Tính năng bảo mật trình duyệt mới nhất mang đến những nguy hiểm mới của riêng nó
Nó có ý nghĩa để che chắn ngay cả tên của các trang web bạn truy cập từ mắt gián điệp. Nhưng nó đang được thực hiện trong một thời gian tập trung, không có gì là lý tưởng.
[Nguồn ảnh: Dmitry Chernyshov / Bapt; Olga Andreevna Shevunn / iStock]
BỞI GLENN FLEISHMAN9 PHÚT ĐỌC
Khi internet đã chuyển sang bảo mật dữ liệu và mã hóa lưu lượng theo mặc định, một lỗ hổng riêng tư đáng ngạc nhiên vẫn còn, để lại dấu vết của các trang web bạn truy cập mở để đánh hơi bằng mạng ne'er-do-giếng. Một đề xuất để khắc phục điều này đang được Mozilla triển khai chậm trong Mozilla trong trình duyệt Firefox và Google trong Chrome.
Cách tiếp cận công nghệ mới này, được gọi là DNS-over-HTTPS (DoH), có thể bảo vệ thói quen duyệt web của bạn khỏi các ISP như AT & T, Comcast và Verizon, đôi khi cho thấy xu hướng theo dõi người dùng bằng cách sử dụng siêu máy tính và các kỹ thuật khác. (Sean Captain cung cấp lời khuyên về cách sử dụng DoH trong Chương trình Cách thức ngăn chặn Comcast, Verizon và các ISP khác theo dõi bạn .
Nhưng an ninh có thể là con dao hai lưỡi. Công nghệ này để che chắn hành động của bạn khỏi ISP, các điểm nóng công cộng và các tổ chức khác có khả năng đưa ra một rủi ro riêng tư mới: tập trung các thói quen duyệt web. Nó cũng nhấn mạnh những rò rỉ về quyền riêng tư hiện có mà DoH không giải quyết được và có thể làm trầm trọng thêm.
NHỮNG GÌ TRONG MỘT CÁI TÊN? MỌI ĐIỀU
Trừ khi bạn sử dụng kết nối mạng riêng ảo (VPN), người nào đó có quyền truy cập vào mạng công cộng bạn sử dụng có thể xác định mọi trang web bạn truy cập, mọi máy chủ email bạn liên hệ và mọi loại máy chủ trực tuyến khác mà thiết bị di động hoặc máy tính xách tay của bạn kết nối với, ngay cả khi mỗi kết nối được mã hóa. Điều này cũng đúng trên bất kỳ mạng chia sẻ nào trong đó lưu lượng truy cập mạng không được bảo vệ khỏi những người dùng khác trên cùng mạng hoặc quản trị viên có thể theo dõi.
Đó là bởi vì các hệ thống ống nước thực sự lộ ra cuối cùng của internet cũ: DNS hoặc dịch vụ tên miền. DNS là một hệ thống cổ được phát triển khi số lượng máy tính trên internet vượt xa khả năng của mọi người để cập nhật danh sách của chúng theo cách thủ công. Vâng, nó cũ rồi. Thay vào đó, DNS cung cấp một cách để ánh xạ một tên dễ đọc và có thể đánh máy của con người, như fastcompany.com, đến địa chỉ hướng máy thích hợp, như 151.101.1.54 hoặc 2607: f8b0: 4004: 814: 200e. (Số trước sử dụng ký hiệu IP phiên bản 4 chạy dài; IPv6 sau, cho phép các số độc đáo hơn rất nhiều và đã triển khai chậm như một sự thay thế cuối cùng cho IPv4.)
Bạn không chỉ không muốn gõ những con số đó vào hoặc ghi nhớ chúng; DNS đã phát triển rất phức tạp kể từ những ngày đầu tiên của nó, cho phép một tên duy nhất ánh xạ tới nhiều danh tính máy khác nhau để cho phép truy cập vòng tròn robin rob giúp giúp cân bằng tải lưu lượng. Nó cũng được sử dụng bởi các mạng phân phối nội dung (CDN), như Akamai và Amazon CloudFront, để cung cấp địa chỉ máy chủ gần nhất về mặt địa lý với thiết bị yêu cầu, giảm số bước nhảy internet và do đó cải thiện hiệu suất.
