Connexion
Abonnez-vous

Firefox 85 veut la peau des Super Cookies

Firefox 85 veut la peau des Super Cookies

Le 27 janvier 2021 à 09h41

La nouvelle version du navigateur est disponible, mettant fin au support de Flash, intégrant des améliorations pour les développeurs comme le support du préchargement de ressources, mais pas seulement.

Le gestionnaire de mot de passe permet de supprimer tous ceux stockés en une seule étape. Celui en charge des favoris se rappellera désormais de votre emplacement préféré pour leur stockage, affichera la barre de favoris par défaut sur les nouveaux onglets, etc.

Mais on retiendra surtout l'annonce faite dans un billet de blog dédié, où l'équipe vante une nouvelle fonctionnalité devant améliorer le respect de la vie privée des internautes en s'attaquant aux Super Cookies, pensés pour perdurer même lorsque l'utilisateur demande la suppression de données locales.

La solution trouvée est « simple », l'équipe y travaillant depuis longtemps maintenant : toutes les connexions réseau et tous les caches sont segmentés par domaine. Une solution moins efficace puisque les données ne pourront pas être réutilisées d'un site à l'autre, mais rendues nécessaires du fait des abus constatés dans les divers scripts de pistage.

Selon l'équipe, l'impact reste faible sur le temps de chargement. Il faudra maintenant voir comment l'industrie publicitaire et autres adeptes du pistage des utilisateurs s'adapteront à cette nouveauté. 

Généralisant depuis quelques mois le CNAME cloaking, visant à cacher des domaines tiers sous celui du site visité pour éviter de tels contournements, il y a fort à parier que la tendance va s'accélérer. Quand bien même elle pose des soucis de sécurité.

Le 27 janvier 2021 à 09h41

Commentaires (12)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Il ne faudrait pas à ce moment la directement segmenter par sous domaine ?

votre avatar

Ca ne résoud pas le problème malheureusement.



CF le problème de Boursorama : nextinpact.com Next INpact

votre avatar

Bowbie a dit:


Il ne faudrait pas à ce moment la directement segmenter par sous domaine ?
+1


votre avatar

Et si firefox donnait de nouveau la possibilité de configurer facilement le cache ?

votre avatar

C’est quand même triste qu’à cause du comportement moisi de certains, on soit obligé de dégrader les performances des outils et de casser volontairement des fonctionnalités pourtant utiles et intelligentes… :craint:

votre avatar

” 1 pas en AV. ……2 pas en AR.” !



:mad:

votre avatar

On aimerait bien en savoir plus sur ces “soucis de sécurité”.

votre avatar

En suivant le lien vers le site de la CNIL, on lit :
Cette pratique n’est pas illégale, mais elle peut provoquer d’importantes failles de sécurité, notamment en termes de lecture par des tiers de jetons d’authentification (« tokens ») stockés dans des cookies. Si une telle pratique est utilisée, il est donc conseillé de séparer les sous-domaines gérés par des tiers de ceux déposant et lisant des informations sensibles.

votre avatar

Merci, je n’avais pas vu le lien.

votre avatar

En fait, Firefox ne fait que mettre en place ce qui est déjà depuis longtemps sur Safari et depuis peu sur Chrome :
developers.google.com Google



Vu les abus des publicitaires, je pense aussi que les sous-domaines seront concernés à terme par le cloisonnement du cache.

votre avatar

Nicolas040 a dit:


On aimerait bien en savoir plus sur ces “soucis de sécurité”.


Sans oublier que s’il veulent une connexion sécurisée sur leur serveur ils doivent posséder la clef privée du dit sous domaine, et un admin peut consciencieux qui envoit sa clef privée wildcar “*.domaine.tld” étant si vite arrivé, ma main a coupé que dans quelque temps on trouvera des scandale du style revente/vol de clef privée a cause de ca.

votre avatar

Un truc de sécurité évident est que tout les cookies du domaine sont envoyé à chaque URL demandé. Si il y a un token de sécurité dedans, il est envoyé avec.

Firefox 85 veut la peau des Super Cookies

Fermer