• # Article de Daniel Haxx

    Posté par . Évalué à 4 (+2/-0). Dernière modification le 21/10/18 à 17:56.

    https://daniel.haxx.se/blog/2018/10/19/dns-over-https-is-rfc-8484/

    To me, DoH is partly necessary because the "DNS world" has failed to ship and deploy secure and safe name lookups to the masses

    .

    Pour moi, DoH est nécessaire entre autre parce que le "monde du DNS" a échoué à déployer pour tous une solution sécurisée de résolution de noms

    • [^] # Re: Article de Daniel Haxx

      Posté par . Évalué à 5 (+3/-0). Dernière modification le 21/10/18 à 18:09.

      En tant que sysadmin je ne peux que faire partie de ces gens qui ont échoués, me revoyant il y a quelques années commencer à mettre en place dnssec, complexe et casse-gueule, à estimer son coût en maintenance, à me dire que je n'aurai pas le temps (et que de toutes façons ça ne m'était pas demandé), au final à abandonner.

      Il y a goût amer à voir que DoH va probablement coûter en perfs, tout en étant moins bon (il ne sécurise que le canal et pas les données). Et qu'encore une fois "on fait passer tout et n'importe quoi sur un port http". Mais bon, tout le monde est déjà prêt pour DoH (Mozilla bien sûr, mais également des outils 'simples' tel que Curl, etc etc ..)

      « C'est un mal pour un bien »
      « Le mieux est l'ennemi du bien »

      Aussi, c'est peut être très bien ainsi ?

  • # Moi j'y crois.

    Posté par (page perso) . Évalué à 10 (+9/-0).

    I believe in D'oh

  • # Article de Stéphane Bortzmeyer

    Posté par . Évalué à 5 (+3/-0).

    Pour ceux qui ne lisent pas l'anglais, il y a aussi le billet de blog de Stéphane Bortzmeyer.

    • [^] # Re: Article de Stéphane Bortzmeyer

      Posté par . Évalué à 2 (+1/-0). Dernière modification le 23/10/18 à 19:15.

      Il y a une deuxième motivation à DoH, moins importante, la possibilité de faire des requêtes DNS complètes (pas seulement des demandes d'adresses IP) depuis des applications JavaScript tournant dans le navigateur, et tout en respectant CORS.

      Qu'entent-il par "requêtes DNS complètes" ?
      Les bloqueurs de pub (autant réseau que navigateur) doivent-ils s'inquiéter ?

      Donation : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat (Bitcoin | Bitcoin Cash)

      • [^] # Re: Article de Stéphane Bortzmeyer

        Posté par (page perso) . Évalué à 3 (+0/-0). Dernière modification le 23/10/18 à 19:22.

        Qu'entent-il par "requêtes DNS complètes" ?

        Autre chose qu'une requête A/AAAA (en plus limitée). Par exemple, pouvoir faire des requêtes MX, SRV, TXT…

        Les bloqueurs de pub (autant réseau que navigateur) doivent-ils s'inquiéter ?

        Quel rapport ?

        « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

        • [^] # Re: Article de Stéphane Bortzmeyer

          Posté par . Évalué à 1 (+0/-0).

          Quel rapport ?

          S'ils peuvent outre-passer les serveurs DNS configuré par défaut par le réseau.

          Donation : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat (Bitcoin | Bitcoin Cash)

          • [^] # Re: Article de Stéphane Bortzmeyer

            Posté par (page perso) . Évalué à 4 (+1/-0).

            S'ils voulaient utiliser cette technique, ils aurait déjà pu le faire avant, pas besoin d'un standard pour ça.

            « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.