Internetudbydere frygter at ny Chrome-feature forhindrer overvågning af kunder

Illustration: Google
Både Google og Mozilla planlægger at kryptere DNS-forespørgsler.

I øjeblikket er de fleste DNS-forespørgsler ukrypterede, og det er bekymrende for både privatliv og sikkerhed.

Derfor vil Google og Mozilla gøre det muligt at sende DNS-forespørgsler i deres browsere over den krypterede HTTPS-protokol.

Men det har fået en række amerikanske internetudbydere til at advare om, at Googles support til DNS over HTTPS, DoH, 'kan påvirke kritiske internfunktioner på stor skala og medføre problemer med data-konkurrence'.

Det skriver Ars Technica.

Kan bruges til kontroversielle formål

Internetudbydere kan monitorere deres kunders internettrafik og for eksempel registrere, hvis der sendes forespørgsler til domæner med malware, eller blokere børn i at tilgå domæner med et seksuelt indhold.

Men det kan også bruges til mere kontroversielle formål som for eksempel målrettede annoncer. Hvis DoH bliver udbredt vil det begrænse internetudbyderne i at monitorere og ændre deres kunders forespørgsler.

Internetudbyderne vil stadig kunne se, hvilke IP-adresser kunder har besøgt.

Men fordi flere domæner kan dele IP-adresse, og domæner kan ændre IP-adresse over tid, vil internetudbyderne have sværere ved at følge med i deres kunders adfærd på internettet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (27)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Maciej Szeliga

...det kan blive et problem for kunderne :-D

Næste spørgsmål er så om man TØR lade Google køre DNS for sig - det vil nemlig først give Google ret mange nye spændende muligheder: “nej, i dag syntes vi ikke at DuckDuckGo skal være søgemaskine for dig, så du får Google selv om du skriver duckduckgo”.

  • 19
  • 4
Stig Nygaard

@Maciej, så vidt jeg ved vil Chrome ikke automatisk ændre DNS til at pege på Google's egne DNS servere, men bruge DoH versionen af den DNS der allerede bruges (når en sådan findes).

I Firefox findes DoH i øvrigt allerede fuldt implementeret og kan aktiveres og konfigureres via de almindelige browser-options. Det lyder som om Mozilla - i hvert fald i nogen områder - med tiden default (vil foreslå?) DoH DNS fra CloudFlare.

  • 5
  • 0
Jens Beltofte

I Firefox findes DoH i øvrigt allerede fuldt implementeret og kan aktiveres og konfigureres via de almindelige browser-options. Det lyder som om Mozilla - i hvert fald i nogen områder - med tiden default (vil foreslå?) DoH DNS fra CloudFlare.

Hvis jeg aktiverer DoH i min Firefox er Cloudflare eneste standard mulighed, hvis jeg ikke manuelt vil konfigurere en DNS provider.

  • 0
  • 0
Michael Cederberg
  • 1
  • 3
Kenn Nielsen

Når du bruger Chrome browseren stoler du allerede på at Google ikke indsamler hvert eneste URL du besøger.
Hvis de ville indsamle data om hvad du kigger på kunne de jo bare gøre det direkte i browseren. Så får de også hele stien med i stedet for kun domænet.


Ja, men hvordan vil de så sende hele URL'en tilbage, uden brugeren kan 'se' det ved at trace på forbindelsen ?

Nåeh - ja !
De sender det bare med DoH, fordi dén kommunikation kan man jo ikke afkode på et trace.

Jeg har sagt det før;
DoH er en glimrende måde at "exfiltrere" information på.

K

  • 0
  • 2
Sune Marcher

Sådan fungerer HTTPS ikke. Din browser vil afvise trafik, som ikke er signeret med et certifikat bundet til det pågældende domæne.


Hvis Google rent faktisk var onde nok til at resolve ddg til en af deres egne maskiner, hvad skulle så forhindre dem i at udstede et korrekt udseende certifikat?

Eller at redirecte HTTPS requestet til HTTP, så certifikat ikke er nødvendigt?

  • 1
  • 2
Martin Storgaard Dieu

Din browser vil afvise trafik, som ikke er signeret med et certifikat bundet til det pågældende domæne.

