c't 9/2024
S. 14
Aktuell
DNS-Leck
Bild: Collage c‘t

Falsche Sicherheit

DNS-Leck: Browser ignorieren Windows-Konfiguration

Viele Browser und Anwendungen verschicken kritischen DNS-Verkehr ungeschützt am Betriebssystem vorbei, obwohl Windows diese Daten verschlüsseln soll. Ursache ist eine nicht zu Ende gedachte Automatik.

Von Ronald Eikenberg und Dušan Živadinović

Wenn Sie möglichst sicher und privat surfen möchten, sollten Sie Ihre DNS-Anfragen verschlüsseln, denn diese sind ein kritischer Bestandteil Ihres Netzwerkverkehrs. Die Anfragen geben einen intimen Einblick in Ihr Surfverhalten, wenn sie ungeschützt sind. Darüber hinaus sind sie ein gefundenes Fressen für Angreifer: Sind DNS-Anfragen unverschlüsselt, können Dritte sie manipulieren, um Verkehr auf beliebige Server umzulenken.

Die meisten Betriebssysteme und Browser können daher den DNS-Verkehr seit einigen Jahren verschlüsseln. Es gibt sogar mehrere Methoden: Zu den verbreiteten gehört DNS-over-HTTPS (DoH), das die DNS-Kommunikation durch einen TLS-Tunnel zum Resolver schickt. Diesen Schutz können Sie ab Windows 10 in den Netzwerkeinstellungen mit wenigen Klicks einschalten. Doch eine kaum bekannte Automatik in Google Chrome und anderen Chromium-Browsern kann diese Einstellung unbemerkt unterlaufen, sodass der DNS-Verkehr der Browser trotzdem im Klartext durch die Leitung abfließt.

Kommentare lesen (8 Beiträge)