DNS sécurisé (firefox ECH) + question firefox ESR [Résolu]

[roger-delamare35]

Bonjour,

Je me suis intéressé au fait d'avoir un DNS sécurisé, en passant par Firefox et Windows 11. Cependant, j'ai appliqué la démarche indiquée sur malekal et j'ai vu par le test de cloudflare que le SNI n'était pas activé, je me suis renseigné, et j'ai essayé d'activer ECH. Dans about:config, j'ai mis: network.dns.echconfig.enabled à true, network.dns.http3.echconfig.enabled (true) et network.dns.use_https_rr_as_altsvc (true), mais le test cloudflare est identique (et toujours en http/2). Je me demandais donc comment résoudre ce problème.
À ce propos, j'ai aussi un : ? (pour secure DNS). Cela ne le fait pas pour cloudflare (fournisseur), mais j'ai mis en personnalisé avec: "https://doh.applied-privacy.net/query", (j'imagine que c'est normal, mais je préfère demander).

Sinon j'ai regardé le tuto : "FIREFOX : Tracking, pistage utilisateur et sécurité" de Parisien_entraide (sur le forum), (je compte appliquer ses conseils, comme avec: "user.js", "pref.js"...), aussi j'ai donc vu que Parisien_entraide utilisait "firefox ESR", et je me demandais donc pourquoi ? Et en ayant vu qu'il n'avait pas de mises à jour de fonctionnalités (personnellement, j'utilise le normal X64bits). Est-il donc plus intéressant, même pour un utilisateur unique ? Merci.
Je tenais également à féliciter les personnes derrière ce site (malekal.com) pour leur engagement et la qualité de leur conseils.

Cordialement.

[Parisien_entraide]

Bonjour

Pour répondre en résumé :

C'est normal pour le SNI et tu apprendras le pourquoi :
viewtopic.php?t=68373

Ensuite les tests Cloudlfare, cela fonctionne si on a surtout les DNS de .. Cloudlflare :-) et qu'on laisse tout en l'état
De plus les autres résultats sont impactés si par ex tu utilises SimpleDNSCrypt, https://www.malekal.com/simple-dnscrypt-dns-securises/ et que tu ne passes par ce qui est proposé :

2023-07-18_141050.png

que tu modifies les paramètres de connexion dans Firefox comme avec par ex

2023-07-18_140753.png

sans compter tout un tas d'autres choses (dont des modules complémentaires qui peuvent fausser les résultats : Chaméleon par ex, no script etc)
viewtopic.php?p=527443/

Quant à la différence de la version classique et ESR, sur Mozilla ce n 'est pas très bien expliqué je trouve
Là j ai pris un lien rapide ou tout y est

https://www.informatique-mania.com/appl ... lecharger/


Pour les modifs de Firefox
https://www.malekal.com/mozilla-firefox ... e-pistage/

Tu fais référence à viewtopic.php?t=58389
En fait cela donne les grandes lignes, sur la forme... Sur le fond, il y a des fonctions qui disparaissent, ou alors existent mais ne sont plus/pas prise en compte, des nouvelles etc
Il faut donc ajuster en fonction de sa version de Firefox, en se rappelant que si on applique comme un bourrin on va se retrouver avec des morceaux en langue anglaise ce qui peut perturber pas mal de gens comme avec par ex :

https://github.com/arkenfox/user.js

J'avais effectué quelques mises à jour mais c'est un boulot de titan pour tout suivre (en ESR et version classique)
viewtopic.php?t=58389&start=15 (page 1 et page 2 pour LibreWolf)

Sinon LibreWolf est pas mal et paradoxalement j'ai moins de problèmes sur certains sites qu'avec certains profils de mon Firefox ESR
(j'ai plusieurs profils que je choisis au démarrage)

[roger-delamare35]

Bonjour, je vous remercie beaucoup pour votre aide et le temps que vous m'accordez.

