Journal OATH et Verizon, faut qu'on parle

Posté par  . Licence CC By‑SA.
Étiquettes :
46
27
juin
2019

Vous le savez tous, la CNIL et l'Europe imposent un libre consentement des trackers publicitaires dont sont truffés les pages webs.

  • quelque fois c'est parfait: 0 trackers \o/
  • quelque fois, ça va bien: un gros bouton "Je veux pas de track, laisse moi entrer"
  • quelque fois c'est un peu plus pénible, faut cliquer sur deux trois trucs pour dégager ces trackers (foutez moi la paix!)
  • quelque fois, on tombe sur verizon/Oath et là, on devrait l'enseigner comme truc à ne pas faire!

1/ on a une page, devinez ou il faut cliquer?
Titre de l'image
Nan, c'est pas OK. Si tu cliques OK tu acceptes de te faire tracker. Il faut cliquer sur "Tableau de bord"

2/ On continue avec un peu de lol, dans le pâté de texte on voit:
Titre de l'image
ou ça Titre de l'image
cliquez pas sur "gérer" ou sur n'importe quel lien, ça sert à rien.

3/ Chercher surtout le "Tableau de bord", celui-là:
Titre de l'image les autres liens t'expliquent juste que le tracking c'est génial, qu'il faut le faire, et si tu te rates, tu peux donner ton accord à Oath/verizon sans trop t'en rendre compte.

4/ Le fameux tableau de bord!!
Titre de l'image j'ai réduit un peu, mais il y en a encore. Faut se les palucher à la main un par un (si si).
Je suis fou, cliquons sur AOL!

5/ AOL mon ami (non)
Ah bah bien: Titre de l'image en plus, ça ne marche jamais du premier coup ce captcha. Il me afut entre deux et 8-10 tentatives pour le passer. Ca le fait que là, hein. Je serais méchant je dirais que c'est fait exprès.
et là, WHAAAAAAAT?!
Titre de l'image
Créer un compte, nanmého! je ne veux pas être tracké Si vous lisez bien, le premier bloc c'est "consentement général" (non). Cliquons quand même:
Titre de l'image
En plus c'est pas vrai, je peux dégager le truc sans perdre l'accès à yahoo, mais bon. Cliquons joyeusement sur l'interrupteur, et hop, une pop-up de plus!
Titre de l'image
Nan mais tu me poses la question??? Ca fait 15minutes que je veux me désinscrire de ton tracking, donc bien sur que je suis sûr!

Respirons calmement, et en avant, deuxième bloc pour vérifier si le consentement général est bien actif, cliquons sur:
Titre de l'image
Et surprise!!!! (non)
Titre de l'image
bah c'est vraiment ballot hein, le paramètre est encore sur track!! On le supprime, et encore une pop-up et encore un petit piège? Où devez vous cliquer?
Titre de l'image

là, par contre faut cliquer sur OK pour le prendre en compte!!

6/ et one more time for the merry go round!
bien évidemment, répétez l'opération pour toutes les options de tous les partenaires!

7/ Conclusion
bin au final, j'ai abandonné et je ne suis jamais allé sur le lien initial…

Bref. Comment on a pas encore pendu le gars qui a inventé ce système? J'ai très envie de dev un extension firefox qui dégage tous les consentements pourris comme ceux-là? Ca existe déjà?

  • # Prévisualisation !!!

    Posté par  (Mastodon) . Évalué à 9.

    Ça sert notament à ça la prévisualisation : vérifier que les liens fonctionnent !

    De ce que j'ai compris, tu as hébergé toutes les images sur imgur.com, seulement le lien utilisé n'est pas le lien d'une image, mais de leur page.

    Si tu trouves les bons liens (dans le bon ordre), je peux te modifier le journal.

    En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

    • [^] # Re: Prévisualisation !!!

      Posté par  . Évalué à 2.

      uh??? chez moi ça marchait? Désolé, et effectivement sans image, le journal perd de son intérêt :D

      voici normalement les images dans l'ordre:
      https://imgur.com/a/mwMUS1Q

      • [^] # Re: Prévisualisation !!!

