Pelancaran terbaru DNS-over-HTTPS (DoH) Firefox untuk Android telah mencetuskan perbincangan teknikal mengenai pendekatan terbaik untuk privasi DNS. Sementara Mozilla meraikan kejayaan membawa pertanyaan DNS yang dienkripsi kepada pengguna mudah alih, komuniti mempersoalkan sama ada pelaksanaan peringkat pelayar menawarkan kelebihan sebenar berbanding keupayaan sistem Android yang sedia ada.
Peningkatan Prestasi:
- Carian DoH 61% lebih pantas sepanjang tahun (persentil ke-75)
- Masa resolusi DoH kini dalam lingkungan 1-2 milisaat berbanding DNS natif
- Tersedia dalam Firefox 143 untuk Android
- Pada masa ini diaktifkan secara lalai di AS dan Kanada (desktop)
Kepercayaan dan Kawalan: Hujah Privasi Teras
Perdebatan utama tertumpu kepada pengagihan kepercayaan merentasi lapisan perisian yang berbeza. Ahli komuniti berhujah bahawa DoH peringkat pelayar mengurangkan bilangan pihak yang perlu dipercayai oleh pengguna berbanding pelaksanaan peringkat OS. Apabila Android mengendalikan DoH, pengguna berpotensi mendedahkan pertanyaan DNS mereka kepada vendor OS, pengilang peranti, dan mana-mana aplikasi VPN yang disepadukan dengan API rangkaian sistem. Pelaksanaan pelayar mengehadkan pendedahan ini terutamanya kepada vendor pelayar.
Walau bagaimanapun, kelebihan ini datang dengan kaveat. Pengkritik menunjukkan bahawa pengguna kekal bergantung kepada vendor perkakasan dan sistem pengendalian tanpa mengira tahap pelaksanaan. Perbezaannya terletak pada sama ada komponen peringkat bawah ini boleh mengakses nama domain yang boleh dibaca atau hanya trafik yang dienkripsi dan alamat IP.
Alat Privasi Android yang Bocor Menimbulkan Kebimbangan
Kebimbangan ketara muncul mengenai kebolehpercayaan pelaksanaan privasi Android. Perbincangan komuniti menyerlahkan kes-kes yang didokumentasikan di mana alat privasi VPN dan DNS Android gagal menghormati tetapan keselamatan dengan betul. Kegagalan ini boleh menyebabkan trafik DNS bocor di luar terowong yang dienkripsi, terutamanya apabila aplikasi menggunakan fungsi sistem tertentu yang memintas perlindungan VPN sepenuhnya.
Google dilaporkan tidak menangani beberapa isu ini dan tidak menganggap jenis kebocoran trafik tertentu sebagai pepijat. Rekod prestasi ini mengukuhkan hujah untuk enkripsi DNS peringkat pelayar yang bebas yang tidak bergantung kepada alat privasi peringkat sistem yang berpotensi terjejas.
Pertukaran Prestasi Berbanding Pemusatan
Perkongsian Mozilla dengan Canadian Internet Registration Authority ( CIRA ) telah menghasilkan peningkatan prestasi yang mengagumkan, dengan carian DoH kini 61% lebih pantas sepanjang tahun hingga kini. Kemajuan ini menangani kebimbangan awal mengenai DNS yang dienkripsi menyebabkan pelayaran menjadi perlahan.
Walau bagaimanapun, komuniti kekal berpecah mengenai risiko pemusatan. Pendekatan Trusted Recursive Resolver Firefox menumpukan trafik DNS di kalangan pembekal yang lebih sedikit, walaupun penyokong berhujah ini menawarkan keselamatan yang lebih baik melalui perkongsian yang disemak. Pendekatan alternatif, seperti sistem naik taraf automatik pembekal yang sama Chrome, mengekalkan kepelbagaian resolver sedia ada sambil menambah enkripsi apabila tersedia.
Firefox menggunakan set resolver yang disemak dan ditentukan terlebih dahulu, jadi kurang terdedah kepada bentuk serangan ini. Saya katakan 'kurang terdedah' kerana secara lalai ia akan kembali kepada DNS sistem apabila gagal, tetapi anda boleh mengkonfigurasi kegagalan keras.
Tahap Perlindungan DoH Firefox:
- Perlindungan Lalai: Firefox memutuskan bila hendak menggunakan DNS selamat secara automatik
- Perlindungan Dipertingkat: Pengguna mengawal penggunaan DNS selamat dan pemilihan pembekal
- Perlindungan Maksimum: Sentiasa menggunakan DNS selamat dengan amaran keselamatan sebelum beralih kepada DNS sistem
- Tutup: Menggunakan penyelesai DNS lalai tanpa penyulitan
Faedah Privasi Terhad Tanpa Perlindungan Tambahan
Pakar teknikal menekankan bahawa DoH sahaja memberikan perlindungan privasi yang tidak lengkap. Tanpa sokongan Encrypted Client Hello ( ECH ), nama domain sering kekal kelihatan dalam jabat tangan TLS, menjadikan enkripsi DNS kurang berkesan terhadap pengawasan rangkaian. Komuniti melihat DoH sebagai satu komponen dalam pakej privasi yang lebih luas dan bukannya penyelesaian yang lengkap.
Had ini amat relevan untuk pengguna yang ingin memintas penyekatan laman web peringkat ISP, di mana DoH boleh berkesan, berbanding mereka yang bimbang tentang privasi pelayaran yang komprehensif, di mana langkah tambahan diperlukan.
Perbincangan mencerminkan ketegangan yang lebih luas antara kemudahan, prestasi, dan privasi dalam pelayaran web moden, tanpa konsensus yang jelas mengenai pendekatan optimum untuk keperluan pengguna dan model ancaman yang berbeza.
Rujukan: Firefox DNS privacy: Faster than ever, now on Android