Forum général.général IndexedDb, Firefox s'occupe de tout

Posté par . Licence CC by-sa
16
14
oct.
2015

Bonjour,

Je viens de me rendre compte aujourd'hui que Firefox permet aux sites Web de stocker des données en utilisant l'API IndexedDb sans avertir l'utilisateur (grave) et surtout sans aucun moyen de les effacer depuis l'interface (très grave). Dit autrement lorsque vous faites "Supprimer l'historique récent…" en cochant tout ça laisse cette base de données intacte.

Ces données se trouvent dans Mozilla/Firefox/Profiles/machin.default/storage/default

C'est épatant d'incompétence pour un navigateur qui prétend protéger la vie privée de ses utilisateurs.

Vous allez me dire que ce n'est accessible qu'au site qui a créé les données mais :
- vous allez sur un site par un VPN, vous y retournez sans VPN : démasqué,
- vous utilisez une application Web qui en fait un usage intensif, vous pensez avoir tout nettoyé avant de quitter mais en fait non, quelqu'un utilise le navigateur après vous, se connecte sur le même site et tombe par défaut sur votre profil…

Pour se protéger de ces désagréments on peut :
- effacer le répertoire à la main après avoir fermé le navigateur (mouais),
- utiliser le navigateur en navigation privée (bof),
- désactiver la mise en cache de contenu Web (pas malin).

Ou alors Firefox pourrait supprimer ce contenu quand on lui demande d'effacer l'historique dans la mesure où ça semble être ce que l'on attend par défaut d'une telle fonctionnalité.

Prout.

  • # très bonne idée

    Posté par . Évalué à 7.

    très bonne idée. je vais voter positivement le rapport de bug que tu as fais.

    • [^] # Re: très bonne idée

      Posté par . Évalué à -10.

      Pour te rendre utile tu pourrais signaler ce bug chez Mozilla puisque tu es si sûr de toi, d'autant plus qu'il est vieux d'au moins deux ans (j'ai essayé avec quelques versions de Firefox 19 à la dernière en date) et qu'il est passé au travers des dizaines d'audits sécurité que se mangent les navigateurs Internet…

      Quitte à faire le bon mot, profites en pour corriger la vilaine faute d'orthographe (tu fais, tu as fait).

  • # Et ya pas que là…

    Posté par . Évalué à 7.

    Je me suis rendu compte d’un truc semblable il y a de ça deux ou trois ans. Historique activé ou pas on trouve plein d’URL correspondants aux sites visités dans le fichier places.sqlite

    Bref, ne pas enregistrer l’historique de navigation chez Firefox ça veut juste dire ne pas le rendre facilement accessible via l’interface :/

  • # IndexedDB

    Posté par . Évalué à 1.

    Ou alors Firefox pourrait supprimer ce contenu quand on lui demande d'effacer l'historique dans la mesure où ça semble être ce que l'on attend par défaut d'une telle fonctionnalité.

    Sauf que l'IndexedDB contient potentiellement des données importantes (contenus modifiés et non-synchronisés, etc.).
    En plus, les modifications ne sont pas journalisées dans l'IndexedDB. Du coup, si l'utilisateur choisit de supprimer l'historique de la dernière heure, tu fait comment pour remettre les DBs des sites visités dans leurs états précédents ?

    Envoyé depuis ma Debian avec Firefox

    • [^] # Re: IndexedDB

      Posté par . Évalué à 1.

      Malheureux! C'est beaucoup plus facile de faire un commentaire qui dénonce grave plutôt que d'analyser les problèmes techniques!

    • [^] # Re: IndexedDB

      Posté par . Évalué à 7.

      Etrangement Google Chrome y parvient parfaitement : quand je supprime l'historique l'indexedDb disparaît.

      • [^] # Re: IndexedDB

        Posté par . Évalué à -6.

        Opera aussi supprime indexeddb. Bon allez je vous laisse entre vous les moralisateurs à deux balles et les experts en carton.

        • [^] # Re: IndexedDB

          Posté par . Évalué à 3.

          experts en carton

          et bien justement, c'est ce qui t'a été suggéré en premier commentaire mais dont apparemment tu n'as pas saisi la pertinence: les experts sur la question sont sur le bugzilla du projet firefox.
          Reprend ton texte initial, supprime la formule finale qui n'aura que peu de sens dans la langue usitée sur le site, et hop tu devrais recevoir une explication des experts du domaine quant à tes interrogations sur la gestion de l'historique de navigation.

