Mozillas Firefox DNS-Sündenfall …

[English]Die Firefox-Entwickler haben sich bei den aktuellen Nightly-Builds des Browsers einen Sicherheitspatzer geleistet, indem sie den Cloudflare DNS-Server fest für DNS-Auflösungen im Browser integriert haben. Wie es ausschaut, ist das Ganze aber 'Programm' und soll in die Endfassung des Browsers wandern. Hier einige Informationen zum Thema und warum das ein Sündenfall ist.


Anzeige

Stefan Kanthak hat mir Sonntag eine Mail (Betreff 'Bei Mozilla haben mal wieder die VOLLIDIOTEN zugeschlagen') zukommen lassen, um mich auf den Sachverhalt hinzuweisen. Ich versuche mal die diversen Hintergrundinformationen zu sammeln und aufzubereiten.

Worum geht es?

Fefe hat es hier grob in seinem Blog aufgegriffen. Er geht auf das Thema DNS-Auflösung unter Sicherheitsaspekten ein. Er schreibt:

DNS hat zwei große Probleme. Erstens dass jeder auf dem Weg die Anfragen und Antworten sehen kann. Und zweitens dass man falsche Antworten auf anderer Leute Anfragen schicken kann.

Das erste Problem, dass jemand DNS-Anfragen mitlesen könnte, ist i.d.R. nicht sonderlich groß, wenn man den DNS-Server des deutschen Internet Providers verwendet. Dort kann man postulieren, dass NSA und andere Geheimdienste nicht unbedingt die DNS-Anfragen mitprotokollieren. Stellt man aber Googles 8.8.8.8 oder Cloudflares 1.1.1.1 DNS-Server zur DNS-Auflösung ein, sieht das schon anders aus. Die NSA kann sehr leicht Zugriff auf die beide IP-Adressen erhalten (die unterliegen US Recht) und so DNS-Anfragen abfangen und sogar manipulieren. Das Kernproblem ist bei Fefe in einem Nebensatz verpackt:

Firefox hat das gerade in ihren Browser eingebaut. Und zwar so, dass die Anfragen über Cloudflare gehen. NEEEIIIINNNN!!!! Damit ist Cloudflare ganz oben auf der Liste der für die NSA interessanten Firmen, und da könnt ihr mal einen drauf lassen, dass die die DNS-Daten da abgreifen werden. Zur Not nicht per Hack sondern per National Security Letter.

Die Redaktion von heise.de hat sich im Artikel zu DNS-over-HTTPS (DoH) am Rande mit dem Mozilla-Thema befasst (eine Erklärung des DNS-Mechanismus hat heise.de hier veröffentlicht). Zitat:


Anzeige

Mozilla ist vorgeprescht und hat nicht nur DoH bereits in Firefox eingebaut, sondern angekündigt, dass man darauf hinarbeite, alle DNS-Anfragen an Cloudflares DoH-Server zu senden.

Sprich: Jeder, der den Firefox verwendet, dessen Webseitenanfragen werden zur DNS-Auflösung über den Cloudflare DoH-Server aufgelöst – und es ist davon auszugehen, dass die NSA dies weidlich ausnutzen wird.

Momentan ist diese Funktionalität wohl nur in den nightly builds des Firefox-Browsers zu finden. Aber es muss davon ausgegangen werden, dass die Mozilla-Entwickler, egal, ob es Proteste gibt, das Ding bis zur Final durchziehen (der heise.de Artikel hier benennt Mozilla als ersten Großkunden von Cloudflare).

Cloudflare im Firefox ausbauen

Der Ungleich-Blog aus der Schweiz befasst sich im englischsprachigen Beitrag Mozilla's new DNS resolution is dangerous mit der Thematik. Im Artikel weist man darauf hin, dass Mozilla im Firefox die vom Benutzer im Router oder im Betriebssystem eingestellten DNS-Server überschreiben und allen Datenverkehr über den in den USA angesiedelten Cloudflare DNS-Server leiten will.

