Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Mehr Privatsphäre für Firefox-Nutzer: Besuchte Webseiten vor Providern verbergen

Firefox hat mit der automatischen Aktivierung eines Datenschutz-Features begonnen, das dem Nutzer zusätzliche Privatsphäre beim Internetsurfen verschafft. Konkret geht es darum, die besuchten Websites vor dem jeweiligen Internetprovider zu verbergen. Das funktioniert mithilfe des Features „DNS über HTTPS“, das fortan zumindest für US-Nutzer standardmäßig eingeschaltet ist.


Der Zweck von DNS
Wenn Nutzer eine Internetadresse in die URL des verwendeten Browsers eingeben, muss die Anwendung die jeweilige Bezeichnung (beispielsweise www.mactechnews.de) erst in eine numerische IP-Adresse umwandeln, damit eine Verbindung zum benötigten Server entstehen kann. Um die numerische Adresse herauszufinden, bedarf es eines Domain Name Server (DNS).

Standardmäßig kommt meist der DNS des Providers zum Einsatz, der auch bei Servern mit HTTPS-Verbindung Rückschlüsse auf das Internetverhalten des Anwenders erlaubt. Der Internetprovider könnte daher Log-Daten des Kunden erheben und speichern. Entsprechende Informationen ließen sich zum Beispiel für Werbezwecke verwenden.

Wechsel zu Cloudflare-DNS
Mit der neuen Funktion von Firefox ist es Providern nicht mehr möglich, das Nutzungsverhalten ihrer Kunden zu verfolgen. Der Grund: Firefox kooperiert mit Cloudflare und ändert die Standard-DNS-Verbindung des Nutzers zur Variante von Cloudflare. Zudem lassen sich andere DNS-Anbieter wie NextDNS eintragen, sofern Anwender diesbezüglich individuelle Wünsche haben.

Mit dem Vorteil des Datenschutzes vor dem Provider geht aber auch ein Risiko einher: Der Internetanbieter kann das Surfverhalten des Nutzers zwar nicht mehr nachverfolgen, dafür aber der jeweilige DNS-Service. Firefox und Cloudflare betonen zwar, Nutzern ein Höchstmaß an Privatsphäre zu garantieren – doch schlussendlich müssen Anwender statt ihrem Internetprovider im Falle des neuen Firefox-Features einem anderen Unternehmen ihre DNS-Daten anvertrauen und hoffen, dass die Privatsphäre gewahrt bleibt.


Wie sich das Feature aktivieren lässt
Die Funktion „DNS über HTTPS“ lässt sich auch außerhalb der USA freischalten. Firefox-Nutzer finden das Feature über „Einstellungen > Allgemein > Verbindung-Einstellungen > DNS über HTTPS aktivieren“. Sie können dort entweder Cloudflare anwählen oder einen anderen Anbieter bestimmen.

Kommentare

scheibe brot
scheibe brot26.02.20 12:04
aber für den mobilen browser auf dem phone geht das wohl nicht, oder?
0
Raziel126.02.20 12:23
Was bringt das nun wenn statt des Provider DNS nur der Cloudflare DNS verwendet wird? Scheint ja nichts anderes zu sein als wenn ich zb wie viele einfach den Google DNS eintrage und diesen verwende.
+1
maculi
maculi26.02.20 12:29
Wen du googles dns verwendest, dann hast du es vermutlich nicht so arg mit deiner Privatsphäre? Wem daran was liegt und dem eigenen Provider nicht recht über den Weg traut, für den kann ein Wechsel durchaus sinnvoll sein. Allerdings frage ich mich, warum soll ich das über Firefox machen, und nicht direkt in den Systemeinstellungen, denn dann betrifft es gleich den gesamten Netzverkehr (oder kriegt man darüber kein DNS über HTTPS hin)?
0
Raziel126.02.20 12:51
Das ist ja genau das was ich damit meinte: Dieses "Feature" klingt so als würde es nichts anderes bewirken als wenn man einfach selbst den DNS umgestellt hat. Was ja bei vielen Geräten zb im iPhone oder bei seinem Router zu Hause kein problem darstellt. Was die Privatsphäre angeht, hat du mit Google natürlich recht. Aber auch der Provider oder auch Cloudflare sind jetzt nicht einfach blind zu vertrauen.
+2
steve.it26.02.20 12:55
https://9to5mac.com/2020/02/25/tracking-the-websites/



Die Quelle von der abgeschrieben wird gibt hier auch niemand an.
0
MetallSnake
MetallSnake26.02.20 13:36
maculi
(oder kriegt man darüber kein DNS über HTTPS hin)?

