Unter bestimmten, noch nicht ganz geklärten Umständen verliert der Raspberry Pi 4 sein WLAN-Signal. Es deutet sich an, dass HDMI in Verbindung mit hohen Auflösungen eine Rolle spielt. Aber auch das gilt nicht als einziger möglicher Auslöser
HDMI als Auslöser?
Bereits im August tauchten im RasPi-Forum erste Berichte über den Verlust des WLAN-Signals mit dem RasPi 4 auf. Anwender berichteten vom Verlust des WLAN-Signals im Zusammenhang mit angeschlossenen HDMI-Displays. Überschritt die gewählte Auflösung eine bestimmte Pixelzahl, so verabschiedete sich das WLAN.
Ein Anwender berichtet, dies passiere bei 1920 × 1080, die meisten Berichte sprechen jedoch von 2.560 × 1.440 Bildpunkten. Ein Techniker der Raspberry-Pi-Stiftung mutmaßte, dies könne bei ungenügender Abschirmung des verwendeten HDMI-Kabels geschehen. Der derzeit letzte Post in diesem Thread stellt aber auch HDMI als einzige Ursache infrage.
Umfassende Tests
Der Debian-Entwickler Enrico Zino, der gerade an einem Projekt arbeitet, um dem RasPi 4 als Informationssystem einzusetzen, stolperte auch über das Problem und unternahm umfassende Tests, um dem Fehler auf den Grund zu gehen. Sein Blogeintrag hatte auch weitere Untersuchungen zur Folge. Zini selbst testete mit drei verschiedenen Platinen und zwei Kabeln, vier unterschiedlichen Netzteilen, verschiedenen SD-Karten und Raspbian-Versionen. Auch er stellte fest, die Auflösung von 2.560 × 1.440 Bildpunkten sei der Auslöser. Eine Lösung, die auch mit dieser Auflösung stabiles WLAN bietet, gibt es derzeit nicht.
Zweiter Hardware-Fehler
Damit weist der Raspberry Pi bereits den zweiten Hardware-Bug auf. Bereits kurz nach dem Erscheinen des aktuellen RasPi 4 wurde ein Fehler entdeckt, der im Design des Boards liegt. Durch eine fehlerhafte USB-C-Implementation, bei der für zwei Pins des USB-Ports nur ein Widerstand verwendet wird, wo derer zwei benötigt würden, verweigern manche Ladegeräte den Dienst.
Während nach einigen Verspätungen die ersten Vorserienexemplare des Librem 5, des ersten von Grund auf entwickelten Linux-Smartphones, an die Vorbesteller ausgeliefert werden, hat Nicole Faerber, technische Leiterin bei Purism, in einem Blogeintrag erklärt, warum das Librem 5 seinen Preis hat.
Librem 5: Der Preis der Freiheit
Der Preis von mittlerweile 699 US-Dollar (599 für frühe Unterstützer) wird oft kritisiert, wenn Leute sich fragen, warum sie so viel für ein Mittelklasse-Smartphone zahlen sollen, wenn sie ein technisch ähnlich ausgestattetes Gerät für weniger als die Hälfte kaufen können.
Die schnelle Erklärung ist, dass das Librem 5 kein Smartphone von der Stange ist. Als die Entwicklung 2017 begann, hatten die Entwickler bei Purism eine Idee, welche Eigenschaften das fertige Produkt haben sollte. Die Software sollte völlig frei sein. Die Hardware sollte vermeiden, dass der Besitzer überall, wo er geht und steht verfolgt und in seiner Privatsphäre verletzt wird.
Baukasten mit Binärblobs
Üblicherweise, wenn ein Unternehmen ein neues Smartphone plant, wendet er sich an einen Ausrüster wie Mediatek oder Qualcomm und stellt sich das zu produzierende Gerät im Baukastensystem zusammen und erhält möglichst alle Komponenten aus einer Hand. Diese Hersteller haben alle wichtigen Komponenten eines Smartphones hochintegriert auf einem Chip versammelt. Dazu wählt man dann noch Bildschirm, Kamera und Speicher.
