image

EFF vraagt Congres om support voor DNS-over-HTTPS

woensdag 23 oktober 2019, 12:35 door Redactie, 17 reacties

De Amerikaanse burgerrechtenbeweging EFF heeft samen met consumentenorganisaties het Amerikaanse Congres om support voor DNS-over-HTTPS (DoH) gevraagd. Volgens de EFF is DoH een belangrijke stap om het recht op vrijheid van meningsuiting en privacy een integraal onderdeel van het internet-ecosysteem te maken. Kabel- en telecombedrijven maken zich echter zorgen over de maatregel.

DoH zorgt ervoor dat dns-verzoeken van internetgebruikers zijn versleuteld, wat moet voorkomen dat er informatie over gebruikers lekt of kwaadwillenden het dns-verkeer kunnen inzien of veranderen. "We zien DoH als een belangrijke trend in het gebruik van encryptie op het internet. Het verhelpt een situatie waarbij gevoelige gebruikersdata is blootgesteld aan allerlei luistervinken", aldus de brief van de EFF, Consumer Reports en National Consumers League die aan verschillende vooraanstaande congresleden is gestuurd (pdf).

Zowel Google als Mozilla zullen DoH aan hun browser toevoegen. Verschillende partijen maken zich echter zorgen over de gevolgen van de maatregel. Zo heeft Mozilla besloten om DoH niet voor Britse Firefoxgebruikers in te schakelen, omdat hiermee de filterverplichting die in het Verenigd Koninkrijk geldt kan worden omzeild, alsmede software voor ouderlijk toezicht.

Vorige maand maakten kabel- en telecombedrijven hun zorgen over DoH aan het Amerikaanse Congres kenbaar. De technologie zou voor oneerlijke concurrentie kunnen zorgen, aldus een brief die congresleden ontvingen. De EFF stelt dat internetproviders vooral de mogelijkheid willen beschermen om gegevens van hun eigen gebruikers te verzamelen. "Het Congres zou juist moeten luisteren naar consumenten- en privacyorganisaties die voor sterke privacybescherming pleiten waarmee gebruikers meer controle over hun data krijgen", aldus de EFF.

Max Hunter, directeur engineering van de EFF, noemt DoH een "game-changer" voor internetgebruikers wereldwijd en cruciaal voor mensenrechtenwerkers, activisten, journalisten en dissidenten die onder surveillance zijn. "We hopen dat het Congres actie onderneemt en de structurele uitrol van DoH volledig ondersteunt", besluit Hunter.

Image

Reacties (17)
23-10-2019, 14:17 door Anoniem
Voor particulieren juich ik dit alleen maar toe. Maar voor zakelijke omgevingen zou ik er minder happig op zijn. Malware in je browser kan ongelimiteerd DNS requests doen voor C2 kanalen, en slaat daarbij de enterprise DNS servers over.
23-10-2019, 15:13 door Anoniem
Door Anoniem: Voor particulieren juich ik dit alleen maar toe. Maar voor zakelijke omgevingen zou ik er minder happig op zijn. Malware in je browser kan ongelimiteerd DNS requests doen voor C2 kanalen, en slaat daarbij de enterprise DNS servers over.

Een Windhoos endpoint vind het toch echt fijner om de DC als DNS server of een interne DNS server te gebruiken wanneer deze domain joined is :)
Je DNS forwarder kun je dan DoH laten doen.
23-10-2019, 19:18 door Anoniem
Door Anoniem:
Door Anoniem: Voor particulieren juich ik dit alleen maar toe. Maar voor zakelijke omgevingen zou ik er minder happig op zijn. Malware in je browser kan ongelimiteerd DNS requests doen voor C2 kanalen, en slaat daarbij de enterprise DNS servers over.

Een Windhoos endpoint vind het toch echt fijner om de DC als DNS server of een interne DNS server te gebruiken wanneer deze domain joined is :)
Je DNS forwarder kun je dan DoH laten doen.

DOH gaat alleen over de browser op dit moment en als dit alleen de browser betreft, maakt het alleen iets uit als men geen webservers in het AD-domein heeft.

Tevens heeft Mozilla detectie of men in zo'n omgeving zit in wordt daardoor niet automatisch ingeschakeld.
23-10-2019, 20:12 door Anoniem
Nou als ze er mee naar het Congres gaan biedt dat in ieder geval een platform om de vele nadelen van DoH aan de orde
te stellen zodat er meer bewustwording komt mbt de nadelen van deze techniek.
(dan moet er natuurlijk wel iemand zin hebben om daar op zo'n hearing zijn nek uit te steken)

De EFF houdt er mijns insziens teveel NRA praktijken op na en dat mag best wel eens terug gefloten worden.
23-10-2019, 23:10 door johanw
Door Anoniem: Nou als ze er mee naar het Congres gaan biedt dat in ieder geval een platform om de vele nadelen van DoH aan de orde
te stellen zodat er meer bewustwording komt mbt de nadelen van deze techniek.
De enige "nadelen" die ik hoor komen van censuur liefhebbers, of dat nu preutserikken uit Engeland zijn of bedrijfs systeembeheerders die gebruikers willen hinderen. Dat zie ik als een aanbeveling van de techniek.
23-10-2019, 23:22 door Anoniem
Er is hier op security dot nl al een hele discussie gevoerd
over de voor- en nadelen van het brengen van DoH naar de browser.

