"Internetschurke": Organisation erhebt absurde Vorwürfe gegen Mozilla

Es sind absurde Anschuldigungen, die der Provider-Verband des Vereinigten Königreichs gegen Mozilla erhebt: Das Unternehmen sei ein "Internet­schurke", weil es DNS-over-HTTPS als Standard durchsetzen will. Dies sei schlecht für die Sicherheit im ... mehr... Kriminalität, Anonymität, Maske Bildquelle: Tobias Maier (CC BY-SA 3.0) Kriminalität, Anonymität, Maske Kriminalität, Anonymität, Maske Tobias Maier (CC BY-SA 3.0)

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
DoH ist vor allem für Firmen-Admins der reine Horror. Normalerweise ist es dort Teil des Konzeptes, dass die Nutzer halt die entsprechend bereitgestellten DNS Server verwenden. Ein Browser, der so etwas umgeht, umgeht damit sowohl Funktionalitäten als auch Sicherheitskonzept.

Am Ende freuen sich über sowas die bösen Buben. Malware-Traffic über DoH zu tunneln hat man die Tage ja grad schon vorgeführt. Die Werbe-Industrie freut sich sicherlich auch, wenn plötzlich DNS-Adblocker vom Browser umgangen werden.

Wenn man DNS absichern will, soll man DNS absichern, und keine zweite, nicht sinnvoll administrierbare Alternative aufbauen.
 
@der_ingo: Beim DoH Malware Traffic handelt es sich laut Golem um eine Falschmeldung, siehe: https://www.golem.de/news/verschluesseltes-dns-falschmeldung-in-propagandaschlacht-um-dns-ueber-https-1907-142358.html
 
@SouThPaRk1991: okay, dann war das eine Ente. Ändert nichts an den sonstigen Kritikpunkten
 
@der_ingo: Ausserdem freuen sich die Nutzer von Kino.to (oder wie die Seite jetzt heisst), Serienjunkies und all die anderen Seiten, welche die Provider über DNS sperren müssen, weil die plötzlich wieder zugänglich sind. ^^
Da wird wohl die Contentmafia am lautesten dagegen schreien.
 
@moribund: dazu kann man auch einfach den DNS des Providers gegen den DNS von Google, Quad9 oder anderen austauschen. Dazu muss man nicht das ganze DNS System ad-absurdum führen.
 
@der_ingo: Das stimmt. Wissen aber die meisten nicht.
 
@moribund: Wie man die Sperren-für-Doofe umgeht, können Dir sogar viele Jugendliche erzählen. Auch wenn die Jugend immer dümmer wird (allg. Meinung), haben sie doch so viel Kenntnisse, dass sie laut lachen über die Dummheit der DNS-Sperren und Dir erklären können, wie man das umgeht.
 
Ließt sich so, als ob Mozilla ne Methode gefunden hat und austestet, die dem User ermöglicht, an auf div. Servern adminseitig bereitgelegten "Ad&Spam-Bärenfallen" ziemlich stark, evt sogar regelrecht ungesehen: vorbei zu huschen. Statt wie gewünscht bzw. von den dort aufgestellten Wegweisern bisher erfolgreich "zwangsbefohlen": voll rein zu laufen.
Sollte das so stimmen, dann wäre sofort klar, weswegen die losschreien, denn damit könnte das bisher gewohnte Spammen und Kasse damit machen aber mal sowas von aus den Fugen geraten bzw. in sehr weiten Teilen plötzlich völlig brach liegen ?
 
@DerTigga: Verstehe ich nun nicht so.

In unserer Firma geht alles an den firmeneigenen DNS Server, dann redet mein Firefox dort halt nun verschlüsselt mit eben jenen DNS Server und löst winfuture.de in (aktuell) 212.53.132.4 auf.

Dort hat die IT ja auch die Möglichkeit Seiten zu sperren.
 
@tueftler42: und genau das wäre mit DoH eben anders. Dein Firefox redet dann über https (was die Firma nicht sperren kann) mit irgendeinem DNS Server im Internet und bekommt irgendwelche IP Adressen zurück.
 
@der_ingo: Bei allem Respekt, aber ich vertraue einem Anbieter wie Cloudflare oder ähnlichen Giganten, die im übrigen auch DoH/DoT-Server mit Malwarefilter bereitstellen (manche sogar mit Adblockfilter), weitaus mehr eine sichere DNS-Auflösung bereitzustellen als der lokalen IT einer Firma. Und wirklich gefährliche und gute Malware verlässt sich auch nicht darauf, dass ein DNS Server den Namen auflöst von wo sie ihren Kram nachlädt, sondern geht direkt über die IP.
Eigene firmenbetriebene DNS-Server zielen imho vor allem darauf ab, den Mitarbeiter zu überwachen oder ihn von Facebook und Co. während der Arbeitszeit abzuhalten.
Ich hab darum auch im Büro einfach nen DNScrypt Client auf meinem Rechner, der alle DNS Anfragen systemweit abfängt und mittels DoH an Cloudflare schickt. Der stellt als Dienst einen localhost DNS Server bereit, der dann in Windows eingestellt wird, und der übernimmt dann alles weitere.
 
