Firefox, DNS через HTTPS и спорное исследование Shield

by Опубликовано

Mozilla планирует интегрировать Trusted Recursive Resolver (TRR) через DNS через HTTPS в будущую версию браузера Firefox. Первоначальная функциональность присутствует в Firefox 60, но дальнейшие улучшения появятся в будущих версиях, таких как Firefox 61.

DNS через HTTPS (DoH) находится в статусе проекта В настоящее время. Разработанный в первую очередь для ситуаций, когда поиск DNS может завершиться ошибкой из-за проблем с подключением, и для предотвращения вмешательства в операции DNS, он разработан для повышения конфиденциальности, безопасности и надежности подключения пользователей.

Веб-браузеры, такие как Firefox, используют службу DNS, настроенную в системе по умолчанию, которая во многих случаях управляется интернет-провайдером. Вы можете изменить DNS-сервер на частный или публичный, чтобы повысить производительность, безопасность или отфильтровать нежелательный веб-контент.

Пользователи Windows могут использовать такие инструменты, как Переключатель DNS, Тест DNS или Перемычка DNS для этого, но также возможно настроить серверы вручную.

DNS через HTTPS в Firefox

firefox trr DNS через https

DNS через HTTPS выполняет операции DNS через зашифрованные соединения HTTPS. Это не сильно отличается от использования DNS Crypt для шифрования трафика DNS, но он интегрирован непосредственно в браузере.

DNS-over-HTTPS (DOH) позволяет разрешать DNS с повышенной конфиденциальностью и безопасностью.
переводы и улучшенная производительность.

Первоначальная версия отключена по умолчанию, и пользователям необходимо изменить настройки браузера, чтобы включить TRR, а также установить DNS поверх HTTPS URI.

Щит исследования

Mozilla рассматривает возможность проведения Shield Study среди ночного населения для сбора важных данных. Firefox Nightly — это новейшая версия браузера и ошибка на сайте Mozilla Bugzilla. Основные моменты план.

TRR будет работать в теневом режиме (данные записи, но не используются) и использовать общедоступный DNS-сервер CloudFlare поверх HTTPS-сервера для проверки функциональности.

Включение исследования в предложенной форме отправит все запросы DNS в сторонний Cloudflare. Сотрудник Mozilla Анри Сивонен выразил обеспокоенность:

Отправка информации о том, что просматривается сторонней стороне, подорвет доверие к Mozilla из-за того, что люди расстраиваются по поводу конфиденциальной информации (что они просматривают, где «они» идентифицируются по IP-адресу, а «что» — по имени хоста). сторонним лицам без явного согласия.

Политические соглашения, которые у нас есть с сторонней стороной, не устранят этот негативный эффект, поскольку то, как люди, как известно, реагируют на подобные вещи, не в наших силах согласовывать: люди будут реагировать на это как на вопрос о том, что было отправлено технически, а не о том, что получатель обещал не делать. (Браузер, отправляющий информацию о том, что просматривается сторонней стороне, является типичным принципом конфиденциальности браузера).

Обсуждение Bugzilla и Платформа Mozilla Dev группа в группах Google. Некоторые сотрудники Mozilla выразили озабоченность и хотели, чтобы исследование было включено даже в Nightly.

Mozilla имеет операционное соглашение с Cloudflare в отношении исследования, которое не позволяет Cloudflare вести записи или продавать / передавать данные третьим лицам.

Хотя еще ничего не решено, похоже, что Mozilla проведет исследование в предложенной форме.

Пользователи Firefox Nightly могут захотеть отслеживать изменения в настройках network.trr.mode. Пользователи могут установить значение 0, чтобы отключить TRR и, как следствие, покинуть исследование.

Параметры конфигурации TRR DNS over HTTPS

Mozilla добавила в Firefox несколько параметров конфигурации, которые настраивают TRR.

Предпочтение network.trr.mode определяет статус TRR в Firefox.

  • Значение 0 означает, что он отключен и не используется.
  • Значение 1 означает, что Firefox использует собственный DNS или TRR в зависимости от того, что быстрее.
  • Значение 2 использует TRR по умолчанию, но вернется к собственному преобразователю, если разрешение имени не удастся по какой-либо причине.
  • Значение 3 включает режим только TRR. Используется только TRR, и нет никакого отката.
  • Значение 4 запускает его в теневом режиме, что означает, что TRR запускается параллельно для сбора данных, но используется собственный преобразователь.

В предпочтении network.trr.uri необходимо указать адрес сервера DNS через HTTPS. Прямо сейчас доступны два публичных сервера:

  • https://dns.cloudflare.com/.well-known/dns
  • https://dns.google.com/experimental

Объяснение других предпочтений:

  • network.trr.credentials — учетные данные, используемые в запросе к конечной точке DNS через HTTPS (по умолчанию: нет).
  • network.trr.wait-for-portal — используйте TRR только в том случае, если обнаружение захваченного портала дает свое согласие (по умолчанию: true)
  • network.trr.allow-rfc1918 — разрешить частные адреса RFC 1918 в ответах TRR (по умолчанию: false).
  • network.trr.useGET — если вы хотите использовать GET вместо Post (по умолчанию: false).
  • network.trr.confirmationNS — Firefox проверяет доменное имя по умолчанию, чтобы убедиться, что TRR работает, принимая любой положительный ответ (по умолчанию: example.com).
  • network.trr.bootstrapAddress — может установить IP-адрес URI в network.trr.uri для обхода использования встроенного системного преобразователя для его поиска (по умолчанию: нет)
  • network.trr.blacklist-duration — количество секунд, в течение которых записи будут храниться в черном списке (по умолчанию: 259200)
  • network.trr.request-timeout — Тайм-аут запросов через несколько миллисекунд (по умолчанию: 3000)
  • network.trr.early-AAAA — Firefox проверяет записи A и AAAA и сначала будет использовать AAAA, только если для параметра установлено значение true (по умолчанию: false)

Вывод

DNS через HTTPS — это хорошо, поскольку он улучшает конфиденциальность и безопасность поиска DNS при условии использования надежного провайдера. Я считаю, что исследование должно быть включено или, по крайней мере, информировать пользователя о том, что исследование было включено в браузере, и предоставлять информацию о том, как его отключить.

Теперь ваша очередь : Что вы думаете об этом?

Статьи по Теме

  • Как настроить DNSCrypt в Windows
  • Как ускорить медленно загружающийся сайт
  • Quad9 DNS обещает лучшую конфиденциальность и безопасность
  • Verisign запускает общедоступную службу DNS, уважающую конфиденциальность пользователей

Опубликовано admin

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *