image

Eerste internetprovider schaart zich achter Firefox DNS over HTTPS

donderdag 25 juni 2020, 17:17 door Redactie, 17 reacties

Mozilla heeft de eerste internetprovider gevonden die de dns-verzoeken van Firefoxgebruikers standaard gaat versleutelen. Het is de Amerikaanse internetprovider Comcast, zo heeft de browserontwikkelaar vandaag bekendgemaakt.

Dns-verzoeken zijn normaal onversleuteld. Hierdoor kan informatie over de gebruiker lekken en is het mogelijk voor kwaadwillenden om dns-verkeer in te zien of te veranderen. DNS over HTTPS (DoH) moet hier verandering in brengen door een versleutelde verbinding voor dns-verzoeken te gebruiken.

Mozilla noemt het gebruik van DoH een belangrijke maatregel om de privacy en security van gebruikers te beschermen. Mozilla wil DoH straks standaard voor Firefoxgebruikers inschakelen en koos voor een implementatie waarbij in eerste instantie alleen internetbedrijf Cloudflare de versleutelde dns-verzoeken zou ontvangen.

Via het "Trusted Recursive Resolver programma" kunnen andere partijen zich aanmelden die DoH voor Firefoxgebruikers willen aanbieden. Vorig jaar nam dns-provider NextDNS deel aan het programma, zodat Firefoxgebruikers een tweede keuze naast Cloudflare hebben. Nu is ook Comcast tot het programma toegetreden en is daarmee de eerste internetprovider.

Mozilla stelt dat het alleen providers kiest die aan een streng privacybeleid voldoen. Het gaat dan om het verzamelen en bewaren van zo min mogelijk data, transparant zijn over de data die toch wordt verzameld, het niet delen en verkopen van data aan derde partijen en het beperken van de mogelijkheid voor de dns-provider om content te blokkeren of aan te passen.

Bij Firefoxgebruikers op het netwerk van Comcast zal DoH straks standaard worden ingeschakeld. Deze gebruikers hebben nog wel de keuze om voor de DoH-servers van Cloudflare of NextDNS te kiezen. Wanneer Comcast de optie gaat aanbieden is nog onbekend.

Reacties (17)
25-06-2020, 17:48 door Anoniem
Mozilla noemt het gebruik van DoH een belangrijke maatregel om de privacy en security van gebruikers te beschermen.

Wat een bullshit zeg! het is een poging om klandizie aan te dragen bij een sponsor. Niets meer en niets minder.
Of het een bescherming van de privacy is, daarvoor moet je meer weten van de provider van de gebruiker.
Zo'n blanket statement is in ieder geval onmogelijk te doen.
25-06-2020, 18:07 door [Account Verwijderd]
Dat zijn nog eens positieve ontwikkelingen. Het grootste bezwaar tegen Mozilla's implementatie, namelijk al het DNS verkeer naar een derde partij sturen, lijkt daarmee weggenomen te worden. Laten we hopen dat vele zullen volgen.
25-06-2020, 19:02 door Anoniem
Mozilla noemt het gebruik van DoH een belangrijke maatregel om de privacy en security van gebruikers te beschermen.
"Wij van WC_eend", etc.

Via het "Trusted Recursive Resolver programma" kunnen andere partijen zich aanmelden die DoH voor Firefoxgebruikers willen aanbieden.
Dit zegt het al helemaal: Je moet de bedrijven in dat programma maar gewoon geloven, want nakijken kun je het niet.

Waarom hunnie wel en je eigen ISP niet? En ja, in de VS zijn er ISPs die zich echt onbehoorlijk gedragen met hoe ze DNS manipuleren. Maarja, dan alle verificatiemogelijkheden maar uit handen geven en blind een derde partij vertrouwen is ook niet de oplossing. Mozilla denkt van wel, dus volgt de vraag, wat is hun agenda nou eigenlijk?

