Connexion
Abonnez-vous

Le navigateur Brave déclare la guerre au bounce tracking

Le navigateur Brave déclare la guerre au bounce tracking

Le 11 mars 2022 à 09h00

Dans le canal Nightly de Brave, les utilisateurs peuvent tester une nouvelle protection, qui devrait être disponible dans Brave 1.37 le 29 mars. Elle concerne le bounce tracking, l’une des techniques préférées pour contourner le choix des utilisateurs sur les cookies ou leur blocage.

Quand un navigateur empêche un cookie tiers de se charger, le site le détecte et bascule brièvement sur un autre domaine contenant le cookie. Puis la navigation reprend sur le site d’origine, désormais équipé du cookie qui, autrement, ne se serait pas chargé. Le cookie de l’autre domaine est présent sur la page d’origine grâce à un paramètre URL, n’est pas considéré comme tiers et n’est donc pas bloqué.

La technique n’est pas nouvelle et les navigateurs disposent de certaines mesures pour la détecter. Mais l’opération est complexe, car le navigateur n’a aucun moyen de savoir à l’avance qu’il va être redirigé vers un autre site avant de revenir au premier. Un rebond donnant son nom à la technique.

La technique développée par Brave consiste à vérifier dans un premier temps si le site fait partie d’une liste connue pour utiliser le bounce tracking. Si c’est le cas, et si aucun cookie ni localStorage lié au site n’est détecté, Brave crée un stockage temporaire pour y mettre toutes les données liées à la session de navigation.

Quand on quitte le site, ce stockage disparait, et avec lui les données. Il ne peut donc pas y avoir de réidentification sur la bases des informations précédentes.

Cette protection ne fonctionne que si un site n’a pas été visité. Dans le cas contraire, et pour ne pas rompre la navigation, Brave affiche le site normalement.

Notez que si vous paramétrez le navigateur en mode « Agressif », un message d’avertissement apparaîtra si vous tentez de visiter un site présent sur la liste. Il sera possible de passer outre, auquel cas le mécanisme mentionné se mettra en route.

Le 11 mars 2022 à 09h00

Commentaires (44)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Je ne connaissais pas le bounce tracking… On n’arrête pas le progrès…
Dommage que hormis pour ca confidentialité, Brave soit un navigateur dénué de fonctionnalités pratiques.

votre avatar

(quote:2060209:dvr-x)
Je ne connaissais pas le bounce tracking… On n’arrête pas le progrès… Dommage que hormis pour ca confidentialité, Brave soit un navigateur dénué de fonctionnalités pratiques.


Il a tout les fonctionnalités d’un chromium :ouioui:

votre avatar

Je ferais la même remarque pour un simple Chrome ou Chromium ;)

votre avatar

J’essaie de refuser un maximum de trucs tout en sachant qu’il y en aura toujours qui passeront entre les mailles du filet. C’est pour cela que j’ai configuré mes navigateurs pour effacer tous les cookies à la fermeture.

votre avatar

:copain:



La même, pour mon FF sur mobile et PC.
En plus c’est un bon point pour la mémoire car obligé de taper TOUS ses mots de passes, TOUT le temps.



Le seul truc bien relou avec ça, c’est depuis quelques mois, je me tape systématiquement le pop-up Google si je vais sur youtube. Où j’suis obligé de cocher 4 trucs avant d’arriver sur le site.
J’ai essayé de bidouiller un peu une solution, mais rien trouvé de concret.



Tu utilises NoScript ? Grâce à lui par exemple, je peux aller tranquille sur jv.com ou AlloCiné sans être emmerdé à devoir payer pour y aller.
Entre autre.
Une fois les scripts en liste blanche pour les sites que tu visites régulièrement, t’es bien. Mais chiant au début.

votre avatar

(quote:2060291:phantom-lord)
:copain:



La même, pour mon FF sur mobile et PC. En plus c’est un bon point pour la mémoire car obligé de taper TOUS ses mots de passes, TOUT le temps.



Le seul truc bien relou avec ça, c’est depuis quelques mois, je me tape systématiquement le pop-up Google si je vais sur youtube. Où j’suis obligé de cocher 4 trucs avant d’arriver sur le site. J’ai essayé de bidouiller un peu une solution, mais rien trouvé de concret.


Tout pareil. C’est bien lourd … Après, ce n’est pas très grave.



