Journal Privacie FAILED !

Posté par . Licence CC by-sa
21
13
juin
2013

Suite aux diverses informations ces derniers temps concernant l'espionnage de plus en plus répandu, je me suis demandé ce que valait le réseau TOR dans le cadre d'un surf quotidien pour protéger la privacie. Mon but est d'évaluer à quel point on pourrait protéger sa privacie des méchants gouvernements et des cupides multinationales américaines.

Mon profil de surfeur simpliste s'adapte très bien à TOR :

  • je n'utilise pas de réseau social (Facebook, Twitter, MySpace, linuxfr, …) ;
  • je n'ai aucune utilisation Web qui nécessite une connexion permanente ;
  • je ne poste pratiquement rien sur le Web ;
  • 98,37% de mon surf est constitué par des visites de sites d'actualité informatiques ou de consultation de documentations techniques.

En fait, tel un platypuce, mon surf s'adapte très bien aux conditions de survie les plus fortes : les sites que je consulte peuvent se visiter sans plugin, sans JS, sans images tierces, voire même dans les cas extrêmes, sans contenu tiers mais en contrepartie d'une légère dégradation de l'apparence (je privilégie le contenu et je me fous assez de savoir que le toilemaître a mis en avant son bon goût criard pour masquer la pauvreté du contenu de son site).

Avant que vous ne fassiez de l'humour sur ce profil minimaliste, je précise que je sais pertinement que j'ai le genre de profil qui n'intéresse pas un brin les gens qui veulent s'intéresser à des profils intéressants. Aussi est-ce pour cela que je décide de le protéger. C'est une question de bon sens.

Bref, je commence donc par visiter via TOR les sites des cupides multinationales américaines que je visite régulièrement : Apple, Microsoft, Bing, Google, Yahoo, … Aucune ne m'a refusé l’accès à leur site ces derniers jours sauf … TADAM.WAV … Google ! Vous avez bien lu, le pseudo-pourfendeur de liberté des gentils et d'un Web libre et sain avec des bisounour roses et des enfants qui chantent en mangeant des bonbecs n'est finalement que conforme à ce qu'on attend : Google accepte de me laisser visiter ses sites … si j'accepte un gâteau permettant de m'identifier de manière unique lors de tout mon surf ! Aussi ai-je naturellement, logiquement, rationnellement, mathématiquement et évidemment décidé de ne passer que par Bing, Startpage ou Yahoo pour mes recherches Web le temps de cette période via TOR.

Le plus intéressant, et en fait le plus inattendu même, est que si je n'ai pas eu de problème avec les sites des soites disantes sociétés requines de la privacie, ce n'est pas le cas avec les gentils sites de geeks sympas et militant pour la privacie et la liberté puisque ce sont les seuls sites qu'il est impossible de visiter normalement via TOR, dont les deux plus importants (après LinuxFr) :

  • HackerNews : la quasi-totalité des connections TOR se soldent par une fermeture de la chaussette ;
  • SlashDot : 8 connections sur 10 via TOR affichent une page m'informant que mon IP est bannie.

Idéologiquement, ces mêmes sites qui défendent régulièrement la privacie et n'hésitent pas à montrer d'un doigt accusateur ceux qui ne la respectent pas, sont les mêmes qui te chient la gueule si tu essaies de protéger la tienne ! Quand on sait en lisant les commentaires que le lectorat de ces sites est majoritairement de culture geek et/ou Libre et crache régulièrement sur toutes les mesures de restriction, de liberté ou d'attaque à la privacie, ça me laisse un sacré putain d'arrière goût amer dans la gorge.

Techniquement, quand je pense que le coût de vérifier que chaque connexion ne passe pas par TOR et l'envoi d'une page spéciale personnalisée est sûrement au moins aussi élevé que le simple GET d'une page très demandé depuis leur cache, je m'interroge même sur la pertinence technique d'un tel choix.

Notez bien que je parle de VISITER ces sites, et non pas de POSTER du contenu : il s'agit uniquement de consulter leurs pages comme le font d'ailleurs les moteurs de recherche quand ils pillent leur contenu pour alimenter le base de data mining en contrepartie d'augmenter le ranking dudit site dans les résultats de recherche.

Naturellement, quand on voit que ces mesures restrictives sont présentes chez les pseudo-défenseurs de la privacie et de la liberté, alors qu'on peut visiter via TOR n'importe quel site gouvernemental ou d'une société informatique majeure, on est en droit de se poser d'étranges questions …

  • # Mwai

    Posté par (page perso) . Évalué à 3.

    Cette page s'affiche lorsque Google détecte automatiquement des requêtes émanant de votre réseau informatique qui semblent enfreindre les Conditions d'utilisation. Le blocage prendra fin peu après l'arrêt de ces requêtes. En attendant, la saisie de l'image CAPTCHA ci-dessus vous permettra de continuer à utiliser nos services.

    Des applications malveillantes, un plug-in de navigateur ou un script qui envoie des requêtes automatiques peuvent être à l'origine de ce trafic. Si vous utilisez une connexion réseau partagée, demandez de l'aide à votre administrateur. Il est possible qu'un autre ordinateur utilisant la même adresse IP soit en cause.

    C'est plus proche de la réalité que ton discours: "Google censure TOR"…

    En gros, il faut un cookie pour valider le CAPTCHA qui dit que tu n'est pas un script. Et surtout cela ne semble arriver que sur "Google recherche", impossible à reproduire avec "Google Image".

    • [^] # Re: Mwai

      Posté par . Évalué à -4.

      Oui. Google étant souvent assez parano niveau sécurité, on peut pas leur en vouloir.

      Pour éviter bots/spams et compagnie, c'est blocage complet ou captcha. Les sites ayant un captcha sont donc les plus travaillés et optimisés pour ce type de traffic.

