Journal Brouteurs, cookie et données personnelles

Posté par . Licence CC by-sa
Tags :
11
28
sept.
2011

Depuis quelques jours certains dénoncent les cookies Facebook qui ne meurent pas même si on ferme sa session et qui permettraient de suivre à la trace le visiteur.

Bien entendu que Facebook ce sont des méchants de faire ça mais le problème ne serait pas plutôt du côté de l'implémentation des cookies par les navigateurs permet ce genre d'utilisation ? J'ai tendance à me dire que si on ferme un onglet, le navigateur devrait ranger le cookie dans sa boîte et ne plus s'en servir mais ça ne semble pas être le cas.

Plus globalement je trouve que les cookies c'est quand même quelque chose de bizarre. La durée de validité est parfois délirante, j'ai vu un cookie (google.groups) qui sera valable jusqu'en 2024, et on ne peut pas jouer sur cette durée sauf à le virer à la fin de la session. Il est difficile de faire du tri à la main et si on ne les autorise pas des sites ne fonctionnent pas.

Par ailleurs les réglages par défaut des navigateurs ne sont pas terrible. Pour critiquer ce que je connais, Firefox de base autorise les cookies tiers. Je trouve ça surprenant de la part de Mozilla qui se fait un peu le chantre de la protection de la vie privée.

  • # Cookies tiers et pistage

    Posté par (page perso) . Évalué à 3.

    Si j'ai bien compris un cookie tiers, c'est un cookie mis par un site A, qui est récupéré par A quand on visite une page web d'un site B qui contient du contenu provenant de A. Ex: Google Analytics, Boutons Facebook, etc...

    Effectivement, Firefox n'est pas très clair sur la façon dont il gère ces demandes de cookie. J'ai du demander à Google comment désactiver ceux-ci.

    : Sur Epiphany(webrowser Gnome), ca fait partie du maigre nombre(troll inside) d'options proposées, c'est bien mis en évidence et ces cookies tiers désactivé par défaut.

    Bref, si l'on regarde la notice pour désactiver les cookies tiers sur la page d'aide de Mozilla On peut lire : "La désactivation des cookies tiers dans Firefox peut arrêter certains types de pistage par les annonceurs, mais pas tous." Ca me met l'eau à la bouche pas vous?

    • [^] # Re: Cookies tiers et pistage

      Posté par (page perso) . Évalué à 9.

      Je viens de compter et j'ai 5 extensions différentes pour pouvoir surfer tranquillement l'esprit serein.

      • Adblock Plus : Bloque les publicités.
      • BetterPrivacy : Bloque les "super-cookies" (LSO et autres saloperies).
      • Cookie Monster : Comme par défaut je bloque tous les cookies cette extension m'aide à autoriser temporairement et ponctuellement quelques sites en cas de besoin.
      • Flashblock : Bloque les animations flash.
      • RequestPolicy : Bloque les requêtes "cross-sites" et donc toutes les saloperies de boutons sociaux greffés sur les sites que je visite.
      • [^] # Re: Cookies tiers et pistage

        Posté par . Évalué à 3.

        Moi j'ai en plus :

        -https-everywhere
        -noscript

      • [^] # Re: Cookies tiers et pistage

        Posté par . Évalué à -1.

        Personnellement j'utilise WidgetBlock sur google chrome: ça supprime tout chargement et tout affichage d'un bon paquet de widgets dits sociaux.
        Par contre ça laisse passer les boutons +1 sur les pages de résultats google.

        Connaissez-vous un équivalent pour firefox?

        • [^] # Re: Cookies tiers et pistage

          Posté par . Évalué à 1.

          Personnellement j'ai fait des règles adblock:

          http://uppix.net/1/2/b/4731e0ed3608f36d2ba1c8aab6ce5.png

          Y'a beaucoup moins de bouton like et cie et je m'en porte pas plus mal :)

          (Pour expliquer la règle, elle bloque les contenus des serveurs de facebook si la page n'est elle même pas sur les serveurs de facebook. Facebook marche encore, mais aucune chance de pouvoir inclure le moindre script|image qui appellerait les serveurs de facebook sur une autre page)

      • [^] # Re: Cookies tiers et pistage

        Posté par . Évalué à 2.