Question “blocage agressif”, j’en suis au niveau ultra-bourrin. À un point tel qu’une partie des sites de Microsoft déconne complet (car ils abusent des cookies tiers et autres joyeusetés).

votre avatar

Ouais dans certains cas, c’est chiant. Exceptionnellement j’autorise la page entière au besoin.
Car malgré tous les noms que t’as en tête pour tels ou tels sites, Microsoft par exemple est bien casse couille comme tu l’as dit.
Tu autorises un truc, sauf que ça débloque d’autres trucs où possiblement tu dois encore autoriser un script et c’est interminable :mdr:



On va dégoûter tout le monde d’utiliser ce plugin à force d’en parler :transpi:

votre avatar

On n’arrête pas le progrès pour arriver à nous pister…
Est-ce que Firefox intègre(ra) cette fonctionnalité ?

votre avatar

Apparemment, il l’intègre depuis un moment déjà : Firefox 79 includes protections against redirect tracking

votre avatar

C’est intégré depuis Firefox 79. :D

votre avatar

(reply:2060291:phantom-lord)


Je n’ai qu’uBlock Origin, HTTPS Everywhere (et Dark Reader). J’essaie de rester léger niveau plugins. L’idée est que de toute façon tous les cookies disparaissent à la fermeture donc inutile de trop se compliquer la vie. Attention toutefois, je pense que quand tu utilises plusieurs onglets en même temps, ils peuvent croiser les infos. D’où la création de containers dans Firefox pour éviter cela.



J’envisage d’utiliser ProtonVPN et sa fonction Netshield qui bloque les malware, pubs et trackers au niveau du DNS.



Les navigateurs peuvent retenir les mots de passe pour toi. Tu peux créer un compte Firefox pour les avoir sur tous tes devices. Il existe aussi des coffres-forts numériques pour les stocker, ainsi tu dois seulement les copier-coller (pour des mots de passe de 24 caractères bien corsés, ce n’est pas du luxe !). J’utilise KeePassXC. J’ai son fichier kdbx sur mon cloud, ce qui n’est probablement pas une bonne idée d’un point de vue sécuritaire même si pratique.



Le seul truc qui me saoule, c’est l’authentification à deux facteurs que je dois refaire chaque fois que je me connecte à un site qui l’utilise, par exemple Outlook.com que je suis en train de lâcher au profit de ProtonMail. Ca m’a poussé à revenir à un client e-mail (au lieu de webmails). En même temps, ça me permet de regrouper la plupart de mes boites mails. Pour se connecter à Epic Games Store, Steam et autres, j’ai de plus en plus l’habitude de passer par leur launchers mais je suppose qu’eux aussi pourraient être indélicats. Il faudra que je passe leurs paramètres en revue.



Après, si certains sites sont trop cochons, je me demande si ce n’est pas autant ne plus les fréquenter…

votre avatar

(reply:2060854:phantom-lord)


Si tu es dans l’incapacité de tester Pi-hole, tu peux tester NextDNS.
L’avantage est que ça s’installe partout, les requêtes DNS sont chiffrées, un cache DNS…
C’est un Pi-hole tout-en-un mais c’est beaucoup moins didactique et après il faut faire confiance.

votre avatar

Merci, je vais me renseigner, ça me dit vaguement un truc de nom, mais j’dois confondre.
Bordel, j’ai un bloc note long comme le bras à check à force de parler avec vous tous :transpi:




Mithiriath a dit:


Je parlais de l’application de 2FA en elle même et non du service sur lequel elle est utilisée. Lorsqu’on créé un compte par exemple sur Authy sur son téléphone, c’est donc le premier appareil lié. On a la possibilité de bloquer la connexion d’un autre appareil à l’application.


Apparemment je n’ai pas cette possibilité sur Google Authenticator. Il n’y a pas de “connexion” pour lancer l’application.
Je vais me balader un peu plus en profondeur dans ses paramètres.




Oui, bizarre (Bogue ou lié à la façon dont se lance l’application ?). ^^


Alors là. Ça doit faire partie de la logique parfois mystérieuse de l’informatique :fumer:

votre avatar

Avisance a dit:


Je n’ai qu’uBlock Origin, HTTPS Everywhere (et Dark Reader). J’essaie de rester léger niveau plugins. L’idée est que de toute façon tous les cookies disparaissent à la fermeture donc inutile de trop se compliquer la vie. Attention toutefois, je pense que quand tu utilises plusieurs onglets en même temps, ils peuvent croiser les infos. D’où la création de containers dans Firefox pour éviter cela.


Pareil pour les plugins, moins j’en ai, mieux je me porte. J’ai juste NoScript à la place de HTTPS Everywhere. Le HTTPS est un paramètre depuis quelques temps dans FF il fait pareil il me semble. Si c’est ton navigateur, tu peux peut-être te passer de ce plugin ?




J’envisage d’utiliser ProtonVPN et sa fonction Netshield qui bloque les malware, pubs et trackers au niveau du DNS.


J’avais entendu parler de Pee Hole pour ce genre de blocage, en tout cas la pub. Mais je n’ai jamais essayé.




