-_-
(Permalink)

:-/
(Permalink)

Correctif de https://www.ecirtam.net/links/?Y3EFxA

Je viens de modifier mon sniffer DNS qui me sert à analyser le trafique réseau de Firefox. (J'utilise aussi wireshark mais il y a trop de données ^_^)
J'ai publier les sources ici : https://github.com/Oros42/DNS_sniffer

En fait, trafique réseau est pire que ça :-/
Voici ce que me donne mon sniffer sur une Debian 8 neuve :
$ sudo python dns_sniffer.py
IP source | DNS server | nb DNS request | DNS
192.168.13.37 :
192.168.13.254 :
1 : www.mozilla.org.
1 : snippets.cdn.mozilla.net.
1 : location.services.mozilla.com.
3 : ff.search.yahoo.com.
1 : ocsp.digicert.com.
1 : geo.mozilla.org.
3 : search.yahoo.com.
1 : self-repair.mozilla.org.
1 : ciscobinary.openh264.org.
1 : clients1.google.com.
1 : search.services.mozilla.com.
1 : safebrowsing.google.com.
1 : aus4.mozilla.org.
53 : safebrowsing-cache.google.com.

Comme expliqué dans mon précédent message ( https://www.ecirtam.net/links/?AnwqOg ), safebrowsing.google.com comporte un ID unique par client.
Et bien c'est la même chose pour safebrowsing-cache.google.com.
Ici nous avons 53 requêtes DNS pour safebrowsing-cache.google.com sur le serveur DNS 192.168.13.254.

Pour suivre les articles sur le sujet : https://www.ecirtam.net/links/?searchtags=+firefox+r%C3%A9seau+securit%C3%A9
(Permalink)

Suite des tests : https://www.ecirtam.net/links/?searchtags=+firefox+r%C3%A9seau+securit%C3%A9+

J'ai viré le https pour google afin de voir le trafique réseau.
Dans /home/user/.mozilla/firefox/xxxxxxx/prefs.js :

```
user_pref("browser.safebrowsing.appRepURL", "http://sb-ssl.google.com/safebrowsing/clientreport/download?key=%GOOGLE_API_KEY%";);
user_pref("browser.safebrowsing.gethashURL", "http://safebrowsing.google.com/safebrowsing/gethash?client=SAFEBROWSING_ID&appver=%VERSION%&pver=2.2";);
user_pref("browser.safebrowsing.malware.reportURL", "http://safebrowsing.google.com/safebrowsing/diagnostic?client=%NAME%&hl=%LOCALE%&site=";);
user_pref("browser.safebrowsing.reportURL", "http://safebrowsing.google.com/safebrowsing/report?";);
user_pref("browser.safebrowsing.updateURL", "http://safebrowsing.google.com/safebrowsing/downloads?client=SAFEBROWSING_ID&appver=%VERSION%&pver=2.2&key=%GOOGLE_API_KEY%";);
```

Voici ce que l'on obtient avec wireshark à l'ouverture de firefox :

```
POST /safebrowsing/downloads?client=Firefox&appver=40.0&pver=2.2&key=AIzjSyAQfEPJioumkh0jOBEOI5ZieffeBv6ygt2Q HTTP/1.1
Host: safebrowsing.google.com
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:40.0) Gecko/20100101 Firefox/40.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: fr,fr-FR;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
DNT: 1
Content-Length: 19046
Content-Type: text/plain
Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache

goog-badbinurl-shavar;a:31786-75623:s:35926,35928,35930,35941, [...] ,60950-61352,61354-61714
goog-phish-shavar;a:399586-411945:s:222071,222076-222077,222079, [...] ,230114-232539
goog-malware-shavar;a:165626-207289:s:156307-156311,156313-156318, [...], 198660-199133
goog-unwanted-shavar;

HTTP/1.1 200 OK
Content-Type: application/vnd.google.safebrowsing-update
P3P: CP="This is not a P3P policy! See http://www.google.com/support/accounts/bin/answer.py?hl=en&answer=151657 for more info."
X-Content-Type-Options: nosniff
Date: Fri, 21 Aug 2015 15:19:03 GMT
Server: HTTP server (unknown)
Content-Length: 22016
X-XSS-Protection: 1; mode=block
X-Frame-Options: SAMEORIGIN
Set-Cookie: PREF=ID=1111111111111111:TM=1440170343:LM=1440170343:V=1:S=Cc2cbkftd90cVpIZ; expires=Thu, 31-Dec-2015 16:02:17 GMT; path=/; domain=.google.com
Set-Cookie: NID=70=loViYWrE_DO9O57ds8OrV1YzPHtp9sSiCenNfRRpyaPhUclNr6d99vNluBA8kMigluvgUqnRFvAuxWfXxrNIN5Qweei7E8_LdH-2d0mSzbR5qfN_q7CX9gdfwCZc3UQm; expires=Sat, 20-Feb-2016 15:19:03 GMT; path=/; domain=.google.com; HttpOnly
Expires: Fri, 21 Aug 2015 15:19:03 GMT
Cache-Control: private

n:1862
i:goog-badbinurl-shavar
ad:31786-33445
sd:35926,35928,35930,35941,35947-35950[...]

```

Notes :
"[...]" == text coupé car très très long
AIzjSyAQfEPJioumkh0jOBEOI5ZieffeBv6ygt2Q est un identifiant unique.

Donc google sait lorsque vous ouvrez votre navigateur !

