Le résolveur DNS Quad9 (prononcer « quoi de neuf » en français) a été annoncé aujourd'hui. C'est un résolveur DNS public, mais dont l'originalité est d'être accessible de manière sécurisée, avec TLS (DNS sur TLS est décrit dans le RFC 7858).
Alors, l·e·a lect·eur·rice de LinuxFr.org, étant super au courant, va dire « mais des résolveurs DNS publics, il y en a plein ! Pourquoi un de plus ? ». Le plus connu est Google Public DNS mais il en existe beaucoup d'autres, avec des politiques et des caractéristiques techniques diverses. Notamment, tous (à l'exception de Cisco OpenDNS) sont non sécurisés : le lien entre vous et le résolveur est en clair, tout le monde peut écouter, et il n'est pas authentifié, donc vous croyez parler à Google Public DNS mais en fait vous parlez au tricheur que votre FAI a annoncé dans ses réseaux locaux.
Et Quad9, c'est mieux, alors ? D'abord, c'est géré par l'organisme sans but lucratif bien connu PCH, qui gère une bonne partie de l'infrastructure du DNS (et qui sont des copains, oui, je suis subjectif),
Quad9, lui, sécurise par TLS (RFC 7858). Cela permet d'éviter l'écoute par un tiers, et cela permet d'authentifier le résolveur (mais attention je n'ai pas encore testé ce point, Quad9 ne semble pas distribuer de manière authentifiée ses clés publiques).
Question politique, des points à noter :
- Quad9 s'engage à ne pas stocker votre adresse IP,
- leur résolveur est un résolveur menteur : il ne répond pas (délibérement) pour les noms de domaines considérant comme lié à des activités néfastes comme la distribution de logiciel malveillant.
L'adresse IPv4 de Quad9, comme son nom l'indique, est 9.9.9.9. Son adresse IPv6 est 2620:fe::fe. D'abord, un accès classique en UDP en clair, sur votre Linux favorite :
% dig +nodnssec @9.9.9.9 AAAA irtf.org
; <<>> DiG 9.10.3-P4-Ubuntu <<>> +nodnssec @9.9.9.9 AAAA irtf.org
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 11544
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;irtf.org. IN AAAA
;; ANSWER SECTION:
irtf.org. 1325 IN AAAA 2001:1900:3001:11::2c
;; Query time: 4 msec
;; SERVER: 9.9.9.9#53(9.9.9.9)
;; WHEN: Thu Nov 16 09:49:41 +08 2017
;; MSG SIZE rcvd: 65
On y voit que Quad9 valide avec DNSSEC (la réponse a bien le bit AD - Authentic Data).
Maintenant, testons la nouveauté importante de ce service, DNS sur TLS. C'est du TLS donc on peut y aller avec openssl :
% openssl s_client -connect \[2620:fe::fe\]:853 -showcerts
On voit que Quad9 répond bien en TLS, et a un certificat Let's Encrypt.
Testons ensuite avec un client DNS, le programme getdns_query distribué avec getdns (l'option -l L lui dit d'utiliser DNS sur TLS) :
% getdns_query @9.9.9.9 -s -l L www.afnic.fr AAAA
{
"answer_type": GETDNS_NAMETYPE_DNS,
"canonical_name": <bindata for lb01-1.nic.fr.>,
"just_address_answers":
[
{
"address_data": <bindata for 2001:67c:2218:30::24>,
"address_type": <bindata of "IPv6">
}
...
On peut utiliser tshark pour vérifier qu'on est bien en TLS :
% tshark -n -i eth0 -d tcp.port==853,ssl host 9.9.9.9
Le -d tcp.port==853,ssl
était là pour dire à tshark d'interpréter ce qui passe sur le port 853 (celui de DNS-sur-TLS) comme étant du TLS. On voit bien le dialogue TLS mais évidemment pas les questions et réponses DNS puique tout est chiffré.
Bien, maintenant que les tests se passent bien, comment utiliser Quad9 pour la vraie résolution de noms ? On va utiliser stubby pour parler à Quad9. Le fichier de configuration Stubby sera du genre:
[En fait, je ne peux pas le mettre, LinuxFr interprète son contenu et f…e en l'air tout le maraquage. Il va falloir que vous me croyiez sur parole.]
On indique à stubby d'écouter sur l'adresse locale ::1, port 8053, et de faire suivre les requêtes en DNS sur TLS à 9.9.9.9 ou 2620:fe::fe. On lance stubby :
% stubby
Et on peut le tester, en utilisant dig pour interroger à l'adresse et au port indiqué :
[Idem, quelque chose dans le résultat de dig ne plait pas à LinuxFr]
Et on peut vérifier avec tshark que Stubby parle bien avec Quad9, et en utilisant TLS.
