IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Mozilla prévoit de lancer un Shield Study de DNS over HTTPS sur Firefox Nightly
Mais la forme suscite la controverse même au sein de ses équipes

Le , par Stéphane le calme

469PARTAGES

10  0 
Mozilla prévoit d'intégrer Trusted Recursive Resolver (TRR) via DNS-over-HTTPS (DOH) dans une future version du navigateur Firefox. La fonctionnalité initiale a été déployée dans Firefox 60, mais d'autres améliorations vont accompagner les futures versions du navigateur.

DNS over HTTPS (DoH) est actuellement à l'état de draft au sein de l’IETF, le groupe qui participe à l'élaboration des standards Internet. Conçu principalement pour les situations où les recherches DNS peuvent échouer en raison de problèmes de connectivité et pour éviter toute interférence avec les opérations DNS, il a été pensé pour améliorer la confidentialité, la sécurité et la fiabilité de la connexion de l'utilisateur.

Les navigateurs Web comme Firefox utilisent par défaut le service DNS configuré sur le système qui, dans de nombreux cas, est exploité par le fournisseur d'accès Internet. Vous pouvez remplacer le serveur DNS par un serveur privé ou public pour améliorer les performances, la sécurité ou filtrer le contenu Web indésirable.

DNS-over-HTTPS exécute des opérations DNS sur des connexions HTTPS chiffrées. La version initiale est désactivée par défaut et les utilisateurs doivent modifier les préférences du navigateur pour activer TRR et définir également un URI DNS-over-HTTPS.

Mozilla envisage de lancer une Shield Study auprès des utilisateurs de Firefox Nightly. Pour rappel, une Shield Study est un A / B testing contrôlé déployé dans le cadre du projet Shield. Il permet à Mozilla de comparer les modifications proposées à l'expérience par défaut dans Firefox pour les populations représentatives avant de les diffuser à tout le monde.

TRR s'exécuterait en mode shadow et utiliserait le DNS public de CloudFlare sur un serveur HTTPS pour tester la fonctionnalité.

Sous cette forme, toutes les recherches DNS seraient envoyées à Cloudflare, ce qui a conduit un employé de Mozilla, Henri Sivonen, a exprimé ses préoccupations :

« Je pense que nous ne devrions pas lancer cette étude sous cette forme. Envoyer des informations sur ce qui est consulté à une partie tierce va éroder la confiance dans Mozilla à cause du fait que des personnes pourraient se fâcher si leurs informations confidentielles (où ils naviguent, "ils" étant identifié par l'adresse IP et "où" par le nom d'hôte) à une partie tierce sans consentement explicite.

« Les ententes sur les politiques que nous avons conclues avec la partie tierce ne vont pas éliminer cet effet négatif, car la façon dont les gens réagissent à ce genre de choses est hors de notre champ de négociation : les gens vont réagir à cette situation en fonction de ce qui a été techniquement envoyé et non de ce que le destinataire a promis de ne pas faire. »


La discussion s'est poursuivie sur Bugzilla ainsi que sur le groupe Mozilla Dev Platform sur Google Groupes. Certains employés de Mozilla ont exprimé leur inquiétude et ont souhaité que l'étude devienne optionnelle, même sur Nightly.

Mozilla a un accord opérationnel avec Cloudflare concernant l'étude qui empêche Cloudflare de conserver des enregistrements ou de vendre / transférer les données à des tiers.

Bien que rien n'ait encore été décidé, il semble que Mozilla exécutera l'étude dans la forme proposée.

Mozilla a ajouté plusieurs paramètres de configuration à Firefox qui configurent TRR.

La préférence network.trr.mode définit l'état de TRR dans Firefox.
  • Une valeur de 0 signifie qu'elle est désactivée et non utilisée.
  • Une valeur de 1 que Firefox utilise DNS natif ou TRR en fonction de ce qui est plus rapide.
  • Une valeur de 2 utilise TRR par défaut, mais reviendra au résolveur natif si la résolution du nom échoue pour une raison quelconque.
  • Une valeur de 3 active le mode TRR uniquement. Seul le TRR est utilisé et il n'y a pas de fallback
  • Une valeur de 4 l'exécute en mode shadow, ce qui signifie que TRR est exécuté en parallèle pour la collecte de données, mais que le résolveur natif est utilisé.

Les utilisateurs ont donc la possibilité de définir la préférence sur 0 pour désactiver TRR et quitter l'étude en conséquence.

Source : Mozilla, BugZilla,
IETF, GH

Et vous ?

Qu'en pensez-vous ?

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Neckara
Inactif https://www.developpez.com
Le 21/03/2018 à 9:02
Attendez... du DNS over HTTPS, cela veut dire qu'on va non seulement leur envoyer les domaines que nous consultons, notre adresse IP, mais en plus notre User-Agent (navigateur, version du navigateur, OS), les Accept-Language (notre langue), et d'autres éléments de configurations ?

Ils sont sérieux ??
3  0 
Avatar de
https://www.developpez.com
Le 21/03/2018 à 13:01
Un poste client dans une entreprise à l'adresse DNS du serveur DNS de l'entreprise normalement, celui actif pour l'Intranet et les nom de domaine de l'Intranet.
Il y en a au moins deux de configurable, primaire et secondaire, sur le poste client de l'entreprise.
Quand un poste client veut accéder à une ressource externe à l'Intranet de l'entreprise, il questionne son serveur DNS Intranet pour identifier ne "nom" et l'IP qui lui " dit " la route à prendre à moins que le ou les routeurs le face eux même.

C'est juste l'adresse IP du serveur DNS qui risque de fuité, une adresse privée donc...

Chez moi, tout ce qui est en Ethernet n'est pas en DHCP et à les DNS de la box.
0  0 
Avatar de Steinvikel
Membre expert https://www.developpez.com
Le 01/12/2018 à 13:31
Qu’en pensez-vous ?

Je suis entièrement d'accord avec la fin de l'article :
"les responsables de Mozilla ont laissé filtrer qu’ils se sont assurés que Cloudflare ne conserve pas de logs des adresses IP des internautes."
Ces dires, aussi honnêtes soient-ils, ne sont pas des garanties suffisantes ...d'autant plus sans explications techniques (puisque c'est un problème technique), et faisant intervenir un acteur agissant déjà en contradiction avec les assurances que la solution est sensé apporter.

Est-ce que choisir un résolveurs DNS de confiance est un problème insoluble ?
...dans le sens où le problème vient du fait que l'on fait intervenir un facteur de "confiance" là où actuellement il n'y a pas de solution totalement "sûr".

Résolveurs DNS = solution centralisé ou bien existe-t-il d'autres méthodes décentralisés ?
...comme certains (méta)moteurs de recherche (ex: YaCy (sous GPLv2), SyncNet (sous MIT))
0  0