Richtig, DNS über HTTPS ist noch neu und wird noch getestet.
Es geht darum die DNS anfragen zu verschlüsseln, die werden bislang noch offen übertragen.

https://de.wikipedia.org/wiki/DNS_over_HTTPS
Die Menschheit ist eine völlig außer Kontrolle geratene Primatenspezies.
+2
sierkb26.02.20 13:47
Golem (29.10.2019): DNS-over-HTTPS: Deutsche Provider sitzen DoH vorerst aus
Anfragen von Golem.de an deutsche Provider zeigen, dass diese die Einführung von DNS-over-HTTPS (DoH) durch Google und Mozilla zwar ähnlich kritisieren wie internationale Provider, sich aber noch eher in der Beobachterrolle sehen. Und die Deutsche Telekom sieht das Geschäft mit Daten in Gefahr.

Golem (11.09.2019): Google will Chrome-Nutzer testweise auf DoH upgraden
Mit der kommenden Version 78 sollen Chrome-Nutzer testweise das Protokoll DNS-over-HTTPS (DoH) verwenden. Nutzer sollen dabei auf bestehende DoH-Server ihrer bisherigen DNS-Anbieter migriert werden.
Kurz nach der Ankündigung von Mozilla, DNS-over-HTTPS (DoH) für alle US-Nutzer des Firefox-Browsers zu verteilen, kündigt nun auch Google an, …
[…]
Bei den von Chrome für DoH genutzten DNS-Anbietern handelt es sich um Cleanbrowsing, Cloudflare, DNS.SB, OpenDNS, Quad9 und natürlich Google selbst.
[…]

ars technica (01.10.2019): A more secure web — Why big ISPs aren’t happy about Google’s plans for encrypted DNS
DNS over HTTPS will make it harder for ISPs to monitor or modify DNS queries.

EFF (12.09.2019): Encrypted DNS Could Help Close the Biggest Privacy Gap on the Internet. Why Are Some Groups Fighting Against It?

Alec Muffett, Security Researcher (27.01.2019): Why Every Privacy Activist Should Embrace* DNS-over-HTTPS
*even if it means initially using Google or Cloudflare for DNS for a while
0
Raziel126.02.20 13:49
MetallSnake
maculi
(oder kriegt man darüber kein DNS über HTTPS hin)?

Richtig, DNS über HTTPS ist noch neu und wird noch getestet.
Es geht darum die DNS anfragen zu verschlüsseln, die werden bislang noch offen übertragen.

https://de.wikipedia.org/wiki/DNS_over_HTTPS

ah verstehe, dann ist das natürlich was anderes als einfach nur seinen DNS zu ändern wie oben erwähnt.
0
Mecki
Mecki26.02.20 14:58
Der Provider sieht auch dann noch an welche Adresse ich meine HTTP/HTTPS Anfrage sende und DNS Namen lassen sich auch rückauflösen. Wenn ich also sehe, der Nutzer sendet Pakete an und empfängt Pakete von 46.163.120.244 Port 443, dann ist das HTTPS und wenn ich Google frage, wer 46.163.120.244 ist, dann bekomme ich:

# nslookup 46.163.120.244 8.8.8.8
Server:        8.8.8.8
Address:    8.8.8.8#53

Non-authoritative answer:
244.120.163.46.in-addr.arpa    name = mactechnews.de.

Und schon weiß ich, der Nutzer schaut sich Webseiten von Mactechnews an. Wo genau wurde da jetzt bitte was verborgen?

