Au risque de m'attirer à nouveau les foudres du Z …
Ma meilleure config jusqu'à présent pour limiter au mieux les risques du ouaibsurefinne : Firefox + plugin NoScript + pi-hole
Cette solution est pénible, pour cause de mise en liste blanche au cas par cas avec NoScript, c'est lourd, mais nécessaire selon moi. Et on peut probablement l'améliorer avec d'autres outils. Mais ça transforme pas mal de site en quelque chose de regardable.
Notez que Firefox + NoScript existent aussi sous Android.
Je ne dis pas que je n'utilise pas Chrome. Mais uniquement quand je ne peux pas faire autrement, ou quand un site est allergique aux bloqueur au point de ne plus fonctionner du tout.
Je profite de l'occasion pour mentionner à nouveau un comportement totalement anormal de Chrome (ça devrait même être illégal, répréhensible) : sur un Mac, grâce à Little Snitch, j'ai pris Chrome en flagrant délit de requête DNS directe (port 53) vers 8.8.8.8 et 8.8.4.4 alors que ma config réseau (DHCP sous Debian) précise de passer par mon pi-hole. Google triche pour éviter un blocage DNS. Joli le "don't do evil" …
Notez aussi que NoScript existe aussi pour Chrome depuis un moment maintenant. Mais Chrome et Google étant ce qu'ils sont …
Sinon, on est d'accord, on ne va pas parler de Bing ?…
Je profite de l'occasion pour mentionner à nouveau un comportement totalement anormal de Chrome (ça devrait même être illégal, répréhensible) : sur un Mac, grâce à Little Snitch, j'ai pris Chrome en flagrant délit de requête DNS directe (port 53) vers 8.8.8.8 et 8.8.4.4 alors que ma config réseau (DHCP sous Debian) précise de passer par mon pi-hole. Google triche pour éviter un blocage DNS. Joli le "don't do evil" …
La plupart des navigateurs, y compris firefox, utilisent dns-over-https par défaut donc vont court-circuiter ton pi-hole à moins que tu les configures spécifiquement pour ne pas le faire. Et ça c'est moins facile à voir avec little-snitch ou un firewall à moins de forcer tout ton traffic https via un proxy perso, faire du man in the middle et interdire tout autre traffic en https vers l'extérieur.
J'imagine que c'est la même chose pour la plupart des appareils connectés et les smartTVs que tu ne peux pas reconfigurer, ce qui limite l'intérêt de pi-hole.
OK, bonne suggestion, je vais voir si je peux surveiller ça de près.
Mais là, je parlais bien d'une interception par Little Snitch d'une connexion de Chrome à 8.8.8.8:53. Il ne se cachait même pas !
Le plus simple, c'est que je bloque tout ce qui essaye de sortir de chez moi en 53, à par mon pi-hole.
Et creuser la question du dns-over-https.
Pour Firefox il me semble que ce n'est pas encore activé par défaut partout, ça dépend de ta région, ton OS, ton mode d'install…
Pour ma part j'ai du l'activer manuellement et j'ai choisi un DNS de OpenNIC. Ce qui est chiant c'est que si c'est mal configuré tu n'as pas d'erreur mais une fuite DNS
# My 2 cents
Posté par AncalagonTotof . Évalué à 5.
Au risque de m'attirer à nouveau les foudres du Z …
Ma meilleure config jusqu'à présent pour limiter au mieux les risques du ouaibsurefinne : Firefox + plugin NoScript + pi-hole
Cette solution est pénible, pour cause de mise en liste blanche au cas par cas avec NoScript, c'est lourd, mais nécessaire selon moi. Et on peut probablement l'améliorer avec d'autres outils. Mais ça transforme pas mal de site en quelque chose de regardable.
Notez que Firefox + NoScript existent aussi sous Android.
Je ne dis pas que je n'utilise pas Chrome. Mais uniquement quand je ne peux pas faire autrement, ou quand un site est allergique aux bloqueur au point de ne plus fonctionner du tout.
Je profite de l'occasion pour mentionner à nouveau un comportement totalement anormal de Chrome (ça devrait même être illégal, répréhensible) : sur un Mac, grâce à Little Snitch, j'ai pris Chrome en flagrant délit de requête DNS directe (port 53) vers 8.8.8.8 et 8.8.4.4 alors que ma config réseau (DHCP sous Debian) précise de passer par mon pi-hole. Google triche pour éviter un blocage DNS. Joli le "don't do evil" …
Notez aussi que NoScript existe aussi pour Chrome depuis un moment maintenant. Mais Chrome et Google étant ce qu'ils sont …
Sinon, on est d'accord, on ne va pas parler de Bing ?…
[^] # Re: My 2 cents
Posté par Psychofox (Mastodon) . Évalué à 6.
La plupart des navigateurs, y compris firefox, utilisent dns-over-https par défaut donc vont court-circuiter ton pi-hole à moins que tu les configures spécifiquement pour ne pas le faire. Et ça c'est moins facile à voir avec little-snitch ou un firewall à moins de forcer tout ton traffic https via un proxy perso, faire du man in the middle et interdire tout autre traffic en https vers l'extérieur.
J'imagine que c'est la même chose pour la plupart des appareils connectés et les smartTVs que tu ne peux pas reconfigurer, ce qui limite l'intérêt de pi-hole.
[^] # Re: My 2 cents
Posté par AncalagonTotof . Évalué à 2.
OK, bonne suggestion, je vais voir si je peux surveiller ça de près.
Mais là, je parlais bien d'une interception par Little Snitch d'une connexion de Chrome à 8.8.8.8:53. Il ne se cachait même pas !
Le plus simple, c'est que je bloque tout ce qui essaye de sortir de chez moi en 53, à par mon pi-hole.
Et creuser la question du dns-over-https.
[^] # Re: My 2 cents
Posté par ted (site web personnel) . Évalué à 4.
Pour Firefox il me semble que ce n'est pas encore activé par défaut partout, ça dépend de ta région, ton OS, ton mode d'install…
Pour ma part j'ai du l'activer manuellement et j'ai choisi un DNS de OpenNIC. Ce qui est chiant c'est que si c'est mal configuré tu n'as pas d'erreur mais une fuite DNS
Un LUG en Lorraine : https://enunclic-cappel.fr
[^] # Re: My 2 cents
Posté par antistress (site web personnel) . Évalué à 4.
oui
sinon : doh.bortzmeyer.fr
https://www.bortzmeyer.org/doh-bortzmeyer-fr-policy.html
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.