APNIC文摘—加密DNS無法阻止竊聽和審查(下)

如上篇所述,研究團隊為加密DNS訊務設計一項新功能,並設定兩種情況來評估其有效性,結果是新功能可以有效地識別來自DoH訊務的網頁。此外,團隊認為審查者不僅要能找到被訪問的頁面,還需盡快找到它,以防止使用者下載內容。對審查者來說最佳的狀況是,列入黑名單頁面的DoH紀錄具有唯一的起始模式,因為這個原因,當通訊開始僅觀察到幾個封包時,團隊會分析DoH紀錄的唯一性。在DNS加密的情況下,審查者必須在準確度和附帶損害之間找到折衷方案,研究顯示,黑名單中不受歡迎的頁面,可以進行精確的審查且附帶損害較低。 閱讀全文 “APNIC文摘—加密DNS無法阻止竊聽和審查(下)”

APNIC文摘—加密DNS無法阻止竊聽和審查(上)

本APNIC文摘原標題為Eavesdroppers and censors can still monitor what you’re viewing even if you’re using encrypted DNS,由洛桑聯邦理工大學資訊科學博士生Sandra Siby撰文。

今(2019)年四月域名系統的訊務達到5兆個DNS交易次數,創下歷史新高,這大批交易都以明文顯示,讓網路服務供應商(Internet Service Providers, ISPs)、自治系統(Autonomous systems, ASes)或國家級機構可執行用戶追蹤、大規模監視和審查,為加強隱私保護,網路治理組織、相關產業行為者和標準化機構將DNS-over-TLS(DoT)和DNS-over-HTTPS(DoH)兩項協定標準化。 閱讀全文 “APNIC文摘—加密DNS無法阻止竊聽和審查(上)”

APNIC文摘—DoH和DoT不影響網頁載入時間

本APNIC文摘原標題為Page load times not affected by DoH and DoT,由普林斯頓大學資訊科學博士生Austin Hounsel撰文。多數DNS查詢和回應是以明文(Do53)傳輸的,因此容易遭到竊聽和訊務分析,另外,DNS查詢會洩露敏感資訊,例如瀏覽紀錄或智慧居家中的用戶活動。為了減輕隱私風險,DNS-over-TLS(DoT)和DNS-over-HTTPS(DoH)兩種協定被提出,這些協定不是以明文發送查詢和回應,而是在客戶端和resolver之間建立加密隧道,這種根本性的改變對DNS的性能和內容傳遞都有影響。 閱讀全文 “APNIC文摘—DoH和DoT不影響網頁載入時間”

APNIC文摘—量測DNS Flag Day的影響

2019年2月1日啟動的DNS Flag Day,主要是DNS服務供應商共同協議結果並承諾不再提供變通辦法給尚未支援標準EDNS協定(Extension mechanisms for DNS的權威伺服器(authoritative name servers)。有關DNS Flag Day的運作可參考DNS Flag Day之成果文章。

本篇APNIC文摘主題為「量測DNS Flag Day的影響」,作者量測重點沒有放在待修復的權威伺服器上,反而從解析器(resolver)的觀點,觀察 DNS Flag Day 前後這些解析器的行為改變 閱讀全文 “APNIC文摘—量測DNS Flag Day的影響”