Firefox Trusted Recursive Resolver

[cbtestarossa]

Mozilla hat scheinbar eine eigene DNS Funktion vorbei an ETC/hosts oder RouterDNS eingebaut.
https://www.heise.de/newsticker/mel...Sicherheitsfunktion-fuer-Firefox-4130296.html

Abhilfe schafft in about:config
bei
network.trr.uri
den String (cloudflare-dns.com etc.) zu löschen und
network.trr.mode
ab FF61 auf 5 zu setzen um die Funkition komplett dauerhaft zu deaktivieren
und unter FF60ESR auf 0 (normalerweise default) zu setzen da es hier scheinbar noch anders verwaltet wird.

Einstellmöglichkeiten: https://wiki.mozilla.org/Trusted_Recursive_Resolver

 

[Gullwoop]

Das habe ich letztens auch erst bei Heise gelesen gehabt. Irgendwie schafft Mozilla es immer wieder am User vorbei zu entwickeln. Grade Cloudflare für sowas zu nutzen. Das war doch auch so eine Datenkralle die dann nun einsehen kann wann, wer, welche Seite aufgerufen hat.

Mit dem privaten Internetzugang stellt doch jeder Provider seinen eigenen DNS-Server zur Verfügung. Was will Mozilla da dann herumfuschen. Oder verstehe ich das falsch.

In jedem Fall dürfte das ganze in Europa doch illegal sein, sprich dem neuen Datenschutzgesetz wiedersprechen. Oder liege ich da falsch!?

Danke für den Link zu Mozilla.

 

[Elbrathil]

Danke für den Hinweis, hatte ich noch gar nicht gelesen. Firefox macht in letzter Zeit einige ziemlich bedenkliche "Verschlimmbesserungen".

 

[cbtestarossa]

update
bei
network.trr.uri
sollte man auch den String löschen (cloudflare-dns.com etc.)

 

[Discovery_1]

Der letzte String ist bei mir ohne Eintrag. Allerdings bin ich gerade im FF unter Linux. Danke für die Hinweise! Firefox goes Microsoft. Wird vllt. langsam wirklich Zeit für einen Browser-Wechsel.

 

[Hauro]

Heise schreibt wie oft zu Firefox-Themen reißerische Artikel wie diesen.

Aktuell ist es eine Studie, die nur für die Nightly aktiv war und beendet ist (network.trr.mode=0=off by default).
[Shield] Pref Flip Study: Trusted Recursive Resolver

Basic description of experiment: TRR is a separate and parallel way to resolve host names in the browser and the implementation allows for several different operational modes. We want to enable TRR in “shadow mode”, meaning that Firefox resolves all host names using both original native resolver mechanism as well as DNS-over-HTTPS (DOH) but the results from DOH are discarded and are only used for measuring and telemetry. For this experiment, we would use a cloudflare hosted server.

this bug was for study 1 (and study 2 to fix the deploy issue). It is complete.

Heies ist bei mir raus und ComputerBase bei Tests auch, denn neutral geht anderes.

 

[cbtestarossa]

Nur dass der Wert 0 bei Upgrades verändert werden könnte.
Der Wert 5 soll angeblich das selbe bewirken aber nie mehr verändert werden.

Man muss sich nur gewisse Fragen stellen wann so etwas überhaupt Sinn ergeben könnte.
Da fiele mir nur folgendes Szenario ein.
Ich benutze Firefox und bin in einem Hotel/WLAN und/oder ich werde zensiert etc.
und benutze ein System/OS wo ich DNS nicht beeinflussen kann.

Wenn man so etwas haben möchte dann wäre es vernünftiger es über ein Addon leicht bedienbar zu machen.
Quasi wie ein Proxyswitcher Addon, und das sicher transparenter und nicht vor dem User versteckt.

Außerdem gibt es noch Methoden wie DNS-over-TLS die mir vernünftiger erscheinen.
Absicherung sollte dann auch über DNSSEC etc. laufen.