Im Blog-Beitrag wird dann auf diesen Hacker News-Beitrag referenziert und beschrieben, wie man im Firefox-Browser über die Eingabe der about:config die Konfigurierung aufruft. Dann sucht man den Eintrag network.trr und set den Wert auf:

network.trr.mode = 5

um die Verwendung des TRR-Modes (mit der Umleitung auf den Cloudflare-DNS-Server) zu verhindern. Im Blog-Beitrag finden sich noch weitere Informationen. Auch Martin Brinkmann hat das Thema vor einigen Stunden in diesem englischsprachigen Blog-Beitrag angesprochen.

Sieht so aus, als ob man demnächst auch einen Bogen um Mozilla und seinen Firefox (sowie den Thunderbird) machen müsste. Denn die Mozilla-Entwickler ecken immer mehr bei ihren Benutzern mit Test-Piloten und anderen unschönen Geschichten an.


Anzeige

Dieser Beitrag wurde unter Firefox, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

24 Antworten zu Mozillas Firefox DNS-Sündenfall …

  1. a; User sagt:

    Wozu die unnötige vom web aufgegriffene Aufregung.
    Einfach anderen Server, wie Secure s nutzen und gut.
    Das ganze ist übrigens schon etwas länger bekannt und gilt ebenso für Android bzw dem F-DROID Fork "Fennec"

    Außerdem lieber Firefox als Chrome

    • Günter Born sagt:

      Und wie viele Leute wissen das – so ganz ohne 'die vom Web aufgegriffene Aufregung' – und können, so um Mitternacht aus dem Tiefschlaf aufgeschreckt, direkt aus der Lameng einen anderen Server wie Secure s nutzen?

      • Holger sagt:

        Günter hat ganz recht, die Allgemeinheit bekommt davon nichts mit und dann gehen deren DNS-Anfragen eben allesamt an Cloudflare und dieses Unternehmen bekommt dann deren Surfverhalten frei Haus geliefert. Datengetriebenes Wirtschaftswachstum!!!

        Schon wieder ein grober Schnitzer von Mozilla. Sind da nur noch Idioten und Vollpfosten am Ruder?

        Mit solchen Klopsen machen die das Produkt nur noch weiter kaputt! Schon bei Pocket und anderem Blödsinn konnte ich mich nur noch an den Kopf fassen.

      • Thorky sagt:

        Wie wäre es denn damit, erst einmal Ruhe zu bewahren? Die Einstellungen befinden sich aktuell in der Firefox-Nightly und wer die benutzt, weiß für gewöhnlich genau, was er 0der sie tut. Falls das tatsächlich so irgendwann in einer stable erscheint, ist es doch früh genug, darüber zu motzen. Momentan ist das eine reine Testphase, an der gemessen an der Gesamtnutzerschaft des Firefox eine handvoll Menschen teilnimmt.

  2. Windoof-User sagt:

    Cloudflare DNS ist ein Forschungsproject (APNIC/Cloudflare) und alle DNS-Anfragen werden gespeichert und ausgewertet. Die Cloudflare-DNS IP-Addressen gehoeren "APNIC Research and Development" und wurden lediglich an Cloudflare ausgeliehen. Weitere Details finden sich unter https://blog.apnic.net/2018/04/02/apnic-labs-enters-into-a-research-agreement-with-cloudflare/

      • Ob oder welche Verbindung zwischen dem von CloudFlare betriebenen DoH-Server cloudflare-dns.com alias 104.16.112.25 und ihren "offenen" DNS-Servern 1.1.1.1 bzw. 1.0.0.1 alias 1dot1dot1dot1.cloudflare-dns.com existiert ist NICHT bekannt; es wäre allerdings ungewöhnlich, das ersterer die letzteren nicht benutzt.
        Ein "traceroute" zu allen Servern läuft jedenfalls über dieselben Knoten.

