Mozilla vraagt Firefox-gebruikers om dns over https te testen
Mozilla vraagt Firefox-gebruikers om dns over https te testen, aangezien dit protocol de privacy van internetgebruikers vergroot. Het domain name system (dns) is vergelijkbaar met het telefoonboek en vertaalt onder andere domeinnamen naar ip-adressen.
Het probleem met dns-verzoeken is dat ze het ip-adres, of een groot deel hiervan, van de gebruiker bevatten, alsmede de opgevraagde domeinnaam. De verzoeken zijn daarnaast onversleuteld, zodat allerlei partijen die onderweg kunnen inzien of veranderen. Dns over https (DoH) moet dit probleem verhelpen door een versleutelde verbinding voor de dns-verzoeken te gebruiken.
Dns-verzoeken worden door een resolver verstuurd. Het is mogelijk om die zelf in te stellen, maar de meeste internetgebruikers maken gebruik van een resolver die door het netwerk wordt aangeraden. Dit kan een probleem zijn wanneer er een onbetrouwbare resolver wordt aangeraden, die bijvoorbeeld allerlei informatie over gebruikers opslaat of verzoeken naar bepaalde websites kaapt.
De oplossing voor dit probleem is een Trusted Recursive Resolver (TRR). Dat kan elke partij zijn die de gebruiker vertrouwt, maar Mozilla is nu een test met Cloudflare gestart. Cloudflare zegt dat het alle persoonlijke informatie van dns-verzoeken na 24 uur verwijdert en geen data met derde partijen deelt. Volgens Mozilla zullen er ook regelmatig audits worden uitgevoerd om te controleren dat alle gegevens zoals afgesproken worden verwijderd.
Het is al mogelijk om dns over https in Firefox in te schakelen. Het werkt echter het beste in Firefox 62 en nieuwer, waarvan nu een testversie is verschenen. Daarnaast is Mozilla met gebruikers van de testversie van Firefox 62 een experiment gestart waarbij automatisch de dns over https-dienst van Cloudflare wordt gebruikt. Als eerste wordt er gekeken of DoH naar behoren presteert.
Geen totale bescherming
Mozilla merkt op dat dns over https en Trusted Recursive Resolver het aantal mensen beperkt dat kan zien welke websites iemand bezoekt, maar dat het datalekken niet helemaal voorkomt. Zodra het dns-verzoek is beantwoord zal de gebruiker nog steeds verbinding met het ip-adres van de website maken. Hiervoor wordt een verzoek verstuurd dat de servernaam bevat. Dit verzoek is onversleuteld, wat inhoudt dat de provider van de gebruiker nog steeds kan zien waar de gebruiker naar toe gaat.
Zodra de verbinding met de webserver is gemaakt is alles echter versleuteld en kan deze versleutelde verbinding voor elke website worden gebruikt die de webserver host, niet alleen voor de initieel opgevraagde website. Dit is mogelijk door HTTP/2 samengevoegde verbindingen en zorgt ervoor dat gebruikers meerdere websites op één webserver kunnen bezoeken zonder dat hun provider hier weet van heeft.
Door de toename van content delivery netwerken (cdn's) zullen steeds meer websites vanaf een enkele server worden aangeboden, en doordat het mogelijk is om meerdere samengevoegde verbindingen open te hebben, zal deze maatregel steeds effectiever als privacyschild zijn, aldus Mozilla.
Bij ons worden alle DNS requests gemonitoord en eventueel doorgezet naar een sinkhole.
Het is een kwestie van tijd voordat malware hier gebruik van gaat maken.
Volgende week maar even in overleg met Informatie beveiliging of we moeten gaan onderzoeken of we moeten gaan opzoeken hoe ik deze IP's kan blacklisten in de proxy servers. Iets zegt mij dat wij hier snel een positief antwoord opgaan krijgen...
DNSSec,DNSCrypt, maar uiteindelijk moet je een DNS Server vertrouwen.
metaregistrar dot nl admin, aka: 156.148.93.188.in-addr.arpa & een name error bij 236.40.140.51.in-addr.arpa, allemaal PTR requests voorbeelden.
Hoe kan je werkelijk vaststellen of de mate van TRUST die je geeft aan de cloud terecht is of niet? Of is de connectie nog wel veilig maar weet je eigenlijk nog niets over de uiteindelijke werkelijke veiligheid op een https website in de cloud? Wat doet de cloud met jouw private metadata? Moeten we alles en iedereen maar op de blauwe ogen geloven?
Vertrouw op G*d, maar hou liever alles goed op slot. Een wijze raad, lijkt mij. TRUST comes cheap these days...
luntrus
Het heeft mij een paar maand gekost voordat ik de link legde tussen de spontane router restarts en het gebruik van DNS-Crypt via poort 443 op mijn PC.
Leuke bijkomstigheid, meteen in de DNS server wat zone's voor advertentie boeren maken, scheelt verkeer en virussen.
Websites die in het hosts-bestand worden vermeld deden geen DNS-request.
Nadeel is dat als het IP-adres eens mocht veranderen, je bij de verkeerde server uitkomt.
In het ergste geval bij een kwaadaardige server.
Maar in de praktijk is dat toen ik het gebruikte jarenlang niet bij mij niet voorgekomen.
Tegenwoordig kan je niet altijd meer zo gemakkelijk een hosts-bestand gebruiken.
Men zag het naderhand als "threat" dat eventueel opgelopen malware kon helpen zijn slag te slaan door heimelijk het hosts-bestand te wijzigen. Maar met betrekking tot privacy was het natuurlijk wel beter.
We hebben trouwens ook nog OCSP, wat bijna net zo privacybedreigend zou kunnen zijn als DNS.
Ocsp op basis van stapling is de oplossing, maar de meeste sites doen daar nog altijd niet aan.
Leuke bijkomstigheid, meteen in de DNS server wat zone's voor advertentie boeren maken, scheelt verkeer en virussen.
Leuke bijkomstigheid, meteen in de DNS server wat zone's voor advertentie boeren maken, scheelt verkeer en virussen.
Ja da's leuk en dan stuurt je client alsnog de hele query naar de root servers die oja, anycasted zijn en bij de lokale provider staan.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.