      Bon après je vais pas me plaindre de bing, c'est quand meme super utile d'utiliser bing pour nos sites web et scripts.. pas possible avec Google.

  • # Reductio ad absurdum

    Posté par . Évalué à 2.

    D'où une intéressante conclusion : de Slashdot d'un côté et Linuxfr de l'autre, l'un des deux n'est pas au niveau de l'enjeu. Ami lecteur, à toi de nous dire qui et pourquoi !

  • # HTTPS? DNS?

    Posté par . Évalué à 4.

    Une question: quand tu as fait cette expérience as-tu fait attention d'utiliser uniquement le HTTPS? Et un proxy pour le DNS?
    Autrement question "privacy", bin c'est loupé..

    • [^] # Re: HTTPS? DNS?

      Posté par . Évalué à 7.

      « Une question: quand tu as fait cette expérience as-tu fait attention d'utiliser uniquement le HTTPS »

      Bonne question : je ne l'ai pas précisé car il me semble que c'est évident que j'utilise l'extension HTTPS EveryWhere pour passer automatiquemen vers les version HTTPS des sites quand c'est possible.

      « as-tu fait attention d'utiliser uniquement le HTTPS? Et un proxy pour le DNS? »

      Ça fait un moment que Privoxy ou Polipo (deux proxies traditionnelement utilisés avec TOR) ne sont plus utiles pour que les requêtes DNS de Firefox passent par TOR : depuis un bon moment, Firefox sait faire les requête DNS directement via SOCKS5, donc via TOR (about:config ▸ network.proxy.socks_remote_dnstrue - cependant pour éviter d'autres désagréement et avoir une environnement désigné à mort pour la privacie si on a le bon comportement, utiliser directement le TorBrowserBundle).

      « Je vous présente les moines Shaolin : ils recherchent la Tranquillité de l'Esprit et la Paix de l'Âme à travers le Meurtre à Main Nue »

    • [^] # Re: HTTPS? DNS?

      Posté par . Évalué à -3.

      c'est quoi DNS ?

  • # be Zorro

    Posté par . Évalué à 3.

    pseudo-défenseurs de la privacie et de la liberté

    Je crois que tu prêtes beaucoup de choses à Google qu'ils n'ont jamais revendiqués. Leur slogan est "don't be evil", pas "be Zorro".

    Sans défendre l'action de Google de bloquer Tor, je trouve cela plutôt cohérent. Google offre des services gratuitement en échange d'information sur toi que tu lui communiques par tes attitudes de surf. En passant par un réseau anonymisé tel que Tor tu leur refuse cette contre-partie, ils n'ont donc rien à gagner à t'offrir leur services gratuitement.

    Techniquement, quand je pense que le coût de vérifier que chaque connexion ne passe pas par TOR et l'envoi d'une page spéciale personnalisée est sûrement au moins aussi élevé que le simple GET d'une page très demandé depuis leur cache, je m'interroge même sur la pertinence technique d'un tel choix.

    Non, le coût n'a rien à voir. Se faire jeter par TOR sur Google va t'arriver 1 fois (ensuite tu ne réessaiera pas), ne pas se faire jeter va forcément arriver plusieurs fois vu que tu ne vas certainement pas regarder une seule page.

    • [^] # Re: be Zorro

      Posté par (page perso) . Évalué à 7.

      Sans défendre l'action de Google de bloquer Tor

      Google ne bloque par Tor, Google bloque les ip ayant un comportement suspect. Et vu le nombre très limité de noeuds sortant pour Tor, forcément que ces noeuds génèrent un traffic totalement anormal.

      Mais j'ai déjà utilisé Google Recherche sans problème avec Tor, tant que le noeud sortant n'est pas saturé…

    • [^] # Re: be Zorro

      Posté par . Évalué à 9.

      Google offre des services gratuitement en échange d'information sur toi

      C'est sympa ta notion de gratuité payante !

      • [^] # Re: be Zorro

        Posté par . Évalué à 10.

        J'utilisais la définition la plus courante, celle du dictionnaire, du mot "gratuit" qui signifie pour moi "un produit ou un service qui peut être obtenu sans donner d'argent en contrepartie".

        Mais effectivement si tu prends une définition étendue du mot qui pourrait vouloir dire quelque chose que l'on donne sans attendre aucune compensation, c'est une autre histoire ! Dans ce cas là il y a bien peu de chose gratuite dans notre monde moderne.

        Mais bon, c'est une habitude ici de changer la définition des mots dans les propos des autres afin de les tourner au ridicule.

        • [^] # Re: be Zorro

          Posté par . Évalué à -2.

          Mais bon, c'est une habitude ici de changer la définition des mots dans les propos des autres afin de les tourner au ridicule.

          Prends le pour toi si tu veux, mais mon idée est plutôt de préciser que Google gagne (plein) d'argent avec tes données gratuites que tu lui donnes en contrepartie.
          Au final ça revient un peu au même…

          • [^] # Re: be Zorro

            Posté par . Évalué à 6.

            Donc tu as repris ma phrase pour dire exactement ce que j'ai dit avec la mienne. Merci captain obvious ! Tu n'étais juste pas obligé de le faire en te moquant de ma formulation.

            Si tu avais vraiment voulu "préciser que Google gagne (plein) d'argent avec tes données gratuites" tu aurais pu dire quelque chose comme :

            Et d'ailleurs c'est un marché très lucratif pour Google, qui y gagne beaucoup contrairement à ce que l'on pourrait croire.

            PS: je note que maintenant tu n'as pas hésité à utiliser le mot gratuit dans le sens que j'ai utilisé dans mon premier message.

          • [^] # Re: be Zorro

            Posté par . Évalué à -1.

            Prends le pour toi si tu veux, mais mon idée est plutôt de préciser que Google gagne (plein) d'argent avec tes données gratuites que tu lui donnes en contrepartie.

