Una buena noticia para la privacidad. Los responsables de Mozilla han anunciado este martes que NextDNS se unirá a Cloudflare a la hora de proveer a Firefox del protocolo de seguridad conocido como DNS mediante HTTPS o DoH, por sus siglas en inglés.
|
etiquetas: internet , firefox , 2º servicio dns , nextdns , cloudflare , proveerán , doh
Ya hay muchas voces reputadas en contra de DoH y del atraso que supone para Internet en materia de privacidad.
Activadlo ya, insensatos.
No veo por qué CloudFlare deba tener mis datos de navegación.
Los ISP solo ven las páginas (URLs) cuando la petición HTTP viaja en claro. Con SSL/TLS no saben lo que visitas con precisión, pero si usas sus servidores DNS sí podrán saber el "host" (pornhub.com). Con DNS ajenos solo pueden ver el tráfico con la IP del servidor (lo que puede dar bastante información... o ninguna ya que un servidor puede responder a miles de hosts: pornhub puede compartir IPs con ursulinas.com).
Hablo desde un nivel de usuario medio-avanzado (no más). Lo he estado usando y los proveedores no es un empresa sola (tipo Cloudflare), sino gente "de su padre y de su madre" a lo largo del mundo. Vamos, que haciendo la prueba en dsnleaktest cada vez que conectas te salen distintos.
Según lo que dice la noticia, añadirán una tercera opción.
EDIT: parece que en tls 1.3 el comportamiento por defecto cambia y ya no se manda el hostname en claro, pero que yo sepa de momento el 1.3 no está muy extendido y se usa sobre todo el 1.2.
1. DoH
2. (Opcionalmente ESNI como alternativa de transición o complemento)
3. TLS 1.3
DoH no es opcional en esa evolución. ESNI lo doy por fracasado (intuyo).
#21 Pero nada de eso tiene que ver con tu descripción de " Tu ISP va a saber igualmente qué páginas visitas", que es la incorreción que quería hacer ver. Lo de Facebook ya lo he explicado al decir: "lo que puede dar bastante información... o ninguna"
blog.cloudflare.com/encrypted-sni/
Se publica una clave publica en el DNS y el SNI se codifica con clave simétrica. Luego ya se intercambian certificados y tal.
Lo hacen ver como una mejora a la privacidad, cuando no lo es.
Puede que me equivoque pero la elección está entre moverte por Gran Vía con la cara descubierta en Navidad o hacerlo por una calle vacía con una máscara que sólo venden dos comercios.
A parte de eso, webs grandes tipo facebook, tienen ips para ellas solas.
Tienen pensado arreglarlo, como dices, pero hasta que esté funcionando y un número significativo de webs lo empleen, me da que pasará un tiempo.
No hace falta entrar en marxbuscamilfs para saber que marx busca milfs, tan solo entrar en una pagina de milfs.
Pero incluso así, si vamos a esas, entonces da igual usar DNS cifrado o en claro porque contra el DNS resuelves el dominio facebook.com, no una seccion en particular de ese dominio, asi que que mas da que el ISP vea la resolucion si solo va a ver el dominio y tu dices que eso da igual?
Si que obtienes datos, obtienes las webs que estas visitando y si te pasas el dia visitando xhamster, eres una persona normal pero si no visitas ninguna pagina de ese tipo, te van a fichar. Y asi con las demas paginas, si te pasas el dia cargando foros anarquicos sera porque te va ese tema.
Pero tranquilo que ya lo dejo
Es verdad, ni me acordaba de ese comentario, tienes razón pero fue un mal ejemplo. Mejor ejemplo es 5.196.220.240 , si tú te conectas a esa IP yo ya sé a donde vas aunque tengas todo cifrado y como esa, las demás, no hace falta obsesionarse con Facebook.
No llega con tener TLS 1.3, también has de tener configurado el ESNI y ninguna de las páginas que pusiste lo tienen. Además, la ip no puede pertenecer a esa web en exclusiva o sabrán a donde te conectas igualmente.
Concentración de información... eso ya lo tienes y lo tendrás en tanto que tu ISP va a seguir sabiendo a donde te conectas. Lo sabrá tu ISP y lo sabrá tu nuevo DNS, así que empeoras las cosas en vez de arreglarlas.