@mh0001: firmeneigene DNS Server zielen zuerst mal darauf ab, firmeneigene Ressourcen bereitzustellen. Wenn jemand im Browser auf intranet.domain.local zugreifen will, dann kann da Cloudflare oder irgendein anderer Dienst schlicht nichts mit anfangen.

Überwachung der Mitarbeiter wegen Facebook-Nutzung wäre einerseits illegal und dafür hat in den meisten Firmen auch schlicht niemand Zeit und Lust. Wenn jemand den ganzen Tag im Netz surft, wird das auch anders auffallen. Dazu muss man nun nicht DNS protokollieren.

Ich weiß nicht, in was für einem Umfeld du arbeitest, aber in den meisten Firmen gilt das mit dem eigenen DNS als Umgehung der IT Sicherheitspolicy und dürfte zumindest eine Abmahnung nach sich ziehen. Meiner Meinung nach auch völlig berechtigt. Allerdings scheint dir die Firma ja auch Adminrechte auf dem System zu erlauben. Entweder also eh ein kleines "Jeder ist Admin und macht alles selber" Umfeld oder die Admins dort machen sich über Sicherheit schlicht keine Gedanken. Dann ist natürlich auch sowas kein Problem.
 
@der_ingo: Naja, bei uns läuft das eben auf der Schiene, dass die IT dem Nutzer dient und nicht umgekehrt. Sprich wenn ich sage ich brauche aber das, dies und jenes, müssen die halt gucken dass sie mir das so auch bereitstellen. Die sind eher dafür da unsere Wünsche zu erfüllen als uns zu reglementieren. Der Chef meinte dazu mal "da wedelt der Schwanz ja mit dem Pudel".
 
@mh0001: das kann nur in einem Umfeld funktionieren: wenn die Nutzer von IT mehr Ahnung haben als die IT. Das dürfte selten der Fall sein.

Die IT dient ansonsten gerade auch dann dem Nutzer, wenn sie ihm ganz klar sagt, dass er bestimmte Dinge nicht darf bzw. verhindert, dass er alles tun kann, was ihm gefällt.
 
Die Briten und ihr Verschlüsselungsverbot. Die spinnen schon sehr.
 
Einfache Lösung: Die Provider sollen selbst DoH anbieten. Wer dann zensi... äh kindgerecht gefiltertes Internet will kann den Server nutzen, alle, die ein freies Internet wollen nehmen einen anderen DoH-Server.
Aber das würde ja Arbeit für die Provider bedeuten, einfach laut schimpfen ist da einfacher, günstiger und schneller.
 
@The_Xar: das würde halt vor allem Arbeit für Firmen-Admins bedeuten. Momentan ist DNS ausgehehend geblockt. Die Nutzer bekommen per DHCP die von uns gewünschten DNS Server vorgegeben - und dort sind natürlich beispielsweise Ad- & Malware-Filter drin. Selbst ein privates Gerät im Netz würde so nicht an einen fremden DNS kommen.

Ich könnte natürlich dann selber einen DoH Server betreiben (im LAN? Wieso?), aber die Clients, die ich nicht im LAN verwalten kann, interessiert das nicht. Denn der Browser bestimmt im Zweifelsfall, welchen DoH Server er fragt.

Ganz gruselig wirds dann, wenn man Split-DNS betreibt, d.h. im LAN andere IP Adressen zurückliefert als extern. Ruft hier jemand outlook.example.com auf, landet er auf dem internen Loadbalancer vorm Exchange Server. Ruft jemand selbiges extern auf, bekommt er eine externe IP der Perimeter-Firewall, denn ich will ja nicht den ganzen internen Traffic aus dem Netz raus und wieder von außen rein laufen lassen. Das ist mit DoH schlicht nicht möglich.

Aus Admin-Sicht ist DoH einfach nur ein Alptraum, weil Fremde plötzlich Entscheidungen darüber treffen, wie eine firmeninterne Netzstruktur genutzt werden kann.
 
@der_ingo: Nur ist das kein DoH Problem, was du beschreibst.
Die Art und weise, wie zB im Firefox festgelegt wird, welcher DoH-Server angesprochen wird, könnte genauso gut mit DoT oder "klassischem" DNS funktionieren.
 
@The_Xar: sicher, aber wenn ich im Firmennetz den entsprechenden DNS Port für Clients blocke, dann kann sich der User auf den Kopf stellen und versuchen, irgendwelche eigenen DNS Server anzusprechen. Es wird nicht klappen.

Generell ist DNS überhaupt nichts, was in den einzelnen Anwendungen abgehandelt werden sollte. Wofür gibts denn ein Betriebssystem? DNS ist Aufgabe des DNS Clients im Betriebssystem. Was soll denn das für ein Chaos geben, wenn man nachher drei verschiedene Browser installiert hat, die ggfs. völlig unterschiedliche reagieren, weil sie unterschiedliche DoH Server fragen?
 
