Britiske internetudbydere skælder Firefox ud: DNS over HTTPS ophæver indholdsblokering

Illustration: Michal Mrozek/Bigstock
Det er svært at blokere for indhold, når DNS-opslag udføres via HTTPS.

Sammenslutningen af internetudbydere i Storbritannien har udpeget Mozilla, firmaet bag Firefox, til 'årets skurk.' Det skriver Zdnet.

Den kedelige udnævnelse skyldes browserproducentens planer om at understøtte DNS-over-HTTPS (DoH) -protokollen i Firefox.

DoH benytter, som navnet siger, den krypterede HTTPS-protokol til transport af opslag i internettets telefonbog DNS. Det gør det markant sværere for internetudbyderne at blokere for bestemt indhold, som britisk lov foreskriver.

Hvis internetudbyderne fortsat vil blokere bestemte hjemmesider, bliver de således nødt til at gøre det på IP-niveau, eller bruge andre teknikker som eksempelvis SNI-filtrering.

Programmer, som benytter DoH, kan også vælge at benytte DNS-tjenester efter eget valg, i stedet for dem, som styresystemet stiller til rådighed, og som oftest stammer fra internetudbyderen.

Google har tilsvarende planer med Chrome, og Storbritanniens efterretningstjeneste GCHQ har kritiseret både Google og Mozilla for tiltagene.

Efterretningstjenesten hævder, at den nye protokol vil forhindre politiundersøgelser, og at den kan underminere offentlige myndigheders eksisterende beskyttelse mod ondsindede websites.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Maciej Szeliga

...DNS blokering virker ikke!

Det har it-folk sagt hele tiden.

GCHQ et al vil bare ikke sætte (dvs. betale for) den nødvendige firewall op som mere effektivt ville kunne blokere tingene - det passer jo ikke rigtigt ind i et “frit og demokratisk” land.

  • 13
  • 0
Jacob Rasmussen

Som bruges til at omgås censur også i Danmark

Censur i DK omgås nemmest ved bare at skifte DNS server.
Google (8.8.8.8), Cloudflare (1.1.1.1), OpenDNS (208.67.222.222 208.67.220.220) eller CensurfriDNS (91.239.100.100), Pick your poison...
Det gør det selvfølgelig ikke hemmeligt hvad du besøger, men hvis du vil skjule den slags, er det nok bedre at bruge VPN eller TOR, frem for blot at kryptere DNS.

Den blokering de har i UK må være mere dybdegående end den danske, siden det er et problem med DNS over HTTPS.

  • 7
  • 0
Martin Kofoed

Tænk sig at vi så hurtigt er nået dertil, at man bliver udnævnt som skurk, hvis man forsøger at sikre sine brugere en lige adgang til information. Eller fordi man ikke kan forhindre og blokere sit lands befolkning i at se noget information, som man skønner, de ikke må se.

Det er vildt nok. Frihed har trange kår.

  • 25
  • 0
Stig Nygaard

Synes nu godt nok også det er er lidt groft ligefrem at blive udnævnt til skurk fordi man gør noget for sikkerheden.

Når artiklen skriver

skyldes browserproducentens planer om at understøtte DNS-over-HTTPS (DoH) -protokollen i Firefox

lyder det iøvrigt som om indstillingen ikke er tilgængelig endnu. Men i nuværende Firefox 67 finder man DNS over HTTP i Options hvis man åbner Network Settings i bunden af General fanebladet (eller er det kun fordi jeg tidligere har pillet i about:config indstillingerne her, at de er synlige for mig?)

  • 8
  • 0
Christian Nobel

.. om myndighederne i stedet for at beflitte sig med ineffektiv symbolpolitik gjorde et ordentligt stykke arbejde?

Efterretningstjenesten hævder, at den nye protokol vil forhindre politiundersøgelser, og at den kan underminere offentlige myndigheders eksisterende beskyttelse mod ondsindede websites.

I stedet for at tro at problemet f.eks. med børneporno forsvinder, fordi der ikke kan laves navneopslag på et givent site, hvad så med i stedet at finde bagmændene, og så slå ned på dem.

Men klart det, det gør det straks sværere at være bydreng for medieindustrien et al, for så skal man pludselig til at forholde sig til sagens kerne.

  • 15
  • 0
Poul-Henning Kamp Blogger

Tænk sig at vi så hurtigt er nået dertil, at man bliver udnævnt som skurk, hvis man forsøger at sikre sine brugere en lige adgang til information.

