Von Josef Hahn am Mi, 11. September 2019 um 12:04 #
Das ist der Sprech der Befürworter.
Das verschweigt aber ein paar Punkte...
Erstens: Derzeit führt es dazu, dass alle DNS-Anfragen bei _einer_ ganz bestimmten US Megacloud anfallen. Cloudflare. Das scheint so ein neuer Spender von Mozilla zu sein. Jetzt kommt auch noch ein neuer Testpilot, wo die Leute ein VPN aufgedrückt bekommen, bei dem die Datenverkehre dann einmal durch die Cloudflare-Netze gehen. Auch hier belügt man den Nutzer wieder, man würde es für seine Privatsphäre tun. Es deutet sich aber imho schon an, dass hier auch jemand scharf auf diesen Datenverkehre ist - und es nicht (nur) um deine Privatsphäre geht.
Und dann natürlich der große Unfall, dass man DNS nicht mehr durchgängig auf OS-Ebene konfiguriert, sondern der Browser auf einmal "too big to fail"-mäßig über den Dingen steht. Da kannst du dann im OS konfigurieren, dass du kein Facebook haben willst; aber den Browser juckt das einfach garnicht mehr. "Firefox OS" war doch ganz anders gemeint...
Von Josef Hahn am Mi, 11. September 2019 um 12:33 #
Es wird wieder so ein "Test Pilot" sein, den man den Leuten aufzudrücken versucht. Man wird da mit Sicherheit einen Einfluss drauf haben, ja. Ob es per Default an oder aus ist, weiß ich nicht?!
Völlig klar ist (mir) aber auch: Die Formulierungen werden wieder unehrlich/euphorisch sein, und reihenweise werden die treudoofen Baumkuschler das aktivieren. Teilweise wahrscheinlich ausdrücklich im guten Glauben, etwas für die Privatsphäre zu tun.
Dass dein ganzer Kram dann einmal durch die Datenzentren des neuen Spenders Cloudflare suppt, wird sicher nur im gaaanz kleinen irgendwo stehen.
Etwas, das gar nicht installiert ist, kann nicht 'Default an oder aus' sein. 'es existiert nicht. Also opt in, alles gut. Wer es will, soll es sich installieren. Wer sich vorher nicht informiert, ist selbst schuld.
Die DoH Technologie ist eigentlich interessant, da die Manipulation von DNS Anfragen sehr stark erschwert wird. Auch die Möglichkeit der "Namespaces" mit DoH-Push für Webseiten Betreiber ist sehr interessant.
Dass es aktuell zu wenig DoH Anbieter gibt ist schade aber das wird sich sicher noch ändern. Wünschenswert wäre es, wenn der Anbieter im Browser einfach ausgewählt werden kann.
Daher finde ich den Ansatz von Chrome, nur umzustellen wenn einer der Anbieter bereits genutzt wird, aktuell in Ordnung.
Ich selbst betreibe auf meinem BIND Server mit DNSBL Filter bereits einen vorgeschalteten DoH proxy (DoH Anfragen auf DNS umleiten). Aktuell teste ich wie ich in einem Squid Proxy am besten die DoH Anfragen erkenne und ändere (Blockieren geht schon recht gut).
da die Manipulation von DNS Anfragen sehr stark erschwert wird.
Um die Korrektheit der Antworten zu prüfen gibt es schon eine Technologie. Nämlich DNSSEC. DoH ist ausdrücklich kein Ersatz dafür, kann aber als Ergänzung gesehen werden.
Aktuell teste ich wie ich in einem Squid Proxy am besten die DoH Anfragen erkenne und ändere (Blockieren geht schon recht gut).
Direkt vom Browser kommende DoH-Verbindungen dürften schwer zu erkennen sein. Erstens sind die verschlüsselt. Zweitens gehen sie über den https-Standardport. Es ist also erst mal nicht zu unterscheiden, ob da eine Webseite aufgerufen wird oder halt eine DNS-Anfrage über DoH geht. Das ist ja der Witz an der ganzen Geschichte.
Du kannst natürlich im Prinzip nach Ziel-IP-Adressen filtern so nach dem Motto: Jede IP-Adresse bei dem auch bekanntermaßen ein DoH-Service sitzt, die blockst Du einfach. Muss halt nur Deine Liste aktuell und vollständig sein.
Von Anonymous am Mi, 11. September 2019 um 14:57 #
Ist das wirklich über eine Erweiterung realisiert, die man selbst installieren muß oder nicht doch bereits in der Standard-Version implementiert? In einer kürzlichen Pro-Linux-Meldung stand:
Bei der generellen Aktivierung von DoH will Mozilla aber vorsichtig vorgehen. Ab Ende September soll DoH bei einem Teil der Nutzer in den USA aktiviert werden. Diese Benutzer werden darüber informiert und können die Aktivierung ablehnen."