        Posté par  (Mastodon) . Évalué à 2.

        Ah bin mince, moi je vois aucune image (essayé sous FF et Chrome, sous WIndows). Je suis au boulot, peut-être le proxy qui casse les liens ? Qqu'un d'autre a le même soucis que moi ?

        En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

      • [^] # Re: Prévisualisation !!!

        Posté par  (site web personnel) . Évalué à 1.

        Les images "backupés" par LinuxFr sont en 404, alors que le nom de la source (imgur) est bonne.
        Il y a eu un loupé quelques part, peut-être que imgur a jeté LinuxFr quand il a essayé de récupérer les images lors de l'envoi du journal.

    • [^] # Re: Prévisualisation !!!

      Posté par  (site web personnel) . Évalué à 4.

      Tous les liens pointaient vers des pages HTML, pas des images (et aucune image n'a un vrai champ 'alt' défini).

  • # Cookies AutoDelete

    Posté par  (site web personnel) . Évalué à 10.

    Il y a donc encore des gens pour s'appuyer sur la bonne volonté des éditeurs de sites Web pour ne pas placer ou utiliser de cookies ? Perso, ça fait des années que je suis passé à un système d'auto-suppression des cookies, partant du constat suivant : pas mal de sites dépendent largement de cookies, et ne fonctionnent pas du tout, ou très mal, si ceux-ci sont désactivés sur le navigateur. Le principe de cet outil est donc le suivant, très simple : tel site place des cookies ? Grand bien lui fasse, je vais les garder tant qu'une page est ouverte sur ce site, et dès que mon utilisateur la ferme, hop, je dégage ces cookies. Simple et efficace, le site peut à sa guise place ses cookies, ça ne sert à rien puisqu'ils seront dégagés, mais si ça lui fait plaisir…

    • [^] # Re: Cookies AutoDelete

      Posté par  . Évalué à 3.

      Je l'utilise aussi mais aujourd'hui beaucoup de sites sont passé au Local Storage pour laisser leur trace dans nos navigateurs. Et souvent, Cookie AutoDelete ne le vide pas. Il faut y aller manuellement… C'est très embêtant

      • [^] # Re: Cookies AutoDelete

        Posté par  . Évalué à 3.

        Alors il faut y adjoindre ou le remplacer par Forget me not. Je découvre et teste actuellement, donc je ne sais pas à quel point c'est fiable

    • [^] # Re: Cookies AutoDelete

      Posté par  . Évalué à 7.

      Dans l'idéal oui. Mais

      • mon navigateur est allumé quasi toute la journée. Donc je me fais tracker la journée entière, jour après jour. Et ça, je serais surpris qu'ils ne corrèlent pas les données
      • je ne veux pas être tracké, ça ralentit mon internet. En vrai regardez le nombre de requêtes de ciblages qui partent!!! Utilisez BURP, mettez le en proxy, fermez puis rouvrez firefox et allez sur 3/4 sites.
      • je ne veux pas être tracké parceque c'est mon droit!
    • [^] # Re: Cookies AutoDelete

      Posté par  . Évalué à 4.

      Il y a donc encore des gens pour s'appuyer sur la bonne volonté des éditeurs de sites Web pour ne pas placer ou utiliser de cookies ?

      Ben la majorité des gens non ?

      Pas sur DLFP qui est un incubateur d'excellence réputé à travers le monde, mais dans le monde des non-techniciens, déjà savoir ce qu'est un cookie, ce n'est pas donné à tout le monde, mais alors savoir à quoi ça sert, que ça peut servir à pister, s'en prémunir, connaître la RGPD, … on n'y est pas du tout.

    • [^] # Re: Cookies AutoDelete

      Posté par  . Évalué à 3.

      Il y a donc encore des gens pour s'appuyer sur la bonne volonté des éditeurs de sites Web pour ne pas placer ou utiliser de cookies ? Perso, ça fait des années que je suis passé à un système d'auto-suppression des cookies

      Ma stratégie personnelle est la même. Cependant le serpent se mort la queue quand tu veux implémenter correctement le souhait des visiteurs à ne pas être pisté et qu'aucune de leur données ne soit collectée. La seule façon de le faire est de pouvoir identifier que quelqu'un à fait le souhait d'opt-out ce qui demande de pouvoir stocker ce choix quelque part.

