Le sachiez-tu ? Les résolveurs #DNS d'Orange mentent sur use-application-dns.net, prétendant qu'il n'existe pas.

Ce domaine est le « canari » de Firefox, permettant au FAI de débrayer #DoH à volonté et donc de forcer les requêtes DNS vers leur résolveur.

@bortzmeyer

Techniquement j'ai pas compris comment ça marche ?

@LienRag Firefox essaie de résoudre use-application-dns.net avec le résolveur par défaut. Si il récupère NXDOMAIN (domaine non existant), il débraye DoH : plus de sécurité et plus de vie privée. Ce « domaine canari » a été créé par Mozilla en réponse aux exigences des FAI, qui avaient beaucoup lobbyé pour ce  « kill switch ».

@bortzmeyer

C'est pas le contraire de ce qu'est un canari (et de ce que devrait faire Firefox) ?
Firefox donne au FAI la possibilité de bloquer DoH alors que le but de DoH est d'éviter les DNS menteurs des FAI ?

@LienRag @bortzmeyer sauf que les dns ne sont pas forcément fournis par les fai.
Et que faire les requêtes d'un intranet chez cloudflare c'est plutôt crade

@R1Rail @LienRag Le canari avait en effet été marketé en prétendant que c'était pour les zentreprises qui voulaient avoir un résolveur « spécial ». Comme prévu, il est en fait utilisé par les FAI pour forcer le pessage par leurs résolveurs.

@bortzmeyer @R1Rail @LienRag bah j'ai pas plus confiance en cloudflare qui en plus a déjà plein d'informations sur les sites visités

@bortzmeyer @R1Rail @LienRag sauf que tu râles sur ce qui n'est qu'une option par défaut, plus facile à désactiver que mettre son propre resolveur DoH

@LienRag @R1Rail @bortzmeyer Il me semble, ou en choisissant la bonne valeur pour la préférence de firefox, celle qui a un nom à la CO qui n'a rien à voir avec DoH.

@R1Rail @LienRag Meuh non, il y a un menu graphique à la souris convivial GUI user-friendly, maintenant.

@bortzmeyer @R1Rail @LienRag Donc c'est encore plus simple que de monter son propre résolveur DoH qui doit être accessible de partout et en accès public pour fonctionner.

@R1Rail @LienRag « En accès public » Euh, non. (Celui de nos collègues de SIDN est privé, par exemple.)

@bortzmeyer La dernière fois que j'avais regardé c'était le cas; Sans compter que monter un DoH était quand même une bonne grosse saloperie Web bourré de librairies incontrolées.

@R1Rail N'importe quoi. (Et je sais de quoi je parle, moi, je gère un serveur DoH. )

@R1Rail ldd trouve 34 bibliothèques (dont la libc et le loader). Pour un programme moderne, ce n'est pas beaucoup :-)

Sign in to participate in the conversation
Diaspodon

Diaspodon.fr est une instance majoritairement francophone et généraliste. Aucun contenu du fédiverse n'est filtré par une décision d'administrateur ou de modérateur.