Firefox和Google浏览器最新隐私维护功用带来了新的危险

本文亮点

互联网存在隐私缝隙，会留下拜访网站的痕迹。Mozilla（旗下阅读器Firefox）和Google采用了名为DNS-over-HTTPS（DoH）的新技能，企图处理这一问题。但DoH或许会带来新的隐私风险：阅读习气的会集化。

DNS是一种陈腐的体系，在互联网开展前期就已呈现。每次进行DNS查找时，都会以明文发送域名；Firefox和Chrome运用的DoH将修正隐私和完整性相关问题，查询将经过加密地道发送，但DoH会将DNS恳求进一步会集化，使黑客们有时机提取或阻拦有关网络衔接的信息。

DNS的未来是加密，但会集式DoH添加了额定隐私走漏风险，运用DoH仅仅权宜之计，还不是一个很好的处理计划。

原文来自Fast Company，作者Glenn Fleishman

尽管互联网已默许维护数据、加密流量，但隐私缝隙依然存在：用户拜访网站的痕迹不会消除，这也给了网络上游手好闲之人探查隐私的待机而动。

软件公司Mozilla及Google正别离针对旗下阅读器Firefox及 Chrome研讨补偿计划。

补偿缺点的新技能被称为DNS-over-HTTPS（下称DoH），它能够维护用户的阅读习气不受AT&T、Comcast和Verizon等各大互联网服务供货商（Internet Service Provider，下称ISP）监控。

这些ISPs有时会运用Supercookies（一种盯梢技能，和cookie相同答应网站和广告商进行盯梢，但不能被真实删去）及其他技能来盯梢用户。

肖恩·凯普敦（Sean Captain）在文章《怎么避免Comcast、Verizon和其他ISP监督用户》中，就怎么运用DoH供给了相关主张。

但安全也或许是把双刃剑。这种技能能够维护用户行为不受ISP、公共热门和其他安排的监控，但或许会带来新的隐私风险：阅读习气的会集化。它还突出了DoH技能没有处理且或许会加重的隐私走漏问题。

域名里有什么？全部

除非用户运用虚拟专用网络（Virtual Private Network，下称VPN），不然，即便每个衔接都是加密的，有权拜访你衔接的公共网络的人依然能够确认你拜访的每个网页站点、联络的每个电子邮件服务器，以及你的移动设备或笔记本电脑衔接的一切在线服务器。

在任何同享网络中也是如此。在同享网络中，同一网络的其他用户也能够拜访网络流量，并且办理员能够监控网络流量。

这些都是因为旧版互联网上还存在一个露出的通道设备：域名服务器（Domain Name Service，下称DNS）。DNS是一种陈腐的体系，其时互联网上的计算机数量超过了人们手动更新计算机列表的才能，它就这样开展起来了。是的，它真的很陈腐。

DNS供给了一种办法，将人类可读和可键入的域名（如fastcompany.com）映射至以机器为导向的合适地址（如151.101.1.54或2607:f8b0:4004:814:200e。前一地址采用了运用已久的IPv4表明法；后者则采用了IPv6表明法，它答应运用更多仅有编号，IPv6正在逐步替代IPv4）。

用户不想键入这些杂乱IP数字，更不想记住它们；DNS从前期开端就开展得十分杂乱，单一域名可映射至许多不同的机器身份，然后答应“循环”拜访，以此平衡流量负载。

DNS也被内容分布网络（CDN）运用，如CDN服务供货商Akamai和Amazon CloudFront，它们运用DNS供给地理上与宣布恳求的设备最接近的服务器地址，削减互联网跳转次数，然后进步功能。

DNS也是一种贮存域名及其一切者相关附加信息的办法。所谓的文本（TXT）记载可将任何信息添加至DNS条目中。Google答应运用TXT记载来验证域的一切权，就像发一条信息到某个电邮地址以验证某用户有权拜访该邮箱相同。

