Suite aux critiques suscitées par l'offre « sans tracker » de Libération, dont la découverte des scripts d'Eulerian hébergés sur un sous-domaine du journal afin de limiter leur blocage, certains trouvent des solutions.
C'est le cas de Shaft, expert du DNS, qui propose un petit tutoriel sous Unbound. Il vise à créer un fichier de zone dans lequel on indiquera avoir autorité pour les domaines principaux de la société, utilisés par les scripts de pistage.
On bloque ainsi toutes les requêtes DNS vers ces domaines principaux afin de « régler » le problème. D'autres petites astuces sont données, comme le blocage direct des IP utilisées par Eulerian.
Shaft rappelle que la société n'est pas la seule à utiliser cette mécanique pour éviter d'exposer ses scripts. Ainsi, le blocage reste pour le moment l'une des seules solutions, à défaut de respecter le consentement explicite… pourtant imposé par la loi.
Commentaires (52)
#1
#2
Je prépare un truc sous Framagit, avec les bout de configs nécessaires (pour celles et ceux qui ont la flemme ;) ) et avec l’avantage de proposer une liste à jour de domaine à bloquer
#3
Merci de penser 🤔 aux innocents qui ne connaissent pas vraiment les scripts de programmes
#4
https://reflets.info/articles/affreux-sales-et-mechants
#5
#6
#7
Salut, n’oublies pas d’en poster l’adresse ici
" />
#8
Merci beaucoup ! 
" />
#9
Ou ne pas aller sur le site de Libé…
Après tout ils l’ont bien cherché…
#10
y a pas que Libé qui pratique cela.
#11
En effet. Un bon name and shame pour qu’on voie bien quels sites se foutent de notre gueule et violent le RGPD, une mise à jour des listes de blocage, et des dépôts de plainte par des associations, ce serait bien aussi.
#12
Une petite liste pour mon Pi-Hole serait pas mal oui
" />
#13
Suffit d’une liste sous GitHub (ou autre) et un Pi-Hole. C’est un DNS menteur très simple à héberger (genre sur un raspberry) et tu peux utiliser des “listes” qui se mettent à jour (ça bloque bien la pub).
#14
Tu peux aller retouitter ou repouetter Aerishttps://twitter.com/aeris22 &https://social.imirhil.fr/@aeris , et lire les réponses aux mails qu’il a envoyés. Sans sanctions et une autorité vraiment dotée de moyens, c’est peine perdue, à part quelques geeks tout le monde s’en fiche, ou disons de manière plus optimiste, ne se rend compte de rien.
#15
Donc aucun intérêt de mettre Unbound avec Pi-Hole ?
Et le mien qui fait toujours planter le réseau de mon Pi 1 au bout d’un certain nombre d’heures, ou pas puisqu’avec un redémarrage automatique toutes les 6h ne change pas grand chose.
J’espère que ça n’est pas une incompatibilité entre Pi-Hole et Log2Ram.
#16
T’es tellement un amour ❤
#17
C’est plus compliqué que ça. Les trackers sont sur des sous-domaines délégués à Eulerian via le DNS. Eulerian arrive donc durant la résolution récursive du résolveur DNS, et est donc invisible au niveau de la résolution (non récursive) du client… Les systèmes de blocage simples sont complètement aveugles à cette étape, qui n’a lieu que dans le résolveur.
Le système de pi-hole ne fonctionne pas nativement du coup pour bloquer ce type de merde, il faut descendre encore plus bas…
#18
Personnellement, par défaut je bloque tout dans µMatrix, puis j’autorise ensuite que ce que je juge nécessaire.
Je fais cela depuis plus longtemps que cette histoire.
#19
Et ça bloque ce type de scripts cachés dans un sous-domaine du domaine visité ?
#20
Par défaut uMatrix laisse activé les différents sous domaine du site visité
Voir ici
Donc non, il faudrait faire comme Case_0f dit, bloquer tout par défaut et activer au cas par cas jusqu’à avoir le site qui fonctionne +/- correctement
Eulerian est indiqué f7ds chez libération, mais aussi simplement un a.nomdedomaine chez d’autres donc chaud a trouver, imagine un site qui le met sur un domaine du genre image.nomdedomaine pour essayer de tromper les gens
#21
Si c’est comme les addons type “noscript” de Firefox, oui.
" />
Il te propose le domaine principal (www.pourri.com) puis une fois autorisé, il affiche tous les sous domaines et appels externes bloqués (images.pourri.com, cdn.pourri.com tartuffe.machin.com …).
Ainsi, il faut activer le site + son cdn par exemple.
