Тестирование DNS over HTTPS в Firefox может привести к утечке данных об открываемых сайтах
Разработчики Mozilla намерены провести в ночных сборках Firefox тестирование нового резолвера TTR (Trusted Recursive Resolver), предоставляющего возможность отправки DNS-запросов поверх HTTPS (DoH, DNS over HTTPS). Тестирование планируют провести в режиме opt-out (по умолчанию включено, но пользователь может выключить).
DoH может оказаться полезным для исключения утечек сведений о запрашиваемых именах хостов через DNS-серверы провайдеров, борьбы с MITM-атаками по подмене DNS-трафика, противостояния блокировкам на уровне DNS или для оганизации работы в случае невозможности прямого обращения к DNS-сервеам (например, при работе через прокси). Если в обычной ситуации DNS-запросы напрямую отправляются на определённые в конфигурации системы DNS-серверы, то в случае DoH запрос на определение IP-адреса хоста инкапсулируется в трафик HTTPS и отправляется на HTTP-сервер, на котором резолвер обрабатывает запросы через Web API. Существующий стандарт DNSSEC использует шифрование лишь для аутентификации клиента и сервера, но не защищает трафик от перехвата и не гарантирует конфиденциальность запросов.
Проблема состоит в том, что для определённой категории пользователей Firefox Nightly при тестировании нового протокола все DNS-запросы по умолчанию планируется перенаправлять на сторонний DoH-сервер, который принадлежит компании Cloudflare. Запросы будут перенаправляться в режиме зеркалирования для сверки с работой штатного резолвера. Таким образом, Cloudflare сможет полностью контролировать информацию о хостах, которые открывают пользователи, принимающие участие в тестировании. Так как тестирование будет активировано без явного согласия пользователей и потребует изменения настроек для отключения, подобный шаг может негативно сказаться на репутации Mozilla в области сохранения приватности.
В свете скандала с утечкой данных пользователей Facebook многие разработчики Mozilla выступили против проведения тестирования в изначально запланированном виде. Вместо активации без ведома пользователя предлагается выводить запрос с предложением принять участие в тестировании с обозначением всех возможных угроз, связанных с передачей данных посторонней компании, и активировать тест только если пользователь явно согласился с предложением (простого информирования недостаточно).
Сторонники проведения тестирования в исходном виде утверждают, что приватность пользователей не пострадает, так как Mozilla заключила соглашение с Cloudflare в котором запрещено сохранение полученных от пользователей данных и их передача третьим лицам. Оппоненты парируют, что соглашение не защитит от утечек в результате ошибок (например, могут быть случайно оставлены логи) или злого умысла отдельных сотрудников.
В финальных выпусках Firefox начальная поддержка DoH ожидается в версии 60, но по умолчанию будет отключена и потребует явного изменения настроек в about: config. Настройка network.trr.mode=0 полностью отключат TRR; 1 — используется DNS или TRR, в зависимости от того, что быстрее; 2 — используется TRR по умолчанию, а DNS как запасной вариант; 3 — используется только TRR; 4 — режим зеркалирования при котором TRR и DNS задействованы параллельно. DoH-сервер определяется в настройке network.trr.uri. В настоящее время доступно два экспериментальных публичных сервера «https://dns.cloudflare.com/.well-known/dns» и «https://dns.google.com/experimental».
DoH может оказаться полезным для исключения утечек сведений о запрашиваемых именах хостов через DNS-серверы провайдеров, борьбы с MITM-атаками по подмене DNS-трафика, противостояния блокировкам на уровне DNS или для оганизации работы в случае невозможности прямого обращения к DNS-сервеам (например, при работе через прокси). Если в обычной ситуации DNS-запросы напрямую отправляются на определённые в конфигурации системы DNS-серверы, то в случае DoH запрос на определение IP-адреса хоста инкапсулируется в трафик HTTPS и отправляется на HTTP-сервер, на котором резолвер обрабатывает запросы через Web API. Существующий стандарт DNSSEC использует шифрование лишь для аутентификации клиента и сервера, но не защищает трафик от перехвата и не гарантирует конфиденциальность запросов.
Проблема состоит в том, что для определённой категории пользователей Firefox Nightly при тестировании нового протокола все DNS-запросы по умолчанию планируется перенаправлять на сторонний DoH-сервер, который принадлежит компании Cloudflare. Запросы будут перенаправляться в режиме зеркалирования для сверки с работой штатного резолвера. Таким образом, Cloudflare сможет полностью контролировать информацию о хостах, которые открывают пользователи, принимающие участие в тестировании. Так как тестирование будет активировано без явного согласия пользователей и потребует изменения настроек для отключения, подобный шаг может негативно сказаться на репутации Mozilla в области сохранения приватности.
В свете скандала с утечкой данных пользователей Facebook многие разработчики Mozilla выступили против проведения тестирования в изначально запланированном виде. Вместо активации без ведома пользователя предлагается выводить запрос с предложением принять участие в тестировании с обозначением всех возможных угроз, связанных с передачей данных посторонней компании, и активировать тест только если пользователь явно согласился с предложением (простого информирования недостаточно).
Сторонники проведения тестирования в исходном виде утверждают, что приватность пользователей не пострадает, так как Mozilla заключила соглашение с Cloudflare в котором запрещено сохранение полученных от пользователей данных и их передача третьим лицам. Оппоненты парируют, что соглашение не защитит от утечек в результате ошибок (например, могут быть случайно оставлены логи) или злого умысла отдельных сотрудников.
В финальных выпусках Firefox начальная поддержка DoH ожидается в версии 60, но по умолчанию будет отключена и потребует явного изменения настроек в about: config. Настройка network.trr.mode=0 полностью отключат TRR; 1 — используется DNS или TRR, в зависимости от того, что быстрее; 2 — используется TRR по умолчанию, а DNS как запасной вариант; 3 — используется только TRR; 4 — режим зеркалирования при котором TRR и DNS задействованы параллельно. DoH-сервер определяется в настройке network.trr.uri. В настоящее время доступно два экспериментальных публичных сервера «https://dns.cloudflare.com/.well-known/dns» и «https://dns.google.com/experimental».
Ещё новости по теме:
18:20