15/6/2020
Jeśli prywatność jest dla Ciebie ważna, ten artykuł może Cię zasmuci. Dwie najpopularniejsze przeglądarki działają w taki sposób, że twój dostawca internetu może zobaczyć to, czego szukasz w sieci. Nie pomoże ani ustawienie DoH (DNS-over-HTTPS) ani tryb prywatnościowy (Incognito).
Zdradziecki pasek adresowy
Problem z prywatnością (poufnością) fraz, jakich szukasz w internecie został opisany tutaj i występuje jeśli w pasku adresowym przeglądarki wpiszesz słowo (lub kilka słów oddzielonych myślnikami) i naciśniesz enter.
Poza zaprezentowaniem wyników wyszukiwania (po HTTPS), fraza jest przekazywana także do lokalnego serwera DNS, który dla większości osób będzie serwerem DNS dostawcy łącza internetowego. W takiej sytuacji dostawca internetu zyskuje dodatkową informację. Wie nie tylko na jaki serwis internetowy chcesz wejść, ale również to czego szukałeś. Różnica? Istotna. Samo wejście na serwis oferujący umówienie się do lekarza nie zdradzi dostawcy łącza internetowego tego, jakim specjalistą jesteś zainteresowany, a poznanie słowa kluczowego po którym na serwis trafiłeś (np. hemoroidy) już tak.
Problem z przekazywaniem słów z paska adresu przeglądarki zamiast do wyszukiwarki także do serwera DNS związany jest z zaszłością, jaką są jednowyrazowe domeny firmowe. Przeglądarka musi wtedy ustalić, czy użytkownik chce wejść na taką domenę, czy raczej wyszukać jakieś słowo. Ponieważ takie domeny nie są rozgłaszane na zewnętrznych DNS-ach (w tym po DoH), przeglądarka konsultuje lokalny serwer DNS.
Aby sprawdzić to, jakie słowa powędrowały do Twojego lokalnego serwera DNS, wydaj polecenie:
ipconfig /displaydns
Podsumowując — jeśli korzystasz z serwerów DNS dostawcy łącza, przeglądarek Chrome lub Firefox oraz wyszukujesz jednym wyrazem, właściciel serwera DNS otrzyma informacje o szukanym słowie kluczowym.
Co robić, jak żyć?
Twórcy Firefoksa zapowiadają, że dodadzą opcję, która pozwoli sterować zachowaniem przeglądarki w tym zakresie. Warto śledzić status bugów w projektach Firefoksa i Chrome.
Póki co rozwiązaniem będzie albo wprowadzanie bardziej “wrażliwych” wyszukiwań dopiero w pasek wyszukiwania po wejściu na stronę swojej ulubionej wyszukiwarki internetowej albo podmiana lokalnych DNS-ów z tych, które otrzymuje się po DHCP od dostawcy łącza, na inne. Ręcznie, wpisując ich adres IP. Do wyboru — w zależności od tego, komu bardziej ufacie — macie np.:
8.8.8.8 — Google
1.1.1.1 — Cloudflare
9.9.9.9 — Quad9
Alternatywą jest też skorzystanie z VPN-a i routowanie DNS-a do serwera DNS dostarczanego przez dostawcę VPN — wszystko jak widzicie, polega na wybraniu tego, komu bardziej ufacie. Operator DNS-a, nawet jeśli nie pozyska “słowa kluczowego” to i tak ma wiedzę, która może posłużyć do sprofilowania Was.
PS. A jeśli ktoś jeszcze nie włączył sobie w ustawieniach przeglądarki DNS-over-HTTPS, to zachęcamy do zakliknięcia tych opcji.
Weź udział z kolegami w jednym z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
Przy włączonym DNS-over-HTTPS jest ten sam problem?
Tak
Właściciel serwera DNS nadal widzi wszystkie zapytania
Nie wszystkie tylko 1 wyrazowe wyszukiwanie z paska adresu. Tak jak zostało wyjaśnione. Dla 1 wyrazowych słów przeglądarka musi sprawdzić czy chodzi o nazwę domeny czy o wyszukiwanie. Nie wpisuj jednowyrazowców w pasek adresu i będzie dobrze. Jak musisz szukać jednowyrazowe frazy to zrób to bezpośrednio w wyszukiwarce.