Nun liegt es an anderen Leuten dieses auch benutzerfreundlich ins OS oder als eigenständige Programme zu integrieren, denn die meisten Router werden das wohl niemals nehr integriert bekommen.

Es kann aber sicher nicht angehen dass nun sämtliche Anwenderprogramme diesen überkomplexen Bloat integriert bekommen wo sich bestimmt wieder unzählige Sicherheitslücken auftun und DNS unbemerkt zersplittet wird.
Zusätzlich ergibt sich noch eine Erschwerniss von Firewallkonfigurationen wenn alles nur noch über Port 443 laufen würde.

DNS muss frei bleiben und darf nicht in die Hände weniger gelangen.

Zu guter letzt bin ich auch bereits der Meinung dass auch Firefox Quantum unbedingt Forks benötigt wo so etwas gleich direkt herausgepatcht wird.
Palemoon ist dabei nur eine von mehreren Alternativen.

 

[Hauro]

dann wäre es vernünftiger es über ein Addon leicht bedienbar zu machen.

Wird sich über ein Add-on nicht performant umsetzen lassen, außerdem müsste eine Schnittstelle zum Kern geben, was sicher nicht gewünscht ist.

Außerdem gibt es noch Methoden wie DNS-over-TLS die mir vernünftiger erscheinen.

Immer bedenken: Freedom on the Net 2017 Manipulating Social Media to Undermine Democracy

Governments around the world have dramatically increased their efforts to manipulate information on social media over the past year.

Betrifft seit dem Netzwerkdurchsetzungsgesetz auch Deutschland, wo Kommentare, die nicht gegen das Gesetz verstoßen gelöscht, werden.

Denke es geht auch um den TOR-Browser. DNS over HTTPS verwendet den Port 443, welcher der Standard Port für HTTPS ist. DNS over TLS verwendet Port 853. Wird DNS over TLS verwendet, bekommt ein Regime also mit, dass DNS über TLS benutzt wird.

 

[cbtestarossa]

Naja man kann auch bei DoT jeden Port verwenden.
Standard ist es dann halt nicht. But Wayne.

Es geht hier einfach um Grundsätze. Und wo DNS hingehört.
Und das ist eben nicht in Anwendungsprogrammen.
Und schon gar nicht wenn es auch um Sicherheit geht.

Wird sich über ein Add-on nicht performant umsetzen lassen, außerdem müsste eine Schnittstelle zum Kern geben, was sicher nicht gewünscht ist.

Es ginge nur um die Umschalterei über ein ICON und eventuell um die Konfiguration der Server durch das Addon.
Den Rest würde ja eh FF wie angedacht übernehmen.
Vom Speed würde sich auch nicths ändern da eh die eingebaute Funktion verwendet wird.
Das Addon setzt einfach nur den Wert in der about:config zwischen 0 und 5.
Und vllt. noch den Serverstring.

Und wenn sie es in Zukunft eventuell dort auch wegrationalisieren dann bin ich auch dafür diesen Crap aus dem Sourcecode raus zu patchen.

Die Idee alleine ist schon grotesk genug und ein Albtraum für jeden normal denkenden Anwender.
Bin schon gespannt wer dieses "Feature" als nächstes einbauen will.

 

[Der-Orden-Xar]

Es ginge nur um die Umschalterei über ein ICON und eventuell um die Konfiguration der Server durch das Addon.
Den Rest würde ja eh FF wie angedacht übernehmen.

Wozu Addon, wenn es die GUI gibt?
Das Häckchen zum (de)aktivieren und Konfigurieren ist in den Verbindungseinstellungen gelandet, dor wo seit ewig auch ein Proxy konfiguriert werden kann.
Für Leute, die sich genauer auskennen und wissen, was sie tun belibt about:config mit feineren/erweiterten Einstellungsmöglichkeiten.

Die Idee an sich ist nicht grotesk, nur ein per deafult wäre es. Das ist eher so ein: "It works b***. Do it in the OS"
Aber bis Microsoft, Apple oder auch die Linuxleute soweit sind dauert das sicher noch sehr lange.

