EDICIóN GENERAL
197 meneos
1222 clics
Firefox contará con un segundo servicio de DNS: NextDNS y Cloudflare proveerán de DoH al navegador de Mozilla

Firefox contará con un segundo servicio de DNS: NextDNS y Cloudflare proveerán de DoH al navegador de Mozilla

Una buena noticia para la privacidad. Los responsables de Mozilla han anunciado este martes que NextDNS se unirá a Cloudflare a la hora de proveer a Firefox del protocolo de seguridad conocido como DNS mediante HTTPS o DoH, por sus siglas en inglés.

| etiquetas: internet , firefox , 2º servicio dns , nextdns , cloudflare , proveerán , doh
El DoH es muy mala idea: depender de un DNS extraño y diferente al de la pila TCP es un atraso.
No veo por qué CloudFlare deba tener mis datos de navegación.
#1 porque si no los tiene Cloudfare los va a tener Vodafone, junto con mucha más información sobre ti. Además la noticia va de que Cloudfare ya NO es el único proveedor de DOH, así que los datos se diluyen de forma muy conveniente. También va de que Mozilla sólo acepta proveedores auditados que no recopilan información.

Activadlo ya, insensatos.
#2 Precisamente los datos de navegación en manos de los ISP no valen nada porque no los puede agregar con los de otro ISP, además de estar protegidos por la LOPD española. Pero si los envias a Cloudflare que no ha firmado nada y que no está bajo la jurisdicción europea, puede hacer con tus datos privados lo que quiera.
Ya hay muchas voces reputadas en contra de DoH y del atraso que supone para Internet en materia de privacidad.
#3 "Protegido por LOPD española" :-D :-D :-D :-D :palm:
Ya te fías? En pocas empresas has estado o visto como operan para ver como se cumple la LOPD y la GPDR...

¿Sabes que a día de hoy DoH es el único que puede garantizar tu anonimato a la hora de navegar? Revisa acerca del SNI por que te vas a sorprender, ni https, ni dnscrypt ni DoT, la única vía de cifrar esa cabecera http es con DoH y precisamente es lo que se utiliza para censurar en algunos países.

Otra cosa es…   » ver todo el comentario
#2 Tu ISP va a saber igualmente qué páginas visitas, así que tus datos estarán en Vodafone y Cloudflare.
#4 No es así.
Los ISP solo ven las páginas (URLs) cuando la petición HTTP viaja en claro. Con SSL/TLS no saben lo que visitas con precisión, pero si usas sus servidores DNS sí podrán saber el "host" (pornhub.com). Con DNS ajenos solo pueden ver el tráfico con la IP del servidor (lo que puede dar bastante información... o ninguna ya que un servidor puede responder a miles de hosts: pornhub puede compartir IPs con ursulinas.com).
#15 Una precisión: Me refiero a DoH, porque con servidores DNS ajenos convencionales el ISP verá pasar esas peticiones igualmente. De eso se trata todo esto, de hecho.
#15 En la mayoría de navegadores el ClientHello con el que se inicia el TLS handshake lleva el hostname en claro. Igual se puede desactivar de alguna forma, pero por defecto lo que dices es incorrecto.

EDIT: parece que en tls 1.3 el comportamiento por defecto cambia y ya no se manda el hostname en claro, pero que yo sepa de momento el 1.3 no está muy extendido y se usa sobre todo el 1.2.
#19 Correcto. Intentaba describir los futuribles en su orden de aplicación, pero lo he explicado en un presente que no se aplica.

1. DoH
2. (Opcionalmente ESNI como alternativa de transición o complemento)
3. TLS 1.3

DoH no es opcional en esa evolución. ESNI lo doy por fracasado (intuyo).


#21 Pero nada de eso tiene que ver con tu descripción de " Tu ISP va a saber igualmente qué páginas visitas", que es la incorreción que quería hacer ver. Lo de Facebook ya lo he explicado al decir: "lo que puede dar bastante información... o ninguna"
#22 como que no tiene que ver? Si es el no cifrado de la base del dominio lo que permite que tu ISP sepa que pagina quieres ver cuando la solicitas.

Tienen pensado arreglarlo, como dices, pero hasta que esté funcionando y un número significativo de webs lo empleen, me da que pasará un tiempo.
#25 Dices: "saber qué páginas visitas"; supongo que te referías a sitios (sites, hosts), pero ese "páginas" induce a error a aquellos que lean esto.

- Esto es un dato crítico de privacidad: es-es.facebook.com/MarxBuscaMILFs
- Esto no: es-es.facebook.com

#19 Acabo de probar con mi lista de sitios frecuentes más unos cuantos de contenido "extraño" al azar. El 50% aproximadamente implementan TLS1.3. Con ESIN activado la cifra de peticiones cifradas ha subido al ~70% aprovechando el tirón de Cloudflare.
#27 anarkia.com, independencia.cat, gaysylesbianas.net me parecen bastante privados. Los bloqueos se hacen por dominio, no por pequeñas fracciones de ese dominio.

No hace falta entrar en marxbuscamilfs para saber que marx busca milfs, tan solo entrar en una pagina de milfs.