Skal vi lige prøve at kigge en lille smule nærmere på det du uden at tænke dig godt om hælder ud der ?

Lige adgang?

Måske, men nu kan du kun se den information som Mozilla Foundation lader dig se, så det er ikke "lige og uhindret adgang".

Mozilla Foundation er en 501(c)3 USAnsk fond, og dermed underlagt USAnsk lov, herunder det mere uhomske dele såsom "National Security Letters".

Dermed kan "Law Enforcement" og "Defense Departments" skrive et brev til Mozilla Foundation og:

  1. Få en liste over alle DNS opslag du har lavet med din browser = Alt hvad du har surfet.
  2. Bede om at få specifikke forkerte DNS svar sendt til netop dig, med henvisning til en "Ongoing Investigation" eller "National Security"

Mozilla Foundation kan gå i retten, men så længe det drejer sig om en specifik eller en veldefineret gruppe af udlændinge vil de altid tabe.

Herudover kan vi tilføje:

A) Mozilla Foundation, inklusive alle evt. mere eller mindre troværdige medarbejdere i driften af deres DNS service får nu adgang til bulk data der indeholder en præcis liste over alle dine og alle andre firefox brugers DNS opslag, herunder metadata som timing, sekvens osv.

B) Takket være krypteringen, kan hverken du eller neutrale forskere se præcis hvad din browser spørger mozillas DNS server om, hverken på individuel basis, eller for forskning i bulk fænomener.

MAO: Velkommen til endnu en Walled Garden

  • 5
  • 6
Jesper Nielsen
  • 6
  • 0
Kenn Nielsen

>>Efterretningstjenesten hævder, at den nye protokol vil forhindre politiundersøgelser, og at den kan underminere offentlige myndigheders eksisterende beskyttelse mod ondsindede websites.<<

I stedet for at tro at problemet f.eks. med børneporno forsvinder, fordi der ikke kan laves navneopslag på et givent site, hvad så med i stedet at finde bagmændene, og så slå ned på dem.


I en bananrepublik, hvor regeringen aktivt (!!) beder politiet om ikke at blande sig i voldtægt af 11årige piger, - og hvor man gladeligt retsforfølger folk for at stille et simpelt spørgsmål til de dømte voldtægtsforbrydere(af mindreårige) under påskud af at det gør de dømte angste - tror jeg de vil opfinde et hvilketsomhelst påskud for at kunne kigge befolkningen "i kortene".

K

  • 2
  • 1
Bjarne Nielsen

skrive et brev til Mozilla Foundation

Sidst jeg checkede, da var det Cloudflare, som var default, så det virker dumt, hvis de sender brevet til Mozilla. Cloudflare er så også af USAnsk ophav (og det er det andet ofte nævnte alternativ Google også).

Føler man sig ikke helt tryg ved det USAnsk indflydelse, så kan man jo f.eks. prøve cz.nic i stedet, som både udbyder dot og doh (og dnssec):

https://www.nic.cz/page/734/open-dnssec-validating-resolvers/

(siden siger godt nok at doh er 'temporarily unavailable')

Og mon ikke der kommer flere alternativer?

  • 5
  • 0
Bjarne Nielsen

Jeg har ikke lige kigget på funktionaliteten (bruger ikke Firefox), men kan man ikke selv vælge hvilken DNS-server der skal bruges til DoH?

Det kan man. Se nederst i dialogen vedr. "Networks Settings".

MAO: Velkommen til endnu en Walled Garden

RFC-8484

Læs i øvrigt afsnit 9+10 grundigt, specielt hvis man er bange på NSL-niveau. Der står bl.a.:

In the absence of DNSSEC information, a DoH server can give a client invalid data in response to a DNS query.

Men sølvpapirshat-point for at påpege, at dette - som ved så mange andre sikkerhedsrelaterede tiltag - ikke løser problemet, men bare flytter det et andet sted hen. Så man skal passe meget på, at man ikke kommer fra asken og i ilden.

I øvrigt tror jeg at dette skal ses i sammenhæng med Republikanernes frontalangreb på net neutraliteten mv., som FCC med Ajit Pai i spidsen især har stået for. Og der var i forvejen ikke megen grund til at stole på sin ISP i USA, og jeg gætter på, at initiativet skal ses i det lys: det giver muligheden for at bypasse sin ISP. Vi kan godt give det en national eller kontinental fortolkning, men jeg tror faktisk mere at dette hovedsageligt skal forstås ved at kigge over atlanten.

  • 4
  • 0
Log ind eller Opret konto for at kommentere