Comcast is grote ISP en ik meen ISP-voor-ISPs, maar ook een kabelaar en ze zitten ook aan de "content creation" kant, dus dat ze hier belang hebben is wel duidelijk. The Consumerist vond Comcast "the Worst Company in America" in 2010 and 2014.

Hoe meer ik van "DoH" zie hoe minder ik overtuigd ben dat het ook een goed idee is.
25-06-2020, 20:56 door Anoniem
Dit zegt het al helemaal: Je moet de bedrijven in dat programma maar gewoon geloven, want nakijken kun je het niet.
En dat is het grootste probleem bij al die bedrijven, als het nu FB, Google, Microsoft en ga zo maar door. We moeten
hier zelf een wel overwogen keus maken en daar na handelen.
25-06-2020, 21:50 door Anoniem
DoH wordt/is een grote miskleun. Het verkeer wordt gecentraliseerd naar een Amerikaanse DNS resolver. Het grootste 'voordeel' moet dan het versleutelen van je dns verzoeken zijn? Een wassen neus, aangezien dns verzoeken met een beetje inspanning van je isp of anderen(...), worden uitgelezen.
Dit is de grootste marketingstunt in jaren mbt een internetprotocol. Nu al door de mand gevallen bij ict-ers/powerusers en een grote onbekende bij het grote publiek.
25-06-2020, 22:41 door Anoniem
Comcast was vroeger een van die partijen die NXDOMAIN DNS requests vervingen door een "landing page" van zichzelf. Een helper page, maar iedereen wist dat het monetization was.

Als klant zou ik hier zeer argwanend tegenover staan.
25-06-2020, 23:28 door Anoniem
Door Anoniem:
Hoe meer ik van "DoH" zie hoe minder ik overtuigd ben dat het ook een goed idee is.

Het staat nog in de kinderschoenen, letterlijk. Het idee is dat wat je doet op internet steeds anoniemer wordt. Niet dat je het doet, maar wat je doet. We zijn al en masse overgestapt van HTTP naar HTTPS, en met de e-mail zitten we nu ook met beveiligde verbindingen, SPF, DKIM en DMARC. Facebook et al maakt gebruik van End-to-End Encryption.

Het enige wat nog leesbaar over het lijntje gaat, zijn je DNS requests. DNS-over-HTTPS zit echter nog bijna nergens in. Niet in Microsoft DNS servers, niet in Bind, nergens in. CloudFlare was al begonnen dus dat is één schaap over de dam. En zo moeten er meer volgen.

Net zolang tot bijna iedere DNS provider DNS-over-HTTPS babbelt. Dan kan je gewoon weer bij je eigen DNS dienst terecht.

Persoonlijk heb ik mijn Pi-hole via CloudFlared aan de CloudFlare DNS gehangen. Dat stukje ziet niemand meer, behalve ik en CloudFlare.
26-06-2020, 09:35 door Anoniem
Net als met https gaat dit alleen maar gezeik opleveren.. ik moet nu voor 80% van mijn hardware al 5 extra handelingen doen voordat ik op de pagina van mijn eigen router, pdu, nas, firewall, loadbalancer, ups, switches enz kom.
26-06-2020, 10:05 door Anoniem
Door Anoniem:
Door Anoniem:
Hoe meer ik van "DoH" zie hoe minder ik overtuigd ben dat het ook een goed idee is.

Het staat nog in de kinderschoenen, letterlijk.
Vanwege het ontwerp kan het daar ook niet uitgroeien.

Het idee is dat wat je doet op internet steeds anoniemer wordt. Niet dat je het doet, maar wat je doet.
Dat is niet het idee. Het idee is dat die data nu bij een kleiner groepje mozilla-vrindjes terechtkomt. Een groepje waar jij geen contract mee hebt. Met je ISP heb je dat meestal wel.

Het is dus geen afscherming, maar een verplaatsing. En je betaalt er een forse prijs voor.

