Le 1er avril, Cloudflare a lancé 1.1.1.1, un résolveur DNS orienté grand public et vie privé, censé être le plus rapide dans sa catégorie (mais pas sûr qu'il y ait grand monde dans la catégorie orientée vie privée…).
Note : résolveur est le franglais du « resolver », on parle aussi de serveur récursif ou de serveur de cache.
Tout est relativement clairement expliqué sur leur blog (en particulier les motivations et intentions) :
https://blog.cloudflare.com/announcing-1111/
Les instructions pour l'utiliser :
https://developers.cloudflare.com/1.1.1.1/setting-up-1.1.1.1/
En gros cela permet de limiter la fuite de données personnelles (les sites que vous consultez) en remplaçant le résolveur DNS de votre FAI. C'est une alternative au 8.8.8.8 de Google, car 1.1.1.1 est assez performant et… est un peu moins marqué Google.
Ce n'est pas encore la panacée car de toute façon le nom d'hôte est transmis en clair (SNI) et parce que cela semble casser le mécanisme d'authentification/autorisation des Wifi en libre accès (typiquement avec une page qui vous demande d'accepter les conditions générales). Mais c'est un pas dans la bonne direction.
# Un de plus
Posté par Benoît Sibaud (site web personnel) . Évalué à 7.
Et aussi le 10.10.10.10. Il est temps de lancer 255.255.255.255.
[^] # Re: Un de plus
Posté par oinkoink_daotter . Évalué à 2.
Ca ne s'appelle pas déjà à peu de choses près mDNSResponder/Avahi-daemon/systemd-resolved ? :-D
[^] # Re: Un de plus
Posté par François . Évalué à 5.
A ne pas confondre avec (le très fonctionnel) 010.010.010.010.
(pour ceux qui ne comprendrait pas, je les invite à pinguer cette ip…)
[^] # Re: Un de plus
Posté par Faya . Évalué à 3.
Merci pour cette astuce, je ne connaissais pas !
Ça marche aussi avec
ping 134744072
# vie privée, Cloudflare, blague ?
Posté par Thomas Debesse (site web personnel) . Évalué à 10.
Le poisson d’avril c’est d’associer Cloudflare et vie privée ? Parce que Cloudflare, c’est un peu le passage obligé de tant de sites alors Google ou Cloudflare c’est du pareil au même.
Si « vie privée » signifie ne pas utiliser le service de son fournisseur d’accès, alors utiliser le DNS 8.8.8.8 de Google c’est aussi de la vie privée ?
Je partage une pensée en passant : aujourd’hui la priorité du citoyen c’est de se prémunir contre le FAI, contre l’état… Ne serait-ce que parce que cet état d’esprit semble aller de soi témoigne d’un vrai problème de société, le FAI étant le fournisseur qu’on a choisi et donc à qui on a décidé de faire confiance, l’état étant la structure sensée nous protéger etc. Dans les faits, je fais pareil, mais que je le fasse me dit que quelque chose est détraqué dans le système…
ce commentaire est sous licence cc by 4 et précédentes
[^] # Re: vie privée, Cloudflare, blague ?
Posté par Anonyme . Évalué à 1.
Oui c'est très risible quand on sait qu'il y a Quad9, les serveurs de la fédération FDN ou la solution du DNS autohébergé.
[^] # Re: vie privée, Cloudflare, blague ?
Posté par Bisaloo . Évalué à 4.
Qu'est-ce qui fait que je devrais faire plus confiance à Quad9 que Cloudflare ?
[^] # Re: vie privée, Cloudflare, blague ?
Posté par Anonyme . Évalué à 1.
Je prêche pour aucun des deux, c'est déjà moins craignos que Google ou les gros FAI. Mais derrière Quad9 c'est IBM et surtout PCH donc pour moi c'est un poil au-dessus en terme de confiance.
[^] # Re: vie privée, Cloudflare, blague ?
Posté par Anonyme . Évalué à 3.
J’ai posé la même question à Bortzmeyer quand il est venu faire la pub (lui dit « présenter ») Quad9 ici. J’ai pas eu de réponse valide.
[^] # Re: vie privée, Cloudflare, blague ?
Posté par barmic . Évalué à 3.
Ça te prendrait trop de temps de lire le liens avant de répondre ? Histoire de pouvoir répondre à ce qui est dis dans le lien plutôt que de tenter des lieux communs.
Le patron de Cloudflare explique que leur business ne vient pas de là contrairement à Google. Il explique aussi que pour utiliser cette IP, ils ont dû avoir une dérogation de l'APNIC. Il explique aussi qu'ils ont discuté avec les éditeurs de navigateurs.
Il y a aussi un paragraphe qui explique pourquoi est-ce qu'ils font ça.
Il dit peut être des bêtises, mais alors il faudrait l'expliquer.
[^] # Re: vie privée, Cloudflare, blague ?
Posté par SaintGermain . Évalué à 3.
