Archives for posts with tag: Internet

Tor : pas d’IP source / pas d’IP de destination

mars 11, 11 //
0

Tout le monde connaît Tor, le logiciel qui permet de masquer son adresse IP par trois rebonds et hop j’ai le droit de faire le con sans être inquiété. On va commencer par des banalités histoire de mettre tout le monde d’accord :

  • Tor est lennnnnnt ;
  • Il change l’adresse IP source mais ça ne suffit pas pour être anonyme. D’ailleurs c’est pour ça que Tor est packagé avec Polipo qui fait les choses bien (DNS tunnelisé, Cache,…)  certe mais nettoie aussi un peu les en-têtes des requêtes ;
  • Tor permet l’anonymisation, mais pas la sécurité. Le point de sortie est un volontaire qui a coché l’option, donc potentiellement n’importe qui et même peut être un gars qui log tout (cf Le trésor de guerre de Wikileaks).

Par contre, il y a une chose dont on parle peu ce sont les hidden services. Le principe est de permettre la mise en ligne d’une ressource (site web ou autre) seulement accessible via Tor. Bien sûr le service ne connaît pas les adresses IP source qui le consulte mais (et surtout) il n’a pas à donner son adresse IP. Comment ? Et bien puisque Tor fait les résolutions DNS pour le surf, ils ont rajouté un tld .onion . Quand on met en place un hidden services on se retrouve avec un nom du genre hfsdkhfs47jldsdfs.onion et c’est tout. Pas de résolution DNS, pas d’IP. Qu’un user demande ce nom dans tor et le traffic arrivera sur le service.

La mise en place des hidden services est enfantine. Je passe sur l’installation de tor qui est simple. Pour activer les hidden service c’est dans /etc/tor/torrc. Il y a deux lignes décommenter et à modifier : HiddenServiceDir et HiddenServicePort (dernière instruction que l’on souhaite plusieurs « ports d’écoute »). On reload et hop. Pour savoir quel est le nom que le user doit demander, il faut aller le trouver dans /var/lib/tor/<nom du rep mis dans les options>/hostname . C’est tout.

Pour le user lambda, un FF avec l’extension qui va bien suffit. Pour d’autre, il faut savoir que Tor est un proxy SOCKSv5. Si l’appli ne le supporte as, il y a des wrappers SOCKS et celui installé par défaut c’est torify.

 

Ne pas utiliser les standards c’est rentable (pour le fournisseur)

septembre 23, 09 //
0

Il y a des moments où l’histoire économique sourit à ceux qui ne le méritent pas : on est seul sur un marché, du coup on y fait ce que l’on veut et on peut même faire du travail un peu pourri pour rendre les clients captifs. Les clients étant prisonniers de la techno, ce sont ceux qui veulent récupérer ces clients qui vont bosser pour vous.

C’est ce qu’a fait M$ avec IE6. Une fois assis sur son petit tas d’or, M$ s’en est allé regardé ailleurs. Il en aura fallu du temps (et des parts de marché perdues surtout)pour voir arriver un IE7 et IE8 mais en trainant les pieds et puis déjà dépassés. Du coup, pour ceux qui sont prisonniers de M$, point de nouvelles techno web (HTML5, CSS3, javascript performant, plug-in,…)  !

C’est dans ces instants où il y en a qui ont de la chance car vu que M$ n’avance pas, Google comble les trous et fait du dévellopement gratos [ et ] :  . Au moins M$ peut être rassuré, on lui développe son navigateur…

Ubiquity, a CLI in the web browser world

septembre 14, 08 //
0

J’ai enfin trouvé un titre incompréhensible pour ce post. D’ailleurs c’est bien à la hauteur de son contenu, quasi nul (bien que non dénué d’intérêt, oui je suis en forme) : C’est drôlement bien Ubiquity.

Je dirais ptet un mot en plus après un peu de vécu, voir de récolte d’avis.

Censure

août 8, 08 //
0

C’est bien connu, une grenouille qu’on met dans de l’eau bouillante sautera pour en ressortir mais une grenouille dans l’eau qu’on porte à ébullition ne s’en apercevra pas*.