            Heureusement que tu es là pour nous le rappeler. On pensait tous que Google etait une entreprise de philanthropie.

            Au final ça revient un peu au même…

            Situation A :
            Tu me file ton vélo, je te file 10 euros

            Situation B :
            Tu me file mon vélo, je te file rien en echange, je te dis juste où tu peux trouver des champignons, que tu revendra pour 10 euros si tu vas les rammasser et si tu trouve acheteur

            Tu trouves vraiment que ca reviens au meme ? Bah pas moi. Dans un cas, ca m'a couté 10 euros, dans l'autre, ca ne m'a rien couté (j'aime POA les champignons !)

            • [^] # Re: be Zorro

              Posté par . Évalué à 9.

              T'as du mal comprendre comment marchait Google toi…

              Situation B :
              Tu me files mon vélo, je te file rien en échange, je te dis juste où tu peux trouver des champignons et je file ton adresse à un vendeur de crème fraîche qui va venir te tanner tous les jours pour te dire qu'avec sa crème fraîche, tes champignons auront meilleur goût, que tu revendra pour 10 euros si tu vas les ramasser et si tu trouve acheteur. Ensuite je recoupe tes infos et celles de tous les amateurs de champignons à qui j'ai indiqué ce bon coin, et je fais payer le mec qui possède les bois où poussent les champignons pour que je continue à indiquer son site, ou que je le place en meilleure position quand j'indique les coins à champignons

              Bref, je trouve que ça ne revient pas au même.
              Et tu viens de me prouver que finalement c'était même pas si obvious que ça de le rappeler !

              • [^] # Re: be Zorro

                Posté par . Évalué à 2.

                Bravo pour cette analogie !

              • [^] # Re: be Zorro

                Posté par . Évalué à -1.

                T'as du mal comprendre comment marchait Google toi…

                Non, j'ai juste beaucoup simplifié. J'ai juste indiqué que tout ce que tu donnais en echange du service, c'est de l'informatoin (où se trouve le coin a champignon), alors que tu venais de dire que ca revenait au meme qu'un echange service contre argent. C'est faux : pour celui qui se fout de l'information (j'aime pas les champignons, ou dans le cas de google : je me fous de savoir que google sache tout sur moi), ca change tout : il n'a rien payé.

                Pour ton analogie : NON. Dans ma comparaison, celui qui fournissait le vélo, c'etait google, celui qui fournissait l'info concernant le coin a champignon c'est l'internaute. Et je crois pas que l'internaute ait un deal avec le cremier pour arnaquer google. C'est bien l'internaute qui paye un service (dans mon exemple un bien, le vélo) avec une information (le coin a champignon, ou plutot pour google "j'aime les champignons, envoies moi de la pub pour les meilleurs fournisseurs").

                Bref, je trouve que ça ne revient pas au même.

                Merci. Y'a 2 postes, tu disais "bah ca revient un peu au meme, non ?"

                Et tu viens de me prouver que finalement c'était même pas si obvious que ça de le rappeler !

                Non. Tu viens de montrer que t'avais pas compris ce que je voulais dire (puisque google est le vendeur de vélo, pas le vendeur de coins a chamignon), et, accessoirement, que tu me croyais assez bete (ou malinformé ?) pour ne pas savoir ce que fait google.

                • [^] # Re: be Zorro

                  Posté par . Évalué à 2.

                  (puisque google est le vendeur de vélo, pas le vendeur de coins a chamignon)

                  C'était bien Google le « vendeur » du vélo dans son analogie…

                  • [^] # Re: be Zorro

                    Posté par . Évalué à -1.

                    euh… oui !

                    Je m'embrouille là !

                    • [^] # Re: be Zorro

                      Posté par . Évalué à 0.

                      Tu me files mon vélo, je te file rien en échange, je te dis juste où tu peux trouver des champignons et je file ton adresse à un vendeur de crème fraîche qui va venir te tanner tous les jours pour te dire qu'avec sa crème fraîche, tes champignons auront meilleur goût, que tu revendra pour 10 euros si tu vas les ramasser et si tu trouve acheteur. Ensuite je recoupe tes infos et celles de tous les amateurs de champignons à qui j'ai indiqué ce bon coin, et je fais payer le mec qui possède les bois où poussent les champignons pour que je continue à indiquer son site, ou que je le place en meilleure position quand j'indique les coins à champignons

                      Non : Google est bien le gars qui achete un vélo, dans SON analogie.

                      • [^] # Re: be Zorro

                        Posté par . Évalué à 1.

                        Tu te prends la tête pour quoi là ?
                        J'ai copié/collé ta phrase, hein.

                        On s'en fout en plus, tout est parfaitement clair normalement…

                • [^] # Re: be Zorro

                  Posté par . Évalué à 1.

                  (T'as l'air un peu remonté juste pour une histoire de google et d'argent, non ?)

                  Bref.

                  pour celui qui se fout de l'information (…) ca change tout : il n'a rien payé

                  Ça c'est l'argumentaire des gens pour qui "la pub c'est pas grave, ça ne marche pas sur moi". C'est pas parce que tu n'as pas l'impression que ça change quelque chose pour toi que tu ne payes pas. Le consentement, ça n'est pas la question.
                  Tu payes. Et c'est tout. Avec autre chose que des €.

                  • [^] # Re: be Zorro

                    Posté par . Évalué à 2.

                    (T'as l'air un peu remonté juste pour une histoire de google et d'argent, non ?)

                    Non, pourquoi le serai-je ?

                    Ça c'est l'argumentaire des gens pour qui "la pub c'est pas grave, ça ne marche pas sur moi".

                    C'est pas tout a fait ca : que je donne mes infos à google ou pas, j'aurai de la pub. Le fait de donner des infos à google, tout ce que ca change, c'est que cette pub sera ciblée.