Das hilft bestenfalls in dem Fall, wo sich zig Domains eine öffentliche IP Adresse teilen (bei privaten Homepages oft der Fall); in dem Fall weiß der ISP nur mit welchen Server man spricht, nicht aber welche Domain konkret man jetzt von diesen Server abruft.

Nachteile hat DNS-over-HTTPS vor allem für gemanagte Netze mit eigenen DNS Servern, die auch private Domains auflösen können und Setups, wo man Split-DNS hat (je nachdem welche Domain man auslösen will, kommen andere DNS Server zum Einsatz; wird z.B. häufig bei VPN Setups genutzt), denn das alles bricht entweder oder es läuft in einen Fallback Fall, was aber dazu führt, das man Netzinterna an Cloudflare verrät (z.B. wie interne Domains heißen oder welche Dienste man per VPN abrufen will, also das, was man ja eigentlich geheim halten wollte).
0
Wurzenberger
Wurzenberger26.02.20 15:07
Mecki
Wo genau wurde da jetzt bitte was verborgen?
Hab ich mich auch gefragt.
0
sierkb26.02.20 15:40
Mecki:

Dann könnte u.a. das House Judiciary Committee des US-Abgeordnetenhauses und die britische Regierung und ISP-Industrie ja auch ganz entspannt sein, was Mozilla und Google (Mozilla sogar mit noch mehr Nachdruck als Google) da beide vorantreiben…
Sie sind aber so überhaupt nicht entspannt dem gegenüber – ganz im Gegenteil.

ars technica (01.10.2019): A more secure web — Why big ISPs aren’t happy about Google’s plans for encrypted DNS
DNS over HTTPS will make it harder for ISPs to monitor or modify DNS queries.

ZDNet (04.07.2019): UK ISP group names Mozilla 'Internet Villain' for supporting 'DNS-over-HTTPS'
UK government and local ISPs are putting the pressure on browsers to drop plans to support DoH protocol.

ISPA UK – The Voice of Internet Industry (02.07.2019): ISPA announces finalists for 2019 Internet Heroes and Villains: Trump and Mozilla lead the way as Villain nominees

WSJ (29.09.2019): Google Draws House Antitrust Scrutiny of Internet Protocol
New standard could alter web’s competitive landscape, cable and wireless companies say

curl bietet übrigens, wie Google, dazu ebenso mehrere DoH-Server-Anbieter an und beschränkt sich nicht allein nur auf zwei, Cloudflare und NextDNS, wie Mozilla es (zunächst) macht:

curl Wiki: DNS over HTTPS (DOH): Publicly available servers
0
Marcel Bresink26.02.20 16:06
Mecki
Der Provider sieht auch dann noch an welche Adresse ich meine HTTP/HTTPS Anfrage sende

Nicht wirklich. Dazu müsste er schon einen Paket-Scanner mitlaufen lassen und den gesamten Datenverkehr abhören.
Mecki
Nachteile hat DNS-over-HTTPS vor allem für gemanagte Netze mit eigenen DNS Servern, die auch private Domains auflösen können und Setups, wo man Split-DNS hat

Naja, dann wird man in Zukunft neben dem eigenen DNS-Server auch einen eigenen DoH-Server aufsetzen.
0
SK8T26.02.20 16:09
Wurzenberger
Mecki
Wo genau wurde da jetzt bitte was verborgen?
Hab ich mich auch gefragt.

Man darf jedoch nicht vergessen, dass sich trotzdem Vorteile ergeben. Natürlich ist die Rückauflösung von IP zu Domain möglich, aber:

- zum Einen kann die Rückauflösung mehrdeutig sein: ein Server (mit einer IP), mit vielen Domains. Zum Biespiel reagiert mein Server (mit einer IP) auf sechs verschiedene Domains

- zum Anderen könnte sich die IP eines Servers auch mal ändern. Sodass für den aktuellen Moment 97.98.99.100 zu domain.de führt, aber Wochen/Monate später zu einer anderen Domain. Möglicherweise steckt da auch ein Load-Balancer zwischen und je nach Zeitpunkt der Abfrage unterscheidet sich die Antwort.