Pero incluso así, si vamos a esas, entonces da igual usar DNS cifrado o en claro porque contra el DNS resuelves el dominio facebook.com, no una seccion en particular de ese dominio, asi que que mas da que el ISP vea la resolucion si solo va a ver el dominio y tu dices que eso da igual?
#28 Es que de la resolución DNS de Facebook no obtienes un dato personal (ni siquiera indica que tengas cuenta), pero los siguientes sí sirven para hacer profiling (la 'x' indica TLS1.3):

( ) PP.es (estos no usan https ni para recibir datos personales)
(x) psoe.es
(x) podemos.info
( ) ciudadanos-cs.org
(x) voxespana.es

Nótese que para mi ISP solo he visitado las páginas de PP y C's :-D


O estos:

(x) tranniesCachondorras.porn (ficticio pero basado en hechos reales)
(x) PirateBay.org
( ) PornHub
(x) Forocoches
#38 entonces segun tu los dns cifrados no tienen ningun sentido, no se para que se molestan en hacerlos ni por que tanta polemica.

Si que obtienes datos, obtienes las webs que estas visitando y si te pasas el dia visitando xhamster, eres una persona normal pero si no visitas ninguna pagina de ese tipo, te van a fichar. Y asi con las demas paginas, si te pasas el dia cargando foros anarquicos sera porque te va ese tema.
#40 Vale, déjalo :palm:
#41 algun dia me explicaras tu obsesion con facebook pero decirte que no llega con tener TLS 1.3 y ademas de eso, las paginas de los partidos que mencionas tienen su propia ip asi que aunque vaya todo cifrado, averiguan la pagina que visitas por la IP a la que te conectas. La de podemos incluso carga directamente desde su IP.

Pero tranquilo que ya lo dejo :-*
#42 Te voy a demostrar por qué no has entendido nada: el primero que ha hablado de Facebook fuiste tú (#21) y yo me he limitado a aprovecharlo (#22 y ss) como ejemplo partiendo de tu mensaje. Esa es mi "obsesión" xD... Hasta ese punto has sido incapaz de no seguir el hilo.

Ya con el tema de las IPs y TLS te dejo a tu rollo porque explicarte que es un problema de concentración de información y no de que esa información exista o no -que siempre va a existir y a dejar huella- se te va escapar por mucho.

No tienes nada que dejar. Nada empezó nunca :-*
#22 No des ESNI por fracasado, llevan poco plantándolo y estos cambios son lentos. De hecho, con DoH ya puedes activarlo en firefox en combinación con DoH y funciona. (Puedes utilizar muchos otros proveedores DoH, no estás ligado a Cloudflare. Aquí hay algunos: micorreo.email/OpenWRT.html#DoH Busca por el texto: Sitios donde conseguir servidores DNS over HTTPS para configurar en el navegador
#19 No se puede ocultar el SNI.
Se puso para que antes de iniciar la conexión, la otra parte sepa que host quieres.

Esto viene bien para servidores con muchos virtual hosts.
#23 Si se puede, precisamente existe eSNI que funciona en combinación con DoH.
Hay otros planteamientos mejores que están en vías de evolución y desarrollo, por ejemplo una clave genérica del proveedor de hosting en la que comunicarte con el para pedir el certificado de la web que quieres acceder, y luego ya te da el certificado adecuado para que te sirva la página.
#23 Se puede. Cortesía de #32
blog.cloudflare.com/encrypted-sni/

Se publica una clave publica en el DNS y el SNI se codifica con clave simétrica. Luego ya se intercambian certificados y tal.
#19 Exacto, es la cabecera sni y hay proyectos para que se envíe cifrada pero la única vía actual es mediante el uso combinado de eSNI con DNS over HTTPS. Aquí tienes un check al respecto, precisamente de cloudflare: www.cloudflare.com/ssl/encrypted-sni/
#15 como te dicen, en la cabecera va la base de la direccion sin cifrar.

A parte de eso, webs grandes tipo facebook, tienen ips para ellas solas.
#15 Si es así si no le pones remedio. Las consultas DNS no van cifradas de por si y no solo pueden evrlas, te las modrían manipular y no te enterarías. No las verían si usas DNSCrypt, DNS over TLS o DNS over Https, pero existe la cabecera http sni, la cual precisamente se utiliza para la navegación https, de manera que un hosting compartido pueda enviarte el certificado adecuado de una web. Esta cabecera se envía sin cifrar aunque navegues por https y es precisamente lo que se utiliza para censurar en algunos países, siendo la única manera de que no pueda verla tu proveedor de internet usando DoH en el navegador y habilitando eSNI. Busca acerca de ello, aquí tienes un check: www.cloudflare.com/ssl/encrypted-sni/
#2 podrias GRITARLO MAS?
Sabias palabras.
#2 No necesariamente. Hasta puedes montar tu propio DNS. En linux es tan sencillo como instalar un paquete, cuestión de 15 segundos. En Windows algo habrá por ahí seguramente.
Después configuras tu DNS como 127.0.0.1 y listo. Ya no dependes de nadie más que de los servidores maestros.
#1 Totalmente de acuerdo. DoH es, al menos de momento, una mala idea.
Lo hacen ver como una mejora a la privacidad, cuando no lo es.
#10 O sea que para ti es un D'oh  media
#1 Creo que estás mezclando cosas. TCP no "tiene" un DNS y luego hay otros que son extraños. De hecho DoH soporta el mismo formato que las respuestas DNS "no extraños".
#13 TCP no tiene DNS. Lo tiene la pila TCP/IP. A ver si leemos un poco
#14 No lo tiene. Lo que tiene la pila TCP/IP es una capa que puede transportar tráfico del protocolo DNS. Si nos ponemos exquisitos, nos ponemos exquisitos.

