staat gelijkaardig in de markt: Amazon, Alibaba en niet te vergeten Alphabet.
Je kunt ook je telraam weer opzoeken, heb je er geen last meer van.
Geen optie zul je zeggen. Wat zullen ze weer gaan verzinnen als iedereen zowat op een VPN zit?
J.O.
Door Anoniem: Omdat het nu in Chrome en Firefox zit. En ik maak liever niet gebruik van Cloudflare om mijn domein namen te resolven (dit kunnen ze verkeerd doen, zoals fritz.box of ze kijken mee met wat je doet op internet).
Dus in plaats van dat je het gewoon uit zet op je computertje thuis, hoop je dat je ISP een hoop werk doet zodat je toch weer hun DNS-servers kunt gebruiken, via een laag nodeloze complexiteit in de vorm van DoH, in plaats van via het uiterst onhandige DoH al je DNS-verkeer naar cloudflare te sluizen. Je redenering klopt gewoon niet.DoH is er, en het is nu te laat om te hopen dat het weer weg gaat. Met over een paar maanden alle browsers die het als default gaan gebruiken.
Dit is van dat fatalistische doemdenken waar dus echt helemaal niemand wat aan heeft.Het is best toegestaan om nieuwe techniek kritisch te bekijken en er eisen aan te stellen. Bijvoorbeeld door een ticket over firefox te openen (en over alle andere browsers die je gebruikt) met de vraag hoe je het weer makkelijk uitzet voor jouw thuissituatie want je hebt het niet nodig en het zit je in de weg. Dat mag dus best gewoon. En liever dat meer mensen dat doen dan minder. Zonder zulke feedback gaan de browsermakers nog harder luchtfietsen dan ze al doen.
Als ik internetbankier kijk ik eerst in Firefox of ik geen connectie met Cloudflare ga maken. Zo wantrouwend ben ik er tegenover.
Je kan overwegen cloudflare te blokkeren. Maargoed ze zijn groot en dus is dat wel even uitzoek- en instelwerk.Als XS4All zijn eigen DoH heeft (met malwarefilter), kan ik toch nog browsen zonder mij zorgen te hoeven maken dat Cloudflare weet bij welke bank ik zit of dat ze mij naar het verkeerde IP adres sturen door een fout in hun wereldwijde DNS database.
Dat kun je dus nu ook al, zonder dat XS4ALL een DoH-server moet optuigen. Door het hele DoH-gebeuren uit te zetten. En dus ook consequent van mozilla te eisen dat je het kan uitzetten.Maar wacht even, cloudflare heeft geen aparte wereldwijde DNS-database. Ze nemen jouw aanvragen aan en "resolven" die dan en dan geven ze je het antwoord terug. Precies wat XS4ALL ook doet, alleen dan zonder een extra laag TLS en HTTP ertussen.
Alleen vertrouw jij cloudflare niet met het doorgeven van die data en XS4ALL wel. Je hebt nog steeds niet uitgelegd waarom je per se wil dat XS4ALL diezelfde DNS-data eerst inpakt in HTTP en TLS voor ze aan jou te geven. Je denkt dus kennelijk "oh, hee, buzzword dus zal het wel goed zijn dus ga ik maar mee." Nouja, helaas is dat dus gewoon even niet zo. DoH is een dom onding, hoe hard mozilla en cloudflare (en eff) het ook pushen. Dus is het veiligste voor jou toch echt om te weigeren je het op te laten dringen.
25-10-2019, 14:59 door
Wim ten Brink
Voor mij zou het een reden zijn om Mozilla aan de kant te schoppen, als ik Firefox gebruikte. De samenwerking met CloudFlare, een grote web host, vind ik nu eenmaal riskant. Dat CloudFlare straks het DNS voor een groot deel van het Internet zou kunnen gaan beheren is al helemaal een beangstigend idee...
Het DNS hoort onderdeel te zijn van een besturingssysteem en browsers zouden daar niet omheen moeten proberen te werken. DoH is een goed idee, maar implementeer het dan ook in Linux, Windows, MacOS en de vele andere OSen.
