J ignore si brave install son vpn egalement sous GNU/Linux, ms sous Windows j ai vu que l antivirus Avast version payante individuel avait aussi le meme comportement Brave aurait il copier le meme comportement que les AV proprietaires ? Faudrait voir si c est souhaitable ou pas selon les raison de security ou autre dont je consentement de l utilisateur ou la gestion de la performance, la memoire etc
..
Je ne sais pas pour Avast, en milieu professionnel, il semble par contre que de nombreuses DSI (dont celle de mon employeur) aient retiré Brave des postes (et du catalogue de logiciels autorisés) pour ne pas avoir une porte d'exfiltration de données.
Si je comprends bien Brave a ete retirer car il respecte la vie privee de ses utlisateurs via le privacy by design , c est a dire en refusant de mettre des backdoors ? C est le monde a l envers , donc cette liste a pour critere qu on doit choisir des logiciel AVEC backdoors? Je suis curieux comment cela se justifie par rapport aux GDPR/RGPD
Source ?
Après contrairement aux années 201X les smartphones sont de partout, le perso par son propre smartphone, employeurs & employés y trouvent leur compte.
A chaud les logiciels qui ont mal tournés (merdification): avast, adblock, ccleaner, nova launcher, brave, etc
Pas de recueil sous la main, c'est au fil de ma veille.
Brave was also caught up in a privacy scandal in 2020, when it was revealed that the browser was adding affiliate codes to some URLs typed into the address bar. For example, typing in “binance.us” would add Brave’s affiliate link to the end, allowing Brave Software to collect revenue from signups or purchases. Brendan Eich called that “a mistake,” and the functionality was later turned off. That should have been enough to swear off Brave as a privacy-centric browser forever, considering the entire point of affiliate links is to collect data about the user and traffic source […]
Ultimately, Brave Browser is the apparatus of an advertising company, a bloated and complicated experience for the average user, and the pet project of the person kicked out of Mozilla for continuing to defend harmful political donations. If you want a privacy-focused web browser, use Firefox or Vivaldi.
Ceci dit, et par rapport à la présente polémique, Brave a assuré que le VPN ne serait plus installé par défaut, mais seulement si l'utilisateur coche l'option VPN. Mais Opera, qui a également un VPN gratuit, n'installe rien (mais, vu que ç'a été racheté par une boîte chinoise, on peut légitimement douter de se qui se passe en arrière plan).
C'est une bonne nouvelle que les craintes soient entendues et que leur VPN ne soit plus installé par défaut. Cela va certainement lui permettre de retrouver grâce aux yeux de notre DSI ; beaucoup ici aiment utiliser ce navigateur. Moi j'ai encore la chance d'avoir Firefox ESR.
Posté par eastwind☯ .
Évalué à 1.
Dernière modification le 24 octobre 2023 à 18:10.
Cette source me semble totalement partisane en confondants des éléments qui font débats plutot qu'ils ne font consensus. En allant sur l'article venant du blog de l'auteur :
voici ce qu'on peut y lire dans les paragraphes au dessus concernant le même article :
The Hateful Browser
Why was appointing Eich as CEO so controversial? It's because he donated $1,000 in support of California's Proposition 8 in 2008, which was a proposed amendment to California's state constitution to ban same-sex marriage. Eich wrote a blog post defending himself in 2012, when the donation was initially discovered, where did not apologize and denied the donation made him a bigot: (…) In other words, because he silently donated to causes seeking to strip rights from minority groups instead of directly harassing them, the outrage was unjustified. Okay, Brendan.