Donc, d'après ce que j'ai compris, l'eSNI n'est plus disponible sur Firefox (même ESR) pour les versions à jour. Et il faut attendre l'ECH, qui ne sera peut-être pas utilisé tant que certains n'auront pas d'intérêts ou ne seront pas poussés pour l'adopter.
Et pour les tests Cloudflare, je comprends bien qu'ils n'apprécient pas le choix du vilain DNS concurrent et inefficace :-)
Sinon en ce qui concerne SimpleDNSCrypt, je l'ai installé après votre réponse, et je ne sais pas s'il fonctionne correctement : car j'ai fait ipconfig /all et nslookup(cmd) qui indiquent : 127.0.0.1; Serveur:UnKnown et Address: ::1 + Réponse ne faisant pas autorité : Nom :www.google.fr, Address: 142.250.200.67, donc je pense que c'est bon, mais l'ajout de domaine dans la liste noire n'a pas l'air de fonctionner (après l'ajout avec le + puis les étoiles pour fusionner). Je précise que j'avais oublié de mettre microsoft .net avant l'installation de SimpleDNSCrypt donc je l'ai désinstallé (sans par ex: revo) pour le réinstaller ensuite.

Après, j'ai fait des tests pour voir, les mêmes à chaque changement effectué : ceux de "https://www.malekal.com/tester-dns/" et ça en plus : "https://ipv6-test.com/" (je ne sais pas s'il est bien). J'ai essayé dans les paramètres de SimpleDNSCrypt "utiliser un serveur ipv6" et paramètres avancés : "bloquer l'ipv6" et "forcer le TCP" avec différentes combinaisons (activés et désactivés); de changer les résolveurs (en automatique, les 2 premiers adguards et botzmeyer normal et ipv6), avec les fournisseurs : "https://ns0.fdn.fr/dns-query", "https://doh.appliedprivacy.net/query" + cloudflare et nextdns dans firefox. Pour les tests (pour W11 famille): pktmon: les requêtes DNS sont visibles en clair (des lignes affichées après 5 min), sur internet.nl tout est au vert donc j'ai ipv6, sur :"https://one.one.one.one/help/" j'ai 4X NO (debug information) et 4X YES (Connectivity to Resolver IP Addresses) et il y a bien une fuite DNS (adresse exposée); "https://ipv6-test.com/": affiche que mon routeur ou pare-feu filtre les messages ICMPv6 (le Pare-Feu Windows defender que j'utilise est paramétré selon un des tutos de malekal) et "There is no reverse DNS record". Donc je ne sais pas si tout est normal.
J'ai aussi installé gpedit.msc avec la méthode DISM du tuto: "https://www.malekal.com/comment-activer ... indows-11/" pour autoriser DoH ("https://www.malekal.com/comment-activer ... indows-11/") ça doit avoir marché, mais à l'ouverture de gpedit.msc j'ai à chaque fois 4 fenêtres d'avertissements m'indiquant des lignes inexistantes ou introuvables pour gpedit.

Pour les modules complémentaires de sécurité, je n'ai qu'ublock origin pour l'instant. Je me demandais aussi si le fait d'avoir des extensions de désactivées avait le même effet que si elles n'étaient pas installées, car ça pourrait être bien d'en avoir plein d'installé et de les activer suivant le besoin sans en activer trop en même temps. Sinon j'ai avast (av, sans certains modules) + le pare-feu (WD). Je signale aussi avoir essayé sur LibreWolf que j'ai installé et que je ne connaissais pas, après l'avoir "réglé" comme Firefox, et effectué les mêmes tests dessus : idem. Après, je ne sais pas non plus si eSNI ou ECH est disponible sur LibreWolf.
Effectivement, les mises à jour du "user.js" ont l'air lourdes et chronophages suivant l'utilisation (personnalisée ou pas). Je comprends que LibreWolf peut être une bonne alternative. Dois-je imaginer que vous utilisiez actuellement LibreWolf majoritairement et délaissez Firefox ? Aussi, le choix des profils au démarrage est une idée intéressante.