Les navigateurs peuvent retenir les mots de passe pour toi. Tu peux créer un compte Firefox pour les avoir sur tous tes devices. Il existe aussi des coffres-forts numériques pour les stocker, ainsi tu dois seulement les copier-coller (pour des mots de passe de 24 caractères bien corsés, ce n’est pas du luxe !). J’utilise KeePassXC. J’ai son fichier kdbx sur mon cloud, ce qui n’est probablement pas une bonne idée d’un point de vue sécuritaire même si pratique.


Merci pour les infos, je vais me renseigner là dessus.
Pour le moment, je n’ai jamais voulu utiliser ce qu’on appelle coffre fort.
Je suis toujours parti du principe que tu te fais péter le coffre, tout ce qu’il y a dedans aussi. Et étant donné que je n’ai pas énormément de connaissance sur ce sujet. J’ai préféré la jouer à l’ancienne :transpi:




Le seul truc qui me saoule, c’est l’authentification à deux facteurs que je dois refaire chaque fois que je me connecte à un site qui l’utilise, par exemple Outlook.com que je suis en train de lâcher au profit de ProtonMail. Ca m’a poussé à revenir à un client e-mail (au lieu de webmails). En même temps, ça me permet de regrouper la plupart de mes boites mails. Pour se connecter à Epic Games Store, Steam et autres, j’ai de plus en plus l’habitude de passer par leur launchers mais je suppose qu’eux aussi pourraient être indélicats. Il faudra que je passe leurs paramètres en revue.



Après, si certains sites sont trop cochons, je me demande si ce n’est pas autant ne plus les fréquenter…


votre avatar

Avisance a dit:



Le seul truc qui me saoule, c’est l’authentification à deux facteurs que je dois refaire chaque fois que je me connecte à un site qui l’utilise, par exemple Outlook.com que je suis en train de lâcher au profit de ProtonMail. Ca m’a poussé à revenir à un client e-mail (au lieu de webmails). En même temps, ça me permet de regrouper la plupart de mes boites mails. Pour se connecter à Epic Games Store, Steam et autres, j’ai de plus en plus l’habitude de passer par leur launchers mais je suppose qu’eux aussi pourraient être indélicats. Il faudra que je passe leurs paramètres en revue.


2FA et webmail, quelle galère dans notre cas :devil:
Pour le coup, encore une exception parce que faut pas déconner non plus :transpi: j’utilise Thunderbird, et que ce soit Outlook ou Gmail, t’as un mot de passe d’application unique à générer une fois via leur site.



J’ai pas bien compris ton paragraphe sur les launchers par contre.




Après, si certains sites sont trop cochons, je me demande si ce n’est pas autant ne plus les fréquenter…


Carrément. Comme ceux qui jouent avec la présentation RGPD où des fois tu peux faire tout refuser et d’autres jouent au con.



(J’ai oublié dans le post d’avant mais pareil, Dark Reader aussi, trop bien ce truc.)

votre avatar

(quote:2060416:phantom-lord)
J’avais entendu parler de Pee Hole pour ce genre de blocage, en tout cas la pub. Mais je n’ai jamais essayé.


Je pense que tu veux plutôt parler du Pi-hole 😂

votre avatar

Y a-t-il encore un intérêt à ne pas être en “private browsing” par défaut ? Et ne basculer en “normal” seulement que pour les sites qui sont dans une whitelist.

votre avatar

La question peut se poser. C’est pas faux.



Après, une fois tes réglages fait et tes habitudes prisent, ça paraît normal et pas contraignant du tout.



J’ai jamais vraiment utilisé le private browsing mais c’est plus un package de réglage prédéfini pour le navigateur dans ma tête.
Du coup j’ai fais les miens de réglages, et ça me convient.

votre avatar

(reply:2060416:phantom-lord)
J’utilise Vivaldi. Pour Firefox, effectivement pas besoin de HTTPS Everywhere car Privacy & Security –> HTTPS-only Mode.


A un moment, j’avais uBlock Origin + Privacy Badger + NoScript + HTTPS Everywhere. J’ai lu il y a quelque temps qu’en effet NoScript force le passage au HTTPS (et donc plus besoin de HTTPS Everywhere) mais je ne suis pas parvenu à vérifier que c’était bien activé (je n’ai pas cherché longtemps non plus).



Attention que Pi-hole se limite à ton modem. Si tu pars avec ton laptop ou smartphone et accèdes donc au web par un autre moyen (wifi tiers, abonnement du smartphone), tu n’es plus protégé. C’est pour cela que ProtonVPN avec Netshield me paraît intéressant mais je ne sais pas s’il impacte la batterie fortement ou non. Je suppose que non car je pense qu’ils codent proprement et aussi le filtrage est fait par leurs serveurs plutôt qu’en local mais il faudra quand même tester pour être certain.