          C'est dommage de partir si vite, quelques heures après t'être inscrit.

          • [^] # Re: IndexedDB

            Posté par . Évalué à -10.

            Ca pas être bug toi comprendre ?

            Non c'est pas dommage de partir si vite, au contraire :)

          • [^] # Re: IndexedDB

            Posté par . Évalué à -10.

            Et puis c'est marrant de te lire. Toi tu me dis que c'est un bug, l'autre il me dit que c'est normal et m'explique pourquoi.

            Moi je te dis que ce n'est pas un bug et que c'est un comportement conforme à ce que Firefox a décidé de ce que serait cette fonctionnalité.

            Et si tu savais lire, en plus de ne pas perdre ton temps avec ta morale de technicien besogneux, tu comprendrais que ce qui me choque dans cette histoire c'est que quand je clique sur quelquechose qui me déclare explicitement que "Tout l'historique sera effacé. Cette action est irréversible.", je m'attends à ce que ce soit le cas et pas qu'on me dise "oui mais bon tu vois ça c'est de l'historique certes mais du bon historique qui sert à faciliter la vie au développeur de Webapp".

            C'est pas au développeur à juger à ma place qu'elles sont les données privées qu'il conservera sans m'en informer.

      • [^] # Re: IndexedDB

        Posté par . Évalué à 0.

        quand je supprime l'historique l'indexedDb disparaît

        Justement, l'argument est que ça n'est pas souhaitable. Si on veut supprimer l'historique de la dernière heure, on veut que le navigateur revienne dans l'état qu'il était avant la dernière heure. Si on supprime le fichier, alors le navigateur est réinitialisé complètement.

        • [^] # Re: IndexedDB

          Posté par . Évalué à -3.

          Ah d'accord tout s'explique.

          Donc si je veux développer une application Web qui utilise indexeddb je dois contraindre l'utilisateur à utiliser Firefox (vu que le comportement est différent avec les autres) parce que Firefox a compris que parce que lorsque je souhaite effacer l'historique de la dernière heure il convient de conserver indexeddb afin de ne pas effacer des données qui seraient antérieures à cette heure, alors même dans le cas où un effacement total de l'historique est demandé (et explicitement proposé en choix par Firefox) il ne faut pas effacer indexeddb.

          Ca semble tellement évident que je comprends maintenant pourquoi tu me prenais de haut avec tes airs de celui qui a tout compris.

          En poursuivant ton raisonnement il faudrait signaler à l'équipe de Chrome et celle d'Opera (peut être IE aussi) que leur navigateur a un comportement illogique.
          Il faudrait aussi demander aux fabriquants de voitures de modifier les phares afin qu'ils s'allument et s'éteignent comme les clignotants, parce qu'après tout un clignotant et un phare lorsqu'on regarde vite fait c'est au même endroit sur la carosserie et ça fait de la lumière, donc ça doit se comporter de la même façon.

          • [^] # Re: IndexedDB

            Posté par . Évalué à 10.

            Dans la vraie vie, quand tu n'as pas d'écran pour te protéger, tu fais de la muscu, tu te la ramènes moins, ou tu essayes de prendre un nombre pair de coups de boule tous les jours pour que le pif reste droit le soir?

            Donc, après une petite recherche Google d'environ 10 secondes, il apparait que Firefox ne considère pas les bases de données comme faisant partie de l'historique. Cependant, tu peux y accéder et paramétrer son fonctionnement de manière transparente et cliquodromesque, en faisant "Tools" -> "Page Info" -> "Permissions" -> "Maintain offline storage", et cliquer sur les options.

            Comme il t'a été suggéré, si tu penses que les bases de données devraient être supprimées en même temps que l'historique de navigation ou les cookies, au moins quand on choisit de supprimer la totalité de l'historique depuis le début, alors tu devrais créer une entrée au bugzilla, puisqu'il est tout à fait possible que personne n'ait réfléchi au problème avant toi. Si la réponse ne te convient pas, alors tu peux de plaindre. Autrement, tu auras contribué à un logiciel libre d'une manière constructive, ce qui semble assez inespéré.

            • [^] # Re: IndexedDB

              Posté par . Évalué à 2.

