Le 02/03/2022 à 19h 31

Je confirme que Free bloque les domaines : rt.com, francais.rt.com et sputniknews.fr

Voici ce que voient les sondes RIPE Atlas situées en France

Comme d’habitude avec ces sondes, entre celles dans des datacenters et celles opérées par des gens qui n’utilisent pas le résolveur de leur FAI, les résultats sont toujours contrastés, mais pour le coup, le blocage par Free est bien visible

Le 15/02/2022 à 12h 20

(Et sinon, le .ws propose ce genre de bêtises depuis longtemps, voir i❤️tacos.ws ou 📪.ws par exemple. Par ailleurs, Firefox a une gestion laxiste d’IDNA 2008 et on peut visiter le site derrière i❤️tacos.ws par exemple)

Le 15/02/2022 à 12h 13

Punycode n’est qu’un encodage d’Unicode. La norme qui régit les noms de domaines internationalisés est IDNA2008, décrite dans les RFC 5890 à 5894

En l’occurrence, c’est le RFC 5892 qui définit les caractères autorisés et les émojis n’en font pas partis.

Ensuite les gestionnaires de TLD peuvent imposer les caractères autorisés dans les sous-domaines : sur .fr par exemple, on peut acheter un nom avec tous les caractères accentués du français plus quelques autres (le ß que l’on peut trouver en alsaciens par exemple).

Bref, un logiciel qui suit la norme enverra bouler les gens avec 🦆.duck, ce qui implique que les émojis dans un nom de domaines : 🚮

Le 20/07/2021 à 17h 45

Titre alternatif : Debian, le FOSS tranquille

:P

La bonne nouvelle c’est que les personnes qui utilisent Debian Testing (c’est mon cas) vont enfin voir le dégel et l’arrivée des nouvelles versions des softs (genre NSD 4.3.7 qui devrait sortir dans quelques jours 🤤)

Le 13/07/2021 à 18h 52

Pour les VPN, je n’ai pas fait de tests sur place. De ce que je comprends, c’est essentiellement un blocage des IPs des fournisseurs de VPN (les expats que je connais sur place galèrent fréquemment à en trouver de nouveaux). Un blocage par port, le 1194 notamment (réservé à OpenVPN) n’est pas exclure, mais sans mesures dur à dire

(Et TOR, c’est trivial les adresses des nœuds sont publiques. Pas testés les mécanismes de contournement de la censure ceci)

Le 13/07/2021 à 12h 59

C’est plus fourbe que ça : le GFW modifie à la volée les requêtes DNS contenant un nom de domaine censurée et tu reçoit une réponse bidon.

C’est particulièrement visible en demandant par ex. l’adresse de twitter.com à la racine du DNS. La réponse normale de la racine est : « Va voir les serveurs de .com ». Depuis la Chine tu reçois une IP au pif (parfois tu demande twitter.com, tu reçois l’IP de Facebook en retour…)

Faire tourner son propre résolveur sur sa machine ne change rien

Le seul moyen actuellement d’éviter cette censure, c’est d’utiliser DNS sur TLS ou sur HTTPS vers un résolveur de confiance.

Mais de toutes façons ça ne sert à rien : contrairement aux autres pays pratiquant la censure d’Internet, la Chine ne se limite pas à une seule technique de blocage et on a beau avoir la bonne IP de Wikipédia, ça restera inaccessible (sauf à trouver du VPN qui marche — oublier Tor, bloqué normalement)

Le 16/09/2020 à 17h 56

aurel_gogo a dit:

Stadia ou Geforce Now, sont dispo tout de suite. Je m’abonne et je joue.

Stadia, c’est le machin révolutionnaire à latence négative en 4K 60fps avec une manette sans fil et dispo sur tous les appareils et vous allez voir ce que vous allez voir crénom d’une pipe et qui est sorti sans 4K, avec une manette sans fil nécessitant un fil pour fonctionner, pas dispo sur plein de Google Bibule parce que “le firmware est pas à jour” et qui avait un magnifique catalogue de jeux de l’année d’avant (au mieux) et des exclus qui sont toujours pas sorties ?

