• # En français :

    Posté par  . Évalué à 3 (+3/-0). Dernière modification le 27/01/21 à 09:18.

  • # jquery

    Posté par  . Évalué à 0 (+0/-2). Dernière modification le 27/01/21 à 15:59.

    J’espère qu'il y aura des exceptions pour les sources considérées comme sures, comme jquery ou les polices google. Ce serait dommage de devoir recharger et stocker sur le disque quasiment toujours le même contenu a chaque site visite…

    • [^] # Re: jquery

      Posté par  (site Web personnel) . Évalué à 5 (+3/-0).

      les sources considérées comme sures, comme jquery ou les polices google.

      J'ai ri sur tes exemples pour "sûres", l'idée me semble bien d’empêcher ces entités de te tracer (et monétiser la chose).

      Troll sur l'actu : moi, je trouve surtout rigolo que la moins (voire pas) de foule ne défende Google qui a construit son business model sur la monétisation de ces flux, comme quoi le business model à protéger est une excuse quand l'entité est considérée gentille…

      Ce serait dommage de devoir recharger et stocker sur le disque quasiment toujours le même contenu a chaque site visite…

      Perso je priorise la vie privée à ce petit gain de bande passante, qui est utile qu'à la première connexion sur un nouveau site et/ou le business model basé sur les données privées.

      • [^] # Re: jquery

        Posté par  . Évalué à 1 (+0/-1). Dernière modification le 27/01/21 à 19:57.

        J'ai ri sur tes exemples pour "sûres", l'idée me semble bien d’empêcher ces entités de te tracer (et monétiser la chose).

        Je pense que tu n'as pas compris le principe de ce traçage. Je t'invite à relire l'article. Google ne fait clairement pas ce genre de choses.

        D'ailleurs je te fais remarquer que Google implemente le même truc dans Chrome, ce qui n'est pas compréhensible suivant ta lecture des choses… Bref, lis l'article si tu veux en savoir plus.

        • [^] # Re: jquery

          Posté par  . Évalué à 5 (+3/-0).

          In fact, there are many different caches trackers can abuse to build supercookies. Firefox 85 partitions all of the following caches by the top-level site being visited: HTTP cache, image cache, favicon cache, HSTS cache, OCSP cache, style sheet cache, font cache, DNS cache, HTTP Authentication cache, Alt-Svc cache, and TLS certificate cache.

          Justement l'article dit bien qu'on peut utiliser les polices de caractères pour tracer l'utilisateur, comme tout autre asset dans un cache d'ailleurs.

          Et google ne se gène sûrement pas. Quel intérêt à mettre à disposition sinon.

          D'ailleurs je te fais remarquer que Google implémente le même truc dans

          Vers tous les domaines même les siens ?

          • [^] # Re: jquery

            Posté par  . Évalué à 0 (+0/-2).

            Ca ne suffit pas. Il faut en plus ajouter une information à la volée dans la font ou l'image qui permet d'identifier l'utilisateur.

            Unfortunately, some trackers have found ways to abuse these shared resources to follow users around the web. In the case of Firefox’s image cache, a tracker can create a supercookie by “encoding” an identifier for the user in a cached image on one website, and then “retrieving” that identifier on a different website by embedding the same image.

            Je peux me tromper, mais je ne pense pas que Google s'amuse à faire ce genre de trucs. Ca me semble bien trop risqué, ils en savent déjà bien assez sur nous par ailleurs.

            Et google ne se gène sûrement pas. Quel intérêt à mettre à disposition sinon.

            Faciliter le web un peu ouvert vs des réseaux sociaux fermés aux bots ?

            Vers tous les domaines même les siens ?

            TLD+1 d'après cet article :

            https://developers.google.com/web/updates/2020/10/http-cache-partitioning#what_is_the_impact_of_this_behavioral_change

            • [^] # Re: jquery

              Posté par  . Évalué à 5 (+4/-1).

              Je peux me tromper, mais je ne pense pas que Google s'amuse à faire ce genre de trucs
              Ca me semble bien trop risqué, …

              La stratégie de Google est d'être présent partout : sur le mobile, sur le desktop, sur le mail, sur le web, la vidéo, le DNS, le cloud, les stats des sites, le search, les annonce publicitaires sur les sites des autres, le CDN (dont font+css+lib javascript), la maison, le liaison internet (aux US), la santé, les montres, la TV.

              Donc je vois pas le "risque". Genre les gens accepteraient d'être pistés partout sauf quand leur navigateur télécharge une police de caractères ?

              TLD+1 d'après cet article

              TLD+1 ça veut dire que le cache "par site web" est le même pour "trucmuche.net" et "toto.trucmuche.net" mais pas pour "trucmuche.net" et "machin.com". Plus précisément, si ces trois sites pointent sur la même ressource "cdn.cloudflare.com/avatar32.jpg", cette ressource sera téléchargée deux fois : une fois pour "trucmuche.net" et "toto.trucmuche.net", une fois pour "machin.com".

