Techniquement j'ai pas compris comment ça marche ?
@LienRag Firefox essaie de résoudre use-application-dns.net avec le résolveur par défaut. Si il récupère NXDOMAIN (domaine non existant), il débraye DoH : plus de sécurité et plus de vie privée. Ce « domaine canari » a été créé par Mozilla en réponse aux exigences des FAI, qui avaient beaucoup lobbyé pour ce « kill switch ».
C'est pas le contraire de ce qu'est un canari (et de ce que devrait faire Firefox) ?
Firefox donne au FAI la possibilité de bloquer DoH alors que le but de DoH est d'éviter les DNS menteurs des FAI ?
@LienRag @bortzmeyer sauf que les dns ne sont pas forcément fournis par les fai.
Et que faire les requêtes d'un intranet chez cloudflare c'est plutôt crade
@bortzmeyer @R1Rail @LienRag bah j'ai pas plus confiance en cloudflare qui en plus a déjà plein d'informations sur les sites visités
@bortzmeyer @R1Rail @LienRag sauf que tu râles sur ce qui n'est qu'une option par défaut, plus facile à désactiver que mettre son propre resolveur DoH
Ah il est désactivable le canari méchant ?
@LienRag @R1Rail @bortzmeyer Il me semble, ou en choisissant la bonne valeur pour la préférence de firefox, celle qui a un nom à la CO qui n'a rien à voir avec DoH.
@bortzmeyer @R1Rail @LienRag Donc c'est encore plus simple que de monter son propre résolveur DoH qui doit être accessible de partout et en accès public pour fonctionner.
@bortzmeyer La dernière fois que j'avais regardé c'était le cas; Sans compter que monter un DoH était quand même une bonne grosse saloperie Web bourré de librairies incontrolées.
@R1Rail ldd trouve 34 bibliothèques (dont la libc et le loader). Pour un programme moderne, ce n'est pas beaucoup :-)
@bortzmeyer @R1Rail Et vu que tu es seul utilisateur sur ton résolveur DoH et que lui fais ses requêtes en clair tu es tout aussi espionnable que sans. Tu n'as rien gagné. Le DoH te protège uniquement parce que tu es au milieu de la foule, ce qui impose la centralisation, et donc un acteur qui lui va être en première place pour t'espionner.
@R1Rail @bortzmeyer C'est plus ou moins vrai, ou en tout cas plus compliqué que ca, donc ca ne tient pas dans un toot.Le serveur DoH utilisé peut être un serveur virtuel/physique dans un nuage, et donc les requêtes qu'il fera seront noyées parmi plein d'autres.Il est toujours important de d'abord spécifier contre quoi on veut se protéger, de là découlent les défenses. Il y a aussi les promoteurs de l'usage de plusieurs résolveurs et répartir les requêtes entre. Sans compter la QNAME minimization
@R1Rail Les requêtes sortantes sont en clair, mais QNAME minimisation + cache améliorent les choses. Et je ne suis pas le seul utilisateur. L'opposition binaire résolveur strictement individuel vs. gros GAFA est absurde.
@bortzmeyer @R1Rail tu utilises quel logiciel pour le serveur DoH?
@bortzmeyer @R1Rail Ah ? tu as une doc pour en monter un ? J'ai déjà un nginx et un unbound qui tournent, ça devrait être simple alors ?