      C'est évidement le seul choix, par ce qu'inverser la logique vers désactivé par défaut et stocker l'opt-in signe la mort du business, seule une évolution de réglementation pourrait forcer à en arriver là.

      L'auto-destruction des cookies te permet donc d'espérer d'avoir un nouvel identifiant à chaque visite (raté s’il y a une couche de fingerprint) mais tu ne pourras jamais tirer parti des sites respectant la réglementation et te permettant que tes données ne soient pas collectées du tout.

      • [^] # Re: Cookies AutoDelete

        Posté par  . Évalué à 2.

        C'est évidement le seul choix, par ce qu'inverser la logique vers désactivé par défaut et stocker l'opt-in signe la mort du business, seule une évolution de réglementation pourrait forcer à en arriver là.

        Il me semblait que c'était justement ce que demandait le RGPD, non ?

        L'auto-destruction des cookies te permet donc d'espérer d'avoir un nouvel identifiant à chaque visite (raté s’il y a une couche de fingerprint) mais tu ne pourras jamais tirer parti des sites respectant la réglementation et te permettant que tes données ne soient pas collectées du tout.

        C'est pour ça que ces outils permettent de gérer une liste d'exceptions. Sur les sites qui respectent ma vie privée et pour lesquels je ne veux pas perdre les cookies, je peux les mettre en exception et ne pas virer leurs cookies. Ça c'est de l'opt-in :D

        • [^] # Re: Cookies AutoDelete

          Posté par  . Évalué à 8.

          Il me semblait que c'était justement ce que demandait le RGPD, non ?

          Dans l'esprit oui, il faut un consentement actif.

          En pratique c'est une loi, https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32016R0679&from=EN#d1e1888-1-1. Et comme toute loi, le jeu est de trouver l'interprétation la plus conforme à tes objectifs.

          Prenons la home page du monde par exemple. Lors de ta première visite tu as un bandeau indiquant: Le Monde utilise des cookies pour vous offrir une expérience utilisateur de qualité, mesurer l’audience, optimiser les fonctionnalités des réseaux sociaux et vous proposer des publicités personnalisées. En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies dans les conditions prévues par notre politique de confidentialité. En savoir plus et gérer les cookies. avec un bouton paramétrer les cookies et un bouton accepter.

          Ils remplissent toutes les conditions: refus, paramétrage, explications, un bouton accepter explicite etc. Sauf que tu as deux énormes dark patterns: 1- Si tu scroll dans la page c'est une action explicite qui revient à accepter 2- Si tu cliques à peut prêt n'importe où sur le bandeau, et pas uniquement sur le bouton OK, c'est l'équivalent d'accepter.

          Tu peux être sur que c'est mûrement réfléchi et que la décision a été prise après l'avis de quelques juristes qui pensent pouvoir défendre que ces dark patterns sont conforme à une indication de consentement explicite.

          Grosso modo toute l'industrie à fait ce choix et personne ne s'est encore fait reprendre. L'avenir dira si c'est une question de priorité, si la vision juridique des trackers est tenable, ou si personne n'osera caser entièrement le business du tracking.

  • # ... pas compatible RGPD cette affaire...

    Posté par  (Mastodon) . Évalué à 10.

    Je ne suis pas sûr de mon coup, mais je pense que ce genre de protique est attaquable auprès de la CNIL comme procédure abusive !

    Le non-consentement doit être le valeur par défaut normalement dans le cadre du RGPD, et donc l'option par défaut…

  • # extension

    Posté par  . Évalué à 2.

    J'ai très envie de dev un extension firefox qui dégage tous les consentements pourris comme ceux-là? Ca existe déjà?

    Ca serait intéressant. Je ne sais pas comment sont gérés ces foutus dialogue de mort mais j'ai l'impression que les choix sont rarement retenus d'une visite à l'autre.

    • [^] # Re: extension

      Posté par  . Évalué à 10.

