Die Entwickler von Mozilla Es wird eine neue Studie im Rahmen der Vorbereitung auf die Einführung der Funktion DNS über HTTPS (DoH, DNS over HTTPS) durchgeführt. Im Zuge des Experiments wird in den Systemen von einigen Nutzern der Firefox-Versionen in den USA Statistik über die Nutzung von Kindersicherungssystemen und Unternehmensresolvern gesammelt. Die Teilnahme am Experiment kann über die Seite „about:studies“ abgelehnt werden (die Studie wird in der Liste als „Detection Logic for DNS-over-HTTPS“ aufgeführt).
Für die Studie werden anonymisierte Daten gesammelt, die ausschließlich Zähler beinhalten, ohne spezifische Adressen und Domains anzugeben. Um Kindersicherungssysteme zu identifizieren, wird eine Anfrage zur Namensauflösung von exampleadultsite.com gesendet; falls diese nicht mit der tatsächlichen IP-Adresse übereinstimmt, kann davon ausgegangen werden, dass eine Blockierung von Erwachsenen-Inhalten auf DNS-Ebene aktiv ist. Außerdem werden bewertet IP-Adressen die Rückgaben für Google und YouTube, um ihre Umleitung auf restrict.youtube.com, forcesafesearch.google.com und restrictmoderate.youtube.com zu überprüfen.
Um die Nutzung interner Unternehmensresolver zu identifizieren, werden die beim Öffnen von Websites definierten Hosts auf die Verwendung untypischer Top-Level-Domains (TLD) und die Rückgabe von Intranet-Adressen überprüft. Der Grund für das Experiment ist die Besorgnis, dass die standardmäßige Aktivierung von DNS-over-HTTPS die Funktionsweise von über DNS betriebene Systeme zur Elternkontrolle stören könnte und Probleme für Benutzer von Unternehmensnetzwerken schaffen könnte, die DNS-Server nutzen, die Informationen über interne Domains bereitstellen, die im externen Netzwerk nicht sichtbar sind.
Erinnern Sie sich daran, dass DoH nützlich sein kann, um Informationslecks über angeforderte Hostnamen durch die DNS-Server der Provider zu verhindern, gegen MITM-Angriffe und DNS-Traffic-Manipulationen zu kämpfen, DNS-Sperren zu umgehen oder um den Betrieb sicherzustellen, wenn ein direkter Zugriff auf die DNS-Server nicht möglich ist (z. B. bei der Nutzung eines Proxys). Während in der Regel DNS-Anfragen direkt an die in der Systemkonfiguration angegebenen DNS-Server gesendet werden, wird bei DoH die Anfrage zur Ermittlung der IP-Adresse des Hosts im HTTPS-Traffic eingekapselt und an einen HTTP-Server gesendet, wo der Resolver die Anfragen über eine Web-API verarbeitet. Der bestehende Standard DNSSEC verwendet Verschlüsselung nur zur Authentifizierung des Clients und des Servers, schützt jedoch den Traffic nicht vor Abhörung und garantiert keine Vertraulichkeit der Anfragen.
Um DoH in about:config zu aktivieren, muss der Wert der Variable network.trr.mode geändert werden, die seit Firefox 60 unterstützt wird. Der Wert 0 schaltet DoH vollständig aus; 1 verwendet entweder DNS oder DoH, je nachdem, was schneller ist; 2 verwendet standardmäßig DoH und DNS als Backup; 3 verwendet nur DoH; 4 ist der Spiegelmodus, in dem DoH und DNS parallel verwendet werden. Standardmäßig wird der CloudFlare-DNS-Server verwendet, kann jedoch über den Parameter network.trr.uri geändert werden, zum Beispiel „https://dns.google.com/experimental“ oder „https://9.9.9.9/dns-query“.
Quelle: opennet.ru