Want wat is het risico? Heel simpel: de positie van CloudFlare maakt het mogelijk dat ze een man-in-the-middle aanval kunnen uitvoeren op buitenlandse websites. CloudFlare bepaalt dan immers het IP adres van de site die je wilt bezoeken en kunnen dit dan doorverwijzen naar de eigen servers. Dan zitten ze mooi tussen de gebruiker en server in mee te luisteren.
Met Google een vergelijkbaar probleem, alleen heeft Google haar eigen DNS systeem. En Google staat al bekend om nieuwsgierigheid in onze privacy. CloudFlare is voor velen onbekend maar speelt in de achtergrond al een bijna net zo belangrijke rol als Google. Maar mensen zijn voorzichtig met Google, maar niet met CloudFlare.
Voor mij dus een extra reden om geen vertrouwen in Mozilla te hebben...
Het DNS hoort onderdeel te zijn van een besturingssysteem en browsers zouden daar niet omheen moeten proberen te werken. DoH is een goed idee, maar implementeer het dan ook in Linux, Windows, MacOS en de vele andere OSen.
Want wat is het risico? Heel simpel: de positie van CloudFlare maakt het mogelijk dat ze een man-in-the-middle aanval kunnen uitvoeren op buitenlandse websites. CloudFlare bepaalt dan immers het IP adres van de site die je wilt bezoeken en kunnen dit dan doorverwijzen naar de eigen servers. Dan zitten ze mooi tussen de gebruiker en server in mee te luisteren.
Met Google een vergelijkbaar probleem, alleen heeft Google haar eigen DNS systeem. En Google staat al bekend om nieuwsgierigheid in onze privacy. CloudFlare is voor velen onbekend maar speelt in de achtergrond al een bijna net zo belangrijke rol als Google. Maar mensen zijn voorzichtig met Google, maar niet met CloudFlare.
Voor mij dus een extra reden om geen vertrouwen in Mozilla te hebben...
Vraag je steeds van alles af.
Iedereen, die je dit voorschotelt, heeft een specifieke agenda,
en in de meeste gevallen is dat niet een positieve agenda voor jou.
J.O.
Iedereen, die je dit voorschotelt, heeft een specifieke agenda,
en in de meeste gevallen is dat niet een positieve agenda voor jou.
J.O.
Door Anoniem:
Je bedoeld dus hun eigen onderbuik, zelfbenoemde specialisten!Door Anoniem: Negativiteit voert hier weer de overhand!
dat komt omdat sommige verder kijken. En daarom.zien dat DOH een slechte oplossing is.Door Anoniem: Vraag je steeds van alles af.
Iedereen, die je dit voorschotelt, heeft een specifieke agenda,
en in de meeste gevallen is dat niet een positieve agenda voor jou.
J.O.
Maakt niets uit, het wordt door sommigen toch niet vertrouwd, de " beroeps " zwartkijkers.Iedereen, die je dit voorschotelt, heeft een specifieke agenda,
en in de meeste gevallen is dat niet een positieve agenda voor jou.
J.O.
Door Anoniem: Je hebt nog steeds niet uitgelegd waarom je per se wil dat XS4ALL diezelfde DNS-data eerst inpakt in HTTP en TLS voor ze aan jou te geven. Je denkt dus kennelijk "oh, hee, buzzword dus zal het wel goed zijn dus ga ik maar mee." Nouja, helaas is dat dus gewoon even niet zo.
Waarom gebruikt iedereen OOXML en niet ODF?
OOXML is een slechte standaard, maar het is ook de standaard voor Office.
Als zelfs de EFF voor DoH is, dan geef ik het toch wel op. Ik wil ook OOXML gebruiken zodat iedereen mijn teksten kan lezen. Ik wil ook DoH gebruiken, maar niet van een Amerikaans bedrijf dat mee moet werken met de NSA en daar niets over mag zeggen.
Onderbuik- of geen onderbuikspek, die NSA gag order kan wel eens in de weg zitten.
Kijk maar eens hoe slecht Assange er laatstelijk uitziet bij het jaren 50 showproces in het VK.
Net als tijdens de showprocessen na de aanslag in de Hitlerbunker: "Du Lumpf"-Geschrei.
Maar eigenlijk wel "och & veh" van de macht.
