Firefox和Google浏览器最新隐私保护功能带来了新的风险

原文来自Fast Company,作者Glenn Fleishman

原文链接:

虽然互联网已默认保护数据、加密流量,但隐私漏洞仍然存在:用户访问网站的痕迹不会消除,这也给了网络上游手好闲之人探查隐私的可乘之机。

软件公司Mozilla及Google正分别针对旗下浏览器Firefox及 Chrome研究补救方案。

弥补缺陷的新技术被称为DNS-over-HTTPS(下称DoH),它可以保护用户的浏览习惯不受AT&T、Comcast和Verizon等各大互联网服务供应商(Internet Service Provider,下称ISP)监控。

这些ISPs有时会使用Supercookies(一种跟踪技术,和cookie一样允许网站和广告商进行跟踪,但不能被真正删除)及其他技术来跟踪用户。

肖恩·凯普敦(Sean Captain)在文章《如何防止Comcast、Verizon和其他ISP监视用户》中,就如何使用DoH提供了相关建议。

但安全也可能是把双刃剑。这种技术可以保护用户行为不受ISP、公共热点和其他机构的监控,但可能会带来新的隐私风险:浏览习惯的集中化。它还突出了DoH技术尚未解决且可能会加剧的隐私泄露问题。

域名里有什么?一切

除非用户使用虚拟专用网络(Virtual Private Network,下称VPN),否则,即使每个连接都是加密的,有权访问你连接的公共网络的人仍然可以确定你访问的每个网页站点、联络的每个电子邮件服务器,以及你的移动设备或笔记本电脑连接的所有在线服务器。

在任何共享网络中也是如此。在共享网络中,同一网络的其他用户也可以访问网络流量,而且管理员可以监控网络流量。

这些都是因为旧版互联网上还存在一个暴露的通道设备:域名服务器(Domain Name Service,下称DNS)。DNS是一种古老的系统,当时互联网上的计算机数量超过了人们手动更新计算机列表的能力,它就这样发展起来了。是的,它真的很古老。

DNS提供了一种方法,将人类可读和可键入的域名(如fastcompany.com)映射至以机器为导向的适合地址(如151.101.1.54或2607:f8b0:4004:814:200e。前一地址采用了使用已久的IPv4表示法;后者则采用了IPv6表示法,它允许使用更多唯一编号,IPv6正在逐渐取代IPv4)。

用户不想键入这些复杂IP数字,更不想记住它们;DNS从早期开始就发展得非常复杂,单一域名可映射至许多不同的机器身份,从而允许“循环”访问,以此平衡流量负载。

DNS也被内容分布网络(CDN)使用,如CDN服务供应商Akamai和Amazon CloudFront,它们利用DNS提供地理上与发出请求的设备最接近的服务器地址,减少互联网跳转次数,从而提高性能。

DNS也是一种储存域名及其所有者相关附加信息的方法。所谓的文本(TXT)记录可将任何信息添加至DNS条目中。Google允许使用TXT记录来验证域的所有权,就像发一条信息到某个电邮地址以验证某用户有权访问该邮箱一样。

当用户通过Wi-Fi、以太网或蜂窝网络进行网络连接时,设备接收到的内容中就有DNS服务器列表。用户的设备将查询请求发送到DNS服务器,DNS服务器就会查询所有顶级域名(top-level domains)的主列表,如“.com”、“.airo”和“.uk”。

以从右到左、由句点“.”分隔的层次结构,DNS服务器最终会找到一个提供答案的“权威”DNS服务器,然后将答案返回至用户的设备。过程并不简单,但至少还挺直截了当的。

例如,如果一个浏览器要访问fastcompany.com,首先需要查询“.com”的层次结构来确定其条目的存储位置——提供DNS信息的服务器称为“域名解析服务器”——然后再直接查询fastcompany.com的域名解析服务器,接收所需记录,从而通过机器地址创建直接连接。

像大多数访问量很大的网站一样,Fast Company也使用CDN,一位用户收到的机器地址可能与2,000英里甚至100英里之外的人不同。

问题在于,每一次进行DNS查找时,即使通信的其余部分是加密的,比如网络和电子邮件连接很可能被加密(归功于后斯诺登(Snowden)时代加密技术的大量使用),但域名都是明文发送的。

根据现代网站上使用的跟踪组件和第三方元件得出的数据,一台个人电脑每天可能会发送数千个DNS请求。

由于CDN检索,某些对域名查找和IP地址响应进行监视的人可能会获取有关用户习惯和行踪的信息集群,其信息粒度令人难以置信。

DNS是古板且复杂的。2008年,情况一团糟,安全研究员丹·卡明斯基(Dan Kaminsky)发现了一个根本缺陷,该缺陷几乎影响了世界上所有操作系统和服务器。他一直努力保守秘密,直到Apple、Microsoft、Google和其他公司可以掩盖它(它从未被完全修复过)。

2015年,一个受欢迎的DNS服务器(某处理查询响应的软件)出现了一个漏洞,非常容易遭受拒绝服务攻击(denial-of-service,通过不断发送互联网的数据请求使得一台服务器最终瘫痪的行为)。

DNS还缺乏验证过程,容易导致“DNS中毒”。在这种情况下,设备进行域名查找时可能会收到错误答案,而设备并不知道答案是错的。这一般发生在咖啡厅或其他公共网络中,但也可能遍及全国。

DoH技术可以修复隐私问题及一些完整性相关的问题。Firefox和Chrome不用明文发送DNS查询,也不使用本地网络的DNS服务器,而是为DNS创建了一个VPN,查询将通过加密隧道发送至提供答案的中央服务器。

这样既可以防止本地网络中毒,也可以防止信息在本地或传送间任何节点被截取。运行中央服务器的实体可以对其他DNS服务器执行查询以检索答案,不会泄露关于请求方的任何信息。

但问题就出在“中央”的身上。

谁来监管“DNS监管者”?

