image

Mozilla: providers zaaien verwarring over DNS over HTTPs

dinsdag 5 november 2019, 11:50 door Redactie, 23 reacties

Amerikaanse internet- en telecomproviders zaaien verwarring over DNS over HTTPs (DoH) om zo aan het internetgedrag van hun klanten te kunnen blijven verdienen, zo claimt Mozilla in een brief aan het Amerikaanse Huis van Afgevaardigden. De browserontwikkelaar roept op tot onderzoek van het Amerikaanse Congres naar de werkwijze van internetproviders en hoe die data van hun klanten verzamelen en verzilveren.

DNS over HTTPs versleutelt dns-verzoeken van internetgebruikers, zodat die niet meer zijn in te zien of aan te passen. Deze verzoeken bevatten namelijk informatie over de gebruiker en de website die hij opvraagt. Mozilla noemt het gebruik van DoH een belangrijke maatregel om de privacy en security van gebruikers te beschermen. Er wordt daarbij gewezen naar Amerikaanse providers die gegevens van hun klanten verkopen, dns manipuleren om advertenties te injecteren en browsegedrag verzamelen om gerichte advertenties te tonen.

Een grootschalige uitrol van DoH zou inhouden dat providers de dns-verzoeken van hun klanten niet meer kunnen inzien en aanpassen. Onlangs stuurden lobbygroepen van grote Amerikaanse telecomproviders een brief naar het Amerikaanse Congres waarin werd gesteld dat DoH grote invloed op belangrijke internetfuncties en datacompetitie kan hebben (pdf). "De brief bevat een aantal feitelijke onjuistheden", aldus Mozilla, dat vervolgens verwijst naar een artikel van Ars Technica.

De Firefox-ontwikkelaar stelt dat providers hun positie willen behouden waarbij ze gegevens van gebruikers kunnen verzamelen en verzilveren. Sinds 2017 hoeven Amerikaanse internetproviders geen nadrukkelijke toestemming meer te krijgen voor het gebruiken en delen van klantgegevens. DoH moet dit hiaat in de Amerikaanse wetgeving oplossen, zo staat in de brief waar Ars Technica en Vice Magazine over berichten.

Afsluitend laat Mozilla weten dat beleidsmakers er verstandig aan doen om informatie over de werkwijze van internetproviders te verzamelen, aangezien dit voor "waardevolle inzichten" kan zorgen die bij de besprekingen over het onderwerp van pas komen.

Reacties (23)
05-11-2019, 11:55 door Anoniem
Ik wil helemaal geen DoH, dan ik ik nl. zelf geen controle meer over mijn eigen interne name resolving die anders kan zijn als de externe name resolving binnen een netwerk.
05-11-2019, 12:07 door Anoniem
Door Anoniem: Ik wil helemaal geen DoH, dan ik ik nl. zelf geen controle meer over mijn eigen interne name resolving die anders kan zijn als de externe name resolving binnen een netwerk.
Ook een slachtoffer van de gezaaide verwarrende onjuistheden zo te zien.
05-11-2019, 12:12 door MathFox - Bijgewerkt: 05-11-2019, 12:12
Door Anoniem: Ik wil helemaal geen DoH, dan ik ik nl. zelf geen controle meer over mijn eigen interne name resolving die anders kan zijn als de externe name resolving binnen een netwerk.
DoH is (in de browser) een optie. Als jij jouw DNS server (en het netwerkpad naar die server) kunt vertrouwen heb je geen reden om DoH te gebruiken.
Aan de andere kant, DoH is voor een gebruiker een manier om voorbij een router te komen die zijn DNS-verzoeken verklooit. Je hebt (dankzij TLS certificaten) een garantie dat je met de door jouw gekozen DoH server praat en dat ook niet met het antwoord geknoeid is.
05-11-2019, 12:32 door Anoniem
Wel tof he jij betaalt dik voor jouw internet televisie telefonie
Wordt nog alles verzilverd en doorverkocht.
Mocht dit zijn enkel voor marketing doeleinden zou ik zeggen geef mensen een optie.
25 % korting op je pakket als je ermee akkoord gaat dat jouw data wordt geanalyseerd en verhandeld.
Moet je ze wel vertrouwen op hun woord.
Maar dat gaat niet gebeuren
The big goal is surveillance niet datamining.
Dat is ook het storende anno 2019
Everything privacy related wordt compleet overboord gegooid.
05-11-2019, 12:45 door Anoniem
Een nadeel van DOH is dat je hostfile niet meer werkt en alles wat ik geblokkeerd heb erin (fakebook, twitter en nog meer van die zooi) er gewoon alsnog doorheenkomt.
Dan maar even geen DOH en daarbij komt nog bij dat je de Cloudflare servers ervoor moet gebruiken en laat maar zitten want Cloudflare heeft net zo'n imago als Google en Fakebook, datagraaiers en verzamelaars en proberen de controle terug te krijgen over wat jij en ik mogen zien op Internet.
05-11-2019, 12:56 door Anoniem
Door MathFox:
Door Anoniem: Ik wil helemaal geen DoH, dan ik ik nl. zelf geen controle meer over mijn eigen interne name resolving die anders kan zijn als de externe name resolving binnen een netwerk.
DoH is (in de browser) een optie. Als jij jouw DNS server (en het netwerkpad naar die server) kunt vertrouwen heb je geen reden om DoH te gebruiken.
Aan de andere kant, DoH is voor een gebruiker een manier om voorbij een router te komen die zijn DNS-verzoeken verklooit. Je hebt (dankzij TLS certificaten) een garantie dat je met de door jouw gekozen DoH server praat en dat ook niet met het antwoord geknoeid is.
DoH is een browser optie, waarmee er dus een verschil ontstaat tussen de resolving vanuit de command prompt, een veel gebruikt middel om connectiviteits issues te troubleshooten, en de resolving van een browser. In een huis tuin en keuken omgeving hoeft dat geen probleem te zijn, in een enterprise omgeving is het dat wel. Daar horen clients hun info gewoon van de domain controllers te halen en die van hun upstream services. Kunnen AD controllers al via DoH de requests doen naar het internet? Nee he?

