FIREFOX ne prend plus en charge eSNI

Questions autour de la sécurité en général.
Pour les désinfections, merci de vous rendre dans la partie Windows --> Virus : Aide Malwares
Avatar de l’utilisateur
Parisien_entraide
Messages : 8273
Inscription : 02 juin 2012 20:48
Localisation : Je suis dans la matrice :-)

FIREFOX ne prend plus en charge eSNI

par Parisien_entraide »

2021-03-07_181831.jpg


LE TEST

https://www.cloudflare.com/fr-fr/ssl/encrypted-sni/


Avant la version 85 de Firefox, et actuellement avec la version 78.x on pouvait arriver à cela

Firefox SNI.jpg
(J'ai un "secure DNS", crypté, qui n'est pas Cloudflare ni Google mais il ne peut être lu)



Normalement la version 85 de Firefox ne prend plus en charge ESNI (la version ESR si ) mais prendra en charge ECH..



CE QUE DIT MOZILLA

ESNI
https://blog.mozilla.org/security/2018/ ... x-nightly/

ESNI vvers ECH
https://blog.mozilla.org/security/2021/ ... n-firefox/



Le soucis étant qu'en face (les serveurs) ne prennent pas en charge ECH et.. chez Mozilla ils ont supprimé ESNI (?)
Le test de Cloudflare révèle que le SNI n'est pas chiffré actuellement'(depuis la version 85) et même lorsque la fonctionnalité ECH est activée dans Firefox, cela indique que le fournisseur par défaut, qui est Cloudflare, ne l'a pas encore activée.



On peut cependant activer la fonctionnalité si ce n'est déjà fait, mais cela ne change rien puisque Clouflare a investi dans ESNI au lieu de ECH




Les utilisateurs de Firefox peuvent l'activer de la manière suivante:

--------
Chargez about: config dans la barre d'adresse de Firefox.


Recherchez network.dns.echconfig.enabled.
Définissez la préférence sur TRUE pour l'activer.

Recherchez network.dns.use_https_rr_as_altsvc.
Définissez la préférence sur TRUE pour l'activer.

Redémarrez le navigateur Web Firefox.
-----------

Pour rappel la Chine interdit TLS 1.3 et ESNI, sinon ils ne peuvent pas espionner (pour ceux qui voyagent en Chine)

ESNI, qui signifie Encrypted Server Name Indication, et est une fonction de sécurité et de confidentialité conçue pour se protéger contre les écoutes clandestines du réseau.


(Avec le SNI on récupère le nom de domaine sur 99,9% du trafic https au contraire de eSNI qui permet de chiffrer le SNI)



On voit donc l'intérêt de la chose !


Les devs eux non, et il n y a eu aucune discussion possible .. Enfin presque
https://bugzilla.mozilla.org/show_bug.cgi?id=1689249


Actuellement il y a un trou
Donc pourquoi enlever ESNI malgré le fait qu' ECH soit plus efficace mais.. que personne n'utilise. Ils ne pouvaient pas attendre ? (et on risque d'attendre longtemps qu ECH soit utilisé)

Raison officielle "ESNI fournissait une protection incomplète et présentait «des problèmes d'interopérabilité et de déploiement qui l'empêchaient d'être activé à une plus grande échelle».



SAUF que cela fonctionnait (je l'avais a activé depuis sa sortie chez moi sur la version ESR)


Alternative pour l'instant : La version 78.8 en ESR




Vu le message politique du dirigeant de MOZILLA, et la chasse aux pro-Trump, la chasse à ceux qui ne pensent pas comme il le faudrait etc, on peut se poser des questions de savoir à qui cela sert et pourquoi surtout


Autre mauvaise nouvelle, à terme (pas de date fixée) c'est que le fichier user.js risque de disparaître
Ce qui fait que lors de mises à jour de Firefox on ne saura pas toujours ce qui est modifié dans le prefs.js à la différence du user.js, si on y a effectué des modifications (un peu comme les maj de Microsoft qui remettent par défaut dans notre dos certains paramètres)


En attendant on peut toujours se servir de :
https://ffprofile.com/



___________________

RAPPEL :

Déclaration de Mitchell Baker, Présidente de Mozilla
2021-03-07_182238.jpg


https://blog.mozilla.org/blog/2021/01/0 ... atforming/


Il ne fait aucun doute que les médias sociaux ont joué un rôle dans le siège et l’assaut du Capitole américain le 6 janvier.

Mais aussi répréhensibles que soient les actions de Donald Trump, l’utilisation effrénée d’Internet pour fomenter la violence et la haine, et renforcer la suprématie blanche, ne concerne pas qu’une seule personnalité. Donald Trump n’est certainement pas le premier homme politique à exploiter l’architecture de l’internet de cette manière, et il ne sera pas le dernier. Nous avons besoin de solutions qui ne commencent pas après que des dommages incalculables aient été causés.

Pour changer ces dynamiques dangereuses, il ne suffit pas de réduire temporairement au silence ou de retirer définitivement les mauvais acteurs des plateformes de médias sociaux.
Il faut également prendre des mesures supplémentaires précises et spécifiques :

Révéler qui paie les publicités, combien elles coûtent et qui est visé.
S’engager à une transparence significative des algorithmes des plateformes afin que nous sachions comment et quel contenu est amplifié, à qui, et l’impact associé.

Activer par défaut les outils permettant d’amplifier les voix factuelles (1) par rapport à la désinformation.

Travailler avec des chercheurs indépendants pour faciliter des études approfondies sur l’impact des plateformes sur les personnes et nos sociétés, et sur ce que nous pouvons faire pour améliorer les choses.

Ce sont des actions que les plateformes peuvent et doivent engager dès aujourd’hui. La réponse n’est pas d’éliminer Internet, mais d’en construire un meilleur qui puisse résister et se préparer à ce type de défis. C’est ainsi que nous pouvons commencer à le faire.

(1) https://www.nytimes.com/2020/12/16/tech ... urces.html

___________

C'est quoi la prochaine étape ?
Des pop up dans Firefox pour nous inciter à "bien penser" ?
Des camps de redressement ?
Une lobotomie ?


Mitchell Baker, Présidente de Mozilla, qui est une fondation il faut se le rappeler, qui existe en partie avec l'argent de donateurs, ferait mieux de s'attacher à revoir les priorités de dépenses, elle qui "a reçu 2,4 millions de dollars en 2018,. Les paiements à Baker ont plus que doublé au cours des cinq dernières années."
En fait pendant la période 2008-2018, sa paie a augmenté de 400% (histoire peut être de compenser la perte de casquettes de différents postes où elle a été incitée à démissionner)


Aucun Président d' ONG/Fondation à travers le monde n'a un PDG qui s'octroie un salaire aussi important
A côté de cela elle vire des employés, s'est lancée par le passé à des objectifs hasardeux, comme une IA, un OS, sans compter les 25 millions de dollars pour acheter la startup de gestion des listes de lecture, Pocket. et autres

Dans les gens virés, il y avait ses collaborateurs les plus expérimentés et développeurs de haut niveau, comme Liz Henry, alors responsable des versions de Firefox, et aujourd'hui responsable des versions de Twitch, une partie de l'équipe en charge de Rust etc

Mitchell Baker, PDG a attribué cette vague de licenciement à la pandémie de coronavirus.

https://www.developpez.com/actu/309084/ ... e-Mozilla/
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Only Amiga... was possible !
Un problème sans solution est un problème mal posé. » (Albert Einstein)
"Tous les patients mentent" Docteur House
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Securite informatique »