Firefox和Google浏览器最新隐私保护功能带来了新的风险
虽然互联网已默认保护数据、加密流量,但隐私漏洞仍然存在:用户访问网站的痕迹不会消除,这也给了网络上游手好闲之人探查隐私的可乘之机。
软件公司Mozilla及Google正分别针对旗下浏览器Firefox及 Chrome研究补救方案。
弥补缺陷的新技术被称为DNS-over-HTTPS(下称DoH),它可以保护用户的浏览习惯不受AT&T、Comcast和Verizon等各大互联网服务供应商(InternetServiceProvider,下称ISP)监控。
这些ISPs有时会使用Supercookies(一种跟踪技术,和cookie一样允许网站和广告商进行跟踪,但不能被真正删除)及其他技术来跟踪用户。
肖恩·凯普敦(Sean Captain)在文章《如何防止Comcast、Verizon和其他ISP监视用户》中,就如何使用DoH提供了相关建议。
但安全也可能是把双刃剑。这种技术可以保护用户行为不受ISP、公共热点和其他机构的监控,但可能会带来新的隐私风险:浏览习惯的集中化。它还突出了DoH技术尚未解决且可能会加剧的隐私泄露问题。
域名里有什么?一切
除非用户使用虚拟专用网络(VirtualPrivateNetwork,下称VPN),否则,即使每个连接都是加密的,有权访问你连接的公共网络的人仍然可以确定你访问的每个网页站点、联络的每个电子邮件服务器,以及你的移动设备或笔记本电脑连接的所有在线服务器。
在任何共享网络中也是如此。在共享网络中,同一网络的其他用户也可以访问网络流量,而且管理员可以监控网络流量。
这些都是因为旧版互联网上还存在一个暴露的通道设备:域名服务器(DomainNameService,下称DNS)。DNS是一种古老的系统,当时互联网上的计算机数量超过了人们手动更新计算机列表的能力,它就这样发展起来了。是的,它真的很古老。
DNS提供了一种方法,将人类可读和可键入的域名(如fastcompany.com)映射至以机器为导向的适合地址(如151.101.1.54或2607:f8b0:4004:814:200e。前一地址采用了使用已久的IPv4表示法;后者则采用了IPv6表示法,它允许使用更多唯一编号,IPv6正在逐渐取代IPv4)。
用户不想键入这些复杂IP数字,更不想记住它们;DNS从早期开始就发展得非常复杂,单一域名可映射至许多不同的机器身份,从而允许“循环”访问,以此平衡流量负载。
DNS也被内容分布网络(CDN)使用,如CDN服务供应商Akamai和AmazonCloudFront,它们利用DNS提供地理上与发出请求的设备最接近的服务器地址,减少互联网跳转次数,从而提高性能。
DNS也是一种储存域名及其所有者相关附加信息的方法。所谓的文本(TXT)记录可将任何信息添加至DNS条目中。Google允许使用TXT记录来验证域的所有权,就像发一条信息到某个电邮地址以验证某用户有权访问该邮箱一样。
当用户通过Wi-Fi、以太网或蜂窝网络进行网络连接时,设备接收到的内容中就有DNS服务器列表。用户的设备将查询请求发送到DNS服务器,DNS服务器就会查询所有顶级域名(top-leveldomains)的主列表,如“.com”、“.airo”和“.uk”。
以从右到左、由句点“.”分隔的层次结构,DNS服务器最终会找到一个提供答案的“权威”DNS服务器,然后将答案返回至用户的设备。过程并不简单,但至少还挺直截了当的。
例如,如果一个浏览器要访问fastcompany.com,首先需要查询“.com”的层次结构来确定其条目的存储位置——提供DNS信息的服务器称为“域名解析服务器”——然后再直接查询fastcompany.com的域名解析服务器,接收所需记录,从而通过机器地址创建直接连接。
像大多数访问量很大的网站一样,Fast Company也使用CDN,一位用户收到的机器地址可能与2,000英里甚至100英里之外的人不同。
问题在于,每一次进行DNS查找时,即使通信的其余部分是加密的,比如网络和电子邮件连接很可能被加密(归功于后斯诺登(Snowden)时代加密技术的大量使用),但域名都是明文发送的。
根据现代网站上使用的跟踪组件和第三方元件得出的数据,一台个人电脑每天可能会发送数千个DNS请求。
由于CDN检索,某些对域名查找和IP地址响应进行监视的人可能会获取有关用户习惯和行踪的信息集群,其信息粒度令人难以置信。
DNS是古板且复杂的。2008年,情况一团糟,安全研究员丹·卡明斯基(DanKaminsky)发现了一个根本缺陷,该缺陷几乎影响了世界上所有操作系统和服务器。他一直努力保守秘密,直到Apple、Microsoft、Google和其他公司可以掩盖它(它从未被完全修复过)。
2015年,一个受欢迎的DNS服务器(某处理查询响应的软件)出现了一个漏洞,非常容易遭受拒绝服务攻击(denial-of-service,通过不断发送互联网的数据请求使得一台服务器最终瘫痪的行为)。
DNS还缺乏验证过程,容易导致“DNS中毒”。在这种情况下,设备进行域名查找时可能会收到错误答案,而设备并不知道答案是错的。这一般发生在咖啡厅或其他公共网络中,但也可能遍及全国。
DoH技术可以修复隐私问题及一些完整性相关的问题。Firefox和Chrome不用明文发送DNS查询,也不使用本地网络的DNS服务器,而是为DNS创建了一个VPN,查询将通过加密隧道发送至提供答案的中央服务器。
这样既可以防止本地网络中毒,也可以防止信息在本地或传送间任何节点被截取。运行中央服务器的实体可以对其他DNS服务器执行查询以检索答案,不会泄露关于请求方的任何信息。
但问题就出在“中央”的身上。
谁来监管“DNS监管者”?