Von klopskind am Mi, 11. September 2019 um 16:24 #
Tja, ging es jetzt um das geplante VPN-Feature (ist letztlich nur ein Werbekooperation Mozillas mit/für ProtonMail und ist bisher auf US-Markt begrenzt; es ist rein optional, d.h. opt-in; das Feature wird mutmaßlich per Contextual Feature Recommendation, mit der Anwendern bspw. Erweiterungen empfohlen werden, umgesetzt) oder die DoH-Pläne Mozillas? Das wird mir nicht ganz klar. Die bisherige Diskussion ist hier nicht ganz eindeutig.
Appell/Erinnerung an die gesamten Leserschaft: Bitte richtet den Bezug eurer Kommentare nach dem Inhalt des Artikels aus! Der Artikel handelt primär von den DoH-Plänen Googles und deren Umsetzung in Chromium/Chrome. Der Vergleich mit Mozillas Plänen ist nur sekundär und um ein VPN-Feature geht es in diesem Artikel nun überhaupt nicht.
Von Verfluchtnochmal_5987108 am Mi, 11. September 2019 um 21:01 #
Und weiter? Im Artikel ging es um DoH und jeder dessen Langzeitgedächtnis das einer fliege übersteigt wird das gleiche Thema in den letzten Monaten und speziell Tagen auch beim Firefox mitbekommen haben
Von kamome umidori am Do, 12. September 2019 um 04:40 #
Nichts weiter – Leute, deren Leseleistung die einer Fliege übersteigt, werden aber festgestellt haben, dass sie devils Aussage in diesem Fall auf den im Artikel besprochenen Chrome bezog, daher ist der Einwand bzgl. Mozilla _in diesem Fall_ irrelevant.
Von klopskind am Mi, 11. September 2019 um 16:32 #
Ich vermute hier ein großes Missverständnis.
Aus meiner Sicht, ging es im Satz, aus welchem "aufgedrückt" zitiert worden ist, um ein VPN-Feature Mozillas.
Letzteres ist ein auf den US-Markt beschränktes Werbeangebot Mozillas in Kooperation mit ProtonMail, um deren VPN-Dienste zu verkaufen, also rein optional. Ob da jetzt speziell etwas direkt im Browser implementiert worden ist, kann ich nicht sagen.
Warum genau dieses Feature an dieser Stelle unter einem Artikel zu den DoH-Plänen Googles (samt sekundärer Vergleiche zu den Plänen Mozillas) erwähnt worden ist, erschließt sich mir noch nicht ganz.
Von Anonymous am Mi, 11. September 2019 um 17:46 #
"Josef Hahn" bezog sich meiner Meinung nach auf DoH, das ja tatsächlich bereits standardmäßig implementiert ist (nur noch nicht als Default aktiviert), die Verwechslung mit dem VPN-Feature ist wohl "Devil" unterlaufen.
Von klopskind am Do, 12. September 2019 um 00:24 #
"Josef Hahn" bezog sich meiner Meinung nach auf DoH, das ja tatsächlich bereits standardmäßig implementiert ist (nur noch nicht als Default aktiviert), [...]
Ja, aber nicht nur darauf bezog sich Josef Hahns Aussagen.
So hat Josef Hahn sich auch auf eine zugegebenermaßen nicht näher spezifizierte VPN-Thematik bezogen, und schrieb:
Jetzt kommt auch noch ein neuer Testpilot, wo die Leute ein VPN aufgedrückt bekommen, [...]
Von klopskind am Fr, 13. September 2019 um 10:10 #
1. Ich verstehe Ihre Kommentar nicht so ganz. Wo "überall" ist "davon die Rede", "dass das VPN [...] über cloudflare realisiert wird"?
Zitate samt Quellen wären äußerst hilfreich, um Ihre Frage besser verstehen zu können.
2. Zur Klarstellung meinerseits: a) Meine Intention war gewesen, ein in dieser Diskussion von mir wahrgenommenes Missverständnis, welches meiner Ansicht nach dadurch ausgelöst wurde, dass sich devil mit diesem Kommentar nur auf einen Teil der Aussagen des Vorkommentars von Josef Hahn bezog ("Mozilla drückt Anwendern VPN-Feature auf"), aufzudecken.
d) ProtonMail ist eine VPN-Anbieter und der Kooperationspartner Mozillas hinter dem erstmalig von Josef Hahn erwähnten VPN-Angebots am US-Markt (folgen Sie den Verweisen meines vorangehenden Kommentars). Deshalb hat ProtonMail etwas damit zu tun.
Das war wohl ein Missverständnis, ich bezog mich auf Josef Hahn und seine Aussage, der neue Pilot werde den Usern aufgedrängt. Dabei handelt es sich aber um eine z7u installierende Erweiterung. Es ging nicht um DoH.
