Messages récents

Pages: 1 2 3 4 [5] 6 7 8 9 10
41
Et tu n'as pas encore vu le démarchage à domicile.

Ils sont sûrs que cela ne laisse pas de trace (un appel téléphonique à toujours un risque d'être enregistré, certains ont mis en ligne leurs échanges complétement lunaires avec des commerciaux) et tous les coups sont permis.

La règle, c'est de ne jamais souscrire à un démarchage à domicile. Leurs offres ne sont pas plus intéressantes que celles sur internet.
42
https://assistance.sfr.fr/sfrmail-appli/sfr-navigation-protegee/offre-sfr-navigation-protegee.html#avantages
Citer
Lorsque vous naviguez en HTTPS, une page d’erreur s’affiche , si vous cliquez sur « poursuivre sur ce site Web (non recommandé)», la page d’information précédente est alors affichée.
Donc sans surprise, on a la page d'erreur du navigateur avant la page SFR qui informe du blocage.
43
Les opérateurs nationaux ne s'embêtent plus à vérifier l'éligibilité avant de passer un appel de démarchage téléphonique ou envoi de mails.

Pour avoir habité dans une zone couverte en FTTH par aucun des 4 opérateurs, à chaque appel pour me proposer la fibre, je m'amusais à répondre oui. Ils vérifient alors et voient que je ne suis pas éligible. Free a essayé de me vendre une POP Adsl avec un débit de 1 Mb/s alors que j'avais une box 5G à plus de 100 Mb/s. Aujourd'hui Bouygues n'est toujours pas présent en FTTH et étant client chez eux pour le mobile, ils m'ont appelé il y a quelques semaines et ils m'ont promis que leur box 5G serait aussi rapide que ma fibre actuelle (SOSH Livebox S).

Oui voilà, on a des commerciaux au bout du fil qui n'y connaissent pas grand chose et qui veulent uniquement faire leur quota de contrats...
44
Pour avoir déjà eu un blocage par DNS en entreprise, c'est tout à fait possible de faire ça sans déclencher la moindre alerte de certificat TLS dans un navigateur, et ça restait en HTTPS.
Mais je ne connais pas la technique DNS pour paramétrer une tel comportement.

En entreprise c'est très facile car l'entreprise est maître des différentes machines.
Et pour ce cas l'entreprise a sa propre CA dont elle injecte le certificat racine dans les systèmes/navigateurs, ce qui lui permet de générer un certificat pour n'importe quel domaine sans que cela fasse la moindre alerte (car la CA est présente sur le poste de l'employém donc la chaîne de certification complète).
Par ailleurs en entreprise, à part pour certains flux (par ex banques), les certificats utilisés sont ceux du pare-feu qui fait une "attaque MITM" et coupe le flux HTTPS pour aller regarder dedans.
45
Les opérateurs nationaux ne s'embêtent plus à vérifier l'éligibilité avant de passer un appel de démarchage téléphonique ou envoi de mails.

Pour avoir habité dans une zone couverte en FTTH par aucun des 4 opérateurs, à chaque appel pour me proposer la fibre, je m'amusais à répondre oui. Ils vérifient alors et voient que je ne suis pas éligible. Free a essayé de me vendre une POP Adsl avec un débit de 1 Mb/s alors que j'avais une box 5G à plus de 100 Mb/s. Aujourd'hui Bouygues n'est toujours pas présent en FTTH et étant client chez eux pour le mobile, ils m'ont appelé il y a quelques semaines et ils m'ont promis que leur box 5G serait aussi rapide que ma fibre actuelle (SOSH Livebox S).
46
Cela me semble impossible d'avoir une redirection transparente, sans accepter l'alerte du navigateur web qui affiche que le certificat ne correspond pas au nom de domaine.

S'il y avait une redirection transparente, c'est qu'il y a un vrai problème de sécurité dans la gestion des certificats.
Pour avoir déjà eu un blocage par DNS en entreprise, c'est tout à fait possible de faire ça sans déclencher la moindre alerte de certificat TLS dans un navigateur, et ça restait en HTTPS.
Mais je ne connais pas la technique DNS pour paramétrer une tel comportement.

Quand j'avais auto-hébergé un serveur DNS, je n'avais pas du tout l'intention d'en faire un DNS menteur.
Et depuis, j'utilise le DNS de Google le plus possible (chez moi en DNS sécurisé), sinon celui de Cloudfare (en entreprise avec aussi le DNS sécurisé dans Firefox).
47
Pour ceux qui ne sont pas chez SFR, il est possible de regarder ce que cela donne simplement en rentrant les lignes suivantes dans votre fichier hosts :
109.0.66.29 microsft.com
2a02:8400::5757:444e:0 microsft.com

Voici ce que cela donne avec Chromium :
48
je me demande comment fonctionne le système en HTTPS, par exemple si l'utilisateur va sur https://microsft.com -> comment l'utilisateur atterrit-il sur https://site-bloque.sfr.fr/(...) de manière transparente ?
Cela me semble impossible d'avoir une redirection transparente, sans accepter l'alerte du navigateur web qui affiche que le certificat ne correspond pas au nom de domaine.

S'il y avait une redirection transparente, c'est qu'il y a un vrai problème de sécurité dans la gestion des certificats.
49
OTHD Orne THD / OrneTHD devient O THD
« Dernier message par Optix le Hier à 14:41:42 »
Oh oh oh !  ;)
50
Je n’arrive pas à comprendre comment le trafic remonte à ce truc. Les abonnés FTTH, câble et xDSL n’ont pas les mêmes « portes de sorties » ?

C'est un DNS menteur basique, lorsque le fqdn matche une liste chez eux, le DNS intercepte la vraie réponse et écrit 109.0.66.29 (et l'ipv6) à la place. Le browser se connecte à la fausse IP et fait charger le site. [1]

Je ne suis pas chez SFR donc je vais spéculer :
- soit SFR a appliqué une configuration différente suivant les box lorsque la box récupère ses infos DHCP depuis le réseau SFR (box fibre -> DHCP avec DNS menteur, box pas fibre -> DHCP avec DNS pas menteur), je suppose que SFR peut facilement avoir l'information par un moyen ou un autre (flag dans la requête DHCP ?) si la box est fibre ou pas
- soit SFR fait du split-horizon en fonction d'où vient la requête, là aussi je suppose que SFR a le moyen de savoir si ça vient d'une box fibre ou non, si les box fibre et non-fibre sont sur des plages d'IP différentes

Ça serait intéressant de voir (je ne sais pas si ça se vérifie facilement surles box SFR) une différence de configuration DNS entre un client fibre et un client pas fibre, ça aiguillera sur comment ils font :)

[1] pour continuer sur ce sujet, je me demande comment fonctionne le système en HTTPS, par exemple si l'utilisateur va sur https://microsft.com -> comment l'utilisateur atterrit-il sur https://site-bloque.sfr.fr/(...) de manière transparente ?
Il y a un certificat wildcard ou créé à la volée pour faire une redirection sans lever d'alerte ? En tout cas celui de site-bloque.sfr.fr est un certificat Let's Encrypt assez basique et avec rien de particulier (pas de atlname)...
Pages: 1 2 3 4 [5] 6 7 8 9 10