Firefox renforce sa sécurité, le tracking publicitaire de plus en plus contrarié
Retour de bâton
Le 24 novembre 2017 à 10h43
10 min
Logiciel
Logiciel
Après une refonte assez globale, Firefox renforce ses fonctionnalités dans les domaines de la sécurité et du respect de la vie privée. Une tendance que l'on retrouve dans d'autres navigateurs, qui commencent à montrer au secteur publicitaire les limites du « tout tracking ».
Mozilla a décidé de marquer les esprits avec la mise en ligne de Firefox 57 Quantum. Plus rapide, plus complète, apportant de nombreuses améliorations, cette nouvelle version voulait casser les codes afin de recréer une dynamique positive autour du navigateur, souffrant de plus en plus de la concurrence de Google Chrome.
Navigateurs : la séduction des internautes passe par les fonctionnalités
Avec tout le travail de fond opéré du côté du moteur de rendu, c'est sur le tard que sont arrivées les fonctionnalités intéressantes sur la sécurité et la vie privée. Il a notamment été question du support des clés U2F, de la possibilité de bloquer constamment les dispositifs de tracking ou de l'alerte en cas d'utilisation du Canvas fingerprinting.
Et alors qu'Apple a implémenté un dispositif de blocage intelligent des cookies ou que Google multiplie les initiatives comme le blocage des publicités abusives, du son des onglets, de la lecture automatique, ou des redirections non désirées, Mozilla ne doit pas se laisser distancer. L'éditeur travaille donc à son tour à des améliorations dans le domaine.
Une direction commune à l'ensemble des grands navigateurs du marché (excepté Microsoft Edge) qui va dans le sens d'une pratique publicitaire plus complexe, dès lors qu'elle repose massivement sur le tracking des internautes.
Prévenir des failles de sécurité
La dernière fonctionnalité en date ajoutée à Firefox concerne l'alerte des utilisateurs lorsqu'ils sont sur un site touché par une faille de sécurité. On trouve déjà des dispositifs similaires dans des gestionnaires de mot de passe, mais passer par le navigateur présente un intérêt évident.
Dans la dernière lettre sur les travaux en cours dans la version Nightly, on apprend que les données du site Have I been pwned vont désormais être exploitées. Ainsi, lorsque vous vous rendez sur un site percé d'une faille de sécurité, un message sera affiché et vous aurez la possibilité de tester votre adresse email. Le service vous indiquera alors si elle est concernée par une fuite ou non.
Le code source est disponible sur GitHub (sans licence précise) et peut être utilisé à partir de Firefox 58 sous forme d'une extension avant une intégration plus profonde. On peut lire dans la description que certains points sont en discussion, notamment la transmission de l'email au site, et les possibilités offertes à l'utilisateur de s'y inscrire ou non (ce qui permet d'accéder aux détails d'une fuite détectée).
Pour le moment, aucune date de mise en production n'est évoquée, Firefox 58 étant attendu pour le 23 janvier prochain.
La guerre contre le tracking non désiré est de retour !
Une autre amélioration discutée ces derniers temps est issue du programme qui consiste à récupérer des options de Tor dans le domaine du respect de la vie privée : Tor Uplift. C'est de là que vient la future alerte affichée lorsqu'un site utilise le Canvas Fingerprinting.
L'élément qui nous intéresse aujourd'hui est connu sous le petit nom de First-Party Isolation (FPI). Pour la comprendre, il faut revenir aux bases. Lorsque vous visitez un site, il peut déposer des cookies sur votre machine. Ces petits fichiers texte contiennent des informations et peuvent avoir une finalité technique (garder votre connexion active), statistique (différencier un visiteur d'un visiteur unique) ou publicitaire (établir votre profil de consommateur).
Ces cookies peuvent être déposés par le site que vous visitez, on dit alors qu'ils sont first-party. Ils peuvent aussi l'être par des tiers à travers le site, ce qui est souvent le cas pour les finalités non techniques. On parle alors de cookies third-party. Ces derniers peuvent déjà faire l'objet d'un blocage global ou par site dans les différents navigateurs.