TL;DR: natürlich immer noch keine völlige Anonymität, aber besser als nix
0
sierkb26.02.20 18:04
futurezone.de (27.10.2018): DNS im Dornröschenschlaf – Mit DoH kommt sein Prinz
HTTP und DNS sind die Eckpfeiler des Internet wie wir es kennen. Während sich einer von beiden weiterentwickelt, scheint der andere mit der Zeit hängen geblieben zu sein.

heise (26.10.2018): Kommentar zu DNS over HTTPS: Die Gruft DNS gehört ausgelüftet
Das Web ist fast flächendeckend auf HTTPS umgestellt, beim DNS hat sich aber kaum was getan. Gut, dass es DNS over HTTPS gibt, findet Jürgen Schmidt.
0
level1626.02.20 18:59
Irgendwas stimmt an diesem Satz wohl nicht "Wenn Nutzer eine Internetadresse in die URL des verwendeten Browsers eingeben ..."
+1
sierkb26.02.20 19:04
[OT]
level16
Irgendwas stimmt an diesem Satz wohl nicht "Wenn Nutzer eine Internetadresse in die URL des verwendeten Browsers eingeben ..."

Genau wie bei „…Für den hintere Sitzbank sind zudem Schutzmaßnahmen vorgesehen, die verhindern, dass Passagiere bei scharfen Kurzen ineinander rutschen. …“ einer späteren MTN-Meldung vom selben Autor.
Mir scheint, der Autor hat beim Schreiben beider Meldungen ein paar Kurze zuviel genossen gehabt…

[/OT]
0
ratti
ratti26.02.20 21:38
Anstelle des Providers, der sich herzlich wenig dafür interessiert, werden die Daten nun der Internetkrake Cloudflare in den Rachen geworfen. Und nebenbei werden ungefragt interne DNS-Server umgangen und die /etc/hosts ignoriert. Last but not least ist Namensauflösung etwas, was ins OS gehört, und nicht in eine Applikation.

DNS over HTTPS ist an sich eine gute Sache, aber das ungefragte Anbinden an Cloudflare, vorbei am OS und der lokalen Infrastruktur ist einfach nur Scheisse. Das ist der Grund, warum Mozilla erheblichen Gegenwind für diese Entscheidung bekommen hat (und nicht nur von den ach so bösen Providern).

Aber das wäre ja auch mal was neues gewesen, würde Mozilla auf irgendwen hören.
+1
sierkb26.02.20 21:55
IETF: RFC 8484: DNS Queries over HTTPS (DoH)

heise iX 7/2018: Experimentelless Internetprotokoll DNS over HTTPS: Verriegelt
Das uralte Domain Name System (DNS) erfüllt die Anforderungen an Sicherheit und Datenschutz nicht mehr. Abhilfe schafft es, DNS-Anfragen mit TLS zu verschlüsseln oder in HTTPS zu verpacken.

Apple Developer Documentation: NetworkExtension: DNS Proxy Provider Talk to a
  • DNS proxying service using DNS over HTTPS (DoH) or DNS over TLS (DoT)
0
sierkb26.02.20 22:06
Nachtrag:

Microsoft (17.11.2019): Windows will improve user privacy with DNS over HTTPS
0
sierkb26.02.20 22:18
ratti
DNS over HTTPS ist an sich eine gute Sache, aber das ungefragte Anbinden an Cloudflare…

Mozilla Blog (25.02.2020): Firefox continues push to bring DNS over HTTPS by default for US users
Today, Firefox began the rollout of encrypted DNS over HTTPS (DoH) by default for US-based users. The rollout will continue over the next few weeks to confirm no major issues are discovered as this new protocol is enabled for Firefox’s US-based users.
Mozilla Blog, 25.02.2020
[…]
We’re enabling DoH by default only in the US. If you’re outside of the US and would like to enable DoH, you’re welcome to do so by going to Settings, then General, then scroll down to Networking Settings and click the Settings button on the right. Here you can enable DNS over HTTPS by clicking, and a checkbox will appear. By default, this change will send your encrypted DNS requests to Cloudflare.

