• # My 2 cents

    Posté par  . Évalué à 5.

    Au risque de m'attirer à nouveau les foudres du Z …

    Ma meilleure config jusqu'à présent pour limiter au mieux les risques du ouaibsurefinne : Firefox + plugin NoScript + pi-hole

    Cette solution est pénible, pour cause de mise en liste blanche au cas par cas avec NoScript, c'est lourd, mais nécessaire selon moi. Et on peut probablement l'améliorer avec d'autres outils. Mais ça transforme pas mal de site en quelque chose de regardable.

    Notez que Firefox + NoScript existent aussi sous Android.

    Je ne dis pas que je n'utilise pas Chrome. Mais uniquement quand je ne peux pas faire autrement, ou quand un site est allergique aux bloqueur au point de ne plus fonctionner du tout.
    Je profite de l'occasion pour mentionner à nouveau un comportement totalement anormal de Chrome (ça devrait même être illégal, répréhensible) : sur un Mac, grâce à Little Snitch, j'ai pris Chrome en flagrant délit de requête DNS directe (port 53) vers 8.8.8.8 et 8.8.4.4 alors que ma config réseau (DHCP sous Debian) précise de passer par mon pi-hole. Google triche pour éviter un blocage DNS. Joli le "don't do evil" …

    Notez aussi que NoScript existe aussi pour Chrome depuis un moment maintenant. Mais Chrome et Google étant ce qu'ils sont …

    Sinon, on est d'accord, on ne va pas parler de Bing ?…

    • [^] # Re: My 2 cents

      Posté par  (Mastodon) . Évalué à 6.

      Je profite de l'occasion pour mentionner à nouveau un comportement totalement anormal de Chrome (ça devrait même être illégal, répréhensible) : sur un Mac, grâce à Little Snitch, j'ai pris Chrome en flagrant délit de requête DNS directe (port 53) vers 8.8.8.8 et 8.8.4.4 alors que ma config réseau (DHCP sous Debian) précise de passer par mon pi-hole. Google triche pour éviter un blocage DNS. Joli le "don't do evil" …

      La plupart des navigateurs, y compris firefox, utilisent dns-over-https par défaut donc vont court-circuiter ton pi-hole à moins que tu les configures spécifiquement pour ne pas le faire. Et ça c'est moins facile à voir avec little-snitch ou un firewall à moins de forcer tout ton traffic https via un proxy perso, faire du man in the middle et interdire tout autre traffic en https vers l'extérieur.

      J'imagine que c'est la même chose pour la plupart des appareils connectés et les smartTVs que tu ne peux pas reconfigurer, ce qui limite l'intérêt de pi-hole.

      • [^] # Re: My 2 cents

        Posté par  . Évalué à 2.

        OK, bonne suggestion, je vais voir si je peux surveiller ça de près.
        Mais là, je parlais bien d'une interception par Little Snitch d'une connexion de Chrome à 8.8.8.8:53. Il ne se cachait même pas !
        Le plus simple, c'est que je bloque tout ce qui essaye de sortir de chez moi en 53, à par mon pi-hole.
        Et creuser la question du dns-over-https.

      • [^] # Re: My 2 cents

        Posté par  (site web personnel) . Évalué à 4.

        Pour Firefox il me semble que ce n'est pas encore activé par défaut partout, ça dépend de ta région, ton OS, ton mode d'install…

        Pour ma part j'ai du l'activer manuellement et j'ai choisi un DNS de OpenNIC. Ce qui est chiant c'est que si c'est mal configuré tu n'as pas d'erreur mais une fuite DNS

        Un LUG en Lorraine : https://enunclic-cappel.fr

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.