Và DNS cũng là một cách để thu thập rất nhiều thông tin bổ sung khác liên quan đến một tên miền và chủ sở hữu của nó. Các bản ghi được gọi là văn bản (TXT) cho phép mọi thông tin tùy ý được thêm vào mục nhập DNS. Google cho phép bản ghi TXT xác minh quyền sở hữu tên miền , giống như một tin nhắn được gửi đến địa chỉ email để xác thực rằng ai đó có quyền truy cập vào hộp thư đó.
MỖI KHI TRA CỨU DNS XẢY RA, CÁC TÊN MIỀN ĐƯỢC GỬI ĐI RÕ RÀNG.
Khi bạn thực hiện kết nối mạng qua Wi-Fi, Ethernet hoặc di động, một trong những thứ mà thiết bị của bạn nhận được là danh sách các máy chủ DNS. Thiết bị của bạn sẽ gửi truy vấn đến máy chủ DNS, bao gồm một danh sách chính của tất cả các TLD (tên miền cấp cao nhất), như .com, .aero và .uk. Sử dụng hệ thống phân cấp từ phải sang trái, cách nhau bởi các khoảng thời gian, cuối cùng, máy chủ DNS sẽ tìm thấy một máy chủ DNS có thẩm quyền của Nhà cung cấp câu trả lời và sau đó câu trả lời đó được đưa trở lại thiết bị của bạn. Không chính xác đơn giản, nhưng ít nhất là hơi đơn giản.
Chẳng hạn, một trình duyệt cố gắng truy cập fastcompany.com bắt đầu bằng cách tham khảo hệ thống phân cấp .com, nơi fastcompany.com có các mục được lưu trữ của nó, các máy chủ cung cấp thông tin DNS được gọi là máy chủ tên của Nott, và sau đó hỏi trực tiếp máy chủ tên fastcompany.com để nhận các bản ghi cần thiết để tạo kết nối trực tiếp theo địa chỉ máy. Fast Company sử dụng một CDN, giống như hầu hết các trang web mà thấy rất nhiều giao thông, và địa chỉ máy bạn nhận được có thể khác nhau từ một người nào đó 2.000 dặm, hoặc thậm chí có thể 100 dặm.
Vấn đề là mỗi khi xảy ra tra cứu DNS, các tên miền được gửi rõ ràng, ngay cả khi phần còn lại của giao tiếp được mã hóa, vì các kết nối web và email có thể sẽ xảy ra, nhờ vào sự tăng cường mã hóa lớn trong bài đăng Thời đại -Snowden. Một PC có thể gửi hàng ngàn yêu cầu DNS mỗi ngày, do tất cả các thành phần theo dõi và các yếu tố của bên thứ ba được sử dụng trên các trang web hiện đại.
Do truy xuất CDN, ai đó theo dõi tra cứu tên miền và phản hồi địa chỉ IP có thể có được một cụm thông tin về thói quen và nơi ở của bạn, đôi khi có độ chi tiết đáng kinh ngạc.
DNS là mạnh mẽ và tối nghĩa. Đó là một mớ hỗn độn mà vào năm 2008, nhà nghiên cứu bảo mật Dan Kaminsky đã phát hiện ra một lỗ hổng cơ bản ảnh hưởng đến gần như mọi hệ điều hành và máy chủ trên thế giới. Ông đã làm việc siêng năng để giữ bí mật cho đến khi Apple, Microsoft, Google và các công ty khác có thể viết về nó. (Nó chưa bao giờ được sửa chữa hoàn toàn.) Vào năm 2015, một lỗi trong phần mềm DNS máy chủ DNS phổ biến xử lý việc trả lời các truy vấn đã cho phép các cuộc tấn công từ chối dịch vụ dễ dàng tầm thường.
DNS cũng thiếu xác minh, cho phép ngộ độc DNS của DNS , trong đó có thể cung cấp câu trả lời sai cho thiết bị yêu cầu tra cứu tên miền mà không có thiết bị nào có thể biết câu trả lời bị lật đổ. Điều này rất có thể xảy ra tại một quán cà phê hoặc mạng công cộng khác, nhưng nó cũng có thể xảy ra ở cấp độ toàn quốc.