Stubby a l'avantage de bien gérer TCP, notamment en réutilisant les connexions (il serait très coûteux d'établir une connexion TCP pour chaque requête DNS, surtout avec TLS par dessus). Mais il n'a pas de cache des réponses, ce qui peut être ennuyeux si on est loin de Quad9. Pour cela, le plus simple est d'ajouter un vrai résolveur, ici Unbound. On le configure ainsi :
[Configuration Unbound supprimée pour les mêmes raisons.]
Avec cette configuration, Unbound va écouter sur l'adresse 127.0.0.1 (sur le port par défaut, 53, le port du DNS) et relayer les requêtes pour lesquelles il n'a pas déjà une réponse dans son cache vers Stubby (::1, port 8053). Interrogeons Unbound :
[Et encore un dig supprimé]
Unbound a une mémoire (le cache) donc si on recommance la requête aussitôt, la réponse arrivera bien plus vite et on verra le TTL diminué.
Pour en savoir plus :
- le site de référence
- leur politique de vie privée
- la FAQ
- l'excellente bibliothèque getdns, le must pour faire du DNS en C
- stubby
- et toujours dans la série « les copains et les copines », le projet DNS privacy.
# [HS] C'est lisible pour quelqu'un?
Posté par Zenitram (site web personnel) . Évalué à 10. Dernière modification le 16 novembre 2017 à 17:40.
Sérieusement vous trouvez ça lisible?
Ca n'a rien à voir avec le féminisme, c'est juste rendre votre prose illisible / difficile à déchiffrer. Si vous voulez ne pas associer un genre masculin pour le genre neutre (admettons que le neutre n'existe pas), il y a tant de possibilités nettement plus lisibles.
Surtout quand "Alors, vous allez allez me dire", par exemple, aurait fait l'affaire pour rendre la phrase neutre au niveau du genre, mais certes n'a pas le plaisir de faire souffrir la personne qui qui essaye de décrypter la phrase car le sujet l’intéresse (mais ça se mérite de lire monsieur, voila).
[^] # Re: [HS] C'est lisible pour quelqu'un?
Posté par adonai . Évalué à -10.
Sérieusement vous trouvez ça lisible?
Oui.
D'ot questions ?
[^] # Re: [HS] C'est lisible pour quelqu'un?
Posté par Gawan . Évalué à 10.
Non et en plus ça pose problème pour les outils et périphériques d'aide à lecture.
[^] # Re: [HS] C'est lisible pour quelqu'un?
Posté par jben . Évalué à 10.
Pourtant il existe un moyen qui est agréable à la lecture, il s'agit du doublet épicène. Ça produit un texte lisible sans échecs cognitifs, sans innovation typographique ou autre. Après certains et certaines trouvent cela lourd. Je trouve pour ma part que ce n'est pas excessivement lourd. Je suis d'accord avec l'objectif de ce type de rédaction, et sachant que le doublet ne perturbe pas la lecture, je suis favorable à son usage en lieu et place de toutes ces innovations typographiques. Il convient bien entendu de prendre quelques précautions, comme le choix aléatoire de l'ordre du doublet si on veut avoir une symétrie.
Reprenons l'exemple initial, version originale :
Avec l'utilisation du doublet, version singulier (pas ma préférée, mais la plus proche de la version originale) :
Ou en version plurielle (ma préférée) :
À vous de choisir ce que vous trouvez le plus lisible, moi j'ai fait mon choix.
P.S. : Pour ma part, je suis heureux d'avoir passé outre cette phrase dont la typo me gène, car le reste du journal est vraiment très bien.
[^] # Re: [HS] C'est lisible pour quelqu'un?
Posté par ǝpɐןƃu∀ nǝıɥʇʇɐW-ǝɹɹǝıԀ (site web personnel) . Évalué à 10.
Effectivement le doublet épicène (j'en ignorais le nom) paraît une solution efficace à ce qui naguère n'était pas un problème. Mais… à partir du moment où des gens à courtes vues font l'effort de l'employer à tort et à travers, ils distordent la notion de genre grammatical. Et ça c'est pour le coup un véritable problème. Parce que chaque phrase où un malheureux quidam (ou une malheureuse quidam ; ah non pardon quaedam peut-être, ou quaedamae ?) oubliera de dédoubler ses expressions elles ne concerneront plus qu'une minorité de l'humanité. L'idée à son paroxysme aboutirait à ce qu'au lieu « d'un des plus brillant scientifique français » il faille par exemple formuler « un des plus brillant parmi les scientifique français, hommes et femmes compris » ; après être passé « d'un des plus remarquable auteur parmi les romanciers » à « un des plus remarquable auteur parmi les romanciers et romancières » (exemple emprunté à B. Pivot si je ne me trompe). Comme quoi le ridicule peut tuer ; les langues au moins [].
Quant à moi j'ai choisi : je ne lis plus les textes employant de manière trop marquée la novlangue. Les « sociétales » pour dire « sociale » et autres césure sexistes [*] arbitraires du genre grammatical me semblent marquer le niveau zéro de la réflexion de l'auteur — celui de la personne n'ayant même pas remarqué qu'elle ne parle pas l'anglais, mais une langue avec des genre grammaticaux nettement marqués et découplés de toute espèce de lien avec le sexe ou la sexualité, une langue avec un dictionnaire propre non publié par Harrap — et sa tendance à n'être qu'un fétu balloté par les modes d'outre atlantique ou de la perfide Albion :-).
