Journal Historique, je te vois !

Posté par (page perso) .
Tags : aucun
40
15
juin
2009
Chers utilisateurs, je vous vois !
Je vois votre historique de navigation lorsque vous naviguez sur mon site (bon ok, ce n'est pas le mien)!

http://www.making-the-web.com/misc/sites-you-visit/

Ceci est une page récupérant l'historique de votre navigateur simplement en naviguant sur le site. Dans le concept, on peut se dire "en javascript, c'est facile, moi j'ai noscript, je ne crains rien".

Et bien l'auteur, Brendon Boshell , a fait une nouvelle version, qui n'utilise pas javascript !

La page est ici : http://www.making-the-web.com/misc/sites-you-visit/nojs/

Cela utilise simplement un page bourrée de liens, si le lien a déjà été navigué, il est repéré et affiché !

On voit ici tout ce que cela pourrait engendrer au niveau du pistage... D'ou l'utilité des mode private de firefox et autres navigateurs, ainsi que vider son historique de temps en temps ...


Source : http://libertesinternets.wordpress.com/2009/06/15/je-sais-ex(...)


Au secours /o\
  • # Nananère

    Posté par (page perso) . Évalué à 5.

    Personnelement, j'ai désactivé tous les logs de Firefox (pages visitées, mot de passe, textes saisis, cookies (à part certains accéptés pour certains sites),...) donc le super script qui tue la mort de ce monsieur ne trouve rien du tout... et toc ;)

    C'est pas encore hyper safe, mais ça me préserve déjà un petit peu...
    • [^] # Re: Nananère

      Posté par (page perso) . Évalué à 6.

      Moi, il a rien trouver avec Konqueror sans avoir activer (ou désactiver) quelque chose de spécial.

      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

      • [^] # Re: Nananère

        Posté par . Évalué à 3.

        la version nojs me trouve toute la liste moi, même après avoir vidé l'historique.
        Vivement la version 4.3, même les "exploits" se cassent les dents sur la 4.2 !
    • [^] # Re: Nananère

      Posté par . Évalué à 10.

      toi, tu as quelque chose à cacher !
      • [^] # Re: Nananère

        Posté par (page perso) . Évalué à 2.

        Pas spécialement, j'aime juste savoir que, si jamais quelqu'un tombe sur mon PC en cours et qu'il est allumé, mon historique sera vide et surtout que mes mots de passes seront effacés.
    • [^] # Re: Nananère

      Posté par (page perso) . Évalué à 4.

      ~0 secs. remaining. 0 pages found. 0 to scan.

      Pareil, donc.

      Par contre j'utilise beaucoup le marque page rapide de firefox, la petite étoile à droit de l'URL.
  • # Impressionnant !

    Posté par (page perso) . Évalué à 4.

    Etonnant en effet. On peut imaginer toutes sortes de dérives avec ce type "scan", et cela peut même s'avérer assez discret.

    Par contre, je m'étonne qu'il n'ait pas trouvé Google dans la liste des sites que j'ai récemment visité !
  • # All you history is belong to us

    Posté par . Évalué à 7.

    Anéfé, c'est assez flippant. Si ça se trouve, le mouchard LOPPSI sera un IFRAME :o

    Sinon, ça m'a fait essayer NoScript. Par défaut, il est carrément totalitaire, personne n'aurait une bonne adresse pour le configurer ?
  • # a:visited

    Posté par (page perso) . Évalué à 10.

    Si je comprends bien ça marche avec le a:visited. Pour s'en prémunir et si on veut garder son historique, il faudrait désactiver ce sélecteur CSS pour les liens qui ne sont pas hébergés au même endroit que le fichier CSS (host différent) ; un peu comme les cookies.

    Autre solution : les images pour a:visited doivent être sur le même serveur.

    Il doit y avoir moyen de faire une extension firefox pour ça ?
    • [^] # Re: a:visited

      Posté par . Évalué à 2.

      > Autre solution : les images pour a:visited doivent être sur le même serveur.

      Que le serveur pointé par le lien (ça va sans dire, mais ça va mieux en le disant)
      • [^] # Re: a:visited

        Posté par (page perso) . Évalué à 2.

        Avec une image différente par lien, serveur différent ou pas, je ne vois pas ce que ça change.
        • [^] # Re: a:visited

          Posté par . Évalué à 3.

          Et je dirais même, mettre la même image, sur le même serveur, mais en mettant un parametre.

          genre :

          http://127.0.0.1/img/img?site=linuxfr.org
        • [^] # Re: a:visited

          Posté par . Évalué à 3.

          disons que le site vilain.fr veut savoir si vous êtes allé sur pipo.com et larache.net

          vilain.fr met des liens avec le a:visited chargeant des images de vilain.fr/pipo.jpg et vilain.fr/larache.png

          vilain.fr sait où vous êtes allé.

          si l'image du a:visited du lien vers pipo.com doit venir de pipo.com, vilain.fr n'a plus accès à l'information de visite (par contre, pipo.com se voit sollicité).
    • [^] # Re: a:visited

      Posté par (page perso) . Évalué à 1.

