antistress a écrit 4552 commentaires

ok merci
(c'est rigolo de voir comment le nombre de dépêches s'effondre au fil des ans tandis que leur longueur augmente !)

D'autres liens :

• RFC 8484: DNS Queries over HTTPS (DoH) https://www.bortzmeyer.org/8484.html qui pointe d'ailleurs vers :
• DNS Privacy Public Resolvers https://dnsprivacy.org/wiki/display/DP/DNS+Privacy+Public+Resolvers#DNSPrivacyPublicResolvers-DNS-over-HTTPS(DOH)
• DNS-over-HTTPS (DoH) Update – Recent Testing Results and Next Steps https://blog.mozilla.org/futurereleases/2019/04/02/dns-over-https-doh-update-recent-testing-results-and-next-steps/

Par ailleurs le lien ci-dessus vers Inside Firefox’s DOH engine indique :

It still leaks the SNI!
Yes, the Server Name Indication field in the TLS handshake is still clear-text, but we hope to address that as well in the future with efforts like encrypted SNI.

Qui est, il me semble (je suis un profane en la matière), une limitation existante de HTTPS que l'extension HTTPS Everywhere mentionnait déjà :

However, HTTPS Everywhere does not conceal the identities of the sites you access, the amount of time you spend using them, or the amount of information you upload or download from a particular site. For example, if you access http://www.eff.org/issues/nsa-spying and HTTPS Everywhere rewrites it to https://www.eff.org/issues/nsa-spying, an eavesdropper can still trivially recognize that you are accessing www.eff.org (but might not know which issue you are reading about). In general, the entire hostname part of the URL remains exposed to the eavesdropper because this must be sent repeatedly in unencrypted form while setting up the connection. Another way of saying this is that HTTPS was never designed to conceal the identity of the sites that you visit.
[…] If you want to protect yourself against monitoring of the sites you visit, consider using HTTPS Everywhere together with software like Tor.
https://www.eff.org/fr/node/93777#what-does-https-everywhere-protect-me-against

Si je recherche sur le Web « SNI Encryption in TLS » (fonctionnalité qui manquait encore à TLS 1.3) je tombe sur quelques liens complémentaires intéressants :

• Encrypted SNI Comes to Firefox Nightly https://blog.mozilla.org/security/2018/10/18/encrypted-sni-comes-to-firefox-nightly/
• Enable DNS over HTTPS and Encrypted SNI in Firefox https://miketabor.com/enable-dns-over-https-and-encrypted-sni-in-firefox/
• Encrypt it or lose it: how encrypted SNI works https://blog.cloudflare.com/encrypted-sni/

Si qq1 veut en faire une dépêche ou se joindre à celle-ci existante : https://linuxfr.org/redaction/news/https-tor-vpn-de-quoi-est-ce-que-ca-protege-exactement ça serait vraiement super !

ha oui, j'avais pas lu l'article, c'est très bon !

D'autres liens sur le sujet :

• Pratique : comment activer DNS-over-HTTPS (DoH) dans Firefox https://www.zdnet.fr/pratique/pratique-comment-activer-dns-over-https-doh-dans-firefox-39887257.htm
• Inside Firefox’s DOH engine https://daniel.haxx.se/blog/2018/06/03/inside-firefoxs-doh-engine/
• Publicly available servers https://github.com/curl/curl/wiki/DNS-over-HTTPS#publicly-available-servers

On peut activer la fonction avec un serveur à qui il serait plus facile de faire confiance que CloudFlare ou Google (et lesquels, surtout) ?

crâneur ;)

Starting with Firefox 68, the Linux builds shipped by Mozilla should be reproducible

https://glandium.org/blog/?p=3923

Avec Firefox 68 Sur ma Debian, j'ai encore l'ancien logo !

La SNCF devrait ajouter l’énergie consommée par l'achat des billets sur le site bourré de JavaScript et de requêtes à exécuter dans le bilan carbone du voyage qu'ils mettent en avant à chaque fois.
Tout cela n'est tout de même pas très cohérent !