De plus, je me demandais quels paramètres serveur proxy mettre pour firefox et LibreWolf? Si le résolveur DNS botzmeyer était bien (100 requêtes/secondes et lois françaises)? Enfin, si Pihole pour Linux avait des trucs en plus ? (j'ai mint en dual boot avec W10 sur un vieux pc avec hdd, je ne préfère pas pour l'instant le mettre sur mon nouveau, mais c'était pour savoir).
Enfin, en effet le site "informatique-mania" explique clairement mieux ce qu'est Firefox ESR.

Encore merci, et pardon pour le pavé et le retard de réponse.

Cordialement.

[Parisien_entraide]

Bah ne focalise pas non plus là dessus, surtout que je ne sais quel est ton but en fait

A lire
https://madaidans-insecurities.github.i ... d-dns.html

Je note que tu as mis mes exemples avec botzmeyer et FDN (c'est fiable), mais sur ce PC de tests j'ai désactive IPV6 (Et malgré les X requetes je n'ai pas de soucis avec l'adresse de botzmeyer
En fait mon FAI fournit du IPV6 mais avec une couche de transport IPV4 (pour que cela passe partout) donc j'ai laissé en IPV4

Pour les erreurs gpedit.msc.. Vu que tu ne dis pas ce que sont ces messages d'erreurs (c'est en lien ?)...
Mais tu es en version famille et non "pro" de windows 11 donc tout n'est pas en place et meme si tu actives, rien ne dit que tu ne sois pas confronté au meme soucis que sous windows 10 home vu que Microsoft modifie au fil des mois un tas de choses, que même dans le canal Dev ils ne sont pas toujours au courant...

Il semblerait que les restrictions appliquées depuis gpedit.msc sur un Windows 10 familiale ne fonctionnent pas.
De ce fait, installer l’éditeur d’objets de stratégies de groupes n’a pas grand intérêt sur Windows 10 familiale.

Perso, Je n'ai que des versions PRO de Win10 et Win11 (et flemme d'installer une version Home pour tests) donc je ne sais

Pour une extension si elle est désactivée, elle n'est pas active donc elle ne fonctionne pas

Quant à LibreWolf il fait juste partie d'un complément de navigateurs que j'utilise avec SandBoxie

[roger-delamare35]

Bonjour, merci pour votre aide.

Et je vais me répéter, mais désolé du retard de réponses (problème de santé).

Pour répondre : mon but est surtout sécuritaire, après éviter censure et adaptation du contenu (prix...), je n'aime pas qu'on utilise mes données et ça m'intéresse aussi d'approfondir mes connaissances. (pour l'instant, je n'en vois pas d'autres)

Sinon, je n'avais pas vu l'article de : "https://madaidans-insecurities.github.i ... d-dns.html", et je l'ai trouvé intéressant, et je comprends bien les propos, après je note tout de même que bien que très insuffisant, ça peut néanmoins avoir un intérêt même minime. Alors, je préfère quand même réessayer un peu, et si je n'y arrive vraiment pas, j'enlèverai dnscrypt.
Donc, après du temps passé dessus: activé DoH dans PolicyPlus et modifié le registre (méthode : https://www.malekal.com/comment-activer ... indows-10/); mis un autre résolveur (dnscrypt anonymisé avec relais) et essayé sur un autre ordi (idem), mes conclusions :
1) dans les paramètres Windows : il y a 2* (non chiffré), donc quel modèle dns sur https mettre après avoir activé (modèle manuel), par exemple si mon dns est ams-dnscrypt-nl?
2) peut être aussi en configurant le proxy (manuellement?) dans les paramètres Windows + sur le navigateur internet
3) le pare feu logiciel (je ne pense pas car, j'ai vu pour windows defender, j'ai même essayé celui d'avast).
Je précise aussi que parfois le test "https://www.cloudflare.com/ssl/encrypted-sni/" indique qu'il y a le secure sni (sans raison, je pense), bien que très peu de fois, et pas longtemps.

Enfin, je peux laisser gpedit (je pense que ça n'aura pas d'incidence). (ou essayer de le supprimer (gpedit.msc)?)
Après vous avez répondu à mes autres interrogations.
J'avais mis des bêtises sur mon précédent post, même si je ne maîtrise pas encore bien le sujet...