[] Conférer http://www.academie-francaise.fr/actualites/declaration-de-lacademie-francaise-sur-lecriture-dite-inclusive.
[*] remarquables que les deux mots désignent en fait l'un l'état et l'autre l'action de séparation (CAESURA = coupure, SECARE = couper).
« IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace
[^] # Re: [HS] C'est lisible pour quelqu'un?
Posté par Liorel . Évalué à 3.
D'habitude j'aime pas être chiant, mais se planter dans les accords en nombre dans un post sur les accords en genre, ça fait mauvais gen… Bref, c'est cadeau.
(2 occurrences)
En fait, tu fais à chaque fois la même erreur : dans "un des plus grands ", "grands" s'écrit au pluriel parce qu'il ne fait référence au sujet (singulier) qu'indirectement : il s'accorde en fait avec le pronom "les" (un parmi les plus grands).
Enfin, un dernier pour la route :
Ça, ce sont les sources. Le mouton que tu veux est dedans.
[^] # Re: [HS] C'est lisible pour quelqu'un?
Posté par Liorel . Évalué à 4. Dernière modification le 17 novembre 2017 à 11:13.
Pour la petite histoire, j'ai voulu mettre en gras mes modifs, mais pour une raison que j'ignore, le balisage Markdown ne marche (dans l'aperçu) que s'il est précédé d'une espace. J'ai donc viré les astérisques en trop… Et un s est passé à la trappe, ce qui est le comble puisque c'est ce sur quoi portait mon post ><. Nouvel essai donc.
Si quelqu'un sait comment mettre en gras en milieu de mot, je suis preneur ;)
Ça, ce sont les sources. Le mouton que tu veux est dedans.
[^] # Re: [HS] C'est lisible pour quelqu'un?
Posté par ǝpɐןƃu∀ nǝıɥʇʇɐW-ǝɹɹǝıԀ (site web personnel) . Évalué à 4.
Merci. Le progrès est à peine crédible. Il y a quelques années, outre les verbes à la troisième personne du pluriel conjugués avec un s et les participes passés à l'infinitif, je ne pouvais pas aligner quatre mots — enfin trois car un restait bloqué dans l'interface chaise clavier — sans pratiquer le jumelage entre homophones. LinuxFr a du bon… Merci encore à tous ceux qui m'ont repris au fil des années ; et pardon aux victimes ; notons néanmoins que les remerciements des ophtalmologistes sont toujours attendus.
« IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace
[^] # Re: [HS] C'est lisible pour quelqu'un?
Posté par kantien . Évalué à 2.
Ça se discute, tout dépend à qui se réfère l'adjectif épithète. Ces trois phrases me semblent correctes, mais n'expriment pas la même chose :
dans la première, seule Marie Curie est qualifiée de brillante.
Sapere aude ! Aie le courage de te servir de ton propre entendement. Voilà la devise des Lumières.
[^] # Re: [HS] C'est lisible pour quelqu'un?
Posté par Big Pete . Évalué à 10.
C'est surement à cause du radium.
Faut pas gonfler Gérard Lambert quand il répare sa mobylette.
[^] # Re: [HS] C'est lisible pour quelqu'un?
Posté par louiz’ (site web personnel) . Évalué à 1.
Seule la 3ème est correcte.
[^] # Re: [HS] C'est lisible pour quelqu'un?
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . Évalué à -9.
FUD
[^] # Re: [HS] C'est lisible pour quelqu'un?
Posté par Maclag . Évalué à 10.
Pas du tout: ma fille utilise un outil d'aide à la lecture appelé "Papa", et ça lui pose problème:
Il trouve ça désagréable.
------> [ ]
[^] # Re: [HS] C'est lisible pour quelqu'un?
Posté par Liorel . Évalué à 10.
D'un autre côté, si tu lis à ta fille des articles sur les résolveurs DNS publics sécurisés par TLS, surtout à voix haute, je comprends que ça soit désagréable.
Ça, ce sont les sources. Le mouton que tu veux est dedans.
[^] # Re: [HS] C'est lisible pour quelqu'un?
Posté par Sacha Trémoureux (site web personnel) . Évalué à -1.
C'est dingue, y'a une forme qui vous dérange et vous êtes capables de vous enflammer pendant 25 commentaires à chaque journal / forum et devenir avec exactement les mêmes arguments, la même chronologie, les mêmes remarques les chevaliers de la langue française.
Ça fait plusieurs fois que ça arrive et je comprends vraiment pas cette boucle temporelle : c'est clairement pas le bon endroit pour en discuter, et vous convaincrez personne. Dans un sens comme dans l'autre. Surtout que c'est régulièrement des journaux au contenu vraiment intéressants qui sont totalement pollués par ce genre de commentaires.