Das ist der Sprech der Befürworter.
Das verschweigt aber ein paar Punkte...
Erstens: Derzeit führt es dazu, dass alle DNS-Anfragen bei _einer_ ganz bestimmten US Megacloud anfallen. Cloudflare. Das scheint so ein neuer Spender von Mozilla zu sein. Jetzt kommt auch noch ein neuer Testpilot, wo die Leute ein VPN aufgedrückt bekommen, bei dem die Datenverkehre dann einmal durch die Cloudflare-Netze gehen. Auch hier belügt man den Nutzer wieder, man würde es für seine Privatsphäre tun. Es deutet sich aber imho schon an, dass hier auch jemand scharf auf diesen Datenverkehre ist - und es nicht (nur) um deine Privatsphäre geht.
Und dann natürlich der große Unfall, dass man DNS nicht mehr durchgängig auf OS-Ebene konfiguriert, sondern der Browser auf einmal "too big to fail"-mäßig über den Dingen steht. Da kannst du dann im OS konfigurieren, dass du kein Facebook haben willst; aber den Browser juckt das einfach garnicht mehr. "Firefox OS" war doch ganz anders gemeint...
Aufgedrückt? Im Rausch des Mozilla-Bashens hast du wohl übersehen, dass es eine Erweiterung ist, die du selbst installieren musst.
Es wird wieder so ein "Test Pilot" sein, den man den Leuten aufzudrücken versucht. Man wird da mit Sicherheit einen Einfluss drauf haben, ja. Ob es per Default an oder aus ist, weiß ich nicht?!
Völlig klar ist (mir) aber auch: Die Formulierungen werden wieder unehrlich/euphorisch sein, und reihenweise werden die treudoofen Baumkuschler das aktivieren. Teilweise wahrscheinlich ausdrücklich im guten Glauben, etwas für die Privatsphäre zu tun.
Dass dein ganzer Kram dann einmal durch die Datenzentren des neuen Spenders Cloudflare suppt, wird sicher nur im gaaanz kleinen irgendwo stehen.
Etwas, das gar nicht installiert ist, kann nicht 'Default an oder aus' sein. 'es existiert nicht. Also opt in, alles gut. Wer es will, soll es sich installieren. Wer sich vorher nicht informiert, ist selbst schuld.
Die DoH Technologie ist eigentlich interessant, da die Manipulation von DNS Anfragen sehr stark erschwert wird.
Auch die Möglichkeit der "Namespaces" mit DoH-Push für Webseiten Betreiber ist sehr interessant.
Dass es aktuell zu wenig DoH Anbieter gibt ist schade aber das wird sich sicher noch ändern.
Wünschenswert wäre es, wenn der Anbieter im Browser einfach ausgewählt werden kann.
Daher finde ich den Ansatz von Chrome, nur umzustellen wenn einer der Anbieter bereits genutzt wird, aktuell in Ordnung.
Ich selbst betreibe auf meinem BIND Server mit DNSBL Filter bereits einen vorgeschalteten DoH proxy (DoH Anfragen auf DNS umleiten).
Aktuell teste ich wie ich in einem Squid Proxy am besten die DoH Anfragen erkenne und ändere (Blockieren geht schon recht gut).
Direkt vom Browser kommende DoH-Verbindungen dürften schwer zu erkennen sein. Erstens sind die verschlüsselt. Zweitens gehen sie über den https-Standardport. Es ist also erst mal nicht zu unterscheiden, ob da eine Webseite aufgerufen wird oder halt eine DNS-Anfrage über DoH geht.
Das ist ja der Witz an der ganzen Geschichte.
Du kannst natürlich im Prinzip nach Ziel-IP-Adressen filtern so nach dem Motto: Jede IP-Adresse bei dem auch bekanntermaßen ein DoH-Service sitzt, die blockst Du einfach. Muss halt nur Deine Liste aktuell und vollständig sein.
Ist das wirklich über eine Erweiterung realisiert, die man selbst installieren muß oder nicht doch bereits in der Standard-Version implementiert? In einer kürzlichen Pro-Linux-Meldung stand:
Tja, ging es jetzt um das geplante VPN-Feature (ist letztlich nur ein Werbekooperation Mozillas mit/für ProtonMail und ist bisher auf US-Markt begrenzt; es ist rein optional, d.h. opt-in; das Feature wird mutmaßlich per Contextual Feature Recommendation, mit der Anwendern bspw. Erweiterungen empfohlen werden, umgesetzt) oder die DoH-Pläne Mozillas?
Das wird mir nicht ganz klar. Die bisherige Diskussion ist hier nicht ganz eindeutig.