Bovendien, als browsers zelf hun DNS zouden resolven dan wordt de corporate proxy ook niet gebruikt. En maar huilen als de content filtering niet aanslaat in een bedrijfs omgeving op het openen van sites die de code of conduct niet toestaat. DoH in enterprise omgevingen stelt daarmee alle DLP en Content filtering oplossingen ter discussie. Daarmee is het vanuit een security oogpunt gewoon een bizar concept. Dat heeft niets te maken met dit statement.

Als er al partijen zijn waarvan ik niet zou willen dat die mij volgen met wat ik prive op mijn thuis computertje doe zijn dat bij uitstek datamining clubs als Cloudflare en Google... Laat je raden wie de eerste aanbieders van DoH zijn... Als het gaat om privacy, is DoH een naarder middel dan de kwaal die het claimed te verhelpen.
05-11-2019, 14:07 door Anoniem
Als het gaat om privacy, is DoH een naarder middel dan de kwaal die het claimed te verhelpen. Period.
05-11-2019, 14:13 door Anoniem
Wat ik dan vreemd vind is waarom Mozilla zich zo achter DOH schaart als de technologie een enorme inbreuk op de privacy veroorzaakt. Je zou toch denken dat Mozilla er alles aan gelegen zou moeten zijn om hun browser zo privacy vriendelijk te laten werken. Maar zaken doen met Cloudflare wijst niet op dat Mozilla onze privacy hoog in het vaandel heeft staan.
Bedrijfstechnisch is het iets dat meteen de nek moet worden omgedraaid want je wilt op geen enkele wijze dat de content filtering kan worden omzeilt.
05-11-2019, 14:36 door MathFox
Door Anoniem:DoH is een browser optie, waarmee er dus een verschil ontstaat tussen de resolving vanuit de command prompt, een veel gebruikt middel om connectiviteits issues te troubleshooten, en de resolving van een browser. In een huis tuin en keuken omgeving hoeft dat geen probleem te zijn, in een enterprise omgeving is het dat wel.

Bovendien, als browsers zelf hun DNS zouden resolven dan wordt de corporate proxy ook niet gebruikt. En maar huilen als de content filtering niet aanslaat in een bedrijfs omgeving op het openen van sites die de code of conduct niet toestaat. DoH in enterprise omgevingen stelt daarmee alle DLP en Content filtering oplossingen ter discussie.
Kun jij als "enterprise" systeembeheerder jouw gebruikers ervan overtuigen dat ze een goede (betere) internetervaring hebben als ze gebruik maken van de bedrijfs-DNS en proxy? Of belemmert de proxy het efficiënte werken van de medewerkers? (Op stackoverflow staan heel nuttige programmeertips, laat jouw proxy die door?)