Je me disais que ça serait intéressant d'avoir une vision dynamique et historique des chiffres donnés.
Par exemple on a un solde net de 87 comptes créés cette quinzaine mais je n'ai aucune idée en lisant cela si cela évolue selon les mois ni si c'est plus ou moi que l'an dernier à la même époque.

Un petit graphique avec les chiffres mensuels sur 3 ans par exemple montrerait les dynamiques.
Ça n'a pas besoin d'être fait à chaque fois, mais peut être dans un bilan annuel ?
Idem pour le nombre de dépêches etc.

wow

:)

Spoiler : non

Je résume :

Les éditeurs de contenus en ligne gagnent 4% de revenus en plus lorsqu'ils optent pour la publicité ciblée.

La part du lion de la valeur créée finit dans les coffres des géants de la publicité en ligne, Google et Facebook, alias le duopole (60% à eux deux) de la publicité en ligne.

The Wall Street Journal en parle aussi : https://www.wsj.com/articles/behavioral-ad-targeting-not-paying-off-for-publishers-study-suggests-11559167195?redirect=amp#click=https://t.co/ai1PWrLffM

How much value do online publishers derive from behaviorally targeted advertising that uses privacy-hostile tracking technologies to determine which advert to show a website user?

A new piece of research suggests publishers make just 4% more vs if they were to serve a non-targeted ad.

Traduction :

Quelle est la valeur créée, pour les éditeurs de contenus en ligne, par le ciblage publicitaire qui utilise des techniques qui enfreignent la vie privée pour déterminer quelle publicité montrer à un utilisateur du site ?

Selon les résultats d'une récente recherche, les éditeurs gagnent seulement 4% de revenus de plus que s'ils mettent en œuvre une publicité non ciblée.

Il le dit lui-même dans l'article :

They’re everywhere — one study found third-party tracking cookies on 92 percent of websites. The Washington Post website has about 40 tracker cookies, average for a news site, which the company said in a statement are used to deliver better-targeted ads and track ad performance.

C'est en effet l'axe différenciateur principal (qui découle du fait que Google et Mozilla ne servent pas les mêmes intérêts), qui se décline par des choix différents de part et d'autre, comme celui mentionné dans cette dépêche ou celui fait récemment par Google pour son navigateur pour n'en citer que quelques uns.
Les deux positions divergent de plus en plus et de plus en plus rapidement, dû au choix de chacun (et pas seulement d'un)

Pour y accéder, j'ai dû accepter le cookie (bloqué par Cookie Master). Après ça roule

My tests of Chrome vs. Firefox unearthed a personal data caper of absurd proportions. In a week of Web surfing on my desktop, I discovered 11,189 requests for tracker “cookies” that Chrome would have ushered right onto my computer but were automatically blocked by Firefox.

It turns out, having the world’s biggest advertising company make the most popular Web browser was about as smart as letting kids run a candy shop.

Moi je trouve ça super, c'est un des rares trucs que les États vont pas accepter des bigs techs.
C'est sans doute la mesure de trop, qui va conduire les États à se préoccuper de ces géants.
Excellent.

https://www.phoronix.com/scan.php?page=news_item&px=Linux-5.3-FSGSBASE

Je n'ai pas les compétences techniques pour savoir si c'est une bonne nouvelle ou si ça ouvre de nouvelles brèches pour compenser les pertes de performances lié au colmatage des anciennes brèches, ce qui pourrait être lassant à force ?

Merci. J'ai trouvé ça en fr
https://www.generation-nt.com/firefox-premium-mozilla-services-actualite-1965734.html

(via la Revue de presse de l'april)

https://blogs.gnome.org/mcatanzaro/2019/06/09/on-ubuntu-updates/

seulement si tu veux synchroniser tes mots de passe entre tes appareils

https://support.mozilla.org/fr/kb/commencer-avec-firefox-lockwise

https://blogs.gnome.org/seb128/2019/06/06/ubuntu-keeping-up-with-gnome-stable-updates/