DoH的问题不在于它的概念,而在于各浏览器在未来版本中默认启用该技术的方式。

Mozilla的浏览器Firefox经过了一年多的测试,选择了Cloudflare作为其指定合作伙伴,仅面向美国用户开放。Google很快将在旗下浏览器Chrome中测试DoH,但初步将只针对那些有DoH选项的ISP用户启用。

大多数消费者都使用其ISP提供的DNS服务,DNS服务可通过ISP提供的路由器中的预配置设置获得,也可通过输入ISP提供的DNS服务器IP地址获得(这就像是先有鸡还是先有蛋的问题,在查找域名时需要DNS服务器,因此用户必须首先输入服务器IP地址来启动服务器)。

已有上百万的个人和组织从ISP提供的DNS转向几个公共DNS提供商,如Google、OpenDNS和Cloudflare。

大多数ISP都没把运行DNS服务器放在心上,导致查找站点时出现长时间延迟,于是这些DNS提供商就发展起来了。而公共DNS的优质服务更是加速了这一进程。

这最终会导致DNS的集中化——多数用户会将其互联网活动信任地交托给少数几个大公司,如Comcast、Verizon和Google。然而,DoH甚至还可以将其进一步集中化。

Google旗下Chrome的相关测试只会为有DoH选项的公共DNS提供商用户升级,而Mozilla则会将依附于ISP或公共DNS的Firefox浏览器转为依附于Cloudflare的DoH服务(使用依靠DNS进行屏蔽过滤服务的家长用户,以及在内部进行DNS查询的企业用户将被排除在DoH之外,但效果如何还有待观察)。

DNS本身确实不安全,但这种混乱也使得来自单个设备的DNS请求难以被追踪和关联。通过创建安全的https连接,DoH使得所有请求都紧密关联。

集中化会诱导那些有权访问数据的组织做出非白帽、灰帽甚至黑帽的黑客行为(白帽黑客指用自己的黑客技术来维护网络,测试网络和系统的性能;灰帽黑客指使用计算机或某种产品系统中的安全漏洞,而其目的是引起其拥有者对漏洞的注意;黑帽黑客指利用自身技术,在网络上窃取别人的资源或破解收费软件以达到获利)。

一些“心思不纯”的公司可能会收集“匿名”信息,用于重新关联个体,或用于提取那些DoH用户未直接同意提供的看法。道德松散的各方可能会提取或试图拦截有关网络连接的信息。而黑帽黑客则会将精力都集中在破解提供集中服务的公司的安全措施上。

DNS是一个陈旧的计算机协议,DoH则是一项基于DNS的技术。

很多人就竞争减弱和隐私受损等方面提出了反对意见,批评将该技术部署称为 “集中式DoH”。

一篇提交至国际互联网工程任务组(Internet Engineering Task Force,IETF)的文件草案指出,此模式的快速部署忽略了了一个事实:对DoH饶有兴趣或正计划部署DoH、转移至中央DoH的IPS,绕过了ISP与用户之间的保护和协议。

这份文件的四位作者中,有三位任职于ISP公司:British Telecom、Comcast和Sky。文件提出的许多问题与公共DNS相同,例如造成更少但更大的单点故障、减少了解并维护和改进DNS软件的人员数量、将权力集中在更少的人手中从且承担更少的责任。

然而,一个很大的问题是,使用公共DNS的人几乎都是有意为之的。而Mozilla的Firefox浏览器迁移导致用户被动使用DoH。Google针对Chrome的最初计划虽然没那么激进,但随时有可能变化。

开源PowerDNS(一个跨平台的开源DNS服务组件,功能为支持 DNSSEC,提供自动化签名)的幕后人员列出了集中式DoH增加额外隐私泄露的一系列原因,虽然DNS已经将数据散布到各处,但将DoH都推到一个位置会增加更多的参与方,引起更直接的会话跟踪。

仅是权宜之计,并非理想方案

DNS早就需要保护了。作为互联网命脉中的老顽固,它根深蒂固、遍布各处,就和邮件服务器通信一样,不处理干净就很难升级。

但仓促行动往往比深思熟虑更糟糕。DoH最好在操作系统层级或用户安装的系统层级组件上运行。在这些地方,它可以成为所有DNS查询的代理服务器——不仅仅是在浏览器中,而是所有服务的代理器。

虽然ISP有自己的用户隐私问题,但与免费的第三方DoH相比,ISP的直接财务关系提供了更多问责的可能性,让用户更安心。

有人认为,对于那些身处专制国家的人来说,DoH提供了逃避审查的方法。但是单点服务(如中央DoH地址)要比VPN更容易屏蔽,毕竟VPN会不断改变IP范围以避开审查和政府调查。

如果用户没有使用VPN就连接了不安全的网络(无论是由咖啡馆还是由国家管理),那就很危险,而DoH可能是一种改进。当然VPN也是一种可供衡量的选择。相比之下,集中式DoH似乎正在成为通道实施的一部分,而不是可由个人选择的东西了。

DNS的未来是加密,但对于这项几十年来一直以陈旧且怪异的方式蓬勃发展的服务来说,进行集中化只是权宜之计,还不是一个很好的解决方案。

“久谦咨询”即将移步新账号“栈外”!欢迎各位读者阅读及关注。

#mid=59565