We zijn al en masse overgestapt van HTTP naar HTTPS,
Gedreven door "de browsermakers", toevallig een groepje "techreuzen".

en met de e-mail zitten we nu ook met beveiligde verbindingen, SPF, DKIM en DMARC.
Die laatste drie hebben weinig met anonimiteit te maken. En de eerste is triviaal kapot te krijgen.

Facebook et al maakt gebruik van End-to-End Encryption.
Je bedoelt dat ze clientverbindingen naar hun servers "end-to-end" versleutelen, zeg maar doodnormaal https?

Overigens, iedere keer dat je cloudflare tegenkomt, en meestal zie je het niet direct, weet je alleen maar dat je de aanvraag naar hunnie versleuteld is. Wat er achter die webkapotmakende muur van loadbalancers gebeurt weet je niet. Vaak zat is dat weer gewoon http-zonder-s. Net zo min weet je wat er binnen facebook gebeurt.

Het enige wat nog leesbaar over het lijntje gaat, zijn je DNS requests. DNS-over-HTTPS zit echter nog bijna nergens in. Niet in Microsoft DNS servers, niet in Bind, nergens in. CloudFlare was al begonnen dus dat is één schaap over de dam. En zo moeten er meer volgen.
Aangenomen dat DoH een goed idee is, en dat is het niet.

Helpt ook niet dat DNSsec een beetje jammer is qua architectuur. Maar DoH is geen verbetering, integendeel.

Net zolang tot bijna iedere DNS provider DNS-over-HTTPS babbelt. Dan kan je gewoon weer bij je eigen DNS dienst terecht.
Dat heeft eigenlijk alleen maar zin als je je eigen ISP niet vertrouwt. En dan nog betaal je er eigenlijk teveel voor, want je kunt zelf niet meer verifiëren. Iedere keer wordt daar weer overheen gekeken. Ook jij doet dat met je propagandaverhaaltje.

Hier te lande kun je veel beter een andere ISP zoeken. Eentje die je wel vertrouwt en die je betere service verleent dan je huidige, als je toch bezig bent. Mochten ze dat vertrouwen beschamen kun je ze daar desnoods via de rechter op aanspreken. Probeer dat maar eens met die Amerikaanse bedrijven.

Persoonlijk heb ik mijn Pi-hole via CloudFlared aan de CloudFlare DNS gehangen. Dat stukje ziet niemand meer, behalve ik en CloudFlare.
Moet je zelf weten. Wil nog steeds niet zeggen dat het een goed idee is.
26-06-2020, 13:31 door Anoniem
Comcast, zijn we dat afknijpgedrag van hen al weer vergeten, network equality.
Wat hebben we toch weer kortlopende geheugentjes allemaal.

Voor Mozilla wordt u ook steeds meer het product, omdat zij dat voor nog grotere spelers ook zijn.

DNS over HTTPS maakt het gebeuren alleen minder controleerbaar voor de eindgebruiker,
zodat er nog ongestoorder gerotzooid kan worden.

Tijd voor Intellitamper voor https, zodat je via de client kan zien wat er op die server afspeelt.
Nu moet je ze maar op hun blauwe ogen geloven, wat ze doen met bijvoorbeeld php.
De cloud houdt jou dom en anderen rijk.

Als het niet goed zou zijn voor de pecunia, hadden partijen dit toch nooit zo gepusht.
Het geloven van mooie verhaaltjes stadium al gepasserd zijnd, groet hier,

J.O.
27-06-2020, 11:02 door Anoniem
Door Anoniem:
Persoonlijk heb ik mijn Pi-hole via CloudFlared aan de CloudFlare DNS gehangen. Dat stukje ziet niemand meer, behalve ik en CloudFlare.
Daarmee draag je dus de mogelijkheid om met alles mee te kijken over van je eigen ISP naar Cloudflare.
Is dat slim? Hoe goed ken je je eigen ISP en onder welke wetgeving opereert die? Wat hebben ze in het verleden
geflikt (zoals inderdaad COMCAST die niet bestaande domeinen ging redirecten naar een eigen reclame/zoek pagina)?
En hoe goed ken je Cloudflare? Onder welke wetgeving opereert die en is dat beter of slechter?

