原文來自Fast Company,作者Glenn Fleishman
原文鏈接:https://www.fastcompany.com/90422151/the-latest-browser-privacy-feature-brings-new-dangers-of-its-own
雖然互聯網已默認保護數據、加密流量,但隱私漏洞仍然存在:用戶訪問網站的痕跡不會消除,這也給了網絡上游手好閒之人探查隱私的可乘之機。
軟件公司Mozilla及Google正分別針對旗下瀏覽器Firefox及 Chrome研究補救方案。
彌補缺陷的新技術被稱為DNS-over-HTTPS(下稱DoH),它可以保護用戶的瀏覽習慣不受AT&T、Comcast和Verizon等各大互聯網服務供應商(Internet Service Provider,下稱ISP)監控。
這些ISPs有時會使用Supercookies(一種跟蹤技術,和cookie一樣允許網站和廣告商進行跟蹤,但不能被真正刪除)及其他技術來跟蹤用戶。
肖恩·凱普敦(Sean Captain)在文章《如何防止Comcast、Verizon和其他ISP監視用戶》中,就如何使用DoH提供了相關建議。
但安全也可能是把雙刃劍。這種技術可以保護用戶行為不受ISP、公共熱點和其他機構的監控,但可能會帶來新的隱私風險:
瀏覽習慣的集中化。它還突出了DoH技術尚未解決且可能會加劇的隱私洩露問題。域名裡有什麼?一切
除非用戶使用虛擬專用網絡(Virtual Private Network,下稱VPN),否則,即使每個連接都是加密的,有權訪問你連接的公共網絡的人仍然可以確定你訪問的每個網頁站點、聯絡的每個電子郵件服務器,以及你的移動設備或筆記本電腦連接的所有在線服務器。
在任何共享網絡中也是如此。在共享網絡中,同一網絡的其他用戶也可以訪問網絡流量,而且管理員可以監控網絡流量。
這些都是因為舊版互聯網上還存在一個暴露的通道設備:域名服務器(Domain Name Service,下稱DNS)。DNS是一種古老的系統,當時互聯網上的計算機數量超過了人們手動更新計算機列表的能力,它就這樣發展起來了。是的,它真的很古老。
DNS提供了一種方法,將人類可讀和可鍵入的域名(如fastcompany.com)映射至以機器為導向的適合地址 (如151.101.1.54或2607:f8b0:4004:814:200e。前一地址採用了使用已久的IPv4表示法;後者則採用了IPv6表示法,它允許使用更多唯一編號,IPv6正在逐漸取代IPv4)。
用戶不想鍵入這些複雜IP數字,更不想記住它們;DNS從早期開始就發展得非常複雜,單一域名可映射至許多不同的機器身份,從而允許“循環”訪問,以此平衡流量負載。
DNS也被內容分佈網絡(CDN)使用,如CDN服務供應商Akamai和Amazon CloudFront,它們利用DNS提供地理上與發出請求的設備最接近的服務器地址,減少互聯網跳轉次數,從而提高性能。
DNS也是一種儲存域名及其所有者相關附加信息的方法。所謂的文本(TXT)記錄可將任何信息添加至DNS條目中。Google允許使用TXT記錄來驗證域的所有權,就像發一條信息到某個電郵地址以驗證某用戶有權訪問該郵箱一樣。
當用戶通過Wi-Fi、以太網或蜂窩網絡進行網絡連接時,設備接收到的內容中就有DNS服務器列表。用戶的設備將查詢請求發送到DNS服務器,DNS服務器就會查詢所有頂級域名(top-level domains)的主列表,如“.com”、“.airo”和“.uk”。