[^] # Re: [HS] C'est lisible pour quelqu'un?
Posté par SpaceFox (site web personnel, Mastodon) . Évalué à 9.
Hélas, c'est régulièrement des journaux au contenu vraiment intéressants qui sont totalement pollués par ce genre de pratiques.
La connaissance libre : https://zestedesavoir.com
[^] # Re: [HS] C'est lisible pour quelqu'un?
Posté par totof2000 . Évalué à 5.
Ben typiquement, le fait de discuter sur le fait que quelqu'un écrive un truc ici sous une forme illisible ne me choque absolument pas. Tu as beau tourner le truc dans tous les sens, l'écriture inclusive a le gros défaut de nuire à la lisibilité et à la fluidité de la lecture. La raison personnellement je m'en fiche, j'aimerais juste avoir un texte facile à lire. Certains ont donné des suggestions pour permettre cette fluidité, et ce genre de remarque a tout à fait sa place. Il n'y a aucune volonté de défendre la langue française en tant que telle, mais juste une volonté de ne pas se fatiguer à lire cette horreur qu'est l'écriture inclusive.
[^] # Re: [HS] C'est lisible pour quelqu'un?
Posté par dyno partouzeur du centre . Évalué à 8.
Je me demande ce que ça donne pour un non-voyant qui utilise un périphérique braille par exemple, mais j'ai peur du résultat.
Pour moi l'accessibilité aux personnes qui ont un handicap est plus importante que la défense des fautes de grammaire volontaires revendicatives.
[^] # Re: [HS] C'est lisible pour quelqu'un?
Posté par SpaceFox (site web personnel, Mastodon) . Évalué à 10.
Quitte à être dans le HS : un article quelque peu trollesque et de mauvaise foi, mais néanmoins qui propose des réflexions originales et pas idiotes sur le sujet.
La connaissance libre : https://zestedesavoir.com
[^] # Re: [HS] C'est lisible pour quelqu'un?
Posté par oinkoink_daotter . Évalué à 10.
Je pense qu'iel a fait exprès.
[^] # Re: [HS] C'est lisible pour quelqu'un?
Posté par totof2000 . Évalué à 2.
Moi je trouve pas ça lisible, et j'ai d'ailleurs arrêté après avoir vu ça.
[^] # Re: [HS] C'est lisible pour quelqu'un?
Posté par Cᴬᴾᵀ Samavor . Évalué à -2.
Moi j'ai même pas remarqué…
[^] # Re: [HS] C'est lisible pour quelqu'un?
Posté par Foutaises . Évalué à 1.
D'ailleurs, quitte à faire de l'intégrisme idiotlogique , autant aller au bout des choses !
·
[^] # Re: [HS] C'est lisible pour quelqu'un?
Posté par Liorel . Évalué à 7.
Je proteste ! Le féminin de résolveur n'est pas résolvatrice mais bien résolutrice ! Je propose donc la réécriture suivante, plus correcte :
Ça, ce sont les sources. Le mouton que tu veux est dedans.
[^] # Re: [HS] C'est lisible pour quelqu'un?
Posté par Cᴬᴾᵀ Samavor . Évalué à -7.
Résolveur est masculin et ça suffit ! L'écriture inclusive n'a jamais concerné les mots dont le type est connu. Faut arrêter de se baser sur la version en parodie d'écriture inclusive de la fable du corbeau et du renard publiée dans Minute !
[^] # Re: [HS] C'est lisible pour quelqu'un?
Posté par Anonyme . Évalué à -10.
L'utilisation de l'inclusif n'a absolument pas d'autres but que de provoquer une réaction de ce type chez le lecteur. Et c'est pour cette raison qu'il ne faudra jamais s'en accommoder.
La preuve étant qu'il n'est utilisé généralement qu'une seule fois dans un texte, histoire d'être placé (alors qu'on pourrait très bien écrire les lectrices et les lecteurs, qui aurait exactement la même démarche sémantique et ne provoquerait lui aucune réaction), mais il faut bien trigguer un peu le mâle cisgenre qu'il check un peu ses privilèges…
[^] # Re: [HS] C'est lisible pour quelqu'un?
Posté par Zenitram (site web personnel) . Évalué à 10.
J'ai en effet hésité à réagir, tellement cette méthode est nulle.
J'ai aussi hésité à te répondre, pour la même raison.
Allez, vite fait : mettre les gens qui ont un désaccord avec toi dans un case, unique "gens pas d'accord avec moi qu'ils soient juste en désaccord avec la méthode (et même si il parle d'autre méthodes pour arriver au même but) ou fan du forum 12-25" est plus en lien avec de l'intégrisme qu'avec une réflexion sur le sujet.
Allez, je rallonge : rappeler le genre et l'orientation sexuelle d'une personne à tout bout de champs alors que ça n'a rien à voir avec le sujet, ça ressemble aussi plus à un problème psychologique par rapport à "l'autre" qu'à une réflexion (surtout quand ces critiques viennent aussi de lesbiennes).