J'avoue que j'aurais été déçu si personne n'avait lancé de trolls/polémique à ce sujet (surtout que j'avais bien commencé par annoncer la date du 1er avril pour provoquer).
Mais là le commentaire manquait un peu de vigueur pour amorcer un bon débat.
Je renvoie vers les commentaires de Hacker News, qui se substitue malheureusement pour ma part de plus en plus à linuxfr pour avoir des commentaires intéressant (je ne jette pas trop la pierre car j'interviens très rarement):
https://news.ycombinator.com/item?id=16727869
[^] # Re: vie privée, Cloudflare, blague ?
Posté par Anonyme . Évalué à 3.
Et on devrait lui faire confiance ?
Quel rapport avec la vie privée ?
[^] # Re: vie privée, Cloudflare, blague ?
Posté par barmic . Évalué à -1.
Je ne sais pas mais ce que je dis c'est que c'est là dessus qu'il faut argumenter. Justement arrêtez de sortir des phrases toutes faites conçues pour attaquer gratuitement tout ce qui est marqué « mauvais ». Le FLOSS est débile si c'est juste une idéologie manichéenne comme une autre. Développez un peu l'esprit critique c'est la base de la Liberté au sens le plus général possible.
[^] # Re: vie privée, Cloudflare, blague ?
Posté par Christie Poutrelle (site web personnel) . Évalué à 2.
D'après les benchmarks, ce n'est pas qu'une question de vie privée, ils sont aussi globalement (parfois beaucoup) plus rapides que tous les autres pour répondre, et ce quelle que soit la position géographique sur la planète (Yandex ne répond bien qu'en Russie, et Google et Quad9 ne semble pas très bien répondre en Afrique ou dans certain coins d'Asie).
[^] # Re: vie privée, Cloudflare, blague ?
Posté par ZeroHeure . Évalué à 4.
Les benchmarks ne signifient pas grand chose tant que le DNS cloudflare est encore peu utilisé (leurs serveurs sont peu chargés). De toute façon, à cette vitesse, les différences ne sont pas perceptibles à cause de plein d'autres facteurs : latence du serveur que tu contactes, routage, hops, ton propre CPU, ta carte séseau, etc.
"La liberté est à l'homme ce que les ailes sont à l'oiseau" Jean-Pierre Rosnay
[^] # Re: vie privée, Cloudflare, blague ?
Posté par Christie Poutrelle (site web personnel) . Évalué à 2.
C'est pas faux.
[^] # Re: vie privée, Cloudflare, blague ?
Posté par Kerro . Évalué à 8.
Tu exagères, son explication est claire.
[^] # Re: vie privée, Cloudflare, blague ?
Posté par Moonz . Évalué à 10.
https://news.ycombinator.com/item?id=16727869
[^] # Re: vie privée, Cloudflare, blague ?
Posté par ZeroHeure . Évalué à 2.
Effectivement, je l'ignorais.
"La liberté est à l'homme ce que les ailes sont à l'oiseau" Jean-Pierre Rosnay
[^] # Re: vie privée, Cloudflare, blague ?
Posté par groumly . Évalué à 6.
Et ouais, les mecs qui frontent un tiers de l’internet Mondial et se mangent régulièrement des ddos à plus de 100gb/s vont pas réussir à faire monter un service comme le dns en charge.
ca va, quoi…
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
# Questions naïves
Posté par audionuma (site web personnel, Mastodon) . Évalué à 9.
B'jour,
quelques questions qui me viennent à l'esprit :
Le plus rapide
Avec une connexion ADSL à 10 Mbs, quel est le gain en expérience utilisateur de gagner quelques ms sur une réponse de serveur DNS (pour consultation web, téléchargement fichiers, …) ? En ce qui me concerne, je n'ai pas l'impression que c'est critique. Mais je ne demande qu'à apprendre. Est-ce plus significatif si mon débit augmente (un jour, peut-être …) ?
Vie privée
Je ne suis pas sûr de bien comprendre. Même si je n'utilise pas le DNS de mon FAI, celui-ci (a l'obligation légale de logger ?) (enregistrera) mes connexions (en tous cas l'URL de destination). Qu'est-ce que je lui cache en utilisant un autre serveur DNS ?
DNS menteur
Bon, ok, si je fais plus confiance à cloudflare qu'à (free) (orange) (bouygues) (whatelse), je considère que je ne suis pas victime d'un DNS menteur. Mais comment m'en assurer ? Et pourquoi ne pas privilégier alors un serveur DNS de FDN ?
[^] # Re: Questions naïves
Posté par dyno partouzeur du centre . Évalué à 2.
Non, si tu utilises https ton FAI connaîtra au mieux le nom du serveur, mais certainement pas l'URL.
[^] # Re: Questions naïves
Posté par Prosper . Évalué à 2.
Même en n'utilisant pas https , je vois pas comment via le DNS le FAI pourrait connaitre autre chose que le nom du serveur.
