Journal Désactivez la référence aux google fonts dans Wordpress

31
23
jan.
2014

Bonjour nal,

Je sais que tu te sens concerné par la surveillance de masse et la vie privée. Je sais que tu as déjà vu cette conférence d'Eben Moglen rappelant l'importance de la "lecture anonyme" (transcript).

Mais savais-tu que ton blog Wordpress référençait directement les google fonts, permettant à Google de récolter des informations sur les visiteurs de chaque blog Wordpress, même sans Google Analytics ?

Moi, je ne le savais pas jusqu'à récemment, et mon propre blog fuitait ces informations.

Si tu as un blog Wordpress, tu peux installer disable google fonts pour corriger le problème.

Merci à sebsauvage pour sa piqûre de rappel, que j'ai jugée utile de te transmettre, au cas où l'info t'aurait échappé.

  • # Cookie

    Posté par . Évalué à 3.

    Le cookie est demandé dans le cas de Google webfont ? Parce que sans cookie, il n'y a pas vraiment de moyen d'identification ? Peut etre avec l'IP mais est ce vraiment fiable ?

    • [^] # Re: Cookie

      Posté par (page perso) . Évalué à 8.

      IP + UA du navigateur, ça fait déjà un couple pas mal.

      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

      • [^] # Re: Cookie

        Posté par . Évalué à 6.

        Oui c'est deja pas mal c'est sur. Après c'est quand même pas optimal: quand je suis au boulot (boite de 2500 personnes), bon ben l'IP n'apporte pas grand chose. Sur réseau mobile, c'est pas terrible non plus. A la maison par contre, c'est sur ca apporte.

        C'est pour ca que je demande si le cookie est demandé par Google. Pour ceux qui me moinssent, c'est une vraie question, je ne sais pas comment on fait pour checker ca.

    • [^] # Re: Cookie

      Posté par . Évalué à 3.

      Parce que sans cookie, il n'y a pas vraiment de moyen d'identification ?

      en suivant le lien donné pour la page de sebsauvage, j'ai continué sur :
      http://sebsauvage.net/rhaa/index.php?2011/09/28/17/14/02-le-grand-oeil
      et la conclusion est :
      "Google peut bien proposer l'opt-out de son cookie: Il n'en a pas besoin pour vous identifier de manière unique. Et c'est la même musique chez Facebook. Le cookie d'identification de Facebook ? Quelle blague ! C'est un faux problème."

      Et :
      https://panopticlick.eff.org/

      • [^] # Re: Cookie

        Posté par . Évalué à 10.

        J'ai discuté avec quelqu'un qui travaille dans la pub-web
        L'intéret de la clause de l'opt-out :
        L'utilisateur dit qu'il n'est pas interéssé par les publicités ciblées, il y a donc moins de chance qu'il clicke. Ce n'est donc pas la peine d'acheter de l'espace (Car l'espace pub s'achète aux enchère, en temps réel, en fonction du profil des users) pour lui proposer de la pub.

        Et oui, en indiquant votre refus d'être fiché par un acteur vous éviter à cet acteur de perdre de l'argent.

        • [^] # Re: Cookie

          Posté par . Évalué à 1.

          Chez google pour les pubs textes (adwords) on ne paye la pub que quand l'utilisateur click (sur le reseau de recherche et sur adsense).

  • # RequestPolicy

    Posté par . Évalué à 1.

    Pour les cas comme celui-ci, RequestPolicy est une extension pour Firefox bien utile. Je regrette juste qu'elle ne propose pas de liste noire. Pour ça je passe par mon fichier /etc/hosts.

    • [^] # Re: RequestPolicy

      Posté par . Évalué à 2.

      Je l'utilise aussi et n'autorise pas les requêtes vers google-analytics.com

      Par contre souvent il est nécessaire d'autoriser les requêtes vers fonts.google.com ou encore ajax.googleapis.com voir directement google.com

      Je suppose qu'en jetant un œil au javascript des sites en question on doit pouvoir savoir si oui ou non Google nous trace grâce à ces requêtes.