Avec son Intelligent Tracking Prevention (ITP), Apple a introduit une mécanique un peu différente pour éviter d'avoir à activer manuellement un blocage global et sans distinction. Car les cookies tiers peuvent parfois avoir des finalités techniques légitimes.
La société cherche donc à faire la différence entre un dépôt par un site que l'utilisateur connait, visite et avec lequel il a des interactions, et un autre par un site dont il n'a jamais entendu parler. Dans ce second cas, les cookies déposés auront une durée de vie très limitée (24 heures), ce qui permet notamment de limiter le ciblage publicitaire non désiré, effectué le plus souvent sans respect du consentement par les utilisateurs, au profit de mécaniques d'opt-out.
Cela a notamment forcé Google à proposer un nouveau cookie _gac
pour Analytics, considéré comme first-party puisque déposé par le site de l'éditeur directement, avec un lien possible avec le service publicitaire Google Adwords pour le suivi des conversions. Pour rappel, un opt-out global de Google Analytics est possible :
La colère du monde publicitaire, plus facile qu'une remise en question
La pratique semble déjà porter ses fruits, au grand dam de l'industrie de la publicité ciblée, qui anticipe déjà des baisses de revenus, comme le français Criteo. Certains y verront une perte de valeur pour le secteur, d'autre une opportunité de valoriser les espaces publicitaires sans le faire aux dépens des internautes, et de mieux tirer parti de ceux qui auront exprimé leur consentement lorsqu'il s'agit de recevoir de la publicité ciblée.
Des sociétés se bâtissent sur ce modèle. On citera par exemple le moteur de recherche Qwant qui mise sur une absence de tracking au sein de ses pages et de ses services. Ailleurs, des options existent pour désactiver le ciblage : d'Amazon à Google en passant par Facebook et Twitter. Une façon de faire dont les éditeurs pourraient commencer à s'inspirer avant de crier au scandale dès qu'une fonctionnalité vient compenser leurs abus passés.
Dans un article de Numerama, Renaud Menerat, président de la Mobile Marketing Association France explique, que « ce qui nous gêne, mais devrait gêner également les utilisateurs, c’est qu’un acteur comme Apple a droit de vie et de mort sur nos entreprises. Et l’entreprise continue de prendre ce type de décision sans aucune concertation, ni avec les pouvoirs publics, ni avec des organisations comme les nôtres ».
Il semble néanmoins oublier que la publicité a existé avant le ciblage précis de l'ensemble des internautes. Elle existera toujours après, même si la pratique venait à totalement disparaître (ce qui ne sera pas le cas).
Mais les décisions prises par les navigateurs le sont parce que les internautes expriment leur colère face à une industrie publicitaire qui ne respecte pas les règles du jeu. Celles-ci avaient pourtant été édictées par la CNIL il y a quelques années et vont d'ailleurs être renforcées à travers la mise en place du RGPD et d'ePrivacy en mai 2018.
Comme tout secteur qui peine à réguler ses pratiques et ses abus dans la sphère numérique, une correction intervient donc. Certains pourraient d'ailleurs estimer qu'elle arrive bien tard, le tracking généralisé des internautes, avec le consentement des sites et sans réelle réponse d'organismes publics comme la CNIL, datant déjà de quelques années.
Isoler les données déposées en fonction du site visité
De son côté, la solution mise en place par Mozilla se veut un peu plus directe et va sans doute encore plus faire réagir. Elle vise à isoler en effet les données en fonction du domaine présent dans la barre d'URL. Paul Theriault, ingénieur en charge des questions de sécurité chez Mozilla, évoquait le principe dans une présentation effectuée à la Ruxcon de Melbourne en octobre dernier :
This is how isolation works before and after first party isolation. Tracker domains are locked into a container #firefox #ruxcon #privacy pic.twitter.com/egMu2eJq3a
— CryptoAUSTRALIA (@CryptoAustralia) 22 octobre 2017
Ainsi, chaque élément stocké est isolé site par site, sans la possibilité pour un tiers de les récupérer pour les croiser. La First-Party Isolation est déjà en place dans Tor à travers la Cross-Origin Identifier Unlinkability et n'est donc pas nouvelle, bien qu'elle soit revenue sur le devant de la scène ces derniers jours.