Des cases, toujours des cases…
[^] # Re: [HS] C'est lisible pour quelqu'un?
Posté par Anonyme . Évalué à 1. Dernière modification le 17 novembre 2017 à 09:14.
Je pense que c'est utile de réagir malgré tout parce que ne pas le faire reviendrait à dire qu'on est implicitement d'accord avec ces méthodes et tout ce que cela implique en terme de construction sociale.
L'inclusif divise les individus, rappelle que chacun doit s'identifier avant tout par son genre avant du simple fait d'être quelqu'un.
Personnellement je pense qu'utiliser l'argument du "c'est pas lisible" pour le combattre n'est pas pertinent, il faut utiliser les mêmes arguments politiques et expliquer en quoi c'est néfaste socialement et délétère pour les relations humaines.
[^] # Re: [HS] C'est lisible pour quelqu'un?
Posté par Renault (site web personnel) . Évalué à 10.
Si cela l'est. Mais faut encore le présenter intelligemment :
Bref, ce n'est pas lisible est un argument valide. Mais il faut l'étayer un peu. C'est loin d'être négligeable comme aspect.
[^] # Re: [HS] C'est lisible pour quelqu'un?
Posté par Liorel . Évalué à 10.
Il n'y a pas d'accord en genre en arabe, ce qui a permis aux pays arabes d'être les havres de paix que l'on sait pour les femmes.
Ça, ce sont les sources. Le mouton que tu veux est dedans.
[^] # Re: [HS] C'est lisible pour quelqu'un?
Posté par Albert_ . Évalué à 1. Dernière modification le 19 novembre 2017 à 17:53.
Mais pas que de paix, d'égalité aussi et surtout…
C'est amusant car c’était un des arguments des défenseurs de cet abomination. Comme quoi le ridicule ne tue pas.
[^] # Re: [HS] C'est lisible pour quelqu'un?
Posté par kna . Évalué à 4.
oué ta réson on sen fou kse soi lizible.
[^] # Re: [HS] C'est lisible pour quelqu'un?
Posté par Mes Zigues . Évalué à -10.
Il n'y a que 4 points médians dans l'article, tous en début de texte faut vraiment être un·e gros·se con·ne pour écrire un commentaire sur ça.
Pour ce·ux·lles que "con·ne" dérangerais, vous pouvez le remplacer par "mal comprenant·e" et dans ce cas, n'oubliez pas de laisser votre adresse pour que je vous invite à diner.
[^] # Re: [HS] C'est lisible pour quelqu'un?
Posté par oinkoink_daotter . Évalué à 4.
Celleux s'il te plise.
[^] # Re: [HS] C'est lisible pour quelqu'un?
Posté par Psychofox (Mastodon) . Évalué à 10.
L'auteur a t-il songé réécrire son journal en Rust ?
# Pour afficher les configurations
Posté par SpaceFox (site web personnel, Mastodon) . Évalué à 10.
Pour afficher les configurations, il faut utiliser trois accents graves pour les formater en tant que code et normalement ça fonctionne.
Ici avec un exemple de conf Stubby (type yaml).
Et une sortie Dig (type console) :
La connaissance libre : https://zestedesavoir.com
[^] # Re: Pour afficher les configurations
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . Évalué à 3.
Oui, c'est ce que j'ai tenté (comme pour les premières configs) mais ça échoue dans mon cas.
[^] # Re: Pour afficher les configurations
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . Évalué à 4.
Bon, je ne sais pas ce que j'avais fait et en quoi c'est maintenant différent mais la config Stubby passe :
[^] # Re: Pour afficher les configurations
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . Évalué à 4.
Et le résultat, en demandant à Stubby :
[^] # Re: Pour afficher les configurations
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . Évalué à 4.
Et la config' Unbound :
Et la question posée à Unbound :
# Résolveur DNS menteur
Posté par Anonyme . Évalué à 10.
Pourquoi faire la promotion d’un n-ieme resolveur menteur ?
[^] # Re: Résolveur DNS menteur
Posté par THE_ALF_ . Évalué à 10.
C'est effectivement un point assez problématique. D'après leur FAQ: "Will Quad9 filter content? No. Quad9 will not provide a censoring component and will limit its actions solely to the blocking of malicious domains around phishing, malware, and exploit kit domains." OK (si on passe sur la subtile "non on ne filtre pas le contenu, on bloque juste les domaines mailicieux"), mais sur quel critère ces sélections sont elles faites? Par qui?
Aucun contrôle de la part de l'utilisateur; il me semble plus adéquat de filtrer les DNS en aval plutôt que de la centraliser sur le résolveur.
À noter qu'ils donnent accès à un DNS sans blocklist, mais:
Secure IP: 9.9.9.9 Blocklist, DNSSEC, No EDNS Client-Subnet
Unsecure IP: 9.9.9.10 No blocklist, no DNSSEC, send EDNS Client-Subnet
Le choix est étrange, pas de sécurisation sans la blocklist…
[^] # Re: Résolveur DNS menteur
Posté par Glandos . Évalué à 6.