Pour bloquer ça, dans about:config:
browser.safebrowsing.appRepURL : <vide>
browser.safebrowsing.gethashURL : <vide>
browser.safebrowsing.malware.reportURL : <vide>
browser.safebrowsing.reportURL : <vide>
browser.safebrowsing.updateURL : <vide>
browser.safebrowsing.downloads.enabled : false
browser.safebrowsing.enable : false
browser.safebrowsing.malware.enabled : false

https://ecirtam.net/wiki/doku.php?id=wiki:firefox:about_config
https://github.com/Oros42/firefox_change_prefs

Pour suivre les articles sur le sujet : https://www.ecirtam.net/links/?searchtags=+firefox+r%C3%A9seau+securit%C3%A9
(Permalink)

Ah non pas lynx mais links2.
lynx se connecte à lynx.isc.org à son ouverture et ne supporte pas les nouvelles méthodes de chiffrement tls.
(Permalink)

De rien ;-)
(Permalink)

Je confirme, depuis que j'ai supprimé Ghostery, je n'ai plus de problème avec shaarli.
(Permalink)

via http://bookmarks.ecyseo.net/?TMlj9Q
(Permalink)

Je n'ai pas chromium ni chrome donc si quelqu'un peu faire ou a fait des analyses réseau, je serai intéressé pour comparer.

Au vu de ce que je trouve, je pense plus recommander links2 ou wget ^_^
(Permalink)

Analyse réseau de Firefox 40.0 sous Linux Mint 17.2.

À l'ouverture d'un Firefox tout neuf sans modif, il se connecte à chaque ouverture à :
www.mozilla.org
fr.search.yahoo.com
ff.search.yahoo.com
snippets.cdn.mozilla.net
support.mozilla.org
mzl.la
self-repair.mozilla.org
safebrowsing.google.com

et se connecte régulièrement et sans que l'on utilise Firefox à :
safebrowsing.google.com
fr.search.yahoo.com
ff.search.yahoo.com
self-repair.mozilla.org

Ça fait environ 770 à 840 packets sur le réseau. Le nombre augmente petit à petit.
Si vous avez d'installé WOT, httpseverywhere, FoxyProxy, NoScript ou Ghostery, le nombre de packets monte à plus de 2000!
Je détaillerais ça prochainement ;-)

Je continue mes tests...
(Permalink)

sudo apt-get install dnsmasq
echo "
address=/facebook.com/127.0.0.1
address=/facebook.fr/127.0.0.1
address=/ghostery.com/127.0.0.1
address=/google-analytics.com/127.0.0.1
address=/google.com/127.0.0.1
address=/noscript.net/127.0.0.1
address=/redir.linuxmint.com/127.0.0.1
address=/search.yahoo.com/127.0.0.1
address=/secure.informaction.com/127.0.0.1
address=/self-repair.mozilla.org/127.0.0.1
address=/support.mozilla.org/127.0.0.1
address=/torproject.org/127.0.0.1
address=/tracking.services.mozilla.com/127.0.0.1
address=/twitter.com/127.0.0.1
address=/wiki.digitalmethods.net/127.0.0.1
address=/www.aboutads.info/127.0.0.1
address=/yahoo.com/127.0.0.1
" >> /etc/dnsmasq.conf
(Permalink)

Je suis entrain de faire un audit réseau de Firefox 40.0.
C'est .... chelou 0_0
À l'ouverture d'un Firefox tout neuf sans modif, il se connecte à chaque ouverture à :
search.yahoo.com
ff.search.yahoo.com
www.mozilla.org
addons.mozilla.org

et se connecte régulièrement et sans que l'on utilise Firefox à :
ff.search.yahoo.com
search.yahoo.com

Les requêtes étant faitent en HTTPS, je ne connais pas encore leur contenue.

Par contre, contrairement à ce que dit Sebsauvage (http://sebsauvage.net/links/?VXV9gw), lorsque je passe le curseur sur des liens, il n'y a pas de requêtes HTTP.

J'effectue mes tests sur une Debian 8 toute neuve.

Je continue mes tests...
(Permalink)

-_-
Sinon pour automatiser la désactivation de pas mal de chose dans firefox, j'ai codé ça : https://github.com/Oros42/firefox_change_prefs
(Permalink)

<troll>Ah ? c'était pas déjà le cas ?</troll>
(Permalink)

Connexion IPv4 active :
lsof -i 4

Fichiers ouvert par firefox
lsof -c firefox

Mix des 2 :
lsof -c firefox -i 4 -a

et sans les noms de domaine :
lsof -c firefox -i 4 -a -n

Voir aussi http://www.thegeekstuff.com/2012/08/lsof-command-examples/
(Permalink)

Oooooh merci !
J'avais justement ce problème.
Donc, dans :
/home/user/.mozilla/firefox/xxxxxxxx.default/SiteSecurityServiceState.txt
il faut supprimer les lignes liées au site qui pose problème.
(Permalink)

Utile pour voir comment est affiché votre site suivant différent navigateur et OS.
via http://redbeard.free.fr/links/?D_uy_A
(Permalink)

Ahahah génial ^_^
Petits trucs qui peuvent faire perdre quelques heures aux futures développeur :
// Randomness based; "works" most of the time.
#define true ((__LINE__&15)!=15)
#define true ((rand()&15)!=15)
#define if(x) if ((x) && (rand() < RAND_MAX * 0.99))
(Permalink)

fuck
(Permalink)

Pour accéder à T411
Dans /etc/hosts:
108.162.203.254 t411.io www.t411.io forum.t411.io wiki.t411.io api.t411.io
108.162.204.254 t411.io www.t411.io forum.t411.io wiki.t411.io api.t411.io
104.18.37.180 t411.me www.t411.me forum.t411.me wiki.t411.me api.t411.me
104.18.36.180 t411.me www.t411.me forum.t411.me wiki.t411.me api.t411.me
46.246.117.194 tracker.t411.io tracker.t411.me
88.198.168.163 irc.t411.io irc.t411.me
(Permalink)