Follow

Le sachiez-tu ? Les résolveurs d'Orange mentent sur use-application-dns.net, prétendant qu'il n'existe pas.

Ce domaine est le « canari » de Firefox, permettant au FAI de débrayer à volonté et donc de forcer les requêtes DNS vers leur résolveur.

@bortzmeyer Quand Mozilla va s'apercevoir que tous les ISPs feront cela, ils vont choisir d'outrepasser le résultat, comme ils outrepassent déjà totalement unilatéralement la configuration locale sur l'OS. L'approche de Google Chrome sur ce point précis est la seule qui ait du sens et qui laisse réellement l'utilisateur (et pas le développeur de Mozilla) au contrôle de ses requêtes DNS.

@pmevzek L'approche de Chrome n'a quasiment aucun intérêt. Faire du DoH avec le résolveur par défaut, c'est comme faire du TLS avec le serveur Web de Trump : on aura toujours des mensonges, même s'ils sont chiffrés.

@bortzmeyer Ce n'est pas comme ca que je la lis: si l'utilisateur a décidé d'utiliser le serveur DNS X (quel qu'il soit: local, de l'ISP, de l'opérateur tiers Y) *ET* si le navigateur sait que le DNS X supporte DoH/DoT alors il fait du DoH/DoT au lieu de faire du DoUT classique. Mais tout part du fait que 1) l'utilisateur décide quel DNS utiliser et 2) l'application n'écrase pas ce choix par ses propres souhaites, en l'affichant plus ou moins à l'utilisateur.

@bortzmeyer Et pour continuer l'analogie, si le choix est entre "au final je ne sais quel serveur est interrogé et je ne peux le contrôler" et "le serveur web de Trump", la deuxième option n'est pas pire que la première elle est identique: dans la deuxième je sais que ce sont des mensonges, dans la deuxième je ne sais même pas quel niveau de confiance je peux accorder (car je n'ai pas choisi à qui j'accorde ma confiance ou pas).

@bortzmeyer D'autre part, purement techniquement, je suis particulièrement peu persuadé que les canaris sont une bonne idée, surtout en réservant des noms comme ca (et les ancres utilisées pour DNSSEC sont à peine mieux). Apparemment personne n'a retenu les débâcles genre us-cert.gov/ncas/alerts/TA16-1 ; bien sûr un canari sans DNSSEC c'est doublement idiot.

@pmevzek L'absence de DNSSEC est cohérente puisque le canari est prévu pour qu'on puisse mentir (et ainsi débrayer DoH).

@bortzmeyer Oui je me suis mal exprimé. J'ai amendé. Ce qui donne un mauvais signal: DNSSEC c'est bien sauf justement pour des trucs sérieux de configuration de DNS on doit faire sans... Complétement illogique.

@bortzmeyer
J'ai peut être mal compris, mais donc si on force l'utilisation de DoH, il ne regarde plus le canari ?
Ou il regarde forcément le canari avant d'activer ?

Car dans le 2ième cas, si Orange bloque le canari, ils passeront forcement sans DoH.
A moins d'avoir configuré sur sa machine un autre résolveur (donc une minorité d'utilisateur).

@pmevzek

@C_Chell @bortzmeyer support.mozilla.org/en-US/kb/c " If a user has chosen to manually enable DoH, the signal from the network will be ignored and the user’s preference will be honored. " Donc c'est le premier cas: si on force DoH, le canari n'est plus interrogé.

@pmevzek
Ok, merci, j'avais raté la ligne (bon à 23h, cela ne m'étonne pas)
@bortzmeyer

@bortzmeyer Ou plutôt je veux dire qu'un canari pour bien fonctionner doit ne pas avoir DNSSEC ce qui semble clairement donner un mauvais signal en général si d'un côté on dit qu'on va tous mourir sans DNSSEC et de l'autre à la première occasion on le contourne.

@bortzmeyer Vu que chaque resolveur se comporte légèrement différemment (implem, config, mensonges, ...) on pourrait imaginer faire du "resolver fingerprinting" ? Je veux dire lancer 10 requêtes bien senties, et en fonction des réponses te dire si tu es chez Orange, Cloudflare, 8.8.8.8, 9.9.9.9, chez toi, ... Ça existe déjà peut être ?

