Nuevo servicio de Firefox en ES --DNS crypted en HTTP--

Iniciado por TickTack, 14 Julio 2021, 11:31 AM

0 Miembros y 1 Visitante están viendo este tema.

TickTack

Hey,

cuando estaba navegando por las olas de información en CN con Firefox hoy, recibí un mensaje de que FF ahora está introduciendo un servicio en el que los datos DNS originales no cifrados ahora se reenviarán a través del sistema HTTP y que con este sistema también serán cifrados, proporcionados y ejecutados por terceras empresas...

Hmmm...

Ahora bien, yo no soy un experto en este campo en absoluto, pero me lo explico aproximadamente así:

Hasta ahora, todos estos datos solo estaban disponibles para nuestro proveedor de Internet y estaban completamente disponibles allí.

Y otros puntos como el WiFi público, el router, etc.

Estimo de que en si es una mejora de la privacidad, ¿verdad? Especialmente en contra de hacks dirigidos a un fin o monitoreo de datos por parte de hackers priv con el propósito de chantajear o qué sé yo...

Pero...

En cualquier caso, el proveedor de tercero está obligado, a diferencia del proveedor de Internet en un tiempo anterior, a no guardar ningún dato personal (claro, dependiendo del país en donde se viva).

La pregunta ahora es: ¿quién puede beneficiarse y de qué manera? (Además del usuario a través de la "privacidad gratuita ganada" ;) ).

Al final, esto es un corte realmente grande y masivo en el flujo de la infraestructura del Internet, ¿no es así?

Supongamos que se permite el procesamiento de datos no personales.

Entonces esto tendría una escala que actualmente solo disfruta Google, ¿verdad?

No estoy seguro hasta qué punto el DNS ofrece informaciones interesantes para esto. Quiero decir incluso la mera identidad de las conexiones (es decir, qué páginas de donde, por cuánto tiempo, etc.) ofrece mucho valor, ¿no es así?

Los flujos de datos resultantes (incluso anónimos) deberían de tener un enorme potencial para el análisis y la manipulación del mercado, ¿verdad? (tendencias, estados de ánimo sociales, etc., bla, bla). ¿Probablemente generar enormes áreas nuevas de publicidad analítica que antes no eran accesibles?

Estaba buscando algo al respecto, pero básicamente no encontré mucho, excepto las grandes ventajas para la navegación privada ;)

¿Cuál es la opinión de ustedes sobre el tema? ¿Alguien puede explicarme más o cómo lo calificarian en general?


Les envío grandes saludos
Citar
"Ninguna mentira puede inventarse lo suficientemente patán: el pueblo hispanohablante la cree. Por una consigna que se les dio, persiguieron a sus compatriotas con mayor encarnizamiento que a sus verdaderos enemigos."

#!drvy

#1
DNS por HTTPS o (DoH) lo unico que hace es cargarse la manera tradicional de resolver un dominio, ya sea consultando las DNS del operador (por defecto) o las que tienes configuradas en el sistema (como las de Google y tal). Una resolucion de DNS no te dice a que página navegas o las cookies que tienes en la web o cualquier cosa de esas, simplemente te dice la IP del servidor a la que deberias hacer las consultas sobre X domini.. por tanto, esos "terceros" lo unico que van a tener son los dominios que consultas.

Y hablando de terceros....

Firefox te permite elegir que proveedor vas a utilizar, puedes poner el que quieras siempre que soporte resolución de DNS por HTTPS.



Ha habido mucha propaganda sobre lo inseguro que es DoH... y sospecho que ha sido incitada por las operadoras.. pero no se porque motivo... si que es cierto que hay operadores que secuestran dominios que no existen (no estan registrados) y los resuelven a una IP propia para meter publicidad.. con este movimiento estarian perdiendo dinero.. A los gobiernos tampoco les gusta porque significa que los usuarios podrian dejar de pasar por las DNS del operador y por tanto saltarse bloqueos de dominios.


