Datenschutz: Mozillas Opt-out Firefox DNS-Test

MozillaMozillas Entwickler planen in den Nightly-Builds des Firefox einen 7 tägigen Trusted Recursive Resolver (TRR)-Test für Studienzwecke fahren. Die DNS-Anfragen sollen bei 50 % der Nutzer im Rahmen der Telemetriedatenerfassung an einen Cloudflare-Server gesendet werden. Dies sorgt zur Zeit bei den Entwicklern für hitzige Debatten, da sic einige Sorgen um den Datenschutz und das Vertrauen in Mozilla sorgen. Zumal der Test nur per Opt-out verlassen werden kann.


Anzeige

Der geplante Test

Daniel Steinberger beschreibt hier den geplanten Test, der mit Nightly-Builds durchgeführt werden soll. Es geht um den Test einer sichereren Methode zur Auflösung von von Internet-Domänennamen. Diese ist als Trusted Recursive Resolver (TRR) via DNS over HTTPs (DoH) bekannt.

DNS-Abfragen und -Antworten werden traditionell über UDP oder TCP ohne Verschlüsselung gesendet, wodurch sie anfällig für Abfangen und Manipulationen sind. Es gibt eine DNS-Erweiterung namens DNSSEC zur Authentifizierung der DNS-Interaktion, um Spoofing zu verhindern, aber sie schützt nicht die Privatsphäre von DNS-Abfragen oder -Antworten.

Die aufgelösten Hostnamen sollen im Rahmen der Telemetriedatenerfassung während des Tests an einen Cloudflare-Server weitergeleitet werden. Hintergrund: Daniel Stenberg und McManus von Mozilla  wollen verstehen, wie sich diese Protokolle auf die Netzwerkleistung auswirken. “Der Zugriff auf globale DNS-Daten wird häufig manipuliert und kann leicht blockiert und/oder gesammelt werden”, sagt McManus, einer der für den Test Verantwortlichen. “Auch DNS-Dienste werden manchmal schlecht bereitgestellt, was zu Performance-Problemen führt. Wir gehen davon aus, dass Integrität und Vertraulichkeit geschützter Zugriffe auf gut ausgestattete, größere Caches unseren Benutzern helfen werden. Kurz gesagt, das ist es, was DoH macht.”

Getestet werden soll mit Nightly Builds über einen Zeitraum von 7 Tagen, wobei 50 % der Nutzer zufällig in den Test einbezogen werden. Der Test umfasst das Senden aller von den Testteilnehmern eingereichten DNS-Lookups an den Drittanbieter Cloudflare. Wer nicht teilnehmen will, müsste diesen Test per Opt-out verlassen.

Entwickler äußern Datenschutzbedenken

In diesem Post äußert der neuseeländische Entwickler Henri Sivonen schwere Datenschutzbedenken hinsichtlich des geplanten Tests und schreibt, dass man diesen Test im Hinblick auf den Datenschutz nicht in der vorgeschlagenen Form durchführen sollte.

I think we shouldn’t run this study in the proposed form.

Sending information about what is browsed to an off-path party will erode trust in Mozilla due to people getting upset about privacy-sensitive information (what they browse where “they” is identified by IP address and “what” by host name) getting sent to an off-path party without explicit consent.

The policy agreements we have in place with the off-path party won’t remove this negative effect, since the way people are known to react this kind of thing isn’t in our power to negotiate: people will react to this as a matter of what technically got sent and not as a matter of what the recipient promised not to do. (A browser sending information about what is browsed to an off-path party is the quintessential browser privacy no-no.)

(By off-path party, I mean a party that isn’t *by necessity* on the network path between the user’s computer and the site the user browses. The site can use third-party trackers or infrastructure providers, but that’s an action on the site’s part–not on the browser’s part.)

