Connexion
Abonnez-vous

uBlock Origin s’adapte aux scripts de pistage first-party

uBlock Origin s'adapte aux scripts de pistage first-party

Le 20 novembre 2019 à 09h41

L'offre « sans pistage publicitaire » de Libération mène à des développements inattendus. Suite à la découverte de certains scripts hébergés par le média (first-party) plutôt que par les sociétés qui en sont à l'origine (third-party), pour éviter leur blocage, uBlock Origin a adapté son fonctionnement. 

Aeris avait en effet évoqué le problème avec les développeurs de l'extension, par crainte d'un procédé pouvant mener à des problèmes de sécurité. Mais comme l'avait montré Shaft via son tutoriel de blocage DNS, les sociétés proposant ces scripts continuent de se reposer sur des noms de domaine qu'elles contrôlent. 

De quoi fournir une solution aux outils de blocage. uBlock Origin demande ainsi désormais la permission d'accès aux IP et nom d'hôte (DNS) sous Firefox afin de découvrir quels sites se cachent derrière certaines requêtes et pouvoir les bloquer si nécessaire.

La fonctionnalité est encore en test, mais elle est désormais en préparation active, une documentation étant proposée par ici. Pas sûr que les éditeurs et sociétés qui ont fait le choix de masquer ainsi leurs scripts, sans toujours s'assurer d'avoir l'accord explicite de leurs visiteurs soient gagnants dans l'affaire.

Preuve que même si certains pensent encore que forcer la main de la CNIL ou des internautes est la solution pour favoriser un modèle économique toujours basé sur le pistage en ligne, la véritable solution est ailleurs.

Le 20 novembre 2019 à 09h41

Commentaires (30)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Ces addons par site ne peuvent pas fonctionner correctement, l’approche globale de Privacy Badger ou du traqueur de Firefox est bien meilleur :

Plutôt que de gérer une liste noire longue comme le bras et faire ramer à l’analyser chaque page de fond en comble, ces extensions analysent le traffic réseau : si un site tiers récupère un cookie ou un id posé par un autre site il est bloqué.

C’est simple, léger (pas besoin de parser, d’analyser le contenu de la page à la volée, ou de stocker une blacklist qui ne fera que s’alonger avec le temps), auto apprenant (ne soyez pas surpris au début ça ne bloque rien du tout) et assez puissant pour détecter la majorité des stockages (images, script de traqueurs auto-hébergé comme pour Libé…)

L’effet bénéfique est que ça ne bloque pas tout et laisse les pubs non intrusives sur les sites vertueux.



Effet négatif est qu’il y’a des faux positifs, genre ici: le même serveur de contenu est utilisé entre impact-hardware et nextimpact. Dés qu’une image été affiché sur les deux sites, un comportement suspect est détecté et toutes les images se sont retrouvé bloquées. J’ai signalé le bug (s’en ait un) à next impact et ai white-listés ses deux sites en en click. Mais c’est bel et bien un tracking qui a été détecté automatiquement.



Si vous souhaitez essayer ces systèmes il faut leur laisser du grain à moudre et ne pas les combinés avec d’autres bloqueurs, il faut aussi tester quelques jours avant de voir l’effet.

votre avatar







KP2 a écrit :



Franchement, n’importe quel site de piratage arrive facilement à s’extraire des blocages DNS ou IP, je vois pas en quoi ces sociétés de pistages seraient moins créatives techniquement…







La problématique n’est pas la même.

Changer l’ip d’un ou deux serveurs, puis acheter un nouveau nom de domaine et puis _c’est tout_ pour sortir du blocage versus mettre à jour tous les scripts/liens de tes centaines/milliers de clients qui vont retomber en panne dès que les changements seront repérés… pas la même problématique du tout.



votre avatar

Quand je regarde le site de Ghostery, il n’y a aucune mention de ce genre. ça mentionne Cliqz.



Est-ce que tu as une source à ce propos ?

votre avatar

Il semblerait que ce n’était qu’une question de temps avant qu’on tombe sur ce problème à partir du moment où on a décidé d’intégrer une machine de Turing dans le navigateur : JavaScript ? (voire Flash/Java auparavant)

Soit on reste sur la Toile limitée à des documents, soit on ouvre la porte à un Internet applicatif pouvant exécuter du code arbitraire sur notre ordinateur, avec tout ce que ça implique…

(Voir aussi : les problèmes avec le format PDF et les macros Excel.)



P.S.: Le sites pourraient aussi décider d’ajouter des publicités dans les pages html avant de nous les envoyer, mais c’est beaucoup plus cher (pour eux) en calcul d’avoir une publicité ciblée, et rend le pistage plus complexe ?

votre avatar

La publicité est déjà dans les pages mais elle est statique donc facile à bloquer avec une liste.

Faire de la publicité en temps réel supposerait d’identifier le visiteur par son IP (pour avoir un caractère unique), puis de différencier selon d’autres données quelle publicité envoyer dans le cadre applicatif… en gros c’est ce qu’essaye de faire Google avec les pubs sur youtube. Là dessus j’ai pas creusé, je dis peut-être une connerie.



Mais je crois surtout que vu qu’il n’existe pas de balise ou truc équivalent pour dire “scripts pub à ranger ici”, le RGPD est voué à l’échec. Il faut rénover les langages de programmation et intégrer dès le départ qu’une page web ne sera pas codable sans cocher une case pour le programmeur qui efface tout tracking. Le DNT de mozilla c’est pas au point…

votre avatar

Euh, non, ça fait un bail que la publicité n’est plus statique et qu’elle est chargée par des sites tiers, qui, si je ne me trompe font des enchères sur la publicité à montrer suivant l’identité du visiteur - qu’est ce que tu crois qu’ils veulent dire par first-/third-party ? Et pourquoi crois-tu que le pistage des internautes est autant pratiqué ?



