Le 02/04/2020 à 08h 59

tomsierra a écrit :

est ce vraiment une mauvaise chose que des enfants n’ait pas accès à des sites LGBTQIA+ .  (en plus du contrôle parental etcetc)
 

Oui, c’est une mauvaise chose. (Ou alors il faudrait expliquer pourquoi.) L’homosexualité n’est ni un danger, ni une maladie.

Le 26/03/2020 à 14h 49

Mihashi a écrit :

SFR ?


Sinon, j’ai un résolveur DNS récursif en local (package DNS Server sur mon NAS Synology).
Dans ce cas les DoH et DoT entre mes ordi et mon serveur n’ont pas d’intérêt (si j’ai confiance dans les machines connectées à mon réseau ), non ?

Et qu’est-ce que je peux faire (enfin plutôt espérer) pour que mes requêtes soient chiffrées entre mon résolveur et le reste du monde ?


En effet, dans ce cas, DoH et DoT sur le réseau local n’ont guère d’intérêt.

Pour le lien entre résolveur et serveurs faisant autorité, il n’est en effet pas chiffré pour l’instant. L’IETF y travaille.

Le 26/03/2020 à 14h 46

xillibit a écrit :

ce n’est plus faisable avec TLS 1.3, plus de man in middle possible par un antivirus ou la passerelle internet de l’entreprise


Euh, vous pouvez expliquer ? Parce que c’est faux. Si on peut installer l’AC de son choix sur chaque poste (classique en entreprise), TLS 1.3 ne change rien.

Le 26/03/2020 à 12h 18

coco74 a écrit :

Perso sur android, vu que l’on peut régler que le DoH (DNS privés) et pas les DNS, je met dns.adguard.com sur mes appareils ce qui permet de bloquer la plupart des pubs.


À ma connaissance, Android ne parle que DoT, pas DoH.

Le 26/03/2020 à 11h 21

Qruby a écrit :

J’ai plus confiance dans mon FAI que dans CLoudflare.


Si c’est FDN, je comprends.

Le 26/03/2020 à 11h 12

Jarodd a écrit :

Ca ne répond pas à ma question. Les Chatons ce sont des serveurs personnels ou asosciatifs, donc ont-ils les ressources nécessaires pour encaisser une grosse charge ?


Si, cela répondait à votre question : l’idée n’est pas d’avoir un énorme résolveur tenant la charge de millions d’utilisateurs, mais des milliers (« une armée »), chacun ne gérant qu’une partie des utilisateurs.

Le 26/03/2020 à 11h 11

Jarodd a écrit :

Si je comprends bien, une des meilleures solution envisageables aujourd’hui c’est DoH + un service non menteur (comme celu ide la FDN) ?


 Ou DoT. DoH n’est utile que si on est coincé derrière un pare-feu fasciste. Autrement, DoT est très bien. La plupart des résolveurs sécurisés ont les deux. (PUB : c’est le cas de doh.bortzmeyer.fr / dot.bortzmeyer.fr)

Le 26/03/2020 à 10h 03

DoH permet tout à fait cela. Après, il faut trouver un client DoH validant avec DNSSEC et je ne crois pas qu’il en existe (mais plusieurs sont en cours de développement).

Le 25/03/2020 à 09h 06

aureus a écrit :

Et pourquoi pas faire du DOT sur le port  53 ?


On peut toujours faire ce que l’on veut, mais ça va perturber les innombrables middleboxes, IDS et transparent proxies. 

Et avec le port 443, on perturberait l’écosystème Web (il y a déjà un serveur HTTP sur ce port).

Le 24/03/2020 à 18h 18

Le chiffrement, c’est la plaie. Les gens honnêtes qui n’ont rien à cacher ne l’utilisent pas.

Le 24/03/2020 à 18h 09

aureus a écrit :

• En terme de charge/consommation réseau ça va être clairement de la consommation en plus.
  
  
  Euh, à l’ère de la vidéo haute-définition de films de chats, s’inquiéter des quelques octets supplémentaires du DNS, c’est assez étrange.

Le 24/03/2020 à 18h 08

aureus a écrit :

• A force de faire du HTTP(S) partout (parce que c’est ce que connaissent les développeurs faut pas se mentir)  
  
  
  Pas du tout. La raison pour laquelle DoH a été créé (cf. le RFC) était pour pouvoir fonctionner partout, y compris sur un hotspot pourri où seuls les ports 80 et 443 passent.

Le 24/03/2020 à 18h 06

aureus a écrit :

Troisième question, est-ce qu’il y a une raison technique à ne pas avoir fait du STARTTLS pour DNS ?