DoH的问题不在于它的概念,而在于各浏览器在未来版本中默认启用该技术的方式。
Mozilla的浏览器Firefox经过了一年多的测试,选择了Cloudflare作为其指定合作伙伴,仅面向美国用户开放。Google很快将在旗下浏览器Chrome中测试DoH,但初步将只针对那些有DoH选项的ISP用户启用。
大多数消费者都使用其ISP提供的DNS服务,DNS服务可通过ISP提供的路由器中的预配置设置获得,也可通过输入ISP提供的DNS服务器IP地址获得(这就像是先有鸡还是先有蛋的问题,在查找域名时需要DNS服务器,因此用户必须首先输入服务器IP地址来启动服务器)。
已有上百万的个人和组织从ISP提供的DNS转向几个公共DNS提供商,如Google、OpenDNS和Cloudflare。
大多数ISP都没把运行DNS服务器放在心上,导致查找站点时出现长时间延迟,于是这些DNS提供商就发展起来了。而公共DNS的优质服务更是加速了这一进程。
这最终会导致DNS的集中化——多数用户会将其互联网活动信任地交托给少数几个大公司,如Comcast、Verizon和Google。然而,DoH甚至还可以将其进一步集中化。
Google旗下Chrome的相关测试只会为有DoH选项的公共DNS提供商用户升级,而Mozilla则会将依附于ISP或公共DNS的Firefox浏览器转为依附于Cloudflare的DoH服务(使用依靠DNS进行屏蔽过滤服务的家长用户,以及在内部进行DNS查询的企业用户将被排除在DoH之外,但效果如何还有待观察)。
DNS本身确实不安全,但这种混乱也使得来自单个设备的DNS请求难以被追踪和关联。通过创建安全的https连接,DoH使得所有请求都紧密关联。
集中化会诱导那些有权访问数据的组织做出非白帽、灰帽甚至黑帽的黑客行为(白帽黑客指用自己的黑客技术来维护网络,测试网络和系统的性能;灰帽黑客指使用计算机或某种产品系统中的安全漏洞,而其目的是引起其拥有者对漏洞的注意;黑帽黑客指利用自身技术,在网络上窃取别人的资源或破解收费软件以达到获利)。
一些“心思不纯”的公司可能会收集“匿名”信息,用于重新关联个体,或用于提取那些DoH用户未直接同意提供的看法。道德松散的各方可能会提取或试图拦截有关网络连接的信息。而黑帽黑客则会将精力都集中在破解提供集中服务的公司的安全措施上。
DNS是一个陈旧的计算机协议,DoH则是一项基于DNS的技术。
很多人就竞争减弱和隐私受损等方面提出了反对意见,批评将该技术部署称为 “集中式DoH”。
一篇提交至国际互联网工程任务组(Internet EngineeringTaskForce,IETF)的文件草案指出,此模式的快速部署忽略了了一个事实:对DoH饶有兴趣或正计划部署DoH、转移至中央DoH的IPS,绕过了ISP与用户之间的保护和协议。
这份文件的四位作者中,有三位任职于ISP公司:BritishTelecom、Comcast和Sky。文件提出的许多问题与公共DNS相同,例如造成更少但更大的单点故障、减少了解并维护和改进DNS软件的人员数量、将权力集中在更少的人手中从且承担更少的责任。
然而,一个很大的问题是,使用公共DNS的人几乎都是有意为之的。而Mozilla的Firefox浏览器迁移导致用户被动使用DoH。Google针对Chrome的最初计划虽然没那么激进,但随时有可能变化。
开源PowerDNS(一个跨平台的开源DNS服务组件,功能为支持DNSSEC,提供自动化签名)的幕后人员列出了集中式DoH增加额外隐私泄露的一系列原因,虽然DNS已经将数据散布到各处,但将DoH都推到一个位置会增加更多的参与方,引起更直接的会话跟踪。
仅是权宜之计,并非理想方案
DNS早就需要保护了。作为互联网命脉中的老顽固,它根深蒂固、遍布各处,就和邮件服务器通信一样,不处理干净就很难升级。
但仓促行动往往比深思熟虑更糟糕。DoH最好在操作系统层级或用户安装的系统层级组件上运行。在这些地方,它可以成为所有DNS查询的代理服务器——不仅仅是在浏览器中,而是所有服务的代理器。
虽然ISP有自己的用户隐私问题,但与免费的第三方DoH相比,ISP的直接财务关系提供了更多问责的可能性,让用户更安心。
有人认为,对于那些身处专制国家的人来说,DoH提供了逃避审查的方法。但是单点服务(如中央DoH地址)要比VPN更容易屏蔽,毕竟VPN会不断改变IP范围以避开审查和政府调查。
如果用户没有使用VPN就连接了不安全的网络(无论是由咖啡馆还是由国家管理),那就很危险,而DoH可能是一种改进。当然VPN也是一种可供衡量的选择。相比之下,集中式DoH似乎正在成为通道实施的一部分,而不是可由个人选择的东西了。
DNS的未来是加密,但对于这项几十年来一直以陈旧且怪异的方式蓬勃发展的服务来说,进行集中化只是权宜之计,还不是一个很好的解决方案。
推荐系统