          • [^] # Re: be Zorro

            Posté par . Évalué à 0.

            Prends le pour toi si tu veux, mais mon idée est plutôt de préciser que Google gagne (plein) d'argent avec tes données gratuites que tu lui donnes en contrepartie.

            Plein, avec TES informations, c'est tres vite dit.
            Je doute que google gagne plus que quelques dollars par tete de pipe par an. Mais forcement, quand la moitie de la planete utilise tes services, ca commence a faire un gros paquet de fric au final.

            Linuxfr, le portail francais du logiciel libre et du neo nazisme.

        • [^] # Re: be Zorro

          Posté par (page perso) . Évalué à 8.

          Sincèrement je pense que faire la distinction est importante.

          Le libre est gratuit : il te donne quelque chose sans demander de contrepartie. Alors, oui, il a fallut payer une fois pour créer le bousin, mais une fois créer, on te le donne sans contrepartie ! Linuxfr, Debian, Wikipédia sont des exemples de gratuité.

          Par contre, celui qui te donne quelque chose en échange de quelque chose d'autre, ça s'appelle payant, ça s'appelle du troc, mais en aucun cas c'est gratuit. Utiliser le terme de gratuit pour parler de site se basant sur la pub est une contrevérité ! Sinon j'invite n'importe quelle jeune jolie fille à vivre gratuitement chez moi, logé et nourrie. Pourvu qu'elle fasse le ménage, la bouffe et qu'elle assouvisse tous mes fantasmes les plus sombres (avec des déguisements de gnou…), mais c'est gratuit, y'a pas de loyer :)

          Dictionnaire de l'académie française : « Qu'on donne, qu'on effectue sans rémunération, qu'on accomplit de manière désintéressée ; qu'on reçoit, dont on profite sans qu'il en coûte rien ; auquel celui qui le donne n'a aucun intérêt personnel, ou dont il ne peut garantir l'effet »

          Le problème c'est que tout ces sites font croire qu'il sont gratuit alors qu'il ne le sont pas. Et ça pose de nombreux problème de vie privée, de condition abusive. Que les gens veulent bien les utiliser, ils font ce qu'il veulent, mais prétendre que c'est gratuit c'est faux. Il vendent leur vie privée en échange de services.

          • [^] # Re: be Zorro

            Posté par . Évalué à 0.

            Mais c'est exactement ce que j'ai dit dans ma phrase : gratuit en échange de

            Qu'est-ce qui n'est pas clair dans ma formulation ?

            • [^] # Re: be Zorro

              Posté par (page perso) . Évalué à 6.

              man oxymore ?

              gratuit en échange de… c'est comme si je disais « avancer à l'arrêt » ou « logiciel libre qu'on a pas de droit de vendre » ou « libriste qui utilise du logiciel privateur » les deux mots, gratuit et échange se contredise.

              Ce que je dis c'est que cet abus de langages (et que l'on fait tous) est malsain, car il confond des notions différentes qui n'ont pas les même conséquences.

              Il faut comprendre que wikipedia et google c'est pas la même façon de faire les choses et que la pub à une contrepartie réelle.

        • [^] # Re: be Zorro

          Posté par . Évalué à 1.

          Dans ce cas là il y a bien peu de chose gratuite dans notre monde moderne.

          Fixed

  • # Les blacklist sont-elles un moyen de priver la liberté ?

    Posté par . Évalué à 3.

    SlashDot : 8 connections sur 10 via TOR affichent une page m'informant que mon IP est bannie.

    Surement que les gens qui passent par TOR ne le font pas tous pour aller consulter le dernier épisode des bisounours. Ca peut expliquer que les adresses se retrouvent sur une blacklist et que si tu passes par leur connexion tu te retrouve bloquer. Ca ne me semble pas être brimer ta liberté que de bloquer les adresses identifiées comme "fauteuses de troubles". C'est le jeu ma pauvre Lucette.

    Quelle autre solution rapide et efficace proposerais-tu comme défense à ces sites ?

    Le gâteau Google me semble bien plus contraignant (self destructing cookie peut surement t'aider si tu es sur Firefox).

    Par curiosité pourquoi as-tu choisi TOR comme moyen de cacher ta connexion ?

    • [^] # Re: Les blacklist sont-elles un moyen de priver la liberté ?

      Posté par . Évalué à 1. Dernière modification le 13/06/13 à 16:07.

      Surement que les gens qui passent par TOR ne le font pas tous pour aller consulter le dernier épisode des bisounours. Ca peut expliquer que les adresses se retrouvent sur une blacklist et que si tu passes par leur connexion tu te retrouve bloquer. Ca ne me semble pas être brimer ta liberté que de bloquer les adresses identifiées comme "fauteuses de troubles". C'est le jeu ma pauvre Lucette.
      
      

      Comme je le précise dans le journal, qu'on empêche ces IPs de poster peut-être idéologiquement et techniquement cohérent, mais qu'on les empêche de consulter n'est ni l'un, ni l'autre.

      Quelle autre solution rapide et efficace proposerais-tu comme défense à ces sites ?
      
      

      Aucune : je ne me sens pas attaqué ! Je n'intéresse manifestement pas ces sites, ou alors ils me considèrent comme un visiteur indésirable : je m'abstiens donc de les visiter et j'évite de faire l'emmerdeur en insistant. C'est aussi simple que ça.

      Par curiosité pourquoi as-tu choisi TOR comme moyen de cacher ta connexion ?
      
      

      Parce qu'à l'heure actuelle, ça semble être le réseau le plus résistant ET le plus connu ET le plus utilisé ET le plus facile à mettre en oeuvre (il suffit d'installer le TorBrowserBundle et voilà) ET le plus ouvert et transparent (cf le Tor BLog).

