Journal Cadriciel d'espionnage.

Posté par  .
Étiquettes : aucune
11
24
sept.
2010
Bonjour,
Un petit journal pour vous annoncer la sortie de la version 0.3 du cadriciel de gestion de témoin de connexion evercookie.
Afin de vous aider à enlarge le following de vos leads, celui-ci est capable d’utiliser jusqu’a 10 méthodes différentes pour stocker dans le navigateur de vos visiteurs un identifiant unique, du classique, mais néanmoins délicieux cookie, a la moderne, mais lente Webdatabase, en passant par le sympathique LSO.
Le cadriciel est capable de détecter lorsque l’un des mouchards a été effacé, et de le recréer.
Les méthodes employées sont les suivantes :

-Cookie HTTP.
-LSO (cookie flash).
-Generation dynamique d’un PNG, dans lequel la valeur du cookie sera encodée en RGB, et utilisation de Canvas, pour la relecture de la valeur (très ingénieux).
-Stockage du cookie dans l’historique du navigateur.
-Dans les ETags.
-utilisation des «Session Storage», «Local Storage», «Global Storage», «DB Storage», du HTML5.

Le site de la lib: http://samy.pl/evercookie/
Et l'article sur ars technica: http://arstechnica.com/web/news/2010/09/evercookie-escalates(...) (l'image au debut de larticle dechire)

  • # Cookie inter browser

    Posté par  (site web personnel) . Évalué à 1.

    Moi ce que je trouve particulièrement sympa, c'est qu'un cooki enregistré sur Chrome peut être "retrouvé" sous Firefox / Safari et inversement.

    En revanche, les modes incognitos des navigateurs empêchent apparemment la sauvegarde permanente, toutes les occurrences sont supprimés à la fermeture d'après les 2-3 tests rapides que j'ai fait.

    • [^] # Re: Cookie inter browser

      Posté par  . Évalué à 2.

      D'après les news en anglais, la partie indispensable pour qu'il se régénère est le LSO. Il dépend de flash et n'est donc habituellement pas nettoyé par les navigateurs. L'extension FF Betterprivacy s'en occupe automatiquement. Pour le javascript, l'extension Ghostery est faite justement pour contrer ces méthodes, mais NoScript marche évidemment tout aussi bien.

      • [^] # Re: Cookie inter browser

        Posté par  . Évalué à 2.

        Évidemment, avec flashblock pas de LSO non plus. Bref, Firefox correctement configuré est immunisé.

        • [^] # Re: Cookie inter browser

          Posté par  . Évalué à 3.

          Je me réponds, finalement flashblock ne fonctionne pas pour ca.

          • [^] # Re: Cookie inter browser

            Posté par  (site web personnel) . Évalué à 3.

            Perso j'utilise BetterPrivacy qui s'occupe comme un grand des cookie Flash (LSO).

            • [^] # Re: Cookie inter browser

              Posté par  (site web personnel) . Évalué à 2.

              hop, adopté. Merci.

            • [^] # Re: Cookie inter browser

              Posté par  (site web personnel) . Évalué à 2.

              A priori BetterPrivacy ne semble pas pouvoir supprimer ce type de cookie particulier. Quelqu'un pour confirmer ou infirmer ?

              • [^] # Re: Cookie inter browser

                Posté par  (site web personnel) . Évalué à 3.

                BetterPrivacy s'occupe bien des LSO mais évidemment il ne nettoie pas certains des super cookies de la mort évoqué dans l'article d'ArsTechnica.
                Il y a déjà une feature request sur le forum de l'auteur de BetterPrivacy : http://netticat.ath.cx/forum/viewtopic.php?id=245

                Probable donc qu'une future version s'occupera de ces cookies très spéciaux.

                • [^] # Re: Cookie inter browser

                  Posté par  . Évalué à 3.

                  J'ai personnellement choisie de modifier le lanceur pour nettoyer ces saletés à grand coup de "rm -rf /home/$USER/.macromedia; rm -rf /home/$USER/.adobe" au lancement.

                  C'est bourin, mais ça marche (j'avais même pas pensé aux extensions...)

                  Marc

                  • [^] # Re: Cookie inter browser

                    Posté par  (site web personnel) . Évalué à 3.

                    Oui ou en encore plus bourrin :
                    # mkdir /home/$USER/.macromedia
                    # mkdir /home/$USER/.adobe
                    # chown root:root /home/$USER/.macromedia
                    # chown root:root /home/$USER/.adobe
                    # chmod 400 /home/$USER/.macromedia
                    # chown 400 /home/$USER/.adobe

          • [^] # Re: Cookie inter browser

            Posté par  . Évalué à 1.

            Si, Flashblock permet de ne pas avoir de LSO trop facilement (regarde en bas de la page de samy.pl, il y a des objets flash qui ont été bloqués), par contre on ne peut pas supprimer facilement les "Storage" du HTML 5 :( (alors que si pour les cookies).

            « En fait, le monde du libre, c’est souvent un peu comme le parti socialiste en France » Troll

            • [^] # Re: Cookie inter browser

              Posté par  . Évalué à 3.