Het journaille zal echt verder geen info willen publiceren, die men nog even niet wil zien.
Ze protesteren in Rotjeknor niet voor niets tegen de persbreidel daar.
Behalve als je Marek Zuck heet, dan mag je wel weer ietsjes meer.
Drudge report opgekocht, ze publiceren ineens 180 graden gedraaid nieuws.
En niet alleen voor die beruchte beroeps/zwartkijkers rond Halloween.
Goede week,
#sockpuppet
Kijk maar eens hoe slecht Assange er laatstelijk uitziet bij het jaren 50 showproces in het VK.
Net als tijdens de showprocessen na de aanslag in de Hitlerbunker: "Du Lumpf"-Geschrei.
Maar eigenlijk wel "och & veh" van de macht.
Het journaille zal echt verder geen info willen publiceren, die men nog even niet wil zien.
Ze protesteren in Rotjeknor niet voor niets tegen de persbreidel daar.
Behalve als je Marek Zuck heet, dan mag je wel weer ietsjes meer.
Drudge report opgekocht, ze publiceren ineens 180 graden gedraaid nieuws.
En niet alleen voor die beruchte beroeps/zwartkijkers rond Halloween.
Goede week,
#sockpuppet
Door Anoniem: Waarom gebruikt iedereen OOXML en niet ODF?
OOXML is een slechte standaard, maar het is ook de standaard voor Office.
Omdat niemand kiest voor een standaardformaat, maar ze gezellig zitten knutselen en prutsen met de standaard, "office". OOXML is een slechte standaard, maar het is ook de standaard voor Office.
Dat kan extreem ver gaan. Tot op het punt dat er blind wordt aangenomen dat alle computers in de wereld dus wel windows zullen draaien en dat dus "office" een vereiste vaardigheid is voor iedereen die ook maar iets met computers doet. Ook al gebruikt het hele bedrijf inclusief de persoon in kwestie eigenlijk linux en libreoffice voor de kantoorwerkzaamheden. Gewoon geen benul. Komt voor.
En dat "office" dat poept tegenwoordig standaard OOXML. Of eigenlijk, de microsoft-interpretatie die dan net weer een beetje afwijkt van de standaard zoals uiteindelijk geratificeerd. Na grof door allerlij sluiproutes te zijn geramd, maar dit terzijde. Dus er is geen standaard-implementatie van de standaard. Poepte "office" geen OOXML dat niet dan poepte het nog de vorige formaten die helemaal niet gestandaardiseerd zijn en ook al niet compatible met zichzelf over de verschillende versies.
Maar dat is dus geen bewuste keuze van de gebruikers. Ze gebruiken wat ze voor hun snufferd hebben en gaan miepen als iets niet werkt, zonder zelf erg veel benul te hebben van waar ze nou helemaal mee bezig zijn.
Het kan ook best anders. Ik heb een tijdje op een website-shop gewerkt waar zelfs de in-house webdesigner wist dat je "docx" zoveel mogelijk moest mijden en dat "doc" een beter alternatief was omdat daar veel makkelijker mee te werken was. Ook omdat het hele kantoor openoffice gebruikte. En met die handleiding ging dat ook prima. Nu heb je als website-shop heel erg veel te maken met data-uitwisseling dus wordt je daar als werkvloer ook wel redelijk handig in. Dus dan wordt er wat minder krampachtig mee omgegaan; er is genoeg kennis en durf om toch wat te proberen en niet gelijk alle speeltjes uit de wagen te gooien.
Als zelfs de EFF voor DoH is, dan geef ik het toch wel op.
Ga maar vast met je kont in de lucht dan. Met je gezicht richting San Francisco.Ik wil ook OOXML gebruiken zodat iedereen mijn teksten kan lezen.
Dit is geen OOXML en toch kan ik het lezen.Ik wil ook DoH gebruiken,
Zonder dat het zin heeft. Je gaat dus inderdaad keihard voor de buzzword-waarde en niet voor de inhoud. Dat is je uitleg. maar niet van een Amerikaans bedrijf dat mee moet werken met de NSA en daar niets over mag zeggen.