Men kan het ook in about:config desgewenst weer uitschakelen,.
De uiteindelijke beslisser ben jij nog steeds, de bladeraar-eindgebruiker.
"Always tweak and toggle right, guys!".

Natuurlijk gelden de argumenten voor de grote kudde, die als geen power-users, dat nu net niet doen
en het via USA Big DataTech eigenlijk een beetje opgedrongen krijgen.
Mwaah, denken ze, zal wel goed zijn. Google, joh. Toppie, toch?

Eerst de discussie en dan de campagnes en niet zoals het nu zo vaak gaat,
namelijk eerst invoeren en later wat "nawauwelen voor de Bühne".

Zo is het al met het hele certificering-circus gegaan, zo zitten we met HTTPS Everywhere in de Cloud,
maar nog zonder een heleboel welkome valdatie-methoden als de nodige header(s) security.

Maar ja, zoals de Stones al zongen: "You can't always get what you want".

"Het hooi moet overigens ook in dit geval niet de wagen achterna willen lopen"
en dat is altijd een waar gezegde gebleken.

Anders respecteert men de eindgebruiker helemaal niet meer, en behandelt hem of haar of het nog verder als product.

luntrus
24-10-2019, 07:21 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Voor particulieren juich ik dit alleen maar toe. Maar voor zakelijke omgevingen zou ik er minder happig op zijn. Malware in je browser kan ongelimiteerd DNS requests doen voor C2 kanalen, en slaat daarbij de enterprise DNS servers over.

Een Windhoos endpoint vind het toch echt fijner om de DC als DNS server of een interne DNS server te gebruiken wanneer deze domain joined is :)
Je DNS forwarder kun je dan DoH laten doen.

DOH gaat alleen over de browser op dit moment en als dit alleen de browser betreft, maakt het alleen iets uit als men geen webservers in het AD-domein heeft.

Tevens heeft Mozilla detectie of men in zo'n omgeving zit in wordt daardoor niet automatisch ingeschakeld.

Er zijn ook gewoon DoH proxys voor het hele systeem?
Opendns/umbrella boodt dit o.a. aan.
24-10-2019, 07:32 door Anoniem
Door Anoniem: Nou als ze er mee naar het Congres gaan biedt dat in ieder geval een platform om de vele nadelen van DoH aan de orde
te stellen zodat er meer bewustwording komt mbt de nadelen van deze techniek.
(dan moet er natuurlijk wel iemand zin hebben om daar op zo'n hearing zijn nek uit te steken)

De EFF houdt er mijns insziens teveel NRA praktijken op na en dat mag best wel eens terug gefloten worden.

U bedoelt NSA mag ik aannemen?
24-10-2019, 08:43 door Anoniem
Men vergeet alleen wel dat de aanbieders van doh voor consumenten hierdoor voornamelijk google en cloudflare zullen worden. De huis tuin keuken gebruiker zal niet weten hoe te switchen en dus zal het gros van dns verkeer via google gaan. Deze kan nog steeds alles dus zien. alleen je isp ziet de requests niet direct meer al zijn er wel andere methode om verkeer te scannen maar duurder en trager in gebruik.

dus tja of je veilig wanen waarna google mogelijk aan de haal gaat met je data. of je isp. keuze voor mij is snel gemaakt dan.
24-10-2019, 08:45 door Anoniem
Door johanw: De enige "nadelen" die ik hoor komen van censuur liefhebbers,
Dan hoor je zeer selectief.

of dat nu preutserikken uit Engeland zijn
Dat de ISPs daar "no sex pwease we're Bwitish!!1!" gaan roepen en daarmee hun beste beentje voorzetten om in de pas te lopen met de overheid die hetzelfde zegt, verbaasde mij toch wel enigszins.

Ik kan wel redenen bedenken waarom ze er niet zoveel zin in hebben: Nog meer https die bovendien je DNS-caches in je resolvers omzeilt? Dat kost ze gewoon extra aan transit, en dus geld. Maar dan zelf ook maar naar het terreurpedowitwascrimineel-argument grijpen en daarmee mozilla als een "baddie" willen afschilderen, dat was gewoon dom.

of bedrijfs systeembeheerders die gebruikers willen hinderen. Dat zie ik als een aanbeveling van de techniek.
Als (voormalig) systeembeheerder bij een tent waar nogal veel vrijgevochten CCC-leden werkten ben ik niet zo van de censuur (was ik toch al niet) maar zie ik dingen ook wel eens vanuit een ander perspectief dan een desktopridder met z'n webbrowser. Iemand moet het netwerkje aan de gang houden.