DNS-over-HTTPS sẽ khắc phục sự riêng tư và một số vấn đề về tính toàn vẹn. Thay vì truy vấn DNS được thông qua rõ ràng và sử dụng máy chủ DNS của mạng cục bộ, Firefox và Chrome chỉ tạo một cách hiệu quả VPN cho DNS. Truy vấn được gửi qua một đường hầm được mã hóa đến một dịch vụ trung tâm cung cấp câu trả lời. Điều này ngăn chặn ngộ độc cục bộ và đánh chặn cục bộ và tại tất cả các điểm ở giữa. Thực thể chạy máy chủ trung tâm có thể thực hiện truy vấn đến các máy chủ DNS khác để truy xuất câu trả lời mà không bị rò rỉ bất cứ điều gì về các bên yêu cầu.
Nhưng đó là một phần trung tâm của vấn đề.
AI XEM ĐỒNG HỒ DNS?
Rắc rối với DoH không phải là khái niệm của nó. Thay vào đó, đó là cách các trình duyệt khác nhau đề xuất kích hoạt nó theo mặc định trong các bản phát hành sắp tới. Firefox của Mozilla chỉ bắt đầu với người dùng ở Hoa Kỳ, sau khi thử nghiệm hơn một năm và chọn Cloudflare làm đối tác được xức dầu. Google sẽ sớm bắt đầu thử nghiệm DoH trong Chrome nhưng ban đầu sẽ chỉ kích hoạt nó cho những người đã chọn một bộ ISP có sẵn tùy chọn DoH.
Hầu hết người tiêu dùng có dịch vụ DNS được cung cấp bởi ISP của họ, thông qua các cài đặt được cấu hình sẵn trong bộ định tuyến do ISP cung cấp hoặc bằng cách nhập địa chỉ IP cho các máy chủ DNS do ISP cung cấp. (Trong sự cố gà và trứng, cần có máy chủ DNS để tra cứu tên, do đó bạn phải bắt đầu bằng cách nhập địa chỉ IP cho máy chủ để chọn máy bơm.)
Hàng triệu người và tổ chức đã chuyển từ DNS do ISP cung cấp sang một trong một số nhà cung cấp DNS công cộng, như Google, OpenDNS và Cloudflare. Các dịch vụ này phát sinh khi hầu hết các ISP chạy máy chủ DNS mà không cần quan tâm nhiều, dẫn đến sự chậm trễ kéo dài khi các trang web được tra cứu. DNS công cộng được tối ưu hóa tốt đã tăng tốc.
Kết quả cuối cùng là một sự tập trung thực tế của DNS, với hầu hết người dùng ủy thác hoạt động internet của họ cho một vài công ty lớn, như Comcast, Verizon và Google. Tuy nhiên, DoH có thể tập trung hóa hơn nữa. Mặc dù các thử nghiệm Chrome của Google sẽ chỉ nâng cấp người dùng đã chọn một trong số một số nhà cung cấp DNS công cộng đang cung cấp DoH, Mozilla sẽ chuyển trình duyệt Firefox của mọi người từ dựa vào ISP hoặc DNS công cộng của họ sang cung cấp DoH của Cloudflare. (Cha mẹ sử dụng dịch vụ lọc dựa một phần vào DNS để chặn và người dùng doanh nghiệp có tra cứu DNS chỉ sử dụng nội bộ sẽ bị từ chối khỏi DoH, mặc dù mức độ hiệu quả vẫn được nhìn thấy.)
Mặc dù bản thân DNS không an toàn, nhưng đây cũng là một mớ hỗn độn khiến bạn khó theo dõi và liên kết một tập hợp các yêu cầu DNS từ một thiết bị. Bằng cách tạo kết nối https an toàn, DoH cho phép tất cả các yêu cầu được liên kết mạnh mẽ.
Tập trung hóa cung cấp các khuyến khích mạnh mẽ cho các tổ chức có quyền truy cập dữ liệu để tham gia vào hành vi mũ trắng, xám và đen. Các công ty màu be có thể được khuyến khích để tổng hợp thông tin nặc danh có thể được liên kết lại với các cá nhân hoặc được sử dụng để trích xuất những hiểu biết mà người dùng DoH không đồng ý trực tiếp cung cấp. Các bên mơ hồ về mặt đạo đức có thể trích xuất hoặc cố gắng chặn thông tin về các kết nối. Và những kẻ bẻ khóa mũ đen hoàn toàn có thể tập trung toàn bộ sức lực của họ vào việc thâm nhập vào an ninh của các công ty cung cấp dịch vụ tập trung. DNS là một giao thức hoary và DoH được ghim trên đầu của nó.