En tapant toi-même les mots de passe, tu es vulnérable à un éventuel keylogger. Ceci étant, si je venais à perdre mon kdbx, je perdrai tous mes comptes car je ne connais pas les mots de passe. KeePassXC les génère lui-même sur base de critères que je lui donne (longueur, caractères spéciaux, etc). Pour réduire ce risque, je garde une copie du fichier sur une clef.




(reply:2060423:phantom-lord)
Pour le moment, j’utilise le client Outlook (…). A l’occasion, je referai un tour des solutions disponibles.


Concernant les launchers, Epic Games file un ou plusieurs jeux gratuits chaque semaine (GTA V, Control, Total War Troy et généralement des jeux plus modestes). Pour les prendre, soit tu te connectes sur le site d’Epic avec double authentification. Ou bien tu utilises leur client. Lorsqu’on l’installe, on doit s’identifier avec 2FA mais on peut cocher un “trust this device” ou une phrase similaire pour ne pas devoir chaque fois réintroduire les identifiant, mot de passe et 2FA. C’est ce que j’ai fait. Ainsi, j’ajoute chaque semaine le ou les jeux via le client plutôt qu’en me connectant manuellement au site.



Concernant les pavés RGPD, attention que certains commencent en montrant que tout est désactivé mais en fouinant dans les rubriques, on arrive à un moment à des trucs qui sont activés. Ce sont les “intérêts légitimes”. Il faut les décocher soi-même. Dès lors, quand un pavé RGPD propose “Tout refuser”, je me demande si ça désactive bien les “intérêts légitimes” cachés au fin fond des rubriques ou non.



En private browsing, je pense que l’historique ne retient pas les visites qu’on effectue. Or, l’historique est parfois pratique pour retrouver un site ou une page en particulier.



Super découverte cet Invidious. Merci :-)




(reply:2060494:phantom-lord)
Mais apparemment tu peux souscrire à condition de créer un compte : https://invidious.fdn.fr/login?referer=%2Fchannel%2FUCG9G2dyRv04FDSH1FSYuLBg


votre avatar

Y a de ça, je rajouterais aussi quelques sites dans des conteneurs séparés pour ceux qui sont limites mais dont ça fait suer de perdre l’authentification.




SebGF a dit:


Tu peux mais t’es pas obligé. Typiquement, Invidious comme Nitter permettent de suivre des profils en RSS là où les sites originaux le font de moins en moins.



Perso j’utilise justement cette possibilité de Nitter pour suivre les rares profils Twitter qui m’intéressent et ne publient pas vers Mastodon.


J’ajoute qu’il existe une extension (au moins sur Firefox) qui s’appelle “Privacy Redirect”. Elle redirige automatiquement vers les alternatives disponibles quand on clique sur des liens Twitter, youtube etc.
Sinon Newpipe sur Android, c’est top effectivement. Je conseille d’ajouter le dépôt F-Droid propre à Newpipe pour obtenir les mises à jour rapidement.

votre avatar

(reply:2060609:phantom-lord)
Comme l’a dit SebGF, tu n’es pas obligé de créer de compte si tu n’en veux pas. Il y a un champ de recherche en haut de page. Tu tapes Jamy l’épicurieux et le premier résultat pointe vers sa page où sont listés ses vidéos. Tu mets un marque-page à cette page-là ou tu utilises RSS (sur la droite).


Privacy Badger et HTTPS Everywhere sont tous deux développés par l’Electronic Frontier Foundation.



Pour le 2FA, Epic Games m’envoie un e-mail avec un code. Je ne crois pas qu’ils aient le numéro de téléphone quand on utilise les Authy, Google Authenticator et consorts car je pense que ce qui fait le lien c’est l’identifiant avec le bon code au bon moment.



Je ne connaissais pas non plus. Merci. :-)

votre avatar

Kenairod a dit:


Je pense que tu veux plutôt parler du Pi-hole 😂


Ahah bien vu, j’avais même pas essayé d’en faire une blague. Et quand j’en fais personne rigole :mdr:

votre avatar

(reply:2060291:phantom-lord)


Perso j’utilise quasiment plus youtube
Newpipe (android) ou invidious.fdn.fr sont mes amis

votre avatar

Sinon vanced YouTube est pas mal sur Android

votre avatar

monpci a dit:


Perso j’utilise quasiment plus youtube Newpipe (android) ou invidious.fdn.fr sont mes amis


Newpipe je ne connais pas mais j’utilisais un truc comme youtube, c’était sur Fdroid, mais ça fonctionnait très mal, par contre c’était youtube, sans les pubs en app, je pouvais DL, et sans apk chelou de YouTube crack par exemple. Malheureusement c’était au top une fois sur 5.
(Je viens de check newpipe, ça ressemble apparemment à ce que j’avais essayé. Thanks)



Ton site par contre, c’est un youtube like.
Le souci c’est que je suis régulièrement quelques personnes sur youtube, du coup si in fine c’est pas relié, j’suis pas chaud.
Qu’est que j’vais faire sans mon Jamy l’épicurieux par exemple ? :D

votre avatar

(reply:2060494:phantom-lord)


Invidious n’est pas un Youtube-like, c’est un front-end alternatif où tu peux parfaitement t’inscrire et suivre tes créateurs favoris sans avoir besoin d’un compte Google.