      C'est justement là le piège du truc!!!

      Tu dis que tu ne veux pas être tracké -> Pas de cookie

      Lors de la visite suivante au site -> pas de cookie? Donc dialogue qui te demande si tu veux ou pas des cookies!!

      Donc au final, c'est très très pénible pour le user normal, alors que le gars qui veut (?) être tracké, bah le site a le droit de se souvenir qu'il veut l'être, donc plus de boite de dialogue de consentement.

      • [^] # Re: extension

        Posté par  . Évalué à 6. Dernière modification le 27 juin 2019 à 16:09.

        Ce n'est pas comme ça que cela devrait être.

        Il y a une différence entre les cookies de type "techniques", indispensables au bon fonctionnement du site, qui peuvent être positionnés sans consentement et les cookies publicitaires / traqueurs qui ne sont pas indispensables et nécessitent un consentement.

      • [^] # Re: extension

        Posté par  (site web personnel) . Évalué à 2.

        Pour contourner ça, on a inventé "Do not Track". Mais je ne crois pas que beaucoup de sites respectent le choix de l'utilisateur.

        Un LUG en Lorraine : https://enunclic-cappel.fr

        • [^] # Re: extension

          Posté par  . Évalué à 3.

          Je n'ai pas suivi le chantier mais ca devrait arriver avec ePrivacy (grosso modo la suite de la GDPR). La proposition contenait le fait que le navigateur puisse annoncer le souhait de l'utilisateur et que le site était tenu de le respecter (même si tes réglages utilisateurs sur le site autorisent la collecte).

          Si quelqu'un est à jour sur le sujet, ça serait intéressant.

  • # Extension: I don't care about cookies

    Posté par  . Évalué à 0.

    • [^] # Re: Extension: I don't care about cookies

      Posté par  . Évalué à 3.

      By using it, you explicitly allow websites to do whatever they want

      Du coup, c'est l'inverse de ce que veut l'auteur.

      • [^] # Re: Extension: I don't care about cookies

        Posté par  . Évalué à -1.

        Oui je comprend.
        Personnellement j'utilise un adblocker (ublock origin) et je partais bêtement du principe que l'auteur aussi.

        Le mix des deux permet d'éviter d'être interrompu dans son surf et de ne pas être traqué.

        • [^] # Re: Extension: I don't care about cookies

          Posté par  . Évalué à 3.

          Sauf que uBlock ne bloque absolument pas les traqueurs.

          Il suffit de se rendre sur le site du Parisien pour s'en apercevoir :
          http://www.leparisien.fr/

          Un cookie traqueur venant de experience.tinypass.com est passé avec uBlock activé par exemple.

          Et le taggage Analytics passe également.

          La majeure partie des morts l'était déjà de son vivant et le jour venu, ils n'ont pas senti la différence.

          • [^] # Re: Extension: I don't care about cookies

            Posté par  . Évalué à 3.

            Ça dépend du réglage ;)

            Par exemple, j'ai configuré uBlock Origin pour bloquer par défaut toutes les requêtes à des domaines tiers. Ce qui fait que sur cette page les traqueurs que tu listes ne passent pas.

            Forcément le réglage par défaut est plus permissif, pour ne pas nuire au confort de navigation de ceux qui ne savent pas ce qu'est une requête ou un domaine.

          • [^] # Re: Extension: I don't care about cookies

            Posté par  . Évalué à 1.

            Pour info ce tracker est bloqué chez moi screenshot

            Ce qui est bloqué ou non va dépendre des listes de filtres configurées.
            Évidemment il y aura forcément des ratés, mais aujourd'hui i-dont-care-about-cookies + ublock est le meilleur compromis que j'ai trouvé.

            Aller cliquer pour désélectionner les trackers dans les différentes CMP franchement très peu pour moi.
            Il faut aussi savoir que tout le monde ne respecte pas (encore ?) la réglementation sur ce point, donc on est encore traqués malgré l'absence de consentement (j'en sais quelque chose, je bosse là dedans :p).

            Allez bisous

      • [^] # Re: Extension: I don't care about cookies

        Posté par  . Évalué à 4. Dernière modification le 29 juin 2019 à 12:30.

