• Diese Seite verwendet Cookies. Indem du diese Website weiterhin nutzt, erklärst du dich mit der Verwendung von Cookies einverstanden. Erfahre mehr

DNS over HTTP / OpenBSDs Firefox Built deaktiviert DoH standardmäßig

CommanderZed

OpenBSD User
Mitarbeiter
Themenstarter #1
Hallo zusammen,

auf golem, heise und co. wird DoH ja heiß diskutiert, aus den ganzen üblichen gründen stehe ich dem auch sehr ablehnend gegenüber - die vorteile ergeben sich eigentlich nur bei kaputten / extrem langsamen Provider-DNS was mir hier in D. noch nie untergekommen ist und wofür es ein knappes dutzend guter alternativlösungen gibt.

Dafür bricht es diverse dinge, angefangen von netzen die intern anders auflösen als extern (Oder ggf. interne addressen garnicht extern auflösbar machen, wie z.B. bei meinem AG üblich) über einheitliches systemverhalten bis zu problemen in der Schnell-Diagnose bei Problemen ("ping" auf einen host ergibt die "richtige" Server-IP, Browser hat aber nen komplett anderes ergebniss).

Jetzt habe ich gelesen das die OpenBSD jungs das standardmäßig deaktivieren - meiner Meinung nach genau die richtige Idee.
 

Soonwald

Well-Known Member
#2
Wieviel gefühlte Jahrzehnte dauert schon die flächendeckende Einführung von IPv6?
Gefühlt: etliche
Real: ca. 2
Was DoH betrifft, so kann man sich mal gemütlich zurücklehnen und der Rente entgegen sehen.
Wobei ich den tieferen und eigentlichen Sinn noch immer nicht verstehe.
 

foxit

Moderator
Mitarbeiter
#5
Wobei ich den tieferen und eigentlichen Sinn noch immer nicht verstehe.
Es gibt drei Vorteile, welche mir so direkt einfallen:
  • Bei DoH verschlüsselt der Browser die DNS-Daten, was die Privatsphäre besser schützt als unverschlüsselte Abfragen. Auch Metadaten lassen Rüchschlüsse zu, was und wo du im Internet machst.
  • Verschlüsselte DNS-Abfragen sind nicht für Man-in-the-Middle-Attacken verwundbar.
  • Staatliche Zensur kann so umgangen werden.
Das wir hier als technisch versierte User dies auch so umgehen können, geschenkt aber die grosse Masse der Menschen im Internet können das nicht.
 

mark05

Well-Known Member
#6
Hi

Der, für mich , größte Vorteil ist auch der grõßte Nachteil , in der Form , die verschlûsselung.

Ich habe nicht mehr die Möglichkeit via DNS Werbung und sonstigen Spam zu blockieren.


Webseiten betreiben können die für alles einen Namen / IP unterschieben und du
Kannst es nicht verhindern daß das aufgerufen wird.

holger
 

medV2

Well-Known Member
#7
Es gibt drei Vorteile, welche mir so direkt einfallen:
  • Bei DoH verschlüsselt der Browser die DNS-Daten, was die Privatsphäre besser schützt als unverschlüsselte Abfragen. Auch Metadaten lassen Rüchschlüsse zu, was und wo du im Internet machst.
  • Verschlüsselte DNS-Abfragen sind nicht für Man-in-the-Middle-Attacken verwundbar.
  • Staatliche Zensur kann so umgangen werden.
Das wir hier als technisch versierte User dies auch so umgehen können, geschenkt aber die grosse Masse der Menschen im Internet können das nicht.
Naja der erste Punkt trifft hat nur teils zu, dein ISP kann eigentlich immer deine Aktivitäten verfolgen, bzw. ist in manchen Ländern dazu gezwungen. Im Zweifel ist es nur etwas umständlicher als mit den direkten DNS Daten.

Und zur Zensur: Das wird nur sehr kurz so sein, auch mit DoH ist es für den Provider trivial die Zensur umzusetzen. Und da sehe ich auch den großen Nachteil. Derzeit genügt es für Leute, die Wert auf ein unzensiertes Netz legen, den DNS zu ändern. Wenn DoH Standard wird, wird das nicht mehr so einfach werden für uns.

Prinzipiell ist DoH aber natürlich nichts per se schlechtes. Ich selbst verwende schon seit Jahren DoT in meinem Heimnetz über einen Forwarder auf nem RPI.
 

CommanderZed

OpenBSD User
Mitarbeiter
Themenstarter #8
Prinzipiell ist DoH aber natürlich nichts per se schlechtes. Ich selbst verwende schon seit Jahren DoT in meinem Heimnetz über einen Forwarder auf nem RPI.
Da bin ich dabei, aber es sollte halt 1. vom Betriebsystem umgesetzt werden und 2. die "Server" Addresse per DHCP verteilt werden können bzw. über die ipv6-geschichte.
 

foxit

Moderator
Mitarbeiter
#9

Soonwald

Well-Known Member
#10
Kannst du das bitte genauer erklären?

Man kann die URL von Cloudflare in der Firefox Config ändern. Kannst ja deinen eigenen hinterlegen.
Die Sache mit der Zensur ist doch ganz einfach:
Wenn fast alles dann Cloudflare nutzt, wird auf Cloudflare entsprechender politischer Druck erzeugt, bestimmte WebSites außen vor zu lassen - die stehen dann im Regen und erledigen sich somit selber!

Was die Alternativen betrifft, so ist das wohl auch die derzeitige große Schwäche von DoH - weil es da wohl einfach zu wenige gibt!
 

foxit

Moderator
Mitarbeiter
#12
Zum einen gibt es SNI auf dessen Basis man blocken kann. Zudem muss der ISP nur regelmäßig für alle Sites auf der "Blocklist" die IPs abfragen und entsprechend Filtern.
Man hat gesehen, wie gut das funktioniert, als Russland Telegram blockieren wollte. [1]

Wie auch immer. Natürlich hat beides Vorteile. Da man es aber leicht deaktivieren oder ändern kann, sollte das doch keine Sache sein. In einem halben Jahr interessiert sich doch niemand mehr dafür. Die die es ausschalten wollen, tun das und die anderen halt nicht.

[1] https://www.stern.de/digital/smartp...miert--den-chatdienst-zu-stoppen-7957614.html
 

medV2

Well-Known Member
#13
Man hat gesehen, wie gut das funktioniert, als Russland Telegram blockieren wollte. [1]

Wie auch immer. Natürlich hat beides Vorteile. Da man es aber leicht deaktivieren oder ändern kann, sollte das doch keine Sache sein. In einem halben Jahr interessiert sich doch niemand mehr dafür. Die die es ausschalten wollen, tun das und die anderen halt nicht.

[1] https://www.stern.de/digital/smartp...miert--den-chatdienst-zu-stoppen-7957614.html
Man muss halt unterscheiden, was genau geblockt werden soll. Einen Dienst mit entsprechend finanziellen Mitteln zu blockieren ist etwas anderes als einen Blog mit unliebsamen Inhalten.

Außerdem steht im von dir verlinkten Artikel, das es in erster Linie dazu geführt hat, dass die Leute jetzt vermehrt Tor oder VPN nutzen. Das war ja auch mein Punkt, das umgehen der Blockierung wird komplizierter, nicht unmöglich. Es ist halt ein gegenseitiges Aufrüsten.