Lo que dices en #1 es incorrecto porque tener tus logs de peticiones de resolución DNS no implica tener datos precisos sobre lo que llamas "datos de navegación". Sabrán, por simplificar, que has podido visitar un host determinado, pero no sabrán si lo has visitado una vez, ninguna o miles durante el día. Gracias a la caché DNS local puede que ni siquiera sepan si has vuelto a solicitar su resolución DNS otras veces.

Eso no son datos de navegación.
#16 efectivamente DNS es un protocolo de aplicación.
#1 Es configurable. En Firefox vas a Preferencias -> General -> Configurar cómo se conecta Firefox a Internet (Botón Configuración) -> Activar DNS sobre HTTPS -> Ahí si lo activas tienes dos opciones : Cloudflare y Personalizado.

Según lo que dice la noticia, añadirán una tercera opción.
#18 Gracias. Lo malo no es que sea opcional (cada uno que haga lo que quiera) sino que pongan DoH por defecto.
#1 A no ser que te montes un recursor, siempre vas a depender de un DNS externo que verá tus peticiones. Hay otros proveedores DoH, de hecho yo tengo puesto otro en Firefox y recuerda que a día de hoy, DoH es el único servicio DNS cifrado que habilitándolo en el naveador, puede cifrar el SNI. DNSCrypt y DoT cifran las peticiones DNS pero no el SNI. En contra de lo que piensa la mayoría, aunque te comuniques por https esta cabecera se envía sin cifrar, por lo que cualquier intermediario puede ver donde estás navegando a excepción de tener bien configurado DoH, por lo que tan mala idea no es hasta que haya algo mejor, de hecho en algunos países se utiliza SNI para aplicar censura.
#1 Entiendo que el problema de esta tecnología es que por ahora está el servicio implementado en muy pocas manos y no la tecnología en sí misma, ¿no?
Puede que me equivoque pero la elección está entre moverte por Gran Vía con la cara descubierta en Navidad o hacerlo por una calle vacía con una máscara que sólo venden dos comercios.
¿Y no es mejor usar dnscrypt-proxy (github.com/DNSCrypt/dnscrypt-proxy) ?

Hablo desde un nivel de usuario medio-avanzado (no más). Lo he estado usando y los proveedores no es un empresa sola (tipo Cloudflare), sino gente "de su padre y de su madre" a lo largo del mundo. Vamos, que haciendo la prueba en dsnleaktest cada vez que conectas te salen distintos.
#5 DNSCrypt está muy maduro pero el único que puede cifrar la cabecera SNI es DoH. Echa un ojo aquí: micorreo.email/OpenWRT.html#QueDNSCifradoElegir
Edito: Qué cobarde es la gente, para #_43

Es verdad, ni me acordaba de ese comentario, tienes razón pero fue un mal ejemplo. Mejor ejemplo es 5.196.220.240 , si tú te conectas a esa IP yo ya sé a donde vas aunque tengas todo cifrado y como esa, las demás, no hace falta obsesionarse con Facebook.

No llega con tener TLS 1.3, también has de tener configurado el ESNI y ninguna de las páginas que pusiste lo tienen. Además, la ip no puede pertenecer a esa web en exclusiva o…   » ver todo el comentario
Menéame defendiendo que lo que hasta ahora ha sido libre de control (si quieres te montas un servidor DNS que tire de root servers, y verás tu que nadie te bloquea nada), sea controlado por tres multinacionales ansiosas de datos. Con lo que tu eras menéame
#24 Si que pueden con inspección de paquetes pero es que si tiras de root servers como dices, encima esas peticiones van a ir en plano y ni siquiera necesitan la inspección de paquetes para ver el sni y saber donde quieres acceder y cortarte. De hecho, podrían interceptar tu petición a los root servers spoofearte y no enterarte, pues el uso de DNSSEC no está muy extendido todavía.

Al final tus consultas DNS siempre van a tener un punto débil. DoH por ahora es de lo mejor que hay pero debes acabar confiando en un proveedor, el cual puedes elegir tu mismo y al menos que no sean los típicos de guarrafone y compañia...
Mozilla Corp no es una hermanita de la caridad.
Van a prostituir estos datos, primero a Cloudflare y luego a donde sea.

Ahora es tu decisión Sr. Usuario, decidir el mal menor.
#6 A demás ya han dicho que van a colaborar con las autoridades bloqueando los nombres que se les pidan.
#9 son capaces de bloquear 4chan/fullchan "por nuestro bien" xD
comentarios cerrados

menéame