Foro Confederac.io

Cloudflare al nostre Firefox?

privacidad
softwarelibre
internet

#1

Aquest any Cloudflare va llençar el seu servei de DNS gratuït 1.1.1.1 assegurant que era més ràpid que el de Google o el d'OpenDNS, més tard ens hem adonat que la fundació Mozilla treballa amb Cloudflare per integrar aquest servei amb el nou protocol DoH (DNS over HTTPS). Aquest nou protocol busca solucionar un problema del protocol DNS, les peticions que fem al visitar un lloc web viatgen normalment sense xifrar i amb un atac man-in-the-middle es podria llegir l'informació.

Normalment els serveis de DNS que fem servir son els del nostre ISP, pero amb el protocol Trusted Recursive Resolver (TRR) que incorpora Firefox activat qualsevol canvi que tinguis fet en la teva xarxa per resolre els DNS no serviran de res quan naveguis amb el navegador de Mozilla ja que aquesta tasca serà redirigida directament al servei de Cloudflare.

Aquí tenim el primer problema, encara que segons el blog de Mozilla Cloudflare ha signat un contracte molt estricte per protegir la nostre privacitat i que Cloudflare promet esborrar tots els registres cada 24 hores no podem oblidar que aquest servei està en terres nord-americanes i que està subjecte a les seves lleis.

Recordem que Cloudflare va ser senyalat per Anonymous en el 2015 per mantenir serveis on el ISIS es comunicava i va respondre cridant als seus acusadors "nens de 15 anys a les màscares de Guy Fawkes", també se l'acusa de mantenir serveis de spam.

Que podem fer al respecte amb el nostre navegador si no desitgem que aquesta empresa controli la resolució de DNS?, podem desactivar el protocol TRR.

  • Escriu about:config a la barra d'adreces del navegador
  • Cerca network.trr
  • Canvia network.trr.mode a 5 per desactivar-lo completament

Que significa aquesta opció? Repasem les diverses opcions disponibles...

  • 0 . Desactivat (per defecte). Per utilitzar el resoledor del sistema operatiu.
  • 1 . Carrera nativa contra TRR. Feu tots dos en paral·lel i aneu amb el que retorna primer un resultat. Probablement guanyarà el natiu.
  • 2 . Primer. Utilitzeu TRR per primera vegada, i només si la resolució segura falla utilitzant el resoledor del sistema operatiu.
  • 3 . Només. Utilitzeu TRR solament. No utilitzeu mai el natiu (després de la configuració inicial).
  • 4 . Correu el TRR es resol en paral·lel amb el natiu, però només utilitza els resultats del resoledor natiu.
  • 5. Apagat per elecció Aquest és el mateix que 0 però el marca com ho fa per elecció i no es fa de manera predeterminada.

Si volguesim mantenir el TRR activat però sense rastre de Cloudflare un altre opció és deixar el valor de network.trr.mode a 3 i canviar l'opció network.trr.uri amb el servei que volem fer servir per exemple https://doh.crypto.sx/dns-query, aquí he trobat una llista de servidors públics

En conclusió, el protocol DNS over HTTPS és molt interessant de cara a la nostra privacitat, només em de tenir cura amb qui tractem el nostre historial de navegació. Si coneixeu algun altre mètode o coneixeu algun servidor DoH fiable ens ho podeu fer saber als comentaris.


Este es un tema de discusión derivado de la entrada https://surtdelcercle.cat/index.php?view=blog&id=25

#2

Moltes gràcies!

Jo tinc Firefox ESR 52.9.0 i aquesta opció network.trr no em surt. Correcte?


#3

#4

Ostres, gracies per avisar. Em sembla molt bestia!

Només faig un petit recordatori sobre el cloudflare des del fedivers. Cloudflare va censurar una de les instancies més grans (?) de mastodon, el switter, sense donar una raó sensata. Per no dir que es per que es la instancia dedicada a les traballadores del sexe.
Més en anglès:

Salut i gracies per l’article!


#5

Correcte llavors encara no incorpora aquesta opció, en properes actualitzacions que són cada 6 setmanes crec en el ESR ves vigilant que no estigui activat per defecte si un cas. :wink:


#6

Gràcies per l’aportació, vaig buscar info al respecte perquè sabia que hi havia algo de censura per part d’aquesta empresa i no vaig sapiguer trobar-ho.


#7

He actualitzat a 60.2.0esr. network.trr.mode tenia valor 0 abans que toqués res. Ara ja l’he canviat a 5.

No acabo d’entendre els avantatges / desavantatges de triar 3 i llavors escollir un servidor que no conec de res…


#8

Es per si coneixes un servidor de resolució de DNS amb suport per DoH de la teva confiança, el podries afegir a la configuració.


#9

El cas és que canviant-ho a 5 em sortia que, per exemple, http://kaosenlared.net/ no connectava, quan amb un altre navegador accedia sense problemes. Vaig tornar a canviar-lo a 0 i tot va tornar a funcionar…


#10

Doncs desactivat ja no passa per Cloudflare, a mi amb el 5 em funciona bé. De totes maneres el que trec d’ensenyança jo aquí es que no tenim un servidor per resoldre DNS de confiança, ni Cloudflare, ni Google, ni el ISP son de fiar i OpenDNS que tinc jo configurat tampoc tinc garanties.


#11

Jo també tinc ara mateix OpenDNS però no me n’acabo de refiar. Free DNS seria millor? El vaig posar ahir i l’he tret perquè em semblava que m’anava més a poc a poc, però no puc assegurar que fos això o una altra cosa paral.lela.


#12

També acabo de fer lo de posar el network.trr el valor a 5. Espero no haver trencat res. El que veig és que és força complicat perquè ho puguin fer les persones “normals”. Creia que seria més fàcil canviar aquesta configuració.


#13

El tema des DNS jo ja no se en qui debem confiar, sabem del cert que en Google y Cloudflare no però i tots aquests altres com OpenDNS o FreeDNS són més de fiar? OpenDNS es cisco systems ara.

Jo no tinc aquest tema molt controlat.


#14

Jo tampoc, malauradament :frowning: Vaig provar FreeDNS però no m’acabaven d’anar gaire fins… Ara faig servir els by default d’Ubuntu perquè, de tant canviar DNS, em trobava que cada dos per tres se’m desconfigurava i em desapareixien els DNS…