*Nouveau* Lancement de la nouvelle version de Blockulicious

[crdf]

Bonjour,

ATTENTION - Blockulicious Endpoint va remplacer dans quelques mois les extensions de Blockulicious pour Chrome et Mozilla. Pour quelles raisons ? Consultez cette page Web : http://manager.crdf.fr/knowledgebase.ph ... icle&id=57.

Nous avons le plaisir de vous informer de l'ouverture de notre beta publique pour le produit "Blockulicious Endpoint". Ce produit est couplé avec la technologie de notre nouveau produit "Blockulicious DNS" et à terme va remplacer les anciennes versions sous la forme d'extensions dans les prochains mois.
Blockulicious va permettre à terme d'utiliser notre nouveau service basé sur le protocole DNS et de supprimer les extensions de Blockulicious sous Chrome et Firefox. Blockulicious sous la forme d'extension restera toujours actif jusqu'au déploiement de Blockulicous DNS et du produit Blockulicious Endpoint.

Blockulicious Endpoint permet de simplifier l'installation et la sécurisation de votre ordinateur avec le service Blockulicious DNS. En effet, notre nouveau service "Blockulicious DNS" fournis une protection avancée grâce au protocole DNS.

Pour pouvoir activer cette protection sur votre ordinateur, vous devez soit :

Installer Blockulicious Endpoint (logiciel en beta test) sur votre ordinateur
Configurer votre routeur/installation sur nos serveurs DNS (version finale du produit)
Blockulicious Endpoint permet aux plus débutants de configurer et activer la protection sur son ordinateur. Blockulicious Endpoint s'occupe de tout et va automatiquement activer la protection sur votre ordinateur. Ainsi, vous devez protégé de manière automatique.

>>> Pour participer à la version BETA, merci de bien vouloir suivre les indications présentes à cette adresse Web :

http://manager.crdf.fr/knowledgebase.ph ... icle&id=56

Tout est explicité dans notre base de connaissance et nous ajouterons de la documentation au fur et à mesure de la demande de nos usagers. Si vous avez la moindre question, n'hésitez pas à nous contacter. Si vous trouvez un bug, n'hésitez pas à nous en informer.

Nous vous remercions d'avance pour votre participation,

[ѠOOT]

Bonjour,

Avez-vous corrigé les problèmes de sécurité signalés en mars 2015 ?
M'autoriseriez-vous à publier des détails et la preuve de faisabilité ?

edit: En date du 26 novembre 2016.

Suite à l'annonce de la fermeture définitive des activités Blockulicious, plus de raison de maintenir le silence. Au final, le greffon de sécurité était vulnérable à différentes attaques simples et connues. Je précise, une nouvelle fois, que je suis de ceux qui estiment que la majorité des outils qui se basent sur du listing simpliste ( DNS | IPs ) pour assurer des "blocages" sont complètement déphasés avec la réalité. ( lire http://forum.malekal.com/crdf-cloud-dan ... 51069.html )

Je vais brièvement expliquer, dans un but pédagogique, un exemple de contournement des blocages. La méthode vise une faiblesse sur la manière de traiter { découpages / filtrages } les entrées. Blockulicious prends l'info brute (DNS/IP) qu'il compare à sa base, sans appliquer suffisamment de contrôles préalables. Dans un monde de bisounours ça fonctionne mais pas dans le notre. Au final, le simple fait de préfixer d'un arobase dans un schéma d'URL générique permettait de valider le mécanisme de comparaison existant et donc de contourner la "protection" :þ

Admettons que malekal.com figure dans la liste des sites bloqués et que "dragibus.php" soit une page piégée.

Code : Tout sélectionner

<iframe src="http://malekal.com/dragibus.php">

→ Avec une écriture conventionnelle, Blockulicious bloque avec succès.

J'utilise des caractères réservés ( cf 2.2 Reserved Characters RFC3986 )

Code : Tout sélectionner

<iframe src="http://@{!_!}@malekal.com/dragibus.php">

→ L'URL est valide, Blockulicious est contourné, l'utilisateur va déguster.