两周前,在哈布雷(Habré)上,他们
讨论了最近被用作RFC 8484标准
的HTTP-over-HTTPS(DoH)协议 ,由Mozilla,Google和Cloudflare开发的DNS加密协议使监视中间人流量的尝试无效。 它消除了HTTPS中的“最弱链接”,即开放的DNS查询,通过该查询,国家或提供商级别的攻击者可以跟踪DNS数据包的内容,甚至可以替换它们。 这使您可以按IP地址或域名来阻止对资源的访问。
最重要的是,Mozilla组织决定默认在Firefox浏览器中启用它。 到目前为止,仅适用于美国用户。 但是,鉴于隔离Runet的法律生效还有不到一个半月的时间,并且Yarovaya法律已经生效,因此流量加密方法比以往任何时候都更加重要,可以防止俄罗斯互联网上的监听。
但是现在这个消息不是很好。 事实证明,在某些国家/地区已经实行流量审查的国家/地区,Mozilla可能会改变主意。
英国正在对此进行
讨论 。 从理论上讲,这可能在俄罗斯发生。
Mozilla决定启用DoH在英国引起关注,因为该技术违反了许多集中式过滤和阻止系统,该系统“阻止了对虐待儿童图像,盗版和恐怖材料的轻易访问,并且还影响了家长控制系统。”
卫报已收到尼克·摩根(Nicky Morgan)给英国文化大臣的一封信。 Mozilla全球政治,信任与安全副总裁艾伦·戴维森(Alan Davidson)写道,该非营利组织“没有计划在英国启用我们的默认DoH功能,除非与公共和私人利益相关者进一步合作,否则就不会这样做” 。
Davidson解释了流量加密的好处:“我们坚信DoH将为英国公民提供真正的安全好处。 DNS是Internet体系结构中最古老的部分之一,并且在很大程度上不因提高Internet安全性而受到影响。 由于当前的DNS查询未进行加密,因此,想要破坏用户隐私,攻击通信并监视Internet活动的恶意参与者仍然可以使用公民和站点之间的路径。 人们可以追踪,收集,传输和使用人们最个人的信息(例如与健康相关的数据),以违背人们的利益。 您的公民应受到保护,免受这种威胁。”
因此,Mozilla试图说服政府服务并向他们解释DoH的优点。 但是每个人都知道,英国流量加密的副作用之一是,它还绕过了英国的Web过滤器,该过滤器使用相同的DNS拦截技术来防止访问被Internet服务提供商阻止的网站。
互联网观察基金会(Internet Watch Foundation)向互联网提供商提供了一系列被过滤网站的阻止网站,该组织对此技术表示关注:“我们认为,提议通过HTTPS实施DNS的方式可以向全世界数百万人展示The Register的一位女发言人说:“这是遭受性虐待的儿童的可怕照片,这可能意味着这种暴力的受害者将被无数的观众看到。”
由于这个原因,最近,英国互联网服务提供商协会(ISPA-UK)
称Mozilla为“互联网的主要反派之一” 。 据ISPA-UK称,“ Mozilla以其通过HTTPS实现DNS-overHTTPS的方式避免了英国的过滤和父母控制义务,从而破坏了英国的互联网安全标准”而获得“互联网恶棍”的称号。
“我们担心秘密收集和出售用户数据的公司和组织。 因此,我们增加了跟踪保护,”标准采纳后不久,克拉克代表Mozilla
写道 。 “由于这两个计划(+ Trusted Recursive Resolver),消除了自35年前成立以来一直是域名系统一部分的数据泄漏。”
“通常,解析程序会告诉每个DNS服务器您要查找的域。 该请求有时包含您的完整IP地址。 而且,如果地址不完整,那么请求通常会包含您的大部分IP地址,可以轻松地将其与其他信息结合以建立您的身份。
这意味着您请求域名解析帮助的每台服务器都会看到您要查找的站点。 此外,前往这些服务器的任何人都可以看到您的请求。 这样的系统通过多种方式来破坏用户数据。 主要的两个是跟踪(tracking)和欺骗(spoofing)。
根据有关IP地址的全部或部分信息,可以轻松确定请求访问特定站点的人员的身份。 这意味着DNS服务器和该DNS服务器上的任何用户(途中的路由器)都可以创建用户配置文件。 他们可以列出您查看过的所有站点。
这是有价值的数据。 “许多人和公司愿意为浏览您的浏览记录付出很多。”
摘自Lin Clark的文章
然而,在公众的强烈抗议之后,一个月后,英国ISPA撤回了这一“奖项”,并完全取消了提名,并称其“显然发送了错误的信息”。
谷歌还宣布计划从10月开始在其Chrome浏览器中测试DoH。 该公司不会为每个用户提供DoH,但表示默认情况下,DoH将为那些精通技术的用户提供服务,这些用户选择将其DNS提供商转换为Google,Cloudflare和OpenDNS等公司。
为了维护审查制度,英国政府的一位代表援引了保护儿童的必要性:“对儿童的性剥削是政府试图打击的令人发指的罪行,”他说。 尽管我们努力维护Internet上的安全性和隐私性,但数字行业的所有部门在设计其系统和服务时都必须考虑儿童的安全。 作为我们正在进行的工作的一部分,我们正在与业界合作,以解决任何潜在的问题,以使英国成为世界上最安全的访问互联网的地方。”
为什么围绕DNS阻止会出现这种分歧? 行业专家认为,问题可能出在公司协议中。 正是由于他们,每个人都这样反抗Mozilla:
“实际上,一切都很简单,”互联网安全协会执行董事俄罗斯专家Mikhail Klimarev
写道 。 -英国供应商协会长期以来一直在反对封锁。 结果,他们与政府达成协议,封锁将“通过DNS”完成。 也就是说,没有任何DPI和“通过IP”。 这就是Mozilla是反派的原因。 对于通过DNS进行阻止将毫无用处。 更准确地说,以前每个人都知道这一点,Mozilla公开声明现在所有这些都是无用的。 现在,该协会的成员将不得不以某种方式进行重新谈判。 或从ILV中吸取教训。”
DoH协议使主管部门更加难以阻止,但是从理论上讲,主管部门仍可以监视流量。 如果您从更全局的角度看待锁的问题,那么在这种情况下,问题就会一次又一次地出现。 支持状态过滤的措辞表明,加密和良好的隐私性的引入威胁着用户的安全,因为状态“防御者”将无法保护他。 在这种情况下,HTTPS上的DNS会阻止提供程序过滤有害内容。 这种逻辑对比了隐私和安全性。
个人隐私确实可以与公共安全形成对比。 现在
讨论什么更重要以及将重点转移到哪个方向。 例如,某些国家/地区的主管部门倾向于
在所有Messenger中禁止端到端加密 。 一些政府在英国和俄罗斯引入了对流量的强制过滤,限制了公众对特定站点列表的访问。
支持个人隐私概念相反的人指出,监视的传播从长远来看威胁着一个人的正常生活。 Mozilla宣言中也指出了这一点,原则4的内容为:“互联网用户的安全和隐私是基本的,不能被视为次要问题。”
拒绝加密,一个人实际上拒绝保护自己。 在HTTP-over-HTTPS的DNS示例中可以清楚地看到这一点,该示例可以防御MiTM攻击,包括页面欺骗。 倡导个人隐私的人士说,因此流量加密和免受Internet监视的保护不是选择问题,而是未来技术社会的生存问题。