Problem rozwiązuje Tor Browser. Jednak w tym przypadku pojawia się problem wszędobylskiego Google reCaptcha.
Niebezpiecznicy, nie wiem który dodatek do Windowsa to u mnie robi, ale nie trafiają słowa do lokalnego DNS, a są zawsze wyszukiwane mimo, że wpiszę jedno.
Również nie działa mi “localhost” ale za to “localhost.” z ktopką działa poprawnie – pewnie domeny firmowe mi też zawoła z kończącą kropką – czy nie jest to oby dobre rozwiązanie problemu – ZAKOŃCZ KROPKĄ aby mieć domenę lokalną jednosłowną?
@Anon. Jeżeli masz ustawiony statyczny adres IP oraz DNS to FireFox nie będzie go odpytywał.
Też miałem taką zagwozdkę, gdy sprawdzałem PoC tego problemu :).
@Observer, w twoim przypaku, gdy wpisałeś prawidłową, wieloczłonową domenę to te lądowały ipconfig /displaydns? U mnie tam “zwykłe” domeny lądują a jednosłowne nie.
Czy skonfigurowanie DNS proxy na poziomie bramy domyślnej i konfiguracja aby nie przekazywał dalej zapytań z “jednowyrazowymi domenami firmowymi” załatwia sprawę w sieci domowej?
A co z polecanym przez Was Bravem? On podobnie jak Chrome i Firefox śle te dane?
Brave to złodzieje:
https://en.wikipedia.org/wiki/Brave_(web_browser)#Brave_browser_collecting_donations_on_behalf_of_content_creators
@asf
Jak widzę przyda się poprawić artykuł na Wikipedii, bo Brave zmienił działanie tego systemu już w 2019 na praktycznie opt-in dla twórców. Domyślnie wciąż auto contribute przydziela tokeny twórcom którzy się nie zarejestrowali, ale są one przechowywane w przeglądarce przez chyba kilka miesięcy i przez ten okres będzie ona sprawdzała co jakiś czas czy twórca się zweryfikował – jeśli nie, po prostu przestaje próbować.
Zresztą Tom Scott, który jest cytowany jest jako osoba rozpoczęła tę kontrowersję, napisał później że Brave naprawiło wszystko na co narzekał: https://twitter.com/tomscott/status/1085238644926005248?s=20
Czy ktoś może mi wyjaśnić, jak to się ma do faktu, że takie np. google przekazuje szukany string wprost w pasku adresu, czyli nawet jak wyszukam coś z poziomu okiprzeglądarki, a nie paska adresu przeglądarki to i tak trafiam na stronę, np.: https://www.google.com/search?q=niebezpiecznik więc dostawca i tak ma taką informację?
Jeśli łączysz się przez HTTPS, to bez szyfrowania leci tylko host, czyli część do pierwszego ukośnika.
@tomek
Zapewne wyszukiwarka w przeglądarce skonfigurowana jest tak, że przekazuje parametry metodą GET, a nie POST.
Czegoś tu nie rozumiem. Najpierw piszecie, że “nie pomoże ani ustawienie DoH (DNS-over-HTTPS)”, a później “zachęcacie do zaklikania tej opcji”. To jak w końcu jest? W Firefoxie włączenie tego możliwe jest domyślnie z serwerami Cloudflare.
Przed tym problemem nie pomoże. Ale wiele osób wciąż nawet tego nie ma zaklikniętego więc przez sieć zapytania DNS latają im niezaszyfrowane.
@Piotr Konieczny
A co w przypadku, gdy w routerze zamiast DNS-ów ISP-a mam ustawione np. Cloudflare?;>
Przestańcie już lepiej promować DNS-over-HTTPS (DoH). Czas na DNS-over-TLS, które ma mniejszy overhead i jest bliżej protokołu, niż proksowanie tego przez HTTP. Jedyny powód, dla którego w ogóle DNS-over-HTTPS weszło do użycia jest to, że przeglądarki “zupełnie przypadkiem” już miały zaimplementowany HTTPS.
