Mozilla以隐私之名推出DNS流量劫持机制:技术解析与应对策略

本文深入分析了Mozilla在Firefox中默认启用DNS over HTTPS(DoH)的技术实现及其对网络控制的影响,探讨了企业、学校及家庭用户面临的挑战,并提供了三种具体应对方案,包括网络配置调整和浏览器设置修改。

Mozilla以隐私之名推出DNS流量劫持机制

作者:Tony Perez | 2019年9月16日

2019年9月,Mozilla将通过其可信递归解析器(TRR)计划在Firefox中开始发布DNS over HTTPS(DoH)。这是一篇关于DNS安全的入门文章。

这一变化基于我们之前听到的主题:a)旧协议没有考虑安全性和隐私性,b)存在人们可以看到您搜索内容的威胁。这听起来应该很熟悉,我们在2014年至2018年看到了谷歌推动的类似运动,即#httpseverywhere活动。

在这两种情况下,这些组织都在试图解决我们所有人依赖的技术结构中的根本缺陷。不同之处在于解决问题的方式。

从技术上讲,我对提供DoH的想法没有异议。我质疑的是系统级控制是否应该转移到Web层。让我感到不安的是他们的实施方式——他们默认启用它,而没有询问用户。他们还与CloudFlare合作作为其默认的DoH服务提供商;这意味着您在Firefox上发出的每个请求都将发送到一个用户未选择的私人组织。对我来说,这是一个挥舞信任旗帜的组织的严重信任 breach。

相比之下,谷歌的实施将默认设置为关闭。它还将允许用户选择他们喜欢的DoH提供商。

为什么您应该关心Mozilla的DoH实施

如果您是负责控制网络上发生什么的人,您应该非常关心。Mozilla的默认实施,缺乏更好的词,是一个虚拟专用网络(VPN),允许任何使用Firefox的人绕过网络上存在的任何控制。

以下是一些例子说明这意味着什么:

  • 假设您是一所学校。您的学校WiFi上有数百名孩子。您已经部署了自己的DNS解析器来保护孩子免受恶意网站的侵害,或阻止他们访问色情或淫秽内容。这一新实施将使您的孩子现在可以绕过您的网络控制。
  • 假设您是一位家长。您担心孩子上网时访问的内容。您部署了一个网络工具来帮助控制他们可以和不可以在网上访问的内容,同时抑制他们在网上的互动方式。这一新实施将使您的孩子现在可以绕过您的网络控制。
  • 假设您对色情内容上瘾。这是一个非常真实的问题。您在网络上部署控制以防止自己访问淫秽内容(对于受困扰的人来说,有时是无法控制的)。这一新实施将使您现在可以绕过自己的网络控制。
  • 假设您是企业NOC内部的安全工程师。您的任务是分析流量以确保恶意流量不会进入或流出。这一新实施将允许网络上的任何人绕过您可能部署的任何控制。
  • 假设您是一个政府,试图实施新法规以使ISP对儿童色情和其他邪恶在线行为负责。这一新实施将阻止这一点。

这些只是一些粗略的例子,旨在强调Firefox选择的部署的严重性。

您可以对Mozilla的实施做什么

如果您希望保留对网络的控制权,不允许Mozilla为您做出默认选择,您有几个选项:

选项1:利用默认禁用的网络内容过滤服务

如果您是家长、学校或大型组织,您可以使用基于云的DNS内容过滤服务,如CleanBrowsing,来帮助缓解这一变化。

如果您是大型企业,您可以向FireFox发出信号,表明您有特定的控制措施,并且应禁用DoH部署。

网络管理员可以如下配置其网络,以表明其本地DNS解析器实施了使网络不适合DoH的特殊功能。对域“use-application-dns.net”的A和AAAA记录的DNS查询必须响应:非NOERROR的响应代码,如NXDOMAIN(不存在的域)或SERVFAIL;或响应NOERROR,但不返回任何A或AAAA记录。

请注意其发布说明中这一非常重要的警告:如果用户选择手动启用DoH,网络的信号将被忽略,用户的偏好将得到尊重。根据您组织对此的立场,您可能要考虑选项3。

选项2:在Firefox中禁用DNS-over-HTTPS

您可以在Firefox连接设置中禁用DoH:

  1. 单击菜单按钮并选择“首选项”。
  2. 在“常规”面板中,向下滚动到“网络设置”并单击“设置…”按钮。
  3. 在打开的对话框中,向下滚动到“启用DNS over HTTPS”。
    • 开启:选择“启用DNS over HTTPS”复选框。选择提供商或设置自定义提供商。
    • 关闭:取消选择“启用DNS over HTTPS”复选框。
  4. 单击“确定”保存更改并关闭窗口。

选项3:移除Firefox

尽管这个选项听起来很极端,但我已经与一些企业CISO交谈过,他们正在考虑从网络中移除Firefox的选项。他们的理由围绕两个不同的立场:浏览器假设了太多控制权,并将Firefox视为VPN。这似乎是他们有意朝这个方向发展的。

网络关键部分的演变——DNS

网络的一个关键部分正在演变,对于大多数消费者来说,您不了解或欣赏这意味着什么,但其影响可能是巨大的。

无论您站在哪一边,技术人员之间都有一个共同的愿望,即确保一个更安全、更私密的网络;然而,问题是如何实施它。

我将在未来的文章中更深入地探讨社区政治的具体细节以及选项之间的技术细节。如果您绝对不能等待,我鼓励您阅读我的GoDaddy同事Brian Dickson与我们DNS团队的一篇精彩文章——DNS-over-HTTPS:隐私和安全问题。

发布在安全类别,并标记为Web和信息安全。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次