      A priori, de juste désactiver complètement l'historique via les "préférences > vie privée" de Firefox, puis relancer le navigateur, ça règle le cas définitivement.. a:visited se comporte comme si rien n'avait été visité.
  • # Résultat plus que partiel

    Posté par . Évalué à 4.

    Il ne trouve même pas ce lien :
    http://linuxfr.org/~Skunnyk/28427.html
    et pourtant j'en viens... :)
    Donc pour vraiment être espionné il faudrait avoir une base de donnée de liens phénoménale et donc s'appeler Google en gros (pas sûr qu'il aient besoin de s'en servir en plus chez Google, ils font déjà bien pire).

    En résumé, c'est de la détection par CSS sur le a:visited, finalement pas très compliqué mais fallait y penser... :)
  • # Résultat transmis au serveur ou pas ?

    Posté par . Évalué à 6.

    OK, c'est assez impressionnant de voir le navigateur affiché les sites déjà visité sans javascript mais c'est bien le navigateur qui affiche, pas le serveur qui calcule la page. D'après ce que je comprends de la méthode (j'ai juste réfléchi 30s donc je suis peut-être à coté de la plaque), l'information n'est pas transmise au serveur donc il n'y a pas de pistage.
    Il y a peut-être un moyen de renvoyer l'info au serveur (webbug par exemple) mais ça n'a pas l'air d'être mis en oeuvre dans le test.
    • [^] # Re: Résultat transmis au serveur ou pas ?

      Posté par . Évalué à 3.

      Lorsque le browser download la CSS pour le lien sur le site en question, il dit au serveur "j'ai visite ce site" en gros.

      Donc le serveur lorsqu'il recoit la requete pour le CSS, il sait que tu as visite le site en question.
    • [^] # Re: Résultat transmis au serveur ou pas ?

      Posté par . Évalué à 1.

      typeof(l.style)!= "undefined" && ((typeof(l.currentStyle) != "undefined" && l.currentStyle.fontSize == "60px") || (typeof(document.defaultView) != "undefined" && (document.defaultView.getComputedStyle(l,null)).fontSize == "60px"))

      Vu que c'est détectable depuis javascript, ça peut être envoyé au serveur. Le liens motre même des stats ...
    • [^] # XMLHTTPRequest

      Posté par . Évalué à 3.

      Une simple requête XMLHTTPRequest (de l'Ajax quoi) permettrait de remonter très facilement les infos vers le serveur.
      • [^] # Re: XMLHTTPRequest

        Posté par . Évalué à 1.

        La technique marche sans Javascript, donc sans Ajax.
        • [^] # Re: XMLHTTPRequest

          Posté par . Évalué à 2.

          La technique marche avec ou sans JavaScript.

          L'idée est d'appliquer une propriété aux a:visited. Si le navigateur n'a pas de JS activé il associe une image au lien pour pouvoir récupérer les infos coté serveur.
          Si javascript est activé il passe la taille de police des a:visited en 60px et ensuite récupère dans le DOM tous les liens de cette taille.
    • [^] # Re: Résultat transmis au serveur ou pas ?

      Posté par . Évalué à 7.

      La page charge une liste de lien dans une iframe cachée.

      Chaque lien possède une classe CSS qui lui est propre (elle n'est utilisée que par un lien).
      Chaque classe CSS si elle concerne un lien visité (:visited) charge une image de fond qui est propre (elle n'est utilisée que par une classe) à la classe CSS et donc au lien.

      Si un lien est visité, une image de fond est chargée.
      Il y a bien un aller retour côté serveur.

      dans l'exemple :
      L'iframe qui affiche la liste des liens n'est pas celle ou le "truc" est fait. Elle est rafraichie régulièrement. Les données de cette iframe sont générée par le serveur en fonction de ce qui est fait dans une autre iframe cachée.
  • # Verdict

    Posté par . Évalué à 7.

    Résultat du scan :

    http://google.fr/
    http://viedemerde.fr/
    http://thedailywtf.com/


    Ou comment se retrouver brutalement face à soi-même ! :-) Y a de quoi faire peur, anéfé ...
  • # Microsoft avait raison

    Posté par . Évalué à 10.

    Avec IE6, aucun historique n'est trouvé, si c'est pas la preuve d'un navigateur sécurisé !
  • # Impressionnant

    Posté par . Évalué à -9.

    Heureusement que ce ne touche pas une information importante.


    Effectivement, ca pourrait permettre aux sociétés de proposer des produit adapter, voir personnalisé, à l'internaute. C'est sur que pour celui qui revient d'un site extrémiste ou gay, ça pourrait la foutre mal devant ses collègues et sa famille.. Mais bon, les société ne sont pas là pour emmerder leur client, au contraire.

    En tout cas, un trou impressionnant, et l'incompétence des programmeurs n'est plus à démontrer..
  • # La solution !

    Posté par . Évalué à 1.

    http://hadopi.p4ul.info

    C'est bon de se sentir protéger.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.