DNS menteur

Pause Café
#1

bonjour,

je suis en train de configurer bind9 pour obtenir un DNS-menteur: le but étant de me protéger au maximum sur le web (google-analitics, scripts, etc…). Hormis le risque de faux-positif, j’ai (vaguement) lu que c’était vraiment efficace.

et puis j’ai trouvé ça: pgl.yoyo.org/adservers/index.php, qui génère une liste (fiable?) à insérer directement dans le dns.
je ne sais pas vraiment comment faire: je pense que ça va être un lighttp uniquement en local qui récupère les requêtes rejetées.

qu’en pensez vous ? quelqu’un a testé ?

#2

Par curiosité, qu’est-ce qu’un DNS menteur (à part ceux d’OpenDNS et de VeriSign) ?

#3

un dns qui fait croire au client web que le domaine demandé renvoie 404 (?).

#4

Un DNS qui ne dit pas la vérité ? :005 :005

Ok, ok… poussez pas… :arrow_right: :arrow_right:

Blague à part : je dirais un dns qui ne renvoi volontairement pas la même chose que ce que renverraient les dns racines ?

#5

dns menteur

freenews.fr/spip.php?article7037

bortzmeyer.org/dns-menteur.html

#6

Extrait :

Eviter d’écrire un tel concentré de conneries, c’était trop compliqué ?

Bon tout ça c’est des DNS menteurs à la OpenDNS/VeriSign comme ceux que je connaissais. Mais c’est quoi l’avantage d’en monter un pour soi ?

#7

re: faire un genre de “dns-adblock” pour lan.

#8

franchement vous vous compliquez la life les mecs…

un bonne config de la gestion des cookies et des scripts de votre navigateur préféré n’est pas suffisante?

ou alors j’ai pas saisi la vraie nuance du DNS menteur a usage personnel… a part dans une discussion de Geeks je vois pas l’interet…

#9

Ça me semble plus efficace si tu veut gérer un nombre limité d’adresses :
linuxfr.org/2010/08/28/27312.html

#10

Je ne suis pas persuadé que créer une zone pour chaque domaine à bloquer sur un serveur DNS comme bind9 soit la méthode la plus appropriée. Ça va faire beaucoup de zones, non ? En plus le but est de filtrer la navigation web, or le DNS ne concerne pas que le web mais toutes les applications internet. Je pense qu’un outil à base d’ACL comme un proxy HTTP serait plus approprié.

#11

@MisterFreez: en fait c’est pour un lan avec pas mal de “passage”: c-à-d beaucoup de pc branchés
temporairement. au niveau maintenance c’est délicat aussi (mise à jour, nouvel arrivant…).

@PascalHambourg: ~ 3000 zones… justement l’effet recherché et de ne pas filtrer uniquement le web. j’ai lu que les systèmes espions ne fonctionnent pas tous en http.

@Anthropo: avec adblock et autres, tu communiques quand même avec google-analytics, c’est juste une protection au niveau du client web.

#12

j’aimerai que tu me démontres cette assertion.
perso j’utilises noscript (en mode tout est interdit sauf), une extension qui te permet de décider quels scripts sont exécutés par le navigateur. donc si tu bloques les scripts google-analytics je vois pas comment ça continues de communiquer?

sinon tu peux jouer aussi avec privoxy, m’est avis que ce sera moins dur administrer qu’un DNS menteur ou qu’un fichier hosts à ralonge.

#13

hummm pas sous noscript…

#14

tiens, il existe aussi Ghostery qui a de bons echos…

#15

j’aimerai que tu me démontres cette assertion.
perso j’utilises noscript (en mode tout est interdit sauf), une extension qui te permet de décider quels scripts sont exécutés par le navigateur. donc si tu bloques les scripts google-analytics je vois pas comment ça continues de communiquer?

sinon tu peux jouer aussi avec privoxy, m’est avis que ce sera moins dur administrer qu’un DNS menteur ou qu’un fichier hosts à ralonge.[/quote]

je crois avoir compris ça:
lorsque tu reçois l’index.*, le navigateur réclame le reste (scripts, etc…). une fois reçu, le contenu est filtré selon adblock/noscript.

#16

et donc?

le fait de charger le script qui est sur la page source ne signifie pas forcément un traçage si celui ci n’est pas executé non?

le cas typique d’analytics, en fin de page tu trouve ça:

[code]<script type=» text/javascript» >
var gaJsHost = ((« https:» == document.location.protocol) ? « https://ssl.» : « http://www.» );
document.write(« <script src=’» + gaJsHost + « google-analytics.com/ga.js’ type=’text/javascript’></script>» );

[/code]

si tu interdits l’execution des scripts au domaine google-analytics.com ton butineur n’iras pas chercher le script. donc, pas de traçage.

toutefois, pour ce que tu veux faire (protection d’un LAN) Privoxy me semble une bonne solution.

a priori sur debian-fr c’est piwik qui est utilisé…

#17

je pensais que le traçage s’effectuais lors de la requète et pas forcément lors de l’execution…