Britiske internetudbydere skælder Firefox ud: DNS over HTTPS ophæver indholdsblokering

5. juli 2019 kl. 09:5112
Britiske internetudbydere skælder Firefox ud: DNS over HTTPS ophæver indholdsblokering
Illustration: Michal Mrozek/Bigstock.
Det er svært at blokere for indhold, når DNS-opslag udføres via HTTPS.
person
/tan
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person
/tan

Sammenslutningen af internetudbydere i Storbritannien har udpeget Mozilla, firmaet bag Firefox, til 'årets skurk.' Det skriver Zdnet.

Den kedelige udnævnelse skyldes browserproducentens planer om at understøtte DNS-over-HTTPS (DoH) -protokollen i Firefox.

DoH benytter, som navnet siger, den krypterede HTTPS-protokol til transport af opslag i internettets telefonbog DNS. Det gør det markant sværere for internetudbyderne at blokere for bestemt indhold, som britisk lov foreskriver.

Hvis internetudbyderne fortsat vil blokere bestemte hjemmesider, bliver de således nødt til at gøre det på IP-niveau, eller bruge andre teknikker som eksempelvis SNI-filtrering.

Artiklen fortsætter efter annoncen

Programmer, som benytter DoH, kan også vælge at benytte DNS-tjenester efter eget valg, i stedet for dem, som styresystemet stiller til rådighed, og som oftest stammer fra internetudbyderen.

Google har tilsvarende planer med Chrome, og Storbritanniens efterretningstjeneste GCHQ har kritiseret både Google og Mozilla for tiltagene.

Efterretningstjenesten hævder, at den nye protokol vil forhindre politiundersøgelser, og at den kan underminere offentlige myndigheders eksisterende beskyttelse mod ondsindede websites.

Emner
12 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
12
Bjarne Nielsen
5. juli 2019 kl. 18:31

Jeg har ikke lige kigget på funktionaliteten (bruger ikke Firefox), men kan man ikke selv vælge hvilken DNS-server der skal bruges til DoH?

Det kan man. Se nederst i dialogen vedr. "Networks Settings".

MAO: Velkommen til endnu en Walled Garden

RFC-8484

Læs i øvrigt afsnit 9+10 grundigt, specielt hvis man er bange på NSL-niveau. Der står bl.a.:

In the absence of DNSSEC information, a DoH server can give a client invalid data in response to a DNS query.

Men sølvpapirshat-point for at påpege, at dette - som ved så mange andre sikkerhedsrelaterede tiltag - ikke løser problemet, men bare flytter det et andet sted hen. Så man skal passe meget på, at man ikke kommer fra asken og i ilden.

I øvrigt tror jeg at dette skal ses i sammenhæng med Republikanernes frontalangreb på net neutraliteten mv., som FCC med Ajit Pai i spidsen især har stået for. Og der var i forvejen ikke megen grund til at stole på sin ISP i USA, og jeg gætter på, at initiativet skal ses i det lys: det giver muligheden for at bypasse sin ISP. Vi kan godt give det en national eller kontinental fortolkning, men jeg tror faktisk mere at dette hovedsageligt skal forstås ved at kigge over atlanten.

  • more_vert
    • insert_linkKopier link
11
Bjarne Nielsen
5. juli 2019 kl. 15:41

skrive et brev til Mozilla Foundation

Sidst jeg checkede, da var det Cloudflare, som var default, så det virker dumt, hvis de sender brevet til Mozilla. Cloudflare er så også af USAnsk ophav (og det er det andet ofte nævnte alternativ Google også).

Føler man sig ikke helt tryg ved det USAnsk indflydelse, så kan man jo f.eks. prøve cz.nic i stedet, som både udbyder dot og doh (og dnssec):

https://www.nic.cz/page/734/open-dnssec-validating-resolvers/

(siden siger godt nok at doh er 'temporarily unavailable')

Og mon ikke der kommer flere alternativer?

  • more_vert
    • insert_linkKopier link
10
Kenn Nielsen
5. juli 2019 kl. 15:39

</p>
<blockquote>
<blockquote>
<p>Efterretningstjenesten hævder, at den nye protokol vil forhindre politiundersøgelser, og at den kan underminere offentlige myndigheders eksisterende beskyttelse mod ondsindede websites.<<</p>
</blockquote>
</blockquote>
<p>I stedet for at tro at problemet f.eks. med børneporno forsvinder, fordi der ikke kan laves navneopslag på et givent site, hvad så med i stedet at finde bagmændene, og så slå ned på dem.

I en bananrepublik, hvor regeringen aktivt (!!) beder politiet om ikke at blande sig i voldtægt af 11årige piger, - og hvor man gladeligt retsforfølger folk for at stille et simpelt spørgsmål til de dømte voldtægtsforbrydere(af mindreårige) under påskud af at det gør de dømte angste - tror jeg de vil opfinde et hvilketsomhelst påskud for at kunne kigge befolkningen "i kortene".

K

  • more_vert
    • insert_linkKopier link
8
Poul-Henning Kamp
5. juli 2019 kl. 13:04

Tænk sig at vi så hurtigt er nået dertil, at man bliver udnævnt som skurk, hvis man forsøger at sikre sine brugere en lige adgang til information.