Users have the option to choose between two providers — Cloudflare and NextDNS — both of which are trusted resolvers – or a custom provider. Go to Settings, then General, then scroll down to Network Settings and click the Settings button on the right. From there, go to Enable DNS over HTTPS, then use the pull down menu to select the provider as your resolver.
[…]

Mozilla Support: DNS über HTTPS in Firefox
u.a. Für Firefox-Nutzer in den USA: Aktivierung von „DNS über HTTPS“ (DoH), Deaktivierung von DoH „DNS über HTTPS“ manuell aktivieren und deaktivieren, Den Anbieter wechseln, Bestimmte Domains ausschließen, Konfiguration von Netzwerken, um DoH zu deaktivieren etc.
-1
Wurzenberger
Wurzenberger27.02.20 13:24
Marcel Bresink
Mecki
Der Provider sieht auch dann noch an welche Adresse ich meine HTTP/HTTPS Anfrage sende

Nicht wirklich. Dazu müsste er schon einen Paket-Scanner mitlaufen lassen und den gesamten Datenverkehr abhören.
Steht die IP-Adresse nicht unverschlüsselt im IP-Header?
0
sierkb27.02.20 14:07
Wurzenberger
Marcel Bresink
Mecki
Der Provider sieht auch dann noch an welche Adresse ich meine HTTP/HTTPS Anfrage sende

Nicht wirklich. Dazu müsste er schon einen Paket-Scanner mitlaufen lassen und den gesamten Datenverkehr abhören.
Steht die IP-Adresse nicht unverschlüsselt im IP-Header?

Anfrage und Antwort nebst IP-Adresse(n) werden bei DNS over HTTPS (DoH) zwischen DNS-Client und Resolver TLS-verschlüsselt übertragen/ausgetauscht und vom Resolver aufgelöst statt wie bisher im Klartext.

Cloudflare Blog (29.10.2019): DNS Encryption Explained
-2
Wurzenberger
Wurzenberger27.02.20 14:24
Da muss ich meine Frage wiederholen: Steht die IP-Adresse nicht unverschlüsselt im IP-Header? Das Datenpaket muss doch wissen wo es hin soll.
+1
sierkb27.02.20 14:25
cio.gov: An official website of the United States government: Introduction to HTTPS

cio.gov: What HTTPS Does
cio.gov: What HTTPS Doesn’t Do
cio.gov: Why are domain names unencrypted over HTTPS today?
cio.gov: What information does HTTPS protect?
cio.gov: What information does HTTPS not protect?
cio.gov, What HTTPS Doesn’t Do
HTTPS has several important limitations. IP addresses and destination domain names are not encrypted during communication. Even encrypted traffic can reveal some information indirectly, such as time spent on site, or the size of requested resources or submitted information.

HTTPS only guarantees the integrity of the connection between two systems, not the systems themselves. It is not designed to protect a web server from being hacked or compromised, or to prevent the web service from exposing user information during its normal operation. Similarly, if a user’s system is compromised by an attacker, that system can be altered so that its future HTTPS connections are under the attacker’s control. The guarantees of HTTPS may also be weakened or eliminated by compromised or malicious certificate authorities.

Dies will/soll DNS über HTTPS (DoH) ändern. Und IP-Adressen von anfragendem Client wie vom Ziel, die zuvor, auch bei HTTPS, separat vom HTTPS-Verschlüsselungskanal im Klartext übertragen werden, mit in den HTTPS-Verschlüsselungs-Kanal mit hineinzuziehen und mit zu verschlüsseln.
-1
Wurzenberger
Wurzenberger27.02.20 14:52
Nach der DNS-Auflösung wird aber eine Verbindung zum Ziel aufgebaut. Dessen IP-Adresse steht doch unverschlüsselt im Header, oder nicht? Deswegen kriegt die mein Provider doch sowieso?
+1
sierkb27.02.20 15:04
Wurzenberger
Nach der DNS-Auflösung wird aber eine Verbindung zum Ziel aufgebaut. Dessen IP-Adresse steht doch unverschlüsselt im Header, oder nicht? Deswegen kriegt die mein Provider doch sowieso?