TƯƠNG LAI CỦA DNS LÀ MÃ HÓA.
Nhiều ý kiến phản đối khác đã được đưa ra cho nhiều khía cạnh cạnh tranh và giảm thiểu quyền riêng tư mà các nhà phê bình gọi là tập trung DoH. Một dự thảo được đệ trình lên IETF (Lực lượng đặc nhiệm kỹ thuật Internet) lưu ý rằng việc triển khai nhanh chế độ này bỏ qua thực tế là các ISP quan tâm hoặc có kế hoạch triển khai dịch vụ DoH và chuyển sang DoH trung tâm bỏ qua các biện pháp bảo vệ và thỏa thuận giữa các ISP và khách hàng.
Ba trong số bốn tác giả của bài báo làm việc cho các ISP lớn: BT, Comcast và Sky. Và nhiều mối quan tâm được nêu lên giống hệt với DNS công cộng, chẳng hạn như tạo ra ít điểm hơn, một điểm thất bại lớn hơn, giảm số người hiểu và làm việc để duy trì và cải thiện phần mềm DNS và tập trung quyền lực trong ít trách nhiệm hơn.
Tuy nhiên, và đó là một người lớn tuy nhiên những người sử dụng DNS công cộng hầu như luôn đưa ra quyết định sáng suốt để làm điều đó. Với động thái Firefox của Mozilla, người dùng đang bị đẩy vào DoH. Kế hoạch ban đầu của Google cho Chrome không mạnh mẽ như vậy, nhưng điều đó có thể thay đổi.
Những người đứng sau PowerDNS nguồn mở đưa ra một loạt lý do tại sao DoH tập trung bổ sung thêm rò rỉ quyền riêng tư, bởi vì trong khi DNS đã truyền dữ liệu khắp nơi, đẩy DoH đến một địa điểm sẽ thêm các bên tham gia vào hỗn hợp và theo dõi phiên trực tiếp hơn.
NHANH CHÓNG, NHƯNG KHÔNG LÝ TƯỞNG
Bảo mật DNS là quá hạn. Là một mảnh vỡ cũ kỹ của mạng sống, nó bị cuốn vào quá sâu và nó được phân cấp trong bản chất của nó đến nỗi nó giống như máy chủ thư liên lạc, khó có thể nâng cấp mà không làm sạch bảng.
Nhưng hành động vội vàng thường tồi tệ hơn so với kế hoạch được xem xét. DoH sẽ hoạt động tốt nhất ở cấp độ hệ điều hành hoặc là thành phần cấp hệ thống do người dùng cài đặt, nơi nó có thể được sử dụng làm proxy cho tất cả các truy vấn DNS không chỉ trong trình duyệt mà còn cho tất cả các dịch vụ. Mặc dù các ISP có các vấn đề riêng tư liên quan đến người dùng của họ, mối quan hệ tài chính trực tiếp cho dịch vụ cung cấp tiềm năng cho nhiều trách nhiệm hơn so với việc DoH được cung cấp bởi bên thứ ba mà bạn không thanh toán.
DoH đã được trích dẫn như một cách để mọi người có nguy cơ hành động bởi chính phủ hoặc dân số của họ ở các quốc gia đàn áp để tránh sự giám sát. Nhưng các điểm dịch vụ duy nhất, như địa chỉ DoH trung tâm, dễ bị chặn hơn nhiều so với VPN liên tục thay đổi phạm vi IP để trốn tránh kiểm duyệt và đại lý chính phủ.
Nếu bạn không sử dụng VPN trên các mạng không an toàn, thì liệu chúng được quản lý bởi một quán cà phê hay toàn bộ quốc gia, Do DoH là một cải tiến tiềm năng. Nhưng VPN là một lựa chọn và bạn có thể đánh giá và thực hiện. Ngược lại, DoH tập trung dường như đang trên con đường trở thành một hệ thống ống nước thực tế hơn là thứ mà các cá nhân chọn mua vào.
