Sviluppatori Mozilla sulla conduzione di un nuovo studio in preparazione all'implementazione della funzione di accesso a DNS su HTTPS (DoH, DNS su HTTPS). Nel corso della sperimentazione in corso verranno raccolte statistiche sull'utilizzo dei sistemi di parental control e risolutori aziendali sui sistemi di alcuni utenti delle versioni di Firefox provenienti dagli Stati Uniti. Puoi rifiutarti di partecipare all'esperimento attraverso la pagina “about:studies” (lo studio è elencato come “Detection Logic for DNS-over-HTTPS”).
Per lo studio, verranno raccolti dati anonimizzati, inclusi solo i contatori, senza specificare indirizzi e domini specifici. Per identificare i sistemi di controllo parentale, verrà inviata una richiesta per determinare il nome exampleadultsite.com. Se non corrisponde all'IP effettivo, si può presumere che il blocco dei contenuti per adulti sia attivo a livello DNS. Verranno inoltre valutati i seguenti parametri: Indirizzi IP sono tornati su Google e YouTube per verificare la loro sostituzione su restrict.youtube.com, forcesafesearch.google.com e restrictmoderate.youtube.com.
Per rilevare l'utilizzo di risolutori aziendali interni, gli host identificati all'apertura dei siti verranno controllati per l'utilizzo di domini di primo livello (TLD) atipici e restituiranno per essi indirizzi intranet. L'esperimento è stato motivato dalla preoccupazione che l'attivazione di DNS-over-HTTPS per impostazione predefinita potesse interrompere il funzionamento dei sistemi di controllo parentale operanti tramite DNS, oltre a creare problemi agli utenti di reti aziendali che utilizzano server DNS che forniscono informazioni su domini interni che non sono visibile esternamente reti.
Ricordiamo che il DoH può essere utile per prevenire fughe di informazioni sui nomi host richiesti attraverso i server DNS dei provider, contrastare gli attacchi MITM e lo spoofing del traffico DNS, contrastare il blocco a livello DNS o organizzare il lavoro nel caso in cui esso è impossibile accedere direttamente ai server DNS (ad esempio, quando si lavora tramite un proxy). Se in una situazione normale le richieste DNS vengono inviate direttamente ai server DNS definiti nella configurazione del sistema, nel caso di DoH la richiesta per determinare l'indirizzo IP dell'host viene incapsulata nel traffico HTTPS e inviata al server HTTP, dove elabora il risolutore richieste tramite l'API Web. Lo standard DNSSEC esistente utilizza la crittografia solo per autenticare client e server, ma non protegge il traffico dalle intercettazioni e non garantisce la riservatezza delle richieste.
Per abilitare DoH in about:config, è necessario modificare il valore della variabile network.trr.mode, che è supportata da Firefox 60. Un valore pari a 0 disabilita completamente DoH; 1 - Viene utilizzato DNS o DoH, a seconda di quale sia il più veloce; 2 - DoH viene utilizzato per impostazione predefinita e DNS viene utilizzato come opzione di fallback; 3 - viene utilizzato solo DoH; 4 - modalità mirroring in cui DoH e DNS vengono utilizzati in parallelo. Per impostazione predefinita, viene utilizzato il server DNS CloudFlare, ma può essere modificato tramite il parametro network.trr.uri, ad esempio è possibile impostare "https://dns.google.com/experimental" o "https://9.9.9.9 .XNUMX/query-dns "
Fonte: opennet.ru