              Ce que je voulais dire, c'est que rien ne te dit que quand tu visites avec GoogleChrome le site "machin.com" qui utilise une ressource de "fonts.google.com/bla" et le site "bidule.org" qui utilise la même ressource de "fonts.google.com/bla", le navigateur applique bien la même séparation des caches.

              Google s'estime souvent au dessus de ses propres lois : genre on vous protège des méchants mais nous on sais bien qu'on est pas méchants.

              • [^] # Re: jquery

                Posté par  . Évalué à 1 (+0/-1).

                Donc je vois pas le "risque". Genre les gens accepteraient d'être pistés partout sauf quand leur navigateur télécharge une police de caractères ?

                En fouillant un peu, Google ne recommande même plus de passer par leur serveur et de hoster leur font… Justement à cause du cache partitioning.

                Donc je résume la situation :
                - Google bloque sur Chrome le principal avantage d'avoir un cdn
                - Google déconseille son usage aux développeurs.

                Mais, de toute évidence, pour toi ils s'en servent pour traquer les gens.

                Ce que je voulais dire, c'est que rien ne te dit que quand tu visites avec GoogleChrome le site "machin.com" qui utilise une ressource de "fonts.google.com/bla" et le site "bidule.org" qui utilise la même ressource de "fonts.google.com/bla", le navigateur applique bien la même séparation des caches.

                Ca peut se tester puisque tu n'as pas confiance… C'est pas comme si tu avais des millions de développeurs qui analysent les temps de réponses sur leur site a chaque instant.

                https://www.zdnet.com/article/chromes-new-cache-partitioning-system-impacts-google-fonts-performance/

        • [^] # Re: jquery

          Posté par  (site Web personnel) . Évalué à 7 (+4/-0).

          Google ne fait clairement pas ce genre de choses.
          D'ailleurs je te fais remarquer que Google implemente le même truc dans Chrome, ce qui n'est pas compréhensible suivant ta lecture des choses…

          Logique: Google peut te suivre via Chrome et ses autres services. Il a donc tout intérêt à défoncer les autres méthodes pour avoir le monopole du tracking.

          Incubez l'excellence sur https://linuxfr.org/board/

          • [^] # Re: jquery

            Posté par  . Évalué à -1 (+0/-1).

            Je viens de vérifier sur le site phys.org qui utilise les polices distantes de google, j'ai bien deux requêtes GET dans la console du navigateur (ctrl + maj +j) :

            https://fonts.googleapis.com/css?family=Roboto:400,500,700
            https://fonts.googleapis.com/css?family=Open+Sans:400,400i,700

            Alors que j'ai bien décoché l'option dans Firefox 78 "Autoriser les pages web à utiliser leurs propres polices plutôt que celles choisies ci-dessus" et dans uBlock Origin, activé l'option bloquer les polices d'écriture distantes.

            Qu'à cela ne tienne, cette utilisation de police distante passe par un script et donc n'est bloquée qu'en bloquant le script correspondant fonts.googleapis.com toujours avec uBlock origin ou autre bloqueur de script.

            Dernière touche, le blocage ou non de ces polices ne change quasiment pas l'affichage ou l'esthétique du site, même après purge du cache. Autrement dit du trafic web pour rien. C'est vraiment ridicule.

      • [^] # Re: jquery

        Posté par  (site Web personnel) . Évalué à 3 (+1/-0).

        Perso je priorise la vie privée à ce petit gain de bande passante

        Parfaitement d’accord, d’autant plus que l’excuse de la bande passante ne me parait pas très pertinente, sachant que la solution actuelle pour éviter ce type de pistage, c’est les onglets en navigation privée où les profils de navigation qui ne conservent ni historique ni cache. Au moins, avec le système de caches distincts, on évite de re-télécharger tout le site à chaque visite.

        • [^] # Re: jquery

          Posté par  (site Web personnel) . Évalué à 4 (+2/-0).

          Perso je priorise la vie privée à ce petit gain de bande passante

          Parfaitement d’accord, d’autant plus que l’excuse de la bande passante ne me parait pas très pertinente

          C'est encore pire que ça : comment pourrait-on économiser de la bande-passante en téléchargeant des fontes chez Google… comparé à ne pas télécharger ces même fontes ?

          En bloquant tous ces machins, on gagne en vie privée et en bande-passante.

  • # du flan ?

    Posté par  . Évalué à 3 (+1/-0). Dernière modification le 27/01/21 à 23:23.

    C'est pas un peu du flan comme protection sachant qu'un site qui veut traquer des utilisateurs peut toujours le faire à partir de l'IP ?

    Je pense que la meilleure protection est le blocage à la source, par exempla avec µblock0. Et que Firefox 85 apporte cette fonctionnalité parce que les autres, safari et chrome l'on déjà et donc qu'ils ne peuvent pas donner l'image d'être à la traîne.

    • [^] # Re: du flan ?

      Posté par  . Évalué à 6 (+4/-0).

      L'IP n'est pas très fiable. Il peut y avoir beaucoup d'utilisateurs derrière une adresse IP (bureau par exemple). Un utilisateur, au cours de sa journée, va passer sur différents réseaux (mobile, maison, bureau) et donc différentes IP.

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n’en sommes pas responsables.