Zonder die overweging kun je niet zomaar stellen dat je nu beter af bent. Wellicht ben je slechter af. Dat kun je niet 1-2-3
zeggen en Mozilla AL HELEMAAL NIET. Daarom is die claim "privacy en security van gebruikers te beschermen" zo
onzinnig. Het enige wat ze beschermen is hun eigen portemonnee.
27-06-2020, 14:06 door Anoniem
Ik zou maar eens een onderzoekje doen naar hoe het met tracken gesteld is.
Via twee leuke extensies, websniffer en quick source viewer en een DOM XSS scanner.

Kijk toevallig naar een net gerapporteerd verdachte PHISH: burency.io
(iets met cryptocurrency voor het Midden Oosten, niet voor USA).
Re: https://www.phishtank.com/phish_detail.php?phish_id=6651116&frame=details
En dan even gluren op Zonemaster: https://www.zonemaster.net/domain_check
Bekijk dit script is na er met een unminifyer overheen gegaan te zijn:
https://cdn.jsdelivr.net/npm/vanilla-lazyload@12.4.0/dist/lazyload.min.js
gaat naar -http://burency.io/js/bioPopupView.js (geen sources en sinks)...

luntrus
27-06-2020, 16:49 door Anoniem
DOT=ja - DOH=over mijn lijk.
27-06-2020, 20:21 door Anoniem
Door Anoniem:Het verkeer wordt gecentraliseerd naar een Amerikaanse DNS resolver
Elke provider (inclusief de Nederlandse) kan een DoH service beschikbaar stellen. Er kunnen zelfs onafhankelijke derden opstaan en een DoH service beginnen. Uiteraard moet je die dan vertrouwen, maar dat is niet anders dan nu met je huidige ISP waar je 'de oude DNS' nu gebruikt.
27-06-2020, 22:52 door Anoniem
Dus hier komt het telkenmale weer op neer. Alles op Interwebz is een kwestie van TRUST a.k.a. vertrouwen.
De laatste tijd is dat wel een van de meest ondergraven waarden op deze globe gebleken.

Weten we nog van die online rep-dienst, gesteund door vrijwilligers, die rapporteerden,
die overgenomen werd door een tijdelijk admin, een Finse durfkapitalist,
die letterlijk alle ook persoonlijke data doorverkocht aan de hoogste bieder -
Die service heet WOT, does it ring a bell?

Dat vertrouwen komt dus nooit meer terug. Daar helpt geen lieve moer en geen enkel reputatie-management nog aan.

Wie eenmaal het vertrouwen schendt, die vertrouwt men niet langer, ook als hij verder te vertrouwen blijkt,
en zo is het nu eenmaal. Valt een speler door de mand, dan is het voor mij over en sluiten.

luntrus
28-06-2020, 16:31 door Anoniem
Tja DoH. Onwenselijk als elke applicatie voor eigen resolver speelt met alle gevolgen van dien. Maar zonder DoH zouden we nog jaren zonder versleutelde DNS hebben gezeten/zitten. Ik zie het als het collectief falen van de internetgemeenschap dat DNS zo lang het probleemkindje is gebleven waardoor we nu met een situatie waar niemand echt blij van wordt.
09-08-2020, 23:37 door Anoniem
Nu komt het volgende probleem dat sommig websites while loops plaatst als een firewall die rotzooi tegen houdt en met een poging de computer plat te trekken . Ik hoop dat de overheid eens iets deftig doet naast zeveren over corona waar ze niets aan kunnen veranderen . Deze zouden zich beter eens nuttig maken en al die servers die misbruik maken van alle computers die online zijn. Internet is history go to intranet zonder landen buiten europa en alles wat erbuiten ligt is toch crime of useless.
Dan klooien die maar met elkaar en kunnen wij rustig werken zonder all die crime en of drollen op de computer
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.