Elle est implémentée dans Firefox depuis quelques temps déjà, sans être activée par défaut. Elle peut en effet casser le fonctionnement de certains sites. Pour la mettre en place, il faut se rendre dans la configuration avancée de Firefox en tapant cette adresse :
about:config?filter=privacy.firstparty.isolate
Vous pourrez alors passer le paramètre de false
à true
pour activer la fonctionnalité. Une extension permet de la désactiver pour certains sites seulement, d'un simple clic sur une icône en forme d'aquarium à poisson rouge. Son code source est disponible sous Mozilla Public License 2.0 à travers un dépôt GitHub.
L'isolation par les usages avec les contextes de Firefox
Une autre fonctionnalité, passée inaperçue ces derniers mois, peut avoir son utilité en termes de vie privée bien qu'elle soit souvent présentée comme un outil de gestion multi-profils : les contextes (Containers). Là encore, Paul Theriault en avait parlé lors de la Ruxcon de Melbourne, cet outil étant en préparation depuis l'année dernière.
Il a fait l'objet d'une présentation officielle en septembre, après avoir passé plusieurs mois sous la forme d'un Test Pilot. La fonction permet de gérer plusieurs identités dans une même instance du navigateur en isolant vos données selon différents usages, identifiés par une barre colorée sous les onglets :
Par défaut, quatre sont créés : Personnel, Professionnel, Bancaire et Achats en ligne. Ainsi, vous pouvez avoir un contexte pour séparer la navigation sur vos sites du quotidien ou ceux nécessaires à votre travail, autorisant par exemple une gestion de plusieurs comptes Facebook ou Google.
Cette liste est modifiable, l'utilisateur créant autant de contextes qu'il le souhaite. Il peut également en utiliser un pour isoler sa navigation sur les sites des géants du web. Il est en outre possible d'ouvrir un nouvel onglet ou même un lien (via un clic droit) dans un contexte précis.
Vous pouvez en outre trier vos onglets par contexte ou choisir dans lequel un domaine doit s'ouvrir par défaut.
Bref, l'ensemble est assez bien pensé et permet de limiter les croisements de données selon des critères que vous êtes seul à définir. L'ensemble se gérant au sein d'une même fenêtre, il évite d'avoir à recourir à plusieurs navigateurs ou profils.
Par contre, si vous voulez isoler l'historique de navigation, les favoris ou encore le compte de synchronisation de Firefox, il faudra plutôt utiliser plusieurs profils du navigateur.
Le 24 novembre 2017 à 10h43
Firefox renforce sa sécurité, le tracking publicitaire de plus en plus contrarié
-
Navigateurs : la séduction des internautes passe par les fonctionnalités
-
Prévenir des failles de sécurité
-
La guerre contre le tracking non désiré est de retour !
-
La colère du monde publicitaire, plus facile qu'une remise en question
-
Isoler les données déposées en fonction du site visité
-
L'isolation par les usages avec les contextes de Firefox
Commentaires (53)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 24/11/2017 à 11h07
#1
Le 24/11/2017 à 11h07
#2
Voilà de quoi donner envie de (re)venir à FireFox " />
Le 24/11/2017 à 11h19
#3
Le 24/11/2017 à 11h47
#4
Dans un article de Numerama, Renaud Menerat, président de la Mobile Marketing Association France explique, que « ce
qui nous gêne, mais devrait gêner également les utilisateurs, c’est
qu’un acteur comme Apple a droit de vie et de mort sur nos entreprises.
Et l’entreprise continue de prendre ce type de décision sans aucune
concertation, ni avec les pouvoirs publics, ni avec des organisations
comme les nôtres ».
Foutaises. Quand on va discuter avec eux, ils ne veulent pas se remettre en question, ou alors c’est le chantage à l’emploi. Ils nous font le coup à chaque fois qu’on leur impose (puisqu’il faut passer par là) une restriction, et ce depuis l’arrivée des adblockers il y a plus de 10 ans.