Tương lai của DNS là mã hóa, nhưng tập trung vào một dịch vụ phát triển mạnh theo cách cũ kỹ, kỳ quặc của nó trong nhiều thập kỷ chỉ là một giải pháp phù hợp, không phải là một giải pháp tuyệt vời.
[Nguồn ảnh: Dmitry Chernyshov / Bapt; Olga Andreevna Shevunn / iStock]
BỞI GLENN FLEISHMAN9 PHÚT ĐỌC
Khi internet đã chuyển sang bảo mật dữ liệu và mã hóa lưu lượng theo mặc định, một lỗ hổng riêng tư đáng ngạc nhiên vẫn còn, để lại dấu vết của các trang web bạn truy cập mở để đánh hơi bằng mạng ne'er-do-giếng. Một đề xuất để khắc phục điều này đang được Mozilla triển khai chậm trong Mozilla trong trình duyệt Firefox và Google trong Chrome.
Cách tiếp cận công nghệ mới này, được gọi là DNS-over-HTTPS (DoH), có thể bảo vệ thói quen duyệt web của bạn khỏi các ISP như AT & T, Comcast và Verizon, đôi khi cho thấy xu hướng theo dõi người dùng bằng cách sử dụng siêu máy tính và các kỹ thuật khác. (Sean Captain cung cấp lời khuyên về cách sử dụng DoH trong Chương trình Cách thức ngăn chặn Comcast, Verizon và các ISP khác theo dõi bạn .
Nhưng an ninh có thể là con dao hai lưỡi. Công nghệ này để che chắn hành động của bạn khỏi ISP, các điểm nóng công cộng và các tổ chức khác có khả năng đưa ra một rủi ro riêng tư mới: tập trung các thói quen duyệt web. Nó cũng nhấn mạnh những rò rỉ về quyền riêng tư hiện có mà DoH không giải quyết được và có thể làm trầm trọng thêm.
NHỮNG GÌ TRONG MỘT CÁI TÊN? MỌI ĐIỀU
Trừ khi bạn sử dụng kết nối mạng riêng ảo (VPN), người nào đó có quyền truy cập vào mạng công cộng bạn sử dụng có thể xác định mọi trang web bạn truy cập, mọi máy chủ email bạn liên hệ và mọi loại máy chủ trực tuyến khác mà thiết bị di động hoặc máy tính xách tay của bạn kết nối với, ngay cả khi mỗi kết nối được mã hóa. Điều này cũng đúng trên bất kỳ mạng chia sẻ nào trong đó lưu lượng truy cập mạng không được bảo vệ khỏi những người dùng khác trên cùng mạng hoặc quản trị viên có thể theo dõi.
Đó là bởi vì các hệ thống ống nước thực sự lộ ra cuối cùng của internet cũ: DNS hoặc dịch vụ tên miền. DNS là một hệ thống cổ được phát triển khi số lượng máy tính trên internet vượt xa khả năng của mọi người để cập nhật danh sách của chúng theo cách thủ công. Vâng, nó cũ rồi. Thay vào đó, DNS cung cấp một cách để ánh xạ một tên dễ đọc và có thể đánh máy của con người, như fastcompany.com, đến địa chỉ hướng máy thích hợp, như 151.101.1.54 hoặc 2607: f8b0: 4004: 814: 200e. (Số trước sử dụng ký hiệu IP phiên bản 4 chạy dài; IPv6 sau, cho phép các số độc đáo hơn rất nhiều và đã triển khai chậm như một sự thay thế cuối cùng cho IPv4.)
Bạn không chỉ không muốn gõ những con số đó vào hoặc ghi nhớ chúng; DNS đã phát triển rất phức tạp kể từ những ngày đầu tiên của nó, cho phép một tên duy nhất ánh xạ tới nhiều danh tính máy khác nhau để cho phép truy cập vòng tròn robin rob giúp giúp cân bằng tải lưu lượng. Nó cũng được sử dụng bởi các mạng phân phối nội dung (CDN), như Akamai và Amazon CloudFront, để cung cấp địa chỉ máy chủ gần nhất về mặt địa lý với thiết bị yêu cầu, giảm số bước nhảy internet và do đó cải thiện hiệu suất.
