本文看點
網際網路存在隱私漏洞,會留下訪問網站的痕跡。Mozilla(旗下瀏覽器Firefox)和Google採用了名為DNS-over-HTTPS(DoH)的新技術,試圖解決這一問題。但DoH可能會帶來新的隱私風險:瀏覽習慣的集中化。
DNS是一種古老的系統,在網際網路發展早期就已出現。每次進行DNS查詢時,都會以明文傳送域名;Firefox和Chrome使用的DoH將修復隱私和完整性相關問題,查詢將透過加密隧道傳送,但DoH會將DNS請求進一步集中化,使駭客們有機會提取或攔截有關網路連線的資訊。
DNS的未來是加密,但集中式DoH增加了額外隱私洩露風險,使用DoH只是權宜之計,還不是一個很好的解決方案。
原文來自Fast Company,作者Glenn Fleishman
雖然網際網路已預設保護資料、加密流量,但隱私漏洞仍然存在:
使用者訪問網站的痕跡不會消除,這也給了網路上游手好閒之人探查隱私的可乘之機。
軟體公司Mozilla及Google正分別針對旗下瀏覽器Firefox及 Chrome研究補救方案。
彌補缺陷的新技術被稱為DNS-over-HTTPS
(下稱DoH),
它可以保護使用者的瀏覽習慣不受AT&T、Comcast和Verizon等各大網際網路服務供應商
(Internet Service Provider,下稱ISP)
監控。
這些ISPs有時會使用Supercookies(一種跟蹤技術,和cookie一樣允許網站和廣告商進行跟蹤,但不能被真正刪除)及其他技術來跟蹤使用者。
肖恩·凱普敦(Sean Captain)在文章《如何防止Comcast、Verizon和其他ISP監視使用者》中,就如何使用DoH提供了相關建議。
但安全也可能是把雙刃劍。這種技術可以保護使用者行為不受ISP、公共熱點和其他機構的監控,但可能會帶來新的隱私風險:
瀏覽習慣的集中化
。它還突出了DoH技術尚未解決且可能會加劇的隱私洩露問題。
域名裡有什麼?
一切
除非使用者使用虛擬專用網路(Virtual Private Network,下稱VPN),否則,即使每個連線都是加密的,有權訪問你連線的公共網路的人仍然可以確定你訪問的每個網頁站點、聯絡的每個電子郵件伺服器,以及你的移動裝置或膝上型電腦連線的所有線上伺服器。
在任何共享網路中也是如此。
在共享網路中,同一網路的其他使用者也可以訪問網路流量,而且管理員可以監控網路流量。
這些都是因為舊版網際網路上還存在一個暴露的通道裝置:域名伺服器(Domain Name Service,下稱DNS)。DNS是一種古老的系統,當時網際網路上的計算機數量超過了人們手動更新計算機列表的能力,它就這樣發展起來了。是的,它真的很古老。
DNS提供了一種方法,
將人類可讀和可鍵入的域名
(如fastcompany。com)對映至
以機器為導向的適合地址
(如151。101。1。54或2607:f8b0:4004:814:200e。前一地址採用了使用已久的IPv4表示法;後者則採用了IPv6表示法,它允許使用更多唯一編號,IPv6正在逐漸取代IPv4)。
使用者不想鍵入這些複雜IP數字,更不想記住它們
;DNS從早期開始就發展得非常複雜,單一域名可對映至許多不同的機器身份,從而允許“迴圈”訪問,以此平衡流量負載。
DNS也被內容分佈網路