    • Herr IngoW sagt:

      Zu dem angegebenen Link wird bei mir folgendes angezeigt:

      Keine sichere Verbindung mit dieser Seite möglich
      Dies liegt möglicherweise daran, dass die Website veraltete oder unsichere TLS-Sicherheitseinstellungen verwendet. Wenn das Problem wiederholt auftritt, wenden Sie sich an den Besitzer der Website.
      Beim zweiten mal geht's jetzt.

  3. Ralph D. Kärner sagt:

    Super, wenn die Entwickler einer Software entscheiden, welcher DNS genutzt wird. Das freut doch jeden Netzwerkadmin…

  4. Cmd.Data sagt:

    So ein Mist.

    Welchen Browser kann man jetzt noch nutzen?

    P.S. Was passiert jetzt mit dem TOR-Browser, der ja ein Firefox ist?

    Damit wird die Grundidee des TOR-Browsers doch komplett ausgehebelt?

    Oder wird der Firefox für TOR neu kompiliert, ohne die Cloudflare-DNS?

    • Info sagt:

      Abwarten…

      Bleibt abzuwarten was passiert wenn man den Zugriff auf die Cloudflare DNS-Server (Normal und DoH) hartnäckig unterbindet. Wenn der Browser dann ganz den Dienst versagt – ist er halt nur noch Geschichte.

      Im Programmcode direkt enthaltene Verweise auf die IP-Adressen der Server lassen sich z.B. durch eine einfache "Windows-Firewall" "Programm-Regel" NICHT unterbinden! Es ist erforderlich die IP's oder am besten gleich den ganzen Cloudflare DNS-IP-Bereich / tcp / udp … (Normal und DoH) zu sperren.

      Das ganze IP basiert ebenfalls im WAN Router definieren.

      —————————–

      (Hilfreich ist auch evtl. dann die Deaktivierung sämtlicher Windows Tunneltechnologien(6to4, teredo, isatap)(netsh Interface…). Hardcore – auch gleich auf IPv6 verzichten).

  5. Ralf Lindemann sagt:

    Danke für die Informationen. Das muss man im Blick behalten. Glücklicherweise gibt es (noch) eine kritische Öffentlichkeit, die Entwicklern sofort auf die Finger haut, wenn sie bei der Weiterentwicklung prominenter Software-Projekte irgendwelchen Mist fabrizieren. Ob's hilft, weiß man leider erst nachher. Ich kann mich aber erinnern, dass Mozilla in der Vergangenheit häufiger versucht hat, irgendwelche komischen Sachen in Firefox zu implementieren (z. B. Werbung), nach empörten Reaktionen aus der Community aber regelmäßig einen Rückzieher gemacht hat.

  6. Info sagt:

    Was haltet Ihr den von "Simple DNSCrypt"(Installations- oder portable Version inklusive aktuellem dnscrypt-proxy)?

    Ein Verwaltungs-Programm für "dnscrypt-proxy".

    Macht einen guten Eindruck und vereinfacht den Einstieg und die Nutzung gesicherter DNS Abfragen. Recht individuell konfigurierbar und tut soweit ich es überprüft habe – was es soll.

    Verwende es hier auf einem Laptop mit Mobile USB-Stick.

  7. Etwas zu Mozillas Absichten gibt's unter "What is the status?" auf https://hacks.mozilla.org/2018/05/a-cartoon-intro-to-dns-over-https/
    Beachtet bei diesem Artikel aber die Einleitung: Mozilla schwafelt von "Privacy", lässt jedoch die durch Nutzung der Dienste eines US-amerikanischen Unternehmens möglichen Implikationen völlig aussen vor.

    Zur Implementation siehe https://daniel.haxx.se/blog/2018/06/03/inside-firefoxs-doh-engine/: auch Daniel Stenberg (Daniel ist der Autor von cURL) weisst leider NICHT auf die Nachteile hin.