              Petite précision : l'interface précédente sert à régler le comportement de la bdd page par page, mais il est possible de choisir "Always ask" ou "Block" dans about:permissions pour le réglage général. Ça ne règle pas le problème du nettoyage d'historique (qui n'est probablement pas soluble sauf dans le cas où l'on souhaite effacer complètement la totalité de l'historique), mais ça donne des moyens de contrôle sur l'utilisation du fichier en question.

            • [^] # Re: IndexedDB

              Posté par . Évalué à -10.

              "Dans la vraie vie, quand tu n'as pas d'écran pour te protéger, tu fais de la muscu, tu te la ramènes moins, ou tu essayes de prendre un nombre pair de coups de boule tous les jours pour que le pif reste droit le soir? "

              T'as pas du te battre souvent pour croire qu'en faisant de la muscu tu vas pas te prendre une branlée, gamin. Tu te crois dans un show télévisé ou devant un jeu vidéo pour en venir à des menaces physiques ? Justement, si tu étais en face de moi c'est pas sûr que tu la fermerais pas ta gueule. En relisant bien l'historique on pourra constater que je post un message pour signaler un truc technique qui me semble important, et que les premiers commentaires sont des petits mecs comme toi qui viennent passer leur impuissance en trollant ou en faisant la morale.

              Un type comme toi qui commence la discussion par une attaque perso et qui ensuite croit m'impressionner avec des allusions à un cassage de gueule j'en trouve que sur le Web.

              Pauvre type.

              • [^] # Re: IndexedDB

                Posté par (page perso) . Évalué à 8.

                Merci de rester courtois dans les échanges sur le site, conformément aux règles de modération en vigueur.

                • [^] # Re: IndexedDB

                  Posté par . Évalué à -6. Dernière modification le 17/10/15 à 06:56.

                  Très bien, je vois que les menaces physiques sous-entendues c'est toléré et considéré courtois. Je crois qu'on a atteint les limites de ce que certains sont capables de faire de leur petites connaissances techniques. Cela dit quand on est persuadé que faire de la muscu ça permet de garantir la liberté d'expression on a certainement du mal à comprendre certaines choses.

                  Dommage que vous mettiez un terme à cet échange car dans sa lancée, ce gentilhomme m'aurait peut être proposé une discussion physique en message privé.

                  Pour ma part je mets un terme à la discussion, l'atmosphère sent les embouteillages en sortie de bureau des geeks mal dans leur peaux.

                  Courtoisement.

    • [^] # Re: IndexedDB

      Posté par . Évalué à 2.

      Sauf que l'IndexedDB contient potentiellement des données importantes (contenus modifiés et non-synchronisés, etc.). En plus, les modifications ne sont pas journalisées dans l'IndexedDB.

      C'est pas le problème de l'utilisateur ça. Comme expliqué sur la page Mozilla, c'est au développeur de se prémunir de ce genre de chose : https://developer.mozilla.org/en-US/docs/Web/API/IndexedDB_API/Using_IndexedDB#Warning_About_Browser_Shutdown

      Du coup, si l'utilisateur choisit de supprimer l'historique de la dernière heure, tu fait comment pour remettre les DBs des sites visités dans leurs états précédents ?

      Ben on fait pas, puisque l’utilisateur a choisi de tout effacer volontairement ! Remplace les mots "historique" et "DBs" de ta phrase par "cookies" et tu verrais que c’est choquant.

  • # et niveau privacy ?

    Posté par (page perso) . Évalué à 3.

    Alors que les gens peuvent commencer à prendre l'habitude de vider les cookies (cela se fait simplement). Ne peut-on craindre de laisser un endroit ou un serveur peut taguer la machine et suivre sa navigation indépendamment des cookies et redémarrages ?

    Parce que même si c'est peut être complexe, n'imaginons pas une seule seconde que les gens qui cherchent à nous cribler sont des crétins.

    Alors j'ai bien lu qu'il y avait une interface pour le désactiver, interface que je n'ai pas trouvé chez moi, mais n'est-ce pas une perte de vie privée ? Je comprends bien la balance facilité/sécurité.. mais je me pose la question.

    • [^] # Re: et niveau privacy ?

      Posté par (page perso) . Évalué à 0.

      je vais me mettre à la muscu pour éviter les coups de boules impairs, ce qui ne change pas grand chose, l'impact était plus ou moins dans le même plan que le nez, mais c'est vrai que ça fait un bon mot. enfin… bon… tout dépend du référentiel.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.