Dieses hohe Maß an Integration führt dazu, dass Komponenten wie das Breitbandmodem oder der WLAN-Chip zur Laufzeit auf den gleichen Hauptspeicher zugreifen, in dem die persönlichen Informationen der Nutzer gespeichert werden. Da in diesem integrierten Chip die Firmware der Hersteller in binären Modulen vorliegt, deren Funktion nur der Hersteller kennt, war dies kein gangbarer Weg, die Ideen von Purism zu verwirklichen.
Von Grund auf neu entworfen
Also begann man von vorne und entwarf ein Mainboard von Grund auf, das es erlaubt, Komponenten, denen man nicht vertrauen kann, von der CPU zu separieren und auf M.2-Karten zu platzieren. Als Kern wählten die Entwickler die CPU i.MX8M von NXP, die zu diesem Zeitpunkt noch nicht einmal am Markt verfügbar war.
Die gesamte Infrastruktur um diese CPU herum musste in Form von Treibern neu geschrieben und in den Mainline-Kernel eingebracht werden. Aber damit nicht genug. Zu Beginn gab es auch kein fertiges Betriebssystem, das man verwenden konnte. Purism entschied sich gegen das in einem frühen Stadium vorhandene Plasma Mobile des KDE-Projekts und entschied sich, das auf Debian basierende PureOS, das auf den Notebooks von Purism läuft, für die mobile Plattform anzupassen. Auch dort begann das Team von Vorne, denn GNOME verfügte über keinerlei Mobilplattform.
Dass jetzt erste Geräte ausgeliefert werden, bedeutet, dass sich die Grundlagenarbeit der rund 15 Entwickler sowohl bei Hard- als auch bei Software auszahlt. Hier wurde Grundlagenarbeit geleistet, die zeitnah in den Linux-Kernel einzieht und somit auch anderen Projekten einfach zugänglich ist.
Ein anderes Smartphone
Um den Preis des ersten freien, die Privatsphäre achtenden Smartphones zu würdigen muss man sich von der verbreiteten Sichtweise »Hauptsache es läuft und ich habe alle Apps« verabschieden und sehen, dass hier eine Entwicklung zu einer anderen Art Smartphone-Ökosystem eingeleitet wurde, die gerade erste Früchte trägt, aber noch längst nicht abgeschlossen ist.
Die in Teltow bei Berlin beheimatete Firma Nitrokey stellte heute den neuen Nitrokey FIDO2 vor. Der FIDO2 beherrscht Zwei-Faktor-Authentisierung (2FA) und kann zudem für den passwortlosen Login verwendet werden, wenn der Dienst oder die Software dies bereits unterstützt. Zudem verfügt der neue Nitrokey über einen Schutz vor Phishing.
Zwei-Faktor-Authentisierung
Die Nutzung der Zwei-Faktor-Authentisierung hat in den letzten Jahren stark zugenommen und immer mehr Webseiten, webbasierte Dienste und Firmen bieten diesen zusätzlichen Schutz vor Hackern an. Der Nitrokey FIDO2 bietet mit starker Kryptographie sicheres 2FA, das auf die nicht unbedingt sichere SMS als zweiten Faktor verzichtet und auf U2F setzt, das mittlerweile in CTAP1 umbenannt wurde.
Login ohne Passwort
Beim passwortlosen Login handelt es sich um 2FA in Verbindung mit einem Geräte-Pin. Das ermöglicht das Anmelden ohne Passwort bei Windows 10 Pro, MS Office 365, OneDrive und weiteren Online-Diensten, die bereits FIDO2 unterstützen.
FIDO2
Im Hintergrund ist dafür der seit März 2019 beschlossene Internet-Standard FIDO2 zuständig. FIDO steht dabei für Fast IDentity Online. FIDO2 basiert auf den Komponenten WebAuthn des World Wide Web Consortium (W3C) und dem »FIDO-Client-to-Authenticator-Protocol« (CTAP).