      « Je vous présente les moines Shaolin : ils recherchent la Tranquillité de l'Esprit et la Paix de l'Âme à travers le Meurtre à Main Nue »

      • [^] # Re: Les blacklist sont-elles un moyen de priver la liberté ?

        Posté par . Évalué à 0.

        Aucune : je ne me sens pas attaqué ! Je n'intéresse manifestement pas ces sites, ou alors ils me considèrent comme un visiteur indésirable : je m'abstiens donc de les visiter et j'évite de faire l'emmerdeur en insistant. C'est aussi simple que ça.

        Mais tu viens quand meme t'en plaindre en faisant un journal sur linuxfr…

      • [^] # Re: Les blacklist sont-elles un moyen de priver la liberté ?

        Posté par . Évalué à 0.

        Effectivement mais c'est peut-être plus difficile à mettre en place.
        Je pensais plus à une défense de ces sites car c'est bien là leur but si on part du principe qu'ils n'ont rien contre la vie privée.
        Merci pour l'information en tout cas

        • [^] # Re: Les blacklist sont-elles un moyen de priver la liberté ?

          Posté par . Évalué à 2.

          Déjà autoriser la consultation (lecture seule) du site à tout utilisateur TOR : il ne fait que lire, et la latence intrinsèque du réseau TOR n'en fait pas une menace - elle joue même plutôt à son désavantage !

          Après pour l'envoi de contenu sur le site depuis le réseau TOR, j'avoue que je n'ai pas de solution de "défense", mais d'un autre côté, je n'ai pas ce problème non plus :)

          « Je vous présente les moines Shaolin : ils recherchent la Tranquillité de l'Esprit et la Paix de l'Âme à travers le Meurtre à Main Nue »

          • [^] # Re: Les blacklist sont-elles un moyen de priver la liberté ?

            Posté par (page perso) . Évalué à 0.

            Déjà autoriser la consultation (lecture seule) du site à tout utilisateur TOR : il ne fait que lire, et la latence intrinsèque du réseau TOR n'en fait pas une menace

            Tu pars du principe qu'une consultation n'est pas dangereuse, tu peux très bien forger une SQL injection avec un GET. Du coup, tu peux aussi te dire que statistiquement, quelqu'un qui consulte ton site en se cachant derrière un noeud TOR te veut plus souvent du mal qu'un autre qui ne s'anonymise pas pour le visiter.

            • [^] # Re: Les blacklist sont-elles un moyen de priver la liberté ?

              Posté par . Évalué à 1.

              « tu peux aussi te dire que statistiquement, quelqu'un qui consulte ton site en se cachant derrière un noeud TOR te veut plus souvent du mal qu'un autre qui ne s'anonymise pas pour le visiter. »

              J'aimerais bien savoir au nom de quel principe quelqu'un d'incompétent en déduirait ça : les Vrais Gens © qui font des Vrais Dégats © ont "l'intelligence" d'avoir leurs propres darknets via une armée de PCs ownés dont l'étendue explose les 4 noeuds de sortie dont dispose TOR …

              « Je vous présente les moines Shaolin : ils recherchent la Tranquillité de l'Esprit et la Paix de l'Âme à travers le Meurtre à Main Nue »

              • [^] # Re: Les blacklist sont-elles un moyen de priver la liberté ?

                Posté par (page perso) . Évalué à 1.

                Je comprends pas ce que tu veux dire.

                Mais tu dis : "autoriser la consultation" et ensuite "Après pour l'envoi de contenu …", je me contentais de te rappeler que la consultation était déjà un envoi de contenu (query string, headers).

                Je comprends pas pourquoi un GET serait plus acceptable et moins dangereux qu'un POST.

                • [^] # Re: Les blacklist sont-elles un moyen de priver la liberté ?

                  Posté par . Évalué à 3.

                  « _Je comprends pas pourquoi un GET serait plus acceptable et moins dangereux qu'un POST._ »
                  
                  

                  Car selon la norme HTTP/1.1 :

                  • un GET est conçu pour idempotent : ainsi le même GET peut être mis en cache car le résultat d'un même GET est censé être toujours le même pour la même URI ⁽¹⁾ ;

                  • un GET est une méthode sûre selon la norme ⁽²⁾ ;

                  • la convention est que la méthode GET ne devrait jamais être utilisé pour autre chose qu'obtenir du contenu ⁽³⁾.

                  • un POST n'est pas censé être cachable et contrairement au GET est censé être utilisé pour ajouter/modifier du contenu utilisateur au site ⁽²⁾.

                  Cela dit, il est techniquement et évidemment possible de faire tout et n'importe quoi malgré les normes et recommandations, mais après il ne faut pas s'en plaindre.

                  « _Je me contentais de te rappeler que la consultation était déjà un envoi de contenu (query string, headers)._ »
                  
                  

                  Tu ne me le rappelles pas, tu me l'apprends carrément : je pensais sincèrement qu'un site m'envoyait des données car il devinait par divination que je souhaitais obtenir son contenu ! Merci beaucoup, et n'hésite surtout pas à partager ta connaissance HTTP avec moi.

                  ① « Methods may also have the property of "idempotence" in that (aside from error or expiration issues) the side-effects of N > 0 identical requests is the same as for a single request. The methods GET, HEAD, PUT and DELETE share this property. » ;

                  http://www.freesoft.org/CIE/RFC/2068/61.htm

                  ③ « In particular, the convention has been established that the GET and HEAD methods should never have the significance of taking an action other than retrieval. These methods should be considered "safe." »

                  « Je vous présente les moines Shaolin : ils recherchent la Tranquillité de l'Esprit et la Paix de l'Âme à travers le Meurtre à Main Nue »

                  • [^] # Re: Les blacklist sont-elles un moyen de priver la liberté ?

