Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Firefox uruchamia DNS over HTTPS [US]. Pozostali mogą skonfigurować to ręcznie
Odwiedzasz serwisy z wykorzystaniem HTTPS? Bardzo dobrze, ale najpewniej zapytania do DNS, które realizuje Twoja przeglądarka realizowane są zwykłym plaintextem. Poza możliwością podrzucenia Ci fałszywej odpowiedzi (realizując atak klasy MiTM) firmy czy providerzy internetowi mogą łatwo analizować jakie domeny odwiedzają użytkownicy. Ma to też pozytywne strony – np. na podstawie zapytań DNS można czasem szybko zlokalizować komputer w którym zagnieździł się jakiś malware.
Przechodząc do sedna newsa – Firefox właśnie uruchomił produkcyjnie i domyślnie w USA rozwiązywanie nazw DNS z wykorzystaniem HTTPS (DoH). W innych krajach (również u nas) można to włączyć ręcznie (ustawienia proxy):
Na razie do wyboru mamy dwóch dostawców usługi: Cloudflare oraz NextDNS. Co ciekawe w Chrome również mamy taką opcję (domyślnie wyłączoną, można ją włączyć – choć jest ona cały czas eksperymentalna: część serwisów łącznie z sekurakiem może przestać Wam działać):
–ms
Jeśli DOH będzie blokowało niektóre DNS jak firewall
to zgadza się ze zarówno strona blokowana
jak i inne strony korzystające ze skryptów które łącza się z blokowanymi stronami mogą się zawiesić.
Skrypty w przeglądarce podczas „serfowania” można wyłączyć np. poprzez wyłączenie „java”, ale nie każda strona działa bez „java”.
Wydaje mi się ze DOH jest także podatny na MiTM.
Rożnica tylko ze kto inny może posiąść dane lub z innego punktu.
( Jeśli zrobili to dla pieniędzy z danych, to dobrze ze nie włączyli tego domyślnie. )
IP nie jest szyfrowane. Także wchodząc na popularne serwisy lub na zarejestrowane DNS i tak można będzie się domyślić DNS.
Na Ubuntu i RHEL chrome zwraca tylko info „Not available on your platform”. Firefox natomiast działa dla większości prawidłowo.
I tym sposobem cały misterny plan blokowania porno w szkołach poszedł w… no po prostu poszedł.