    Die auf https://github.com/curl/curl/wiki/DNS-over-HTTPS#publicly-available-servers angegebenen "alternativen" DoH-Server sind alle keinen Deut weniger suspekt als der von Mozilla präferierte:

    * doh.securedns.eu könnte Otto Normalmissbraucher anhand der TLD .eu als
    "Aha, europäisch, da greift die DSGVO" einordnen.
    Dummerweise wird der Server von DigitalOcean betrieben, einer Firma mit
    Sitz in New York, USA.
    * doh.crypto.sx und dns.dnsoverhttps.net werden im Netz von CloudFlare betrieben.
    * doh.cleanbrowsing.org wird im Netz von Sucuri betrieben, ebenfalls eine US-Firma!

  8. Guido sagt:

    Wie wäre es, wenn man in FF die Funktion über die about:config außer Kraft setzt?
    network.trr.mode = 5

    Irgendjemand bei Mozilla will den Firefox-Browser wohl ganz schnell beerdigen…

  9. deo sagt:

    Bei den ESR-Versionen geht es konservativer zu und da werden neumodische Sachen erst später, wenn überhaupt eingeführt. Auf der Wikipedia Firefox Seite werden seit Anfang des Jahres nur noch die ESR-Versionen eingepflegt. Nur mal so als Anmerkung.
    https://de.wikipedia.org/wiki/Mozilla_Firefox

  10. Stefan sagt:

    Oder man wechselt auf Waterfox – hoffentlich werden dort diese Änderungen auch nicht eingebaut. Bisher war der ja besonders auf Datenschutz bedacht und hat schon die Telemetrie-Funktionen des FF ausgeschaltet.
    Bin nach FF56 (u.a. wegen Plugins) gewechselt und er funktioniert bei mir tadellos… Sicherheitsupdates vom FF werden auch eingepflegt.

  11. Steter Tropfen sagt:

    Also für mich ist Mozilla damit disqualifiziert. Nur noch indiskutabel. Gestorben.

    DNS-Server sind Vertrauenssache. Nicht umsonst betreiben Bürgerrechts-Initiativen wie digitalcourage.de eigene DNS-Server. Man kann sie nutzen, wenn man es für nötig hält, man kann auch jeden anderen nutzen oder es bei dem belassen, den der Provider standardmäßig eingestellt hat.
    Wenn nun ein Browser eigenmächtig – und auch noch klammheimlich – diese Wahl ignoriert und selbst bestimmt, über wen Anfragen abgewickelt werden, dann ist dem Missbrauch Tür und Tor geöffnet.
    Das ist ja wie die China-Version von Google!

    Allein dass Mozilla auf diesen anmaßenden Gedanken kommt, entlarvt den Laden in meinen Augen als dubios: Was bezwecken die damit?
    Ein Browser, der mich hintergeht, ist das Letzte für meine Kommunikation im www.

    – Zum Glück bin ich schon vor Jahren auf Pale Moon umgestiegen. Der funktioniert wie ein Firefox ohne all die albtraumhaften Veränderungen der letzten Jahre.

  12. brume sagt:

    >> Guido sagt:
    >>6. August 2018 um 14:36

    >>Wie wäre es, wenn man in FF die Funktion über die about:config außer Kraft setzt?
    >>network.trr.mode = 5

    Ist das korrekt so?

  13. RUTZ-AhA sagt:

    Ich kann mir nicht vorstellen, dass Mozilla so dämlich ist, diesen Bullshit in Firefox zu implementieren, ohne dem Nutzer eine Möglichkeit zum Deaktivieren / Blockieren einzuräumen.

    Die Ami 's sind inzwischen auch sensibler in Sachen Datenschutz, EU weit fallen sie damit garantiert auf die Schnauze.

    Bis jetzt hat Mozilla auf jeden Shitstorm reagiert, damit sind sie auch klug beraten.

  14. CharlesTet sagt:

    Exit 66 lol

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.