firefox läßt einem ja die wahl...

zw cloudflare, nextdns und benutzerdefiniert...
beides sind wohl us-dienste...
welches ist datenschutzmäßig der bessere dienst?...

Natürlich Benutzerdefiniert ;)

Die Frage wird sein, was irgendwann dann die default-Einstellung ist.

DoH oder DNS ?

Rulf schrieb:
--------------------------------------------------------------------------------
> welches ist datenschutzmäßig der bessere dienst?...

Keiner. Der beste Dienst ist der DNS Server deines ISPs, weil niemand auf den Weg dahin deine DNS Anfrage sehen (oder verändern) kann, außer dein ISP und die sehen sie ja sowieso am Server. Denn der DNS Server deines ISPs logt keinerlei Anfragen, das darf er gar nicht.

Die ganzen Argumente für DoH treffen nur auf Nutzer zu, die einen öffentlichen DNS Server außerhalb des Netzes ihres Providers nutzen und so ist das DNS System aber nicht gedacht. Deine DNS Anfragen sollten nie das lokale Netzwerk oder das Netz deines ISPs verlassen. Wenn der DNS Server dann die Antwort nicht kennt, dann startet der von sich aus eine Anfrage und sucht nach der Antwort, aber in dieser Anfrage taucht nirgendwo deine IP auf, d.h. für wen ein DNS Server gerade eine Antwort sucht, das kann ein externer Beobachter unmöglich wissen.

Alle zentralen DNS Server hingegen loggen irgendwelche Daten der DNS Anfragen mit. Cloudflare, Quad9 und Google sowieso (ist bei denen auch offen dokumentiert, dass sie das tun). DNS ist extra dezentral ausgelegt, damit es sicher und robust ist und genau diesen Vorteil macht aber DoH zu Nichte. Schön dass jetzt alles verschlüsselt ist, dafür liegt die Kontrolle jetzt in der Hand weniger zentraler Dienste bei denen alle Anfragen zusammen laufen und die damit alles überwachen und alles blockieren kann. Und rate mal zu wem die NSA in Zukunft zuerst gehen wird? 100 Mio DNS Server weltweit können sie nicht unter ihre Kontrolle bringen, aber die DoH Server von einem Dutzend Anbietern, das ist kein Problem, solange die für US Behörden greifbar sind. Und die Verschlüsselung geht ja nur bis zum Server, auf dem Server selber ist alles unverschlüsselt und damit weiß die NSA genau wann du dort welche Domain abgefragt hast.

/Mecki

/mecki78 schrieb:
--------------------------------------------------------------------------------
> Denn der DNS Server deines ISPs
> logt keinerlei Anfragen, das darf er gar nicht.

Gibt's das irgendwo zum nachlesen? Danke.

tschick schrieb:
--------------------------------------------------------------------------------
> Gibt's das irgendwo zum nachlesen? Danke.

Im Telekommunikationsgesetz.
https://www.gesetze-im-internet.de/tkg_2004/index.html

Dort ist genau festgelegt was ein ISP wann und für wie lange speichern darf und wozu diese Daten hinterher genutzt werden dürfen und wozu nicht.

Dabei muss man wissen, die Paragraphen § 113a und § 113b wurden vom BVerfG aufgehoben. Was dort steht ist nichtig, da es laut BVerfG gegen Art 10 Abs 1 des Grundgesetzes verstößt.

Grundsätzlich gilt: Ein Anbieter darf nur protokollieren, wenn dieses Abrechnungszwecken dient, technisch notwendig bzw. unvermeidbar ist oder der Gefahrenabwehr dient (z.B. Schutz vor Hacker).

Nichts davon trifft auf DNS Anfragen zu. Die werden nicht abgerechnet, es gibt keinen technischen Grund hier irgendwas zu protokollieren und mit einer normalen DNS Anfragen kann ein Angreifer keinen Schaden anrichten.

Lediglich wenn 1000 DNS Anfragen die Sekunde von der gleichen IP kommen, dann könnte der ISP das loggen als möglichen DoS Angriff, aber auch dann braucht er nicht loggen welche Domains hier angefragt wurden (die sind eh zufällig bei so einem Angriff), weil das ist irrelevant, sondern er loggt dann halt nur, dass er glaubt einen DoS Angriff von IP a.b.c.d gesehen zu haben und wie viele Anfrage pro Zeit eingegangen sind.

ISPs sind schon alleine deswegen nicht daran interessiert das zu loggen, weil hier Unmengen an Daten anfallen würden (was glaubst du wie viel GB da am Tag zusammen kommen bei einem großen ISP!) und sie hinterher gar nichts mit den Daten anfangen können, denn was sollen sie bitte damit tun, was nicht gegen die DSGVO verstoßen würde? Also warum GB-weise nutzlose Daten loggen?

/Mecki

das mag alles stimmen, aber leider steht der dns-server meines providers in de und unterliegt somit deutschem recht...dh er muß alle von der obrigkeit gesperrten seiten sperren...nicht das ich auf solche gehen würde, aber es geht ums prinzip...tja und bis zum provider müssen die daten auch erst mal durchs netz laufen...

/mecki78 schrieb:
--------------------------------------------------------------------------------
> Rulf schrieb:
> ---------------------------------------------------------------------------
> -----
> > welches ist datenschutzmäßig der bessere dienst?...
>
> Keiner. Der beste Dienst ist der DNS Server deines ISPs, weil niemand auf
> den Weg dahin deine DNS Anfrage sehen (oder verändern) kann, außer dein ISP...

Wenn ich DoH oder DoT nutze, kann auch niemand auf dem Weg meine DNS-Anfragen sehen. Warum der eigene ISP der beste DNS-Dienst sein soll erschließt sich mir nicht.

> ... und die sehen sie ja sowieso am Server.

Hm? Du meinst, weil ich mich zu einer IP-Adresse verbinde, kannst du herausfinden, auf welcher Webseite ich bin? Dann sag mir mal, auf welcher Webseite ich war, mein Browser hat sich eben zu 104.27.187.89 verbunden incl. ESNI, sprich die Domain wird nicht verraten via SNI... Keine Chance mehr, dass mein ISP oder Hotel-Wifi-Betreiber weiß, wo ich hinsurfe.

> Denn der DNS Server deines ISPs logt keinerlei Anfragen, das darf er gar nicht.

Wo steht das genau? Und wird sich dran gehalten, wenn der BND anklopft?