Un peu comme l’est Nitter à Twitter.

votre avatar

SebGF a dit:


Invidious n’est pas un Youtube-like, c’est un front-end alternatif où tu peux parfaitement t’inscrire et suivre tes créateurs favoris sans avoir besoin d’un compte Google.



Un peu comme l’est Nitter à Twitter.


Je ne connais pas non plus Nitter.
Mais tu me parles de m’inscrire, je ne veux pas devoir m’inscrire pour regarder un contenu.
Un marque page me convient.
J’ai du mal comprendre peut être.




Avisance a dit:


A un moment, j’avais uBlock Origin + Privacy Badger + NoScript + HTTPS Everywhere. J’ai lu il y a quelque temps qu’en effet NoScript force le passage au HTTPS (et donc plus besoin de HTTPS Everywhere) mais je ne suis pas parvenu à vérifier que c’était bien activé (je n’ai pas cherché longtemps non plus).


Par curiosité je vais regarder ce qu’est privacy badger, ça ne me dit rien.




Attention que Pi-hole se limite à ton modem. Si tu pars avec ton laptop ou smartphone et accèdes donc au web par un autre moyen (wifi tiers, abonnement du smartphone), tu n’es plus protégé. C’est pour cela que ProtonVPN avec Netshield me paraît intéressant mais je ne sais pas s’il impacte la batterie fortement ou non. Je suppose que non car je pense qu’ils codent proprement et aussi le filtrage est fait par leurs serveurs plutôt qu’en local mais il faudra quand même tester pour être certain.


Tu fais bien de le rappeler, ça dépend de l’utilisation du coup. Vu que mon PC reste chez moi, j’ai pas pensé à ton cas :transpi:




En tapant toi-même les mots de passe, tu es vulnérable à un éventuel keylogger. Ceci étant, si je venais à perdre mon kdbx, je perdrai tous mes comptes car je ne connais pas les mots de passe. KeePassXC les génère lui-même sur base de critères que je lui donne (longueur, caractères spéciaux, etc). Pour réduire ce risque, je garde une copie du fichier sur une clef.


Effectivement, j’y ai pensé aussi à ces salopards de keylogger.
Après, si un jour je me fais baiser, je pourrais me dire que j’avais fais au maximum de mes connaissances.
D’une manière ou d’une autre, si on veut ta peau, on l’aura.
Donc bon, suffit de se couvrir comme on peut et qui vivra verra :D




Concernant les launchers, Epic Games file un ou plusieurs jeux gratuits chaque semaine (GTA V, Control, Total War Troy et généralement des jeux plus modestes). Pour les prendre, soit tu te connectes sur le site d’Epic avec double authentification. Ou bien tu utilises leur client. Lorsqu’on l’installe, on doit s’identifier avec 2FA mais on peut cocher un “trust this device” ou une phrase similaire pour ne pas devoir chaque fois réintroduire les identifiant, mot de passe et 2FA. C’est ce que j’ai fait. Ainsi, j’ajoute chaque semaine le ou les jeux via le client plutôt qu’en me connectant manuellement au site.


D’accord, oui, je fais ça aussi, Epic est généreux.
Par contre filer le téléphone, c’est mort.
Dans le final, Google l’a via Authenticator par exemple, même bien avant ça :devil:
Faut partir du principe que tu donnes tes fesses, après à toi de les faire tourner au minimum.




Concernant les pavés RGPD, attention que certains commencent en montrant que tout est désactivé mais en fouinant dans les rubriques, on arrive à un moment à des trucs qui sont activés. Ce sont les “intérêts légitimes”. Il faut les décocher soi-même. Dès lors, quand un pavé RGPD propose “Tout refuser”, je me demande si ça désactive bien les “intérêts légitimes” cachés au fin fond des rubriques ou non.


Je me sens moins parano en échangeant avec toi :chinois:

votre avatar

(quote:2060609:phantom-lord)
Je ne connais pas non plus Nitter. Mais tu me parles de m’inscrire, je ne veux pas devoir m’inscrire pour regarder un contenu. Un marque page me convient. J’ai du mal comprendre peut être.


Tu peux mais t’es pas obligé. Typiquement, Invidious comme Nitter permettent de suivre des profils en RSS là où les sites originaux le font de moins en moins.



Perso j’utilise justement cette possibilité de Nitter pour suivre les rares profils Twitter qui m’intéressent et ne publient pas vers Mastodon.

votre avatar

D’accord, je comprend mieux, je vais me renseigner, thanks.



