Quand le cache du navigateur trahit l'internaute à distance

Il est trop bien NoScript !

C'est clair, même si Mme Michu ne sait pas à quoi ça sert, dès le moment où on l'utilise bien c'est très utile.

N'autoriser Javascript qu'aux sites qui en ont réellement besoin me paraît une politique de navigation saine, sinon obligatoire par les temps qui courent. Presque tous les risques disparaissent sans Javascript. (Après, on peut s'occuper de Flash)

oui vive noscript ! C'est dingue à quel point nous sommes traqués !

C'était l'une des principales méthodes pour déterminer si un utilisateur de Freenet a consulté tel ou tel freesite quand on saisit son pc Et ça a été corrigé il y a quelques temps: à présent pour le stockage local de freesites, un "minimum de bonds" depuis des noeuds externes est nécessaire (l'affichage des freesites déjà consultés n'est plus directement repris du cache client, avec comme effet d'être plus gourmand en bande passante).


Avec la structure centralisée du web, c'est sensiblement plus difficile de faire cela. Sauf à considérer que le cache du navigateur sert qu'à économiser de la bande passante et non du temps de chargement: le navigateur peut par exemple utiliser un "délai" avant de charger un contenu du cache, pour émuler le temps de téléchargement du contenu.

Ceci dit pour Windows un tel délai n'est pas indispensable, vu que ce système fragmente son système de fichier à tel point qu'un dossier de cache de navigateur est rarement cohérent et rapide en lecture. [ troll ]

Noscipt : j utilise depuis LONGTEMPS et nickel .

sinklife : traqués ? non enculé a sec de longue , on PAYE et on se fait mettre par le bridage du streaming et autres infos perso volées etc...

un jour c est sur reviendra le jour pure ... la revolution viendra , nous adultes n'avons pas les couilles puisqu on parle parle parle ... nos gosses eux ne parleront pas . ils agiront .

Avec flashblock et ad block plus... le tout sous un navigateur libre. La liberté : ça n'a pas de prix.

Le test ne fait qu'une erreur pour moi (YouTube non visité, ce qui est faux).
Bien trouvé cela dit.

Nos gosses ont le cerveau pourrit par secret story, master chef, et les biatch sur MTV.

Agir veut dire se lever du canapé, ce qui est plutôt dûr.

C'est parce que tu les éduques mal. Tes gosses sont cons. Traite les comme des gosses intelligents, et ils le deviendrons. Apprends leur à utiliser le net, transmets leur ta passion...

Ya pas de secret avec les gosses, ils suivent l'exemple de leurs parents. S'ils moisissent devant la TV, que ton fils n'a qu'une envie c'est de baiser, et ta fille de se faire baiser, ben faut te faire une raison de te demander à quel point tu as réussi ta vie de couple.

Il n'est jamais trop tard pour flinguer sa famille et se suicider ensuite

(oui, j'ai des envies d'humour noir ces derniers temps...)

C'est le gros problème d'Internet : il a été bâti à partir de techniques plus ou moins expérimentales et pour un usage limité à quelques volontaires.
Et à partir de là, "on" a décidé de généraliser ces techniques pleines de failles pour l'ensemble de la population planétaire.

Et après on s'étonne que les marchands ou que les gouvernements se servent de ces failles pour une exploitation commerciale ou politique ? Ils sont humains : on leur présente un magnifique gâteau que personne ne surveille et on voudrait qu'ils résistent à la tentation de le bouffer.

Je vais prendre un exemple de ce gâteau. Quand vous visitez le site Numerama, Numerama sait que vous avez visité la page 20802-quand-le-cache-du-navigateur-trahit-l-internaute-a-distance.html et que vous y êtes arrivés à 12h32, puis que vous ête allé sur la page 20800-comment-tmg-traquera-les-sites-pirates-pour-bloquer-leurs-clones.html à 12h36.
A la limite, pourquoi pas ? Que Numerama connaisse les parcours de ses usagers, cela semble normal.

Mais est-ce qu'il est normal que votre FAI le sache également ? En quoi cela le concerne ? Ou que toute une série d'intermédiaires que vous ne connaissez pas le sache également. Surtout qu'en plus ils en savent plus que Numerama puisqu'ils savent également où vous étiez avant de lire Numerama et où vous étiez après !!!

Tout ça parce que le protocole est conçu pour que les URL se baladent en clair sur le réseau, ce qui est une aberration au niveau du respect de la vie privée. Mais quand Internet, TCP/IP et HTML ont été inventés, personne ne pensait que cela deviendrait le réseau mondial.

Et en plus, non seulement mon FAI sait quelle page je suis allé voir sur Numerama, mais en plus il connaît le contenu des pages. C'est grandiose, non ? Je suis en train de "discuter" avec Numerama et j'ai des témoins qui sont là, assis à côté de nous en train d'écouter et de noter toute notre conversation sans que je puisse faire quoique ce soit pour les en empêcher.

Autre exemple : il y a des sites sur lesquels il est nécessaire de s'inscrire via un code et un mot de passe. Est-ce que vous trouvez normal que d'une part ces codes et mots de passe circulent en clair sur le réseau et que d'autre part vous ne sachiez absolument pas dans quelles conditions ils sont stockés. Quand je me connecte pour écrire sur le forum Numerama, mon code et mon mot de passe sont collectés via un formulaire et se promènent allégrement sur le réseau. En particulier chez mon FAI qui peut les intercepter sans aucun problème.
Quand mon code et mon mot de passe arrivent chez Numerama, je suis obligé de les croire sur parole quand ils me disent qu'ils ne stockent qu'un hashcode crypté. Mais rien n'empêche Numerama de stocker en clair les codes et les mots de passe sans que j'en sois au courant.

