本文的重点
Internet上存在隐私漏洞,留下了访问网站的痕迹。 Mozilla(其浏览器Firefox)和Google已采用一种称为HTTP-over-HTTPS(DoH)的新技术来尝试解决此问题。但是DoH可能会带来新的隐私风险:集中浏览习惯。
DNS是一个古老的系统,已出现在Internet的早期。每次执行DNS查找时,域名将以明文形式发送;否则,域名将以明文形式发送。 Firefox和Chrome使用的DoH将解决与隐私和完整性相关的问题,查询将通过加密的隧道发送,但DoH将进一步集中DNS请求,使黑客有机会提取或拦截有关网络连接的信息。
DNS的未来是加密,但是集中式DoH会增加隐私泄漏的风险。使用DoH只是权宜之计,并不是一个好的解决方案。
原文来自Fast Company,作者Glenn Fleishman
尽管Internet默认情况下已保护数据和加密流量,但隐私漏洞仍然存在:不会消除访问该网站的用户的踪迹,这也为网络游牧民提供了探索隐私的机会。
软件公司Mozilla和Google分别在为其浏览器Firefox和Chrome开发补救方案。
弥补这种缺陷的新技术称为HTTP-over-HTTPS DNS(以下称为DoH),它可以保护用户的浏览习惯不受主要Internet服务提供商(Internet Service Provider,称为AT&T,Comcast,和Verizon)。 ISP)监视。
这些ISP有时使用Supercookies(一种跟踪技术,可让网站和广告客户跟踪cookie,但不能删除),并使用其他技术来跟踪用户。
Sean Captain在文章“如何防止Comcast,Verizon和其他ISP监视用户”中提供了有关如何使用DoH的建议。
但是安全也可以是一把双刃剑。这项技术可以保护用户行为免受ISP,公共热点和其他机构的监视,但它可能带来新的隐私风险:集中浏览习惯。它还强调了DoH技术尚未解决并且可能加剧的隐私泄漏问题。
域名是什么?一切
除非用户使用虚拟专用网络(Virtual Private Network,以下简称VPN),否则即使每个连接都已加密,有权访问您所连接的公共网络的人仍然可以识别您访问的每个网站,联系的每个电子邮件服务器,以及所有服务器都已连接到您的移动设备或笔记本电脑。
在任何共享网络中也是如此。在共享网络中,同一网络上的其他用户也可以访问网络流量,管理员可以监视网络流量。
所有这些都是因为旧Internet上仍然存在暴露的通道设备:域名服务(DNS)。 DNS是一个古老的系统。当时,Internet上的计算机数量已经超过了人们手动更新计算机列表的能力,因此可以开发出来。是的,它真的很旧。
DNS提供了一种将人类可读且可键入的域名(例如)映射到合适的面向机器的地址(例如15 1. 10 1. 1. 54或2607:f8b0:4004:814:200e)的方法。前一个地址使用了长期使用的IPv4表示法;后者使用了IPv6表示法,它允许使用更多的唯一数字,并且IPv6正在逐渐取代IPv 4)。
用户不想输入这些复杂的IP号,更不用说记住它们了; DNS从成立之初就变得非常复杂,一个域名可以映射到许多不同的机器身份,从而允许“循环”访问来平衡流量负载。
DNS也由内容分发网络(CDN)使用,例如CDN服务提供商Akamai和Amazon CloudFront,它们使用DNS提供地理上最接近请求设备的服务器地址,从而减少了Internet跳数并改进了性能。
DNS也是一种存储有关域名及其所有者的其他信息的方法。所谓的文本(TXT)记录可以将任何信息添加到DNS条目中。 Google允许使用TXT记录来验证域所有权,就像将消息发送到电子邮件地址以验证用户是否可以访问邮箱一样。
当用户通过Wi-Fi,以太网或蜂窝网络连接到网络时,设备接收到的内容中会列出DNS服务器列表。用户的设备将查询请求发送到DNS服务器,然后DNS服务器查询所有顶级域的主列表,例如“ .com”,“。airo”和“ .uk”。
从右到左的层次结构之间用句点“。”分隔,DNS服务器最终将找到一个提供答案的“权威” DNS服务器,然后将答案返回给用户的设备。这个过程并不简单,但至少它非常简单。
例如,如果浏览器要访问,则首先需要查询“ .com”的层次结构以确定其条目的存储位置-提供DNS信息的服务器称为“域名解析服务器”-然后直接查询域名解析服务器会收到所需的记录,以通过计算机地址创建直接连接。
就像访问量最大的网站一样,Fast Company也使用CDN,并且用户收到的计算机地址可能与2,000甚至100英里之内传播。
DoH技术可以解决隐私问题和某些与完整性相关的问题。 Firefox和Chrome不会以纯文本格式发送DNS查询,也不会在本地网络上使用DNS服务器。而是为DNS创建一个VPN。查询将通过加密隧道发送到提供答案的中央服务器。
这可以防止本地网络中毒,并防止信息在传输过程中在本地或任何节点上被拦截。运行中央服务器的实体可以在其他DNS服务器上执行查询以检索答案,而无需透露有关请求方的任何信息。
但是问题出在“中央政府”上。
谁来监督“ DNS管理员”?
DoH的问题不是它的概念,而是浏览器在将来的版本中默认启用该技术的方式。
Mozilla的浏览器Firefox经过了一年多的测试,并选择Cloudflare作为其指定合作伙伴,该合作伙伴仅向美国用户开放。 Google很快将在其浏览器Chrome中测试DoH,但最初只会为那些具有DoH选项的ISP用户启用DoH。
大多数消费者使用其ISP提供的DNS服务。可以通过ISP提供的路由器中的预配置设置,或通过输入ISP提供的DNS服务器IP地址来获得DNS服务(就像第一个一样。在查找域名时需要DNS服务器,因此用户必须先输入服务器IP地址才能启动服务器。
数以百万计的个人和组织已从ISP提供的DNS转换为多个公共DNS提供商,例如Google,OpenDNS和Cloudflare。
大多数ISP根本就没有将DNS服务器放在心上,从而导致长时间找不到站点,因此这些DNS提供程序得以发展。公共DNS的高质量服务加快了这一过程。
这最终将导致DNS的集中化-大多数用户将其Internet活动信任到一些大型公司,例如Comcast,Verizon和Google。但是,DoH甚至可以进一步将其集中化。
仅对具有DoH选项的公共DNS提供商的用户升级Google Chrome浏览器的相关测试,而Mozilla会将ISP或Internet附加的Firefox浏览器转换为Cloudflare附加的DoH服务(使用DNS父级用户,执行阻止和筛选服务,内部执行DNS查询的企业用户将被排除在DoH之,以避免审查和政府调查。
如果用户不使用VPN而连接到不安全的网络(无论是通过咖啡店还是通过国家),那将很危险,DoH可能会有所改进。当然,VPN也是一个可衡量的选择。相比之下,集中式DoH似乎正在成为渠道实施的一部分,而不是个人可以选择的东西。
DNS的未来是加密,但是对于数十年来一直以古怪的方式蓬勃发展的这项服务而言,集中化只是权宜之计,而不是一个好的解决方案。
本文来自本站,转载请注明本文网址:
http://www.pc-fly.com/a/tongxingongju/article-370555-1.html
……