DNS-over-HTTPS oznacza w praktyce, że już nie możecie wybrać operatora DNS (przeglądarka decyduje sama). Teoretycznie wprowadzono to po to, żeby operator łącza (np. pracodawca) nie mógł ingerować w rozwiązywanie nazw (i np. zablokować fejsa). Przy okazji również blokuje to działanie filtrów rodzicielskich, czy jakiegokolwiek sterowania DNSami w ramach LAN (na razie jeszcze przeglądarki mają opcje by DoH wyłączyć, ale jak długo?). Wszystko zmierza do tego, by dostawca przeglądarki miał pełną kontrolę nad jej użytkownikiem, a co najmniej pełną o nim wiedzę. Ot taka teoryjka mini-spiskowa…
Przeciez w przegladarce jest menu do wyboru serwera obslugujacego DoH. Mozna wybrac, niezaleznie od tego ktory jest systemowy. I nie jest sie skazanym na jeden.
Wystarczy ustawić sobie słowa kluczowe dla wyszukiwarek i poprzedzać każde wyszukiwanie słowem kluczem, np. “g hemoroidy”.
Dokładnie to samo miałem pisać. Też tak korzystam.
Polecam https://nextdns.io/ mają DNS-over-TLS do tego popularne blocklisty, które instalujemy jednym kliknięciem.
Skoro Chrome oraz Firefox miało ten problem, to ciekawe jak to wygląda na nowy Edge albo na polecanym Brave. Edge z tego co słyszałem jest oparty na rozwiązaniu Chrome, więc myślę iż jest to prawdopodobne
A nie wystarczy po prostu korzystać z pola wyszukiwania zamiast pola adresu?
8.26.56.26 – Comodo ;)
Jeśli link do wyszukiwania to example.org?q=szukane+hasło
to nic nas nie zabezpieczy :-)
Dlaczego? Taki link do example.org leci wewnatrz zaszyfrowanego zapytania. Operator nie zobaczy slowa kluczowego.
W źródle, w pliku “bug report”, w akapicie “other observation” autor znaleziska informuje, że problem dotyczy tylko i wyłącznie fraz wyszukiwania składających się z pojedynczego wyrażenia (np. hemoroidy, kupie-pasata, etc) i nie występuje w przypadku fraz składających się z większej ilości słów (“co to hemoroidy?”, “Ile kosztuje pasat?”, etc). Może nieuważnie czytam artykuł, ale wydaje mi się, że zarówno treść jak i tytuł artykułu pomijają ten szczegół?
Jest w artykule, w drugim akapicie “występuje jeśli w pasku adresowym przeglądarki wpiszesz słowo (lub kilka słów oddzielonych myślnikami)”
A jak to wygląda w Operze ?
Polecenie nie działa:
[xxx@xxx ~]$ ipconfig /displaydns
bash: ipconfig: command not found
:-P
Sorry, nie mogłam się powstrzymać :-)
Nie wiem, w jaki sposób korzystasz, że dostajesz ten błąd. Ja w Windowsie 10 (podejrzewam, że na wcześniejszych też się w ten sposób da) robię to w ten sposób:: wchodzę w menu Start -> wpisuję “cmd” (wielkość liter w nazwach plików nie ma znaczenia dla Windowsa i wielu innych systemów operacyjnych) -> uruchamiam z uprawnieniami administratora -> wpisuję “ipconfig /displaydns” (bez cudzysłowów) -> wciskam Enter i… zadziała. Spróbuj moją metodą.
Józef: Hmm… U mnie też nie działa. Jakim poleceniem uruchamiasz ten program “Windows 10”? On jest dostępny standardowo w Debianie, czy trzeba kompilować ze źródeł?
:)
Czy problem dotyczy również oddzielego paska wyszukiwania w Firefoxie? Być moze nie wszyscy wiedzą, ale da się nadal oddzielić pasek adresu od wyszukiwarki.
Czyli jeżeli wpiszę słowo, ale nie nacisnę Enter, to jestem bezpieczny? Bo często wpisuję słowa w pasku adresu, żeby przeszukać historię.