[^] # Re: Questions naïves
Posté par barmic . Évalué à 2.
C'est sur de la latence que ça va jouer. C'est pas critique : 10ms lors du premier accès à un domaine.
Ce que je trouve intéressant personnellement :
Quand on parle de confiance pour un service AMHA soit on fait confiance au gestionnaire de service soit on fait confiance en ceux qui regardent se service. Pour ce qui est des DNS menteurs c'est très facile à vérifier (tu tente le lookup via un autre DNS), donc n'importe qui peut faire des vérifications. Pour le non logging (le fait que ce soit limité à 24h et jamais écris sur disque) là on a que la confiance pour nous…
[^] # Re: Questions naïves
Posté par SaintGermain . Évalué à 2.
Ils ont demandé un audit à KPMG pour répondre à cette problématique de confiance. Oui oui je sais, KPMG, Arthur Andersen, Enron toussa…
Ce que je trouve particulièrement intéressant pour ma part c'est qu'ils ont fait les choses vraiment proprement (de la motivation au départ, le dialogue avec l'APNIC, les bonnes performances, l'audit sur les logs, la communication sur le sujet et jusqu'à la documentation en ligne pour utiliser leur service).
On sent que cela n'a pas été fait par des amateurs.
[^] # Re: Questions naïves
Posté par Anonyme . Évalué à 1.
Oui, enfin, les cabinets d’audit, leur clients c’est les audités pas les utilisateurs du service.
[^] # Re: Questions naïves
Posté par SaintGermain . Évalué à 2.
Il sert à quoi ton commentaire à part enfoncer des portes ouvertes ?
J'avais déjà donné un exemple concret (l'affaire Enron) qui illustre justement de manière concrète ce lieu commun.
[^] # Re: Questions naïves
Posté par Donk . Évalué à 2.
Non, ton FAI n’a aucune obligation légale de logger les sites et les pages que tu visites. Il doit uniquement enregistrer qu’elles sont les adresses IP qu’il t’a attribuées et à quelles dates.
[^] # Re: Questions naïves
Posté par Anonyme . Évalué à 0. Dernière modification le 05 avril 2018 à 02:39.
Ce qui ne veut pas dire qu’ils ne le font pas, ou ne permettent pas à des tiers de le faire.
[^] # Re: Questions naïves
Posté par SaintGermain . Évalué à 2.
Il sert à quoi ton commentaire ?
On te dit que tu n'as pas l'obligation légale de faire X et tu réponds que cela ne t'empêche pas de faire X.
Euh…oui… et le rapport avec la choucroute ?
En inversant :
- Salut, je fais du vélo.
- Tu sais, tu n'as pas l'obligation légale de faire du vélo.
- … ?
# Petit souci quand même...
Posté par Tonton Th (Mastodon) . Évalué à 2.
De chez moi, avant hier, avec LaFibre(cTMr) by Orange(cTMr) :
http://la.buvette.org/vrac/1.1.1.1.bad-certif.png
Il y a quand même de quoi se poser des questions, mais après enquète dans les ateliers du Ternet, il semblerait que ce soit un problème reconnu, et en cours de correction…
[^] # Re: Petit souci quand même...
Posté par claudex . Évalué à 4.
1.1.1.1 c'est utilisé par beaucoup de monde dans les exemple de configuration (au lieu d'utiliser les IP réservées pour ça). Du coup, ça se retrouve un peu partout dans des configurations. Il y a eu plusieurs FAI dans le monde qui ont eu des problèmes avec ça depuis l'annonce de Cloudflare.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
# uBlock
Posté par Anonyme . Évalué à -10.
Si j’installe uBlock, c’est pas pour avoir de la pub sur DLFP.
[^] # Re: uBlock
Posté par Anonyme . Évalué à 3.
Dans ce cas-là t'en as toute les semaines des journaux "publicitaires" sur des entreprises. Mais tu râles pas toutes les semaines. Non là c'est uniquement parce que t'es pas d'accord.
[^] # Re: uBlock
Posté par Anonyme . Évalué à -2. Dernière modification le 06 avril 2018 à 03:11.
Je suis désolé mais non, à moins de considérer les journaux sur TapTempo comme de la pub, il n’y en a pas tant que ça.
Quand Bortzmeyer est venu avec Quad9, j’ai aussi dit ce que j’en pensais.
Et si le ton est différent, c’est parce que d’un côté on a un expert dans son domaine qui fait un journal détaillé, de l’autre quelqu’un qui ne fait que reprendre la communication officielle.
[^] # Re: uBlock
Posté par Anonyme . Évalué à 3.
Euh, y a régulièrement des gens qui font de la présentation de produits (en particulier sur du matériel comme ici)
Si c'est ça qui te dérange, considère que c'est un journal bookmark.
[^] # Re: uBlock
Posté par barmic . Évalué à 2.
Tu pourrais définir « pub » ?
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.