Saludos

el-brujo

#2
CitarNo estoy seguro hasta qué punto el DNS ofrece informaciones interesantes para esto. Quiero decir incluso la mera identidad de las conexiones (es decir, qué páginas de donde, por cuánto tiempo, etc.) ofrece mucho valor, ¿no es así?

Si, en efecto HTTPS resuelve la mayor parte de problemas de privacidad, cifra y "oculta" ralmente lo que estás visitando, pero la filtración con las DNS es muy grande.....

Es decir con las DNS saben el dominio que has visitado, no exactamente lo que has hecho una vez dentro, pero ya tienen demasiada información....

Para proteger la fuga de información sobre DNS hay básicamente dos sistemas DNS cifrados:

- DNS sobre TLS (DoT)
- DNS sobre HTTPS (DoH)

En el blog que tan poco te gusta tienes información completa de como configurar correctamente el navegador Firefox, Chrome, Edge, utilizando DoH mejor.

Servidores DNS gratuitos y seguros, compatibles con DoH y DoT
https://blog.elhacker.net/2019/11/servidores-dns-gratuitos-y-seguros-compatibles-doh-dot-tls-https-firefox-chrome-android.html

Activar medidas privacidad Navegador Firefox, Chrome, Windows 10 y Android (ESNI, TLS 1.3, DoH)
https://blog.elhacker.net/2020/11/activar-medidas-privacidad-navegador-firefox-chrome-windows10-android-linux-esni-tls-dns-over-tls.html

También deberías activar ESNI Encrypted SNI si estás tan preocupado por tu privacidad.

https://www.cloudflare.com/es-es/ssl/encrypted-sni/

En las nuevas versiones de Firefox

network.security.esni.enabled -> true ya no funciona, hay que usar ECH:

network.dns.echconfig.enabled

y

network.dns.use_https_rr_as_altsvc

A true:

Y validar resultados:

https://www.cloudflare.com/es-es/ssl/encrypted-sni/

Fuente:
https://blog.mozilla.org/security/2021/01/07/encrypted-client-hello-the-future-of-esni-in-firefox/

Google Chrome no le sale de los huevos activar ESNI en su navegador, ¿el motivo? Ni idea, habría que preguntárselo...

Teniendo en cuenta que la gran mayoría de usuarios no cambian las DNS del proveedor, pues tampoco activarán otras opciones básicas de privacidad.

Sólo cuando todos los navegadores por defecto incorporen todas las opciones activadas será una medida efectiva, ya que prácticamente nadie activa DoH.

A la larga se acabará imponiendo el sistema DNS Cifrado como universal, igual que en su momento se cambió http por https (aunque ha costado años) pero al final se ha acabado imponiendo, gracias en parte a los certificados gratuitos de Let's Encrypt (R3). Ya nadie se plantea navegar por http cuando no hace tantos años el login de Facebook era por http en texto plano,  sin más y a todo el mundo le parecía normal xD

CitarEstaba buscando algo al respecto, pero básicamente no encontré mucho, excepto las grandes ventajas para la navegación privada

La navegación privada del navegador básicamente no sirve para nada... excepto para no guardar el historial, ni las cookies, para el resto, privacidad nada xD

Danielㅤ

Exacto el modo incógnito del navegador o navegación privada no sirve para proteger la privacidad y navegar anónimo, simplemente sirve para que el navegador no guarde datos de los sitios webs visitados, nada más, hay usuarios que creen que navegar desde modo incógnito van a ser anónimo, cuando en realidad están al descubierto y dejan los mismos rastros y datos.


Saludos
¡Regresando como cual Fenix! ~
Bomber Code © 2021 https://www.bombercode.net/foro/

Ayudas - Aportes - Tutoriales - Y mucho mas!!!

Tia Renata

#4
Era de esperar. Los desarrolladores probablemente solo estan tratando de obtener una ventaja de mercadotecnia si los bloqueos de DNS, como algunos proveedores han estado haciendo recientemente, se expanden.

Los bloqueos que se obtuvieron sin notificación o algo similar...


DNS sobre HTTPS no es más que una solicitud de DNS que se empaqueta en un HTTPS-Request cifrado.

