Follow

Sur mon blog : "Escalade dans la traque en ligne, le cas Eulerian"

Je montre notamment comment bloquer cette crasse avec Unbound.

S'il y a des points obscurs ou trop complexes, n'hésitez pas à les signaler, j'ai essayé d'expliquer au maximum ce qui touche à la configuration mais j'ai pu rater des trucs :)

shaftinc.fr/escalade-traque-eu

@Shaft Ca marche en dbeian Jessie ? (unbound 1.4.22) j'ai une erreur a la validation sur auth-zone :(

@ycawidro Ah flute, ça a été ajouté dans Unbound 1.7.0, j'aurai du vérifier :/

Un contournement rapide est de faire, dans la conf Unbound :

stub-zone:
name: "eulerian.net."
stub-addr: 192.168.0.0

(et une entrée name/stub-addr par domaine)

L'adresse étant une adresse locale où il n'y a rien. Les requêtes vont y partir et ce manger un timeout. (c'est pas idéal, mais bon)

@Shaft oui j'ai fais ca au final :)
ce qui a bien marché c'est de mettre le stub-addr a 127.0.0.1 pour éviter le timeout trop long

@ycawidro Ah, en mettant le localhost, j'ai un avertissement d'unbound-checkconf, donc j'ai préféré éviter :)

@Shaft
Merci, ça marche très bien et c'est clair pour quelqu'un⋅e qui a déjà un `unbound`.

@Shaft
Je ne comprends pas pourquoi unbound n'interroge pas par défaut le localhost (comportement qui ne dépend pas de toi évidemment) ni pourquoi tu dis que s'il le faisait il ne serait plus un résolveur récursif?
Qu'est-ce qui empêche qu'un résolveur récursif commence par interroger localhost avant de s'adresser aux serveurs faisant autorité?

@LienRag Si Unbound interroge le localhost, alors il forward la requête et attend une réponse. Il devient de fait incapable de faire la récursion, car pour lui, c'est le bidule qu'il interroge sur le localhost qui va le faire. Or le bidule en question n'existe pas.

C'est la technique utilisée par exemple quand on utilise Unbound et Stubby sur la même machine (shaftinc.fr/chiffrement-dns-pr)

@Shaft Une petite coquille a la fin "dévellopeurs" dans le dernier paragraphe.

@Shaft
Super article, mais petite question.
On peut faire la même chose avec pihole qui utilise dnsmasq ?

@DarvenDissek
Pihole a une option Blacklist qui permet de bloquer un domaine.
Je ne sais pas par contre si ça peut bloquer un domaine wildcard
@Shaft

@Frozen Ça block un domaine, en "exact" ou "wildcard" ou "regex" donc si, très clairement !

On pourrait d'ailleurs le dire à @shaft ça peut être un ajout intéressant :)

@DarvenDissek

@DarvenDissek @Shaft c'est même plus simple avec pihole car le dnsmasq est modifier pour prendre en compte des regex.

@DarvenDissek Je ne sais pas tiens :/

Je ne connais pas vraiment dnsmasq mais sa doc indique un paramètre auth-zone qui semble similaire à celui d'Unbound : thekelleys.org.uk/dnsmasq/docs

@Shaft @DarvenDissek
J'ai tenté un bout de conf mais sans succès pour le moment :
```
auth-zone=eulerian.net
auth-zone=eulerian.com
auth-zone=eulerian.fr

address=/eulerian.net./127.0.0.1
address=/eulerian.com./127.0.0.1
address=/eulerian.fr./127.0.0.1
```
Si quelqu'un sait me corriger je suis prenneur

@Shaft
Je viens de lire ton article, super intéressant !

N'existe t-il pas une façon plus simple de faire que de créer des zones avec un fichier par zone ?

C'est ultra verbeux comme démarche, la possibilité de tout réunir dans un seul fichier serait super, un peu comme ce qui est fait avec la méthode classique.

@Shaft @aeris

C'est exactement ce qu'il me fallait, je met cela en place tout de suite, merci beaucoup !

Il reste plus qu'à trouver une liste qui contient le type de domaine que eulerian et le problème serait mitigé :)

@Shaft Prochainement, je vais animer un atelier sur la vie privée sur Internet. Est-ce que tu es OK pour que j'illustre certains points avec ton article ?

@Shaft Si tu veux une zone plus simple et ne nécessitant pas de c/c :

$TTL 1h
@ SOA localhost nobody.invalid ( 201911111111 1d 2h 14d 2d )
*.@ IN TXT "Domaine bloqué"

Réutilisable telle quelle pour toutes les zones à bloquer

@aeris @Shaft
"Cela reste inquiétant, car cette escalade dans la dégueulasserie laisse pour l'instant une majorité de personnes démunies pour bloquer ces traqueurs."
Oui, c'est dégueulasse ! encore un coup dur pour les michus, donc moi même.
Merci pour ton article,Shaft,je comprends mieux ce que fichait toute la journée aéris, hier,. Merci à toi aussi !
C'est effrayant, pour notre TeamJePigeRienMaisJaimeBien. Car, on vous lit , on a les infos mais on ne saura pas se protéger.