Merci bien.

[Parisien_entraide]

Bonjour

Je vais faire court...

Tu dis

"mon but est surtout sécuritaire, après éviter censure et adaptation du contenu (prix...),"

Pour l'aspect sécuritaire, garde en tête que tu ne pourras jamais sécuriser à 100%, juste limiter la casse
Avec tout ce que tu as fais c'est ok

Pour la censure c est juste une question de DNS menteurs (normalement ceux par défaut de ton FAI)
https://www.malekal.com/dns-menteur-blo ... -internet/

Pour les histoires de prix, c'est un peu plus complexe... (comparatif de billets par ex qui te reconnait à chaque passage et qui monte les prix)
Dans l'absolu un Sandboxie qui permet dès qu'on le ferme de vider/virer les caches, cookies, du navigateur ..cela peut aider
Reste l'IP qui peut rester (utiliser un VPN payant si possible), et un navigateur avec un brouilleur
Par ex pour Firefox le module Chameleon viewtopic.php?p=528422#p528422
Et pour Chrome et un navigateur sous chromium https://vytal.io/

Pour gpedit etc je n'ai pas tout compris
Ca, tu n'as pas à y toucher, tu le laisse en place, c'est lié à ton windows, pour configurer certains points comme par ex en alternative de la base de registre pour
https://www.malekal.com/activer-desacti ... ows-10-11/

Tu peux le remplacer du reste par https://www.malekal.com/policy-plus-edi ... s-windows/

[roger-delamare35]

Bonjour,
Pardon, je n'avais pas répondu, et j'avais encore mis des bêtises. Du coup : pour Doh, c'était lié au PC spécifiquement (problème de réseau quelconque). Sous un Windows 10 ça fonctionne (j'ai activé ECH (pas Esni) et activé network.dns.http3_echconfig.enabled dans about:config).

Sinon, pour apporter un retour : j'ai mis sous le Windows 10: Windows Defender, Hard-Configurator et Hardentools bien configurés, j'ai les 2 fichiers en .reg pour PowerShell. Utilisé : ooapb et oosu10 pour bloatwares et télémétrie Windows, sur compte local. Mis WingetUI, et pour le test des désinstalleurs en version d'essai : Revo pro est super, Geek uninstaller me paraissait plus limité dans cette version, je n'ai pas testé Uninstalr (basé à Sofiya en Bulgarie, et site de moins 6 mois; à voir).
Sinon vérifs autoruns, process explorer...
Et en effet pour Policy plus, je l'avais mis juste après l'activation de gpedit.msc.

Après, j'avais des questions sur d'autres sujets :


Surtout sur les extensions de sécurités du navigateur (pour Firefox): Ublock origin: filtrage dynamique (pas de soucis), mais : les sites fiables (scheme), j'ai juste laissé moz-extension et wyciwyg (est-ce bon ?). J'ai fait : "https://www.malekal.com/ublock-origin-l ... s-ultimes/", pour annoyances il y a eu des changements depuis (j'ai mis les easylist à adapter en fonctions d'autres extensions), les fichier hosts : je me demandais la différence entre les mettre dans Ublock ou les adresses dans le fichier hosts windows (en désactivant client DNS) par exemple: avec Hostmans (ou Host File Editor), ou Yogadns (je crois qu'il peut aussi), en respetant la limite de 80mo (j'ai vu que vous avez testé), mais est-ce encore d'actualité ? Dedans, je pensais mettre : pour les trackers first party (https://sebsauvage.net/wiki/doku.php?id=dns-blocklist), si vous avez d'autres suggestions importantes ? Et, https://filterlists.com/ pour des personnalisés ; en essayant d'éviter les listes redondantes et de surcharger.

Je pense rajouter : la liste similaire à l'extension Behave!, donnée sur ce forum, idem pour TRACKING TOKEN STRIPPER.