Il en est de même pour les êtres humains sauf qu’ils en sont conscients et l’assument : mettez leur un filtrage de leur flux Internet pour interdire certains sites et ils hurlent. Fliquez les pour stocker chacune de leur requête sur plus d’un an et ils ne bronchent pas.

Je me demande s’ils broncheraient si on leur demandait de porter une sonde anale GPS…

* : Pour le débat sur cette allégorie, c’est pas .

Proxy 2nd round

février 21, 08 //
4

Mince une réponse aussi enflammée que la mienne. Ce post n’est pas compréhensible par qui n’aura pas lu la réponse en question et voici une tentative d’argumentation :

Je vais tenter d’être clair : un proxy, c’est utile. Il est idiot de cracher sur le rôle d’un proxy parce qu’on est pas d’accord avec la politique qu’il permet de mettre en place. Je ne mélange pas les rôles, je décris cette réponse à la con qui est de dire que puisque je n’aime pas, je jete.

Le problème du cache est quand le site est mis à jour et que le proxy ne suit pas. J’ai eu très peu d’occasion de le constater d’autant plus que certains proxy détectent la demande de mise à jour par l’utilisateur et mettent leur cache à jour en concéquence. Après tout, c’est tout de même le comportement que cherche à éviter tout proxy car c’est vraiment là qu’on les attend. Tu as le droit de râler si le cache est mal gérer. Par contre, tu m’as mal compris : Je fais une différence entre explications et approbation. J’expliquais et à aucun moment je n’approuvais. D’ailleurs c’est vraiment déplorable que certains se fassent encore avoir mais bon… y a quand même des sites web bien pourris qui ne facilitent pas la tâche.

En ce qui concerne le stade germinal d’une entreprise et bien… j’ai du mal comprendre car d’expérience si un budget n’est pas argumenté je ne me souviens pas avoir eu droit à des débauches de dépenses… j’ai du mal te comprendre.

Attaquons nous maintenant au gros morceau de la dérive totalitaro- fasho- stalino- préhistorico- bigbrotherienne de la configuration.

Pour ce qui est des entreprises qui font de mauvais choix et bien … que dire… ah je n’ai pas été clair ? C’est rageant d’être d’accord et ne pas avoir été compris. J’explicite donc : par cheffaillon je désignais les instances qui ne comprennent pas les tenants et aboutissants de leur choix et par crétin, le luser (terme que je ne connaissais pas et bien trouvé). Quand je parle de GU je parle de luser en effet car étonnamment c’est toujours le crétin qui râle le plus, celui par qui tout arrive et surtout celui qui par son comportement justifie les décisions du cheffaillon. Je souligne qu’à aucun moment je n’ai dit que le crétin et le cheffaillon devaient être des personnes différentes.

De plus, à aucun moment je n’ai approuvé la solution de bloquer les catégories non-critiques (trojans and co.). Qu’on ne me fasse pas porter le chapeau de la dérive totalitaire du bignou et puis dire que c’est la faute du service informatique… bravo. Vraiment bravo. C’est donc aussi la faute au stylo pour les PV, de la roue pour les excès de vitesse, des maths pour la bombe H. Toi qui parlais de troll…

NB : A propos de la pub pour websense, mais je ne vois pas en quoi je leur fais de la pub. Et puis puisque que ne donner qu’un exemple c’est prendre parti citons BlueCoat, SmartFilter, SurfControl, Optenet et j’en passe.

PS : Si ces échanges devaient continuer, vu que tu es de Paris, je te propose d’en débattre de vive voix dans un bar.

Proxy

février 20, 08 //
6

Suite du poste précédent où je parlais SSH ici on va parler plus proxy et ce qui tombe à point nommé quand on lit quelques posts de ci, de , de là bas et d’ailleurs encore. Le soucis c’est que je vais tenter d’informer un peu ces GU (gentils utilisateurs ou usagers). Je vais tenter de ranger un temps les termes techniques même si ça ne va peut être pas durer. D’ailleurs pour les infos plus techniques elles viendront… bientôt.

Bon d’abord qu’est-ce que c’est que ce proxy à la con dont ils parlent. Un proxy dans le contexte des flux web dans une entreprise c’est une boiboite qui filtre ce qui passe. Elle a plusieurs fonctions et entre même dans le classique des mesures de sécurité pour protéger ce cher GU de lui même.