Er argumentiert also, dass die Übertragung der aufgerufenen Webseiten (das ist ja die DNS-Auflösung) an einen Drittanbieter (Cloudflare) untergrabe das Vertrauen der Nutzer in Mozilla. Daran würden auch keine Vereinbarungen mit Cloudflare etwas ändern. Auch Henri Sivonen, ein Mozilla-Softwareentwickler mit Sitz in Helsinki, Finnland, schlug vor, das Experiment nicht in der vorgeschlagenen Form durchzuführen.

“Das Senden von Informationen darüber, was zu einer Off-Path-Party durchsucht wird, wird das Vertrauen in Mozilla untergraben, da sich die Leute über datenschutzrelevante Informationen aufregen…. und ohne ausdrückliche Zustimmung zu einer Off-Path-Party geschickt werden”, schrieb Sivonen am Montag in einem Beitrag im Entwicklerforum.


Anzeige

Es hat schon etwas rührendes an sich, dass sich die Mozialla-Entwickler über ein paar tausend DNS-Abfragen, die für einen Dritten wie Cloudflare sichtbar sind, Sorgen machen. Und andererseits erleben wir gerade den Facebook-Datenskandal, bei dem Daten von über 50 Millionen Facebook-Nutzer an das Datenanalyse-Unternehmen Cambridge Analytica abgeflossen sind. In einem Forumsbeitrag räumt Mozilla Senior Technical Writer Eric Shepherd ein, dass der Zeitpunkt des Experiments angesichts der aktuellen Ereignisse problematisch ist.

Um den Test durchführen zu können, fordern einige Mozilla-Entwickler einen Opt-in für diesen Test, etwas, was in Europa üblich ist, aber in den USA im Allgemeinen vermieden und bekämpft wird. Weitere Details lassen sich bei Mozilla in diesem Forum und bei The Register nachlesen.


Anzeige
Dieser Beitrag wurde unter Firefox abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

9 Antworten zu Datenschutz: Mozillas Opt-out Firefox DNS-Test


  1. Anzeige
  2. Martin Feuerstein sagt:

    Eigentlich ist die Meldung, dass parallel zu herkömmlichen DNS-Anfragen diese neuartigen DNS-über-HTTP(S)-Anfragen gestellt werden (edit: welche eben nicht so leicht manipuliert werden/können sollten). Für die herkömmlichen DNS-Anfragen dient der im Host eingestellte Resolver, für die “DoH”-Anfragen wird (mangels Alternativen/Standard) eben Cloudflare eingespannt, weil die einen solchen Dienst anbieten. Nun soll bewertet werden, welche Resolver-Methode schneller/zuverlässiger antwortet (soweit ich es verstanden habe).

    • Günter Born sagt:

      Martin, das ist korrekt, was Du da heraus gelesen hast. Interessant ist aber, dass es in der Mozilla-Entwicklergemeinde Leute gibt, die sagen ‘so, wie ihr den Test plant, als opt-out, ist das nicht in Ordnung’. Es gibt also noch Verstand auf diesem Planeten.

      • Martin Feuerstein sagt:

        Ok, neben der Information durch den Browseranbieter, *dass* ein neues Verfahren zum Einsatz kommt, fehlt mir Stand jetzt eher die Konfigurierbarkeit (und ggf. die Anbieter).
        Für DNS ist bei den meisten per DHCP eh der Router eingetragen und es wird auf den DNS-Server des Providers vertraut (bei der Telekom auch mit Redirect auf die Suchseite, falls ein Server nicht gefunden wurde, bei Vodafone mit KinoX.to-Sperre), das ist mMn nicht besser oder schlechter als der “Zwangs-DoH” über Firefox/Cloudflare.
        –> und wer den Firefox (Nightly) nicht haben will, kann immer noch Internet Explorer/Edge (würg) oder Chrome (würg^2) nutzen – das Schaf bleibt aber weiter beim Provider-DNS (und fühlt sich sowas von sicher).

        Mal schauen, wann es ein passendes Angebot vom FoeBuD oder CCC gibt.