Soms heb je gewoon nodig dat software op je netwerk zich netjes aan je policies houdt. Dat doe je niet specifiek om individuele mensen te hinderen maar om het geheel goed samen te laten werken. Het kan ook best dat management erop staat dat je domme maatregelen doorvoert, of zelfs dat een systeembeheerder last heeft van de macht die 'm naar z'n hoofd gestegen is, dat is waar. Maar goede systeembeheerders zijn meestal vrij meegaand in wat ze toelaten op hun (en ja, "hun") netwerk. Maar er zijn grenzen. En soms heb je gewoon nodig dat een stuk software niet allerlei dingen achter je rug om doet.

Dus dat een Amerikaans bedrijf even komt bepalen wat er op mijn netwerkje gebeurt, stoort.

Wat mij betreft "past" het "DoH"-vehikel bij vrij specifieke scenarios waar je als eindgebruiker je "first mile" netwerk niet kan vertrouwen. Idiote ISPs (veelal Brits of Amerikaans, maar elders ook; meestal degenen die als telco het levenslicht zagen), onbetrouwbare "gratis" wifi, dat soort dingen. Dat "past" tussen haakjes want man man man wat een gepruts in technische zin. Duidelijk een webaapkeutel die bovendien niet netjes met al bestaande techniek samenwerkt.

Dus, dit stukje techniek is zeer beperkt nuttig, zit niet goed inelkaar, en werkt slecht samen. Allemaal redenen om er als systeembeheerder last mee te krijgen. Geen wonder dus dat systeembeheerders 't liever kwijt dan rijk zijn. Ze hebben al vaak genoeg met zich misdragende software te maken.

Dat je, wat je toch wel insinueert, als gebruiker binnen een bedrijfsnetwerk dat bedrijfsnetwerk niet zou kunnen vertrouwen en daarom maar neerkijkt op de systeembeheerder, kom, ga jij even lekker thuiswerken. Zonder VPN.

Overigens is het in het Nederlands nog altijd "censuurliefhebbers" en "bedrijfssysteembeheerders". Of doe het goed en zeg "censuur lief hebbers" en "bedrijfs systeem beheerders". Dit halfwassen gestuntel en niet weten welke taal je eigenlijk schrijft is een beetje vermoeiend. Ver Moei End.
24-10-2019, 09:05 door Anoniem
Door johanw:
Door Anoniem: Nou als ze er mee naar het Congres gaan biedt dat in ieder geval een platform om de vele nadelen van DoH aan de orde
te stellen zodat er meer bewustwording komt mbt de nadelen van deze techniek.
De enige "nadelen" die ik hoor komen van censuur liefhebbers, of dat nu preutserikken uit Engeland zijn of bedrijfs systeembeheerders die gebruikers willen hinderen. Dat zie ik als een aanbeveling van de techniek.

Ik ken er nog twee, DoH loopt voorlopig via één partij, Cloudflare. Ik zie DoH echt iets voor de VS, liever vandaag dan morgen, maar niet direct iest voor Europa. Tweede punt is dat DoH alleen in een browser draait op dit moment. Dus IOT devices hebben er geen voordeeel mee. Ik ben voorstander van DoT. In de router, dus al het DNS verkeer naar de DNS server wordt versleuteld, en niet alleen het browserverkeer
24-10-2019, 09:53 door Anoniem
Door Anoniem:
Door johanw:
Door Anoniem: Nou als ze er mee naar het Congres gaan biedt dat in ieder geval een platform om de vele nadelen van DoH aan de orde
te stellen zodat er meer bewustwording komt mbt de nadelen van deze techniek.
De enige "nadelen" die ik hoor komen van censuur liefhebbers, of dat nu preutserikken uit Engeland zijn of bedrijfs systeembeheerders die gebruikers willen hinderen. Dat zie ik als een aanbeveling van de techniek.