Anders als mit der Single-Sign-on-Technik von Google, Facebook und anderen gibt man hierbei nicht ungewollt Daten an die Unternehmen weiter. Dabei ist die Nutzung einfach gehalten. Nach der einmaligen Konfiguration für die entsprechenden Accounts mittels eines beliebigen Webbrowsers wird das Anmelden über einen Knopf am per USB eingesteckten Nitrokey erledigt. Alternativ bietet sich die Pin-Eingabe an.
Wachsende Akzeptanz
Derzeit ist die Akzeptanz von FIDO2 noch in einem relativ frühen Stadium, aber neben Online-Diensten wie Facebook, Twitter oder YouTube sind auch Cloud-Anbieter wie Nextcloud, Dropbox und Google Drive sind allerdings bereits mit von der Partie.
Ab sofort zu bestellen
Nitrokey bietet verschiedene Sicherheits-Token an, die als Open-Source-USB-Sticks ausgelegt sind und neben der Authentifizierung via 2FA unter anderem eine sichere E-Mail- und Festplattenverschlüsselung bieten und Signierung von Daten ermöglichen. Bereits vor über einem Jahr ging Nitrokey eine Partnerschaft mit Notebook-Hersteller Purism ein. Der nun neu dazugekommene Nitrokey FIDO2 kann ab sofort im Shop von Nitrokey für 29 Euro bestellt werden.
GIMP steht für GNU Image Manipulation Program. Es ist ein kostenloses pixelbasiertes Grafikprogramm, das Funktionen zur Bildbearbeitung und zum digitalen Malen von Rastergrafiken beinhaltet. Es ist freie Software und eines der Aushängeschilder von Linux. Gimp erschien erstmals bereits 1995, sodass der Name mittlerweile als Markenzeichen gilt, wenn es um Bildbearbeitung unter Linux geht.
Unliebesame Wortbedeutung
Für deutsche Anwender mag es wenig ersichtlich sein, aber das Akronym GIMP hat in der englischen Sprache auch eine Wortbedeutung. Es steht abwertend für körperlich behinderte Menschen oder für Trottel und erhielt durch den Film Pulp Fiction auch eine sexuelle Bedeutung im Sinne von Sexsklave.
Fast ein Vierteljahrhundert nahm daran kaum jemand Anstoß. Die Entwickler wedelten Beschwerden, wenn sie denn auftraten, mit der Aussage ab, es handle sich in ihrem Fall ja nicht um ein Wort, sondern ein Akronym.
Glimpse statt GIMP
Damit ist es nun vorbei, denn nach langen unergiebigen Diskussionen, die auf GitLab begannen und weiter auf HackerNews und auf Mastodon geführt wurden, haben einige Entwickler unter der Leitung von Bobby Moss wegen des Namens einen Fork von GIMP namens Glimpse initial veröffentlicht.
Marketinggründe
Menschen, echte Menschen in der realen Welt, benutzen die Software deshalb nicht.
Leonora Tindall, Software-Entwicklerin
Die Kern-Entwickler von GIMP sprachen sich von Anfang an gegen eine Umbenennung aus, da der Name seit vielen Jahren für das Projekt steht.
Genau aus Marketinggründen will der Fork das Projekt jetzt umbenennen. Die Entwicklerin Leonora Tindall führt ins Feld, sie habe bereits zwei Mal versucht, eine Empfehlung für GIMP an Lehrkräfte im Grafikbereich zu geben, die dies aber abgelehnt hätten, da der Name der Software nicht für den Klassenraum tauge. Das kann ich mir im prüden Amerika sogar gut vorstellen, aber was kann die arme Software dafür?
Völlig legitim
Software zu forken ist natürlich völlig legitim und führt wie im Fall von LibreOffice oft zu besserer Software. In diesem Fall wage ich das allerdings zu bezweifeln. Es ist keine leichte Aufgabe, den Fork einer Software wie GIMP aktuell zu halten. Zudem erscheint mir die Motivation dem Gedankengut der Social Justice Warrior zu entspringen, denen es bereits gelang, Linus Torvalds an die Kette zu legen.