      Et moi faudrait surtout que je pense à supprimer mon cookie Google, je ne l'ai pas fait depuis des lustres, je suis suivi à la trace /o\ :)

  • # pour les debianeux

    Posté par . Évalué à 7.

    En passant, j'ai vu qu'il existe un nouveau tag lintian (l'outil qualité de Debian) « privacy-breach-generic » pour traiter de ces problèmes :

    http://lintian.debian.org/tags/privacy-breach-generic.html

  • # Pourquoi une extension ?

    Posté par . Évalué à 5.

    Quel intérêt de fournir une extension qui semble très spécifique et risque de ne plus fonctionner au cours des mises à jour, alors qu'il suffit de commenter/modifier quelques lignes de codes dans le thème utilisé ?

  • # Devenir son propre serveur Google avec Privoxy

    Posté par (page perso) . Évalué à 10.

    Personnellement, j'utilise déjà http://www.privoxy.org/ afin de filtrer le gros des sites de pub / analyse / autre

    Et pour les requêtes Google de type http://ajax.googleapis.com/ajax/libs/jquery/*/jquery.min.js :
    - j'installe un serveur web qui tourne sur mon localhost (un serveur apache, lighttpd, autre)
    - je sauve une copie des fichiers google sur mon disque local:

    # find /var/www/redirect/ajax.googleapis.com/ajax/libs/jquery -type f
    /var/www/redirect/ajax.googleapis.com/ajax/libs/jquery/1.4.2/jquery.min.js
    /var/www/redirect/ajax.googleapis.com/ajax/libs/jquery/1.5/jquery.min.js
    /var/www/redirect/ajax.googleapis.com/ajax/libs/jquery/1.9.1/jquery.min.js
    /var/www/redirect/ajax.googleapis.com/ajax/libs/jquery/1.5.1/jquery.min.js
    [...]
    • Je configure Privoxy pour qu'il redirige les requêtes de Google sur mon serveur local :
    less /etc/privoxy/user.action
    # Redirect remote requests to the local version delivered localhost
    { +redirect{s@^http://@http://localhost/redirect/@} }
    ajax.googleapis.com/ajax/libs/jquery/[0-9\.]*/jquery.min.js.*
    ajax.googleapis.com/ajax/libs/jqueryui/[0-9\.]*/jquery-ui.min.js.*
    www.google.com/jsapi
    www.google-analytics.com/ga.js

    Ainsi, lorsque un site ZZZZZZ dépend de ces API google, c'est ma copie qui est envoyée au navigateur. Cela évite donc une connexion chez Google, avec échange de http-refer, cookies, autre…

  • # SSL

    Posté par . Évalué à 0.

    Avant de faire des choses comme désactiver les web fonts, faudrait peut être passer en ssl. La NSA capture plus d'info tel quel que le peu de trucs que Google verrait (si je me souviens bien le navigateur cache aggressivement et ne fait pas de requete systematiquement pour les webfonts ou le js).

  • # résultats des analyses actuelles?

    Posté par . Évalué à 3.

    Est-ce qu'il y a une étude, un rapport sur les résultats et les conséquences de telles analyses?
    Des tendances découvertes, des cycles, des prédictions ?

    Avec la masse de données accumulées ces dernières années, il y a de quoi faire. C'est donc très peu impactant pour ces mineurs de données.

  • # https-everywhere + Oros42/CDN_cache

    Posté par (page perso) . Évalué à 2.

    via sebsavage : http://sebsauvage.net/links/?NjecuQ dans l'esprit de https://linuxfr.org/nodes/101041/comments/1515759

    Un script PHP pour la copie automatique des librairies javascript et fonts sur votre server. Ensuite grace à https-everywhere on redirige les requêtes destinées au CDN google vers ce script sur notre server.

    wind0w$ suxX, GNU/Linux roxX!

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.