In about:config gibt es den Eintrag network.trr.uri. Dort steht momentan die DoH-Resolveradresse von Cloudfare. Darin liegt übrigens auch eine Gefahr, denn Schädlinge können diesen Eintrag im User-Kontext ändern und fortan surft der Benutzer über den DoH-Resolver des Angreifers.
Man kann auch network.trr.mode auf "0" setzen, dann ists aus. (2=DoH zuerst benutzen, DNS als Fallback, 1=nimm was schneller ist, 3=nur DoH)
Das Problem, ein Schädling, der network.trr.uri ändern kann, kann auch network.trr.mode ändern. Und das passiert im Benutzer-Kontext und ist durch administrative Rechte nicht verhinderbar!
Das heißt, Angreifer können darüber ganz einfach Benutzer dazu bringen, ihre Resolver zu nutzen, Onlinebanking oder so umzuleiten, ohne dass man anhand der URL Verdacht schöpfen kann.
Ich sehe das als ein riesen Problem.
Mich würde jetzt mal interessieren, ob man das verhindern kann. In einer Windows-Domäne kann man diese Einstellung per GPO für Firefox vorgeben, und dann ist sie vom Benutzer nicht mehr änderbar. Ohne Domäne geht es vielleicht über lokale Gruppenrichtlinie, wenn man das Firefox ADMX importiert? Linux-Nutzer haben aber keine Gruppenrichtlinie, über die sie das verhindern können?
Und wie sieht es bei Chrome aus? Und zukünftig Chromium-Edge?
Das Posting wurde vom Benutzer editiert (28.03.2019 16:18).