Terwijl de grote DoH-push dus moet beschermen tegen andere Amerikaanse bedrijven. Die ook mee moeten werken met de NSA (of willekeurig welk ander drieletteragentuur) en daar niets over mogen zeggen.Maargoed, je wil dus graag jezelf beschermen tegen XS4ALL middels DoH en daarom wil je dat XS4ALL voor jou een DoH-server optuigt. Waar XS4ALL precies dezelfde datastroom te zien krijgt die ze anders op hun DNS-servers te zien hadden gekregen. Helemaal duidelijk.
Door Anoniem: Het is wel goed je (nog maar weer eens) te realiseren dat mozilla dus ook maar gewoon een bedrijf is en dat het dus ergens geld vandaan moet halen.
De organisatie die de Mozilla Corporation omvat is geen gewoon bedrijf, maar een Amerikaanse 501(c)(3)e foundation, te weten de Mozilla Foundation. Een rechtspersoon die vergelijken met een Nederlandse stichting. Dus een organisatie zonder winstoogmerk, die er voor de ontwikkeling van hun producten een soort van onder-BV op nahoud. De donaties en de verkregen winsten uit de bedrijfsvoering van de corporation komen ten goede van die foundation.
"The Mozilla Foundation (stylized as moz://a) is a not-for-profit organization that exists to support and collectively lead the open source Mozilla project."
https://en.wikipedia.org/wiki/Mozilla_Foundation
Tijd voor wat exploratie hier: https://alf.nu/DNS en https://c-cloudflare-com.4i.am/:dump bla-di-bla
Benieuwd waar de fuzzers mee op de proppen gaan komen? Challenge on security dot nl.
Altijd verrrassend met die code snippets,
"alert(1)"string bijvoorbeeld.
"A curious code-mind is a joy forever", friends, bedenk dat wel.
#sockpuppet
Benieuwd waar de fuzzers mee op de proppen gaan komen? Challenge on security dot nl.
Altijd verrrassend met die code snippets,
<!----!>
, doet iets in Firefox, maar niet in Chrome."alert(1)"string bijvoorbeeld.
"A curious code-mind is a joy forever", friends, bedenk dat wel.
#sockpuppet
Door Anoniem:
De organisatie die de Mozilla Corporation omvat is geen gewoon bedrijf, maar een Amerikaanse 501(c)(3)e foundation, te weten de Mozilla Foundation. Een rechtspersoon die vergelijken met een Nederlandse stichting. Dus een organisatie zonder winstoogmerk, …
Door Anoniem: Het is wel goed je (nog maar weer eens) te realiseren dat mozilla dus ook maar gewoon een bedrijf is en dat het dus ergens geld vandaan moet halen.
De organisatie die de Mozilla Corporation omvat is geen gewoon bedrijf, maar een Amerikaanse 501(c)(3)e foundation, te weten de Mozilla Foundation. Een rechtspersoon die vergelijken met een Nederlandse stichting. Dus een organisatie zonder winstoogmerk, …
Je hebt de essentie van de vraag niet begrepen. Dat het een bedrijf of stichting is, is minder relevant. Waar het om gaat is dat beide geld moeten binnenhalen voor hun voortbestaan.
Stichtingen zullen ook commerciële activiteiten moeten ontplooien als ze niet genoeg aan donaties krijgen. (Denk aan schaatsverenigingen die betalende toertochten organiseren voor niet-leden). Geld ontvangen van cloudflare voor het doorsturen zou daar ook bij kunnen horen. Iets wat naar eigen zeggen dus niet gebeurd.
Verder zal een "organisatie zonder winstoogmerk", ook gewoon winst maken als ze meer inkomsten hebben dan uitgaven. Ze mogen het alleen niet als winst uitkeren. Maar ze kunnen een eventuele winst wel 'uitkeren' in de vorm van hoger salaris aan bestuursleden of goederen inkopen tegen verhoogde prijzen bij bevriende ondernemers.
Door Anoniem: @Anoniem van 11:49 & 13.16
Dan heb je kennelijk hier niet zo'n vertrouwen in: https://www.cloudflare.com/ssl/encrypted-sni/
Dan heb je kennelijk hier niet zo'n vertrouwen in: https://www.cloudflare.com/ssl/encrypted-sni/
(ik ben Anoniem van 11:05 gisteren)
Even voor de duidelijkheid, ik hoop dat je niet denkt dat het protocol zelf het probleem is. Het protocol is ook echt bedoeld om een privacy probleem op te lossen.