(CDN)
使用
,如CDN服務供應商Akamai和Amazon CloudFront,它們利用DNS提供地理上與發出請求的裝置最接近的伺服器地址,減少網際網路跳轉次數,從而提高效能。
DNS也是一種儲存域名及其所有者相關附加資訊的方法。
所謂的文字(TXT)記錄可將任何資訊新增至DNS條目中。Google允許使用TXT記錄來驗證域的所有權,就像發一條資訊到某個電郵地址以驗證某使用者有權訪問該郵箱一樣。
當用戶透過Wi-Fi、乙太網或蜂窩網路進行網路連線時,裝置接收到的內容中就有DNS伺服器列表。使用者的裝置將查詢請求傳送到DNS伺服器,DNS伺服器就會查詢所有頂級域名(top-level domains)的主列表,如“。com”、“。airo”和“。uk”。
以從右到左、由句點“.”分隔的層次結構,DNS伺服器最終會找到一個提供答案的“權威”DNS伺服器,然後將答案返回至使用者的裝置。
過程並不簡單,但至少還挺直截了當的。
例如,如果一個瀏覽器要訪問fastcompany。com,首先需要查詢“。com”的層次結構來確定
其條目的儲存位置
——提供DNS資訊的伺服器稱為“域名解析伺服器”——然後再直接查詢fastcompany。com的
域名解析伺服器
,接收所需記錄,從而透過機器地址建立直接連線。
像大多數訪問量很大的網站一樣,Fast Company也使用CDN,一位使用者收到的機器地址可能與2,000英里甚至100英里之外的人
不同
。
問題在於,
每一次進行DNS查詢時
,即使通訊的其餘部分是加密的,比如網路和電子郵件連線很可能被加密(歸功於後斯諾登(Snowden)時代加密技術的大量使用),
但域名都是明文傳送的
。
根據現代網站上使用的跟蹤元件和第三方元件得出的資料,一臺個人電腦每天可能會發送
數千個
DNS請求。
由於CDN檢索,某些對域名查詢和IP地址響應進行監視的人可能會獲取
有關使用者習慣和行蹤的資訊叢集
,其
資訊粒度
令人難以置信。
DNS是古板且複雜的。
2008年,情況一團糟,安全研究員丹·卡明斯基(Dan Kaminsky)發現了一個根本缺陷,該缺陷幾乎影響了世界上所有作業系統和伺服器。他一直努力保守秘密,直到Apple、Microsoft、Google和其他公司可以掩蓋它(它從未被完全修復過)。
2015年,一個受歡迎的DNS伺服器(某處理查詢響應的軟體)出現了一個漏洞,非常容易遭受拒絕服務攻擊(denial-of-service,透過不斷髮送網際網路的資料請求使得一臺伺服器最終癱瘓的行為)。
DNS還缺乏驗證過程,容易導致“DNS中毒”。
在這種情況下,裝置進行域名查詢時可能會收到錯誤答案,而裝置並不知道答案是錯的。這一般發生在咖啡廳或其他公共網路中,但也可能遍及全國。
DoH技術可以修復隱私問題及一些完整性相關的問題。
Firefox和Chrome不用明文傳送DNS查詢,也不使用本地網路的DNS伺服器,而是
為DNS建立了一個VPN
,查詢將透過加密隧道傳送至提供答案的中央伺服器。
這樣既可以防止本地網路中毒,也可以防止資訊在本地或傳送間任何節點被擷取。執行中央伺服器的實體可以對其他DNS伺服器執行查詢以檢索答案,不會洩露關於請求方的任何資訊。
但問題就出在“中央”的身上。
誰來監管“DNS監管者”?