Hvis du hijacker et site på DNS niveau, som der skete i Brasilien i 2012, hvad er så tilhindre for også at vise en side på ren http? Der er måske sket noget på browser fronten siden 2012 - bevares (HSTS fx).

https://nakedsecurity.sophos.com/2012/10/01/hacked-routers-brazil-vb2012/

  • 0
  • 0
Michael Cederberg
  • 5
  • 0
Maciej Szeliga

Under alle omstændigheder vil det være ret nemt at opdage hvis det sker i stor stil. Google ville være befolket af idioter hvis de bevidst valgte at gøre den slags. Det er de ikke.


Hvis du først har kontrol over den DNS som browseren bruger kan du gøre hvad der passer dig og alm. brugere vil aldrig opdage noget...
...du skal bare "luske" en CA med ind i browseren som vil godkende de sites som du hijacker - men how, du laver jo selv browseren så det ordner sig nok. ;-)

  • 2
  • 1
Michael Cederberg

Hvis du først har kontrol over den DNS som browseren bruger kan du gøre hvad der passer dig og alm. brugere vil aldrig opdage noget...
...du skal bare "luske" en CA med ind i browseren som vil godkende de sites som du hijacker - men how, du laver jo selv browseren så det ordner sig nok. ;-)

Men hvis du gør det i stor stil, så er der et par nørder der vil lægge mærke til det. Læg venligst mærke til at jeg skrev "i stor stil" i mit indlæg. Når først sagen ruller ... så er det slut med folks brug af Chrome.

  • 1
  • 0
Martin Dahl

Artiklen drejer sig om at understøtte DNS over HTTPS.

Uanset hvilken DNS man ønsker at benytte, så er det selvfølgelig et tillidsforhold, fordi man skal kunne stole på det tjenesten returnerer.

Sagen her angår om trafikken mellem klient og DNS er over HTTPS. Og det er ikke i ISPernes interesse, men formodentligt i alle privatpersoners interesse.

Som DNS leverandør får man hverken mere eller mindre info om brugernes forespørgsler ved at overgå til HTTPS. OG: Google melder ud at de ikke har planer om at centralisere eller ændre brugeres egne DNS indstillinger.

Så det er altså et dejligt tilbud, og der vil være flere leverandører om at tilbyde DNS over HTTPS, så man ikke er tvunget til at benytte Googles.

Hvis man sammenblander hvad Evil Corp, ville kunne gøre, hvis de også ændrer på andet i stakken, så bliver diskussionen noget rod.

Det er et faktum at mindst chipset producent, bios udvikler, operativ system udvikler, installatør af OS samt browser udvikler -alle i princippet har 100% adgang til hvad du foretager dig i din browser.

Mistilliden til den kæde har ikke noget med tillid til DNS med eller uden HTTPS at gøre.

Men det er korrekt at kontrol over en DNS plus mulighed for udstedelse af vilkårlige SSL certifikater eliminerer det niveau af sikkerhed som HTTPS ellers leverer.

  • 6
  • 0
Bjørn Damborg Froberg

Jeg har et Shield TV derhjemme, som kører på Android TV. Jeg bemærkede at mit piHole ikke fik nogen forespørgsler fra boksen og kunne konstatere, at den med standard opsætning direkte bypasser alt og hopper direkte på 8.8.8.8 - uagtet DHCP opsætning over WiFi.
Smed den på kablet net og specificerede manuelt pihole adressen, men det er da allerede der lidt i retning af at force noget ned over hovedet på folk.
Synes jeg.

  • 4
  • 1
Kenneth Schack Banner

Synes da det er positivt at kommunikationen krypteres. At man så skal vælge en udbyder, sådan har det jo altid været..
Nu har vi friheden og godt man har Firefox som længe har haft DoH funktionaliteten!
Det er jo ikke værre end hvem er din https leverandør.. Hvorfor skal vi som besøgende stole på et ssl certifikat fra comodo, letsencrypt eller norton?...

Det handler om tillid.. Dog kan man gøre det ekstra at bruge en VPN forbindelse og eller tor browser, hvis man vil beskytte sig grundigt..

  • 1
  • 0
Jens Jönsson
  • 0
  • 0
Log ind eller Opret konto for at kommentere