Mir erscheint das Ganze genauso absurd wie die Diskussion um alteingesessene Apotheken, die den Mohr im Namen führen. Solcherart politische Korrektheit ist mir stets ein Dorn im Auge.
Seit einigen Jahren tummeln sich neue Paketformate im Linuxland. Flatpak, Snap und AppImage bringen alle benötigten Abhängigkeiten direkt im Paket mit und sind somit distributionsübergreifend einsetzbar.
Weitere Vorteile sind, dass in einer Distribution Pakete installiert werden können, die neuere oder ältere Bibliotheken erfordern als das Gastsystem bietet. Man denke nur an die gerade aus den Distributionen verschwindenden Python 2 oder Qt4.
Flatpak, Snap, AppImage und AUR
Im Sommer erschien in der Manjaro-Community ein Tool namens fpakman, um Flatpaks gezielter grafisch verwalten zu können. Das mittlerweile zu Bauh umbenannte Tool wurde seither erweitert und kümmert sich nun unter einer gemeinsamen Oberfläche zusätzlich um Snap, AppImage und Pakete aus dem AUR von Arch Linux und seinen Derivaten.
Einfach Pip
Mittlerweile ist die in Python und Qt5 geschriebene und auf GitHub gehostete Anwendung nicht nur unter Manjaro, wo sie seit 18.1 vorinstalliert ist oder unter Arch Linux verfügbar, sondern auch unter Debian, Ubuntu und deren Abkömmlingen. Dort wird sie über den Pip-Installer installiert
Nach dem Start von Bauh erscheint ein Verwaltungsfenster, in dem Anwendungen gesucht, installiert, gestartet, aktualisiert oder deinstalliert werden können. Einige Anwendungen können abhängig von ihrem Paketformat auch herabstuft werden. Zunächst scannt die Anwendung nach installierten Paketen der unterstützten Paketsysteme. Sind Anwendungen darunter, für die ein Update vorliegt, wird dieses ebenfalls angezeigt.
Luft nach oben
Bauh ist ein noch sehr junges Projekt mit Potenzial, das künftig noch weitere Formate unterstützen will. Eine Einschränkung gibt es derzeit für AppImages. Diese werden nur erkannt, wenn sie per AppImageHub installiert wurden. Beim Design ist noch einiges an Luft nach oben.
Bessere Übersicht
Bauh behebt einen Mangel, den sowohl GNOME Software als auch Plasma Discover aufweisen, wenn man diese denn überhaupt nutzt. Diese Anwendungen bieten zwar Unterstützung für Snap und Flatpak, allerdings gehen deren installierte Anwendungen in der Menge der über das Paketsystem installierten Anwendungen unter. Hier bietet Bauh in der Beschränkung auf alternative Formate eine wesentlich bessere Übersicht.
Eine Umfrage unter den Anwendern von Sailfish X im vergangenen Sommer betraf auch die Bereitschaft der Anwender, auf neuere Modelle zu wechseln. 63 Prozent der Teilnehmer taten ihre Bereitschaft dazu kund.
Familienzuwachs
Hersteller Jolla gibt als Reaktion darauf in seinem Blog die sofortige Verfügbarkeit von Sailfish X für Sony Xperia 10 und Xperia 10 Plus bekannt. Darüber hinaus ist das mobile Betriebssystem bereits für Xperia XA2, Xperia XA2 Plus, Xperia XA2 Ultra, Xperia X und den Gemini PDA verfügbar.
Standardmäßige Verschlüsselung
Die beiden Neuzugänge sind die ersten der unterstützten Geräte, die per Sailfish X mit standardmäßig aktivierter Verschlüsselung der Anwenderdaten ausgestattet sind. Die Geräte bieten zudem alle Neuerungen des kürzlich veröffentlichten Sailfish OS 3.2.0 »Torronsuo«.