Le fait que l'auteur de Brave (qui occupait un poste anciennement chez Mozilla avant d'avoir été licencié pour la donation en question n'a rien avoir avec la qualité ou non de Brave . Je ne partage par l'avis du créateur de Brave et je n'aurais jamais fais personnellement une donation pour par rapport au sujet du banissement du marriage gay , mais cela n'implique en rien la qualité technique de Brave et n'oriente en aucune mesure Brave pour être qualifié de navigateur de la haine ou navigateur haineux (ou faisant la promotion de la haine ) - Hateful Browser
Ensuite on y lit tout un tas d'élément à charge de BAT , la crypto de Brave , personnellement je l'utilise pas actuellement. Si on click sur certain ad on peut avoir des BAT dans son portefeuille , cela ressemble au modèle ou un certain moment les utilisateurs étaient payé au click sur des publicités sous forme de gifs animée.
Personnellement cela ne me gène pas que brave utilise ce procédé et je n'y vois pas d'inconvennient majeur sachant.
EN ce qui concerne la critique souligné par la mention , celle-ci me semble partiale, d'une part elle a été retiré par Brave, d'autre part Brave a expliqué que :
"
In defense of the apparent error, Eich also explained that Brave is "trying to build a viable business that puts users first by aligning interests via private ads that pay user >= what we make on fixed fee schedule, no browser data in the clear on any of our servers, and so on. But we seek skin-in-game affiliate revenue too".
"The autocomplete default was inspired by search query clientid attribution that all browsers do, but unlike keyword queries, a typed-in URL should go to the domain named, without any additions. Sorry for this mistake – we are clearly not perfect, but we correct course quickly," he wrote. "
Cela n'enlève pas énormément au problème de l'autocomplétion mais cela permet de le comprendre ensuite cela me semble avoir été disportionné de parlé de scandale (en effet , il n'y a pas jusqu'à preuve du contraire de données personnelles qui ont été leaké par exemple).
Au vue de la pression que ces réseaux sociaux et le dilemme dans lequel ils mettent les gens pour s'y inscire et connecter. Le dilemme classique du libriste qui soit je m'inscrit et je donne mes données à Meta/FaceBook ou Linkedin/Microsoft soit je m'inscrit pas et je suis exclus de mon propre cercle sociale (par exemple universitaire, professionnelle etc.. ) car je ratte tout un tas d'information qui transite par ces réseaux car je souhaite protéger ma privacy .
Le problème de Brave ne me semble pas pouvoir être qualifié de scandale.
En outre , après le départ du développeur de Brave de chez Mozilla (pour des raisons qui me semble fallacieuse) , nous avons vue comment la fondation Mozilla avait été géré par sa présidente (qui est un vrai scandale et une honte à mes yeux tels que Patrick_g l'avait mentionné (https://linuxfr.org/nodes/133583/comments/1938376) (la diminution des parts de marché, l'utilisation de l'argent de la fondation pour des projets qui n'ont rien avoir avec les objectifs de la fondtion (les projets communautaristes en questions) et finalement l'augmentation de manière totalement déconnecté des parts de marché de Firefox du salaire de la CEO , sans parlé de la démotivation des dévs etc…
Je dois dire qu'ayant connu Firefox lorsqu'il s'appelait encore Firebird (après la liberation de la Netscape ) et toute sa progression, qui était le fer de lance (bataille autour des standards W3C contre Internet Explorer ) et l'exemple d'un projet Libre qui a quasi idéalement réussie , force est de constater que Firefox s'éloigne de plus en plus de cet idéal exemplaire et force est de constater que le management de ce projet devient de moins en moins centré autour du libre et de plus en plus autour de questions identitaires sur le genre (voir les dépenses en questions pointé dans l'article : https://linuxfr.org/users/renault/liens/une-analyse-financiere-de-mozilla
Table of Contents
Address privacy
Verification
At Brave, we work hard to minimize the tracking of our users on the internet, and that includes interaction with services run by Brave itself. But we don’t expect you to take our word for it; we try to make our privacy features something you can verify.
Many of our features depend on services configured with various providers. We’ve created a view into how that configuration protects your privacy. It’s your data, so you deserve to know how it’s handled. You can follow the steps below to review our work.
Address privacy
When devices send or receive data over the internet, they use an Internet Protocol (IP) address to identify themselves. This is an intrinsic part of how the internet works. While addresses aren’t necessarily unique or long-lived, it’s inevitable that the sites you visit will see these identifiers. The web doesn’t work without them.