Plus personne n’utilise STARTTLS, SMTP l’a abandonné dans le RFC 8314https://www.bortzmeyer.org/8314.html Et à juste titre, STARTTLS n’offre aucune sécurité, un attaquant actif peut trivialement empêcher le passage en TLS.
 

Le 24/03/2020 à 18h 04

aureus a écrit :
Seconde question est-ce qu’a terme on va donc devoir gérer les DNS de l’OS et les DOH dans le navigateur ? Et du coup pourquoi pas un client DOH dans d’autre applications ?

 Aucune idée, DoH est juste un protocole, comme DoT, comme le DNS classique, il peut être mis dans le système d’exploitation ou bien dans les applications. 

Le 24/03/2020 à 17h 58

David_L a écrit :

Tu peux avoir une IP dans une URL, je dis ça, je dis rien " />


https://1.1.1.1/dns-query :-)

Le 24/03/2020 à 17h 28

Du DoT vers quel résolveur ?

Le 23/03/2020 à 14h 32

Il est très possible que le problème ne soit pas tant l’argent, que les procédures de recrutement très longues et très lourdes. (Et qu’on ne peut pas simplifier, même quand « nous sommes en guerre », pas question de faire bouger l’administration.)

Le 23/03/2020 à 12h 07

Pas d’accord, en général les opérateurs opposent Disney (ou le futur Salto) à Netflix précisement en leur reprochant d’être OTT (cf. l’arrivée de Netflix « dans la Freebox »). Mais il est exact que la définition est souvent floue.

Le 23/03/2020 à 10h 07

“Over The Top” Ceux qui n’ont pas signé d’accord avec les FAI, et font de l’Internet « normal », sans fonctions spéciales dans la « box », sans équipements installés chez le FAI.

Le 23/03/2020 à 09h 36

Le lien LinkedIn est le même que le lien Twitter. Le bon doit plutôt êtrehttps://www.linkedin.com/pulse/lancement-de-disney-pendant-la-crise-du-coronavir…

Le 23/03/2020 à 07h 51

« je me marre quand je vois dans les commentaires tous ces gens qui
s’improvisent experts réseau/télécom et qui pense savoir ce qu’il se
passe tout mieux que tout le monde, ce sont sûrement les mêmes gens qui
s’improvisent experts en épidémiologie » Cette attitude technocratique et méprisante est trop fréquente dans les discours officiels en ce moment pour que je la laisse passer. Étant donné que tout le monde est affecté par l’épidémie, il est parfaitement normal que les citoyens discutent des mesures prises. Étant donné que tout le monde utilise l’Internet, il est parfaitement normal que les citoyens discutent de ce qui se fait en matière d’infrastructure de l’Internet.

Les citoyens ne sont pas tous bien informés ? Eh bien c’est aux gens qui connaissent de le faire, au lieu de se complaire dans l’attitude hautaine « décidément, qu’est-ce que les gens sont cons ». Les citoyens participeront aux débats de toute façon (et heureusement). Si on veut qu’ils le fassent de façon intelligente, cela dépend de nous (je suppose qu’une bonne partie des lecteurs de Next Inpact sont informaticiens…)

Et les données, les chiffres ? On m’a reproché de publier les statistiques d’un point d’échange Internet, en arguant que le France-IX n’est pas représentatif. Je ne demande pas mieux que de m’appuyer sur d’autres chiffres. Publiez-les, au lieu de dire « faites-nous confiance, de toute façon vous êtes trop cons pour comprendre ».

Le 23/03/2020 à 07h 46

« Je vous laisse imaginer le casse-tête pour l’Education nationale. » C’est bizarre, cette phrase dans un commentaire parlant des VPN, et de la redistribution du trafic. L’Éducation Nationale fournit des accès VPN aux élèves, aux enseignements du primaire et du secondaire, aux étudiants ? (Réponse : non.)

Le 23/03/2020 à 07h 44

  « Il y a pas mal d’inexactitudes publiés dans l’article chez Framasoft » Je veux bien une liste, même partielle.

Le 23/03/2020 à 07h 39

« la neutralité n’existe plus depuis bien longtemps » C’est le discours classique des telcos depuis de nombreuses années, finalement, le confinement n’a rien changé, les mêmes arguments ressortent.

Il y a un élement vrai dedans : de nombreux opérateurs violent la neutralité du réseau. Après, par quel miracle faudrait-il renoncer à un principe parce qu’il est largement violé, cela m’échappe. Cela me parait plutôt une raison pour le défendre, au contraire.

(Et concernant la domination d’un petit nombre d’acteurs, les solutions sont connues : pair-à-pair, décentralisation, fédération, etc. Curieusement, ce sont justement les techniques que les telcos combattent.)