        Même si ça semble intéressant, je suis resté à Adblock avec les souscriptions qui protègent la vie privée. Avec no-script, et sans flash, ça fait quasi tout le boulot (Amazon me propose toujours les articles que j'ai visité ya 5 jours en première page si je vide pas mes cookies).

        Knowing the syntax of Java does not make someone a software engineer.

      • [^] # Re: Cookies tiers et pistage

        Posté par (page perso) . Évalué à 2.

        Ça me fait penser, depuis Firefox 4 il n'y a plus d'option "bloquer les images provenant de (nom de site)" quand on fait un clic droit sur une image. Je faisais ça en combinaison avec NoScript pour cacher l'essentiel de la pub. Y a-t-il un moyen de retrouver ce comportement ? (about:remettreunevieilleoption, extension Firefox…)

        Commentaire sous licence LPRAB - http://sam.zoy.org/lprab/

      • [^] # Re: Cookies tiers et pistage

        Posté par . Évalué à 2.

        Je n'utilise pas de module additionnel pour les cookies. Je bloque tout et j'autorise site par site. Certains m'ont déjà répondu que c'est trop contraignant pour l'utilisation qu'ils font du web. Peut-être. C'est surtout contraignant au début, puis une fois qu'on a autorisé les cookies pour les sites sur lesquels ont surf 95 % du temps c'est bon. Et penser à les sauvegarder pour pas pleurer en cas de crash.

        Cookie Monster a l'air intéressant mais je crois pas qu'il permette de contrôler autrement les permissions des cookies que sur la base d'une liste de domaines. Hors j'ai l'impression que ce qui serait intéressant serait de pouvoir poser des règles sur les noms des cookies. On pourrait peut-être ainsi éviter les cookies de pistage marketing et ne garder que les cookies de session et ceux qui ont une vrai utilité ? On pourrait imaginer examiner la structure du cookie (taille, nombre de champs, ...) comme ça on pourrait détecter si un site change le type d'information contenu dans son cookie.

        Est-ce que Cookie Monster peut filtrer sur, par exemple, le Max-Age d'un cookie ?

        Titre de l'image

      • [^] # Re: Cookies tiers et pistage

        Posté par . Évalué à 2.

        Plus (avec ceux cités par Altor) :
        - redirect cleaner
        - refcontrol
        - adblock plus popup addon
        - adblock plus element hiding helper

        The capacity of the human mind for swallowing nonsense and spewing it forth in violent and repressive action has never yet been plumbed. -- Robert A. Heinlein

      • [^] # Re: Cookies tiers et pistage

        Posté par . Évalué à 1.

        Comme par défaut je bloque tous les cookies

        Tu bloques les cookies de linuxfr.org ? Tu autorises temporairement à l'aide de Cookie Master à chaque fois que tu postes un commentaire ou que tu rédiges une nouvelle sur linux ?

        • [^] # Re: Cookies tiers et pistage

          Posté par (page perso) . Évalué à 1.

          Firefox permet, et Cookie Monster fournit une interface pratique pour autoriser les cookies site par site.

          • [^] # Re: Cookies tiers et pistage

            Posté par . Évalué à 1.

            Site par site je sais bien et j'applique déjà depuis longtemps. Mais ça ne suffit pas comme je l'ai dit plus haut il faudrait pouvoir filtrer sur les cookies d'un même domaine individuellement par leur nom, et en plus, des critères tels que le nom des variables et leur valeur, leur type et taille.

            Même chose avec les headers HTTP tel Last-Modified (comme le fait remarquer _alex). Modifier de quelques secondes ou minutes aléatoirement du coté client est une bonne idée pour éviter l'identification par date unique. OK faudrait déjà éviter de permettre une chaîne quelconque...