以從右到左、由句點“.”分隔的層次結構,DNS服務器最終會找到一個提供答案的“權威”DNS服務器,然後將答案返回至用戶的設備。過程並不簡單,但至少還挺直截了當的。
例如,如果一個瀏覽器要訪問fastcompany.com,首先需要查詢“.com”的層次結構來確定其條目的存儲位置——提供DNS信息的服務器稱為“域名解析服務器”——然後再直接查詢fastcompany.com的域名解析服務器,接收所需記錄,從而通過機器地址創建直接連接。
像大多數訪問量很大的網站一樣,Fast Company也使用CDN,一位用戶收到的機器地址可能與2,000英里甚至100英里之外的人不同。
問題在於,每一次進行DNS查找時,即使通信的其餘部分是加密的,比如網絡和電子郵件連接很可能被加密(歸功於後斯諾登(Snowden)時代加密技術的大量使用),但域名都是明文發送的。
根據現代網站上使用的跟蹤組件和第三方元件得出的數據,一臺個人電腦每天可能會發送數千個DNS請求。
由於CDN檢索,某些對域名查找和IP地址響應進行監視的人可能會獲取有關用戶習慣和行蹤的信息集群,其信息粒度令人難以置信。
DNS是古板且複雜的。2008年,情況一團糟,安全研究員丹·卡明斯基(Dan Kaminsky)發現了一個根本缺陷,該缺陷幾乎影響了世界上所有操作系統和服務器。他一直努力保守秘密,直到Apple、Microsoft、Google和其他公司可以掩蓋它(它從未被完全修復過)。
2015年,一個受歡迎的DNS服務器(某處理查詢響應的軟件)出現了一個漏洞,非常容易遭受拒絕服務攻擊(denial-of-service,通過不斷髮送互聯網的數據請求使得一臺服務器最終癱瘓的行為)。
DNS還缺乏驗證過程,容易導致“DNS中毒”。在這種情況下,設備進行域名查找時可能會收到錯誤答案,而設備並不知道答案是錯的。這一般發生在咖啡廳或其他公共網絡中,但也可能遍及全國。
DoH技術可以修復隱私問題及一些完整性相關的問題。Firefox和Chrome不用明文發送DNS查詢,也不使用本地網絡的DNS服務器,而是為DNS創建了一個VPN,查詢將通過加密隧道發送至提供答案的中央服務器。
這樣既可以防止本地網絡中毒,也可以防止信息在本地或傳送間任何節點被截取。運行中央服務器的實體可以對其他DNS服務器執行查詢以檢索答案,不會洩露關於請求方的任何信息。
但問題就出在“中央”的身上。
誰來監管“DNS監管者”?
DoH的問題不在於它的概念,而在於各瀏覽器在未來版本中默認啟用該技術的方式。
Mozilla的瀏覽器Firefox經過了一年多的測試,選擇了Cloudflare作為其指定合作伙伴,僅面向美國用戶開放。Google很快將在旗下瀏覽器Chrome中測試DoH,但初步將只針對那些有DoH選項的ISP用戶啟用。
大多數消費者都使用其ISP提供的DNS服務,DNS服務可通過ISP提供的路由器中的預配置設置獲得,也可通過輸入ISP提供的DNS服務器IP地址獲得(這就像是先有雞還是先有蛋的問題,在查找域名時需要DNS服務器,因此用戶必須首先輸入服務器IP地址來啟動服務器)。
已有上百萬的個人和組織從ISP提供的DNS轉向幾個公共DNS提供商,如Google、OpenDNS和Cloudflare。
大多數ISP都沒把運行DNS服務器放在心上,導致查找站點時出現長時間延遲,於是這些DNS提供商就發展起來了。而公共DNS的優質服務更是加速了這一進程。
這最終會導致DNS的集中化——多數用戶會將其互聯網活動信任地交託給少數幾個大公司,如Comcast、Verizon和Google。然而,DoH甚至還可以將其進一步集中化。