Nikt nie odpowiedział, to sam sobie odpowiem. Sprawdziłem tcpdumpem, że zapytanie DNS jest wysyłane dopiero po naciśnięciu Enter.
Hmm… nie umiem powtórzyć tego problemu – mam aktualn Firefox 77.0.1. Czego bym nie wpisywał w pasek adresowy (wiem – pojedyncze słowa, lub z myślnikami), to nie mam tego w displaydns. Poprawili? Jeśli tak, to ciekawe w jaki sposób. Aż sobie chyba dałngrejdnę liska żeby zobaczyć jak było.
A jaki masz DNS systemowy? Od operatora? Po DHCP?
Jednak jest!
Chodzi o to, że wpis w keszu jest dość krótko – trzeba w dobrym momencie wydać polecenie.
Najłatwiej mieć odpalony w tle zapętlony bat: tralalala.bat:
ipconfig /displaydns >> wynik.txt
tralalala.bat
Ładnie widać jak w pewnym momencie się pojawia, a potem znika.
Nie miałem różnicy czy po DHCP czy ręcznie.
moje przyzwyczajenie wpisywać słowo kluczowe (akronim) wyszukiwarki przed szukanym słowem jednak się do czegoś nadaje. przykładowo “g tajnesłowo” czyli z akronimem do szukania w google. Chromium ma wbudowane te słowa kluczowe.
Napisaliście:
“Aby sprawdzić to, jakie słowa powędrowały do Twojego lokalnego serwera DNS, wydaj polecenie: ipconfig /displaydns”.
No nie do końca, to polecenie wyświetli zawartość lokalnego resolvera, czyli:
– cache dns
– zawartość drivers/etc/hosts
No i miejmy na uwadze jeszcze TTL-e.
Co robić jak żyć? użyj Pi-hole
A to nie jest tak, że tylko pierwsze słowo leci? W takim wypadku problem ograniczony.
Ale imo najlepszy kompromis byłby taki:
– jeżeli fraza zawiera kropkę, wyślij zapytanie do serwera DNS od razu, wiadomo: szybkość najważniejsza
– jeżeli fraza nie zawiera kropki, zadecyduj dopiero po naciśnięciu klawisza enter:
— jeżeli fraza nie zawiera spacji (może zawierać slash i resztę URLa), sprawdź najpierw czy DNS nie zwraca poprawnej odpowiedzi dla takiego hosta
— jeżeli fraza zawiera spacje, od razu zabierz się za wyszukiwanie, nie sprawdzaj DNS
DNS przez TOR (Socks5)
To 4A. 4 i 5 bez sufiksów korzystają z IPków :)
Lame. Wystarczy użyć przeglądarki, która ma osobny pasek wyszukiwania oraz wyłączyć wyszukiwanie w pasku adresu. No i oczywiście nie próbować wyszukiwać w pasku adresu…
Polecam Pi-hole, można przy okazji odsiać sporo reklam.
A jeśli ktoś ma własną domenę (AD) i własne serwery DNS?
Ja używam (z zaszłości) tzw. ‘słowa kluczowego wyszukiwania’ wpisywanego w pasek adresu – np.:
g szukana fraza
a szukana fraza
gdzie litera g jest skojarzona z google, a z allegro itd…
W firefoxie daje się prawym klawiszem na polu wyszukiwania i wybiera ‘utwórz słowo kluczowe dla tej wyszukiwarki’. Powstało zanim dodano funkcję szukania z paska adresu a nawyk pozostał -)
Alternatywą jest też skorzystanie z VPN-a i routowanie DNS-a do serwera DNS dostarczanego przez dostawcę VPN —
Jak to zrobić ? (Routowanie DNS-a)
Na routerze mam ustawione 208.67.222.222, 208.67.220.220 (OpenDNS)
Na PC zainstalowany NordVPN a w nim ustawiony DNS na 103.86.96.100, 103.86.99.100 (NordVPN DNS). VPN protocol: OpenVPN (TCP), Auto-connect to P2P type NordVPN Servers. – jest dostępny też NordLYNX (WireGuard® VPN protocol) ale po jego włączeniu Comodo przestaje filtrować/blokować. Wbudowany w NordVPN Internet Kill-Switch ON. Do płatności używam tor-browser spod linuksa na Vmware.