            Il va clairement falloir que les navigateurs implémente cela, comme ils l'ont fait pour les cookies. Et pas avec 42 modules...

        • [^] # Re: Cookies tiers et pistage

          Posté par (page perso) . Évalué à 4.

          Tu bloques les cookies de linuxfr.org ?

          Non j'ai quand même une liste blanche de quelques sites.

      • [^] # Re: Cookies tiers et pistage

        Posté par (page perso) . Évalué à 4.

        Le champs HTTP Last-Modified peut être aussi utilisé pour stocker des données :
        http://nikcub.appspot.com/persistant-and-unblockable-cookies-using-http-headers
        donc idéalement il faut aussi purger le cache...

    • [^] # Re: Cookies tiers et pistage

      Posté par . Évalué à 2.

      Bonsoir,
      dites, je me fout un doigt et fais l'hélicoptère avec ça ?

      à quoi me servent les cookies réellement irl toussa ?
      -> à être authentifié facilement sur plusieurs sites.
      à quoi me servent les cookies par ailleurs ?
      -> à rien

      alors :
      ~/.macromedia,.adobe,.config/google-chrome/Temp,.config/google-chrome/Default/Cookies,.config/google-chrome/Default/Local\ Storage/,.cache ben tout ça va dans un tmpfs. Et ça tombe bien car google-chrome s'intègre parfaitement avec kde-wallet. Qui lui me garde mes identifiants. Les cookies servent le temps de la session, et rahouss, sans avoir besoin d'extension. Bonus : je n'ai qu'à cliquer sur 'annuler' lorsqu'un nouvel onglet demande un accès.

      Est ce suffisant ?

  • # Attention avis disruptif

    Posté par (page perso) . Évalué à -5.

    Je viens de compter et j'ai 5 extensions différentes pour pouvoir surfer tranquillement l'esprit serein.

    Et moi, pour dormir la nuit et surfer tranquillement l'esprit serein, j'ai fait le choix de passer sur cette mode de la vie privee !

    Que fait tu pour eviter la pub que tu voit dans la rue ? Tu sort avec des oeilleres ? Comme adblock c'est une solution tout a fait viable :P

    J'ai decide que la pub n'est pas mauvaise pusiqu'elle est aussi information. (Bon, je doit avouer, dans le pays que j'habite, les pub adsense, c'est ca : http://imageshack.us/photo/my-images/708/unledudw.png/ :P )

    J'ai decide qu'un cookie n'etait pas plus dangereux qu'une carte de fidelite qui donne des points et donc des avantages remunerant une fidelite.

    J'aime que le barman du petit bar a cote de chez moi sache ceux par quoi j'aime finir (ou commencer) la soire ? Je voit pas le probleme a ce que mon commercant se rappel ce que j'ai achete la derniere fois pour me proposer quelques chose de neuf et en accords avec mes gouts ...

    Quant au fait que ce soit genere automatiquement (d'abords, ya des humains derriere qui reglent ces algorithmes), cela me derange pas puisque, en utilisant un ordinateur se connectant a d'autre, j'accepte de fait, que ce que j'envoie soit traiter automatiquement.

    Selon moi, la vie privee est un concept issue en reaction au fascisme (europeen/global) de la seconde moitier du 20eme siecle et qui perdure parce que c'est le seul axe qu'utilise les journalistes pour traiter un certain nombre de sujet :

    "on sais pas quoi dire sur tel service internet, on comprend rien ? parle de vie privee". Fallais voir les debuts d'android : quand les journalistes parlent de l'iPhone, c'est hype, quand les journalistes parlaient d'Android, c'etait un attentat a la vie privee ... WTF ...

    Je prolonge la discussion sur les reseaux sociaux, puisque je pense aussi qu'il sont plein de tabou et donc particulierement peu nocif, et que, contrairement a ce que l'on pense, la plus part des personnes (comprendre, "sauf les cons") ont l'instinc assez developpe pour comprendre que c'est un endroit public et agir en concequence.