                    Posté par (page perso) . Évalué à -1.

                    un GET est conçu pour idempotent : ainsi le même GET peut être mis en cache car le résultat d'un même GET est censé être toujours le même pour la même URI

                    Je vois pas pourquoi le résultat d'un GET serait censé être toujours le même. Et pour moi "side-effects" et résultat c'est pas la même chose.

                    la convention est que la méthode GET ne devrait jamais être utilisé pour autre chose qu'obtenir du contenu

                    Et j'adhère totalement à cette convention. Mais ça ne rend pas pour autant un GET moins dangereux qu'un POST coté serveur.
                    Et le reste, ça concerne la sécurité du client, pas du serveur qui traite le GET.

                    Tu ne me le rappelles pas, tu me l'apprends carrément : je pensais sincèrement qu'un site m'envoyait des données car il devinait par divination que je souhaitais obtenir son contenu ! Merci beaucoup, et n'hésite surtout pas à partager ta connaissance HTTP avec moi.

                    Genre, comme si j'avais voulu t'apprendre quelque chose ou te donner une leçon. Permet moi de te dire que je te trouve mesquin.

                    Je maintiens que ton postulat de départ est faux ! Une requête GET peux faire autant de ravage sur la sécurité du serveur qu'un POST.

                    Comme je le précise dans le journal, qu'on empêche ces IPs de poster peut-être idéologiquement et techniquement cohérent, mais qu'on les empêche de consulter n'est ni l'un, ni l'autre.

                    Je te dis juste que visiter un site peut representer aussi un risque pour la sécurité du serveur qui reçoit la requête, que y poster du contenu.
                    Je te dis que si un site considère idéologiquement et techniquement cohérent de bloquer à ces IPs de poster, il peut aussi considérer idéologiquement et techniquement cohérent de bloquer à ces IPs à consulter.

                    Je suis pas d'accord avec ton assertion, c'est tout.
                    Et tu ne m'as toujours pas démontré pourquoi un GET serait plus acceptable et moins dangereux qu'un POST.

                    • [^] # Re: Les blacklist sont-elles un moyen de priver la liberté ?

                      Posté par . Évalué à 2. Dernière modification le 14/06/13 à 19:27.

                      Je vois pas pourquoi ... pour moi ... Je maintiens que  ... Je te dis juste ... Je te dis que ... Je suis pas d'accord ... Et tu ne m'as toujours pas démontré pourquoi un GET serait plus acceptable et moins dangereux qu'un POST.
                      
                      

                      Et je ne compte pas le faire, mais on reste ami : il est évident que tu considères que tu as raison et que le monde qui suit la norme officielle par une pratique standard a tort : à ce stade là de nombrilisme, c'est à toi de me montrer que le monde à tort « parce-que-toi-tu »

                      « Je vous présente les moines Shaolin : ils recherchent la Tranquillité de l'Esprit et la Paix de l'Âme à travers le Meurtre à Main Nue »

      • [^] # Re: Les blacklist sont-elles un moyen de priver la liberté ?

        Posté par (page perso) . Évalué à 4.

        Autre hypothèse, le noeud Tor est dans une autre blacklist indépendante ( genre parce que justement des gens utilisent Tor pour du spam ), et c'est elle qui déclenche le bloquage. Comme une grande partie des gens qui utilisent Tor et qui se plaignent ont tendance à se plaindre aux mauvais endroits et/ou à avoir un comportement que je qualifierais de trou du cul ( par exemple, commencer par insulter un admin pour se plaindre d'un souci sur son serveur irc en rappelant qu'il est incapable n'a jamais aidé à avancer ), ce qui est totalement contreproductif.

        Les gens mesurés qui sont prêt à passer du temps en advocacy sont pas légions, et comme tu as l'air d'etre plus dans le groupe rare des gens capables de faire les choses bien, je t'invite à contacter slashdot, à donner des infos, genre les ips, à parler d'une exception pour tor juste en lecture, ou à demander un hiddenservice. Même si on te dit non, si tu es calme, posé, que tu donnes pas le sentiment de "faite ce que je dit ou je me barre", tu donneras déjà une autre image du projet, ce qui est bénéfique pour tous, mêem si les changements sont pas faits. Et plus des gens calmes feront la demande, plus ça donneras une bonne image.

        Alors que si on laisse que les cons le faire, bah voila, ça marche pas.

        Et si au final, on te dit "la blacklist est géré par tel service", tu peux aller voir tel service. Tu peux demander si il y a des raisons techniques à avoir la blacklist comme ça, etc.

  • # Avez-vous TOR ?

    Posté par . Évalué à -10.

    Bonjour,

    J'ai ri.
    Bon c'est vrai que TOR c'est bien mais ferme pas mal de portes aussi.
    Lorsque quelques uns abusent de TOR pour foutre la m… créer des inconvenances, je peux comprendre cette inadéquation entre le désir légitime de visiter, et non de pénétrer, et l'impossibilité de satisfaire ce besoin.

    A titre personnel, je n'ai jamais eu de soucis avec TOR, peut-être parce que je ne suis pas de nature aventureux ?
    Toujours est-il que si nous pouvions aider TOR a se deployer, peut-être qu'on règlera certains soucis ?

    Ceci dit, être victime d'une privation du fait d'autrui c'est moche.
    Un peu comme si votre karma en prenait un coup non ?
    Non, la baisse de mon karma ne m'importune pas…

    Pour en revenir au sujet de la privacie (Je savais pas que ce mot existait), il ne faut pas penser que parce qu'un site soutient une idée qu'elle va elle même s'y soumettre.
    Slashdot doit défendre un minimum sa réputation donc, s'il fallait interdire quelques illuminés, il ne faut pas trop s'étonner.