Le 23/03/2020 à 07h 33

Notons que l’augmentation de la capacité réseau va devenir de plus en plus difficile au fur et à mesure qu’on s’enfonce dans le confinement : travaux et déplacements suspendus, pièces qui n’arrivent plus de Chine, datacenters inaccessibles (Equinix désormais presque fermé…) À moyen terme, c’est cela qui m’inquiète davantage  que Disney. (Cf. l’excellent exposé de Job Snydershttp://instituut.net/~job/netops_during_pandemics.pdf

Le 23/03/2020 à 07h 30

Mais la question du « dernier kilomètre » est complètement différente, car, là, l’occupation du tuyau dépend entièrement de l’utilisateur (sauf attaque DoS). Ne pas lancer l’offre de Disney ou pas ne changera rien. Si M. Michu craint pour son tuyau, il peut ne pas regarder de vidéos. Le dernier kilomètre, quand il a une capacité restreinte, est le lieu des choix individuels, qu’on n’impose pas aux autres et qui ne dépend pas de leurs choix.

Le 22/03/2020 à 10h 31

Sinon, les lecteurs de NextInpact connaissent tout cela, mais si vous voulez expliquer la situation à vos proches, vous serez peut-être intéressé·e·s (DANGER : PUB) par mon article sur l’Internet en temps de confinement :https://framablog.org/2020/03/21/linternet-pendant-le-confinement/

Le 22/03/2020 à 10h 29

« Est-ce que leur datacenter pour la France est super mal placé par rapport à l’agencement des réseaux ? » Pour l’instant oui. Netflix a mis des caches dans tous les FAI (ce qui pose d’autres problèmes, question neutralité du réseau), pas Disney+. Je ne défends pas la décision du gouvernement, hein, elle relève du bougisme (« il faut faire quelque chose, n’importe quoi ! »), j’explique juste qu’il y a apparemment une réelle différence entre Disney et Netflix.

Le 19/03/2020 à 08h 20

Et il y a un site Web derrière. Est-ce que laver les voitures contribue à lutter contre le virus ?

Le 19/03/2020 à 08h 19

Je ne vois pas coronavirus-gouv.fr. Déjà supprimé, sans doute.

Le 17/03/2020 à 07h 46

Pour ceux et celles qui ont du mal à télécharger l’attestation de déplacement (le site du Ministère ne tient pas la charge), elle est en BitTorrent :

magnet:?xt=urn:btih:26586CED67BBB44FA0B493DE5D442BB031EBF8F6&dn=Attestation_de_deplacement_derogatoire.pdf

Le 16/03/2020 à 14h 02

Je n’ai pas vu passer ce problème DNS Orange. Des détails techniques précis ?

Le 16/03/2020 à 14h 01

« a fortiori lorsque des millions d’enfants téléchargent la dernière mise à jour de 25 Go en même temps » Quelqu’un leur explique BitTorrent ? (Et le pair-à-pair de manière générale.)
 

Le 14/03/2020 à 14h 23

Comme je disais, c’est long, compliqué et cher.

Il n’y a pas d’ouverture en ce moment, on parle d’un prochain cycle de candidatures en 2021 ou 2022. Prix pas encore connu. Attention, les frais de dossier ne sont qu’une petite partie de ce qu’il faut payer.

Le 14/03/2020 à 07h 24

« - Concernant le .Org, comment est-ce possible qu’une société se soit approprié et se donne le droit de vendre un bien commun datant du début de l’Internet?  »

Je suis d’accord, c’est scandaleux.

Le 14/03/2020 à 07h 23

« - Qui prend / Comment on été prisent les décisions de créer des nouveaux TLD? »

Deux cas, les TLD ICANN et les autres.

Pour les TLD ICANN, c’est l’ICANN. Le mécanisme, long, compliqué et cher, est certes très contestable mais,à la décharge de l’ICANN, il faut préciser que personne n’a encore trouvé un mécanisme correct (les idées sont les bienvenues mais le problème est vraiment très difficile ; pensez par exemple au .ISLAM, à qui l’attribuer ?).

Pour les TLD autres, ils dépendent d’un pays. La création de .SS était automatique à l’indépendance du Soudan du Sud. La suppression dépend du bon vouloir du pays (cf. le feuilleton du .SU, qui se porte toujours bien, 28 ans après la fin de l’Union Soviétique). Il reste les cas difficiles comme .EH mais ceux-ci sont difficiles de toute façon. Là encore, personne n’a de solution miracle pour résoudre ces problèmes.