Android-Apps unterstützt
Der Umstieg auf neue Geräte wird auch mit fortgesetzter Unterstützung für Android-Apps belohnt. Im Gegenzug wird diese nämlich für das Xperia X oder ältere Geräte wie das Jolla C nicht auf Android 8.1 angehoben. Dies stellt laut Jolla einen erheblichen Mehraufwand an, den zu leisten Jolla sich momentan nicht in der Lage sieht.
Bis zum 31. Dezember bietet Jolla Sailfish X für alle unterstützten Geräte für einen von 49.90 auf 29.90 Euro reduzierten Preis an. Eine Testversion steht kostenfrei zum Download bereit.
Das Debian-Projekt hat am Wochenende rund zwei Monate nach dem Update auf 10.1 die derzeit stabile Veröffentlichung Debian 10 »Buster« einer weiteren planmäßigen Aktualisierung auf Debian 10.2 unterzogen, wie den aktuellen Debian-News zu entnehmen ist.
Sicherheit und Paketfehler im Fokus
Die Aktualisierung behebt, wie bei solchen Punkt-Releases üblich, hauptsächlich aufgelaufene Sicherheitsprobleme seit dem letzten Update, zusammen mit ein paar Anpassungen für schwerwiegende Probleme in Anwendungen. Diese Anpassungen werden in den Punkt-Releases nur dann vorgenommen, wenn keine Regressionen zu befürchten sind.
Debian 10.2 durchschnittlich groß
Das Update auf Debian 10.2 behebt insgesamt 49 Sicherheitsprobleme und korrigiert Fehler in 64 Paketen. Die Sicherheitsprobleme betrafen neben dem Kernel unter anderem Apache2, Chromium, Firefox ESR, Thunderbird, LibreOffice, OpenSSL, OpenSSH und PHP 7.3. Die Behebung von Fehlern betraf den Debian-Installer sowie unter anderem die Pakete Akonadi, Flatpak, GNOME-Shell, NetworkManager, Postfix, Python 2.7 sowie Systemd.
Bitte zeitnah aktualisieren
Anwender, die häufiger Updates einspielen, werden viele der Änderungen bereits eingespielt haben. Ansonsten spielen Bestandsanwender die Updates am sichersten überdie Kommandozeile mit dem Befehl apt update && apt dist-upgrade ein. Für Neuinstallationen werden in den nächsten Tagen sukzessive frische Images bereitgestellt.
Debian 10 »Buster«
Debian 10 »Buster« wurde nach mehr als zwei Jahren Entwicklung am 6. Juli 2019 freigegeben. Neben aktualisierten Paketen und Desktop-Umgebungen hat Debian 10 auch einige wichtige Änderungen und Weiterentwicklungen unter der Haube aufzuweisen. Dazu zählen unter anderem UsrMerge, Gnome mit Wayland als Standard und die Einführung von Secure Boot. Standard-Desktop ist GNOME 3.30.
Nicht nur bei Smartphones, auch bei den kleineren Gadgets fürs Handgelenk drängt Open Source in angestammte Reviere von Wear OS und Apple Watch. Noch ist es allerdings ein weiter Weg, bis freie Software auch bei Smartwatches am Handgelenk tickt. Die derzeit bei Pine64 in Entwicklung befindliche Smartwatch PineTime machte hier einen Anfang.
Bangle.js: Smartwatch zum Hacken
Einen interessanten neuen Ansatz bietet die Kickstarter-Kampagne zu Bangle.js, einer Smartwatch, die auf einfache Art und Weise auf Software-Ebene erweiterbar sein will. Das Finanzierungsziel von 12.500 britischen Pfund war in wenigen Stunden erreicht und steht nun kurz vor 400 Prozent mit noch 13 verbleibenden Tagen. Die Smartwatch ist mit rund 55 Euro recht günstig.
Leicht zu erweitern
Die Erweiterung soll über die Installation von Apps aus dem Netz sowie über selbst erstellte Apps geschehen. Hierzu kann entweder JavaScript, die bei Google entwickelte grafische Programmiersprache Blockly oder Node RED verwendet werden.