Ik ken er nog twee, DoH loopt voorlopig via één partij, Cloudflare. Ik zie DoH echt iets voor de VS, liever vandaag dan morgen, maar niet direct iest voor Europa. Tweede punt is dat DoH alleen in een browser draait op dit moment. Dus IOT devices hebben er geen voordeeel mee. Ik ben voorstander van DoT. In de router, dus al het DNS verkeer naar de DNS server wordt versleuteld, en niet alleen het browserverkeer

Helemaal mee eens. DoT ipv DoH!
24-10-2019, 12:47 door Anoniem
Kijk eens hier op de DOH Provider List: https://apps.sd.gov/ph04lassnet/rptPH04LicenseList.Aspx

Verder een mooi en lezenswaardig artikel:
https://hackaday.com/2019/10/21/dns-over-https-is-the-wrong-partial-solution/
(niet voor de blinde voorstanders natuurlijk)

luntrus
24-10-2019, 17:09 door Anoniem
Het punt draait erom, dat men aan kan geven waar het DNS verkeer op het netwerk vandaan komt (bij CloudFlare bijvoorbeeld). Een eerder doel daar is echter het vaststellen of er misbruik van hun diensten wordt gemaakt,
of er illegale content kan worden geblokkeerd, of er legaal taps te kunnen worden gezet,
als instanties dat verlangen en om malware in de gaten houden. Een beetje in die volgorde van belangrijkheid.

Daarbij gaat CloudFlare dus een hoofdrol spelen en de vraag is ten koste van wie allemaal en ten dienste van wat?
(een monopolistisch globalistisch verdienmodel en het onbelangrijk maken van de concurrentie, dat vermoed ik).

In de uitwerking lijkt het een beetje op het "Buckstar" koffie-imperium verhaal van forumlid "Stroopwafel",
elders op deze site, dat aangeeft hoe alle licentie-inkomsten en overwinsten weggesluisd worden
met tewerk stellen van minder-dan-minimumloners liefst, samen met de hulp van een heel leger juristen
met een flink honorarium om dit verdienmodel wereldwijd goed te laten verlopen,
en waarbij heel weinig achterblijft bij de BV Nederland, neen vaak ook helemaal niet op ons continent.

Ook op het Internet zijn zulke grote multinationale spelers op gelijkaardige wijze actief
en ze blinken uit in protectionistische bescherming van het eigen graai-gebeuren
met nog zo veel mogelijk belasting-ontwijking.

Zo is de hele middenstand op twee continenten al om zeep geholpen
en het Klein- & Middenbedrijf gaat daar straks gezwind achteraan.
Wij met z'n allen vormen het domme product, waar dit model op draait,
omdat we dat model vaak niet eens ter discussie stellen.
Stroopwafel, nog bedankt voor deze nuttige eye-opener.
Zo'n verhaal blijft hangen en dat is maar goed ook. In dit opzicht ben ik dus "woke".

Alleen al uit dien hoofde zouden we wars moeten zijn van het gebruik maken van deze spelers,
maar ze zijn al bijkans niet meer te ontlopen en omgaan.
Kansen voor allen in Global Village, geloof het maar van niet.
Dus kies voor jezelf, net als zij. Gun ze geen bit of byte van de data, die echt van jou is.

Jodocus Oyevaer
25-10-2019, 10:46 door Anoniem
Door Anoniem:
Door Anoniem: Nou als ze er mee naar het Congres gaan biedt dat in ieder geval een platform om de vele nadelen van DoH aan de orde
te stellen zodat er meer bewustwording komt mbt de nadelen van deze techniek.
(dan moet er natuurlijk wel iemand zin hebben om daar op zo'n hearing zijn nek uit te steken)

De EFF houdt er mijns insziens teveel NRA praktijken op na en dat mag best wel eens terug gefloten worden.

U bedoelt NSA mag ik aannemen?

Nee ik bedoel NRA. Die club in Amerika die denkt dat de beste manier om veiligheid te verbeteren is om iedereen een
wapen te geven zodat ze zich kunnen verdedigen tegen anderen.
Dat is vergelijkbaar met het promoten van het encrypten van alle verkeer om je daarmee te isoleren van iedere vorm
van monitoring door belanghebbenden.
Beiden eindigen ze in een onwerkbare situatie waarin je slechter af bent dan ervoor.
25-10-2019, 21:06 door Anoniem
Ik ben tegen DoH - ik wil dns over https - met een eigen dedicated poort. Zodat ik kan filteren en blijven filteren! Niemand mag iets anders gebruiken voor name-resolving - dat is mijn staalharde mening. DoH is gewoon een heel smerig protocol - heel onveilig ook omdat het zich overal door boort. Je kan dat gewoon niet beveiligen. Stop met die onzin!
27-10-2019, 09:57 door Anoniem
Door Anoniem: Ik ben tegen DoH - ik wil dns over https - met een eigen dedicated poort.
Dan heb je de extra laag aan http niet nodig en dan pak je "DoT".

Niemand mag iets anders gebruiken voor name-resolving - dat is mijn staalharde mening.
Dan heb je noch "DoH" noch "DoT" nodig maar dan zet je zelf een resolver neer en blokkeer je poort 53 (tcp EN udp) op de firewall zodat iedereen op jouw netwerk jouw DNS-resolver moet gebruiken.

Maarja, precies om dat te omzeilen is "DoH" uitgevonden, om ongezien toch de DNS-data ergens anders te kunnen halen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.