DoH的問題不在於它的概念,而在於各瀏覽器在未來版本中預設啟用該技術的方式。
Mozilla的瀏覽器Firefox經過了一年多的測試,選擇了Cloudflare作為其指定合作伙伴,僅面向美國使用者開放。Google很快將在旗下瀏覽器Chrome中測試DoH,但初步將只針對那些有DoH選項的ISP使用者啟用。
大多數消費者都使用其ISP提供的DNS服務,DNS服務可透過ISP提供的路由器中的預配置設定獲得,也可透過輸入ISP提供的DNS伺服器IP地址獲得(這就像是先有雞還是先有蛋的問題,在查詢域名時需要DNS伺服器,因此使用者必須首先輸入伺服器IP地址來啟動伺服器)。
已有上百萬的個人和組織從ISP提供的DNS轉向幾個公共DNS提供商,如Google、OpenDNS和Cloudflare。
大多數ISP都沒把執行DNS伺服器放在心上,導致查詢站點時出現長時間延遲,於是這些DNS提供商就發展起來了。而公共DNS的優質服務更是加速了這一程序。
這最終會導致DNS的集中化——多數使用者會將其網際網路活動信任地交託給少數幾個大公司
,如Comcast、Verizon和Google。然而,DoH甚至還可以將其進一步集中化。
Google旗下Chrome的相關測試只會為有DoH選項的公共DNS提供商使用者升級,而Mozilla則會將依附於ISP或公共DNS的Firefox瀏覽器轉為依附於Cloudflare的DoH服務(使用依靠DNS進行遮蔽過濾服務的家長使用者,以及在內部進行DNS查詢的企業使用者將被排除在DoH之外,但效果如何還有待觀察)。
DNS本身確實不安全,但這種混亂也使得來自單個裝置的DNS請求難以被追蹤和關聯。
透過建立安全的https連線,DoH使得所有請求都緊密關聯。
集中化會誘導那些有權訪問資料的組織做出非白帽、灰帽甚至黑帽的駭客行為
(白帽駭客指用自己的駭客技術來維護網路,測試網路和系統的效能;灰帽駭客指使用計算機或某種產品系統中的安全漏洞,而其目的是引起其擁有者對漏洞的注意;黑帽駭客指利用自身技術,在網路上竊取別人的資源或破解收費軟體以達到獲利)。
一些“心思不純”的公司可能會收集“匿名”資訊,用於重新關聯個體,或用於提取那些DoH使用者未直接同意提供的看法。道德鬆散的各方可能會提取或試圖攔截有關網路連線的資訊。而黑帽駭客則會將精力都集中在破解提供集中服務的公司的安全措施上。
DNS是一個陳舊的計算機協議,DoH則是一項基於DNS的技術。
很多人就競爭減弱和隱私受損等方面提出了反對意見,批評將該技術部署稱為
“集中式DoH”
。
一篇提交至國際網際網路工程任務組(Internet Engineering Task Force,IETF)的檔案草案指出,此模式的快速部署忽略了了一個事實:對DoH饒有興趣或正計劃部署DoH、轉移至中央DoH的IPS,繞過了ISP與使用者之間的保護和協議。
這份檔案的四位作者中,有三位任職於ISP公司:British Telecom、Comcast和Sky。檔案提出的許多問題與公共DNS相同,例如造成更少但更大的單點故障、減少了解並維護和改進DNS軟體的人員數量、將權力集中在更少的人手中從且承擔更少的責任。
然而,一個很大的問題是,
使用公共DNS的人幾乎都是有意為之的
。而Mozilla的Firefox瀏覽器遷移導致使用者被動使用DoH。Google針對Chrome的最初計劃雖然沒那麼激進,但隨時有可能變化。
開源PowerDNS(一個跨平臺的開源DNS服務元件,功能為支援 DNSSEC,提供自動化簽名)的幕後人員列出了集中式DoH增加額外隱私洩露的一系列原因,雖然DNS已經將資料散佈到各處,但將DoH都推到一個位置會增加更多的參與方,引起更直接的會話跟蹤。
僅是權宜之計,並非理想方案
DNS早就需要保護了。
作為網際網路命脈中的老頑固,它根深蒂固、遍佈各處,就和郵件伺服器通訊一樣,不處理乾淨就很難升級。
但倉促行動往往比深思熟慮更糟糕。DoH最好在作業系統層級或使用者安裝的系統層級元件上執行。在這些地方,它可以成為所有DNS查詢的代理伺服器——不僅僅是在瀏覽器中,而是所有服務的代理器。
雖然ISP有自己的使用者隱私問題,但與免費的第三方DoH相比,ISP的直接財務關係提供了更多問責的可能性,讓使用者更安心。
有人認為,對於那些身處專制國家的人來說,DoH提供了逃避審查的方法。但是單點服務(如中央DoH地址)要比VPN更容易遮蔽,畢竟VPN會不斷改變IP範圍以避開審查和政府調查。
如果使用者沒有使用VPN就連線了不安全的網路(無論是由咖啡館還是由國家管理),那就很危險,而DoH可能是一種改進。當然VPN也是一種可供衡量的選擇。相比之下,
集中式DoH似乎正在成為通道實施的一部分,而不是可由個人選擇的東西了。
DNS的未來是加密,但對於這項幾十年來一直以陳舊且怪異的方式蓬勃發展的服務來說,進行集中化只是權宜之計,還不是一個很好的解決方案。