 

[cbtestarossa]

Die bauen das erst ins OS ein wenn es Sinn ergibt und sich ein vernünftiger Standart etabliert hat.
Und das ist mit DnsOverHttps eher nicht der Fall.

 

[Der-Orden-Xar]

DOH ist ein Standard, was ist daran unvernünftig?

 

[cbtestarossa]

Nur weil etwas Standard ist bedeutet das nicht gleichzeitig dass er gut ist, oder man ihn generell nutzen sollte.

JavaScript hat auch einen Standard.
Ist es deshalb gut ihn so zu nutzen wie es im Moment passiert. Eher nicht oder?
Was aus dem Internet wurde kannst du ja sehen.

Es geht auch darum wie etwas eingesetzt wird und mit welchen Tricks
gewisse "Interessensgruppierungen" ihre "Ideen" umsetzen wollen.

Am schlimmsten ist aber dass sie meist damit durchkommen,
weil der Großteil der Menschheit von nichts ne Ahnung hat.

 

[Der-Orden-Xar]

Ok, also ist DOH nicht schlecht, schließlich hast du nur ausweichend geantwortet.

 

[cbtestarossa]

Es geht nicht darum ob es technisch gut oder schlecht ist.
Es kann richtig eingesetzt m.M.n. auch seine Vorteile haben.
Aber es sollte nicht als grundlegender DNS Ersatz dienen.
Es kann auch nicht sein dass jedes Programm dann so eine Implementierung bekommt.
So etwas löst man im OS, am Router oder DNS-Server.
Und sicher nicht in der DoH Variante.

DOH ist ein Standard

Es ist ein Standard unter vielen, oder sagen wir besser DoH wurde standartisiert oder genormt etc.
Aber es ist nicht DER Standard für DNS. Und hoffentlich wird er es auch nie.

 

[Der-Orden-Xar]

Ist hab ja auch ein und nicht der geschrieben.
Das das am Ende auf OS-Ebene oder im Router geschehen soll steht außer frage (hoffe ich).

Ich sehe in DoH einen großen Vorteil gegenüber DoT: Den Port. Der ist im Standard auf 443 gestgelegt, bei DoT ist es ein anderer. Damit lässt sich DoH-Traffic nicht anhand des Ports filtern, was je nach Aufenthaltsort durchaus wichtig sein kann.

Du hast aber immer noch kein Argument gegen DoH oder für eine Alternative genannt

 

[cbtestarossa]

Musst nur nach oben scrollen dann siehst du doch die Argumente und einige Alternativen.
Gibt aber auch noch andere.

 

[Der-Orden-Xar]

Ich sehe nur: DNS muss dezentral bleiben. Dem stimme ich zu, sehe aber nicht, wo DoT das besser löst.

Dann nur irgendwas mit "ja aber JS wird auch missbraucht". Das ist aber kein Argument.
Also ist es nur dein Bauchgefühl?

 

[cbtestarossa]

Da du ja in solchen Belangen kein Neuling bist gestehe ich dir den Umgang mit Seiten wie
Wikipedia, Heise, Golem usw. zu, um eigenständige Schlussfolgerungen ziehen zu können.
Einfach mal alles durchforsten. IP, HTTP, DNS, OSI Schichten Modell usw.

Ich habe nämlich keine Lust 1000 mal auf immer wieder die selben Fragen zu antworten.
Wo die Antworten dann scheinbar noch gekonnt überlesen werden.

Tschü mit Ü

 

[mensch183]

Mit dem privaten Internetzugang stellt doch jeder Provider seinen eigenen DNS-Server zur Verfügung. Was will Mozilla da dann herumfuschen.

Es gibt durchaus Anlass, den Nameserver des Providers nicht zu nutzen. Es gibt leider viele Provider, die via DNS ihren Kunden Fake-News unterschieben. Ein Beispiel dafür ist die Deutsche Telekom.
(Nein, ich will nicht hören, dass man bei der Dt. Telekom die DNS-Fake-News im Kundencenter wegkonfigurieren kann. Ein in Voreinstellung absichtlich lügender Nameserver ist mMn ein Unding.)