Les autres extensions que j'aimerais utiliser : Chameleon/Canvasblocker/Trace (car je veux simuler mon API de lecture compatible avec le finger printing; peut m'importe la complexité, celui qui fait le mieux et qui affecte peu/pas la navigation sera mon choix ; si Canvasblocker, il faut sans doute Smart Referer en plus), NoScript, LOCAL CDN, COOKIE AUTODELETE, Skip redirect + CLEAR URL'S, FIREFOX MULTIACCOUNT CONTAINERS, I still don't care about cookies, KEEPASSXC-BROWSER (j'ai KeepassXC).

Peut-être aussi : Netcraft extensions, CSS EXFIL PROTECTION, HTTPZ.
Sinon: COOKIE QUICK MANAGER(peut-être pas essentiel, à tester), PRIVACY REDIRECT(surtout pour Youtube et google maps pour moi), DON'T TRACK ME GOOGLE, DUCKDUCKGO ESSENTIALS (qu'apporte t-il de plus que les autres citées? Et si possible sans Duckduckgo, en moteur de recherche: j'utiliserai Starpage(IxQuick) ou QWANT),

Il n'y a pas de problèmes à en utiliser autant (toutes en même temps), pour le traçage ?
Et les désactivées, sont elles détectables ?

Je vais mettre les polices Ubuntu.

Je pensais : pourquoi ne pas utiliser Librewolf comme vous le faîtes avec les profils Firefox: pour les sites d'achats, etc... ; navigation plus sécurisée sur les sites "sensibles"... et un qui passe partout avec Firefox, le tout sans user.js "complexe", sinon pour Librewolf utiliser les mêmes extensions de sécurité que Firefox ? Après, je peux aussi tester le user.js fournit, avec Firefox. (associer user.js + pref.js (ok); également : Privacy Settings/Policy Control (les 3 ensembles ?)

J'ai aussi vu que la réinitialisation pour Windows avec son système de fichiers (NTFS) qui s'altérait avec le temps pouvait être intéressante (si lenteurs); Linux lui ne s'altère pas.
Et en précautions : juste avoir la clé de licence Windows au cas où + sauvegarde externe des données, et réinitialisation OEM, si PC OEM pour les pilotes (à part ça, pas de risques/contre-indications ? En cas de besoin, pour ne pas hésiter.)

Pour Mpc HC/BE (j'ai Mpc BE): LAV et Madvr (si vous auriez un lien pour un tuto de mise en place). La différence entre Foobar2000 (32bits) et Aimp configurés (point de vue audio)?

Sinon Thunderbird/Mailo pour mails, Sandboxie et d'autres apps... Pour le Windows 11: bloatwares et télémétrie : BloatyNosy. Et Cloneapp pour m'aider au passage du Windows 10 au 11.

Dernière question, sur les navigateurs sous Chromium (ex: Slimjet) et Gecko : pourquoi avoir les 2 (utilité)?

Enfin, limiter la casse est déjà pas mal : je préfère me casser un ongle, qu'un bras En-tout-cas j'aime la recherche du forum pour les inscrits, je trouve le site et le forum excellents.

Un grand merci pour l'aide apportée.

[Parisien_entraide]

Garde en mémoire que :

Plus tu filtres, plus tu auras de soucis avec certains sites web (sites cassés, pas d'affichage, impossibilité d effectuer certaines actions etc..)
A cela il y a la conso des ressources processeur et mémoire ce qui au final ralentit tout

Revo Pro : Il est utilisable pendant x jours.. Après faut payer sinon il ne fait pas mieux que le desinstalleur de Windows (IDem Geek il me semble)

La vocation du fichiers HOSTS n'a jamais été de bloquer des sites...
En plus si c'est pour les sites malwares pour les charges utiles, cela ne sert à rien, cela bouge trop, meme les AV ne suivent pas. Idem les listes anti malwares vu que ces sites ont une durée de vie très courte
En plus à moins d'avoir une protection que font certains antivirus, il peut etre modifié par un malware

A la rigueur tu peux bloquer (hors sites C2 de malwares) avec
https://www.malekal.com/simple-dnscrypt-dns-securises/ mais il demande le client DNS actif
et
https://www.malekal.com/bloquer-adresse ... -defender/

Plus radical.. bloquer des tranches d'adresses vu que ce sont les toujours memes pays qui hébergent ou sont fournisseurs de merdouilles
viewtopic.php?t=8829 (Apres y a les registrars, mais bon..)
(ukrainiennes, Estonie, Roumanie, Chine...)