@lareinedeselfes @aeris @shaft C'est une démonstration de plus que pour se défendre dans cette guerre qu'on nous mène, la partie technique ne suffit pas. Il y a un choix de société derrière, un débat politique à avoir. Et dans le contexte qui est le nôtre, on a plus le temps et l'énergie à mettre dans ces choses aussi nuisible que la publicité et le marketing, qui ne sont RIEN d'autre que de la propagande.

@im @lareinedeselfes @aeris Oui, l'escalade technique va un temps - on est déjà au point où il faut un bon niveau de connaissance pour se protéger, ce qui laisse 99,5% de la population démunie. Il faut une réponse politique (pénale ou législative)

@lareinedeselfes @aeris @Shaft
Si tu veux te protéger simplement, tous les sites où tu n'as pas de compte, et dont tu n'as pas confiance (pas celui d'un libriste ami), ouvres-le en navigation privée et tu sera tranquille 😀​

@manu_smx @lareinedeselfes @Shaft La navigation privée est quasiment inutile contre le tracking publicitaire en pratique. Malgré ce que beaucoup pense.

@aeris @lareinedeselfes @Shaft
Mais vu qu'ils sont supprimés dès la fenêtre privée fermée, c'est pas bon ?

@manu_smx @lareinedeselfes @Shaft Non, ils repartiront aussi sec au prochain passage. Ils s’en tapent de voir le même passer ou pas.

@manu_smx @lareinedeselfes @Shaft Je pense que globalement, ils vont s’en foutre du cookie, ils ont vachement d’autres éléments pour identifier une personne.
amiunique.org/

@aeris @lareinedeselfes @Shaft
Ils peuvent récupérer la liste des extensions via JS ?
J'ai encore à apprendre moi...

@manu_smx @lareinedeselfes @Shaft Considère que si quelqu’un peut exécuter du JS sur une page, il est root ou presque. Tu seras plus proche de la réalité que toute autre assertion 😂

@aeris @manu_smx @lareinedeselfes @Shaft
C'est d'ailleur ce que "vends" ABtasty, ils te permettent de modifier les pages de ton site en JS pour certains client pour voir ce qui marche le mieux ...
Pour la partie "recording" c'est encore pire, ils reroutent certains de tes users vers leurs propres servers (via un sous domaine à toi qui sert de proxy ).

/me n'est même plus étonné.

Dites, passer par un proxy comme nitter et invidious mais compatible tous sites web sans authentification ne réglerai pas le problème ?

@Aedius @aeris @Shaft

@manu_smx @Aedius @Shaft Non, parce que ça se joue au niveau de la résolution DNS… Pas de HTTP…

@bortzmeyer @Shaft J'avais même pas vu qu'il y avait un Knot dans le Turris...
J'ai vu un dnsmasq, il va falloir que je regarde ça de plus près.

@R1Rail @Shaft Je crois qu'on a le choix.

config resolver 'common'
option prefered_resolver 'kresd'

@bortzmeyer @Shaft Ouais, mais alors là j'ai pas encore compris où on devait mettre ce genre de configuration et où tout ça est documenté...

@bortzmeyer @Shaft Ok, je vais regarder ça cette semaine (là je ne suis pas chez moi)

@bortzmeyer @Shaft C'est bien beau tout ça, mais avec le DoH Cloudflare de Mozilla ça va pas marcher...

@R1Rail @Shaft Il suffit de couper DoH dans ton Firefox. (Ou bien d'aller vers un résolveur DoH qui filtre pour toi, donc pas le mien qui est honnête, trop honnête)

@bortzmeyer
Pour moi ça marche très bien pour n'importe sous domaine de eulerian.net
mais pas pour les sous domaine des sites clients comme ftn.fortuneo.fr.
Il faut faire attention à la présence/absence d'un paramètre
dans le fichier de conf?

@Tuxmylife @Shaft Ah zut, oui, c'est appliqué au QNAME original seulement, pas à ceux obtenus en suivant la chaîne. Je vais relire la doc'

@Tuxmylife @Shaft Aïe, et c'est documenté "The policy module currently only looks at whole DNS requests. The rules won’t be re-applied e.g. when following CNAMEs." Bon, faut que je trouve autre chose.

@bortzmeyer @Tuxmylife @Shaft Wé, c’est bien ce truc qui est super relou pour plein d’outils de protection qui ne peuvent qu’agir au niveau du DNS vu du client, donc pas les récursions internes 😭

@aeris @bortzmeyer @Tuxmylife @Shaft ce qui m'embete c'est que en mobile c'est clairement mort si on arrive pas a faire une liste exhaustive des différents subdomain dnsdelegation.io ou eulerian.net ou autre :(

@aeris @bortzmeyer @Tuxmylife @Shaft Et si ces acteurs decident de ne plus operer leur DC et de migrer sur cloudlfare avec des nom de domaines dynamique ce sera completement mort :(

Sign in to participate in the conversation
La Quadrature du Net - Mastodon - Media Fédéré

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!