Non, du tout, c’est pas ce que je voulais dire. Encore une fois, j’aurais dû me relire 8 fois avant d’envoyer.



Je voulais dire que Google avait déjà mon numéro car j’ai un compte Google sur mon téléphone.
Et que si je peux éviter de le filer à trop de monde, je préfère.
D’où “Par contre filer le téléphone, c’est mort.”.



Merci aussi pour les précisions.
Nouveau marque page :yes:



Je me suis ré expliquer au dessus pour authenticator :transpi:



Par contre, je pense que de tout façon, à partir du moment où tu vas sur le net. Tu laisses forcément des traces et si tu utilises tel ou tel service, tu laisses des données. (Ne me demandez pas la différence que je fais entre trace et donnée, ça paraissait clair en l’écrivant, moins en me relisant :devil: , mais vous voyez ce que je veux dire je pense.)
Et d’autres se chargent de corréler tout ça et hop, ça fait des sous.
Faut juste garder ça en tête et essayer d’avoir la meilleure hygiène de navigation possible :D
Ça me rappelle un cash investigation récent qui m’avait un peu troué le cul comme dirait Cartman.
J’ai plus le nom mais je sais que ça parlait carte vitale vers la fin.



C’est celui là dont je parle.

votre avatar

Vous allez me prendre pour une chèvre, mais sur la page principale d’Invidious j’ai pas de barre de recherche. En fouillant oui, mais ça me balance sur leur github.
J’y comprends rien au site :craint:



Un peu plus de clarté en mode ordinateur sur le téléphone mais rien de transcendant.
J’ai documentation, dons etc mais pas recherche.
Quand je go sur Use Invidious là j’ai rechercher en haut à droite, mais ça ne trouve absolument rien. J’ai essayé Jamy, no matching documents.

votre avatar

(quote:2060609:phantom-lord)
D’accord, oui, je fais ça aussi, Epic est généreux. Par contre filer le téléphone, c’est mort. Dans le final, Google l’a via Authenticator par exemple, même bien avant ça :devil: Faut partir du principe que tu donnes tes fesses, après à toi de les faire tourner au minimum.


Veux-tu dire par là qu’activer le 2FA (via une appli comme Authy, Google Authenticator, …) sur un site, comme EGS, signifie qu’Epic a ensuite notre numéro de téléphone ?

votre avatar

Gorom a dit:


J’ajoute qu’il existe une extension (au moins sur Firefox) qui s’appelle “Privacy Redirect”. Elle redirige automatiquement vers les alternatives disponibles quand on clique sur des liens Twitter, youtube etc.


Cela a éveillé ma curiosité et j’ai cherché aussi pour Vivaldi dans le Chrome Web Store. C’est bien celle-ci ?



Car en effet, je suis lassé par les liens piégés vers Twitter notamment.

votre avatar

C’est bien celle-ci.
Attention, l’option “Search Engine Redirects” (activée par défaut il me semble) provoque un dysfonctionnement avec Google Maps. J’avoue que je n’ai pas cherché très loin car généralement je l’utilise en navigation privée.



Ha ha, bien vu !

votre avatar

(reply:2060708:phantom-lord)


Invidious n’est pas un service en ligne centralisé, c’est un outil que chacun peut mettre en oeuvre et l’offrir au public. Le site web invidious.io est le site du projet, rien de plus.



Elle avait été citée plus haut, tu as une instance proposée par l’association FDN. C’est là dessus que tu trouveras ton bonheur :yes:



Sinon, une liste d’instances est disponible dans leur documentation.

votre avatar

Merci beaucoup pour ta patience, tes explications et tes liens.



:inpactitude:



Je vais quand même lire la doc’ histoire de comprendre un peu mieux le fonctionnement, en tout cas, via le lien FDN, ça a l’air parfait ! :smack:

votre avatar

Mithiriath a dit:


Ok, merci, je comprends mieux. ^^ J’ai cru qu’il y avait encore une douille avec les applications de 2FA qui partagent notre numéro de téléphone aux sites dont on utilise le service.


Apparemment et techniquement, non :transpi:
J’ai eu un blocage sur un article où dans une université il me semble, ils avaient réussi à “keyloggé” un PC non connecté à Internet. J’imagine même pas le mal sur un intra via le hack d’un mobile dans le coin x)
Avec un micro et le bruit des touches … Ca m’a traumatisé :mdr:




C’est sûr. On laisse plus ou moins de traces en fonction des contraintes que l’on est prêt à se mettre, la logique suivie derrière la construction de son “identité numérique” (qui rejoint plus ou moins son “identité réelle”) et finalement vis-à-vis de qui on veut le moins laisser de traces. ^^


C’est plutôt pour éviter de me faire hack ou autre que je fais attention à tout ça.
Un coup de sim swaping et ton 2FA tu l’as dans l’os par exemple.
Je suis pas mal un site de numérama c’est cyberguerre, crois moi, t’as de quoi être parano :devil:
Par contre tu apprends pleins de trucs et leurs articles bien que long, sont grave pédagogue. C’est simple à comprendre même si le sujet abordé t’échappes.
Les méchants pirates sont chaud maintenant, beaucoup moins clichés qu’avant, avec les phising bourrés de faute par exemple.