@mdk Je ne comprends pas le but. Si on veut savoir quel résolveur on utilise, on regarde le /etc/resolv.conf (ou son équivalent Windows).

@bortzmeyer je réfléchisais uniquement a la faisabilité, pas au but, après si on arrive a en faire une page web, avec une explication "bien / pas bien : comment améliorer" ça permettrait (peut être) aux moins geeks d'améliorer leur config. Bon faire des requêtes DNS depuis une page web... j'ignore si a part img onerror on a un meilleur indicateur pour savoir si une requête réussit ou échoue, et ce n'est peut-être pas suffisant pour fingerprinter.

@mdk Ah, je pensais à un programme, pas à une page Web (qui ne peut évidemment pas accéder à la config du résolveur).

Dans ce cas, il faut ajouter un <img src="http://un-cookie-unique.domain.example"/pic.png> et, sur les serveurs faisant autorité pour domain.example, on verra l'adresse IP source du résolveur (qui n'est pas forcément son adresse de service, notamment pour les résolveurs anycastés ; il faudra donc avoir une liste des préfixes de chaque résolveur anycasté)

@bortzmeyer probablement plus fiable que du fingerprinting dans un navigateur oui bien vu.

@bortzmeyer Jusqu'à environ la semaine dernière, il était dans une des listes de blocages d'AdAway

(L'utilisant pour mon blocage de pub Unbound, j'avais un beau NXDOMAIN, corrigé avec la mise à jour des listes)

adaway.org/hosts.txt

@Shaft C'est pas complètement absurde. Le but de ce canari était de dire à Firefox « attention, ce réseau a une résolution spéciale » (ce qui est le cas si tu as un résolveur menteur qui bloque la pub). C'est en tout cas bien plus légitime que ce que fait Orange.

@bortzmeyer Oui.

Bon, je pense ne pas le noir-lister manuellement, mes Pandas étant configurés correctement :)

(Et sinon, je trouve ça toujours agaçant d'être un cobaye sans être expliciter prévenu 🤔)

@bortzmeyer @Shaft le résolveur d'Orange a une résolution spéciale, Orange ayant été obligé par la justice de bloquer certains domaines.

@R1Rail @Shaft Non, c'est vraiment un abus de pouvoir. Le canari avait été créé pour les réseaux locaux ayant des domaines privés, Orange le détourne de son usage.

@R1Rail @bortzmeyer Dans ce cas, Free devrait le bloquer aussi, or ce n'est pas le cas (Faudrait tester avec le maçon et SFR, mais j'ai la flemme de chercher leur ASN ^^)

atlas.ripe.net/measurements/24

@Shaft @R1Rail @bortzmeyer J'ai pas accès a une sonde Atlas, mais je suis chez SFR. Sans avoir vérifié si l'IP retournée pour ce domaine est la bonne¹, SFR retourne bien une réponse, il ne prétend que ce domaine n'existe pas. Reste a voir Bouygues, et notamment Bouygues 4G (mobile, pas la box. Vu qu'ils font du MITM DNS depuis plusieurs années… )

1. Je comparerai à la réponse donnée par le résolveur de LDN.

@devnull @Shaft @R1Rail @bortzmeyer D'après la documentation ce n'est pas le contenu de la réponse qui importe (donc peu importe quelle addresse IP est retournée) c'est juste si la requête retourne NOERROR avec du A/AAAA ou pas.

@Shaft @R1Rail @bortzmeyer Non, seuls les opérateurs poursuivis et condamnés doivent bloquer. Pas les autres 😂

@aeris @Shaft @R1Rail Justement, tous les procès en France (SciHub, par exemple) concernaient tous les BOFS.

Et, sur l'affaire en question, *aucun* jugement n'a condamné un FAI à mentir pour use-application-dns.net. C'est bien une décision d'Orange.

@aeris Bah les 4 condamnés pour bloquer TPB, SciHub et cie, c'est toujours au minimum les 4 incompétents (Agrume, Free, Maçon Tel et SFR) :) @R1Rail @bortzmeyer

@bortzmeyer
Si on change le serveur doh par default par un autre ca suffit a résoudre le prbl ou pas ?

@heurrevex Je crois (mais pas testé). Le canari n'agit que s'il n'y a pas eu de configuration explicite.

Sign in to participate in the conversation
Mastodon - Gougère Network

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!