Dans le canal Nightly de Brave, les utilisateurs peuvent tester une nouvelle protection, qui devrait être disponible dans Brave 1.37 le 29 mars. Elle concerne le bounce tracking, l’une des techniques préférées pour contourner le choix des utilisateurs sur les cookies ou leur blocage.
Quand un navigateur empêche un cookie tiers de se charger, le site le détecte et bascule brièvement sur un autre domaine contenant le cookie. Puis la navigation reprend sur le site d’origine, désormais équipé du cookie qui, autrement, ne se serait pas chargé. Le cookie de l’autre domaine est présent sur la page d’origine grâce à un paramètre URL, n’est pas considéré comme tiers et n’est donc pas bloqué.
La technique n’est pas nouvelle et les navigateurs disposent de certaines mesures pour la détecter. Mais l’opération est complexe, car le navigateur n’a aucun moyen de savoir à l’avance qu’il va être redirigé vers un autre site avant de revenir au premier. Un rebond donnant son nom à la technique.
La technique développée par Brave consiste à vérifier dans un premier temps si le site fait partie d’une liste connue pour utiliser le bounce tracking. Si c’est le cas, et si aucun cookie ni localStorage lié au site n’est détecté, Brave crée un stockage temporaire pour y mettre toutes les données liées à la session de navigation.
Quand on quitte le site, ce stockage disparait, et avec lui les données. Il ne peut donc pas y avoir de réidentification sur la bases des informations précédentes.
Cette protection ne fonctionne que si un site n’a pas été visité. Dans le cas contraire, et pour ne pas rompre la navigation, Brave affiche le site normalement.
Notez que si vous paramétrez le navigateur en mode « Agressif », un message d’avertissement apparaîtra si vous tentez de visiter un site présent sur la liste. Il sera possible de passer outre, auquel cas le mécanisme mentionné se mettra en route.
Commentaires (44)
#1
Je ne connaissais pas le bounce tracking… On n’arrête pas le progrès…
Dommage que hormis pour ca confidentialité, Brave soit un navigateur dénué de fonctionnalités pratiques.
#2
Il a tout les fonctionnalités d’un chromium
#2.1
Je ferais la même remarque pour un simple Chrome ou Chromium ;)
#3
J’essaie de refuser un maximum de trucs tout en sachant qu’il y en aura toujours qui passeront entre les mailles du filet. C’est pour cela que j’ai configuré mes navigateurs pour effacer tous les cookies à la fermeture.
#3.1
La même, pour mon FF sur mobile et PC.
En plus c’est un bon point pour la mémoire car obligé de taper TOUS ses mots de passes, TOUT le temps.
Le seul truc bien relou avec ça, c’est depuis quelques mois, je me tape systématiquement le pop-up Google si je vais sur youtube. Où j’suis obligé de cocher 4 trucs avant d’arriver sur le site.
J’ai essayé de bidouiller un peu une solution, mais rien trouvé de concret.
Tu utilises NoScript ? Grâce à lui par exemple, je peux aller tranquille sur jv.com ou AlloCiné sans être emmerdé à devoir payer pour y aller.
Entre autre.
Une fois les scripts en liste blanche pour les sites que tu visites régulièrement, t’es bien. Mais chiant au début.
#4
Tout pareil. C’est bien lourd … Après, ce n’est pas très grave.
Question “blocage agressif”, j’en suis au niveau ultra-bourrin. À un point tel qu’une partie des sites de Microsoft déconne complet (car ils abusent des cookies tiers et autres joyeusetés).
#4.1
Ouais dans certains cas, c’est chiant. Exceptionnellement j’autorise la page entière au besoin.
Car malgré tous les noms que t’as en tête pour tels ou tels sites, Microsoft par exemple est bien casse couille comme tu l’as dit.
Tu autorises un truc, sauf que ça débloque d’autres trucs où possiblement tu dois encore autoriser un script et c’est interminable
On va dégoûter tout le monde d’utiliser ce plugin à force d’en parler
#5
On n’arrête pas le progrès pour arriver à nous pister…
Est-ce que Firefox intègre(ra) cette fonctionnalité ?
#5.1
Apparemment, il l’intègre depuis un moment déjà : Firefox 79 includes protections against redirect tracking
#5.2
C’est intégré depuis Firefox 79.