当用户经过Wi-Fi、以太网或蜂窝网络进行网络衔接时，设备接纳到的内容中就有DNS服务器列表。用户的设备将查询恳求发送到DNS服务器，DNS服务器就会查询一切尖端域名（top-level domains）的主列表，如“.com”、“.airo”和“.uk”。

以从右到左、由句点“.”分隔的层次结构，DNS服务器终究会找到一个供给答案的“威望”DNS服务器，然后将答案回来至用户的设备。进程并不简略，但至少还挺开门见山的。

例如，假如一个阅读器要拜访fastcompany.com，首要需求查询“.com”的层次结构来确认其条意图存储方位——供给DNS信息的服务器称为“域名解析服务器”——然后再直接查询fastcompany.com的域名解析服务器，接纳所需记载，然后经过机器地址创立直接衔接。

像大大都拜访量很大的网站相同，Fast Company也运用CDN，一位用户收到的机器地址或许与2,000英里乃至100英里之外的人不同。

问题在于，每一次进行DNS查找时，即便通讯的其余部分是加密的，比方网络和电子邮件衔接很或许被加密（归功于后斯诺登（Snowden）年代加密技能的很多运用），但域名都是明文发送的。

依据现代网站上运用的盯梢组件和第三方元件得出的数据，一台个人电脑每天或许会发送数千个DNS恳求。

因为CDN检索，某些对域名查找和IP地址呼应进行监督的人或许会获取有关用户习气和行迹的信息集群，其信息粒度令人难以置信。

DNS是死板且杂乱的。2008年，状况一团糟，安全研讨员丹·卡明斯基（Dan Kaminsky）发现了一个底子缺点，该缺点简直影响了世界上一切操作体系和服务器。他一向尽力保存隐秘，直到Apple、Microsoft、Google和其他公司能够掩盖它（它从未被彻底修正过）。

2015年，一个受欢迎的DNS服务器（某处理查询呼应的软件）呈现了一个缝隙，十分简单遭受拒绝服务进犯（denial-of-service，经过不断发送互联网的数据恳求使得一台服务器终究瘫痪的行为）。

DNS还缺少验证进程，简单导致“DNS中毒”。在这种状况下，设备做域名查找时或许会收到过错答案，而设备并不知道答案是错的。这一般发生在咖啡厅或其他公共网络中，但也或许广泛全国。

DoH技能能够修正隐私问题及一些完整性相关的问题。Firefox和Chrome不必明文发送DNS查询，也不运用本地网络的DNS服务器，而是为DNS创立了一个VPN，查询将经过加密地道发送至供给答案的中心服务器。

这样既能够有用的防备本地网络中毒，也能够有用的防备信息在本地或传送间任何节点被截取。运转中心服务器的实体能够对其他DNS服务器履行查询以检索答案，不会走漏关于恳求方的任何信息。

但问题就出在“中心”的身上。

谁来监管“DNS监管者”？

DoH的问题不在于它的概念，而在于各阅读器在未来版别中默许启用该技能的办法。

Mozilla的阅读器Firefox经过了一年多的测验，挑选了Cloudflare作为其指定合作伙伴，仅面向美国用户敞开。Google很快将在旗下阅读器Chrome中测验DoH，但开始将只针对那些有DoH选项的ISP用户启用。

大大都顾客都运用其ISP供给的DNS服务，DNS服务可经过ISP供给的路由器中的预装备设置取得，也可经过输入ISP供给的DNS服务器IP地址取得（这就像是先有鸡仍是先有蛋的问题，在查找域名时需求DNS服务器，因而用户有必要首要输入服务器IP地址来发动服务器）。

已有上百万的个人和安排从ISP供给的DNS转向几个公共DNS供给商，如Google、OpenDNS和Cloudflare。

大大都ISP都没把运转DNS服务器放在心上，导致查找站点时呈现长期推迟，所以这些DNS供给商就开展起来了。而公共DNS的优质服务更是加快了这一进程。

这终究会导致DNS的会集化——大都用户会将其互联网活动信赖地交托给少量几个大公司，如Comcast、Verizon和Google。可是，DoH乃至还能够将其进一步会集化。