Kopf der Kampagne ist der Entwickler Gordon Williams mit seiner Maker-Plattform Espruino, der in Zusammenarbeit mit NearForm Research Bangle.js verwirklicht.
Hardware von der Stange
Das Design basiert auf dem SoC nRF52832 von Nordic Semiconductors, der auf einer ARM Cortex-M4 CPU basiert und Bluetooth 5 unterstützt. Bangle.js ist wasserdicht und KI-fähig und wird mit Bluetooth Low Energy, GPS, einem Pulsmesser, Beschleunigungssensor, 3-Achsen-Kompass und einigem mehr geliefert. Die Bangle soll zudem bis 10 Meter Wassertiefe dicht sein.
Weitere innere Werte umfassen 64 KByte RAM sowie 512 KByte Flashspeicher. Das 5 x 5 x 1.7 cm messende Gehäuse beherbergt zudem einen Piezo-Speaker und einen Vibrationsmotor sowie einen 350mAh Akku mit einer Woche Standby. Das 16-Bit LC-Display ist 1,3-Zoll groß, löst mit 240 × 240 Bildpunkten auf und bietet eine Touch-Oberfläche mit zwei Zonen.
TensorFlow Lite an Bord
Ist die Hardware auch von der Stange, so läuft auf der Bangle.js Open-Source-Software von Espruino sowie eine Miniversion des Frameworks TensorFlow Lite für maschinelles Lernen (ML) von Google. Damit konnte ein ML-Algorithmus implantiert werden, der der Smartwatch Unterstützung für Gestenerkennung ermöglicht, sodass Nutzer Anwendungen mit Handgesten steuern können.
Bangle.js ist ein Projekt zum Experimentieren und Hacken. Das Gehäuse ist schnell mit dem Lösen von vier Schrauben geöffnet. Der Nutzer kann sich aber genauso gut auf Apps aus dem Store beschränken, der bereits jetzt rund 40 Apps enthält. Weitere Informationen vermittelt der Artikel samt Interview auf Hackster.
Das Blog wird am Samstag, 16.11. 2019 ab etwa 08:00 für einige Stunden nicht erreichbar sein. Der darunterliegende Server wird aktualisiert. Der Hoster Internetwerk schreibt: Das Betriebssystem wird auf Debian 9 aktualisiert, HTTP/2 und PHP 7.3 wird aktiviert und die Hardware wird eingehend geprüft. Die mittlerweile stark veraltete PHP-Version PHP 5.4 wird aus Sicherheitsgründen entfernt. Danke für Euer Verständnis.
DNS-over-HTTPS (DoH) ist mittlerweile bei allen großen Browsern integriert, aber noch nicht aktiviert. Wir wollen klären, was DoH ist, was es bringt und wo die Gefahren liegen.
Grundsätzlichnützlich
DNS-over-HTTPS ist, wie der Name bereits vermuten lässt, ein Protokoll, das durch Verschlüsselung des DNS-Verkehrs verhindern soll, dass Dritte, beispielsweise der Internet-Provider, unsere DNS-Anfragen und -Antworten mitlesen kann. Dazu werden diese Daten im normalen HTTPS-Verkehr versteckt. DoH ist seit mehreren Jahren in der Entwicklung und wurde vor einem Jahr als Internet-Standard RFC8484 bei der IETF vorgeschlagen. Eine Alternative ist DNS-over-TLS.
Die überwiegende Mehrheit der Internet-Anwender wissen vermutlich nicht, wie der Domain Name Service (DNS) funktioniert und was es tut. Für diese Anwender ist DoH vermutlich ein Zugewinn an Sicherheit. Technisch interessierte Privatanwender sowie Netzwerker und Sysadmins sehen DoH allerdings mit sehr gemischten Gefühlen.
Verhinderungstaktik
Weitere Gegner von DoH sind große Provider wie etwa Comcast in den USA, da damit beispielsweise gezielte Werbung erschwert wird. Provider in den USA erstellten eine Präsentation mit falschen und missverständlichen Aussagen über DoH, um Gesetzgeber im Kongress gegen DoH einzunehmen. Hier sind also offensichtlich sicher geglaubte Pfründe in Gefahr.