To address this potential exposure, we sometimes have visitors connect to our sites and services through a proxy. The proxy sees the visitor’s IP address, but when it forwards the request to our servers, we see only the proxy’s IP address, not the real address of the visitor. Traffic is encrypted so the proxy can’t learn anything about what the visitor has to say; that’s private between the visitor and us.
A diagram showing the proxy service in action.
For example, if you enable Brave Rewards or use Brave News, the items the browser shows are decided locally, on your device—it’s none of our business which item the browser thought you’d be interested in. To protect your privacy, we download some of that content through a private content distribution network where requests go through a proxy.
Unfortunately, because user tracking is so prevalent, most proxy services have options to forward the original visitor’s IP address, decrypt the contents of the request, or both. That’s the opposite of what we want! So it’s important that we turn all those options off when we configure our sites to use a proxy.
Verification
To check the current configuration of a Brave proxy, you can visit the audit page and examine the settings for each service. They’re listed by the domain name of the service where we’re using the proxy to separate the IP address from the contents of the request.
Correct configuration will look something like this:
An example of a good configuration from the audit page.
Examine the logs for the fetch and display config step. You should see something like this:
{
"domain": "pcdn.brave.com",
"modified_on": "2020-06-25T23:16:38.918708Z"
"protocol": "tcp/443",
"proxy_protocol": "off",
"traffic_type": "direct",
}
This displays key values that control our configuration of Cloudflare’s Spectrum proxy for our private content distribution network:
domain: This describes the website the proxy is forwarding for. Match this up with the Brave service endpoint you’re auditing. Cloudflare is accepting traffic for this domain name and routing the traffic to their own internal servers first so they can strip the IP address.
modified_on: The date the configuration was last updated.
protocol: A value of tcp/443 indicates the proxy accepts normal encrypted https traffic.
proxy_protocol: This should be off, meaning the proxy does not forward the IP address of the visitor via the PROXY protocol. This means Brave can’t use it to track you!
traffic_type: A value of direct here means https traffic is forwarded directly to Brave’s server without decrypting it. Although Cloudflare sees the client IP address, this means they don’t learn anything about the content of the request or our server’s response to it.
By contrast, this is what it might look like if an endpoint were configured to make it possible to track visitors by IP address:
An example of a bad configuration from the audit page.
The above example uses the port for unencrypted http, and passes on the original client IP address. We’ve added an “X” and dotted underlines to mark some of the problems with this config so it’s easy to check at a glance.
By publishing these values, we offer some assurance that we’re not able to track clients connecting to these services. Since the configuration data comes directly from Cloudflare, it accurately represents the real proxy parameters. Because the query is processed by GitHub, we can’t have changed the values before reporting them.
More technical users may want to consult the GitHub Actions workflow log linked at the bottom of the page to verify the data was obtained correctly by a runner under GitHub’s control. You’ll need to be logged in to GitHub to access data on that page.
Il s'agit d'un contexte d'entreprise avec des postes où les gens, qui au passage ont signé une charte informatique, ne doivent pas faire ou installer n'importe quoi.
Notre équipe sécurité m'a confirmé que la cause du retrait c'est justement ce qui ressemble à un backdoor.
# Avast ..
Posté par eastwind☯ . Évalué à 2.
J ignore si brave install son vpn egalement sous GNU/Linux, ms sous Windows j ai vu que l antivirus Avast version payante individuel avait aussi le meme comportement Brave aurait il copier le meme comportement que les AV proprietaires ? Faudrait voir si c est souhaitable ou pas selon les raison de security ou autre dont je consentement de l utilisateur ou la gestion de la performance, la memoire etc
..
[^] # Re: Avast ..
Posté par mousquetaire G2 . Évalué à 2.