En het werkt ook prima zonder centralisatie via cloudflare of welke andere organizatie dan ook.
Als jij in de settings instelt in Firefox: gebruik 'mijn eigen server' of die van XS4ALL of wie dan ook, dan werkt dat.
26-10-2019, 22:23 door
johanw
Door Anoniem:Bovendien vertrouw ik mijn eigen ISP meer dan Cloudflare.
In Nederland kan dat misschien wel, maar in de USA is verkopen internet providers massaal dat soort gegevens door aan reclameboeren. En in andere landen wordt er censuur mee geimplementeerd, bv. Engeland.
26-10-2019, 22:27 door
johanw
Door Anoniem:
Dat zijn vooral mensen die anderen willen censureren: systeembeheerders van bedrijven, moraalridders die porno willen uitbannen; danwel aan anderen willen verdienen door hun DNS queries in te zetten voor reclamedoeleinden.Door Anoniem: Negativiteit voert hier weer de overhand!
dat komt omdat sommige verder kijken. En daarom.zien dat DOH een slechte oplossing is.Door johanw:
Door Anoniem:Bovendien vertrouw ik mijn eigen ISP meer dan Cloudflare.
In Nederland kan dat misschien wel, maar in de USA is verkopen internet providers massaal dat soort gegevens door aan reclameboeren. En in andere landen wordt er censuur mee geimplementeerd, bv. Engeland.En vervangen reclame in webpagina's. :-)
(nu niet zoveel meer met HTTPS, maar in het verlden wel)
Door johanw:
Over één kam scheren is ook een kunst.Door Anoniem:
Dat zijn vooral mensen die anderen willen censureren: systeembeheerders van bedrijven, moraalridders die porno willen uitbannen; danwel aan anderen willen verdienen door hun DNS queries in te zetten voor reclamedoeleinden.Door Anoniem: Negativiteit voert hier weer de overhand!
dat komt omdat sommige verder kijken. En daarom.zien dat DOH een slechte oplossing is.Nee, van de mensen die zien dat DoH het verkeerde ding en/of op de verkeerde manier gedaan is, passen er best veel niet in jouw makkelijke hokjes. En nee, dat is niet eens een kwestie van nog een paar meer makkelijke hokjes erbijverzinnen.
Zo ben ik tegen censuur, ook als het om porno gaat, ben ik geen marketeer en is mijn naam ook al niet Mordak. Maar nog steeds denk ik dat DoH een dom gedrocht van een protocol is, dat op verkeerde wijze het verkeerde probleem probeert aan te pakken. En daarbij nogal wat steekjes laat vallen, zoals "oeps perongeluk" heel de "verbeterde" DNS-resolving even bij cloudflare te centraliseren. "Oh ja daar werken we nog aan hoor." Ja nee natuurlijk.
Dit verhaal is gewoon niet houdbaar. Een product der incompetentie.
Waar de hele web-bedoening bol van staat, daar niet van. En ja, dat is een hele brede kam. Maar niet onterecht gezien de welbekende makkes in en met http, ssl, html, xml, soap, json, w3c in het algemeen en als trekpop van whatwg in het bijzonder, zelfs de keuze om http over tcp te laten lopen, de gewoonte "alles behalve poort 80" (of nu, 443) dicht te zetten "uit veiligheidsoverwegingen", net als "al die enge icmp weigeren", javascript, php, zelfs css, en nog een hele trits meer.
Allemaal vast met de beste bedoelingen opgezet, maar nogal wat zonder voldoende inzicht in de materie. Soms vergeefbaar, soms hadden ze gewoon beter moeten weten. Maargoed, waar ondanks dat best heldere mensen er hard aan getrokken hebben, ook in TCP/IP wat rare weeffoutjes blijken te zitten (Briscoe paper, directed broadcast, daarna nog steeds twee IPadressen per subnet vergooien, ...), is het natuurlijk niet gek dat als een hoop enthousiaste mindere goden lekker gaan knutselen dat er dan regelmatig abjecte onzin geproduceerd wordt. Dus het is niet raar.