Google旗下Chrome的相关测验只会为有DoH选项的公共DNS供给商用户晋级，而Mozilla则会将依附于ISP或公共DNS的Firefox阅读器转为依附于Cloudflare的DoH服务（运用依托DNS进行屏蔽过滤服务的家长用户，以及在内部进行DNS查询的企业用户将被扫除在DoH之外，但作用怎么还有待查询）。

DNS本身的确不安全，但这种紊乱也使得来自单个设备的DNS恳求难以被追寻和相关。经过创立安全的https衔接，DoH使得一切恳求都严密相关。

会集化会诱导那些有权拜访数据的安排做出非白帽、灰帽乃至黑帽的黑客行为（白帽黑客指用自己的黑客技能来维护网络，测验网络和体系的功能；灰帽黑客指运用计算机或某种产品体系中的安全缝隙，而其意图是引起其具有者对缝隙的留意；黑帽黑客指运用本身技能，在网络上盗取他人的资源或破解收费软件以到达获利）。

一些“心思不纯”的公司或许会搜集“匿名”信息，用于从头相关个别，或用于提取那些DoH用户未直接赞同供给的观点。品德松懈的各方或许会提取或企图阻拦有关网络衔接的信息。而黑帽黑客则会将精力都会集在破解供给会集服务的公司的安全措施上。

DNS是一个陈腐的计算机协议，DoH则是一项根据DNS的技能。

很多人就竞赛削弱和隐私受损等方面提出了对立定见，批判将该技能布置称为“会集式DoH”。

一篇提交至国际互联网工程使命组（Internet Engineering Task Force，IETF）的文件草案指出，此形式的快速布置疏忽了了一个现实：对DoH饶有兴趣或正计划布置DoH、搬运至中心DoH的IPS，绕过了ISP与用户之间的维护和协议。

这份文件的四位作者中，有三位任职于ISP公司：British Telecom、Comcast和Sky。文件提出的许多问题与公共DNS相同，例如形成更少但更大的单点故障、削减了解并维护和改善DNS软件的人员数量、将权利会集在更少的人手中从且承当更少的职责。

可是，一个很大的问题是，运用公共DNS的人简直都是有意为之的。而Mozilla的Firefox阅读器搬迁导致用户被迫运用DoH。Google针对Chrome的开始计划尽管没那么急进，但随时有或许改动。

开源PowerDNS（一个跨渠道的开源DNS服务组件，功能为支撑 DNSSEC，供给自动化签名）的暗地人员列出了会集式DoH添加额定隐私走漏的一系列原因，尽管DNS现已将数据分布到遍地，但将DoH都推到一个方位会添加更多的参加方，引起更直接的会话盯梢。

仅是权宜之计，并非抱负计划

DNS早就需求维护了。作为互联网命脉中的老顽固，它根深柢固、遍及遍地，就和邮件服务器通讯相同，不处理洁净就很难晋级。

但匆促举动往往比深思熟虑更糟糕。DoH最好在操作体系层级或用户装置的体系层级组件上运转。在这些当地，它能成为一切DNS查询的署理服务器——不仅仅是在阅读器中，而是一切服务的署理器。

尽管ISP有自己的用户隐私问题，但与免费的第三方DoH比较，ISP的直接财政联系供给了更多问责的或许性，让用户更安心。

有人以为，关于那些身处独裁国家的人来说，DoH供给了躲避检查的办法。可是单点服务（如中心DoH地址）要比VPN更简单屏蔽，究竟VPN会不断改动IP规模以避开检查和政府查询。

假如用户没有运用VPN就衔接了不安全的网络（无论是由咖啡馆仍是由国家办理），那就很风险，而DoH或许是一种改善。当然VPN也是一种可供衡量的挑选。比较之下，会集式DoH好像正在成为通道施行的一部分，而不是可由个人挑选的东西了。

DNS的未来是加密，但关于这项几十年来一向以陈腐且奇怪的办法蓬勃开展的服务来说，进行会集化仅仅权宜之计，还不是一个很好的处理计划。