Appell/Erinnerung an die gesamten Leserschaft:
Bitte richtet den Bezug eurer Kommentare nach dem Inhalt des Artikels aus! Der Artikel handelt primär von den DoH-Plänen Googles und deren Umsetzung in Chromium/Chrome. Der Vergleich mit Mozillas Plänen ist nur sekundär und um ein VPN-Feature geht es in diesem Artikel nun überhaupt nicht.
Zumindest im Artikel geht es um Chrome.
Und weiter? Im Artikel ging es um DoH und jeder dessen Langzeitgedächtnis das einer fliege übersteigt wird das gleiche Thema in den letzten Monaten und speziell Tagen auch beim Firefox mitbekommen haben
Nichts weiter – Leute, deren Leseleistung die einer Fliege übersteigt, werden aber festgestellt haben, dass sie devils Aussage in diesem Fall auf den im Artikel besprochenen Chrome bezog, daher ist der Einwand bzgl. Mozilla _in diesem Fall_ irrelevant.
Ich antworte mir mal selber.
DoH ist sogar in der Firefox-ESR-Version 68 implementiert (aber nicht aktiviert).
Und sogar über die GUI zugänglich (und aktivierbar):
Einstellungen - Verbindungs-Einstellungen - Einstellungs-Details anclicken.
Unter about:config sind die Parateter unter network.trr.* zu finden
Ich vermute hier ein großes Missverständnis.
Aus meiner Sicht, ging es im Satz, aus welchem "aufgedrückt" zitiert worden ist, um ein VPN-Feature Mozillas.
Letzteres ist ein auf den US-Markt beschränktes Werbeangebot Mozillas in Kooperation mit ProtonMail, um deren VPN-Dienste zu verkaufen, also rein optional. Ob da jetzt speziell etwas direkt im Browser implementiert worden ist, kann ich nicht sagen.
Warum genau dieses Feature an dieser Stelle unter einem Artikel zu den DoH-Plänen Googles (samt sekundärer Vergleiche zu den Plänen Mozillas) erwähnt worden ist, erschließt sich mir noch nicht ganz.
"Josef Hahn" bezog sich meiner Meinung nach auf DoH, das ja tatsächlich bereits standardmäßig implementiert ist (nur noch nicht als Default aktiviert), die Verwechslung mit dem VPN-Feature ist wohl "Devil" unterlaufen.
So hat Josef Hahn sich auch auf eine zugegebenermaßen nicht näher spezifizierte VPN-Thematik bezogen, und schrieb:
Genau diesen Teil griff devil mit dem Aufhänger "Aufgedrückt?" auf und formuliert obigen Einwand.Demnach läge das Misverständnis nicht bei devil. Und deshalb kommentiere ich Folgendes
mit einem "Einspruch, euer Ehren!".Was hat protonmail damit zu tun wo doch überall davon die Rede ist dass das VPN wie auch DoH über cloudflare realisiert wird
1. Ich verstehe Ihre Kommentar nicht so ganz. Wo "überall" ist "davon die Rede", "dass das VPN [...] über cloudflare realisiert wird"?
Zitate samt Quellen wären äußerst hilfreich, um Ihre Frage besser verstehen zu können.
2. Zur Klarstellung meinerseits:
a) Meine Intention war gewesen, ein in dieser Diskussion von mir wahrgenommenes Missverständnis, welches meiner Ansicht nach dadurch ausgelöst wurde, dass sich devil mit diesem Kommentar nur auf einen Teil der Aussagen des Vorkommentars von Josef Hahn bezog ("Mozilla drückt Anwendern VPN-Feature auf"), aufzudecken.
b) Das von mir wahrgenommene Missverständnis hat sich bspw. in den darauf antwortenden oder bezugnehmenden Kommentaren wie diesem oder jenem manifestiert. Denn in diesen geht es offensichtlich nur um die Umsetzung von DoH, aber devil ging es ja um die Umsetzung des von Josef Hahn eingebrachten - aber leider nicht näher spezifizierten - VPN-Features Mozillas.
c) Daraufhin habe ich gemäß meiner Absichten der Klärung des mutmaßlichen Missverständnisses reagiert. Dass dieses bestehen würde, ist bereits seitens devil bestätigt worden.
d) ProtonMail ist eine VPN-Anbieter und der Kooperationspartner Mozillas hinter dem erstmalig von Josef Hahn erwähnten VPN-Angebots am US-Markt (folgen Sie den Verweisen meines vorangehenden Kommentars). Deshalb hat ProtonMail etwas damit zu tun.
Hilft Ihnen das weiter?
Das war wohl ein Missverständnis, ich bezog mich auf Josef Hahn und seine Aussage, der neue Pilot werde den Usern aufgedrängt. Dabei handelt es sich aber um eine z7u installierende Erweiterung. Es ging nicht um DoH.
Ah gut, dass das nun wenigstens geklärt ist