Je ne sais pas pour Avast, en milieu professionnel, il semble par contre que de nombreuses DSI (dont celle de mon employeur) aient retiré Brave des postes (et du catalogue de logiciels autorisés) pour ne pas avoir une porte d'exfiltration de données.
[^] # Re: Avast ..
Posté par eastwind☯ . Évalué à 1.
Si je comprends bien Brave a ete retirer car il respecte la vie privee de ses utlisateurs via le privacy by design , c est a dire en refusant de mettre des backdoors ? C est le monde a l envers , donc cette liste a pour critere qu on doit choisir des logiciel AVEC backdoors? Je suis curieux comment cela se justifie par rapport aux GDPR/RGPD
[^] # Re: Avast ..
Posté par Xanatos . Évalué à 1.
Source ?
Après contrairement aux années 201X les smartphones sont de partout, le perso par son propre smartphone, employeurs & employés y trouvent leur compte.
A chaud les logiciels qui ont mal tournés (merdification): avast, adblock, ccleaner, nova launcher, brave, etc
Pas de recueil sous la main, c'est au fil de ma veille.
[^] # Re: Avast ..
Posté par eastwind☯ . Évalué à 1.
la source : le commentaire auquel je réponds.
[^] # Re: Avast ..
Posté par aiolos . Évalué à 2.
Source ?
[^] # Re: Avast ..
Posté par sebas . Évalué à 4. Dernière modification le 21 octobre 2023 à 10:55.
anti-source : https://www.spacebar.news/p/stop-using-brave-browser
Extrait d'un long article :
Ceci dit, et par rapport à la présente polémique, Brave a assuré que le VPN ne serait plus installé par défaut, mais seulement si l'utilisateur coche l'option VPN. Mais Opera, qui a également un VPN gratuit, n'installe rien (mais, vu que ç'a été racheté par une boîte chinoise, on peut légitimement douter de se qui se passe en arrière plan).
[^] # Re: Avast ..
Posté par mousquetaire G2 . Évalué à 2.
Hello,
C'est une bonne nouvelle que les craintes soient entendues et que leur VPN ne soit plus installé par défaut. Cela va certainement lui permettre de retrouver grâce aux yeux de notre DSI ; beaucoup ici aiment utiliser ce navigateur. Moi j'ai encore la chance d'avoir Firefox ESR.
[^] # Re: Avast ..
Posté par eastwind☯ . Évalué à 1. Dernière modification le 24 octobre 2023 à 18:10.
Cette source me semble totalement partisane en confondants des éléments qui font débats plutot qu'ils ne font consensus. En allant sur l'article venant du blog de l'auteur :
voici ce qu'on peut y lire dans les paragraphes au dessus concernant le même article :
Le fait que l'auteur de Brave (qui occupait un poste anciennement chez Mozilla avant d'avoir été licencié pour la donation en question n'a rien avoir avec la qualité ou non de Brave . Je ne partage par l'avis du créateur de Brave et je n'aurais jamais fais personnellement une donation pour par rapport au sujet du banissement du marriage gay , mais cela n'implique en rien la qualité technique de Brave et n'oriente en aucune mesure Brave pour être qualifié de navigateur de la haine ou navigateur haineux (ou faisant la promotion de la haine ) - Hateful Browser
c'est le stratagème de la Dénomination péjorative dans l'art d'avoir toujours raison (https://fr.wikipedia.org/wiki/L%27Art_d%27avoir_toujours_raison )
Ensuite on y lit tout un tas d'élément à charge de BAT , la crypto de Brave , personnellement je l'utilise pas actuellement. Si on click sur certain ad on peut avoir des BAT dans son portefeuille , cela ressemble au modèle ou un certain moment les utilisateurs étaient payé au click sur des publicités sous forme de gifs animée.
Personnellement cela ne me gène pas que brave utilise ce procédé et je n'y vois pas d'inconvennient majeur sachant.