Fragliche Sicherheit
Zur Technik: DoH-Abfragen werden an spezielle DoH-fähige DNS-Server, sogenannte DoH-Resolver gesendet, die dem Benutzer ebenfalls verschlüsselt antworten. Viele Fachleute zweifeln an der Wirksamkeit dieser Maßnahme, da einem Provider andere Einstiegspunkt wie etwa ein Blick auf den TLS-Handshake oder SNI zur Verfügung stehen, die meist bereits ausreichen, um zu bestimmen, welche Webseiten ein Kunde besucht.
Sysadmins sauer
Ein weiterer Kritikpunkt ist der Einfluss von DoH auf den Unternehmenssektor, wo Systemadministratoren lokale DNS-Server und DNS-basierte Software verwenden, um den lokalen Datenverkehr zu filtern und zu überwachen, um zu verhindern, dass Angestellte auf nicht zugelassene oder gefährliche Webseiten zugreifen.
Sobald DoH weiter verbreitet ist, wird es die bevorzugte Methode aller Mitarbeiter sein, um Unternehmensfilter zu umgehen und auf Inhalte zuzugreifen, die normalerweise an ihren Arbeitsplätzen blockiert sind.
Da heutige DNS-Server keine DoH-Abfragen unterstützen, enthalten die Apps, die derzeit DoH unterstützen, Listen mit fest vorgegebenen DoH-Servern, die DoH effektiv von den regulären DNS-Einstellungen des Betriebssystems trennen.
Firefox
Mozilla ist zusammen mit Cloudflare eine der treibenden Kräfte hinter DoH und erntet auch einen Großteil der Kritik. Die Unterstützung für DoH ist bereits in der aktuell stabilen Version von Firefox verfügbar und kann über den Abschnitt Einstellungen des Browsers im Abschnitt Netzwerk aktiviert werden. Der Grund für die Kritik an Mozilla liegt hauptsächlich daran, dass Firefox alle DoH-Abfragen standardmäßig über einen DoH-Resolver von Cloudflare abwickelt und damit persönliche Einstellungen zur Handhabung von DNS übergeht. Wenn man das weiß, kann man die Einstellung auf einen anderen DoH-Resolver setzen.
Chrome
Google Chrome ist nach Firefox der zweite Browser, der DoH integriert, aber noch nicht aktiviert hat. Unter Linux lässt es sich noch nicht aktivieren, wie die Eingabe von chrome://flags/#dns-over-https belegt. Nachdem DoH in Chrome in einem anderen Betriebssystem aktiviert ist, sendet der Browser DNS-Abfragen an die gleichen DNS-Server wie zuvor. Wenn der Ziel-DNS-Server über eine DoH-fähige Schnittstelle verfügt, verschlüsselt Chrome den DNS-Verkehr und sendet ihn an die DoH-Schnittstelle des gleichen DNS-Servers. Ist das nicht der Fall, wird die Anfrage unverschlüsselt gesendet.
Browser mit Chromium-Unterbau
Alle anderen maßgeblichen Browser inklusive des neuen Browsers Edge von Microsoft nutzen Chromium und dessen Blink-Engine als Unterbau. Auch bei Opera, Vivaldi und Brave ist DoH dadurch bereits vorhanden und kann jeweils in den Einstellungen aktiviert werden. Über Apples Safari lässt sich noch keine Aussage treffen, Apple schweigt bisher zum Thema.
DNS-over-TLS
DNS-over-TLS (DoT) ist ebenfalls ein Protokoll zur verschlüsselten Übertragung der DNS-Namensauflösung. Für die Verschlüsselung sorgt hier der Standard Transport Layer Security (TLS). Viele Sicherheitsexperten hatten sich gewünscht, DoT würde die Oberhand gewinnen, da sie hier eher einen Schutz der Privatsphäre sehen.