Le 24/11/2017 à 11h59
#5
Je ne comprends pas l’intérêt des contextes. Si j’ouvre un onglet pour le site de ma banque, un autre sur Amazon, un dernier sur Twitter, des infos sont partagées ?Que veut dire “isoler sa navigation”, quelle est la différence avec la navigation privée ? " />
Le 24/11/2017 à 12h20
#6
Même le site de ta banque contient des trackers ;) Après l’idée est plutôt d’isoler des usages en fonction des besoins qui peuvent pas mal varier d’un utilisateur à l’autre.
Comme dit, ça peut aussi bien permettre de foutre à part les sites des GAFAM & co (qui ne pourront pas croiser le profil connecté avec la visite sur d’autres sites) que pour séparer plusieurs comptes sur un service (pratique quand tu fais souvent des achats sur des sites avec le compte boulot/perso), etc. Le tout sans avoir à le gérer dans un navigateur, un profil ou une fenêtre spécifique.
Le 24/11/2017 à 12h23
#7
Le 24/11/2017 à 12h30
#8
Typiquement t’es resté connecté a ton compte gmail, et tu visite le site de ta banque, Gmail connaîtra ton historique et donc ta banque ce qui leur permettra “de te proposer des publicités adaptées”.
Là tu peux faire un contexte que pour gmail par exemple.
Le 24/11/2017 à 12h30
#9
Firefox présente l’option Accepter les cookies tiers :
Ça veut dire quoi “Depuis les sites visités” ?
Et l’option Les conserver jusqu’à concerne tous les cookies ou seulement les tiers ?
C’est pas clair les options de Firefox… sans parler du rangement en vrac dans 4 sous-menus bizarres.
Le 24/11/2017 à 12h31
#10
Le 24/11/2017 à 12h32
#11
Ok je comprends plus avec le fait de vouloir rester connecté. Parce que pour que Google ne voit pas le cookie de ma banque, la navigation privée suffit. Mais effectivement cela me déconnecte à chaque visite (perso cela ne me dérange pas de me réidentifier à chaque fois).
Le 24/11/2017 à 12h35
#12
ça permet d’accepter des cookies tiers depuis les sites où tu as déjà mis le nez, mais pas de ceux que tu n’as jamais visité directement (un peu à la manière de l’ITP, mais en plus basique). C’est un juste milieu pour éviter certains problèmes qui peuvent découler du blocage des cookies tiers.
Le 24/11/2017 à 12h36
#13
Pas besoin de tout fermer, tu peux ouvrir une fenêtre en nav privée, en gardant la non-privée ouverte à côté. C’est ce que je fais avec Gmail, depuis qu’ils ont changé le système de login, c’est la galère pour changer de compte, il faut le “supprimer” à chaque fois (drôle de terminologie en plus), faire plein de clics et d’écrans différents, une plaie. En nav privée, je ferme et ouvre une nouvelle fenêtre et j’ai changé de compte.
Le 24/11/2017 à 12h36
#14
Bah ça dépend, si ta banque utilise Google Analytics… ;)
Le 24/11/2017 à 12h42
#15
Les containers je les utilise surtout pour l’usage multi-profile, celui par défaut pour mon usage normal et un autre pour mon site communautaire. Ça me permet d’avoir mes comptes twitter & youtube connectés en même temps que ceux de ma communauté dans Firefox. C’est vraiment pratique, avant j’utilisais deux navigateurs.
Je n’avais pas penser à l’aspect vie privée des containers, je vais me mettre ça en place.
Le 24/11/2017 à 12h43
#16
Jamais utilisé, mais des cookies sur le disque dur CCleaner m’en nettoie quelques un Je veux bien que firefox efface tout, mais j’en trouve encore bizzard
Le 24/11/2017 à 12h51
#17
Pour info, l’extension First Party Isolation ne fonctionne qu’à partir de Firefox 58, une pull request est en cours pour l’indiquer clairement sur le site d’addons de Firefox.