M'enfin cela ne sert à rien de trop en faire...
Utilise un navigateur blindé si tu veux, achete Sandboxie et il ne t'arriveras rien

Je note que tu sais naviguer sur le site et forum, donc tu auras réponses à nombre de tes questions, sinon faut passer par les moteurs de recherche
Là pour te répondre en détail il me faudrait des heures que je n'ai pas..

Pourquoi tu ne tentes pas l'aventure PI HOLE ?
https://www.malekal.com/pi-hole-bloquer ... -trackers/

[roger-delamare35]

Bonjour,

Je pense aussi que trop de filtres ralentissent. Pas trop de lignes dedans, mais bien choisis, juste le nécessaire.
En fait, je pense qu'il faut réfléchir et adapter (bien comprendre ce qu'on applique).
Mais, un site de malwares cassé ne me dérange pas tant que les fiables sont épargnés.

Pour les désinstalleurs, c'est bien ça, mais je trouve déjà bien de pouvoir les tester.

D'accord pour le fichier Hosts, je ferai comme ça (pare-feu/dns).
Je comprends bien pour les malwares, je pensais plutôt à certains sites de tracking agressifs qui ne bougent pas trop.

Bloquer des tranches d'adresses est intéressant, peut-être radical effectivement. Ok, je vais essayer de ne pas trop en faire.

Ok aussi, pour le navigateur au blindage d'acier chromé (pas Chrome).

Je trouve la solution Pi-hole très intéressante, je ne m'étais pas renseigné dessus, sur un serveur dédié ou surtout : un Raspeberry pi abordable s'il est suffisant, ça mérite d'être creusé.

Et, oui, en effet, j'avoue avoir un peu abusé sur le nombre de questions. Désolé, mais je trouve en tout cas que vous m'avez déjà bien aidé.
Je dois générer un fort trafic sur le site : + de 1329 requêtes/jour.
Post Résolu.

[iBenny]

Bonjour !

Je ne connais pas Foobar2000 mais AIMP (que j'ai depuis des années) est super ! J'avais déjà lu des comparatifs dessus et il était TRÈS bien coté. J'ai constaté sa supériorité à l'écoute.

PS : De facture Russe, si t'es pas russophobe (maladie mentale virale pandémique récente).

Salutations cordiales,
iBenny

[Parisien_entraide]

Bonjour Ibenny

Heu je pense que tu t'es trompé de sujet :-)
J'ai beau relire (du moins les dernier messages) il ne parle pas de foobar

Quant à AIMP.. J'avais initié ce sujet il y a.. pfff TRES longtemps, et il est toujours d'actualité (pour le fond car pour la forme AIMP a pas mal évolué)
viewtopic.php?t=10246

[iBenny]

Bonjour Ibenny

Heu je pense que tu t'es trompé de sujet :-)
J'ai beau relire (du moins les dernier messages) il ne parle pas de foobar

ICI (15 sept. 2023 18:40), 4ème avant-dernier paragraphe...

Bonne journée le Parisien !
iBenny

[Parisien_entraide]

Ah oui tu as l'oeil :-) (faut dire que dans le message cela fusait dans tous les coins :-)

Et bien au moins comme cela, la question est vite répondue jeune entrepreneur :-)

2023-09-20_172903.jpg

[iBenny]

Ah oui tu as l'oeil :-) (faut dire que dans le message cela fusait dans tous les coins :-)

C'était... étourdissant !

Salutations cordiales Le Parisien
iBenny

PS : je viens de découvrir les fuites DNS ces derniers jours ! je vais ouvrir un nouveau fil là-dessus...