Pero de todas formas ¿de qué hablamos? la gran mayoría de la gente se conecta en modo automático tomando las DNS de su router que son las de su ISP, la mayoría no sabe ni lo que son las DNS como para cambiarlas. Podría encargarse el navegador ignorando las DNS por defecto y usando las suyas pero volvemos al problema de que la mayoría usa Chrome, que es peor que darle mis datos al ISP, eso junto con Android sí que es concentración de información.
Así que ¿qué has arreglado? Serán cuatro gatos los que hagan bien las cosas.
Si nada empezó nunca ¿por qué me dices que lo deje? nada empezó nunca en tu cabeza.
Lo que dices en #1 es incorrecto porque tener tus logs de peticiones de resolución DNS no implica tener datos precisos sobre lo que llamas "datos de navegación". Sabrán, por simplificar, que has podido visitar un host determinado, pero no sabrán si lo has visitado una vez, ninguna o miles durante el día. Gracias a la caché DNS local puede que ni siquiera sepan si has vuelto a solicitar su resolución DNS otras veces.
Eso no son datos de navegación.
- Esto es un dato crítico de privacidad: es-es.facebook.com/MarxBuscaMILFs
- Esto no: es-es.facebook.com
#19 Acabo de probar con mi lista de sitios frecuentes más unos cuantos de contenido "extraño" al azar. El 50% aproximadamente implementan TLS1.3. Con ESIN activado la cifra de peticiones cifradas ha subido al ~70% aprovechando el tirón de Cloudflare.
Ya te fías? En pocas empresas has estado o visto como operan para ver como se cumple la LOPD y la GPDR...
¿Sabes que a día de hoy DoH es el único que puede garantizar tu anonimato a la hora de navegar? Revisa acerca del SNI por que te vas a sorprender, ni https, ni dnscrypt ni DoT, la única vía de cifrar esa cabecera http es con DoH y precisamente es lo que se utiliza para censurar en algunos países.
Otra cosa es que no te fíes de Cloudflare, pero hay muchos otros proveedores DoH y aunque no vengan configuradoa en Firefox, los puedes poner. Al final en algún punto esas consultas van a recaer sobre un tercero que va a ver tus consultas, si te montas tu propio recursor que consulte a los root, pues también las van a poder ver salir de tu servidor. Lo mismo si utilizas VPN, esa VPN cifrará hasta el servidor VPN y en esa salida se podrán ver tus consultas DNS.
Hay otros planteamientos mejores que están en vías de evolución y desarrollo, por ejemplo una clave genérica del proveedor de hosting en la que comunicarte con el para pedir el certificado de la web que quieres acceder, y luego ya te da el certificado adecuado para que te sirva la página.
Al final tus consultas DNS siempre van a tener un punto débil. DoH por ahora es de lo mejor que hay pero debes acabar confiando en un proveedor, el cual puedes elegir tu mismo y al menos que no sean los típicos de guarrafone y compañia...
( ) PP.es (estos no usan https ni para recibir datos personales)
(x) psoe.es
(x) podemos.info
( ) ciudadanos-cs.org
(x) voxespana.es
Nótese que para mi ISP solo he visitado las páginas de PP y C's
O estos:
(x) tranniesCachondorras.porn (ficticio pero basado en hechos reales)
(x) PirateBay.org
( ) PornHub
(x) Forocoches
Ya con el tema de las IPs y TLS te dejo a tu rollo porque explicarte que es un problema de concentración de información y no de que esa información exista o no -que siempre va a existir y a dejar huella- se te va escapar por mucho.
No tienes nada que dejar. Nada empezó nunca
Después configuras tu DNS como 127.0.0.1 y listo. Ya no dependes de nadie más que de los servidores maestros.
Sabias palabras.
Se puso para que antes de iniciar la conexión, la otra parte sepa que host quieres.
Esto viene bien para servidores con muchos virtual hosts.
Van a prostituir estos datos, primero a Cloudflare y luego a donde sea.
Ahora es tu decisión Sr. Usuario, decidir el mal menor.