微软Win11原版22H2下载_Win11GHOST 免 激活密钥 22H2正式版64位免费下载
语言:中文版系统大小:5.13GB系统类型:Win11微软Win11原版22H2下载_Win11GHOST 免 激活密钥 22H2正式版64位免费下载系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。Win11 64位 Office办公版(免费)优化 1、保留 Edge浏览器。 2、隐藏“操作中心”托盘图标。 3、保留常用组件(微软商店,计算器,图片查看器等)。 5、关闭天气资讯。
Win11 21H2 官方正式版下载_Win11 21H2最新系统免激活下载
语言:中文版系统大小:4.75GB系统类型:Win11Ghost Win11 21H2是微软在系统方面技术积累雄厚深耕多年,Ghost Win11 21H2系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。Ghost Win11 21H2是微软最新发布的KB5019961补丁升级而来的最新版的21H2系统,以Windows 11 21H2 22000 1219 专业版为基础进行优化,保持原汁原味,系统流畅稳定,保留常用组件
windows11中文版镜像 微软win11正式版简体中文GHOST ISO镜像64位系统下载
语言:中文版系统大小:5.31GB系统类型:Win11windows11中文版镜像 微软win11正式版简体中文GHOST ISO镜像64位系统下载,微软win11发布快大半年了,其中做了很多次补丁和修复一些BUG,比之前的版本有一些功能上的调整,目前已经升级到最新版本的镜像系统,并且优化了自动激活,永久使用。windows11中文版镜像国内镜像下载地址微软windows11正式版镜像 介绍:1、对函数算法进行了一定程度的简化和优化
微软windows11正式版GHOST ISO镜像 win11下载 国内最新版渠道下载
语言:中文版系统大小:5.31GB系统类型:Win11微软windows11正式版GHOST ISO镜像 win11下载 国内最新版渠道下载,微软2022年正式推出了win11系统,很多人迫不及待的要体验,本站提供了最新版的微软Windows11正式版系统下载,微软windows11正式版镜像 是一款功能超级强大的装机系统,是微软方面全新推出的装机系统,这款系统可以通过pe直接的完成安装,对此系统感兴趣,想要使用的用户们就快来下载
微软windows11系统下载 微软原版 Ghost win11 X64 正式版ISO镜像文件
语言:中文版系统大小:0MB系统类型:Win11微软Ghost win11 正式版镜像文件是一款由微软方面推出的优秀全新装机系统,这款系统的新功能非常多,用户们能够在这里体验到最富有人性化的设计等,且全新的柔软界面,看起来非常的舒服~微软Ghost win11 正式版镜像文件介绍:1、与各种硬件设备兼容。 更好地完成用户安装并有效地使用。2、稳定使用蓝屏,系统不再兼容,更能享受无缝的系统服务。3、为
雨林木风Windows11专业版 Ghost Win11官方正式版 (22H2) 系统下载
语言:中文版系统大小:4.75GB系统类型:雨林木风Windows11专业版 Ghost Win11官方正式版 (22H2) 系统下载在系统方面技术积累雄厚深耕多年,打造了国内重装系统行业的雨林木风品牌,其系统口碑得到许多人认可,积累了广大的用户群体,雨林木风是一款稳定流畅的系统,一直以来都以用户为中心,是由雨林木风团队推出的Windows11国内镜像版,基于国内用户的习惯,做了系统性能的优化,采用了新的系统
雨林木风win7旗舰版系统下载 win7 32位旗舰版 GHOST 免激活镜像ISO
语言:中文版系统大小:5.91GB系统类型:Win7雨林木风win7旗舰版系统下载 win7 32位旗舰版 GHOST 免激活镜像ISO在系统方面技术积累雄厚深耕多年,加固了系统安全策略,雨林木风win7旗舰版系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。win7 32位旗舰装机版 v2019 05能够帮助用户们进行系统的一键安装、快速装机等,系统中的内容全面,能够为广大用户
番茄花园Ghost Win7 x64 SP1稳定装机版2022年7月(64位) 高速下载
语言:中文版系统大小:3.91GB系统类型:Win7欢迎使用 番茄花园 Ghost Win7 x64 SP1 2022.07 极速装机版 专业装机版具有更安全、更稳定、更人性化等特点。集成最常用的装机软件,集成最全面的硬件驱动,精心挑选的系统维护工具,加上独有人性化的设计。是电脑城、个人、公司快速装机之首选!拥有此系统
相关文章
- linux(Ubuntu)如何安装tar.gz文件?