EN ce qui concerne la critique souligné par la mention , celle-ci me semble partiale, d'une part elle a été retiré par Brave, d'autre part Brave a expliqué que :
"
In defense of the apparent error, Eich also explained that Brave is "trying to build a viable business that puts users first by aligning interests via private ads that pay user >= what we make on fixed fee schedule, no browser data in the clear on any of our servers, and so on. But we seek skin-in-game affiliate revenue too".
"The autocomplete default was inspired by search query clientid attribution that all browsers do, but unlike keyword queries, a typed-in URL should go to the domain named, without any additions. Sorry for this mistake – we are clearly not perfect, but we correct course quickly," he wrote. "
https://www.zdnet.com/article/privacy-browser-brave-busted-for-autocompleting-urls-to-versions-it-profits-from/
Cela n'enlève pas énormément au problème de l'autocomplétion mais cela permet de le comprendre ensuite cela me semble avoir été disportionné de parlé de scandale (en effet , il n'y a pas jusqu'à preuve du contraire de données personnelles qui ont été leaké par exemple).
Si on doit parlé de scandale on devrait plutot mentionné le data breach/lean de Linkedin : LinkedIn Data Breach - 500M Records Leaked and Being Sold Updated on: 06 September 2023 celui de facebook :Updated on: 06 February 2023
https://cybernews.com/news/leaker-says-they-are-offering-private-details-of-500-million-facebook-users/
https://cybernews.com/news/stolen-data-of-500-million-linkedin-users-being-sold-online-2-million-leaked-as-proof-2/
Au vue de la pression que ces réseaux sociaux et le dilemme dans lequel ils mettent les gens pour s'y inscire et connecter. Le dilemme classique du libriste qui soit je m'inscrit et je donne mes données à Meta/FaceBook ou Linkedin/Microsoft soit je m'inscrit pas et je suis exclus de mon propre cercle sociale (par exemple universitaire, professionnelle etc.. ) car je ratte tout un tas d'information qui transite par ces réseaux car je souhaite protéger ma privacy .
Le problème de Brave ne me semble pas pouvoir être qualifié de scandale.
En outre , après le départ du développeur de Brave de chez Mozilla (pour des raisons qui me semble fallacieuse) , nous avons vue comment la fondation Mozilla avait été géré par sa présidente (qui est un vrai scandale et une honte à mes yeux tels que Patrick_g l'avait mentionné (https://linuxfr.org/nodes/133583/comments/1938376) (la diminution des parts de marché, l'utilisation de l'argent de la fondation pour des projets qui n'ont rien avoir avec les objectifs de la fondtion (les projets communautaristes en questions) et finalement l'augmentation de manière totalement déconnecté des parts de marché de Firefox du salaire de la CEO , sans parlé de la démotivation des dévs etc…
Je rappelle que Firefox se veut également navigateur qui protège la privacy : un auteur a compilé un séries de griefs à l'encontre de la gestion de firefox : https://chefkochblog.wordpress.com/2022/03/03/mozilla-history-of-scandals/
a savoir notamment l'étonnant partenariat avec Facebook : Mozilla and Meta (Facebook) are now actually working together : https://www.xda-developers.com/mozilla-meta-interoperable-private-attribution/
Je dois dire qu'ayant connu Firefox lorsqu'il s'appelait encore Firebird (après la liberation de la Netscape ) et toute sa progression, qui était le fer de lance (bataille autour des standards W3C contre Internet Explorer ) et l'exemple d'un projet Libre qui a quasi idéalement réussie , force est de constater que Firefox s'éloigne de plus en plus de cet idéal exemplaire et force est de constater que le management de ce projet devient de moins en moins centré autour du libre et de plus en plus autour de questions identitaires sur le genre (voir les dépenses en questions pointé dans l'article : https://linuxfr.org/users/renault/liens/une-analyse-financiere-de-mozilla
[^] # Re: Avast ..
Posté par eastwind☯ . Évalué à 1. Dernière modification le 24 octobre 2023 à 17:30.
https://brave.com/published-proxy-config/
Privacy by Design: Published Proxy Config
Last updated Jan 27, 2023
Table of Contents
Address privacy
Verification
At Brave, we work hard to minimize the tracking of our users on the internet, and that includes interaction with services run by Brave itself. But we don’t expect you to take our word for it; we try to make our privacy features something you can verify.
Many of our features depend on services configured with various providers. We’ve created a view into how that configuration protects your privacy. It’s your data, so you deserve to know how it’s handled. You can follow the steps below to review our work.
Address privacy
When devices send or receive data over the internet, they use an Internet Protocol (IP) address to identify themselves. This is an intrinsic part of how the internet works. While addresses aren’t necessarily unique or long-lived, it’s inevitable that the sites you visit will see these identifiers. The web doesn’t work without them.
To address this potential exposure, we sometimes have visitors connect to our sites and services through a proxy. The proxy sees the visitor’s IP address, but when it forwards the request to our servers, we see only the proxy’s IP address, not the real address of the visitor. Traffic is encrypted so the proxy can’t learn anything about what the visitor has to say; that’s private between the visitor and us.
A diagram showing the proxy service in action.
For example, if you enable Brave Rewards or use Brave News, the items the browser shows are decided locally, on your device—it’s none of our business which item the browser thought you’d be interested in. To protect your privacy, we download some of that content through a private content distribution network where requests go through a proxy.
Unfortunately, because user tracking is so prevalent, most proxy services have options to forward the original visitor’s IP address, decrypt the contents of the request, or both. That’s the opposite of what we want! So it’s important that we turn all those options off when we configure our sites to use a proxy.
Verification
To check the current configuration of a Brave proxy, you can visit the audit page and examine the settings for each service. They’re listed by the domain name of the service where we’re using the proxy to separate the IP address from the contents of the request.
Correct configuration will look something like this:
An example of a good configuration from the audit page.
Examine the logs for the fetch and display config step. You should see something like this:
{
"domain": "pcdn.brave.com",
"modified_on": "2020-06-25T23:16:38.918708Z"
"protocol": "tcp/443",
"proxy_protocol": "off",
"traffic_type": "direct",
}
This displays key values that control our configuration of Cloudflare’s Spectrum proxy for our private content distribution network:
domain: This describes the website the proxy is forwarding for. Match this up with the Brave service endpoint you’re auditing. Cloudflare is accepting traffic for this domain name and routing the traffic to their own internal servers first so they can strip the IP address.
modified_on: The date the configuration was last updated.
protocol: A value of tcp/443 indicates the proxy accepts normal encrypted https traffic.
proxy_protocol: This should be off, meaning the proxy does not forward the IP address of the visitor via the PROXY protocol. This means Brave can’t use it to track you!
traffic_type: A value of direct here means https traffic is forwarded directly to Brave’s server without decrypting it. Although Cloudflare sees the client IP address, this means they don’t learn anything about the content of the request or our server’s response to it.
By contrast, this is what it might look like if an endpoint were configured to make it possible to track visitors by IP address:
An example of a bad configuration from the audit page.
The above example uses the port for unencrypted http, and passes on the original client IP address. We’ve added an “X” and dotted underlines to mark some of the problems with this config so it’s easy to check at a glance.
By publishing these values, we offer some assurance that we’re not able to track clients connecting to these services. Since the configuration data comes directly from Cloudflare, it accurately represents the real proxy parameters. Because the query is processed by GitHub, we can’t have changed the values before reporting them.
More technical users may want to consult the GitHub Actions workflow log linked at the bottom of the page to verify the data was obtained correctly by a runner under GitHub’s control. You’ll need to be logged in to GitHub to access data on that page.
Happy checking!
[^] # Re: Avast ..
Posté par mousquetaire G2 . Évalué à 2.
Hello.
Il s'agit d'un contexte d'entreprise avec des postes où les gens, qui au passage ont signé une charte informatique, ne doivent pas faire ou installer n'importe quoi.
Notre équipe sécurité m'a confirmé que la cause du retrait c'est justement ce qui ressemble à un backdoor.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.