#6
Je n’ai qu’uBlock Origin, HTTPS Everywhere (et Dark Reader). J’essaie de rester léger niveau plugins. L’idée est que de toute façon tous les cookies disparaissent à la fermeture donc inutile de trop se compliquer la vie. Attention toutefois, je pense que quand tu utilises plusieurs onglets en même temps, ils peuvent croiser les infos. D’où la création de containers dans Firefox pour éviter cela.
J’envisage d’utiliser ProtonVPN et sa fonction Netshield qui bloque les malware, pubs et trackers au niveau du DNS.
Les navigateurs peuvent retenir les mots de passe pour toi. Tu peux créer un compte Firefox pour les avoir sur tous tes devices. Il existe aussi des coffres-forts numériques pour les stocker, ainsi tu dois seulement les copier-coller (pour des mots de passe de 24 caractères bien corsés, ce n’est pas du luxe !). J’utilise KeePassXC. J’ai son fichier kdbx sur mon cloud, ce qui n’est probablement pas une bonne idée d’un point de vue sécuritaire même si pratique.
Le seul truc qui me saoule, c’est l’authentification à deux facteurs que je dois refaire chaque fois que je me connecte à un site qui l’utilise, par exemple Outlook.com que je suis en train de lâcher au profit de ProtonMail. Ca m’a poussé à revenir à un client e-mail (au lieu de webmails). En même temps, ça me permet de regrouper la plupart de mes boites mails. Pour se connecter à Epic Games Store, Steam et autres, j’ai de plus en plus l’habitude de passer par leur launchers mais je suppose qu’eux aussi pourraient être indélicats. Il faudra que je passe leurs paramètres en revue.
Après, si certains sites sont trop cochons, je me demande si ce n’est pas autant ne plus les fréquenter…
#6.1
Si tu es dans l’incapacité de tester Pi-hole, tu peux tester NextDNS.
L’avantage est que ça s’installe partout, les requêtes DNS sont chiffrées, un cache DNS…
C’est un Pi-hole tout-en-un mais c’est beaucoup moins didactique et après il faut faire confiance.
#6.2
Merci, je vais me renseigner, ça me dit vaguement un truc de nom, mais j’dois confondre.
Bordel, j’ai un bloc note long comme le bras à check à force de parler avec vous tous
Apparemment je n’ai pas cette possibilité sur Google Authenticator. Il n’y a pas de “connexion” pour lancer l’application.
Je vais me balader un peu plus en profondeur dans ses paramètres.
Alors là. Ça doit faire partie de la logique parfois mystérieuse de l’informatique
#7
Pareil pour les plugins, moins j’en ai, mieux je me porte. J’ai juste NoScript à la place de HTTPS Everywhere. Le HTTPS est un paramètre depuis quelques temps dans FF il fait pareil il me semble. Si c’est ton navigateur, tu peux peut-être te passer de ce plugin ?
J’avais entendu parler de Pee Hole pour ce genre de blocage, en tout cas la pub. Mais je n’ai jamais essayé.
Merci pour les infos, je vais me renseigner là dessus.
Pour le moment, je n’ai jamais voulu utiliser ce qu’on appelle coffre fort.
Je suis toujours parti du principe que tu te fais péter le coffre, tout ce qu’il y a dedans aussi. Et étant donné que je n’ai pas énormément de connaissance sur ce sujet. J’ai préféré la jouer à l’ancienne
#8
2FA et webmail, quelle galère dans notre cas
j’utilise Thunderbird, et que ce soit Outlook ou Gmail, t’as un mot de passe d’application unique à générer une fois via leur site.
Pour le coup, encore une exception parce que faut pas déconner non plus
J’ai pas bien compris ton paragraphe sur les launchers par contre.
Carrément. Comme ceux qui jouent avec la présentation RGPD où des fois tu peux faire tout refuser et d’autres jouent au con.
(J’ai oublié dans le post d’avant mais pareil, Dark Reader aussi, trop bien ce truc.)
#9
Je pense que tu veux plutôt parler du Pi-hole 😂
#10
Y a-t-il encore un intérêt à ne pas être en “private browsing” par défaut ? Et ne basculer en “normal” seulement que pour les sites qui sont dans une whitelist.
#10.1
La question peut se poser. C’est pas faux.
Après, une fois tes réglages fait et tes habitudes prisent, ça paraît normal et pas contraignant du tout.
J’ai jamais vraiment utilisé le private browsing mais c’est plus un package de réglage prédéfini pour le navigateur dans ma tête.
Du coup j’ai fais les miens de réglages, et ça me convient.