So gesehen kannst Du aber JEDE Ende-zu-Ende-Verschlüsselung infragestellen, weil es an den Enden eh aufgelöst wird, und es ist eine Sache des Sich-Vertrauens beider Enden. Es geht hier aber eher um Man-in-the-Middle-Angriffe bzw. um's Mithören, Mitlauschen vorher bis kurz davor. Und genau deshalb macht's solche Aufruhr (grad' in den USA und UK bzw. den "big five"). Weil genau das dadurch massiv behindert und erschwert wird. Dort spielen nämlich die Provider eine zentrale Rolle beim Weitergeben von Daten und eben auch Meta-Daten und treiben da im Verborgenen zum Teil einen schwunghaften Handel mit (auch mit Ortsdaten), und genau das wird durch solche Maßnahmen massiv erschwert.

Es hat seinen Grund, warum Mozilla das erstmal nur in den USA ausrollt und betont, es dabei erstmal zu belassen und es für den Rest der Welt erstmal beim Bisherigen zu belassen. Der Grund liegt u.a. genau darin begründet, zumal die US-Gesetzgebung derzeit massiv verschärft werden soll und die IT-Unternehmen und Provider in die Pflicht nehmen und zwingen will, per Gesetz, Hintertüren und Zugänge zuzulassen und wo nicht vorhanden einzubauen – Man-in-the-middle-Zugänge, damit abgeschnorchelt werden kann. DNS over HTTPS (DoH) erschwert das.
-1
Wurzenberger
Wurzenberger27.02.20 15:09
sierkb
Es geht hier aber eher um Man-in-the Middle-Angriffe bzw. um's Mithören, Mitlauschen.
Dann sollte man diese Funktion eben damit bewerben anstatt Dinge zu behaupten die nicht wahr sind.
+1
sierkb27.02.20 15:10
Wurzenberger
sierkb
Es geht hier aber eher um Man-in-the Middle-Angriffe bzw. um's Mithören, Mitlauschen.
Dann sollte man diese Funktion eben damit bewerben anstatt Dinge zu behaupten die nicht wahr sind.

Wer behauptet wo was, was nicht wahr ist?

Übrigens: Szenario Reisender am Flughafen. Klinkt sich in ein öffentliches Netz dort ein. Weiß er, wer der Provider dort ist oder wie vertrauenswürdig das Netz dort ist? Weiß er nicht. Kann jeder abschnorcheln, ein Eldorado. Grad' dort. Wird auch gerne gemacht. DNS over HTTPS erschwert auch sowas.
0
Wurzenberger
Wurzenberger27.02.20 15:16
sierkb
Wer behauptet wo was, was nicht wahr ist?
DoH hilft nicht, besuchte Webseiten vor Providern zu verbergen.
+1
sierkb27.02.20 15:21
Wurzenberger
sierkb
Wer behauptet wo was, was nicht wahr ist?
DoH hilft nicht, besuchte Webseiten vor Provider zu verbergen.

Alle Krypto hilft dann nicht, keine einzige, generell nicht, nie. In dem Moment, wo es entschlüsselt/aufgelöst wird, ist es frei und bekannt und kann theoretisch abgegriffen werden.
Wie arbeitet denn eigentlich Tor, das Tor-Projekt? Wo sind dessen Schwachpunkte? Es sind die Exit-Points. Wo alles aufgelöst wird. Und wenn so ein Exit-Point missbraucht wird bzw. in einer Hand ist, in der er nicht sein sollte? Zum Beispiel von einer Behörde bzw. Geheimdienst, weil der diesen Exit-Point betreibt? Dann ist alle vorherige Verschlüsselung und Anonymisierung Asche. Weil der genau dort, an dieser entscheidenen Stelle mitlesen kann, weil dort alles aufgelöst wird.
-1
Weitere News-Kommentare anzeigen

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.