  3. Mermaid sagt:

    … soweit man es verstanden hat…

    Nightly-Builds, Trusted Recursive Resolver, Cloudflare, Opt-out….? Je, nee, alles klar. Klingonisch. Und das stammt nur aus dem ersten Absatz.

    Als normaler Nutzer steige ich da aus und resigniere. Und so dürfte es vielen gehen.

    • Al CiD sagt:

      Na ja, als normaler Nutzer geht man ja auch nicht auf die Nighly-Builds (Testversionen – noch nicht für den normales Nutzer frei gegeben)…

      Und da das Test-Versionen sind finde ich es nicht allzu schlimm, dass solche Tests halt gefahren werden… obwohl ich natürlich Opt-In vorziehen würde.

      Opt-Out ist, dass man die Funktion, welche auch immer, erst deaktivieren muss um zB bestimmte Daten zu senden… der Gegensatz ist halt Opt-In, da muss man es erst explizit aktivieren.

    • Cmd.Data sagt:

      Ich habe noch nie ein Nightly-Build von Mozilla installiert.

      Es handelt sich dabei um Testversionen für Entwickler.

      Als normaler Nutzer sollte man eher auf Firefox ESR zurückgreifen, oder, wenn man häufig etwas Neues ausprobieren möchte, Firefox ohne ESR.

    • Günter Born sagt:

      Du hast Recht – ich hatte den Beitrag auch nicht unbedingt auf Normalnutzer angelegt. Nur ein wenig Klingonisch für Anfänger.

      Nightly-Builds = Nächtliche Builds – also Firefox-Pakete, die Nacht für Nacht mit dem neuesten Entwicklungsstand erstellt werden. Dienen den Entwicklern zum Testen.

      Trusted Recursive Resolver = eine Funktion, die rekursive Abfragen für DNS-Namensauflösungen ermöglicht.

      DNS-Namensauflösungen = Domain Name Service Namensauflösung – wenn jemand im Browser http://www.borncity.com eingibt, wird das über den DNS in eine IP-Adresse, unter dem der Server mit meinen Webangeboten von borncity.com gehalten (gehostet) wird, zurückgegeben.

      Cloudflare = ein Anbieter, der verschieden Dienste im Internet bereitstellt – z.B. ein Content Delivery Network (CDN), um bei sehr hoher Last die Webinhalte von verschiedenen Quelle auszuliefern. Der Anbieter wird hier benutzt, um den Firefox-Nutzern, die die Testversionen einsetzen und per Zufall für den oben erwähnten Test ausgewählt wurden, die Telemetriedaten abzunehmen.

      Opt-out = ein Verfahren, bei dem jemand explizit mitteilen muss ‘ich möchte am Test nicht teilnehmen’ – Gegensatz dazu wäre Opt-in, sprich: Standardmäßig ist etwas deaktiviert und nur wenn ich mitmachen möchten, optiere ich dafür.

      Hoffe, der kleine Klingonisch-Kurs hilft etwas weiter.

      PS: Habt Nachsicht mit mir – ich hatte das Klingonisch auch nicht im Kindergarten und muss mir immer mal wieder von Tantel Gurgel da auf die Sprünge helfen lassen – mein Babelfish ist mir leider letztens eingegangen ;-).

  4. Anzeige

  5. Mermaid sagt:

    Danke für die Erklärungen. Der Normal-Klingone kriegt nämlich oft schon Probleme, alleine nur den Text zu verstehen und die Abkürzungen in was Verständliches zu übersetzen. Nachschlagen auf den entsprechenden Seiten spuckt einem etwa 2 Trillionen Ergebnisse aus, die nicht unbedingt übereinstimmen müssen. Da ist man froh, wenn es verständlich ist.

  6. Kleschne sagt:

    Danke Günter.
    Sehr gut erklärt.

Schreibe einen Kommentar zu Martin Feuerstein Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht.