J'ai un gros doute maintenant, avec toutes les mains dans le seul gros paquet de biscuits. Chaque site visité (et les scripts tiers) peu(ven)t-il(s) lire tous les cookies de tous les autres sites ? Est-il possible pour un Google/Amazon/Facebook de récupéré la liste et le contenu des cookies et de savoir quels sites web sont visités par l'utilisateur ?
Je attendrais que chaque site ou acteur tiers peut juste lire ses propres cookies. Que du coup les acteurs tiers présents sur plusieurs sites peuvent faire des recoupements en utilisant un cookie de référence pour identifié l'utilisateur. Et que du coup ce que Firefox change ici c'est que les cookies sont cloisonnés par site, ce qui empêche ce moyen d'identification/traçage pour les acteurs tiers. Est-ce que j'ai bien compris?
J'ai un gros doute maintenant, avec toutes les mains dans le seul gros paquet de biscuits.
Tu n'a pas regardé leur manche. Facebook intégré sur différents sites (pour des boutons "j'aime" par exemple) ne pourra pas accéder au même cookie quelque soit le site sur le quel il est intégré.
Tu as parfaitement bien comprit : normalement chaque acteur ne peut lire que ses propres cookies, mais récupèrent le même quel que soit le site que tu visite. À présent ils seront en plus isolés par site que tu visites. :)
Limite haute ou basse ? Dans le premier cas, on constate ou dénonce un plafond. Dans le second cas c'est un plancher. Dans les deux cas il y a une limite asymptotique… où on peut tendre vers le nul sans l'atteindre (bon, en vrai l'un n'empêche pas l'autre y a juste plusieurs nuances)
Bref, bon 'dredi.
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
Sauf qu'ici on parlait d'une solution technologique, non? Je sais qu'avec l'IA on va finir par pouvoir offusquer les machines (a ne pas confondre avec obfusquer, qui s'applique à leur fonctionnement) mais on n'y est pas encore, si? :)
Posté par barmic 🦦 .
Évalué à 2.
Dernière modification le 22 juin 2022 à 15:28.
Mon smiley était là pour tenter de montrer que mon commentaire était purement humoristique. Ça n'était pas assez claire désolé.
J'ai perdu beaucoup de mes acquis en maths, mais je me souviens d'un prof qui nous faisait systématiquement la remarque quand un terme de mathématiques pouvait être pris pour une insulte (une façon de rire en cours).
Non, c'est juste que j'ai perdu mon sens de l'humour ces derniers jours. Il a du se coincer entre les 2 matelas que l'hotel que mon taf a réservé a collé l'un à l'autre pour faire croire a un lit 2 places (et autres problèmes de boulot), va falloir que je le cherche :)
Il y a d'abord eu le réglage First-Party Isolation dans about:config mais qui pouvait être trop agressif pour le web d'alors. Il servait néanmoins dans Tor Browser ("Total Cookie Protection is an evolution of the First-Party-Isolation feature, a privacy protection that is shipped in Tor Browser"). Dynamic First Party Isolation l'a alors remplacé : "The most important difference between DFPI and FPI is that DFPI will adhere to exceptions granted through the storage access API and thus ensure better Web compatibility"
Ce réglage se retrouve sous le vocable state partitioning chez d'autres navigateurs.
Il deviendra Total Cookie Protection en évoluant dans Firefox mais les 3 systèmes suivent peu ou prou le même principe, avec plus ou moins de sophistication.
Cette fonctionnalité Total Cookie Protection est ajoutée automatiquement au mode « Stricte » de Protection renforcée contre le pistage avec Firefox 86 sorti le 23/02/2021.
Avec la nouvelle annonce de ce Lien, Total Cookie Protection devient le réglage par défaut sur toutes les nouvelles installations à partir du 14/06/2022 avant d'être déployé sur toutes les instances en cours d'ici le 23/08/2022.
Pour suivre les progrès de cette fonctionnalité FPI->DFPI->TCP vous pouvez parcourir les Firefox Security Newsletters au paragraphe Privacy de chacune.
Il reste encore Fission à lancer si je ne me trompe pas (mais que chacun peut d'ores et déjà activer).
Total Cookie Protection devient le réglage par défaut sur toutes les nouvelles installations à partir du 14/06/2022 avant d'être déployé sur toutes les instances en cours d'ici le 23/08/2022.
C'est valable aussi sur Firefox for Android ou bien c'est juste pour la version de bureau ?
Je me demande, quand même… pourquoi ne pas commencer par bloquer les cookies tiers par défaut?
C'est un réglage que je fais depuis des années sur tous les navigateurs que j'utilise, et les problèmes se sont comptés sur les doigts d'une main (et ça date).
Parce qu'en bloquant les cookies tiers, du coup, le problème serait résolu, non? Et sans usine à gaz…
Ben justement, c'est plus simple côté implémentation mais plus compliqué côté utilisateurs (notamment les paiements en ligne et d'autres curiosités)
L'usine à gaz est parfois nécessaire au bénéfice de l'utilisateur
# euh ça se passait comment jusqu'ici?
Posté par bobo38 . Évalué à 2.
J'ai un gros doute maintenant, avec toutes les mains dans le seul gros paquet de biscuits. Chaque site visité (et les scripts tiers) peu(ven)t-il(s) lire tous les cookies de tous les autres sites ? Est-il possible pour un Google/Amazon/Facebook de récupéré la liste et le contenu des cookies et de savoir quels sites web sont visités par l'utilisateur ?
Je attendrais que chaque site ou acteur tiers peut juste lire ses propres cookies. Que du coup les acteurs tiers présents sur plusieurs sites peuvent faire des recoupements en utilisant un cookie de référence pour identifié l'utilisateur. Et que du coup ce que Firefox change ici c'est que les cookies sont cloisonnés par site, ce qui empêche ce moyen d'identification/traçage pour les acteurs tiers. Est-ce que j'ai bien compris?
[^] # Re: euh ça se passait comment jusqu'ici?
Posté par barmic 🦦 . Évalué à 5.
Tu n'a pas regardé leur manche. Facebook intégré sur différents sites (pour des boutons "j'aime" par exemple) ne pourra pas accéder au même cookie quelque soit le site sur le quel il est intégré.
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: euh ça se passait comment jusqu'ici?
Posté par FLOZz (site web personnel) . Évalué à 3.
Tu as parfaitement bien comprit : normalement chaque acteur ne peut lire que ses propres cookies, mais récupèrent le même quel que soit le site que tu visite. À présent ils seront en plus isolés par site que tu visites. :)
[^] # Re: euh ça se passait comment jusqu'ici?
Posté par bobo38 . Évalué à 1.
merci!
[^] # Re: euh ça se passait comment jusqu'ici?
Posté par Psychofox (Mastodon) . Évalué à 3.
Dans les fais avec la prise d'empreinte du navigateur, le gain en respect de la vie privée reste assez limité malheureusement.
[^] # Re: euh ça se passait comment jusqu'ici?
Posté par claudex . Évalué à 3.
Oui mais non :) La prise d'empreinte est un problème parallèle et les deux doivent être résolu pour protéger la vie privée.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: euh ça se passait comment jusqu'ici?
Posté par Psychofox (Mastodon) . Évalué à 3.
C'est exactement ce que je dis.
[^] # Re: euh ça se passait comment jusqu'ici?
Posté par claudex . Évalué à 4.
Je trouve que ton message laisse entendre que ça ne sert à rien. Du coup, je précise que c'est quand même utile.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: euh ça se passait comment jusqu'ici?
Posté par freem . Évalué à 2. Dernière modification le 16 juin 2022 à 13:20.
limité != nul (mais c'est vrai que c'est connoté très négativement)
[^] # Re: euh ça se passait comment jusqu'ici?
Posté par barmic 🦦 . Évalué à 4.
Essaie de le dire à quelqu'un :
:p
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: euh ça se passait comment jusqu'ici?
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 1.
Limite haute ou basse ? Dans le premier cas, on constate ou dénonce un plafond. Dans le second cas c'est un plancher. Dans les deux cas il y a une limite asymptotique… où on peut tendre vers le nul sans l'atteindre (bon, en vrai l'un n'empêche pas l'autre y a juste plusieurs nuances)
Bref, bon 'dredi.
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
[^] # Re: euh ça se passait comment jusqu'ici?
Posté par freem . Évalué à 3.
Sauf qu'ici on parlait d'une solution technologique, non? Je sais qu'avec l'IA on va finir par pouvoir offusquer les machines (a ne pas confondre avec obfusquer, qui s'applique à leur fonctionnement) mais on n'y est pas encore, si? :)
[^] # Re: euh ça se passait comment jusqu'ici?
Posté par barmic 🦦 . Évalué à 2. Dernière modification le 22 juin 2022 à 15:28.
Mon smiley était là pour tenter de montrer que mon commentaire était purement humoristique. Ça n'était pas assez claire désolé.
J'ai perdu beaucoup de mes acquis en maths, mais je me souviens d'un prof qui nous faisait systématiquement la remarque quand un terme de mathématiques pouvait être pris pour une insulte (une façon de rire en cours).
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: euh ça se passait comment jusqu'ici?
Posté par freem . Évalué à 2.
Non, c'est juste que j'ai perdu mon sens de l'humour ces derniers jours. Il a du se coincer entre les 2 matelas que l'hotel que mon taf a réservé a collé l'un à l'autre pour faire croire a un lit 2 places (et autres problèmes de boulot), va falloir que je le cherche :)
# Pour s'y retrouver
Posté par antistress (site web personnel) . Évalué à 6. Dernière modification le 15 juin 2022 à 19:06.
Il y a d'abord eu le réglage First-Party Isolation dans about:config mais qui pouvait être trop agressif pour le web d'alors. Il servait néanmoins dans Tor Browser ("Total Cookie Protection is an evolution of the First-Party-Isolation feature, a privacy protection that is shipped in Tor Browser").
Dynamic First Party Isolation l'a alors remplacé : "The most important difference between DFPI and FPI is that DFPI will adhere to exceptions granted through the storage access API and thus ensure better Web compatibility"
Ce réglage se retrouve sous le vocable state partitioning chez d'autres navigateurs.
Il deviendra Total Cookie Protection en évoluant dans Firefox mais les 3 systèmes suivent peu ou prou le même principe, avec plus ou moins de sophistication.
Cette fonctionnalité Total Cookie Protection est ajoutée automatiquement au mode « Stricte » de Protection renforcée contre le pistage avec Firefox 86 sorti le 23/02/2021.
Avec la nouvelle annonce de ce Lien, Total Cookie Protection devient le réglage par défaut sur toutes les nouvelles installations à partir du 14/06/2022 avant d'être déployé sur toutes les instances en cours d'ici le 23/08/2022.
Pour suivre les progrès de cette fonctionnalité FPI->DFPI->TCP vous pouvez parcourir les Firefox Security Newsletters au paragraphe Privacy de chacune.
Il reste encore Fission à lancer si je ne me trompe pas (mais que chacun peut d'ores et déjà activer).
[^] # Re: Pour s'y retrouver
Posté par antistress (site web personnel) . Évalué à 5.
Fission est dans Firefox depuis la version 94 mais désactivé par défaut : https://hacks.mozilla.org/2021/05/introducing-firefox-new-site-isolation-security-architecture/
[^] # Re: Pour s'y retrouver
Posté par patrick_g (site web personnel) . Évalué à 3.
C'est valable aussi sur Firefox for Android ou bien c'est juste pour la version de bureau ?
[^] # Re: Pour s'y retrouver
Posté par antistress (site web personnel) . Évalué à 4.
Je cite le Lien cité :
# En français et avec quelques infos en plus
Posté par antistress (site web personnel) . Évalué à 6.
https://www.numerama.com/tech/1003720-firefox-a-un-plan-mettre-chaque-cookie-dans-une-boite-a-cookies.html
# cookie tiers?
Posté par freem . Évalué à 3.
Je me demande, quand même… pourquoi ne pas commencer par bloquer les cookies tiers par défaut?
C'est un réglage que je fais depuis des années sur tous les navigateurs que j'utilise, et les problèmes se sont comptés sur les doigts d'une main (et ça date).
Parce qu'en bloquant les cookies tiers, du coup, le problème serait résolu, non? Et sans usine à gaz…
[^] # Re: cookie tiers?
Posté par antistress (site web personnel) . Évalué à 4.
Ben justement, c'est plus simple côté implémentation mais plus compliqué côté utilisateurs (notamment les paiements en ligne et d'autres curiosités)
L'usine à gaz est parfois nécessaire au bénéfice de l'utilisateur
[^] # Re: cookie tiers?
Posté par freem . Évalué à 2.
hmm… pas souvenir d'être embêté pour payer sans les cookies tiers, pour le coup.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.