Le 14/03/2020 à 07h 15

« - L’argent suffit t’elle à ce que l’IANA reste indépendante? L’est elle vraiment? »

L’indépendance est une notion complexe. Indépendant de qui ? La gestion de la racine n’est pas vraiment indépendante du gouvernement des États-Unis, qui continue à déléguer son fonctionnement à Verisign. Quant à l’ICANN, indépendante du gouvernement des États-Unis ne signifie pas indépendante de la vision états-unienne du monde (aux réunions ICANN, une bonne partie de la soi-disant diversité, les gens qui prétendent représenter l’Afrique, par exemple, sont des gens qui vivent et travaillent aux USA depuis 30 ans…). Et l’ICANN est très marquée par l’idéologie capitaliste (cf. la vente de .org).

 

Le 14/03/2020 à 07h 11

« Est ce que tout l’argent gagné a créer des tld “à la con” sert uniquement les intérêts de l’IANA? »

Une bonne partie de la motivation pour cet argent est juridique. L’ICANN étant une boîte privée, elle ne bénéficie pas de l’impunité juridique dont jouit, par exemple, un gouvernement ou une organisation internationale. Le système juridique étatsunien étant propice aux DoS, il faut être gros pour tenir le coup.

 

Le 14/03/2020 à 07h 08

« voir une racine alternative sérieuse (je sais qu’il y en a, mais rien qui ne prend de l’ampleur) »

Le problème des racines alternatives n’est pas technique (monter une racine simple est très facile, cf. le projet Yetihttps://www.afnic.fr/fr/ressources/blog/le-projet-yeti-d-experimentation-d-une-r… monter une vraie racine de production est évidemment plus difficile mais on sait faire). Il est 100 % politique : qui va la diriger ? Les russes ? Les chinois ? Google ? Facebook ? Moi (je veux bien devenir Dictateur en Chef de l’Internet Mondial) ?

Qu’on ne me dise pas qu’il faut qu’elle soit gérée démocratiquement par les utilisateurs. Quand c’est trois types dans leur garage, ça va. Mais à l’échelle mondiale ?

Le 14/03/2020 à 07h 02

  « à quand la possibilité d’interroger les serveurs racine, TLD/SLD directement via DoH, DoT ou autre ? »

On y  travaille (dans le groupe de travail DPRIVE de l’IETF) et des expérimentations existent (les serveurs faisant autorité pour facebook.com répondent déjà en DoT). L’authentifictaion n’est pas triviale car un client d’un résolveur ne parle qu’à deux ou trois résolveurs, mais un résolveur parle à des milliers de serveurs faisant autorité. Les solutions d’authentification évidentes utilisent le DNS mais on a alors un problème d’œuf et de poule. Mais on avance.

Le 14/03/2020 à 06h 58

Sur la résistance aux dDoS, j’ai des doutes sérieux : UDP est au contraire bien plus vulnérable, puisqu’il n’y a aucune authentification, même minimale, de l’adresse IP source.

Sur le résolveur local, cela n’a rien d’utopique, c’est assez facile à faire et des tas de gens le font.

Le 12/03/2020 à 13h 33

Non, ce n’est pas exact. DNSSEC est de bout en bout, puisque la signature est faite par le serveur maitre. (Sur .fr, c’est même un maitre caché, sans accès public depuis l’Internet, donc plus difficile à pirater.) Donc, rien à voir avec « celui à qui on a demandé la résolution ». 

Quant aux résolveurs menteurs, DNSSEC ne supprime pas la nécessité d’avoir un résolveur de confiance (soit sur son réseau local, ce qui est quand même recommandé, soit distant et sécurisé par DoT ou DoH.)

Le 12/03/2020 à 12h 14

DNSSEC signe cryptographiquement les données, et le résolveur peut donc facilement vérifier que la donnée est correcte.

Le 12/03/2020 à 10h 51

Ça aggrave même les problèmes de vie privée, en envoyant la requête à davantage de monde.

Si le but est juste de savoir quelle est la bonne réponse, DNSSEC me parait une approche préférable.

Le 12/03/2020 à 10h 50

En sécurité, il n’y a JAMAIS de solution parfaite.

Le 12/03/2020 à 08h 58

Là, on fera du SNI chiffré, du domain fronting… La lutte de l’épée et de la cuirasse est éternelle.

Le 14/03/2020 à 06h 55

Les émojis ne sont qu’une minorité (cf. mon article pour les chiffres exacts). La majorité des caractères Unicode sont des sinogrammes, et donc sont utiles.

Le 14/03/2020 à 06h 54

Faudrait que les masculinistes écrivent une propal au consortium Unicode. C’est du travail, ça va les fatiguer.

Le 12/03/2020 à 12h 13

https://www.amazon.com/Straight-Pride-Heterosexual-Person-T-Shirt/dp/B07JQW6Y66

Le 12/03/2020 à 10h 56

Aucun rapport, le contraire de trans, ce n’est pas hétérosexuel (dont le contraire est homesexuel). Identité de genre ≠ orientation sexuelle.