Tout ça parce que le protocole est prévu pour que ce soit les mots de passe qui circulent et pas des demandes d'autorisation. Un mot de passe ne devrait normalement jamais sortir de la machine de l'internaute.

Si tu as des doutes sur la sécurité d'un site, tu n'es pas obligé d'y aller.

Moi, j'ai juste "vider le cache en quittant", mais d'abord parce j'en ai rien à faire de remplir ma sauvegarde incrémentale avec les caches de mes navigateurs.

Pour la vie privée je met un conteneur LUKS caché dans une partition FAT, c'est plus simple que d'avoir à trouver des solutions pour chaque application.
Et en solution je propose qu'on interdise les iframe qui, de toutes façon, sont connus pour être des aberrations ergonomiques, fonctionnelles et tout un tas d'autre préoccupations.

Si je comprends bien, ils doivent charger des dizaines, centaines, voire milliers d'urls si ils veulent être un minimum exhaustif sur notre historiques de navigation. Et dans un temps très court.
Ca doit être assez simple de détecter et bloquer ce genre de truc par le navigateur.

Non, la vie cela ne se passe pas comme ça. Du moins la mienne
Est-ce que tu vas vérifier dans les cuisines du restau si la bouffe est fraîche ou pas ? Est-ce que tu vas vérifier si quand tu achètes un kilo de pâtes, cela fait bien un kilo ? Est-ce que tu vas vérifier que ton médecin est bien diplômé quand tu vas dans son cabinet ? Est-ce que tu vérifies ta feuille de salaire ligne par ligne pour vérifier que chaque montant est bien prélevé selon le taux indiqué, que cela correspond à la législation et qu'en plus l'argent est bien versé aux organismes indiqués ?

Ce que je veux dire, c'est même pour les systèmes pour lesquels tu n'as aucun doute, ben ... il peut toujours y en avoir un...
Pour un site c'est pareil : je n'ai pas de doute pour Numerama sauf que... sauf que justement, il y a la possibilité d'un doute. Peut-être même à l'insu de son plein gré : un intervenant qui a mis un p'tit bout de code, ou un hacker.
Donc est-ce qu'il n'est pas préférable dans ce cas de rechercher des solutions qui n'admettent aucun doute (ou le moins de doute possible) plutôt que de laisser perdurer des systèmes qui peuvent en laisser de gros ?

D'où l'intérêt de ne pas utiliser le même mot de passe dans toutes les situations ...

C'est pour ça qu'on utilise le https pour les applications critiques (même s'il a de nombreuses limites liée à l'opacité de l'arborescence des autorités de certification ...

C'est assez ouf de voir à quel point tu donne ton point de vue dans tous les thread alors que tu n'as juste rien compris aux trucs dont tu parles ...

Et alors ? le fait que tu utilises un mot de passe utilisé uniquement chez Numerama n'empêche pas ton FAI de l'intercepter en clair et de l'utiliser chez Numerama pour écrire des trucs en se faisant passer pour toi. Tu trouves cela acceptable ?

Et pour les autres ?

C'est assez ouf que tu n'aies pas assez d'imagination pour te rendre compte de la stupidité du système tel qu'il est conçu actuellement.
Je vais te donner un exemple : quand tu tapes ton code secret de carte bleue au supermarché du coin, celui-ci reste cantonné au niveau du lecteur et de la CB. C'est juste un système d'authentification et d'autorisation qui circule entre le terminal et le site CB.
C'est dingue, non ? A ton avis, c'est lequel de nous deux qui ne comprends rien aux systèmes de sécurité ?

Pourquoi y a t-il un grosse image de Firefox, alors que justement c'est le navigateur qui permet le mieux de se protéger de cette faille?! (Grace à NoScript)

N'importe qui peut aussi se faire passer pour toi à la bibliothèque municipale ou à la piscine en donnant une fausse facture EDF à ton nom et adresse, who cares ?

Les autres justement sont non critiques ... C'est un drame si quelqu'un ouvre ta boite au lettre pour te voler un chèque cadeau de 5€ obtenu grâce à une carte de fidélité quelconque ? Une raison qui légitimerai l'envoi d'un huissier de justice pour te le remettre en main propre ?
Tu connais Serge Humpitch et les yes cards ?
"un système d'authentification et d'autorisation" : j'aime bien cette expression, on dirait un truc magique qui fait que "tout marche bien de manière sécurisée" sans qu'on ai aucune idée de ce que ça fait, ça me fait penser au "l'utilisateur est responsable de la mise en ?uvre de la mise en place de "moyens de sécurisation de sa ligne""...
Les problèmes de cryptographie concernant la certification de l'expéditeur et le cryptage des messages ne sont pas triviaux, le https tout comme la sécurité mise en place dans les transactions bancaires nécessitent tout 2 l'intervention d'un "tiers de confiance" (l'autorité de certification ou le fournisseur de service de transaction (mastercard / visa)).

Il faut avoir conscience du fait que le système est intrinsèquement faillible et ne pas faire n'importe quoi sous prétexte que c'est protégé avec des mots de passes ...


Si vous ne voulez pas de javascript, vous pouvez aussi utiliser netscape 1 ou IE 2 et surfer sur des pages full HTML en mode 1992 ...