#10.2
A un moment, j’avais uBlock Origin + Privacy Badger + NoScript + HTTPS Everywhere. J’ai lu il y a quelque temps qu’en effet NoScript force le passage au HTTPS (et donc plus besoin de HTTPS Everywhere) mais je ne suis pas parvenu à vérifier que c’était bien activé (je n’ai pas cherché longtemps non plus).
Attention que Pi-hole se limite à ton modem. Si tu pars avec ton laptop ou smartphone et accèdes donc au web par un autre moyen (wifi tiers, abonnement du smartphone), tu n’es plus protégé. C’est pour cela que ProtonVPN avec Netshield me paraît intéressant mais je ne sais pas s’il impacte la batterie fortement ou non. Je suppose que non car je pense qu’ils codent proprement et aussi le filtrage est fait par leurs serveurs plutôt qu’en local mais il faudra quand même tester pour être certain.
En tapant toi-même les mots de passe, tu es vulnérable à un éventuel keylogger. Ceci étant, si je venais à perdre mon kdbx, je perdrai tous mes comptes car je ne connais pas les mots de passe. KeePassXC les génère lui-même sur base de critères que je lui donne (longueur, caractères spéciaux, etc). Pour réduire ce risque, je garde une copie du fichier sur une clef.
Concernant les launchers, Epic Games file un ou plusieurs jeux gratuits chaque semaine (GTA V, Control, Total War Troy et généralement des jeux plus modestes). Pour les prendre, soit tu te connectes sur le site d’Epic avec double authentification. Ou bien tu utilises leur client. Lorsqu’on l’installe, on doit s’identifier avec 2FA mais on peut cocher un “trust this device” ou une phrase similaire pour ne pas devoir chaque fois réintroduire les identifiant, mot de passe et 2FA. C’est ce que j’ai fait. Ainsi, j’ajoute chaque semaine le ou les jeux via le client plutôt qu’en me connectant manuellement au site.
Concernant les pavés RGPD, attention que certains commencent en montrant que tout est désactivé mais en fouinant dans les rubriques, on arrive à un moment à des trucs qui sont activés. Ce sont les “intérêts légitimes”. Il faut les décocher soi-même. Dès lors, quand un pavé RGPD propose “Tout refuser”, je me demande si ça désactive bien les “intérêts légitimes” cachés au fin fond des rubriques ou non.
En private browsing, je pense que l’historique ne retient pas les visites qu’on effectue. Or, l’historique est parfois pratique pour retrouver un site ou une page en particulier.
Super découverte cet Invidious. Merci :-)
#10.3
Y a de ça, je rajouterais aussi quelques sites dans des conteneurs séparés pour ceux qui sont limites mais dont ça fait suer de perdre l’authentification.
J’ajoute qu’il existe une extension (au moins sur Firefox) qui s’appelle “Privacy Redirect”. Elle redirige automatiquement vers les alternatives disponibles quand on clique sur des liens Twitter, youtube etc.
Sinon Newpipe sur Android, c’est top effectivement. Je conseille d’ajouter le dépôt F-Droid propre à Newpipe pour obtenir les mises à jour rapidement.
#10.4
Privacy Badger et HTTPS Everywhere sont tous deux développés par l’Electronic Frontier Foundation.
Pour le 2FA, Epic Games m’envoie un e-mail avec un code. Je ne crois pas qu’ils aient le numéro de téléphone quand on utilise les Authy, Google Authenticator et consorts car je pense que ce qui fait le lien c’est l’identifiant avec le bon code au bon moment.
Je ne connaissais pas non plus. Merci. :-)
#11
Ahah bien vu, j’avais même pas essayé d’en faire une blague. Et quand j’en fais personne rigole
#12
Perso j’utilise quasiment plus youtube
Newpipe (android) ou invidious.fdn.fr sont mes amis
#12.1
Sinon vanced YouTube est pas mal sur Android
#13
Newpipe je ne connais pas mais j’utilisais un truc comme youtube, c’était sur Fdroid, mais ça fonctionnait très mal, par contre c’était youtube, sans les pubs en app, je pouvais DL, et sans apk chelou de YouTube crack par exemple. Malheureusement c’était au top une fois sur 5.
(Je viens de check newpipe, ça ressemble apparemment à ce que j’avais essayé. Thanks)
Ton site par contre, c’est un youtube like.
Le souci c’est que je suis régulièrement quelques personnes sur youtube, du coup si in fine c’est pas relié, j’suis pas chaud.
Qu’est que j’vais faire sans mon Jamy l’épicurieux par exemple ?
