Blog Stéphane Bortzmeyer: OpenDNS, surtout pas
lundi 11 mai 2015 à 23:06Liens en vrac de sebsauvage 11/05/2015
Je comprend le point de vue de S.B. sur OpenDNS (modèle économique, subpoena et tout ça)... mais conseiller GoogleDNS à la place ? WTF ???
Je préfère encore prendre OpenNIC (http://www.opennicproject.org/)
EDIT: BohwaZ me conseille http://www.orsn.org/
(Permalink)
GuiGui's Show - Liens 12/05/2015
« Dans le premier cas, l'idée est mauvaise : les résolveurs d'OpenDNS sont également des menteurs. Si OpenDNS a supprimé les mensonges en cas de noms non existents, ils continuent à changer les réponses « pour des raisons de sécurité ». [...] OpenDNS affirme protéger l'utilisateur de la pornographie et du malware en mentant sur les réponses DNS, même lorsque le nom de domaine existe. (Ce qui entraîne de sérieux risques de surblocage.) [...] À noter que ces mécanismes de mensonge sur les réponses DNS sont également débrayables si on se crée un compte (gratuit) chez OpenDNS avant d'indiquer ses adresses IP et de décocher la case qui va bien.
[...]
Eh bien non, si on mesure soi-même au lieu de répéter ce que disent les moutons, on s'aperçoit qu'OpenDNS est toujours plus lent que les serveurs DNS de votre réseau local ou de votre FAI. Comme le note seizurebattlerobot lors d'une discussion sur Slashdot, c'est logique, « Despite their claims to the contrary, OpenDNS's servers are likely farther away from you than your local ISP's. ».
[...]
Enfin, il y a ce qu'OpenDNS ne dit pas : puisque l'usage de leurs résolveurs est gratuit, quel est leur modèle d'affaires ? Simplement vendre l'information qu'ils ont récolté sur vous. Comme le note encore seizurebattlerobot sur Slashdot, en juillet 2009 : « They also keep permanent logs of all queries, which could be subpoenaed by a government entity. Their joke of a privacy policy allows them to sell your logs to "Affiliated Businesses", which pretty much means anybody. Not that it really matters - they could amend their privacy policy tomorrow morning and be selling your info by the afternoon. ». Un résolveur DNS reçoit énormément d'informations sur ce que font ses clients (et je sais de quoi je parle, grâce à des systèmes comme DNSmezzo).
[...]
Une autre solution est d'avoir un résolveur DNS local sur sa machine ou son réseau. Cela peut sembler une solution très geek mais c'est plus simple que ça n'en a l'air. [...] Certaines personnes peuvent s'inquiéter à cette idée d'un résolveur sur chaque machine (ou en tout cas sur chaque petit réseau), en raison de la charge supplémentaire que cela imposera aux serveurs de la racine ainsi qu'à ceux des domaines de tête. Sans le partage des informations dans les grands caches des résolveurs DNS des FAI, les serveurs de la racine tiendront-ils le coup ? C'est en raison de cette question que je ne conseille pas d'installer son résolveur à soi sans une bonne raison. Dans le futur, il est possible qu'on n'aie plus le choix, si on veut un service DNS correct. Et, à ce moment, on verra bien. Lors de réunions d'experts comme à l'OARC, les opérateurs des serveurs racine ont toujours déclaré qu'ils n'étaient pas inquiets sur ce point.
[...]
La dernière solution est d'utiliser un concurrent d'OpenDNS. La plupart utilisent les mêmes méthodes et ont des résolveurs tout aussi menteurs. C'est le cas de Comodo, de Scrubit ou de Neustar/Advantage. À défaut de tout, les utiliser permet d'éviter la constitution d'un monopole d'OpenDNS. Mais il existe aujourd'hui un service de résolveur ouvert honnête, c'est Google DNS et c'est donc une possibilité intéressante.
[ NDLR : ok, Google public DNS ne mentent pas, il y a des gens sérieux derrière pour faire le suivi, notamment pour les requêtes de flush/flushtree et assumer les problèmes bizarres et rigolos, surtout avec DNSSEC. Mais quid de la confidentialtié ? Quid de la concentration chez un même acteur (DNS, mail, vidéo, recherche sur le web, ...) ? Quid si, comme d'autres services, Google ferme public DNS demain ? Les geeks qui ont poussé 8.8.8.8 partout chez Mme et M. ToutLeMonde vont-ils s'en souvenir et assurer le service ? Je n'en suis pas convaincu. ]
[...]
Je laisse la conclusion à, à nouveau, seizurebattlerobot : « I think many people read the "Open" part of the OpenDNS name and turn their brains off. » »
Dommage de ne pas avoir évoqué les récursifs DNS ouverts mis en place par des FAI associatifs : http://www.diyisp.org/dokuwiki/doku.php?id=technical:dnsresolver . Avoir un récursif local qui forward les requêtes à un tel récursif, c'est avoir rapidité (on reste en local une fois la réponse en cache), sécurité (valdiation DNSSEC locale) et honnêteté sans pour autant augmenter la charge sur les serveurs qui font autorité. Pour peu que tu sois abonné VPN/ADSL chez ce FAI, t'as aussi la confidentialité (jusqu'au récursif uniquement, en attendant qname minimisation, on est d'accord).
