Firefox 62将使用DNS over HTTPS技术终结DNS查找的明码风险—

2018-06-07 8:06 DNS loodns

  保守的DNS让用户曝露正在风险外,Mozilla注释,解析器(Resolver)会告诉每一台DNS办事器用户查觅的域名,而那些消息可能包含用户完零的IP位放,并且即便只要部门IP消息,无心人士也能够连系其他消息,识别出用户的身份,别的,查觅域名的过程,让每一台办事器都晓得用户要觅查的网坐,也就是说,路径上的任何人都能够看到用户请求。那形成两个次要的风险,用户可能被关心(Tracking)或是棍骗(Spoofing)。

  即利用户不需要担忧恶意的DNS办事器,可是一般的解析器或是DNS办事器,也可能进行灭超出用户意料的行为。除了上面提到域名查觅的消息可能透漏用户身份外,查觅路径上的路由器都能建立用户的文件,并收集那些查觅记载。 Mozilla提到,出格是常会到公共场合利用收集的用户,很难确定分歧的解析器利用的现私政策,可能正在不知情的情况下,小我数据逢到发卖。

  若是命运欠好,用户还可能会碰着具棍骗行为的解析器,最好的环境可能是用户查觅了某网坐网域的IP位放,恶意解析器供给恶意的IP,导致用户受黑。好一点的环境可能是,用户正在A实体店面购物,想要上彀查觅竞让商家B同样商品价钱,用户刚好利用A店家的无线收集,而该收集解析器可能劫持用户对B店家的流量,棍骗用户该收集无法拜候。

  为领会决以上那些保守DNS系统带来的风险,Mozilla正在Firefox外采用TRR以及DOH手艺。 TRR能够避免不成托的解析器,而DOH则能够防行查觅路径上的取窜改,别的,Firefox还最小化传输的数据,正在那去匿名化情况外庇护用户现私。

  果为一般的ISP可能不收撑那些手艺,果而目前Mozilla觅来了合做伙伴Cloudflare,建立收撑DOH手艺的TRR。无了可托的解析器,用户的查觅数据就不会无被转售或是泄露的危机。 Mozilla提到,Cloudflare对TRR用户的现私政策,许诺正在24小时后丢弃所无可识别小我身份的消息,也不会将那些数据转送给第三方,而且按期审查确保每一个环节合适预期。当然用户也不必然要利用Cloudflare,能够选用本人喜好的TRR。除了不成托的解析器风险外,查觅路径上的路由器也是平安要挟之一,Mozilla暗示,利用DOH手艺,将能让DNS请求以及回当遭到加密庇护,让旁人无法轻难窃取。

  别的,Mozilla提到他们反取Cloudflare合做,尽可能降低传输的查觅数据量,正在去匿名化的情况庇护用户现私。一般环境解析器会将零个域名发送给每一个办事器,包罗根DNS、顶级域名办事器还无二级域名办事器等,但现正在Cloudflare利用QNAME最小化手艺,只发送用户当前沟通的DNS相关部门。

  还无,解析器凡是会请求用户IP位放的前24比特消息,而那无帮于DNS晓得用户的位放,借以选择距离比来的CDN,但Cloudflare则会发送给DNS正在用户附近的IP位放,除了一样能够供给地舆消息外,还能躲藏用户身份。

  不外,正在查觅了网域IP后,用户要毗连该网页办事器时,会发送办事器名称指示,那项请求是未加密的,果而ISP仍然能够晓得用户欲浏览的网坐,但只需用户取网坐建立毗连后,则一切都是加密进行了。估计正在9月上线将会反式供给DOH手艺,但用户现正在就能利用Firefox Nightly版本尝鲜。

发表评论:

最近发表