Le 24/11/2017 à 12h53
#18
Bonjour, est-ce que l’isolation protège d’un fingerprint ?
Le 24/11/2017 à 13h04
#19
La nav privée ne protège pas de ça ? Et les conteneurs, si ?
Il faut que je vérifie ce soir si l’extension gaoutput a été migrée pour Firefox 57, je l’utilisais avant mais je n’ai pas le souvenir de l’avoir vu dans les extensions obsolètes…
Le 24/11/2017 à 13h08
#20
ça peut dépendre de la forme, s’il est stocké dans les cookies par exemple, oui.
Le 24/11/2017 à 13h09
#21
une navigation privée c’est un conteneur qui expire à la fin de la session. Cela peut être utile pour certains usages, mais pas tous. Parfois c’est moins pratique de tout perdre constamment quand tu veux juste isoler.
Le 24/11/2017 à 13h34
#22
Merci pour toutes ces précisions " />
Le 24/11/2017 à 13h36
#23
On est là (aussi) pour ça ;)
Le 24/11/2017 à 13h44
#24
Les conteneurs te permettent de faire du multi-account là où ce n’est pas possible de le faire (simplement).
Par exemple, admettons que tu as 2 comptes sur NextInpact. Si tu veux naviguez avec tes 2 comptes en même temps, tu n’as (avais) pas d’autre choix que d’utiliser 2 navigateurs différents, ou une fenêtre en navigation privée.
Avec les conteneurs, tu peux ouvrir N onglets dans N conteneurs différents et te loguer à N comptes NXi.
C’est un cas fonctionnel. Bien sûr, ça présente aussi des avantages en terme d’isolation.
Le 24/11/2017 à 13h48
#25
Quel serais le type de fingerprinting qui ne serait pas bloqué ?
Sa fais plaisir d’avoir un journaliste d’un média que l’on soutient nous répondre " />
Le 24/11/2017 à 14h06
#26
Pour les sites qui te trackent (ex: gmail, Facebook,…) j’utilise depuis quelques temps Rambox pour m’y connecter plutôt que mon navigateur. Comme ça, c’est clair que mon historique de navigation ne leur est pas accessible.
Le 24/11/2017 à 14h18
#27
Très très utile pour un site comme Twitter, pour être connecté à plusieurs comptes en même temps. Hâte que ça soit intégré en natif !
Le 24/11/2017 à 14h44
#28
Merci pour ces infaux !
Bien fait pour leur poire !!!! " />
Le 24/11/2017 à 14h51
#29
" /> c’est very Dick " />
Le 24/11/2017 à 15h06
#30
Tiens, j’étais passé à côté de l’info concernant les conteneurs.
Ca m’a l’air vraiment bien pensé, je vais tester l’affaire . :)
Merci NextInpact ! " />
Le 24/11/2017 à 15h39
#31
No script m’informe justement que le domaine twitter.com est présent sur cette page " />
non cuicui tu n’es pas autorisé
Le 24/11/2017 à 20h09
#32
J’ai tenté le coup de l’isolation des données déposées en fonction du site visité ( about:config?filter=privacy.firstparty.isolate). Je me suis retrouvé éjecté de ce site. … Forcément puisque les cookies deviennent obsolètes. Obligé de me reconnecter pour chaque site.
Le 25/11/2017 à 04h15
#33
L’approche de Firefox me semble plus intéressante que celle d’Apple. Car dans le second cas, l’ “intelligence” (soupir!) du truc risque d’aboutir à des comportement qui sembleront aléatoire.
“Tien! Ça marche!”, “Tien! Ça marche plus! Mais pourtant avant-hier…”
Mais, bon si je reste sur Firefox, je ne leur pardonne toujours pas d’avoir retiré la possibilité d’accepter les cookie à la demande. C’était une raison technique, je crois. Mais ça ne passe pas. :(
C’était, et de loin, le moyen le plus simple de white lister, ou black lister les cookies. Certainement pas fait pour tout le monde. Mais infiniment plus pratique que toutes les alternatives que j’ai pu essayer.