Que ce soit clair j’emploie GU ici avec tout le mépris possible. C’est celui dont on parle tout le temps et qui ne se sent jamais visé. C’est lui le crétin qui va sur astalavista.box.sk pour en revenir avec trent-six trojans ou bien sur le premier lien reçu dans sa boîte perso pour downloader cet utilitaire… ludique certe mais bon counter c’est pas la mort à la pause déjeuner et puis il l’a trouvé en téléchargement gratuit sur un site russe ! Que le premier qui dise que ce crétin n’existe pas se prenne un toucher rectal à la bate de base ball car ils sont légion et en plus ils se relaient.

Bon je m’enflamme un peu sans doute mais vous comprendrez maintenant qu’il faut protéger les GUs de l’entreprise. C’est la vertue première du proxy : ca n’est pas l’utilisateur qui va sur internet avec son navigateur mais le proxy qui surfe à sa place et prend tout les risques. Chaque téléchargement soigneusement réalisé et passer à la moulinette antivirus (si les k€ ont été débloqués).

L’autre grande fonctionnalité du proxy est de rentabiliser le lien Internet. Quand 300 personnes vont sur google toutes les demie-heure, on ne va pas télécharger l’image à chaque fois. Le proxy fait alors un rôle de cache (en anglais, de tampon en français). Quand 5 personnes aiment écouter Europe1 (j’ai vu) dans la société et bien non, on ne va pas télécharger Europe1 cinq fois mais une seule et le flux sera splité par le proxy. Qu’on ne me dise pas qu’il suffit d’augmenter la taille de la liaison Internet pour y arriver.

Car ce tuyau coûte cher ! On factorise donc au maximum les téléchargements mais ça ne fait pas tout et le payeur veut savoir ce qu’on y fait. Allez dire à un cheffaillon qu’il est plus sage pour lui d’apprendre le management plutôt que d’interdire la catégorie ‘jeux’ dans le proxy… Allez justifier le fait que facebook réalise 20% (je ne plaisante pas) des downloads mensuelles d’une entreprise de recherche pétrolière… Au lieu d’interdire site par site le traffic on paie pour ça une catégorisation d’URLs. Et ça se finit par : « Fillez-moi cette liste qu’on ne laisse que ce qui est utile ». Voilà comment on se retrouve avec les meetic, fessebook, myspaces à la trape.

Un soucis est que les fournisseurs de catégories d’URLs sont rarement français, parfois européens et souvent américains. La liste des catégories disponibles est étoffées en général et malgré la granularité, on se retrouve avec des classements parfois surprenant comme des blogs qui passent dans la catégorie ‘X’ et des sites fréquentables dans la catégorie ‘douteuse’. La différence de culture n’aide pas.

Mais voilà. On a commencé à scruter se qui passe sur cette connexion et les moyens de contrôle sont nombreux. Ainsi il faut savoir que si on s’identifie sous windows, chaque log du proxy peut contenir l’identifiant su surfeur. Réaliser un top ten des employers qui téléchargent le plus est un jeu d’enfant. Et de là à pointer les plus gladeurs il n’y a qu’un pas. En plus il n’ a pas que le HTTP qui soit scrutable, par exemple les proxy IM ou mail existent aussi et peuvent logger. Heureusement la CNIL veille et chaque utilisateur doit être au courant de la présence d’un proxy filtrant.

Au final on se retrouve avec un contrôle presque total sur le surfs des employés. Il ne reste qu’à bien réfléchir sur qu’autoriser et à qui. Bien sûr il est facile d’être trop répressif. Mais pour tout soucis de catégorisation veuillez vous rapprocher du chefaillons et du crétin précédemment cités.

NB : Je ne parle pas du cas de Matou qui est tombé sur un bug préhistorique. La corruption du cache d’un proxy est une attaque digne des 90′s. Oui j’ai bien dit attaque car consulter les mails des commerciaux ou du patron c’est pas cool.

NB : Dans certains cas les catégories sont mises à jour toutes les heures pour suivre les sites de malwares ou des contournement de proxy, justement.