Và DNS cũng là một cách để thu thập rất nhiều thông tin bổ sung khác liên quan đến một tên miền và chủ sở hữu của nó. Các bản ghi được gọi là văn bản (TXT) cho phép mọi thông tin tùy ý được thêm vào mục nhập DNS. Google cho phép bản ghi TXT xác minh quyền sở hữu tên miền , giống như một tin nhắn được gửi đến địa chỉ email để xác thực rằng ai đó có quyền truy cập vào hộp thư đó.
MỖI KHI TRA CỨU DNS XẢY RA, CÁC TÊN MIỀN ĐƯỢC GỬI ĐI RÕ RÀNG.
Khi bạn thực hiện kết nối mạng qua Wi-Fi, Ethernet hoặc di động, một trong những thứ mà thiết bị của bạn nhận được là danh sách các máy chủ DNS. Thiết bị của bạn sẽ gửi truy vấn đến máy chủ DNS, bao gồm một danh sách chính của tất cả các TLD (tên miền cấp cao nhất), như .com, .aero và .uk. Sử dụng hệ thống phân cấp từ phải sang trái, cách nhau bởi các khoảng thời gian, cuối cùng, máy chủ DNS sẽ tìm thấy một máy chủ DNS có thẩm quyền của Nhà cung cấp câu trả lời và sau đó câu trả lời đó được đưa trở lại thiết bị của bạn. Không chính xác đơn giản, nhưng ít nhất là hơi đơn giản.
Chẳng hạn, một trình duyệt cố gắng truy cập fastcompany.com bắt đầu bằng cách tham khảo hệ thống phân cấp .com, nơi fastcompany.com có các mục được lưu trữ của nó, các máy chủ cung cấp thông tin DNS được gọi là máy chủ tên của Nott, và sau đó hỏi trực tiếp máy chủ tên fastcompany.com để nhận các bản ghi cần thiết để tạo kết nối trực tiếp theo địa chỉ máy. Fast Company sử dụng một CDN, giống như hầu hết các trang web mà thấy rất nhiều giao thông, và địa chỉ máy bạn nhận được có thể khác nhau từ một người nào đó 2.000 dặm, hoặc thậm chí có thể 100 dặm.
Vấn đề là mỗi khi xảy ra tra cứu DNS, các tên miền được gửi rõ ràng, ngay cả khi phần còn lại của giao tiếp được mã hóa, vì các kết nối web và email có thể sẽ xảy ra, nhờ vào sự tăng cường mã hóa lớn trong bài đăng Thời đại -Snowden. Một PC có thể gửi hàng ngàn yêu cầu DNS mỗi ngày, do tất cả các thành phần theo dõi và các yếu tố của bên thứ ba được sử dụng trên các trang web hiện đại.
Do truy xuất CDN, ai đó theo dõi tra cứu tên miền và phản hồi địa chỉ IP có thể có được một cụm thông tin về thói quen và nơi ở của bạn, đôi khi có độ chi tiết đáng kinh ngạc.
DNS là mạnh mẽ và tối nghĩa. Đó là một mớ hỗn độn mà vào năm 2008, nhà nghiên cứu bảo mật Dan Kaminsky đã phát hiện ra một lỗ hổng cơ bản ảnh hưởng đến gần như mọi hệ điều hành và máy chủ trên thế giới. Ông đã làm việc siêng năng để giữ bí mật cho đến khi Apple, Microsoft, Google và các công ty khác có thể viết về nó. (Nó chưa bao giờ được sửa chữa hoàn toàn.) Vào năm 2015, một lỗi trong phần mềm DNS máy chủ DNS phổ biến xử lý việc trả lời các truy vấn đã cho phép các cuộc tấn công từ chối dịch vụ dễ dàng tầm thường.
DNS cũng thiếu xác minh, cho phép ngộ độc DNS của DNS , trong đó có thể cung cấp câu trả lời sai cho thiết bị yêu cầu tra cứu tên miền mà không có thiết bị nào có thể biết câu trả lời bị lật đổ. Điều này rất có thể xảy ra tại một quán cà phê hoặc mạng công cộng khác, nhưng nó cũng có thể xảy ra ở cấp độ toàn quốc.
