Le sachiez-tu ? Les résolveurs #DNS d'Orange mentent sur use-application-dns.net, prétendant qu'il n'existe pas.

Ce domaine est le « canari Â» de Firefox, permettant au FAI de dĂ©brayer #DoH Ă  volontĂ© et donc de forcer les requĂȘtes DNS vers leur rĂ©solveur.

@bortzmeyer

Techniquement j'ai pas compris comment ça marche ?

@LienRag Firefox essaie de rĂ©soudre use-application-dns.net avec le rĂ©solveur par dĂ©faut. Si il rĂ©cupĂšre NXDOMAIN (domaine non existant), il dĂ©braye DoH : plus de sĂ©curitĂ© et plus de vie privĂ©e. Ce « domaine canari Â» a Ă©tĂ© crĂ©Ă© par Mozilla en rĂ©ponse aux exigences des FAI, qui avaient beaucoup lobbyĂ© pour ce  Â« kill switch Â».

@bortzmeyer

C'est pas le contraire de ce qu'est un canari (et de ce que devrait faire Firefox) ?
Firefox donne au FAI la possibilité de bloquer DoH alors que le but de DoH est d'éviter les DNS menteurs des FAI ?

@LienRag @bortzmeyer sauf que les dns ne sont pas forcément fournis par les fai.
Et que faire les requĂȘtes d'un intranet chez cloudflare c'est plutĂŽt crade

@R1Rail @LienRag Le canari avait en effet Ă©tĂ© marketĂ© en prĂ©tendant que c'Ă©tait pour les zentreprises qui voulaient avoir un rĂ©solveur « spĂ©cial Â». Comme prĂ©vu, il est en fait utilisĂ© par les FAI pour forcer le pessage par leurs rĂ©solveurs.

@bortzmeyer @R1Rail @LienRag bah j'ai pas plus confiance en cloudflare qui en plus a déjà plein d'informations sur les sites visités

@R1Rail @LienRag M'en fiche, j'utilise un résolveur DoH libéré délivré.

@bortzmeyer @R1Rail @LienRag sauf que tu rùles sur ce qui n'est qu'une option par défaut, plus facile à désactiver que mettre son propre resolveur DoH

@LienRag @R1Rail @bortzmeyer Il me semble, ou en choisissant la bonne valeur pour la préférence de firefox, celle qui a un nom à la CO qui n'a rien à voir avec DoH.

@R1Rail @LienRag Meuh non, il y a un menu graphique Ă  la souris convivial GUI user-friendly, maintenant.

@bortzmeyer @R1Rail @LienRag Donc c'est encore plus simple que de monter son propre rĂ©solveur DoH qui doit ĂȘtre accessible de partout et en accĂšs public pour fonctionner.

@R1Rail @LienRag « En accĂšs public Â» Euh, non. (Celui de nos collĂšgues de SIDN est privĂ©, par exemple.)

@bortzmeyer @R1Rail @LienRag Il faut coder Ă  la main l'en-tĂȘte. De fait il faut donc un rĂ©solveur public.
Sans parler des options liées et de leur (non ?) documentation, mais ça c'est standard chez mozilla

@R1Rail @LienRag Non, c'est faux et tu n'as manifestement pas testé. (La syntaxe standard user@password dans l'URI marche parfaitement avec Firefox et un DoH privé. Pas essayé avec l'authentification par certificat.)

Follow

@bortzmeyer @R1Rail @LienRag n'ayant pas de serveur DoH demandant authentification (et ta solution marchera pas chez moi j'ai déjà nginx sur le 443) je ne vois pas comment tester.
Et lĂ  on retombe sur le manque de doc accessible de Mozilla

@R1Rail @LienRag Le user@password dans l'URL est tout à fait standard, et ne nécessite donc pas de doc spécifique de Mozilla.

Sign in to participate in the conversation
Hostux.social

This service is offered by hostux.net, visit our website to discover all the free services offered.
Beer, privacy and free software lovers. Join us!