Google旗下Chrome的相關測試只會為有DoH選項的公共DNS提供商用戶升級,而Mozilla則會將依附於ISP或公共DNS的Firefox瀏覽器轉為依附於Cloudflare的DoH服務(使用依靠DNS進行屏蔽過濾服務的家長用戶,以及在內部進行DNS查詢的企業用戶將被排除在DoH之外,但效果如何還有待觀察)。
DNS本身確實不安全,但這種混亂也使得來自單個設備的DNS請求難以被追蹤和關聯。
通過創建安全的https連接,DoH使得所有請求都緊密關聯。集中化會誘導那些有權訪問數據的組織做出非白帽、灰帽甚至黑帽的黑客行為(白帽黑客指用自己的黑客技術來維護網絡,測試網絡和系統的性能;灰帽黑客指使用計算機或某種產品系統中的安全漏洞,而其目的是引起其擁有者對漏洞的注意;黑帽黑客指利用自身技術,在網絡上竊取別人的資源或破解收費軟件以達到獲利)。
一些“心思不純”的公司可能會收集“匿名”信息,用於重新關聯個體,或用於提取那些DoH用戶未直接同意提供的看法。道德鬆散的各方可能會提取或試圖攔截有關網絡連接的信息。而黑帽黑客則會將精力都集中在破解提供集中服務的公司的安全措施上。
DNS是一個陳舊的計算機協議,DoH則是一項基於DNS的技術。
很多人就競爭減弱和隱私受損等方面提出了反對意見,批評將該技術部署稱為 “集中式DoH”。
一篇提交至國際互聯網工程任務組(Internet Engineering Task Force,IETF)的文件草案指出,此模式的快速部署忽略了了一個事實:對DoH饒有興趣或正計劃部署DoH、轉移至中央DoH的IPS,繞過了ISP與用戶之間的保護和協議。
這份文件的四位作者中,有三位任職於ISP公司:British Telecom、Comcast和Sky。文件提出的許多問題與公共DNS相同,例如造成更少但更大的單點故障、減少了解並維護和改進DNS軟件的人員數量、將權力集中在更少的人手中從且承擔更少的責任。
然而,一個很大的問題是,使用公共DNS的人幾乎都是有意為之的。而Mozilla的Firefox瀏覽器遷移導致用戶被動使用DoH。Google針對Chrome的最初計劃雖然沒那麼激進,但隨時有可能變化。
開源PowerDNS(一個跨平臺的開源DNS服務組件,功能為支持 DNSSEC,提供自動化簽名)的幕後人員列出了集中式DoH增加額外隱私洩露的一系列原因,雖然DNS已經將數據散佈到各處,但將DoH都推到一個位置會增加更多的參與方,引起更直接的會話跟蹤。
僅是權宜之計,並非理想方案
DNS早就需要保護了。作為互聯網命脈中的老頑固,它根深蒂固、遍佈各處,就和郵件服務器通信一樣,不處理乾淨就很難升級。
但倉促行動往往比深思熟慮更糟糕。DoH最好在操作系統層級或用戶安裝的系統層級組件上運行。在這些地方,它可以成為所有DNS查詢的代理服務器——不僅僅是在瀏覽器中,而是所有服務的代理器。
雖然ISP有自己的用戶隱私問題,但與免費的第三方DoH相比,ISP的直接財務關係提供了更多問責的可能性,讓用戶更安心。
有人認為,對於那些身處專制國家的人來說,DoH提供了逃避審查的方法。但是單點服務(如中央DoH地址)要比VPN更容易屏蔽,畢竟VPN會不斷改變IP範圍以避開審查和政府調查。
如果用戶沒有使用VPN就連接了不安全的網絡(無論是由咖啡館還是由國家管理),那就很危險,而DoH可能是一種改進。當然VPN也是一種可供衡量的選擇。相比之下,集中式DoH似乎正在成為通道實施的一部分,而不是可由個人選擇的東西了。
DNS的未來是加密,但對於這項幾十年來一直以陳舊且怪異的方式蓬勃發展的服務來說,進行集中化只是權宜之計,還不是一個很好的解決方案。
閱讀更多 棧外 的文章