        By using it, you explicitly allow websites to do whatever they want

        Du coup, c'est l'inverse de ce que veut l'auteur.

        De toute façon les sites feront bien ce qu'ils veulent.

        Le meilleur moyen que je connaisse de ne pas laisser de cookies c'est de configurer son navigateur pour les refuser d'office ou bien de les détruire régulièrement. Mais en faisant ça, tu te retrouves systématiquement avec un bandeau envahissant qui t'invite à te prononcer sur l'usage des cookies, alors que tu as déjà choisi de façon définitive et globale que tu n'en voulais pas. Mais ça, le site en question, il ne peut pas le savoir tant qu'il n'aura pas enregistré un cookie dans ton navigateur (hop le serpent s'est mordu la queue).

        Donc dans ce cas-là, pour ne plus être ennuyé par ces bannières complètement inutiles, cette extension est vraiment indispensable.

        • [^] # Re: Extension: I don't care about cookies

          Posté par  . Évalué à 3.

          Pour les sites de ce genre (en particulier tous les sites de presse), ma pratique est navigation privée + uBlock Origin
          navigation privée -> les cookies, les données locales et l'historique sont supprimés à la fermeture du navigateur
          uBlock Origin -> je le configure pour bloquer chacun de ces bandeaux (clic droit > bloquer un élément) lors de la 1ère visite du site, ensuite je suis tranquille.

          • [^] # Re: Extension: I don't care about cookies

            Posté par  . Évalué à 2.

            Oui mais masquer des éléments avec uBlock Origin c'est bien pour les sites qu'on visite régulièrement. Dans le même genre, les sites que je visite très souvent je les personnalise avec Stylus plutôt.
            Mais pour tous les autres sites, c'est cool d'avoir une extension qui s'occupe de faire d'emblée un minimum de nettoyage.

      • [^] # Re: Extension: I don't care about cookies

        Posté par  . Évalué à 2. Dernière modification le 30 juin 2019 à 11:04.

        Avec la version 3.0.2 (qui semble tout juste de sortir), on peut choisir le comportement par défaut dans les paramètres :

        • Don't notify websites about what I allow
        • I don't allow installing cookies, even if that prevents a website from working properly
        • I allow only cookies needed for the website to work properly (valeur par défaut)
        • I allow all cookies and I understand the risk

        Cela semble passer par un en-tête à implémenter, donc pas sûr que ça bloque vraiment comme il disent. Surtout qu'un site peut très bien estimer nécessaire au fonctionnement d'afficher des pubs…

  • # Dans le meme genre

    Posté par  (site web personnel) . Évalué à 3.

    Tu peux essayer de jouer aux jeux de voodoo.io comme hole.io . Cette jolie startup qui a levée 200m l'année dernière pour son projet de tracking publicitaire studio de jeux vidéo.

    Environ 2000 cookies à désactiver un par un

  • # Paramètres Firefox

    Posté par  . Évalué à 6.

    Dans firefox, aller à:
    Préférences, Vie privée et sécurité, Cookies et données de site.

    Sélectionner : "accepter les cookies et les données des sites"
    Puis: "Accepter les cookies tiers et les données des sites tiers" : jamais

    Je pense que c'est la manière la plus simple de faire le boulot ;)

    Pour ceux qui veulent mettre les mains dans le cambouis, uMatrix est une bonne extension de filtrage.

    • [^] # Re: Paramètres Firefox

      Posté par  . Évalué à 1.

      Sélectionner : "accepter les cookies et les données des sites"
      Puis: "Accepter les cookies tiers et les données des sites tiers" : jamais

      Et installer I don't care about cookies pour ne pas être envahi par les bandeaux demandant votre consentement sur les cookies dont vous vous fichez éperdument.

  • # Extension

    Posté par  (site web personnel) . Évalué à 8.

    J'ai très envie de dev un extension firefox qui dégage tous les consentements pourris comme ceux-là?

    Au lieu de dégager ces consentements, ton extension devrait automatiquement fermer les onglets de ces mauvais sites (c'est ce que je fais manuellement).

    Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.