問:DNS污染,一直以來都是中國當局封鎖網絡的重要手段之一,但近日Firefox及Cloudflare在解決DNS污染問題上取得進展。能否講述一下Firefox和Cloudflare運用甚麼新技術,解決DNS污染,以及其他DNS相關的各類技術問題?
李建軍:DNS是一種很古老的技術,基本上,至今仍然用未經加密的字串去進行DNS通訊,這亦為何中國當局在DNS污染上如此得心應手。只不過,Firefox在今年9月推出的第62版會有所改變,因為這版本支援用https技術加密的DNS,一旦DNS大部分通訊被加密,中國當局要進行DNS污染的難度,或在DNS主機進行監控的難度,將會大增。
只不過,Firefox 62版的加密技術,仍然有小部分DNS通訊是未經加密,而Cloudflare就研發新技術,用Tor技術去補足這問題,藉此實現所謂全面匿名的互聯網,當相關技術成熟後,在Tor和加密DNS在瀏覽器內置,並相互配合下,中國當局要封鎖網絡的技術難度會增加不少。當然中國當局仍然可以用封包深度偵測去進行封鎖,但這亦意味著中國當局要投放更多資源,特別超級電腦的運算能力去進行深度偵測上。
問:如果想用到Firefox 62版的最新技術,現在有沒有辦法?而Cloudflare配合Tor的DNS通訊,又會甚麼時候推出測試產品?
李建軍:現在Firefox 62已經有第一個測試版,稱為Nightly版,這次翻牆問答,我準備了視頻,示範如何改變Firefox 62測試版的設定,使用https加密的DNS功能,歡迎聽眾瀏覽本台網站,收看有關視頻。但要注意的是,因為Nightly版是極早期的版本,軟件本身或會不穩定,有可能瀏覽網頁中途跳出,而使用https加密的DNS後,亦可能使你整個瀏覽過程,因為與中國網絡環境不兼容而出現不穩定情況,這一切都必須要加以注意。
至於Cloudflare提出配合Tor的全面加密技術,現時仍在測試階段;因Cloudflare要進行內部測試,未拋出正式產品,只不過相信Firefox稍後推出的新版,有可能會有Cloudflare這方面技術配合,所以大家不妨持續留意Firefox未來推出的新版。如果不怕軟件不穩定的問題,可以留意Nightly版本的更新,因為一般最新的功能,都會在Nightly版先進行測試和更新,稍後再放入開發人員版本,最後才提供一般用家使用的正式版本。
問:Firefox近年在技術上都相當進取,由硬件二步認證,到加密DNS等技術,都是先在Firefox上出現,在翻牆技術上,Chrome、Safari和Firefox上會有甚麼不同的方向發展?
李建軍:Safari由於是iOS和Mac的內置瀏覽器,本身與作業系統關係密切,因此,很難有新的功能出現,除非iOS或Mac作業系統本身出現重大更新,因此,如果期待使用新技術,Safari並不是一個合適的平台。
而Chrome雖然使用Safari同一個引擎,但Chrome同時服務Linux和Windows,所以會有比較多新玩意。Chrome的開發由谷歌主導,所以Chrome比較倚重第三方插件上的創新,而Chrome的技術發展,亦很大程度受谷歌的技術發展方向影響。
而Firefox是一個完全開放源碼的技術機構,不受任何大公司的企業策略所支配,因此,Firefox在不少方面,可以做得比Chrome更為進取。因此,要留意新翻牆技術的人,可以習慣使用Firefox瀏覽器,相信新一代技術都會先在Firefox瀏覽器上出現,Chrome和Safari都只會在技術相對成熟時才會引進相關功能。對於尋求新技術的聽眾,Firefox瀏覽器是相當不錯的一個選擇來的。