SMPFR

pong

En même temps son insta il crie pas "prof de math" ...

Sur la collec', effectivement il n'y a que quelques signes...

Enfin bref. Ca aide à bien commencer la semaine !

Pong

À par changer l'apn dans le BlackBerry, pas moyen d'indiquer de dns

Ping

https://www.nextinpact.com/news/101786- ... umaine.htm

Pong

Orange : pourquoi une « erreur humaine » paraît peu vraisemblable

ping

J'ai eu un client qui m'a appelé ce matin car il disait pas avoir internet... enfait, il accédait juste pas à google
J'ai mis quelques minutes avant de comprendre

Pong

https://www.nextinpact.com/news/101786- ... umaine.htm

Orange : pourquoi une « erreur humaine » paraît peu vraisemblable

ping

Et l'autrela elle joue en douce avec la balise Url sur le même lien que moi
ping

merci biour, j'ai fail mon copier coller
http://www.numerama.com/tech/202058-ora ... lable.html

pong

ping,

on va finir comme les chinois et les nord coréens, avec leur propre moteur de recherche ou les résultats seront filtrés
évidement le tout hébergé au ministère de la défense sur un PII233 (recyclage, économie, bobo parisien, c'est la mode) qui va servir 1 requête a la minute

We mais belle inteface hype fashion tendance avec clavier de machine à ecrire ^^

Cool, j'ai mis en place mon vpn (mode parano diffie hellman 4096) avec des dns de la FDN (ou un truc du genre)
pong

Logs désactivés
Compression désactivée (susceptible d’être une source de failles)
Meilleur chiffrement (voir ci-dessous + les 2 modes)
Empêche le leak DNS
Support de UFW
Le serveur tourne en mode non-privilégié
TLS 1.2 uniquement au lieu de TLS 1.0
TLS-auth pour empêcher les thwart DoS attacks et renforcer TLS
AES-256-CBC et SHA-512 pour HMAC (au lieu de BF-128-CBC et SHA1)
Les serveurs DNS de FDN
Les serveurs DNS de DNS.WATCH
Support de SNAT et de MASQUERADE pour le forwarding
Les serveurs DNS OpenNIC les plus proches de votre serveur (comme dans ce script)
La dernière version de OpenVPN (2.3.10) grâce à EPEL pour CentOS et swupdate.openvpn.net pour Debian et Ubuntu

ping

Ouais mais on peut toujours intercepter et modifier tes requêtes DNS entre ta sortie VPN et le résolveur.

mouaip, et encore suis pas sur.
pong, des pistes?

faut que le résolveur fasse du dnssec si je dis pas de bêtises

ping

fdn en fais je crois

pong > C'est déjà + ou - le cas. Le filtrage n'est pas forcément mauvais en soit. Ce qui n'est pas acceptable, c'est que les utilisateurs ne sont pas mis au courant de ce qui est filtré et pourquoi/comment et n'ont pas la possibilité de retirer les filtres. Depuis l'aube des annuaires et moteurs de recherches, les filtres existent ainsi que les partenariats. Je crois que AOL et sont "web" sécurisé de l'époque en est une belle preuve. Ce qui manque c'est la transparence, comme dénoncé depuis 20 ans.
Enfin, quand on vois la proportions, surtout de jeunes gens, qui utilisent des "applications dédiées" ou facebook pour naviguer sur internet, je pense qu'on peut dire que l'utilisateur moyen se fiche complètement du filtrage et de la neutralité d'internet.

faut que le résolveur fasse du dnssec si je dis pas de bêtises

ping

fdn en fais je crois

oui mais encore faut'il pouvoir l'activer pong

c'est le résolveur qui le fait pas toi.

donc uniquement entre serveur dns

ping

mouaip, et encore suis pas sur.
des pistes?

faut que le résolveur fasse du dnssec si je dis pas de bêtises

DNSsec assure un chiffrement des transferts d'infos entre les serveurs DNS mais pas entre le client et son resolver. En gros ça assure "l'intégrité" de la réponse contenue dans le resolver mais pas que cette réponse te sera livrée intacte et sans retouche.
Une piste pour ça c'est d'encapsuler ta requête dans un tunnel chiffré jusqu'au resolver. Ou directement de faire du DNScrypt : https://dnscrypt.org/
Côté client c'est jouable pour le mettre sur son poste directement ou si on a un routeur Linux bidouillable.
Côté serveur bah faut trouver un resolver qui sache causer en DNScrypt. Y'a une liste sur le site officielle. J'ai déjà vu au moins service de VPN le fournir en bonus également.

pong

DNSsec assure un chiffrement des transferts d'infos entre les serveurs DNS mais pas entre le client et son resolver. En gros ça assure "l'intégrité" de la réponse contenue dans le resolver mais pas que cette réponse te sera livrée intacte et sans retouche.
Une piste pour ça c'est d'encapsuler ta requête dans un tunnel chiffré jusqu'au resolver. Ou directement de faire du DNScrypt : https://dnscrypt.org/
Côté client c'est jouable pour le mettre sur son poste directement ou si on a un routeur Linux bidouillable.
Côté serveur bah faut trouver un resolver qui sache causer en DNScrypt. Y'a une liste sur le site officielle. J'ai déjà vu au moins service de VPN le fournir en bonus également.

pong

Ya des tutos en effet
ping,

dnscrypt te garanti qu'entre le serveur DNS qui fait la question et ta réponse c'est pas intercepté, mais t'as toujours le soucis qu'il peut être intercepté entre le serveur autoritaire et le récursif :/

pong

ping

Oui mais là par contre c'est DNSsec qui apporte la réponse.
Les deux sont complémentaires.

ping

Oui mais là par contre c'est DNSsec qui apporte la réponse.
Les deux sont complémentaires.

et pourquoi tu pourrais pas faire du dnssec directement depuis ton pc alors ?

pong

ping

Ouais mais on peut toujours intercepter et modifier tes requêtes DNS entre ta sortie VPN et le résolveur.

j'ai eu le cas au précèdent taf ou on avait 3 FAI
Misericable: ils interceptent tout ce qui passe sur le port 53
completel: même groupe donc même punition
OVH: pas d'interception

en clair ça veut dire quoi ?

que pour une même requête sur un serveur DNS autre que ceux des FAI (en l'occurrence 8.8.8.8) la réponse n'est pas la même.
certains FAI vont renvoyer l'IP de cache qui sont plus proches de chez eux pour pas payer de transit (peering)
conséquence, on se retrouve parfois avec des données incohérentes, typiquement sur des sites avec session.

j'ai eu du mal a me dépêtrer de cette cochonnerie.
ping

bouygues fait la même, ca intercepte tout le 53

pong

ping

T'es sérieux?! Y'a des FAI qui font ça.... C'est un scandale franchement... et une violation de la neutralité du net maintenant que c'est juridiquement défini.

Z> pcq DNSsec n'est pas un protocole réseau mais un ensemble d'enregistrements DNS combinés à de la PKI etc... bref il ne définit rien sur comment le client final (poste de travail ou tél) doit interroger son resolver.

y a des petits schémas qui expliquent bien ici : https://dnscrypt.org/

pong