(Permalink)
Le bazar du petit panda roux. > Liens en vrac de sebsauvage 12/05/2015
sous le coude...
(Permalink)
Je comprend le point de vue de S.B. sur OpenDNS (modèle économique, subpoena et tout ça)... mais conseiller GoogleDNS à la place ? WTF ???
Je préfère encore prendre OpenNIC (http://www.opennicproject.org/)
EDIT: BohwaZ me conseille http://www.orsn.org/
(Permalink)
GuiGui's Show - Liens 12/05/2015
« Dans le premier cas, l'idée est mauvaise : les résolveurs d'OpenDNS sont également des menteurs. Si OpenDNS a supprimé les mensonges en cas de noms non existents, ils continuent à changer les réponses « pour des raisons de sécurité ». [...] OpenDNS affirme protéger l'utilisateur de la pornographie et du malware en mentant sur les réponses DNS, même lorsque le nom de domaine existe. (Ce qui entraîne de sérieux risques de surblocage.) [...] À noter que ces mécanismes de mensonge sur les réponses DNS sont également débrayables si on se crée un compte (gratuit) chez OpenDNS avant d'indiquer ses adresses IP et de décocher la case qui va bien.
[...]
Eh bien non, si on mesure soi-même au lieu de répéter ce que disent les moutons, on s'aperçoit qu'OpenDNS est toujours plus lent que les serveurs DNS de votre réseau local ou de votre FAI. Comme le note seizurebattlerobot lors d'une discussion sur Slashdot, c'est logique, « Despite their claims to the contrary, OpenDNS's servers are likely farther away from you than your local ISP's. ».
[...]
Enfin, il y a ce qu'OpenDNS ne dit pas : puisque l'usage de leurs résolveurs est gratuit, quel est leur modèle d'affaires ? Simplement vendre l'information qu'ils ont récolté sur vous. Comme le note encore seizurebattlerobot sur Slashdot, en juillet 2009 : « They also keep permanent logs of all queries, which could be subpoenaed by a government entity. Their joke of a privacy policy allows them to sell your logs to "Affiliated Businesses", which pretty much means anybody. Not that it really matters - they could amend their privacy policy tomorrow morning and be selling your info by the afternoon. ». Un résolveur DNS reçoit énormément d'informations sur ce que font ses clients (et je sais de quoi je parle, grâce à des systèmes comme DNSmezzo).
[...]
Une autre solution est d'avoir un résolveur DNS local sur sa machine ou son réseau. Cela peut sembler une solution très geek mais c'est plus simple que ça n'en a l'air. [...] Certaines personnes peuvent s'inquiéter à cette idée d'un résolveur sur chaque machine (ou en tout cas sur chaque petit réseau), en raison de la charge supplémentaire que cela imposera aux serveurs de la racine ainsi qu'à ceux des domaines de tête. Sans le partage des informations dans les grands caches des résolveurs DNS des FAI, les serveurs de la racine tiendront-ils le coup ? C'est en raison de cette question que je ne conseille pas d'installer son résolveur à soi sans une bonne raison. Dans le futur, il est possible qu'on n'aie plus le choix, si on veut un service DNS correct. Et, à ce moment, on verra bien. Lors de réunions d'experts comme à l'OARC, les opérateurs des serveurs racine ont toujours déclaré qu'ils n'étaient pas inquiets sur ce point.
[...]
La dernière solution est d'utiliser un concurrent d'OpenDNS. La plupart utilisent les mêmes méthodes et ont des résolveurs tout aussi menteurs. C'est le cas de Comodo, de Scrubit ou de Neustar/Advantage. À défaut de tout, les utiliser permet d'éviter la constitution d'un monopole d'OpenDNS. Mais il existe aujourd'hui un service de résolveur ouvert honnête, c'est Google DNS et c'est donc une possibilité intéressante.
[ NDLR : ok, Google public DNS ne mentent pas, il y a des gens sérieux derrière pour faire le suivi, notamment pour les requêtes de flush/flushtree et assumer les problèmes bizarres et rigolos, surtout avec DNSSEC. Mais quid de la confidentialtié ? Quid de la concentration chez un même acteur (DNS, mail, vidéo, recherche sur le web, ...) ? Quid si, comme d'autres services, Google ferme public DNS demain ? Les geeks qui ont poussé 8.8.8.8 partout chez Mme et M. ToutLeMonde vont-ils s'en souvenir et assurer le service ? Je n'en suis pas convaincu. ]
[...]
Je laisse la conclusion à, à nouveau, seizurebattlerobot : « I think many people read the "Open" part of the OpenDNS name and turn their brains off. » »
Dommage de ne pas avoir évoqué les récursifs DNS ouverts mis en place par des FAI associatifs : http://www.diyisp.org/dokuwiki/doku.php?id=technical:dnsresolver . Avoir un récursif local qui forward les requêtes à un tel récursif, c'est avoir rapidité (on reste en local une fois la réponse en cache), sécurité (valdiation DNSSEC locale) et honnêteté sans pour autant augmenter la charge sur les serveurs qui font autorité. Pour peu que tu sois abonné VPN/ADSL chez ce FAI, t'as aussi la confidentialité (jusqu'au récursif uniquement, en attendant qname minimisation, on est d'accord).
(Permalink)
Le bazar du petit panda roux. > Liens en vrac de sebsauvage 12/05/2015
sous le coude...
(Permalink)