Il manque un code de réponse qui dirait « Contenu censuré », comme le code HTTP 451. Je ne sais pas si ça existe en DNS…
[^] # Re: Résolveur DNS menteur
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . Évalué à 10.
Marrant, on en a discuté lundi à la réunion du groupe de travail DNSOP à l'IETF. Pour l'instant, ce n'est pas possible, le DNS n'offre que trop peu de codes de retour (SERVFAIL sert à un peu tout). Ce projet, adopté par le groupe de travail, permettra d'en avoir davantage. Donc, oui, après le 100 pour "DNSSEC Bogus", on pourrait avoir le 451.
[^] # Re: Résolveur DNS menteur
Posté par Maclag . Évalué à 3.
L'intention est louable, mais j'ai du mal à imaginer un pouvoir politique qui bloque en disant "oui, celui-là, je le censure".
Si tu prends le cas du GFW en Chine, par exemple, ils te répéteront à tout bout de champ que c'est le site en face qui déconne, il n'y a pas de censure (ce qui contredit le pouvoir, mais franchement est-on à ça près?).
[^] # Re: Résolveur DNS menteur
Posté par Glandos . Évalué à -1.
La censure n'est pas que politique. Dès aujourd'hui, Firefox et Chrome « bloquent » certains sites avec un gros panneau rouge d'avertissement de site malveillant. C'est de la censure assumée.
Dans le cas de Quad9, un code de retour serait utile, au lieu d'avoir une requête HTTP et retour en JSON.
Bon, après, entre le résolveur qui doit interpréter ce code, et le logiciel qui n'a probablement aucun moyen de savoir que ce code a été renvoyé… C'est surtout pour le debug.
[^] # Re: Résolveur DNS menteur
Posté par xcomcmdr . Évalué à 5. Dernière modification le 18 novembre 2017 à 10:10.
Euh non, cela protège de sites… malveillants, justement.
Je préfère mille fois que des sites frauduleux/malveillants soient bloqués par défaut, quitte à devoir dire à Firefox "tu te trompes, je sais ce que je fais" que l'inverse.
Faut quand même être conscient que Javascript permet plein de merde. Utiliser ton processeur pour miner, par exemple. Sympa, non ?
La censure ne donne même pas la possibilité de voir ce qui est censuré. C'est le principe même de la censure.
Là on est très loin de la censure. Faut arrêter de galvauder le sens de mots et de diaboliser Firefox alors qu'il ne fait que de se et te protéger.
"Quand certains râlent contre systemd, d'autres s'attaquent aux vrais problèmes." (merci Sinma !)
[^] # Re: Résolveur DNS menteur
Posté par kna . Évalué à 5.
Dans le navigateur, cette « censure » n'en est pas une, et n'est pas un problème, car :
- c'est fait dans le navigateur, sur le poste de l'utilisateur (le réseau reste idiot et balance les paquets qu'on lui demande) ;
- c'est clairement indiqué que le site est bloqué et pourquoi ;
- comme tu le précises, c'est désactivable.
Ce n'est pas la même chose avec un DNS menteur. Sauf si tu te fais ton propre DNS menteur sur ta machine/ton réseau local…
[^] # Re: Résolveur DNS menteur
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . Évalué à 2.
Sauf erreur, quand Quad9 censure, il renvoie NXDOMAIN (No Such Domain = ce domaine n'existe pas). Donc, pas de HTTP et de JSON :-)
Je n'ai pas testé, il me faudrait un nom de domaine méchant. Quelqu'un a ça sous la main ?
[^] # Re: Résolveur DNS menteur
Posté par claudex . Évalué à 5.
En cherchant dans les listes de domaines malveillants. Il y a
www.hjaoopoa.top
. Qui me renvoit bien unNXDOMAIN
Alors que les serveurs du nom du domaine renvoit bien quelque chose:
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Résolveur DNS menteur
Posté par eingousef . Évalué à 3.
sourceforge.net
*splash!*
[^] # Re: Résolveur DNS menteur
Posté par Krunch (site web personnel) . Évalué à 2.
Le pouvoir politique qui décide du bloquage et l'intervenant technique qui met en place le bloquage peuvent être différents. Dans ce cas, l'intervenant technique peut aussi avoir un peu de liberté dans la manière dont il implémente le bloquage. Avoir la possibilité d'utiliser un code d'erreur approprié serait donc le bienvenu plutôt que de faire ça de manière plus difficile à débugger.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Résolveur DNS menteur
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . Évalué à 5.
Promotion, c'est un peu exagéré, je crois avoir bien indiqué les avantages et inconvénients.
[^] # Re: Résolveur DNS menteur
Posté par ǝpɐןƃu∀ nǝıɥʇʇɐW-ǝɹɹǝıԀ (site web personnel) . Évalué à 2.