              Je tirais cela de la FAQ de Betterprivacy

              https://addons.mozilla.org/en-US/firefox/addon/6623/

              « Addons like 'FlashBlock' or 'StopAutoplay' do not block Flash cookies because they only prevent Flash from being displayed but Flash is still loaded. Also FlashBlock and similar addons can be defeated by simple HTML code, see override-flashblock demo here [Override Flashblock link] »

        • [^] # Re: Cookie inter browser

          Posté par  (site web personnel) . Évalué à 1.

          Gnash offre des options de configuration vis à vis de la vie privée.

  • # ...

    Posté par  . Évalué à 4.

    Comme quoi le web c'est de plus en plus une usine a gaz.

    Il y a une époque ou le navigateur (client), n'était qu'un bête lecteur qui ne renvoyait aucune info vers l'extérieur (en dehors des formulaires tapé par l'utilisateur).

    Avec le javascript, AJAX, html5 et les divers plugins le navigateur devient un véritable OS, qui envoie, reçoit des données dynamiquement.

    En plus de ces cookies, j'avais vu un article sur un site qui arrivait a faire une emprunte (fingerprint) assez unique d'un navigateur avec toutes les infos qu'il renvoyait (user agent, plugins supportés, ...).

    A quand un navigateur vraiment sécure ?
    noscript aide pas mal, mais c'est assez contraignant (surtout que pas mal de site on des comportements indéfinis sans js).
    idem pour les Cookie HTTP.

    https://addons.mozilla.org/en-US/firefox/addon/6581/ a l'air pas mal pour brouiller les pistes, mais il n'est pas très actif.

    En fait il faudrait totalement repensé les navigateurs pour qu'il se comporte comme un véritable OS : un site <-> un user.
    - les données sont isolées entre les sites. Et les même données d'un site se retrouve toute au même endroit.
    Il peut y avoir des groupe pour partager les données entre site, tout comme des options pour controller la persistance des données.
    - On peut attribuer des limitations aux scripts/page (pas plus de n % de cpu, de la ram)

    • [^] # Re: ...

      Posté par  . Évalué à 3.

      j'avais vu un article sur un site qui arrivait a faire une emprunte (fingerprint) assez unique

      https://panopticlick.eff.org/

      (dans la suite, j'utilise Firefox)
      On peut travailler à réduire son empreinte. La désactivation de javascript par défaut (dans le cas FF : extension NoScript) et la limitation aux cookies de session est une grosse étape. Les seules infos qui restent sont les entêtes HTTP :
      - accept-language.
      - user agent.

      Accept_language, ça a l'air idiot, mais rien que mettre fr_fr rend un ordinateur bien plus reconnaissable, et il le sera encore mieux si plusieurs langues de fallback sont ajoutées.

      UserAgent : Les numéros exacts de version, date de build, surtout pour les navigateurs peu fréquents sur le web, sont très rares. Si on veut passer inaperçu, il faut utiliser une chaine courante, comme FF 3.6-win32. On peut aussi mette IE8 mais 1) certains sites ne fonctionnent plus 2) ça fait remonter les stats de IE. La solution est d'utiliser (dans le cas FF) l'extension Radom-useragent qui comme son nom l'indique utilise des noms d'user-agent au hasard. Ainsi le user agent est toujours correct (FF 3 sous linux), ce qui permet à certains sites de fournir le code adéquat pour le navigateur et de s'afficher comme utilisateur de FF sous linux dans les statistiques. Mais la version exacte est différente à chaque session, ce qui supprime le caractère identifiable de l'ordinateur.

      plus d'infos :
      - Nouvelles user agent pour FF 4.0 http://hacks.mozilla.org/2010/09/final-user-agent-string-for(...)
      - longue liste de user-agent pour firefox, pour pouvoir paramétrer l'extension random-user-agent http://www.useragentstring.com/pages/Firefox/
      - l'extension en question : https://addons.mozilla.org/en-US/firefox/addon/6581/ (licence GNU GPL 3)

    • [^] # Re: ...

      Posté par  . Évalué à 4.

      Il y a une époque ou le navigateur (client), n'était qu'un bête lecteur qui ne renvoyait aucune info vers l'extérieur (en dehors des formulaires tapé par l'utilisateur).
      Ca et les cookies, et http://tools.ietf.org/html/rfc2616#section-5.3 , bon en fait il n'y a pas grand chose d'exploitable.


      - les données sont isolées entre les sites. Et les même données d'un site se retrouve toute au même endroit.
      Il me semble que c'est comme ça que sont censées fonctionner les DB du HTML5
      Le problème, c'est que les sites font appels à des régies pour gérer les pubs qu'ils affichent, et les cookies problématiques viennent de ces régies, les cookies qu'elles déposent dépendent de leurs domaines, c'est pour cela, que du site A au site B, une même régie sera capable d'accéder a son cookie, et de savoir ou tu etais, si tu as cliqué, sur une pub, etc.

      Depending on the time of day, the French go either way.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.