@der_ingo: Das führt wieder in etwa zu meiner Ursprungsaussage: Nicht nur die Provider, auch die Entwickler der Betriebssysteme müssen natürlich ihren Hintern bewegen. Wenn das OS einfach keinen modernen DNS-Ansatz kann, wird das eben von einigen Umgangen.

Mozilla arbeitet auch an einem Weg, einfach ganz normal den Resolver des OS anzusprechen und zunächst eine Verbindung via DoH zu versuchen. Das wäre wohl, bis das System von Haus aus DoH/DoT oder ähnliches kann eine optimale Lösung.
Damit sind wir jetzt aber endgültig wieder bei meiner Ursprünglichen Aussage: Die DoH-Anfrage muss verstanden werden.
 
Der Verband britischer ISP's setzt sich ja vorbildlich für die Einhaltung der Cameron Filter ein. Ob in UK das Internet gefiltert wird? Naja ein bissel.. es betrifft nur Webseiten mit folgenden Themen: Dating, Drugs, Alcohol and Tobacco, File sharing, Gambling, Games, Pornography, Nudity, Social networking, Suicide and Self-harm, Weapons and violence, Obscenity, Criminal Skills, Hate, Media Streaming, Fashion and Beauty, Gore, Cyberbullying, Hacking and Web-blocking circumvention tools. Ein bissel halt.

Quelle: https://en.wikipedia.org/wiki/Internet_censorship_in_the_United_Kingdom
 
@erso: Also ca. 80 % des Internets?
 
Das Problem an der Geschichte war doch eher, dass Mozilla das alles an Cloudflare schicken wollte anstatt an den im System eingetragenen DNS.
 
Kann mir mal bitte jemand erklären, was der Vorteil ist jetzt alles auf HTTPS zu werfen? Das ist ein Protokoll, um das Web zu übertragen, nicht für eine derartig grundlegende Infrastruktur des Internets. Wieso fördern die nicht DNSSec?
 
@FensterPinguin: DNSSec ist ein Sicherheitsfeature. Mozilla meint allerdings, etwas für den Datenschutz tun zu müssen.
 
Mußte ja irgendwann kommen, daß Kollegen, die nix vom Problem verstehen, sich bei Kollegen beschweren, die auch nichts vom Problem verstehen, um schlußendlich Kommentare vom Fußvolk zu bekommen, welches das Problem noch weniger versteht. *augenroll*

Ich geh bis auf Weiteres davon aus, daß sich DNS-Traffic - auch wenn er über 443/tcp getunnelt wird -- von HTTPs-Traffic unterscheiden wird, ebenso wie Teamviewer-Traffic und SSTP-Traffic sich von HTTPS-Traffic unterscheidet.

Und hey presto. Kann man blocken.

Irgendwie hab ich in letzter Zeit das Gefühl, daß bisherige Errungenschaften -- zB eine klare Trennung in Problem und Problembereich -- alles zusammengeworfen und durcheinandergeschüttelt wird, damit am Ende nur keiner mehr durchsieht (und schon gar nicht mehr warten kann).

Was kommt als nächstes? DHCP over HTTPS? ARP over HTTPS? ICMP over HTTPS? Ich bin gespannt.
 
@RalphS: wird zumindest schwierig. Man will ja nicht einfach DNS auf dem selben Port machen, auf dem HTTPS läuft. Man will DNS Anfragen in JSON verpacken und dies dann über HTTPS austauschen. Da HTTPS Ende-zu-Ende verschlüsselt ist, wird es schwierig, da jetzt den DoH Traffic rauszufiltern. Es sei denn, man bricht die Verschlüsselung auf. Was außerhalb einer definierten Umgebung mit verwalteten Clients nicht einfach wird.
 
@der_ingo: Also doch? Ich hatte gehofft, daß diese Art Schwachsinn erst gar nicht durchkommt.... werd wohl doch nochmal genauer gucken müssen, wie die sich das vorstellen.

Jetzt ist schon mal der Name Schwachsinn - HTTPs erfordert DNS; dns-over-https ist damit semantischer Käse -- die Architektur ist Schwachsinn (Zirkelbezug: Wen kontaktier ich denn über HTTPS? Dazu müßte ich DNS fragen, und dafür brauch ich dann HTTPS zum Tunneln, und dafür dann wieder DNS....) und wie Du schon sagst für die Reglementierung ist es noch richtiger Schwachsinn.

EINMAL mit Profis arbeiten. :/
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 23:58 Uhr WE.LOCK Smart Lock mit biometrischer Fingerabdruck und Bluetooth App elektronisches türschloss Fernbedienung in Keyless ?WE.LOCK Smart Lock mit biometrischer Fingerabdruck und Bluetooth App elektronisches türschloss Fernbedienung in Keyless ?
Original Amazon-Preis
269
Im Preisvergleich ab
?
Blitzangebot-Preis
156
Ersparnis zu Amazon 42% oder 113
Im WinFuture Preisvergleich
Derzeit keine Angebote im Preisvergleich