Pytanie:
Jest sens instalować Simple DNSCrypt z https://simplednscrypt.org/ ?
Problemem nie jest tu get/post/VPN/https lub tez jego brak. Problemem jest sam protokół dns. Jeśli wpisujesz hemoroid w pasek adresu to kolejno system sprawdza czy jest taki wpis w pliku hosts, jeśli nie ma to następnie dopytuje serwer dns (bo serwer dns może serwować każdą nazwę domenową, w której jest ciąg znaków mieści się w rfc dns, z tąd wpis o myślnikach. Nie ma domen np hemoroid_pl czy takich że spacją) jeśli serwer dns nie zwróci żadnego rekordu (i tu jest problem, że w logach serwera dns operatora pozostanie zapytanie o domenę hemoroid wraz z ip z którego to zapytanie przyszło) to dopiero wtedy następuje zapytanie do wyszukiwarki której query i tak posiada dostawca tej wyszukiwarki. Dość zabawnym jest czytac, że VPN w jaki kolwiek sposób mógłby rozwiązać problem, gdyż tak długo jak jest skonfigurowany jakiś dns, tak długo zapytanie o domenę hemoroid pozostanie w czyichś logach. To samo jeśli chodzi o własny serwer dns (np wspomniany pi hole), który wciąż musi być karmiony informacjami z jakiegoś źródła (nawet jeśli z samych root serwerów dns-a).
Nie wiedzialem, ze jestem az tak niszowy…
Po kiego grzyba szukac z paska *adresu* jak strony wyszukiwarek laduja sie raz i przez ulamek sekundy a potem mozna wyszukiwac do woli…?
Czy tylko dla mnie jest oczywiste, ze mieszanie “danych” (wyszukiwane frazy) i “kodu” (adres) w jednym polu moze byc niebezpieczne?
Od ładnych kilku wersji firefoxa zarówno na komputerze i i komórce mam ustawione:
network.trr.mode 3
network.trr.custom_uri https://1.1.1.1/dns-query
i w systemie operacyjnym wcale nie musi być ustawionego dns aby przeglądarka działa poprawnie. W którym miejscu będą widoczne próby odwołań do serwera DNS ustawione pod systemem operacyjnym?
Druga kwestia to samo ustawienie serwera DNS pod systemem operacyjnym nie wiele zmienia dla dostawcy który może ruch z portu 53 przepuścić przez wybrany serwer DNS a nie ten który został ustawiony.
Poprawność zmian czy toi z systemu operacyjnego czy DOH można sprawdzić na stronie https://www.dnsleaktest.com/
W sieci lokalnej można postawić własny DNS, który iteracyjnie odpytuje serwery autorytatywne. To rozwiąże też inne problemy jak chociażby “blokowanie” przez ISP na żądanie KNF niektórych domen.
Ja tak się zastanawiam, jak by to było gdyby wszyscy byli mega SECURE, czy tak fajnie by było z tym internetem. Ja nie chodzę po stronach XXX, nie kradnę oprogramowania, nie mam nic za uszami więc mi to wisi. Bardzo jestem zadowolony z dzisiejszych udogodnień, odciski palca płatności, google maps, podpowiadanie zapomnianych URL wszystko jest super.