Partiellement oui. Dans la mesure où on aimerait mieux savoir quels sont les critères pour mentir ?
Le même service indiquant clairement quand il ment me paraitrait sensiblement plus attractif. À moins que ce ne soit déjà le cas ?
« IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace
[^] # Re: Résolveur DNS menteur
Posté par Anonyme . Évalué à 9.
Non, je ne trouve pas que c’est exagéré. Tu ne publies que très peu d’articles de ton blog ici, mais tu choisis celui là. En plus de ça, tu postes des messages de promotion un peu partout (Twitter, Mastodon, ici) et on t’a connu moins sympa sur le fait que d’autres fournissent du DNS menteur (comme OpenDNS qui, dans ton journal est devenu un acteur parmi d’autres).
Dans mon commentaire je ne parlais que du fait que ça soit un DNS menteur, mais quid de la vie privée ? À ce que je sache Google Public DNS n’a jamais explicitement indiqué qu’ils revendaient mes données, pourquoi est-ce qu’on devrait avoir confiance en Quad9 plus qu’en Google ?
[^] # Re: Résolveur DNS menteur
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . Évalué à 4.
Parmi les différences avec Cisco OpenDNS et Google Public DNS :
# Pourquoi utiliser un réseolveur DNS ?
Posté par gUI (Mastodon) . Évalué à 5.
C'est une vraie question, j'ai jamais compris pourquoi en fait il faut absolument utiliser un service tiers. On pourrait pas héberger notre propre serveur ? Ca se traduirait par un trop fort traffic sur les DNS root ?
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: Pourquoi utiliser un réseolveur DNS ?
Posté par ʭ ☯ . Évalué à 5. Dernière modification le 17 novembre 2017 à 08:30.
A ce moment-là, ce sont les DNS root qui sont les tiers, non?
⚓ À g'Auch TOUTE! http://afdgauch.online.fr
[^] # Re: Pourquoi utiliser un réseolveur DNS ?
Posté par gUI (Mastodon) . Évalué à 4.
En effet mais eux par définition ils sont neutres. Ils ne censurent rien (si t'es censuré par un DNS root alors tu ne fais pas partie d'"Internet").
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: Pourquoi utiliser un réseolveur DNS ?
Posté par ʭ ☯ . Évalué à 6.
"Par définition"? Bienvenue à Gattaca!
⚓ À g'Auch TOUTE! http://afdgauch.online.fr
[^] # Re: Pourquoi utiliser un réseolveur DNS ?
Posté par ʭ ☯ . Évalué à 1.
Il ne faut pas absolument. Mais paramétrer son propre DNS implique d'avoir une machine allumée en permanence pour servir les autres périphériques, et c'est pas bon pour la planète…
⚓ À g'Auch TOUTE! http://afdgauch.online.fr
[^] # Re: Pourquoi utiliser un réseolveur DNS ?
Posté par jihele . Évalué à 3.
Peut-être voulait-il dire que chacune de ses machines pourrait être son propre DNS seulement pour elle-même.
[^] # Re: Pourquoi utiliser un réseolveur DNS ?
Posté par gUI (Mastodon) . Évalué à 6.
Machine allumée h24 j'en ai déjà une sur mon réseau local, alors autant mettre un résolveur non ?
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: Pourquoi utiliser un réseolveur DNS ?
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . Évalué à 6.
Si les autres périphériques sont éteints, ils n'ont pas besoin de résolveur Et, s'ils sont allumés, il y a des chances qu'ils consomment plus d'électricité que le routeur OpenWRT portant le résolveur.
[^] # Re: Pourquoi utiliser un réseolveur DNS ?
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . Évalué à 10.
Alors, attention, il ne vaut mieux pas parler de "serveur DNS" tout court car ça mélange deux bêtes assez différentes, les résolveurs et les serveurs faisant autorité. Quad9 est un résolveur. Et, oui, on peut parfaitement avoir son propre résolveur et, non, cela ne ferait pas trop de trafic sur les serveurs racine, qui en voient bien d'autres (notamment en raison des dDoS). Un bon endroit pour mettre un tel résolveur est dans la box/routeur/CPE, qui est en général allumé en permanence (le Turris Omnia a un tel résolveur, par défaut).
Maintenant, du point de vue vie privée, ce n'est pas idéal car le FAI voit les requêtes DNS vers les serveurs faisant autorité, qui sont en clair. Bien sûr, c'est moins pratique pour lui de les surveiller que si elles sont envoyées à un résolveur qu'il gère, mais ce n'est quand même pas parfait.
[^] # Re: Pourquoi utiliser un réseolveur DNS ?
Posté par gUI (Mastodon) . Évalué à 4.
Ah bin voilà ! Merci pour ces explications :)
Tant que tu es chaud, tu nous ferait un petit topo résolveur vs serveur ? C'est quoi la différence ?
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: Pourquoi utiliser un réseolveur DNS ?
Posté par rewind (Mastodon) . Évalué à 0.