Et plus récemment, la fonction de screenshot avec son ergonomie de c#!%*$ qui pousse a sauvegarder en ligne un truc qui n’a potentiellement rien a y foutre.
Heureusement il y a aussi qq améliorations comme, enfin! un gestionnaire de permissions centralisé dans les préférences.
Le 25/11/2017 à 06h50
#34
Disons que quand tu vas sur un site qui dépose 80 cookies, ça doit pas être pratique " />
Le 25/11/2017 à 09h50
#35
Bah, pendant que tu acceptes ou refuses les cookies, il peut miner tranquille. " />
Le 25/11/2017 à 17h47
#36
En fait c’est juste la 1ère fois que l’on va sur un site qu’il pose la question.
Une fois que l’on a fait un choix (bloquer, garder pour la session, garder jusqu’à expiration), il ne demande plus.
Exactement comme pour les autres permissions (géolocalisation, accès camera ou micro, notifications, etc…)
Mais les cookies, c’est plus possible. Seulement a priori ou a posteriori " />
J’ai effectivement le souvenir de sites qui balançaient des dizaines de cookies (ou peut-être des dizaines de fois le même ?), et donc autant de popup. Et le pire c’est qu’il fallait les accepter dans l’ordre, et si le window manager s’était loupé, argh!
Mais c’était rare, et ça avait finit par disparaître, Firefox n’affichant le popup que pour la 1ère requête de cookie d’un même site.
Et par défaut j’ai toujours refusé les cookies tiers.
Plus l’addon “cookie Button” qui permettait de changer la règle à posteriori d’un clic. C’était nickel.
Ça ne pouvait donc pas durer " />
Maintenant, c’est très pénible, je n’ai trouvé aucun gestionnaire de cookie proposant la même chose.
Le 26/11/2017 à 09h40
#37
merci de la précision car je suis revenu en ESR en attendant que simplified tab groups propose une alternative à panorama/group tabs qui marche avec la v57
Le 26/11/2017 à 11h28
#38
Comme pour le phishing, la détection de site piraté, se fait par l’envoie temps réel des URL navigué a mozilla ?
Le 26/11/2017 à 12h39
#39
Ça n’est déjà pas comme ça pour le pishing et sites malveillants.
C’est une liste qui est téléchargée, ensuite le logiciel vérifie que ce que tu visite n’est pas dans la liste (source).
Le 27/11/2017 à 02h15
#40
Dans ta source, pour les téléchargements, ils indique que si le site n’est pas dans la liste : “il demande au service de navigation sécurisée de Google si le logiciel est sûr en lui envoyant quelques-unes des métadonnées du téléchargement.”
J’imagine que ces métadonnées sont choisie pour en dire le moins sur l’usage (genre pas l’URL complète, et pas un hash du fichier complet, enfin j’espère), et néanmoins suffisamment pour permettre d’identifier un fichier connu comme étant malveillant…
Mais j’imagine aussi que la réponse de Google est : non! ce n’est pas malveillant, et on sait exactement ce que c’est, et exactement où vous l’avez téléchargé, merci pour l’info.
Le 27/11/2017 à 10h47
#41
A mes début sur Windows XP (en 2007) j’ai instalé Bitdefender. je supprimais certains cookies, quand le nombre est devenu trop grand, j’ai laisser tomber. Avant changement d’antivirus le logo Bitdefender grisait (signe de problème), ils m’ont conseillé d’installer le nouveau moteur, rebelote il a grisé quelque temps à peine. j’ai changé d’antivirus. Mais c’était repartir à zéro
Le 27/11/2017 à 15h26
#42
Merci pour l’info
Le 27/11/2017 à 16h42
#43
ça ne colle pas tout à fait avec ce que tu utilisais mais étant passé en firefox 57, j’utilise maintenant le module cookie autodelete qui permet de faire des listes blanches pour les cookies et de revenir dessus si besoin
https://addons.mozilla.org/en-US/firefox/addon/cookie-autodelete/
Le 28/11/2017 à 02h30
#44
Merci, mais effectivement ce n’est pas ce que je recherche.