Als er al partijen zijn waarvan ik niet zou willen dat die mij volgen met wat ik prive op mijn thuis computertje doe zijn dat bij uitstek datamining clubs als Cloudflare en Google... Laat je raden wie de eerste aanbieders van DoH zijn... Als het gaat om privacy, is DoH een naarder middel dan de kwaal die het claimed te verhelpen.
Ik laat Xs4all gewoon mijn thuis-DNS doen. Maar de grote ISP's in de VS hebben laten zien dat ze niet te vertrouwen zijn. Laat Cloudflare maar eens demonstreren dat ze wel betrouwbaar DNS resolven.
05-11-2019, 15:21 door MathFox
Door Anoniem: Als het gaat om privacy, is DoH een naarder middel dan de kwaal die het claimed te verhelpen. Period.
Waarom?
05-11-2019, 15:26 door Anoniem
Volgens mij is DoH als protocol op zichzelf niet verkeerd, met de implementatie door Mozilla heb ik meer moeite:
1) Standaard gaan de requests naar door hun bepaalde DoH services en moet je moeite doen om dat niet te laten gebeuren
2) Het principe dat een applicatie op eigen houtje gaat lopen resolven ipv. de reguliere manier via het OS gebruikt vind ik fout. Laat ze liever tijd steken in een DoH client op OS niveau.
05-11-2019, 15:41 door Anoniem
Door Anoniem: Wat ik dan vreemd vind is waarom Mozilla zich zo achter DOH schaart als de technologie een enorme inbreuk op de privacy veroorzaakt. Je zou toch denken dat Mozilla er alles aan gelegen zou moeten zijn om hun browser zo privacy vriendelijk te laten werken. Maar zaken doen met Cloudflare wijst niet op dat Mozilla onze privacy hoog in het vaandel heeft staan.
Bedrijfstechnisch is het iets dat meteen de nek moet worden omgedraaid want je wilt op geen enkele wijze dat de content filtering kan worden omzeilt.

Mozilla wordt in deze de data miner.
Dit is ook de reden dan Google dit aan gaat bieden. Voor advertentieplatform van Google is het weer een plusje voor het google monopolie...
05-11-2019, 16:14 door Briolet
Door Anoniem: 2) Het principe dat een applicatie op eigen houtje gaat lopen resolven ipv. de reguliere manier via het OS gebruikt vind ik fout. Laat ze liever tijd steken in een DoH client op OS niveau.

Die is er al een tijdje in de form van DNSCrypt (https://www.dnscrypt.org). Deze ondersteunt tegenwoordig ook DoH.

Ik heb het jaren tot volle tevredenheid gebruikt. Maar momenteel wordt de Mac versie niet meer geupdate. De windowsversie lijkt me wel up-to-date.
05-11-2019, 16:51 door Anoniem
Als wat die Amerikaanse providers er aan verdienen met hun MiM tricks & manipulatie,
gaat vervolgens nu naar de CloudFlare en Google boys, de grootste cloudboeren op de planeet.

Dat kan ook niet de bedoeling zijn. Maar dat is monopolisme voor u.
Alleen een paar grote haaien, die tijdens hun zwemmen alle kleinere vissen opvreten.
Het surveillance kapitalisme in optima forma en ten voeten uit.

Big Tech giganten hebben meer geld dan menige staat en continent.
Ze doen niet aan zelfregulering en wie zou ze nu nog enigszins kunnen reguleren en/of
intomen in hun aspiraties om digitaal te heersen op aarde?

Jouw privacy is als die in de wind rollende bal hooi in de openingsscene van een spaghetti Western,
met daaronder spelend de bekende film-intro-muziek van de Italiaan, M.M.
The Good, the Bad & the Ugly, weet u nog?

Doei,

J.O.
05-11-2019, 17:20 door Anoniem
Door Anoniem: Een nadeel van DOH is dat je hostfile niet meer werkt en alles wat ik geblokkeerd heb erin (fakebook, twitter en nog meer van die zooi) er gewoon alsnog doorheenkomt.
Dan maar even geen DOH en daarbij komt nog bij dat je de Cloudflare servers ervoor moet gebruiken en laat maar zitten want Cloudflare heeft net zo'n imago als Google en Fakebook, datagraaiers en verzamelaars en proberen de controle terug te krijgen over wat jij en ik mogen zien op Internet.

De mensen die dat willen kunnen lokaal Unbound installer bijvoorbeeld.
05-11-2019, 17:25 door Anoniem
Heeft een van jullie al eens gekeken wat DOH doet bij Mozilla?