C’est pratique pour activer de manière très ciblée des éléments d’un site peu recommandable ou abusant de contenu litigieux.
Edit : ah bah en fait c’est pas le même comportement que Noscript et compagnie
#22
Comme tout est bloqué par défaut, oui, je bloque même tous les scripts du même domaine que la page.
Si le site fonctionne sans JS, je reste comme ça, sinon j’active mais le moins possible.
#23
µMatrix est similaire à NoScript si tu le configures correctement.
L’avantage d’µMatrix sur NoScript, c’est qu’il a aussi la notion de portée des autorisations.
J’aurais aimé que ça existe dans NoScript.
#24
#25
#26
Et globalement tu mets combien de temps pour accéder correctement* à un site que tu n’as jamais visité ? Ca n’est pas trop pénible de faire une recherche d’information sur divers sites par exemple ?
*correctement = texte et images au complet + mise en page pas trop hasardeuse
#27
#28
Pour info, j’utilisehttps://github.com/gorhill/uMatrix que ça soit clair, et avec ce mode de fonctionnement:https://github.com/gorhill/uMatrix/wiki/How-to-block-1st-party-scripts-everywhere-by-default
#29
Ah, pour ça, je peux aussi bloquer les images et le CSS
" />
#30
Voir la réponse de celui à qui je demandais juste au-dessus de la tienne.
En fait, il bloque tout par défaut donc même les sous-domaines. Je n’étais pas sûr de ce qu’il mettait dans “tout”. µMatrix n’est pas vraiment un adblocker.
Par contre, ça doit être galère de naviguer comme ça actuellement. Dès que tu arrives sur un site nouveau ou qui a évolué, il faut activer à la main tout ce qui est nécessaire à son fonctionnement.
#31
Bien, ça prend quelques secondes. Ça peut représenter un effort pour certains, mais me concernant, je trouve que c’est un temps convenable.
#32
le premier média à supprimer ses trackers publicitaires
#33
#34
#35
J’autorise au cas par cas les scripts. ;-)
Et pour les sites où je vais plus d’une fois, j’enregistre mes réglages
#36
#37
Pi-Hole sera malheureusement incapable de bloquer ces domaines :(
(Il faudrait savoir à l’avance que chez les clients d’Eulerian, c’est tel domaine qu’il faut bloquer : f7ds.liberation.fr sur Libé ou v.oui.sncf sur le site de la SNCF par exemple. C’est faisable, faut juste éplucher tous les sites et trouver les domaines)
#38
#39
Et sur Firefox avec le DNS-over-https (donc résolveur local ? non) + un addon qui va bien, y aurait pas moyen de faire un truc ?
" />
j’ai dis une grosse connerie autant pour moi
#40
Lynx est un très bon navigateur pour éviter les mouchards !
" />
#41
Merci, beau boulot !
Édit : Sympa le coup de la licence IV, j’ai bien ri !!!
#42
#43
Moult merci. Attention, framagit devrait fermer à moyen terme : https://framablog.org/2019/09/24/deframasoftisons-internet/
#44
A priori un méta-bloqueur de pub comme uBlock Origin avec les bonnes listes, ça bloque déjà les sous-domaines craignos, pas besoin de faire des choses compliquées… Sur Windows, SimpleDNSCrypt (interface pour DNSCrypt) permet aussi de faire ça facilement.
#45
Ca serait chiant à mettre en place de leur côté, mais c’est techniquement faisable
#46
Oui, je sais :)
Fermeture prévue mi-2021, il reste encore un peu de temps
#47
#48
#49
Tu veux dire : il faut que je regarde plus attentivement parce que ce n’est pas si simple ? Il ne suffit pas de voir v.oui.sncf en rouge et bloqué dans les traces pour que ce soit gagné ? (j’ai essayé cet exemple vu qu’il est public)
#50
La méthode est un premier pas avant le déplacement des script mouchards sur les serveurs des clients.
Et la, plus moyen de le détecter en analysant la résolution DNS : le DNS renvoi vers le bon domaine.
On n’est pas dans la merde ;)
#51
Si, si, ça marche.
Il faut juste connaître les sous-domaines « craignos ».
Si tu bloque v.oui.sncf par exemple, les scripts d’Eulerian seront bloqués sur le site oui.sncf.
C’est moins pratique que la méthode de John Shaft, parce qu’il faut trouver tous les sous-domaines sur tous les sites qui utilisent cette méthode, et qu’il leur suffirait de changer le nom du sous-domaine pour que les listes ne soient plus à jour. Mais ça marche.
#52