La notion de liste blanche (accepter), noire (bloquer), grise? (juste pour la session) de Firefox, me convient bien. Elle est un peu limitée (pas d’expression régulière comme dans cette extension) mais ça va.
je lui reproche surtout d’avoir retiré la possibilité de se créer facilement ses listes au fur et à mesure de la navigation.
Mais j’essaie d’éviter d’avoir une extension avec ses propres liste en parallèle des natives de Firefox.
En l’absence d’extension permettant la même chose que le choix “demander”, j’essaierai d’en trouver une plus proche de l’ancêtre cookie button, permettant juste de paramétrer facilement l’état de la permission pour la page courante, sans être obligé d’aller faire un tour dans les permissions du site, actuellement pas assez accessible à mon goût (4 clic pas évidents, juste pour y aller, et on y a encore rien paramétré :( ).
A noter que si tout le monde avait utilisé mon paramétrage de “demander”, les bandeau d’info sur les cookies super pénible et où tu ne peut qu’accepter les cookies n’auraient jamais eu lieu d’être.
Puisqu’à la 1ère visite d’un site le popup natif du navigateur le remplace avantageusement, car permettant en plus de rejeter les cookies
Maintenant si on refuse les cookie, on se paye le bandeau à chaque fois, et un site qui proposerai de refuser ses cookie, serai obliger d’en positionner un avec le choix de l’utilisateur, c’est à ce taper la tête contre les murs.
C’est le navigateur qui devrait informer de la présence de cookies et permettre de les accepter ou les refuser, pas le site " />
Le 28/11/2017 à 07h59
#45
Le 28/11/2017 à 08h00
#46
Salut, les commentaires de l’autre article sur Firefox sont maintenant fermés et il n’y a pas de messages privés sur NextImpact alors je te réponds ici à propos dehttps://www.nextinpact.com/news/105581-firefox-57-quantum-disponible-performance…
J’ai ouverthttps://bugzilla.mozilla.org/1420161 et on a corrigé notre parseur pour améliorer les perfs sur ton testcase, là les résultats vont être proches de ceux de Chrome dans la nightly de cet aprèm.
Merci !
Le 30/11/2017 à 12h04
#47
J’utilisais ces cookies avec black/white-listing de la même façon que toi. À leur disparition j’ai été assez ennuyé. J’ai utilisé NoScript tout un temps, mais que je trouvais pénible à gérer (car pas que les cookies, etc.), et depuis le “scandale” ainsi qu’avec le passage à Fx57, je lui ai préféré uMatrix (open source). Avec uMatrix, tu as l’interface graphique pratique (même si austère au début) : tu cliques sur l’icone de l’app, tu as la matrice de ce que tu acceptes ou pas. En haut à gauche tu sélectionnes le domaine (, www.nextinpact.com, nextinpact.com pour ici, par exemple), et tu peux indiquer par colonnes (cookies, css, scripts…) et par ligne ([sous-]domaines auxquels le site se connecte : nextinpact.com, twitter.com…) ce que tu autorises (p.ex. j’accepte que si je suis sur www.facebook.com, les cookies de www.facebook.com soient autorisés, de même que facebook.net, fcb.cnd.com[?] etc.), alors que si je suis sur n’importe quel autre site, ils sont interdits. Si tu te mets sur “tous les domaines” (), tu peux choisir le comportement par défaut des cookies, scripts, etc.
L’autre avantage, si tu es sur un site, tu peux faire des tests (en cliquant en haut d’une cellule pour autoriser et en bas pour bloquer, ou l’inverse - avec si la cellule est en haut d’une colonne, autoriser sur tous les domaines, ou si tout à gauche de la ligne, autoriser tous les éléments pour le domaine) et recharger la page (e.g., ce qui est nécessaire si sur Facebook pour que le site fonctionne), et quand tu as autorisé/bloqué ce qui te convenait, enregistrer le tout (en cliquant sur le cadenas). Assez pratique, je ne sais pas si ça peut t’aider, et au final je trouve ça moins contraignant que les pop-up qu’il y avait avant.