Ci co się boją polecam Win3.11 i będzie mega secure i nawet pracować będzie można. Już nie przesadzajmy, jak się komuś krzywda stanie, a nie będzie kamer na ulicach to co wtedy zrobicie ? niestety takie są czasy i udogodnienia mi się podobają. Przykład ostatniego zachowania 18 latka który staranował rowerzystów , gdyby nie kamera w kolejnym samochodzie gówno by mieli na niego. W operze można sobie włączyć VPN , można się zabezpieczać , ale DNS nie wyłączycie, poprostu dajecie dane komuś innemu. Wolę dać je profesjonalnej firmie, niż Panu xsinskiemu
Nie tyle SECURE co PRIVATE :) Chociaż dobrze mieć oba naraz…
Jeżeli komuś wisi, to ok, jak to jego świadoma decyzja. Problem jest taki, że nie każdemu wisi i nie każdy decyduje świadomie. Obecnie podejście większości przesuwa Okno Overtona w dość paskudnym kierunku. I doszliśmy do takiego absurdu, że prywatność, która powinna być jednym z podstawowych praw ludzi, staje się ekskluzywną wiedzą tajemną dostępną tylko dla wtajemniczonych, głównie jakichś technicznych speców. Nie powinno się w ogóle dopuścić do takiej sytuacji, kiedy człowiek niezwiązany z IT w praktyce NIE MA MOŻLIWOŚCI wyboru. A to co domyślne, jest koszmarem pod względem prywatności. Tylko co “nie-techniczny” człowiek ma z tym zrobić? Jak ma sporo szczęścia, to może ma bardziej techniczne osoby w otoczeniu, które jeszcze muszą być chętne żeby mu pomóc. Zresztą nawet “techniczny” nie musi być przecież specem od wszystkiego, a kierunek, w jakim podąża technologia, sprawił, że potencjalne zagrożenie jest już z prawie każdej strony. To nie powinno być akceptowalne, żeby zyskanie elementarnego przywileju spokojnego snu musiało wiązać się z podejmowaniem miliardów bardziej czy mniej złożonych działań.
Jak ktoś chce “wygody”, jego decyzja. Tylko niech inni też mają wybór.
Tak, takie są czasy… w których coraz bardziej odechciewa się żyć…
Jak ustawić DoT w Windowsie 10? Może być coś open source?
Wspólny pasek adresu i wyszukiwania to duże nieporozumienie.
Też tak uważam.
Połączenie tych dwóch funkcji spowodowało, że wielu nietechnicznych nawet nie wie, CO TO JEST adres strony, bo wpisują tylko frazę i oczekują na wynik z wyszukiwarki.
Tacy ludzie są – między innymi przez to – bardzo podatni na phising.
ipconfig /displaydns
bash: ipconfig: nie odnaleziono polecenia…
Odnalezienie pliku się nie powiodło: GDBus.Error:org.freedesktop.DBus.Error.NameHasNoOwner: Could not activate remote peer.
Ok, potrolowałem trochę. Dostawca widzi prawie wszystko, tutaj pokazujecie że łatwo może poznać jeszcze więcej. Dla osób bardziej technicznych nie powinno to być żadnym zaskoczeniem. Po komentarzach widzę, że takie teksty są potrzebne. Tak więc dobra robota :-)
Co do DNS nie podaliście najlepszej opcji jaką jest OpenDNS, od lat korzystam z ich dns’ów:
208.67.222.222
Nie ma takiego polecenia:
host@gosc:~$ ipconfig /displaydns
bash: ipconfig: nie znaleziono polecenia
Z jakiego pakietu to jest?
Ten problem rozwiązuje dnscrypt-proxy. Nie techniczni na Windowsie mogą się wspomóc Simple DNSCrypt.
Osobiście nie używałem i nie używam paska adresu do wyszukiwań. W FF jest do tego osobny pasek wyszukiwania i jego powinno się używać.
Ciekawe jest jeszcze jedno: używamy socks proxy z ustawieniem
network.proxy.socks_remote_dns=true więc każde zapytanie powinno lecieć przez proxy. W moim przypadku również wpisanie pojedynczego słowa do paska adresu wysyła zapytanie do systemowego dns.
To polecenie dotyczy widowsa. DNS można sprawdzić za pomocą “vi /etc/hosts” o ile ktoś nie używa dns proxy-crypt wtedy nic tam nie ma , osobiście także polecam proxy-crypt – można samemu skonfigurować jakie DNS będą przydzielane.
Serio w 2020 ktoś j jeszcze używa windows??
w ff: browser.fixup.dns_first_for_single_words;false
Nie wystarczy używać operatorów Google np +dobry +lekarz -urolog? ;) Albo “niebiezpiecznik” +firefox itp
Jak wytłumaczyć sytuację, ze oglądając film na stronie bez logowania, a później uruchamiając go na zupełnie innym komputerze, film uruchomił się na scenie, na której zakończył się na pierwszym komputerze?
A co z Pi-hole??? Szkoda że o tym nie napisali. :(