DNS-Leck: Browser ignorieren Windows-Konfiguration
Viele Browser und Anwendungen verschicken kritischen DNS-Verkehr ungeschützt am Betriebssystem vorbei, obwohl Windows diese Daten verschlüsseln soll.
Wenn Sie möglichst sicher und privat surfen möchten, sollten Sie Ihre DNS-Anfragen verschlüsseln, denn diese sind ein kritischer Bestandteil Ihres Netzwerkverkehrs. Die Anfragen geben einen intimen Einblick in Ihr Surfverhalten, wenn sie ungeschützt sind. Darüber hinaus sind sie ein gefundenes Fressen für Angreifer: Sind DNS-Anfragen unverschlüsselt, können Dritte sie manipulieren, um Verkehr auf beliebige Server umzulenken.
Die meisten Betriebssysteme und Browser können daher den DNS-Verkehr seit einigen Jahren verschlüsseln. Es gibt sogar mehrere Methoden: Zu den verbreiteten gehört DNS-over-HTTPS (DoH), das die DNS-Kommunikation durch einen TLS-Tunnel zum Resolver schickt. Diesen Schutz können Sie ab Windows 10 in den Netzwerkeinstellungen mit wenigen Klicks einschalten. Doch eine kaum bekannte Automatik in Google Chrome und anderen Chromium-Browsern kann diese Einstellung unbemerkt unterlaufen, sodass der DNS-Verkehr der Browser trotzdem im Klartext durch die Leitung abfließt.
Das Problem fiel uns während detaillierter Analysen des Netzwerkverkehrs eines Testrechners auf. Obwohl in Windows-Einstellungen die DNS-Verschlüsselung eingeschaltet und die Option "Fallback auf Klartext" ausgeschlossen war, gingen ausgerechnet beim Surfen etliche DNS-Anfragen unverschlüsselt raus.
URL dieses Artikels:
https://www.heise.de/-9696386
Links in diesem Artikel:
[1] https://www.heise.de/hintergrund/DNS-Sicherheit-Automatischer-Schutz-fuer-Jedermann-Domains-9803841.html
[2] https://www.heise.de/hintergrund/DNS-Leck-Browser-ignorieren-Windows-Konfiguration-9696386.html
[3] https://www.heise.de/hintergrund/Luecken-in-der-DNS-Verschluesselung-finden-und-schliessen-9674907.html
[4] https://www.heise.de/hintergrund/Admin-Know-how-Das-Domain-Name-System-erklaert-9592007.html
[5] https://www.heise.de/ratgeber/Infrastructure-as-Code-DNS-Eintraege-mit-Terraform-setzen-9547746.html
[6] https://www.heise.de/tests/Rethink-Firewall-und-DNS-Filter-verbessert-die-Android-Privatsphaere-8515081.html
Copyright © 2024 Heise Medien