Sinon, pour en revenir aux containers, je me pose la question de la compatibilité avec uMatrix, justement. Jusqu’ici, pour les utilisations spéciales (e.g., Netflix), j’utilisais des profils d’utilisateurs différents (e.g. “C:\Program Files\Mozilla Firefox\firefox.exe” -P “netflix” qui démarre le profil nommé netflix sur lequel j’autorise cookies, drm…), avec bien entendu le shift+click sur Firefox pour démarrer le profil par défaut sans échec (dans mon cas, sans les extensions qui parfois bloquent l’utilisation d’un site), mais si je peux avoir un mix entre ça avec l’utilisation des Containers, et du coup retirer uMatrix/la création de différents profils, je suis preneur. Si quelqu’un a testé, je veux bien des retours (sinon je tenterai moi-même un de ces 4).
Le 30/11/2017 à 12h05
#48
Quid d’uMatrix (voir mon commentaire 47) ?
Le 30/11/2017 à 12h47
#49
Ça à l’air intéressant, mais compliqué " />.
Je vais me pencher un peu dessus pour voir comment ça fonctionne.
Le 30/11/2017 à 13h03
#50
C’est rebutant, je le concède volontiers, mais une fois que t’as compris que tu peux changer le domaine en haut à gauche pour la première configuration (après en général y a plu besoin), le fonctionnement en ligne/colonne, et qu’il y a 2 “clicks” par cellulle (cliquer sur la partie rouge pour activer/désactiver le blockage et sur la partie verte pour activer/désactiver l’autorisation*), ça reste plutôt intuitif (et assez efficace à comparer à NoScript où je devais tout taper en ligne de code sans toujours comprendre quels scripts/cookies/… étaient appelés sur ledit site).
[ C’est nécessaire pour contrôler le tout. Par exemple, par défaut, je bloque tout hors image/CSS. Donc première config avec l’étoile (), je clique sur le bouton rouge de chaque colonne. Ensuite, par exemple pour NxI j’autorise tout. Bon ben je vais sur NxI, et pour le domaine (sélectionné en haut à gauche), je clique sur le vert de la ligne NxI, tout NxI est autorisé si je suis sur NxI, mais le reste est bloqué. Du coup ça explique pourquoi tu peux aussi activer l’autorisation. Mais en effet dit comme ça ça sonne compliqué " /> ]
Le 30/11/2017 à 13h23
#51
Ouais, je commence à comprendre, c’est très détaillé dans ce qu’il est possible de faire (donc très compliqué).
Par contre, c’est quoi le petit triangle rouge en haut à gauche de certaines cases ?
Pour NoScript, le fonctionnement est le même, blocage d’un domaine ou sous-domaine (par contre, ça reste uniquement dans le contexte général et que pour les scripts). Je ne comprends pas pourquoi tu dois tout taper en ligne de code… " />
Le 30/11/2017 à 13h41
#52
C’est la valeur par défaut. Si tu tentes des changements mais que tu ne les sauvegardes pas en cliquant sur le cadenas (ou si tu cliques sur la gomme), ils reprendront la “valeur” du triangle
Le 30/11/2017 à 13h51
#53
Trop tard pour éditer.
Je disais donc : si tu veux te lancer dans l’essai, il y a un excellent tuto (en Anglais) ici :https://www.electricmonk.nl/docs/umatrix_tutorial/umatrix_tutorial.html).
En ce qui concerne NoScript, de mémoire, si tu voulais entrer dans la gestion fine de ce que tu bloquais, tu devais passer par ABE. Un exemple : je bloque tout Google, mais des fois j’ai besoin d’utiliser Maps. Du coup, je devais, dans NoScript, “toujours accepter” google.com, mais, dans le gestionnaire ABE, taper quelque chose du genre :
Site .google.com
Accept from maps.google.com
Deny All
Avec ce dernier paramètre qui bloquait *.google.com partout sauf sous l’exception. Et ça devenait vite difficile à gérer.
Edit : donc pas du code en tant que tel mais bon on est loin d’un truc user-friendly…