Dans un autre genre, Firefox Multi-Account Containers me sert aussi pas mal pour compartimenter certaines activités et permettre le multi-comptes (comme les webmails).


Ca peut être utile selon les contraintes et besoins, pour ma part, j’ai pas eu l’occasion d’utiliser cela.
Mais, ce n’est pas intégré dans FF direct aujourd’hui ?



J’ai déjà remplacé tous mes marques pages de chaine par l’équivalent invidious. Un putain de merci, c’est vraiment bien.
Que 2 scripts à autoriser si tu utilises NoScript. Le site, et googlevideo.com
Ce gain de temps :chinois:
Seul petit point négatif, le player ne garde pas en mémoire le volume de son de la vidéo d’avant si t’ouvres dans un autre onglet. Mais je m’en fou :D

votre avatar

(quote:2060689:phantom-lord)
Non, du tout, c’est pas ce que je voulais dire. Encore une fois, j’aurais dû me relire 8 fois avant d’envoyer.



Je voulais dire que Google avait déjà mon numéro car j’ai un compte Google sur mon téléphone. Et que si je peux éviter de le filer à trop de monde, je préfère. D’où “Par contre filer le téléphone, c’est mort.”.


Ok, merci, je comprends mieux. ^^
J’ai cru qu’il y avait encore une douille avec les applications de 2FA qui partagent notre numéro de téléphone aux sites dont on utilise le service.




(quote:2060689:phantom-lord)
Par contre, je pense que de tout façon, à partir du moment où tu vas sur le net. Tu laisses forcément des traces et si tu utilises tel ou tel service, tu laisses des données. (Ne me demandez pas la différence que je fais entre trace et donnée, ça paraissait clair en l’écrivant, moins en me relisant :devil: , mais vous voyez ce que je veux dire je pense.)


C’est sûr. On laisse plus ou moins de traces en fonction des contraintes que l’on est prêt à se mettre, la logique suivie derrière la construction de son “identité numérique” (qui rejoint plus ou moins son “identité réelle”) et finalement vis-à-vis de qui on veut le moins laisser de traces. ^^






Dans un autre genre, Firefox Multi-Account Containers me sert aussi pas mal pour compartimenter certaines activités et permettre le multi-comptes (comme les webmails).

votre avatar

(reply:2060727:phantom-lord)


Ravi que tu y trouves ton intérêt. Pour ma part j’ai testé l’extension proposée par Gorom (Privacy Redirect, elle est aussi dispo pour les Chromium).



C’est un plaisir de se faire rediriger sur Nitter plutôt que Twitter par les liens piégés. A titre perso, je reconnais être un poil extrémiste sur ces points précis, mais j’estime que des liens vers les sites vivant de la vente d’humains devraient être signalés et présenter un avertissement.

votre avatar

(quote:2060727:phantom-lord)
C’est plutôt pour éviter de me faire hack ou autre que je fais attention à tout ça. Un coup de sim swaping et ton 2FA tu l’as dans l’os par exemple. Je suis pas mal un site de numérama c’est cyberguerre, crois moi, t’as de quoi être parano :devil: Par contre tu apprends pleins de trucs et leurs articles bien que long, sont grave pédagogue. C’est simple à comprendre même si le sujet abordé t’échappes. Les méchants pirates sont chaud maintenant, beaucoup moins clichés qu’avant, avec les phising bourrés de faute par exemple.


Concernant le SIM swapping et les applis 2AF, ça dépend du paramétrage de l’application. Avec le paramétrage par défaut, c’est peut être possible simplement mais on peut par exemple ajouter un mot de passe pour protéger son compte et même désactiver le multi-appareils. Là ça devient plus difficile.
Effectivement utiliser le SMS comme moyen de transmission du code n’est pas sécurisé.




(quote:2060727:phantom-lord)
Ca peut être utile selon les contraintes et besoins, pour ma part, j’ai pas eu l’occasion d’utiliser cela. Mais, ce n’est pas intégré dans FF direct aujourd’hui ?


Pas sur la branche Firefox “classique” en tout cas. ^^

votre avatar

Gorom a dit:


Y a de ça, je rajouterais aussi quelques sites dans des conteneurs séparés pour ceux qui sont limites mais dont ça fait suer de perdre l’authentification.