    • [^] # Re: Attention avis disruptif

      Posté par . Évalué à 6.

      Que fait tu pour eviter la pub que tu voit dans la rue ? Tu sort avec des oeilleres ? Comme adblock c'est une solution tout a fait viable :P

      La pub que tu vois dans la rue ne consigne pas ton identité, l'endroit auquel tu es passé pour la voir et combien de temps tu es resté sur place.

      Si tu cherches des informations sur une maladie quelconque ou une opération ou whatnot, c'est ce concept de "vie privée" qui garantit que tu le fasses en toute discrétion. Sans cela, facebook ou google pourrait très bien monnayer cette information à ton employeur ou consigner dans un dossier publiquement accessible que Bactisme a passé quatre jours à faire des recherches sur la chtouille.

      Après, vu le peu de cas que font les entreprises américaines de la vie privée, c'est peut-être parfois déjà le cas.

      Je prolonge la discussion sur les reseaux sociaux, [...] la plus part des personnes (comprendre, "sauf les cons") ont l'instinc assez developpe pour comprendre que c'est un endroit public et agir en concequence.

      Oui, les photos de gens bourrés (au propre comme au figuré) sont légion sur les réseaux sociaux, et les informations potentiellement dommageable aussi. Le fisc enquête sur facebook, et si les assurances s'y mettent ça va être joli tiens.

      • [^] # Re: Attention avis disruptif

        Posté par (page perso) . Évalué à -4.

        Sans cela, facebook ou google pourrait très bien monnayer cette information à ton employeur ou consigner dans un dossier publiquement accessible

        Comme IRL, ton bosse te demande, tres innocement "Au fait comment vas ta femme ? Pas de probleme de sante chez vous ?", ou alors campagne dans l'entreprise "Avez-vous des competences innexploitees ?" (Pour savoir ceux qui cherche a changer d'emplois). Ou meme la surveillance des historiques...

        Quelle est la difference si ca passe par un intermediaire? C'est juste plus viceux ?

        Si tu l'apprend, tu change d'employeur. Et tu fera attention a ce que tu dit publiquement.

        De la meme facon qu'un enfant apprend a régler sa communication orale (vouvoyer les plus anciens, pas jurer trop fort en public), il faut apprendre a régler sa communication en ligne (Disons que les prochaines générations l'apprendra en parrallele).

        Le fisc enquête sur facebook, et si les assurances s'y mettent ça va être joli tiens.

        Mais en quoi c'est plus dangereux sur les réseaux sociaux que ce que tu dirait ailleurs ?
        Les fisc travaille aussi sur la base de dénonciation et de petits formulaires qui ont l'air de rien et que tu remplis tout les jours sans même t'en rendre compte :P

        Ton assurance a bien plus vite fait de te demander toutes les infos qu'il veulent savoir, et bien souvent il habite meme ton quartier : il sait quel genre de vie tu mène sans avoir besoin de Facebook...

        bon... ok, j'arrete de faire l'avocat du diable, et j'avoue les dangers, meme si je les pense moins dangeureux que d'autre (Ca reste plus facile de se de-tagger d'une photo facebook que d'arreter une rumeur dans une entreprise).

        ( ... il n'empeche, j'ai juste de plus en plus de mal a supporter cette mentalite "sacro-sainte vie privee")

        • [^] # Re: Attention avis disruptif

          Posté par . Évalué à 5.

          Comme IRL, ton bosse te demande, tres innocement "Au fait comment vas ta femme ? Pas de probleme de sante chez vous ?"

          Cela ne le regarde pas. La réponse est "elle va bien, merci".

          Ou meme la surveillance des historiques...

          En même temps tu es au bureau. Tu es censé bosser. Ton boss ne peut pas vérifier ce que tu fais depuis chez toi, et d'ailleurs cela ne le regarde pas.