Maar dat maakt "DoH" nog niet tot een goed idee. En dat mag best gezegd worden, liefst inhoudelijk beargumenteerd.
Van jou had ik graag wat minder ad hominem en wat meer inhoudelijk argument gezien waarom jij denkt dat het toch een goed idee is, ondanks of mischien zelfs juist dankzij dat het zo'n gedrocht van een protocol is dat zo onhandig de markt in geduwd wordt.
Dus, leef je uit. Maar op de zaak, niet op de man graag.
Door Anoniem (10:54):
Bovendien vertrouw ik mijn eigen ISP meer dan Cloudflare.
Oh echt? Vertrouwen in een organisatie die criminelen doet helpen om niet gepakt te kunnen worden en ons onderzoekers en anti-virus bedrijven niet eens helpt onder het mom van "privacy en beveiliging", hallo?? Heb het hier over creditcard dieven, fraudeurs, ransomware, banking bots, phishers en c&c servers.Volgens Mozilla krijgt het hier niet voor betaald en heeft het beleid opgesteld dat het te gelde maken van DoH-verkeer verbiedt.
Dat vind ik wat te zwakjes. Veel te veel loopholes om alsnog iets met die informatie te gaan doen. Dan wordt er wellicht niet betaald voor die informatie maar voor een dienst die gebruik maakt van die informatie om iets anders mogelijk te maken.Bovendien vertrouw ik mijn eigen ISP meer dan Cloudflare.
Wie is dan nu de crimineel, vertel het mij??
Zoe het zelf maar eens op, het is geen onzin. Genoeg bedrijven hebben hun klacht hierover ingediend (Cloudflare doet nog steeds niets met abuse reports!!). Bovendien heeft Cloudflare ook je HTTPS certificaten dus oké zei kunnen zo goed als alles uitlezen alsof het plain text is, wat ook nodig is anders kan de WAF/IDS geen inspectie doen.. Denk er eens over na, wie vertrouw je nu?
Cloudflare vertrouw ik al geen jaren meer, ze gaan trouwens ook heel erg zwaar irritant met Tor gebruikers om die wel privacy verdienen. Nee gooi ze maar 10x een captcha naar de kop toe. Als een website op CF zit, en er zijn problemen of ik moet javascript toestaan gaat hij meteen op de banlist.. Zo simpel.
#SockPuppet
Door Anoniem: Onderbuik- of geen onderbuikspek, die NSA gag order kan wel eens in de weg zitten.
Kijk maar eens hoe slecht Assange er laatstelijk uitziet bij het jaren 50 showproces in het VK.
Net als tijdens de showprocessen na de aanslag in de Hitlerbunker: "Du Lumpf"-Geschrei.
Maar eigenlijk wel "och & veh" van de macht.
Het journaille zal echt verder geen info willen publiceren, die men nog even niet wil zien.
Ze protesteren in Rotjeknor niet voor niets tegen de persbreidel daar.
Behalve als je Marek Zuck heet, dan mag je wel weer ietsjes meer.
Drudge report opgekocht, ze publiceren ineens 180 graden gedraaid nieuws.
En niet alleen voor die beruchte beroeps/zwartkijkers rond Halloween.
Goede week,
#sockpuppet
Hij zag er beter uit, dan toen hij uit de ambassade gehaald werdt!Kijk maar eens hoe slecht Assange er laatstelijk uitziet bij het jaren 50 showproces in het VK.
Net als tijdens de showprocessen na de aanslag in de Hitlerbunker: "Du Lumpf"-Geschrei.
Maar eigenlijk wel "och & veh" van de macht.
Het journaille zal echt verder geen info willen publiceren, die men nog even niet wil zien.
Ze protesteren in Rotjeknor niet voor niets tegen de persbreidel daar.
Behalve als je Marek Zuck heet, dan mag je wel weer ietsjes meer.
Drudge report opgekocht, ze publiceren ineens 180 graden gedraaid nieuws.
En niet alleen voor die beruchte beroeps/zwartkijkers rond Halloween.
Goede week,
#sockpuppet
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
