Firefox permitirá a otras empresas saber qué páginas visitas

Software

Firefox va a incluir dos nuevas funciones en su navegador: DNS over HTTPS (DoH) y Trusted Recursive Resolver (TRR). La compañía afirma que ambas funciones van a aportar un mayor nivel de seguridad a la hora de navegar por Internet, pero en realidad la segunda función puede añadir muchos problemas.

DNS a través de HTTPS y TRR: dos nuevos problemas para los usuarios de Firefox

Como sabéis, un DNS lo que hace es convertir una dirección web a una dirección IP. Cuando escribimos una web en la barra de direcciones, el servidor de DNS que tengamos preconfigurado nos resuelve la dirección y nos lleva a la web que hemos escrito. El navegador sabe a qué servidor de DNS te conectas, lo cual no suele ser un problema porque muchos usuarios usan las DNS de sus operadores, lo cual no les da ninguna información adicional que no conozcan ya.

Sin embargo, algunos usuarios cambian las DNS por diversos motivos, como saltarse bloqueos de webs o para tener el tráfico cifrado. Firefox quiere hacer esto pasando el tráfico DNS por HTTPS. El problema es que, con TRR, da igual qué DNS tengamos puestos, que todas nuestras resoluciones van a pasar por los servidores de Cloudflare, con sede en Estados Unidos. Esto permitiría a la empresa conocer todas las páginas web que visitamos.

Aunque es cierto que TRR ayuda a que las resoluciones no se hagan a través de un servidor de DNS sin protección (por ejemplo, en una red WiFi pública), en el caso de que un atacante se haga con el control del servidor de DNS puede llevarte a páginas web falsas para hacer ataques de phishing. O si las DNS de Cloudflare se caen, el usuario se queda sin poder navegar.

Que todo tu tráfico pase a través de una compañía puede ser peligroso

A nivel técnico, lo que esto hace es añadir un Single Point of Failure (SPOF): un punto que, si falla, toda la infraestructura falla. Además de los problemas que generaría su caída, lo que está haciendo a efectos prácticos es acabar con el anonimato en la red. Si el gobierno estadounidense quiere obtener datos de uno o varios usuarios, tiene todo el poder legal para hacerle la petición a Cloudflare; y esta última está obligada a dárselos.

Esta función se encuentra actualmente disponible en las últimas nightlies de Firefox, por lo que si los usuarios se quejan lo suficiente es posible que decidan no incluirla en futuras versiones estables. La función se encuentra activada por defecto, y para desactivarla tenemos que ir a about:config, buscar network.trr, y poner network.trr.mode = 5 con el fin de proteger nuestra privacidad. Si cambiamos a 2 en lugar de a 5, se activa DoH.

DoH estará activado por defecto en Firefox a partir de septiembre, y para evitar problemas, Mozilla dice que lo que hará será resolverlas con el DNS por defecto, además de enviar también la solicitud a los servidores de Cloudflare. El navegador comparará los resultados de ambos para corroborar que la página que se está visitando es la correcta. Si a la compañía realmente le importa la privacidad, debería permitir a los usuarios elegir el proveedor de DNS que quieran.

Escrito por Alberto García

Fuente > Ungleich

Continúa leyendo
  • Alvaro Canteiro

    Pues una observación, Cloudflare no geolocaliza asi que en determinadas resoluciones del tipo CDN/Akamai va a provocar que la IP resultante de la consulta de Cloudflare no sea la misma que en el caso del DNS del ISP o Google/OpenDNS.

    En el caso de otros DNSs publicos que no geolocalizan, como UltraDNS, Norton o Comodo Shield, va a resultar que al no geolocalizar la IP resultante es facil que sea distinta de la que devuelva cloudflare.

    Asi que en este caso, que va a ser frecuente, ¿Que sucedera?.

  • rube

    Dep mozilla

  • Yllelder

    A ver si lo he entendido. Yo tengo unas DNS personalizadas y Firefox se lo pasa por el forro y me obliga a usar unas que ellos creen convenientes. ¿Es así?