Je serais Stéphane, je ferais ça ailleurs parce que vu la hauteur des commentaires sur un journal d'une excellente qualité, il serait complètement fou de réitérer. À moins qu'il ne soit suffisamment maso pour aimer ça.
[^] # Re: Pourquoi utiliser un réseolveur DNS ?
Posté par Donk . Évalué à 1.
Un résolveur résout, alors qu’un serveur sert.
[^] # Re: Pourquoi utiliser un réseolveur DNS ?
Posté par syntaxerror . Évalué à 4.
déjà fait http://www.bortzmeyer.org/changer-dns.html :)
# Installer son resolveur
Posté par MTux . Évalué à 6.
apt-get install unbound
echo "nameserver 127.0.0.1" > /etc/resolv.conf
de rien.
[^] # Re: Installer son resolveur
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . Évalué à 3.
Ça ne marche pas si on utilise des trucs comme Network Manager, qui réécrivent le
/etc/resolv.conf
. (Je ne parle même pas de systemd.)[^] # Re: Installer son resolveur
Posté par gouttegd . Évalué à 7.
Je ne sais pour Systemd, mais pour NetworkManager, on peut lui demander gentiment de ne pas toucher à
/etc/resolv.conf
en ajoutant :dans son fichier de configuration (
/etc/NetworkManager/NetworkManager.conf
ou assimilé). Ça signifie en gros « Merci de ne pas toucher à ma config DNS, je m’en occupe moi-même. »[^] # Re: Installer son resolveur
Posté par steph1978 . Évalué à 2.
Ça marche plutôt bien.
Sauf en itinérance quand tu passes par un réseau d'entreprise qui ne permet pas le protocole DNS vers internet.
Du coup j'ai opté pour unbound sur un petit serveur h24.
# Ars Technica
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . Évalué à 3.
Un bon article en anglais, avec quelques détails techniques.
[^] # Re: Ars Technica
Posté par Tonton Th (Mastodon) . Évalué à 2.
Extrait de l'article :
Pour le début, ça me semble correct, par contre la dernière phrase me laisse un peu dubitatif. Est-ce que cette anonymation des données fonctionne aussi pour les taxis de New-York, et surtout quelles données tentent ils de dissimuler et pourquoi, peut-être en vue d'une diffusion ultérieure ?
# autres DNS chiffrés autentifiés
Posté par Krunch (site web personnel) . Évalué à 4.
C'est incorrect. Google Public DNS est disponible en mode DNS-over-HTTPS : https://developers.google.com/speed/public-dns/docs/dns-over-https
Certes c'est pas standardisé dans une RFC et il peut y avoir d'autres raisons de préférer un autre resolver mais il n'est pas correct de dire que seuls Quad9 et Cicso OpenDNS permette de chiffrer/autentifier la résolution.
(je travaille chez Google)
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: autres DNS chiffrés autentifiés
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . Évalué à 2.
Le problème, c'est aussi que ce n'est pas du DNS : il n'existe pas de client qui envoie les requêtes sur HTTPS et interprètent le JSON de sortie.
Parce que des DNS-sur-HTTPS en JSON, il y en avait bien avant Google, par exemple le mien en https://dns.bortzmeyer.org/
[^] # Re: autres DNS chiffrés autentifiés
Posté par Krunch (site web personnel) . Évalué à 3.
Il existe des clients :
https://coredns.io/2016/11/26/dns-over-https/
https://github.com/pforemski/dingo
https://github.com/m13253/dns-over-https
https://www.google.ch/search?q=DNS-over-HTTPS+client
Mais effectivement, c'est pas (encore) RFC-isé.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: autres DNS chiffrés autentifiés
Posté par Krunch (site web personnel) . Évalué à 2.
Plus de lecture sur le sujet et les plans de standardisation :
https://blog.apnic.net/2017/07/25/ietf-99-prague-theres-lot-going-dns/
https://blog.apnic.net/2017/11/28/hiding-the-dns/
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
# Cache local
Posté par Cᴬᴾᵀ Samavor . Évalué à 1.
J'ai toujours eu un doute sur l'utilité de rajouter un cache DNS chez soit ou sur un petit réseau local.
Les applications genre navigateur internet ont déjà un système de "cache", une requête DNS n'est pas émise à chaque chargement d'un élément d'une page web depuis le même domaine.
Y'a déjà un cache "OS level" avec la glibc(nscd) ou systemd-resolved.
Pour être efficace (faible taux de cache-miss) un serveur à besoin de beaucoup d'utilisateurs, mon FAI, Quad9 ou Google n'ont pas ce problème, mais je suis incapable de lui en fournir.
[^] # Re: Cache local
Posté par Cᴬᴾᵀ Samavor . Évalué à 1.
Et je rajoute qu'en cas de cache-miss un serveur DNS "public" est généralement placé sur un réseau rapide d'où il pourra faire les requêtes DNS nécessaires à la réponse rapidement. Moi je n'ai que ma petite connexion ADSL pour ça.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.