Ca rappelle un peu les différentes zones de sécurité dans IE6 :)




  1. Trusted sites
    (x) automatic sign-in
    (x) store cookies
    (x) store 3rd-party cookies



  2. Restricted sites
    (x) automatic sign-in
    (x) store cookies
    ( ) store 3rd-party cookies



  3. Rest of the Web
    ( ) automatic sign-in
    ( ) store cookies
    ( ) store 3rd-party cookies


votre avatar

SebGF a dit:


Ravi que tu y trouves ton intérêt. Pour ma part j’ai testé l’extension proposée par Gorom (Privacy Redirect, elle est aussi dispo pour les Chromium).



C’est un plaisir de se faire rediriger sur Nitter plutôt que Twitter par les liens piégés. A titre perso, je reconnais être un poil extrémiste sur ces points précis, mais j’estime que des liens vers les sites vivant de la vente d’humains devraient être signalés et présenter un avertissement.


T’es pas extrémiste, c’est ta manière de faire. T’facon on l’est tous sur un truc ou un autre :D
J’ai pas de compte sur Twitter, j’y vais en ghost via twitter.com/explore quand j’ai envie pis je check certains threads pouvant être intéressant. Mais c’est très souvent plus énervant qu’autre chose quand je traine là bas :transpi:




Mithiriath a dit:


Concernant le SIM swapping et les applis 2AF, ça dépend du paramétrage de l’application. Avec le paramétrage par défaut, c’est peut être possible simplement mais on peut par exemple ajouter un mot de passe pour protéger son compte et même désactiver le multi-appareils. Là ça devient plus difficile. Effectivement utiliser le SMS comme moyen de transmission du code n’est pas sécurisé.


Désactiver le multi appareil ? Tu veux dire une fois connecté quelque part, si tu changes d’endroit ou d’appareil, tu dois te reconnecter via la 2FA c’est ça ?



Si c’est ça, c’est plutôt par défaut en général. Encore que, des fois la seconde authentification, enfin le code, c’est par mail.
Aussi, de temps à autres après un certains temps, tu dois te reconnecter complètement.
C’est Epic et Steam qui me font ça par moment.



Petit aparté, j’ai capté un truc sur mon W10, avec NVIDIA GeForce Expérience.
De temps à autre, je dois aussi me reconnecter.
SAUF QUE, en quittant l’application, en la relançant, des fois plusieurs essais, et au boot de l’application, tu es connecté.
Alors que juste avant il fallait te reco.
Ça fait une bonne année et quelque que j’ai remarqué ça.
Un peu flippant quand même.




Pas sur la branche Firefox “classique” en tout cas. ^^


Ah oki :chinois:

votre avatar

(quote:2060854:phantom-lord)
Désactiver le multi appareil ? Tu veux dire une fois connecté quelque part, si tu changes d’endroit ou d’appareil, tu dois te reconnecter via la 2FA c’est ça ?



Si c’est ça, c’est plutôt par défaut en général. Encore que, des fois la seconde authentification, enfin le code, c’est par mail. Aussi, de temps à autres après un certains temps, tu dois te reconnecter complètement. C’est Epic et Steam qui me font ça par moment.


Je parlais de l’application de 2FA en elle même et non du service sur lequel elle est utilisée.
Lorsqu’on créé un compte par exemple sur Authy sur son téléphone, c’est donc le premier appareil lié. On a la possibilité de bloquer la connexion d’un autre appareil à l’application.




(quote:2060854:phantom-lord)
Petit aparté, j’ai capté un truc sur mon W10, avec NVIDIA GeForce Expérience. De temps à autre, je dois aussi me reconnecter. SAUF QUE, en quittant l’application, en la relançant, des fois plusieurs essais, et au boot de l’application, tu es connecté. Alors que juste avant il fallait te reco. Ça fait une bonne année et quelque que j’ai remarqué ça. Un peu flippant quand même.


Oui, bizarre (Bogue ou lié à la façon dont se lance l’application ?). ^^

votre avatar

Pour se dégoogliser niveau 2FA, outre Authy, il y a Raivo OTP et éventuellement FreeOTP. Ce dernier est développé par Red Hat. Je pense qu’il y a eu un moment où le développement a ralenti, en tout cas les retours étaient moins bons. Raison pour laquelle je l’ai remplacé par Raivo OTP lors d’un passage en revue des apps que j’utilise.

votre avatar

Je note.



Je sais que certains proposent une fonction vraiment utile.
Pouvoir exporter les paramètres de l’application.



Du coup si changement de tél ou RAZ pour passer à LineageOS ou déverrouiller le bootloader par exemple, tu peux importer le fichier et hop. C’est reparti pour un tour.



Car sinon deux choix.
Désactiver la 2FA sur tous les services pour ensuite le remettre.
Ou second, si vol par exemple, sauvetage via les master code.

Le navigateur Brave déclare la guerre au bounce tracking

Fermer