    • locoel22

      No

  • Lucas65

    Lo que me parece increíble es la falta de rigurosidad e incluso falta de información = desinformación, de este artículo. Verdades a medias en el mejor de los casos, el autor no tiene mucha idea de lo que está hablando.

    “todas nuestras resoluciones van a pasar por los servidores de Cloudflare, con sede en Estados Unidos. Esto permitiría a la empresa conocer todas las páginas web que visitamos.”

    Completamente falso. Es cierto que FF es ya en las versiones build con DoH de forma nativa, de modo que el usuario PUEDE USAR el servidor DNS DoH QUE QUIERA. Mozilla por defecto, recomendará el servidor de CloudFlare, precisamente por cuestiones de privacidad, PERO EL USUARIO puede escoger de cualquier modo que servidor DNS DoH usar. A eso hay que sumarle que dicha característica NO SERÁ HABILITADA POR DEFECTO, será una opción más a usar.

    “permitiría a la empresa conocer todas las páginas web que visitamos.”

    Obviamente, al igual que cualquier servidor DNS que se use, empezando los del propio ISP, los de Google, los de OpenDNS… Los de CloudFlare no son los que mas me gustan en lo personal, pero al menos puede consultarse la política de retención de datos, que son 24 horas.

    No hay absolutamente nada de que quearse, implementar DoH directamente en el navegador es una ENORME y buena noticia, no hay un sólo lado negativo.

    “A nivel técnico, lo que esto hace es añadir un Single Point of Failure (SPOF): un punto que, si falla, toda la infraestructura falla”

    Vamos a ver… en primer lugar, a pesar de que se envía la petición a una sola URL en el caso de DoH, eso no quiere decir que sólo exista un servidor DNS en CloudFlare. Las DNS de Google, 8.8.8.8, tienen decenas de replicas en el mundo. Es totalmente falso eso de SPOF. En primer lugar si existe un problema con un servidor concreto, otra replica responde por él. En segundo lugar, por defecto, si por el motivo que fuese fallase la resolución, Firefox usa un failover y realiza una petición convencional.

    • Angel Franch

      No es cierto que “no hay un solo lado negativo”. En configuraciones Split DNS, la resolución mediante DoH impedirá el acceso a recursos internos. Cuando el hostname no resuelva externamente, funcionará el failover, pero cuando el DNS resuelva un recurso de forma distinta, nos devolverá la resolución externa impidiendo el acceso al recurso interno.

  • ruverav

    Otro artículo más desinformando e intentando generar pánico entre los usuarios:

    1- Si creo haber leído bien en Bugzilla, Trusted Recursive Resolver (TRR) va a ir desactivado por defecto. Lo más seguro, en un momento dado, Firefox te ofrecerá la posibilidad de activarlo, tal y como hace o hacía Opera con su VPN gratuito.

    2- Aún si no fuera el caso, se podrá desactivar desde las opciones o en el about:config, además de cambiar el DNS 1.1.1.1 por defecto de CloudFlare por el que queramos. Con este cambio, Mozilla lo único que hace es añadir resolución de dominios sobre un canal cifrado a nivel de aplicación con el fin de incrementar la seguridad.

    Recordemos que es DNS sobre HTTPS y no DNS normal, por lo que los datos viajan cifrados de punto a punto. Por lo tanto, es más seguro que usar un servidor DNS sin cifrado de Google o de nuestro proveedor de Internet. Además CloudFlare se ha comprometido con Mozilla a no retener los datos de los usuarios pasadas las 24h (esto sí es más dado a herir susceptibilidades, aunque, repito, se va a poder desactivar sin ninguna duda).

    3- Los dominios localhost y los acabados en el TLD .local seguirán resolviéndose con los DNS establecidos a nivel del adaptador de red o de la puerta de enlace a Internet (router). Por lo que en ese sentido los desarrolladores tampoco tenemos que preocuparnos de no poder acceder a nuestras dominios inventados para nuestras pruebas internas.