Essaie d’utiliser uMatrix, il rend bien plus facile de voir ce qui se charge d’où quant tu visites un site…

(Même pour les sous-domaines du style xxx.nextinpact.com d’ailleurs…)

votre avatar

J’utilise uMatrix…

votre avatar

Cliqz est propriété de Mozilla et d’Hubert Burda Media (wikipédia).

votre avatar

Mozilla semble être minoritaire dans Cliqz.

Après, si on lit l’article sur Cliqz, ça fait pas rêver : une version modifiée de Firefox, envoyé à 1% des personnes qui téléchargent sur le site officiel de Mozilla, qui s’occupe d’aspirer les informations de navigation tout en essayant de les anonymiser “au maximum” avant de les envoyer chez Mozilla.



Enfaite pas besoin de Ghostery, Firefox semble faire du suivi de navigation tout seul.



ça fait rêver…

votre avatar

La version 5.0 (beta pour l’instant) de pihole semble pouvoir gérer les CNAME ?

votre avatar

Ce plugin est vraiment une bénédiction … Amen !

votre avatar

quand les boites de pistage vont laisser tomber les CNAME pour passer a des enregistrements A ou des solutions à base de reverse-proxy, on sera définitivement baisés techniquement à moins de maintenir des blacklists…

Et je suis sur que c’est déjà en préparation.



Il est temps que la CNIL tape du poing sur la table et arrête de jouer la carte de la bienveillance…

votre avatar

J’achèèèèèèète ^^ Je vais virer ghostery (beaucoup trop limité depuis quelques temps) pour installer celui là ! Merci NxI !

votre avatar

sinon, les deux ensembles forment un bon duo!

votre avatar

Avec si peu de pouvoir c’est compliqué.

Il reste les options de tor comme base de contre ingérence (ou base d’attaque évidemment <img data-src=" />).

votre avatar

Exact,&nbsp;



En ce qui me concerne, j’ai remplacé Ghostery par Disconnect, qui est très sympa aussi.



En complément de uBlock Origin, aucun souci.&nbsp;<img data-src=" />

votre avatar

Sur firefox, me semble qu’il utilise Disconnect par defaut.

votre avatar

Perso. uBlock Origin + Ghostery depuis des années.

votre avatar

Liste d’add-on :https://prism-break.org/en/subcategories/windows-web-browser-addons/



Sinon, LibreFox est pas mal violent à ce niveau (conf firefox) :github.com GitHub

votre avatar

Le problème de Ghostery (du moins il y a quelques temps) il renvoyait par défaut des données aux serveurs de Ghostery, donc on ne se faisait plus pister par les autres mais par Ghostery…



Lire les commentaires de cette news :

nextinpact.com Next INpact&nbsp;voir si c’est encore d’actualité.

votre avatar

<img data-src=" />

votre avatar

Ne pas oublier Privacy Badger de l’EFFhttps://www.eff.org/privacybadger

votre avatar

La vie uBlock Origine trouve toujours un chemin <img data-src=" />

votre avatar

Des listes sont déjà maintenues. Ok c’est surement plus simple qu’avec juste des IP mais bon.

votre avatar







Idiogène a écrit :



Avec si peu de pouvoir c’est compliqué.







C’est clair… mais elle en a assez maintenant pour calmer tout le monde.







Idiogène a écrit :



Il reste les options de tor comme base de contre ingérence (ou base d’attaque évidemment <img data-src=" />).







Mouais… je vois pas trop en quoi tor serait un refuge quelconque. Ca l’est actuellement car c’est confidentiel mais si la masse s’y déplace, ça sera le même bordel. Tor n’a pas vraiment de mécanismes intrinsèques pour bloquer ou limiter cette problèmatique… du moins, pas à ma connaissance.







CryoGen a écrit :



Des listes sont déjà maintenues. Ok c’est surement plus simple qu’avec juste des IP mais bon.







Franchement, n’importe quel site de piratage arrive facilement à s’extraire des blocages DNS ou IP, je vois pas en quoi ces sociétés de pistages seraient moins créatives techniquement…


votre avatar







TheMyst a écrit :



Le problème de Ghostery (du moins il y a quelques temps) il renvoyait par défaut des données aux serveurs de Ghostery, donc on ne se faisait plus pister par les autres mais par Ghostery…



Lire les commentaires de cette news :

nextinpact.com Next INpact&nbsp;voir si c’est encore d’actualité.





Sauf erreur de ma part Ghostery appartient maintenant à Mozilla !


votre avatar

Hmm ptite question ça marchera ce patch de uBlock avec le DNS over https?

votre avatar







KP2 a écrit :



Mouais… je vois pas trop en quoi tor serait un refuge quelconque. Ca l’est actuellement car c’est confidentiel mais si la masse s’y déplace, ça sera le même bordel. Tor n’a pas vraiment de mécanismes intrinsèques pour bloquer ou limiter cette problèmatique… du moins, pas à ma connaissance.







Pour accéder au réseau publique et protéger le réseau initial les modifications du navigateur tor sont depuis le départ le point critique.

C’est ce point critique qui donne du grain à moudre aux annonceurs prêts à rentrer dans la guéguerre contre l’anonymat. Alors il existe maintenant des modifs pour firefox…



Vas donc expliquer à la CNIL que le cookie c’est has been. <img data-src=" />


votre avatar

Bonne question.



Je me pose également la question du fonctionnement d’uBlock Origin et/ou uMatrix avec IPv6 : quelqu’un aurait des réponses ?

votre avatar

Réponse : oui, ça fonctionne avec ipv6 aussi. Y a pas de raison.

uBlock Origin s’adapte aux scripts de pistage first-party

Fermer