Het verzorgt voor de DNS-request uit de browser een veilige verbinding (https) naar een door jouw gespecificeerde DNS-server (die dit protocol ondersteunt).
Hiermee voorkom je dat een man-in-the-middle de huidige onversleutelde dns-request beantwoord en je leidt naar een site die door hem zal zijn gemanipuleerd.

Dus voor de rest van de applicaties wordt de normale dns-system-setting gehanteerd.

Wat je verder vindt van datagraaien, dat geldt voor alle DNS-servers/providers vermoedelijk in meer of mindere mate.
05-11-2019, 17:47 door Anoniem
Door Anoniem:
Door Anoniem: Wat ik dan vreemd vind is waarom Mozilla zich zo achter DOH schaart als de technologie een enorme inbreuk op de privacy veroorzaakt. Je zou toch denken dat Mozilla er alles aan gelegen zou moeten zijn om hun browser zo privacy vriendelijk te laten werken. Maar zaken doen met Cloudflare wijst niet op dat Mozilla onze privacy hoog in het vaandel heeft staan.
Bedrijfstechnisch is het iets dat meteen de nek moet worden omgedraaid want je wilt op geen enkele wijze dat de content filtering kan worden omzeilt.

Mozilla wordt in deze de data miner.
Dit is ook de reden dan Google dit aan gaat bieden. Voor advertentieplatform van Google is het weer een plusje voor het google monopolie...

Mozilla verzameld geen data met DOH, als je dat denkt snap je niks van dit verhaal
05-11-2019, 19:24 door Anoniem
Door Briolet:
Door Anoniem: 2) Het principe dat een applicatie op eigen houtje gaat lopen resolven ipv. de reguliere manier via het OS gebruikt vind ik fout. Laat ze liever tijd steken in een DoH client op OS niveau.

Die is er al een tijdje in de form van DNSCrypt (https://www.dnscrypt.org). Deze ondersteunt tegenwoordig ook DoH.

Ik heb het jaren tot volle tevredenheid gebruikt. Maar momenteel wordt de Mac versie niet meer geupdate. De windowsversie lijkt me wel up-to-date.
Hier dezelfde anoniem weer. Die website doet het nu even niet, maar voor zover ik weet is dat een soort proxy die reguliere DNS requests oppakt en vervolgens via DNSCrypt/DoH uitstuurt. Wat ik bedoel met een client op OS niveau is eentje die (in het geval van linux) via nsswitch.conf en/of resolv.conf te configureren is.
05-11-2019, 21:13 door Anoniem
Gebruik bij mij DoH en uw produkt vliegt BUITEN. Zo simpel is't - ik ben altijd overal de baas, ik betaal, ik beslis.
05-11-2019, 21:30 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Wat ik dan vreemd vind is waarom Mozilla zich zo achter DOH schaart als de technologie een enorme inbreuk op de privacy veroorzaakt. Je zou toch denken dat Mozilla er alles aan gelegen zou moeten zijn om hun browser zo privacy vriendelijk te laten werken. Maar zaken doen met Cloudflare wijst niet op dat Mozilla onze privacy hoog in het vaandel heeft staan.
Bedrijfstechnisch is het iets dat meteen de nek moet worden omgedraaid want je wilt op geen enkele wijze dat de content filtering kan worden omzeilt.

Mozilla wordt in deze de data miner.
Dit is ook de reden dan Google dit aan gaat bieden. Voor advertentieplatform van Google is het weer een plusje voor het google monopolie...

Mozilla verzameld geen data met DOH, als je dat denkt snap je niks van dit verhaal

Nee dat hebben ze uitbesteed aan Cloudflare. En ze zeggen dat ze er geen geld voor krijgen. Zeggen.
Maar Cloudflare doet dit echt niet voor de grap.
06-11-2019, 14:30 door Anoniem
Mozilla is volledig de weg kwijt er zou er goed aan doen om zichzelf eens achter een oor te krabben en te bedenken wat nu eigenlijk de functie van een browser is.

Elke release komt er weer nieuwe onzin bij die niet in een browser hoort te zitten.
06-11-2019, 16:42 door Anoniem
Vorige week nog op een beurs een lezing over gehad van powerdns:
https://blog.powerdns.com/2019/09/25/centralised-doh-is-bad-for-privacy-in-2019-and-beyond/
Van de regen in de drup zo te zien wat betreft privacy en netwerkbeheer
06-11-2019, 21:10 door Anoniem
Mozilla moet een browser programmeren voor de rest niets anders.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.