Le 12/08/2020 à 17h 51

Le touitte que j’ai vu passé causait de la “threat management team” :/

Le 12/08/2020 à 17h 34

L’équipe sécurité aurait dégagée également selon les témoignages glanées sur Touitteur et Mastodon

Le 12/08/2020 à 17h 32

Oui, c’est MozCorp qui lui file des brouzoufs en compensation (comme disent les américains) de sa double casquette de cheffe/jefe/boss/grande manitou de Moz Corp et de la fondation. Voir le rapport de 2018

Ceci dit, MozCorp est contrôlée à 100% par la fondation donc..

À noter qu’entre 2017 et 2018 ces revenus sont passés de 1M\( à 2,5 M\) (il me semble que les chiffres 2019 sont encore à paraître)

Le 25/06/2020 à 20h 23

Bah moi aussi je le fais moi-même, avec mon résolveur.

Et les machines sur lesquelles je ne peux pas mettre de bloqueur de pubs/traqueurs en profite (typiquement les consoles de jeux, qui doivent bien faire tourner des trucs remplis de Google Analytics & cie).

Étant donné que (presque) toute activité sur Internet commence par une requête DNS, agir à ce niveau est logique

Le 25/06/2020 à 17h 01

jpaul a écrit :

est-ce vraiment le rôle du DNS que de bloquer la publicité ?



Dans la mesure où avec le DNS tu peux bloquer le mal à la racine (huhu), proprement et sans faire fuiter de requêtes vers l’extérieur : oui

Le 25/06/2020 à 17h 06

Maintenant, s’ils pouvaient activer le chiffrement sur leurs SMTP…

Le 19/06/2020 à 00h 12

L’immense problème de MTA-STS, c’est qu’il nécessite un site web sur un domaine spécifique (mta-sts.example.com) pour servir la politique.

Transporter du mail (on est entre MTA là) ne devrait pas nécessiter d’HTTP au milieu.

Mieux que STS, il y a DANE qui est bien plus efficace, n’utilise pas d’autre protocoles que ceux déjà utilisés par le mail, mais - s’il commence à être pas mal déployé - ne l’ai pas par les ogres du mail

Sinon, SMTP s’est récemment doté d’une option pour exiger TLS (RFC 8689), mais c’est vraiment tout frais. (Je pense essayer quand il sera dispo dans Postfix :) ). Bon le problème avec cette option, c’est que je la vois mal fleurir sur les serveurs pour l’instant (trop risqué encore malheureusement)

Le 17/06/2020 à 10h 34

Ce n’est pas une question de lire les entêtes (je ne les regarde que rarement, surtout que désormais le mail plus simple contient 4ko d’entêtes pour 20 octets de corps de message)

Le 17/06/2020 à 10h 30

• C’est ce qui permet de maquiller facilement un mail et détourner l’attention (phising)
  


• Le tracking
  


• Ajouter du JS -> perte de sécurité

Le 16/06/2020 à 12h 20

Mihashi a écrit :

C’est ce que je fais et je pleure quand je reçois des courriels de mac-users qui intègrent les pièces jointes dans l’HTML (et ne sont donc pas visible en mode texte seulement)…



Je crois que la personne personne sous Mac avec qui j’échange des mails régulièrement est bien éduquée :)

Le 16/06/2020 à 11h 41

En mail pro, j’ai abandonné tout espoir de comportement raisonnable des gens.

Pour mon mail perso, si les gens ne sont pas content que mes mails soient en texte pur, ils peuvent aller gentiment aller voir ailleurs si j’y suis (c’est jamais arrivé) :)

Le 16/06/2020 à 10h 48

J’ajouterai que quand cela est possible, forcer l’affichage du mail en texte dans son client : HTML dans le mail, cay mal et la plupart des mails en HTML sont en réalité en “multipart/alternative”, contenant à la fois le mail en texte simple et en HTML (avec parfois des surprises).