DNS-over-HTTPS sẽ khắc phục sự riêng tư và một số vấn đề về tính toàn vẹn. Thay vì truy vấn DNS được thông qua rõ ràng và sử dụng máy chủ DNS của mạng cục bộ, Firefox và Chrome chỉ tạo một cách hiệu quả VPN cho DNS. Truy vấn được gửi qua một đường hầm được mã hóa đến một dịch vụ trung tâm cung cấp câu trả lời. Điều này ngăn chặn ngộ độc cục bộ và đánh chặn cục bộ và tại tất cả các điểm ở giữa. Thực thể chạy máy chủ trung tâm có thể thực hiện truy vấn đến các máy chủ DNS khác để truy xuất câu trả lời mà không bị rò rỉ bất cứ điều gì về các bên yêu cầu.
Nhưng đó là một phần trung tâm của vấn đề.
AI XEM ĐỒNG HỒ DNS?
Rắc rối với DoH không phải là khái niệm của nó. Thay vào đó, đó là cách các trình duyệt khác nhau đề xuất kích hoạt nó theo mặc định trong các bản phát hành sắp tới. Firefox của Mozilla chỉ bắt đầu với người dùng ở Hoa Kỳ, sau khi thử nghiệm hơn một năm và chọn Cloudflare làm đối tác được xức dầu. Google sẽ sớm bắt đầu thử nghiệm DoH trong Chrome nhưng ban đầu sẽ chỉ kích hoạt nó cho những người đã chọn một bộ ISP có sẵn tùy chọn DoH.
Hầu hết người tiêu dùng có dịch vụ DNS được cung cấp bởi ISP của họ, thông qua các cài đặt được cấu hình sẵn trong bộ định tuyến do ISP cung cấp hoặc bằng cách nhập địa chỉ IP cho các máy chủ DNS do ISP cung cấp. (Trong sự cố gà và trứng, cần có máy chủ DNS để tra cứu tên, do đó bạn phải bắt đầu bằng cách nhập địa chỉ IP cho máy chủ để chọn máy bơm.)
Hàng triệu người và tổ chức đã chuyển từ DNS do ISP cung cấp sang một trong một số nhà cung cấp DNS công cộng, như Google, OpenDNS và Cloudflare. Các dịch vụ này phát sinh khi hầu hết các ISP chạy máy chủ DNS mà không cần quan tâm nhiều, dẫn đến sự chậm trễ kéo dài khi các trang web được tra cứu. DNS công cộng được tối ưu hóa tốt đã tăng tốc.
Kết quả cuối cùng là một sự tập trung thực tế của DNS, với hầu hết người dùng ủy thác hoạt động internet của họ cho một vài công ty lớn, như Comcast, Verizon và Google. Tuy nhiên, DoH có thể tập trung hóa hơn nữa. Mặc dù các thử nghiệm Chrome của Google sẽ chỉ nâng cấp người dùng đã chọn một trong số một số nhà cung cấp DNS công cộng đang cung cấp DoH, Mozilla sẽ chuyển trình duyệt Firefox của mọi người từ dựa vào ISP hoặc DNS công cộng của họ sang cung cấp DoH của Cloudflare. (Cha mẹ sử dụng dịch vụ lọc dựa một phần vào DNS để chặn và người dùng doanh nghiệp có tra cứu DNS chỉ sử dụng nội bộ sẽ bị từ chối khỏi DoH, mặc dù mức độ hiệu quả vẫn được nhìn thấy.)
Mặc dù bản thân DNS không an toàn, nhưng đây cũng là một mớ hỗn độn khiến bạn khó theo dõi và liên kết một tập hợp các yêu cầu DNS từ một thiết bị. Bằng cách tạo kết nối https an toàn, DoH cho phép tất cả các yêu cầu được liên kết mạnh mẽ.
Tập trung hóa cung cấp các khuyến khích mạnh mẽ cho các tổ chức có quyền truy cập dữ liệu để tham gia vào hành vi mũ trắng, xám và đen. Các công ty màu be có thể được khuyến khích để tổng hợp thông tin nặc danh có thể được liên kết lại với các cá nhân hoặc được sử dụng để trích xuất những hiểu biết mà người dùng DoH không đồng ý trực tiếp cung cấp. Các bên mơ hồ về mặt đạo đức có thể trích xuất hoặc cố gắng chặn thông tin về các kết nối. Và những kẻ bẻ khóa mũ đen hoàn toàn có thể tập trung toàn bộ sức lực của họ vào việc thâm nhập vào an ninh của các công ty cung cấp dịch vụ tập trung. DNS là một giao thức hoary và DoH được ghim trên đầu của nó.