Skal vi lige prøve at kigge en lille smule nærmere på det du uden at tænke dig godt om hælder ud der ?

Lige adgang?

Måske, men nu kan du kun se den information som Mozilla Foundation lader dig se, så det er ikke "lige og uhindret adgang".

Mozilla Foundation er en 501(c)3 USAnsk fond, og dermed underlagt USAnsk lov, herunder det mere uhomske dele såsom "National Security Letters".

Dermed kan "Law Enforcement" og "Defense Departments" skrive et brev til Mozilla Foundation og:

  1. Få en liste over alle DNS opslag du har lavet med din browser = Alt hvad du har surfet.
  2. Bede om at få specifikke forkerte DNS svar sendt til netop dig, med henvisning til en "Ongoing Investigation" eller "National Security"

Mozilla Foundation kan gå i retten, men så længe det drejer sig om en specifik eller en veldefineret gruppe af udlændinge vil de altid tabe.

Herudover kan vi tilføje:

A) Mozilla Foundation, inklusive alle evt. mere eller mindre troværdige medarbejdere i driften af deres DNS service får nu adgang til bulk data der indeholder en præcis liste over alle dine og alle andre firefox brugers DNS opslag, herunder metadata som timing, sekvens osv.

B) Takket være krypteringen, kan hverken du eller neutrale forskere se præcis hvad din browser spørger mozillas DNS server om, hverken på individuel basis, eller for forskning i bulk fænomener.

MAO: Velkommen til endnu en Walled Garden

  • more_vert
    • insert_linkKopier link
7
Christian Nobel
5. juli 2019 kl. 11:47

.. om myndighederne i stedet for at beflitte sig med ineffektiv symbolpolitik gjorde et ordentligt stykke arbejde?

Efterretningstjenesten hævder, at den nye protokol vil forhindre politiundersøgelser, og at den kan underminere offentlige myndigheders eksisterende beskyttelse mod ondsindede websites.

I stedet for at tro at problemet f.eks. med børneporno forsvinder, fordi der ikke kan laves navneopslag på et givent site, hvad så med i stedet at finde bagmændene, og så slå ned på dem.

Men klart det, det gør det straks sværere at være bydreng for medieindustrien et al, for så skal man pludselig til at forholde sig til sagens kerne.

  • more_vert
    • insert_linkKopier link
6
Axel Nielsen
5. juli 2019 kl. 11:12

Nope, hér er indstillingen også "fremme i lyset"...

  • more_vert
    • insert_linkKopier link
5
Stig Nygaard
5. juli 2019 kl. 11:02

Synes nu godt nok også det er er lidt groft ligefrem at blive udnævnt til skurk fordi man gør noget for sikkerheden.

Når artiklen skriver

skyldes browserproducentens planer om at understøtte DNS-over-HTTPS (DoH) -protokollen i Firefox

lyder det iøvrigt som om indstillingen ikke er tilgængelig endnu. Men i nuværende Firefox 67 finder man DNS over HTTP i Options hvis man åbner Network Settings i bunden af General fanebladet (eller er det kun fordi jeg tidligere har pillet i about:config indstillingerne her, at de er synlige for mig?)

  • more_vert
    • insert_linkKopier link
4
Martin Kofoed
5. juli 2019 kl. 10:39

Tænk sig at vi så hurtigt er nået dertil, at man bliver udnævnt som skurk, hvis man forsøger at sikre sine brugere en lige adgang til information. Eller fordi man ikke kan forhindre og blokere sit lands befolkning i at se noget information, som man skønner, de ikke må se.

Det er vildt nok. Frihed har trange kår.

  • more_vert
    • insert_linkKopier link
3
Jacob Rasmussen
5. juli 2019 kl. 10:30

Som bruges til at omgås censur også i Danmark

Censur i DK omgås nemmest ved bare at skifte DNS server. Google (8.8.8.8), Cloudflare (1.1.1.1), OpenDNS (208.67.222.222 208.67.220.220) eller CensurfriDNS (91.239.100.100), Pick your poison... Det gør det selvfølgelig ikke hemmeligt hvad du besøger, men hvis du vil skjule den slags, er det nok bedre at bruge VPN eller TOR, frem for blot at kryptere DNS.

Den blokering de har i UK må være mere dybdegående end den danske, siden det er et problem med DNS over HTTPS.

  • more_vert
    • insert_linkKopier link
2
Michael Harly
5. juli 2019 kl. 10:21

Tror ikke de kender DNScrypt som har være freme i mange år.

Som bruges til at omgås censur også i Danmark

  • more_vert
    • insert_linkKopier link
1
Maciej Szeliga
5. juli 2019 kl. 10:17

...DNS blokering virker ikke!

Det har it-folk sagt hele tiden.

GCHQ et al vil bare ikke sætte (dvs. betale for) den nødvendige firewall op som mere effektivt ville kunne blokere tingene - det passer jo ikke rigtigt ind i et “frit og demokratisk” land.

  • more_vert
    • insert_linkKopier link