Ventaja: solo el proveedor de DoH puede recopilar datos sobre cuándo se resolvió qué dominio.
Desventaja: el proveedor de DoH también conoce los metadatos del navegador (agente de usuario, etc.).

Por lo tanto, no se debe usar el octopodo de datos Cloudflare, como en la captura de pantalla, que al mismo tiempo también conoce la clave privada TLS de los sitios web de sus clientes por razones técnicas; podría volver directamente a Google, ya que sería lo mismo.

Aquí hay una buena lista de alternativas:
https://github.com/curl/curl/wiki/DNS-over-HTTPS

Danielㅤ

#5
Cita de: Tia Renata en 21 Julio 2021, 00:20 AM
Aquí hay una buena lista de alternativas:
https://href.li/?https://github.com/curl/curl/wiki/DNS-over-HTTPS

Hola, porqué cuando publicas alguna URL no la pones directamente? en vez de estar anteponiendo ésta otra URL que no sirve para nada:

https://href.li/

Simplemente tenés que publicar la URL como corresponde y listo:

https://github.com/curl/curl/wiki/DNS-over-HTTPS

Es como cuando usan los acortadores...
De todas maneras yo cuando veo ese tipo de URLs directamente entro a la URL del parámetro, es decir a la URL destino, copio la URL que corresponde e ingreso así no tengo que entrar en esa URL que ni conozco.


Saludos
¡Regresando como cual Fenix! ~
Bomber Code © 2021 https://www.bombercode.net/foro/

Ayudas - Aportes - Tutoriales - Y mucho mas!!!

TickTack

Xd, a veces yo también hago lo mismo.

Pero... excelente, esto me da una idea que me faltó... :D
Citar
"Ninguna mentira puede inventarse lo suficientemente patán: el pueblo hispanohablante la cree. Por una consigna que se les dio, persiguieron a sus compatriotas con mayor encarnizamiento que a sus verdaderos enemigos."

el-brujo

#7
Citarésta otra URL que no sirve para nada

Si, sirve precisamente para ocultar el referrer

Citarhref.li: hide your referrer

Pero en el foro no hace falta, porque ya lo hace por defecto, utilizando un cabecera de seguridad en el servidor web (en el siguiente mensaje lo explico con más detalle)

Algunos servicios de Url's recortadas también esconden la URL destino

Por ejemplo bit.ly, muy utilizado.

https://bit.ly/3kHkH4V te redirecciona a https://github.com/curl/curl/wiki/DNS-over-HTTPS pero no ves la URL destino en ningún momento

Mucho cuidado con los acortadores de URL, suelen ser también utilizados para distribuir malware, ataques phihsing y demás, además van cambiando la URL destino con redireccionadores.

hay varios servicios que te permiten saber el destino de la URL, básicamente lo único que hacen es hacer la petición e ir siguiendo las redirecciones destino.

Cómo ver la dirección de un link acortado sin abrirlo
http://desenmascara.me/
https://unshorten.link/
https://www.getlinkinfo.com/

pero vaya mejor usar curl -v url en la consola y acabas antes xD

Danielㅤ

Exacto hay que tener cuidado con esos links acortados.

Cita de: el-brujo en 22 Julio 2021, 19:32 PM
pero vaya mejor usar curl -v url en la consola y acabas antes xD

Totalmente xD
¡Regresando como cual Fenix! ~
Bomber Code © 2021 https://www.bombercode.net/foro/

Ayudas - Aportes - Tutoriales - Y mucho mas!!!

TickTack

#9
Cita de: el-brujo en 22 Julio 2021, 19:32 PM
Si, sirve precisamente para ocultar el referrer

Pero en el foro no hace falta, porque ya lo hace por defecto, utilizando un cabecera de seguridad en el servidor web (en el siguiente mensaje lo explico con más detalle)

Ah que bien. Gracias por avisar. No sabía eso. :)
Citar
"Ninguna mentira puede inventarse lo suficientemente patán: el pueblo hispanohablante la cree. Por una consigna que se les dio, persiguieron a sus compatriotas con mayor encarnizamiento que a sus verdaderos enemigos."