          Avec les réseaux sociaux, la possibilité est donnée de vérifier les relations, les problèmes. Ah tiens Josiane commence à causer de bébés va falloir la foutre à la porte avant qu'elle tombe enceinte. Ah tiens Jean-Paul fréquente des communistes à la solde des écolos vert-pomme, ça cadre pas trop avec l'activité de la banque. Ah tiens Michel semble avoir du mal, ça sent les congés maladie à répétition, prenons les devants.

      • [^] # Re: Attention avis disruptif

        Posté par (page perso) . Évalué à 4.

        La pub que tu vois dans la rue ne consigne pas ton identité, l'endroit auquel tu es passé pour la voir et combien de temps tu es resté sur place.

        Coming soon!

        http://devnewton.bci.im

    • [^] # Re: Attention avis disruptif

      Posté par . Évalué à 7.

      J'aime que le barman du petit bar a cote de chez moi sache ceux par quoi j'aime finir (ou commencer) la soire

      Et si tu entres dans un bar et que le serveur te dit: « Alors ce porno hier soir, il était bien ? Puisque vous aimez l'asiatique je vous propose un verre de saké ! », tu lui réponds quoi ?

  • # HTML5 Local Storage ?

    Posté par . Évalué à 2.

    Je me demande dans quelle mesure le local storage proposé par HTML5 peut être utilisé pour les mêmes choses, et si ça fonctionne avec les javascripts venant d'autres domaines?

  • # Limiter la durée

    Posté par (page perso) . Évalué à 2.

    Pour lutter contre ça, il faudrait permettre la durée de vie maximale des cookies (session, un jour, un mois...). Ça ne règle pas tous les problèmes mais déjà une partie sans gros inconvénient.

    « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

  • # Il faut partitionner les cookies (et autres données stockées)

    Posté par (page perso) . Évalué à 5.

    Justement, suite à cet article, j'ai rédigé un bug/feature pour epiphany. A mon avis, la meilleure solution est de partitionner les sites entre eux. Et effectivement, une fois que le site est fermé, les cookies sont mis de coté.

    Il est aussi à moin avis indispensable que n'importe qui, même qui débute en informatique, puisse protéger sa vie privée. Et a mon sens, les plugins de filtrage et blocage vont dans le mauvais sens. Si on fonctionne par liste noire (AdBlock), on risque d'en oublier. Et si on fonctionne par liste blanche (NoScript ou un filtrage de cookies) alors on passe son temps à ajouter des sites à notre liste blanche. Cela pose quelques problèmes:

    • On perd du temps à trouver de qui de JavaScript ou des cookies est indispensable au site pour fonctionner
    • On peut finir par autoriser des sites qui vous traqueront joyeusement
    • Autour de soi, on te demande toujours pourquoi "ton navigateur ne fonctionne pas". Autant dure que c'est rendre la protection de la vie privée inaccessible aux non informaticiens.

    Il faut donc partitionner au maximum. Chaque fenêtre de navigateur à ses propres cookies, hostorique ... Suivre un lien avec un referrer fait suivre l'historique, mais lorsqu'il n'y a pas de referrer, ou que le referrer provient d'un autre site, l'historique disparaît et on en commence un autre.

    De cette manière, facebook à peu de chance de savoir que c'est vous qui à visité tel blog, car il n'y a pas de chaîne de referrer entre le blog et facebook.

    Et pour faciliter la vie de l'utilisateur, il peut choisir lorsqu'il clique sur son bookmark facebook (ou qu'il clique sur facebook dans google comme beaucoup plus de gens font), il peux choisir de restaurer la session facebook précédante.

    J'adorerais implémenter cela, mais je dois dire que je ne sais pas trop par où commencer. J'ai pensé modifier l'extension Firefox "Multifox", mais cela ne fera que pour les cookies. J'ai bien peur que l'architecture de Firefox ne soit pas assez compartimentée pour ça. Alors j'ai pensé à epiphany (surtout en voyant la compartimentation qui est effectuée par le mode application web de gnome 3.2).