Sous Thunderbird, c’est dans “Affichage” / “Corps du message en” / “Texte seul”

Le 17/06/2020 à 12h 12

Zont qu’à faire une proposition à l’IETF. " />

Rendez-vous dans 10 ans pour la publication du RFC (ou pas) :)

Le 17/06/2020 à 11h 38

Fort possible. Mes mails OVH de ce type arrivent sur une boite ProtonMail, du coup, le transport doit être relativement propre

Le 17/06/2020 à 11h 37

Pareil et pourtant avec un bloc pas top niveau réputation à l’époque (qui m’a valu bien des CAPTCHA et des impossibilités d’éditer Wikipedia en IPv6) puisque d’OVH Télécom (quand l’IPv6 de la partie FAI était annoncé comme venant de l’AS OVH et non OVH Telecom)

Le 17/06/2020 à 11h 33

Étrange. En plus la clé semble être en place depuis au moins 2018. Et comme ils utilisent aussi DMARC, une erreur se verrait dans les Authentification-Results. Hmmmm " />

Le 17/06/2020 à 10h 58

Soriatane a écrit :

Doit-on aussi parler de l’IPv6 pour insérez le nom du service ?? Il me semble que le sujet n’est pas plus glorieux…



Voilà, j’ai rendu le commentaire plus générique, vu qu’il n’y a pas que le mail où IPv6 a un taux d’utilisation minable :/

Le 17/06/2020 à 10h 43

La news a écrit :

Ainsi, les alertes de connexion à votre compte ou de notification de facture ont un statut DKIM « fail ». Leur SPF est par contre valide, ce qui explique qu’ils sont tout de même considérés comme légitimes.



Pour moi, ils apparaissent bien valides avec le sélecteur “mailout” (domaine ovh.com)

Le 15/06/2020 à 20h 11

Ça et le fait qu’ils utilisent rspamd et que c’était juste 2-3 options à cocher quelque part si j’en crois leur admin à chapeau :)

Le 13/06/2020 à 17h 01

Pouce haut :)

La seule implémentation facilement disponible pour le moment semble être rspamd. Les gens de Trusted Domain (qui font OpenDMARC et OpenDKIM) semblent bosser sur un OpenARC, mais pas de commit depuis 2018 et pas de paquets dispo (sous Debian en tout cas)

Le 13/06/2020 à 15h 00

ARC ? RFC 8617 de juillet dernier. Bon il a le statut expérimental :)

Framasoft l’utilise pour ces mails (je m’en suis rendu compte cette semaine)
Microsoft l’utilisait encore en novembre dernier (dernier message que j’ai reçu d’un contact avec une adresse mail Live/Hotmail/Outlook)

Le 13/06/2020 à 12h 15

Pour du mailing en masse, DMARC est à éviter, il pose trop de problèmes (voir le RFC 7960 qui en cause). Préférer le plus récent ARC, qui résout ces soucis (dispos dans rspamd pour les amateur·trice·s)

Le 13/06/2020 à 12h 11

Chez Free, il faut aussi débloquer le port 25, quelque part dans les options de ton compte je crois

Le 12/06/2020 à 23h 20

Note : le tuto en lien ne fourni pas de conf pour TLS. Je ne sais plus où j’avais choppé ma conf initiale… Surtout que ça a un peu bougé dans Postfix depuis.

Le 12/06/2020 à 23h 12

Pour l’installation du bordel logiciel, j’avais suivi ce tutoriel (Dovecot + Postfix, j’ai zappé le webmail).

Pour le DNS, il faut configurer

• Un enregistrement MX
  


• Un enregistrement A ou AAAA pour le nom passé en MX
  


• Un enregistrement PTR pour les adresses (là faut espérer que ton FAI te laisse changer les reverse de tes IPs si tu héberge de chez toi).
  
  Pour mon domaine, ça donne :
  Le MX
  Les adresses associées au domaine
  Un des PTR
  
  Et il faut que le serveur SMTP ait le même nom que celui des PTR (paramètre myhostname dans Postfix - j’ai choisi la solution la plus simple, même nom partout)

Le 12/06/2020 à 22h 19

Du coup, Gandi le précise dans sa FAQ.

Je suis en train de regarder chez OVH, mais leur site est tellement bien foutu… ^^ De ce que je comprends, ils ne le proposent pas : uniquement de la vérif pour le courrier entrant, et uniquement sur leurs offres avec du Exchange derrière (brrrrrrr " /> )

Du coup je serai curieux de savoir pourquoi Gandi le propose pas.