    Un jour j'avais utilisé un proxy. Un beau matin j'ai été bloqué. Je n'ai insulté personne, mais j'allais toujours vers le même site.
    Du coup, j'ai compris que si déjà pour aller sur le même site où tu n'insultes personne tu es barré banni je comprends mieux la frustration de pas mal de personnes…

    Je me suis toujours demandé si le fait de mettre le terme " respecte la vie privée " n'est-il pas une publicité mensongère ?

    Je suppose que vous avez raison ? Après tout ce ne sont pas mes oignons. :-)

    Tenez pour se détendre, lisez donc un peu cela :
    Face à Windows (Microsoft) et Mac OS (Apple), les logiciels libres n'ont pas dit leur dernier mot

    • [^] # Re: Avez-vous TOR ?

      Posté par (page perso) . Évalué à 8.

      Tenez pour se détendre, lisez donc un peu cela :

      Perso, je me suis arrêter avant la première ligne…

      «Larry Ellison, PDG et cofondateur d'Oracle, est depuis longtemps un des grands défenseurs du logiciel libre Linux»

    • [^] # Re: Avez-vous TOR ?

      Posté par . Évalué à 4.

      Un peu comme si votre karma en prenait un coup non ?
      Non, la baisse de mon karma ne m'importune pas…

      T'en parles souvent pourtant.

      • [^] # Re: Avez-vous TOR ?

        Posté par . Évalué à -7.

        Lorsque je parle trop souvent de linux ça m'importune aussi ?
        Sinon j'ai une question pourquoi je viendrais sur linuxFR alors qu'il a des sites intéressants que je ne visite pas ?

        • [^] # Re: Avez-vous TOR ?

          Posté par . Évalué à -2.

          Lorsque je parle trop souvent de linux ça m'importune aussi ?

          Ca nous importune nous.

          Sinon j'ai une question pourquoi je viendrais sur linuxFR alors qu'il a des sites intéressants que je ne visite pas ?

          C'est vrai ça, bonne idée !! un peu de clairvoyance pour une fois.

          • [^] # Re: Avez-vous TOR ?

            Posté par . Évalué à -7.

            --- " Ca nous importune nous. " (…)

            Tant mieux.

            --- " C'est vrai ça, bonne idée !! un peu de clairvoyance pour une fois. " (…)

            Tu viens avec nous ?

            • [^] # Re: Avez-vous TOR ?

              Posté par . Évalué à 0.

              Tu viens avec nous ?

              Ah donc vous êtes bien plusieurs ?
              Non merci, mais ça ira, j'ai toute ma tête, je tiens à la garder.

            • [^] # Re: Avez-vous TOR ?

              Posté par (page perso) . Évalué à 3.

              En fait, le truc rassurant, ce serait que tu nous dises que tu le fais exprès ou que tu nous dises que tu as 12 ans…

              • [^] # Re: Avez-vous TOR ?

                Posté par . Évalué à -7.

                --- " En fait, le truc rassurant, ce serait que tu nous dises que tu le fais exprès ou que tu nous dises que tu as 12 ans… " (…)

                Peut-être moins qui sait… :-?

                Au fait, juste une question, un troll ça a quel âge au juste ?

              • [^] # Re: Avez-vous TOR ?

                Posté par . Évalué à -8.

                --- " En fait, le truc rassurant, ce serait que tu nous dises que tu le fais exprès ou que tu nous dises que tu as 12 ans… " (…)

                Je ne savais pas que sur LinuxFR il y avait des personnes de votre niveau…
                Parce qu'effectivement, reprocher à quelqu'un son apparence, bête ou jeune c'est indigne d'une personne qui se prétend meilleur que moi…
                Si vous valez quelque chose alors effectivement, je m'en serais rendu compte.
                C'est à cause de gens comme vous que beaucoup de personnes ne veulent plus entendre parler de linux, ni de près ni de loin.
                C'est à cause de gens comme vous que d'excellents informaticiens (linuxien ou non) ne veulent plus entendre parler de linuxFR.

                Que votre interlocuteur soit nul ou excellent, prenez le comme il est, et, pas comme vous le faites si bien comme si c'était un chien.

                Le bonjour chez vous.

    • [^] # Re: Avez-vous TOR ?

      Posté par . Évalué à 0.

      Pour en revenir au sujet de la privacie (Je savais pas que ce mot existait)

      Il n'existe pas.

      • [^] # Re: Avez-vous TOR ?

        Posté par . Évalué à -2.

        Quelqu'un peut m'expliquer pourquoi je suis moinsé ici ? Si le mot existe, faudrait le communiquer au reste du monde : aucune occurence dans mon dico papier, et les recherches sur google en francais ne donne que "privacie.dll" ou autres "privacIE", bref, visiblement, je suis pas le seul a penser que le mot n'existe pas.

        • [^] # Re: Avez-vous TOR ?

          Posté par . Évalué à 5.

          Je pense sincèrement que tu es moinssé car tu es la seule personne cultivée et intelligente à avoir remarqué et signalé que ce mot inventé de toute pièce n'existe pas. Les visiteurs de ce site sont probablement des analphabètes qui ne savent pas apprécier ta culture et ton savoir.

          « Je vous présente les moines Shaolin : ils recherchent la Tranquillité de l'Esprit et la Paix de l'Âme à travers le Meurtre à Main Nue »

  • # Vie privée

    Posté par (page perso) . Évalué à 6.

    Bonjour,

    c'est assez pénible l'utilisation de mots anglais, alors qu'ils existent en français.
    Privacy, dans un texte en français, ça fait destroy, non?

    Concernant le problème de la vie privée, des e-mails, des numéros de téléphone, ça fait longtemps que c'est en place.