    Aidez moi

    Mildred

    • [^] # Re: Il faut partitionner les cookies (et autres données stockées)

      Posté par . Évalué à 2.

      C'est un concept assez compliqué quand même et qui sera difficile à faire accepter aux gens : on leur envoie sur leur webmail un lien vers le réseau social ou qu'ils utilisent : ils ont obligé de se connecter ou d'ouvrir le lien dans une autre fenêtre, pareil pour le site de partage de photo toussa.
      Et puis ça empêche d'utiliser tous les boutons « j'aime » ou « tweet » dont les gens sont friands (ça m'énerve, mais le navigateur qui compliquera ça sera perçu comme un mauvais navigateur, la preuve avec celui qui ne supprime jamais les cookies ça marche très bien).

      Un peu à part je pense que les éditeurs de navigateurs devraient mettre des règles plus strictes par défaut sur la gestion des cookies (suppression après 5 jours par exemple), car les gens qui ne sont jamais allé voir les options laissent par défaut et donc se font tracés (lorsque je suis amené à utiliser un navigateur chez un ami, mes parents ou autre je vois souvent beaucoup des cookies vieux de plusieurs mois, quand je veux expliquer de quoi il s'agit on me dit que c'est trop compliqué[1]).

      [1] : cette réponse est souvent le joker qui permet de conclure que ce que j'explique n'a aucun intérêt pour des gens qui veulent des choses « qui marchent ».

      207829⁶+118453⁶=193896⁶+38790⁶+14308⁶+99043⁶+175539⁶

      • [^] # Re: Il faut partitionner les cookies (et autres données stockées)

        Posté par (page perso) . Évalué à 2.

        C'est un concept assez compliqué quand même et qui sera difficile à faire accepter aux gens : on leur envoie sur leur webmail un lien vers le réseau social ou qu'ils utilisent : ils ont obligé de se connecter ou d'ouvrir le lien dans une autre fenêtre, pareil pour le site de partage de photo toussa.
        Et puis ça empêche d'utiliser tous les boutons « j'aime » ou « tweet » dont les gens sont friands (ça m'énerve, mais le navigateur qui compliquera ça sera perçu comme un mauvais navigateur, la preuve avec celui qui ne supprime jamais les cookies ça marche très bien).

        N'empêche qu'il existe des gens qui croient encore que la vie privée puisse exister, et qui aimerait bien pouvoir en bénéficier. Ces gens là justement n'aime pas les boutons facebook et twitter, et sont bien contents lorsqu'ils disparaissent.

        Cas d'utilisation: lien depuis le webmail vers facebook

        • Clic sur le lien dans le webmail
        • Chargement de la page facebook sans les cookies facebook. Un message est affiché de manière proéminente par le navigateur "Voulez-vous réutiliser votre session facebook.com existante". Ce message s'affiche directement sans délai.
        • L'utilisateur comprendra le message et cliquera sur "Oui". Il se sentira protégé par son navigateur.
        • Chargement de la page facebook avec les cookies
        • [^] # Re: Il faut partitionner les cookies (et autres données stockées)

          Posté par . Évalué à 1.

          J'ai pensé à ce concept au détour d'une page de numerama, une extension Firefox qui bloque les interactions avec les réseaux sociaux tant que l'utilisateur n'a pas de lui même agit dans ce sens (si on clique sur « j'aime » la bouton Facebook sera rechargé avec les bons cookies, par défaut c'est comme si on n'était pas connecté).
          http://priv3.icsi.berkeley.edu/

          Ça m'a l'air de ressembler pas mal au concept exposé plus haut et ça me semble jouable pour les gens ordinaires qui veulent simplement que « ça marche ».

          207829⁶+118453⁶=193896⁶+38790⁶+14308⁶+99043⁶+175539⁶

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.