Pour DMARC, c’est déjà beaucoup plus chiant à mettre en place - et c’est parfaitement optionnel (vu les difficultés qu’il pose pour les mailing-list ou les relais)

Le 12/06/2020 à 22h 04

6 ans que j’héberge mon mail (et 2 changements de Raspberry-Pi - pratique cette framboise : on met la carte SD dans le nouveau modèle, on boot et hop :) ), et je n’ai jamais eut affaire à des banlists (respectant tout bien les normes : certificats valides, du DANE, du DKIM, du DMARC et tout le toutim et me respectant moi même : pas de mail en HTML " /> - ça doit aider face au anti-spam).

Ceci dit, ma politique en la matière est de considérer que si le serveur en face refuse mon courrier, tant pis pour lui.

Le 12/06/2020 à 13h 35

L’avantage d’être amateur : je n’ai pas à subir les horreurs non-euclidiennes :)

Le 12/06/2020 à 12h 54

Après 3 ou 4 installations foirées ça fini par marcher Postfix (True Story) ^^

Va falloir que je vérifie mon niveau de karma " />

Le 12/06/2020 à 12h 41

J’allais dire Сталин.su mais il existe déjà :/ (et il y a un même site web)

Le 12/06/2020 à 12h 35

Je suis preneur de .su ! " />

Le 12/06/2020 à 12h 34

_domainkey.lejardinier.me n’existe pas, donc si les serveurs de Gandi ne sont pas bogués, pas de DKIM proposé (en tout cas par défaut)

Le 12/06/2020 à 12h 24

À noter que STARTTLS est à proscrire de nos jours car vulnérable à certaines attaques. La recommandation étant de faire du “TLS implicite” sur le port 465 (RFC 8314). :)

Le 14/05/2020 à 14h 11

Tuto éclair : Sous Android 9 et +, tu cherches “dns” dans les paramètres, tu y choisi la 3e option et tu files le domaine de ton résolveur DoT dans le champ en dessous :)

(Pub, voir capture ici :https://www.shaftinc.fr/chiffrement-dns-pratique.html )

Le 14/05/2020 à 14h 08

network.trr.mode et pas network.uri.mode :)

Le 14/05/2020 à 14h 07

Le turfu est sclérosé " />

Le 14/05/2020 à 14h 03

DoT par défaut est préférable à DoH par défaut :P

Le 14/05/2020 à 14h 01

C’est un problème déjà présent avec certaines méthode d’authentification de DoT.

Dans ces cas là, pas de solutions magiques : faire passer des méta-requêtes en clair via un résolveur classique

Ceci dit, même dans le cadre de DoH (comme pour DoT), il est envisageable d’avoir un client prenant un URL avec un nom de domaine comme autorité et donner en plus l’IP pour ne pas à avoir de méta-requêtes à faire. C’est le cas de Firefox en mode DoH strict (network.uri.mode à 3 avant la version 74, ça a changé depuis, mais il est tout de même possible de filer une IP en bootstrap via network.trr.bootstrapAddress)

Notons enfin qu’il est bien évidement possible de filer un URL avec une IP en lieu et place du nom de domaine mais le certificat en face devra contenir cette IP (j’ai cru comprendre que ce sera bientôt possible chez Let’s Encrypt d’avoir un certif’ pour une IP)

Le 14/05/2020 à 13h 54

Oui, changer les clés est une bonne idée. Si le problème ne touche que Ubuntu Server, version que j’imagine beaucoup installé sur des VMs, le snapshot qui va bien s’impose :)

Le 13/05/2020 à 10h 35

A priori les logs déjà présents ne sont pas modifiés.

De toutes façons, le principe de précaution impose d’y passer un coup de lance-flamme préventif (et s’il ya vraiment besoin de les garder pour une raison X ou Y, chercher le mot de passe et y passer un coup de scalpel)

Le 13/05/2020 à 10h 18

Oh que oui ils sont conservés

Le 10/04/2020 à 18h 34

Pourquoi être agressif comme ça ?

Le 10/04/2020 à 18h 14

Et région historique en terme de R&D Telco (Lannion et Rennes/Cesson - pour les heures sombres de l’histoire dans ce cas " />)

En tout cas, chez ma mère (Côtes-d’Armor, ville de 10000 hab), l’armoire était posée Nowel dernier