Messages récents

Pages: 1 ... 5 6 7 8 9 [10]
91
et le fait qu'ils soient "adoubés" par les mairies pour "éviter les arnaques", ça va aboutir sur des personnes mal renseignées qui vont se faire avoir...
92
La seule façon d'en avoir le cœur net, c'est que quelqu'un concerné par ce dispositif nous fasse un retour de comment il atterrit vers la page d'information de blocage, étape par étape.

Pour tester, attention en effet, comme montré par Vivien, la redirection normale à partir de microsft.com se fait en HTTP: Microsoft n’ayant pas mis un bon certificat TLS sur ce domaine.


Edit: messages croisés, j'ai mis plus de 5 minutes à écrire 2 phrases (je réfléchissais et faisait un test en même temps...).
Si c'est comme indiqué sur le site officiel de SFR, c'est en effet qu'un demi-blocage, dans le sens où on peut forcer avec un clic le vrai site.

Edit2: autant pour moi, ça bloque de chez bloque, mais en 2 étapes de blocage.
93
Et tu n'as pas encore vu le démarchage à domicile.

Ils sont sûrs que cela ne laisse pas de trace (un appel téléphonique à toujours un risque d'être enregistré, certains ont mis en ligne leurs échanges complétement lunaires avec des commerciaux) et tous les coups sont permis.

La règle, c'est de ne jamais souscrire à un démarchage à domicile. Leurs offres ne sont pas plus intéressantes que celles sur internet.
94
https://assistance.sfr.fr/sfrmail-appli/sfr-navigation-protegee/offre-sfr-navigation-protegee.html#avantages
Citer
Lorsque vous naviguez en HTTPS, une page d’erreur s’affiche , si vous cliquez sur « poursuivre sur ce site Web (non recommandé)», la page d’information précédente est alors affichée.
Donc sans surprise, on a la page d'erreur du navigateur avant la page SFR qui informe du blocage.
95
Les opérateurs nationaux ne s'embêtent plus à vérifier l'éligibilité avant de passer un appel de démarchage téléphonique ou envoi de mails.

Pour avoir habité dans une zone couverte en FTTH par aucun des 4 opérateurs, à chaque appel pour me proposer la fibre, je m'amusais à répondre oui. Ils vérifient alors et voient que je ne suis pas éligible. Free a essayé de me vendre une POP Adsl avec un débit de 1 Mb/s alors que j'avais une box 5G à plus de 100 Mb/s. Aujourd'hui Bouygues n'est toujours pas présent en FTTH et étant client chez eux pour le mobile, ils m'ont appelé il y a quelques semaines et ils m'ont promis que leur box 5G serait aussi rapide que ma fibre actuelle (SOSH Livebox S).

Oui voilà, on a des commerciaux au bout du fil qui n'y connaissent pas grand chose et qui veulent uniquement faire leur quota de contrats...
96
Pour avoir déjà eu un blocage par DNS en entreprise, c'est tout à fait possible de faire ça sans déclencher la moindre alerte de certificat TLS dans un navigateur, et ça restait en HTTPS.
Mais je ne connais pas la technique DNS pour paramétrer une tel comportement.

En entreprise c'est très facile car l'entreprise est maître des différentes machines.
Et pour ce cas l'entreprise a sa propre CA dont elle injecte le certificat racine dans les systèmes/navigateurs, ce qui lui permet de générer un certificat pour n'importe quel domaine sans que cela fasse la moindre alerte (car la CA est présente sur le poste de l'employém donc la chaîne de certification complète).
Par ailleurs en entreprise, à part pour certains flux (par ex banques), les certificats utilisés sont ceux du pare-feu qui fait une "attaque MITM" et coupe le flux HTTPS pour aller regarder dedans.
97
Les opérateurs nationaux ne s'embêtent plus à vérifier l'éligibilité avant de passer un appel de démarchage téléphonique ou envoi de mails.

Pour avoir habité dans une zone couverte en FTTH par aucun des 4 opérateurs, à chaque appel pour me proposer la fibre, je m'amusais à répondre oui. Ils vérifient alors et voient que je ne suis pas éligible. Free a essayé de me vendre une POP Adsl avec un débit de 1 Mb/s alors que j'avais une box 5G à plus de 100 Mb/s. Aujourd'hui Bouygues n'est toujours pas présent en FTTH et étant client chez eux pour le mobile, ils m'ont appelé il y a quelques semaines et ils m'ont promis que leur box 5G serait aussi rapide que ma fibre actuelle (SOSH Livebox S).
98
Cela me semble impossible d'avoir une redirection transparente, sans accepter l'alerte du navigateur web qui affiche que le certificat ne correspond pas au nom de domaine.

S'il y avait une redirection transparente, c'est qu'il y a un vrai problème de sécurité dans la gestion des certificats.
Pour avoir déjà eu un blocage par DNS en entreprise, c'est tout à fait possible de faire ça sans déclencher la moindre alerte de certificat TLS dans un navigateur, et ça restait en HTTPS.
Mais je ne connais pas la technique DNS pour paramétrer une tel comportement.

Quand j'avais auto-hébergé un serveur DNS, je n'avais pas du tout l'intention d'en faire un DNS menteur.
Et depuis, j'utilise le DNS de Google le plus possible (chez moi en DNS sécurisé), sinon celui de Cloudfare (en entreprise avec aussi le DNS sécurisé dans Firefox).
99
Pour ceux qui ne sont pas chez SFR, il est possible de regarder ce que cela donne simplement en rentrant les lignes suivantes dans votre fichier hosts :
109.0.66.29 microsft.com
2a02:8400::5757:444e:0 microsft.com

Voici ce que cela donne avec Chromium :
100
je me demande comment fonctionne le système en HTTPS, par exemple si l'utilisateur va sur https://microsft.com -> comment l'utilisateur atterrit-il sur https://site-bloque.sfr.fr/(...) de manière transparente ?
Cela me semble impossible d'avoir une redirection transparente, sans accepter l'alerte du navigateur web qui affiche que le certificat ne correspond pas au nom de domaine.

S'il y avait une redirection transparente, c'est qu'il y a un vrai problème de sécurité dans la gestion des certificats.
Pages: 1 ... 5 6 7 8 9 [10]