    Personne n'est obligé de prendre un prestataire "gratuit" pour ses e-mails. Et, pour un très faible coût, on peut avoir un peu plus de confidentialité (même avec leur servies). D'abord, utiliser GPG, signer les messages quand le destinataire n'utilise pas GPG. Autrement, craquer 23€ par an pour participer à Lautre.net.

    Ce ne sont pas les solutions qui manquent.

    Concernant la navigation… on est suivi, c'est comme ça.

    Si tu sors dans la rue, il y a des caméras, partout.
    Si tu passes devant une banque… aussi, et elles sont souvent réquisitionnées pour mater les enregistrements fait par les caméra des DAB, hisoire de vérifier si tel véhicule est passé par là ou pas etc.

    Une fois que tu sais tout ça, tu te détends, et tu fais avec.
    Si tu veux faire des bêtises, tu prends toutes les précautions nécessaire.

    Un bon hacker, personne ne sait que c'en est un.

    Bonne journée
    G

    • [^] # "Re: Vie privée" | mirror

      Posté par (page perso) . Évalué à 3. Dernière modification le 13/06/13 à 16:19.

      c'est assez pénible l'utilisation de mots anglais, alors qu'ils existent en français.

      C'est marrant, je me suis dit exactement l'opposé à propos du mot «toilemaître » (qui était plus là par humour je pense).

      Un bon hacker, personne ne sait que c'en est un.

      J'aurai dit l'inverse.

  • # You have two cows

    Posté par . Évalué à 3.

    Google Capitalism :

    You have two cows :

    Google tells you how to milk them
    and asks the NSA to come get the terrorist you are since raw milk is now considered as a biological weapon of mass destruction.

    • [^] # Re: You have two cows

      Posté par . Évalué à 3.

      Excellent ! Je ne résiste pas à l'envie de la traduire en français. Faudrait faire un troll sondage sur l'utilisation de l'anglais ici, combien d'utilisateur le lise, etc…

      Le capitalisme selon Google

      Vous avez deux vaches :

      Google vous montre comment les traire
      et demande à la sécurité du territoire de venir arrêter le terroriste que vous êtes, puisque que le lait frais est maintenant considéré comment étant une arme biologique de destruction massive.

  • # Problème des attaques

    Posté par (page perso) . Évalué à 5.

    Le problème de fond de Tor, c'est qu'il sert de relais à un grand nombre d'attaques, essentiellement de type spam. Tous les sites de type forum ou wiki sont concernés, et la mesure la plus efficace, c'est de bannir les adresses IP des attaquants. Qui sont très souvent juste les adresses IP des noeuds Tor qui servent de relais.

    Même sur un site mineur comme Flukz dont je m'occupe, je me suis retrouvé du jour au lendemain avec 1000 tentatives de craquage de mot de passe par jour. Qu'est-ce que je suis supposé faire ? Je laisse faire en pensant aux quelques utilisateurs qui voudraient accéder au site à travers Tor ? D'ailleurs, je ne sais même pas s'il s'agit de noeuds Tor ou pas. Juste que ce ne sont pas des adresses IP "classiques" de navigateurs, parce qu'elles sont en général associées à des dns de serveurs, typiquement kimsufi.

    Du coup, non seulement j'ai désactivé le bouton de login de sorte qu'il soit invisible par défaut (ce qui suffit déjà à leurrer pas mal de scripts de spams), mais j'ai aussi banni les 150 adresses IP qui m'avaient envoyé le plus de tentatives de login. Rien qu'avec ça, j'ai divisé par deux la bande passante du site. C'est toujours ça d'économisé pour Tuxfamily (qui héberge le site).

    Sinon, ce n'est pas du tout un hasard que tu sois bloqué sur des sites techniques comme HackerNews ou Slashdot. Ils savent analyser leur trafic, détecter les attaques et bannir les IPs correspondantes. Parce qu'à mon avis, il y a un paquet de sites qui ne savent même pas qu'ils se font attaquer. Voire pire, qui sont tout contents de leurs 1000 visites par jour.

    Dans cette histoire, il y a deux libertés en conflits : la liberté des internautes d'anonymiser leur connexion, et la liberté des administrateurs de site de se protéger activement contre les attaques. Difficile de dire que l'une est plus importante que l'autre.

    • [^] # Re: Problème des attaques

      Posté par . Évalué à 2.

      J'ai expliqué dans le journal que le problème est d'interdire la consultation du site via TOR : je comprend qu'on interdise le login et la soumission de commentaire/journaux/messages pour des raisons de protection et pour éviter le spam. Si tu préfères, et en plus simplement dit, tout ce qu'on laisse en lecture libre aux moteurs de recherche ne devrait pas être bloqué à un client sous prétexte qu'il passe par TOR.

      « Je vous présente les moines Shaolin : ils recherchent la Tranquillité de l'Esprit et la Paix de l'Âme à travers le Meurtre à Main Nue »

      • [^] # Re: Problème des attaques

        Posté par (page perso) . Évalué à 6. Dernière modification le 14/06/13 à 19:10.

        Oui, je comprends tout à fait ce point et je suis même plutôt d'accord. Mais il y a deux raisons qui peuvent justifier le blocage complet d'une ip. La première est simplement technique. Un blocage complet est nettement plus simple à mettre en place qu'un blocage partiel qui fait le tri suivant les actions. La deuxième, c'est que les spammeurs commencent par télécharger la page d'accueil de façon normale, histoire de faire semblant d'être un client normal (en tout cas, c'est ce que je vois dans les logs). C'est cette étape-là qui consomme le plus de bande passante (90% du trafic du site dans mon cas), et c'est aussi en général cette étape-là qui sert aux spammeurs à déterminer si leur ip est bloquée ou non. J'avais essayé au début de bloquer uniquement la page de login, sans effet. Le nombre de connexions n'a commencé à chuter que qu'en j'ai bloqué les ip complètement, dès leur arrivée sur le site.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.