TƯƠNG LAI CỦA DNS LÀ MÃ HÓA.
Nhiều ý kiến phản đối khác đã được đưa ra cho nhiều khía cạnh cạnh tranh và giảm thiểu quyền riêng tư mà các nhà phê bình gọi là tập trung DoH. Một dự thảo được đệ trình lên IETF (Lực lượng đặc nhiệm kỹ thuật Internet) lưu ý rằng việc triển khai nhanh chế độ này bỏ qua thực tế là các ISP quan tâm hoặc có kế hoạch triển khai dịch vụ DoH và chuyển sang DoH trung tâm bỏ qua các biện pháp bảo vệ và thỏa thuận giữa các ISP và khách hàng.
Ba trong số bốn tác giả của bài báo làm việc cho các ISP lớn: BT, Comcast và Sky. Và nhiều mối quan tâm được nêu lên giống hệt với DNS công cộng, chẳng hạn như tạo ra ít điểm hơn, một điểm thất bại lớn hơn, giảm số người hiểu và làm việc để duy trì và cải thiện phần mềm DNS và tập trung quyền lực trong ít trách nhiệm hơn.
Tuy nhiên, và đó là một người lớn tuy nhiên những người sử dụng DNS công cộng hầu như luôn đưa ra quyết định sáng suốt để làm điều đó. Với động thái Firefox của Mozilla, người dùng đang bị đẩy vào DoH. Kế hoạch ban đầu của Google cho Chrome không mạnh mẽ như vậy, nhưng điều đó có thể thay đổi.
Những người đứng sau PowerDNS nguồn mở đưa ra một loạt lý do tại sao DoH tập trung bổ sung thêm rò rỉ quyền riêng tư, bởi vì trong khi DNS đã truyền dữ liệu khắp nơi, đẩy DoH đến một địa điểm sẽ thêm các bên tham gia vào hỗn hợp và theo dõi phiên trực tiếp hơn.
NHANH CHÓNG, NHƯNG KHÔNG LÝ TƯỞNG
Bảo mật DNS là quá hạn. Là một mảnh vỡ cũ kỹ của mạng sống, nó bị cuốn vào quá sâu và nó được phân cấp trong bản chất của nó đến nỗi nó giống như máy chủ thư liên lạc, khó có thể nâng cấp mà không làm sạch bảng.
Nhưng hành động vội vàng thường tồi tệ hơn so với kế hoạch được xem xét. DoH sẽ hoạt động tốt nhất ở cấp độ hệ điều hành hoặc là thành phần cấp hệ thống do người dùng cài đặt, nơi nó có thể được sử dụng làm proxy cho tất cả các truy vấn DNS không chỉ trong trình duyệt mà còn cho tất cả các dịch vụ. Mặc dù các ISP có các vấn đề riêng tư liên quan đến người dùng của họ, mối quan hệ tài chính trực tiếp cho dịch vụ cung cấp tiềm năng cho nhiều trách nhiệm hơn so với việc DoH được cung cấp bởi bên thứ ba mà bạn không thanh toán.
DoH đã được trích dẫn như một cách để mọi người có nguy cơ hành động bởi chính phủ hoặc dân số của họ ở các quốc gia đàn áp để tránh sự giám sát. Nhưng các điểm dịch vụ duy nhất, như địa chỉ DoH trung tâm, dễ bị chặn hơn nhiều so với VPN liên tục thay đổi phạm vi IP để trốn tránh kiểm duyệt và đại lý chính phủ.
Nếu bạn không sử dụng VPN trên các mạng không an toàn, thì liệu chúng được quản lý bởi một quán cà phê hay toàn bộ quốc gia, Do DoH là một cải tiến tiềm năng. Nhưng VPN là một lựa chọn và bạn có thể đánh giá và thực hiện. Ngược lại, DoH tập trung dường như đang trên con đường trở thành một hệ thống ống nước thực tế hơn là thứ mà các cá nhân chọn mua vào.
Tương lai của DNS là mã hóa, nhưng tập trung vào một dịch vụ phát triển mạnh theo cách cũ kỹ, kỳ quặc của nó trong nhiều thập kỷ chỉ là một giải pháp phù hợp, không phải là một giải pháp tuyệt vời.
Nhận xét
Đăng nhận xét