- 技嘉遭勒索软件攻击112GB数据存风险
- 不小心误删文件怎么恢复?详细方法步骤
- 酷盘Kanbox2则小技巧提升网络云存储效率问题
- PJBlog个人博客系统Action.asp页面跨站脚本攻击漏洞
- win7笔记本无线网络找不到无线WiFi如何解决【详解】
- 刚装好的服务器系统打不开网页
- 勒索软件团伙称他们是纽卡斯尔大学袭击案的幕后黑手
- 数据泄露、勒索病毒不再怕!网络安全保险加固企业风险“防火墙”
- 阿里“战疫”启示录:数字化创造社会治理新价值
- 在XP中,为什么"网络连接"图标消失?
- Win7系统怎么查看局域网arp网络状况?
- Win8下载安装HP M1213网络打印机和扫描仪的详细教程
- Win10中在哪里设置专用网络和公用网络?
- AMD:与美国政府密切合作 国家安全利益第一
- 如何用腾讯电脑管家进行软件搬家?
- Windows 10如何禁止鼠标唤醒电脑
- 导致美国进入紧急状态的勒索事件揭示出的网络安全实践需求
热门系统
- 1华硕笔记本&台式机专用系统 GhostWin7 32位正式旗舰版2018年8月(32位)ISO镜像下载
- 2深度技术 Windows 10 x86 企业版 电脑城装机版2018年10月(32位) ISO镜像免费下载
- 3电脑公司 装机专用系统Windows10 x86喜迎国庆 企业版2020年10月(32位) ISO镜像快速下载
- 4雨林木风 Ghost Win7 SP1 装机版 2020年4月(32位) 提供下载
- 5深度技术 Windows 10 x86 企业版 六一节 电脑城装机版 版本1903 2022年6月(32位) ISO镜像免费下载
- 6深度技术 Windows 10 x64 企业版 电脑城装机版2021年1月(64位) 高速下载
- 7新萝卜家园电脑城专用系统 Windows10 x64 企业版2019年10月(64位) ISO镜像免费下载
- 8新萝卜家园 GhostWin7 SP1 最新电脑城极速装机版2018年8月(32位)ISO镜像下载
- 9电脑公司Ghost Win8.1 x32 精选纯净版2022年5月(免激活) ISO镜像高速下载
- 10新萝卜家园Ghost Win8.1 X32 最新纯净版2018年05(自动激活) ISO镜像免费下载
热门文章
常用系统
- 1深度技术Ghost Win7 Sp1 电脑城万能装机版2022年7月(32位) ISO高速下载
- 2笔记本系统Ghost Win8.1 (32位) 元旦特别 极速纯净版2022年1月(免激活) ISO镜像高速下载
- 3新萝卜家园 Ghost XP SP3系统 电脑城极速纯净版 2021年2月 ISO镜像高速下载
- 4番茄花园 Ghost XP SP3 海量驱动装机版 2020年11月 ISO镜像高速下载
- 5深度技术 Windows 10 x86 企业版 元旦特别 电脑城装机版2020年1月(32位) ISO镜像免费下载
- 6番茄花园 Windows 10 元旦特别 极速企业版 2020年1月(32位) ISO镜像快速下载
- 7电脑公司 装机专用系统Windows10 x86元旦特别 企业版2020年1月(32位) ISO镜像快速下载
- 8笔记本&台式机专用系统 GHOSTXPSP3 2020年3月 海驱版 ISO镜像高速下载
- 9微软windows11系统下载 微软原版 Ghost win11 X64 正式版ISO镜像文件
- 10番茄花园Ghost Win8.1 (X32) 纯净版2018年4月(免激活) ISO镜像免费下载