#14
Invidious n’est pas un Youtube-like, c’est un front-end alternatif où tu peux parfaitement t’inscrire et suivre tes créateurs favoris sans avoir besoin d’un compte Google.
Un peu comme l’est Nitter à Twitter.
#15
Je ne connais pas non plus Nitter.
Mais tu me parles de m’inscrire, je ne veux pas devoir m’inscrire pour regarder un contenu.
Un marque page me convient.
J’ai du mal comprendre peut être.
Par curiosité je vais regarder ce qu’est privacy badger, ça ne me dit rien.
Tu fais bien de le rappeler, ça dépend de l’utilisation du coup. Vu que mon PC reste chez moi, j’ai pas pensé à ton cas
Effectivement, j’y ai pensé aussi à ces salopards de keylogger.
Après, si un jour je me fais baiser, je pourrais me dire que j’avais fais au maximum de mes connaissances.
D’une manière ou d’une autre, si on veut ta peau, on l’aura.
Donc bon, suffit de se couvrir comme on peut et qui vivra verra
D’accord, oui, je fais ça aussi, Epic est généreux.
Par contre filer le téléphone, c’est mort.
Dans le final, Google l’a via Authenticator par exemple, même bien avant ça
Faut partir du principe que tu donnes tes fesses, après à toi de les faire tourner au minimum.
Je me sens moins parano en échangeant avec toi
#16
Tu peux mais t’es pas obligé. Typiquement, Invidious comme Nitter permettent de suivre des profils en RSS là où les sites originaux le font de moins en moins.
Perso j’utilise justement cette possibilité de Nitter pour suivre les rares profils Twitter qui m’intéressent et ne publient pas vers Mastodon.
#16.1
D’accord, je comprend mieux, je vais me renseigner, thanks.
Non, du tout, c’est pas ce que je voulais dire. Encore une fois, j’aurais dû me relire 8 fois avant d’envoyer.
Je voulais dire que Google avait déjà mon numéro car j’ai un compte Google sur mon téléphone.
Et que si je peux éviter de le filer à trop de monde, je préfère.
D’où “Par contre filer le téléphone, c’est mort.”.
Merci aussi pour les précisions.
Nouveau marque page
Je me suis ré expliquer au dessus pour authenticator
Par contre, je pense que de tout façon, à partir du moment où tu vas sur le net. Tu laisses forcément des traces et si tu utilises tel ou tel service, tu laisses des données. (Ne me demandez pas la différence que je fais entre trace et donnée, ça paraissait clair en l’écrivant, moins en me relisant
, mais vous voyez ce que je veux dire je pense.)
Et d’autres se chargent de corréler tout ça et hop, ça fait des sous.
Faut juste garder ça en tête et essayer d’avoir la meilleure hygiène de navigation possible
Ça me rappelle un cash investigation récent qui m’avait un peu troué le cul comme dirait Cartman.
J’ai plus le nom mais je sais que ça parlait carte vitale vers la fin.
C’est celui là dont je parle.
#16.2
Vous allez me prendre pour une chèvre, mais sur la page principale d’Invidious j’ai pas de barre de recherche. En fouillant oui, mais ça me balance sur leur github.
J’y comprends rien au site
Un peu plus de clarté en mode ordinateur sur le téléphone mais rien de transcendant.
J’ai documentation, dons etc mais pas recherche.
Quand je go sur Use Invidious là j’ai rechercher en haut à droite, mais ça ne trouve absolument rien. J’ai essayé Jamy, no matching documents.
#17
Veux-tu dire par là qu’activer le 2FA (via une appli comme Authy, Google Authenticator, …) sur un site, comme EGS, signifie qu’Epic a ensuite notre numéro de téléphone ?
#18
Cela a éveillé ma curiosité et j’ai cherché aussi pour Vivaldi dans le Chrome Web Store. C’est bien celle-ci ?
Car en effet, je suis lassé par les liens piégés vers Twitter notamment.
#18.1
C’est bien celle-ci.
Attention, l’option “Search Engine Redirects” (activée par défaut il me semble) provoque un dysfonctionnement avec Google Maps. J’avoue que je n’ai pas cherché très loin car généralement je l’utilise en navigation privée.
Ha ha, bien vu !
#19
Invidious n’est pas un service en ligne centralisé, c’est un outil que chacun peut mettre en oeuvre et l’offrir au public. Le site web
invidious.ioest le site du projet, rien de plus.Elle avait été citée plus haut, tu as une instance proposée par l’association FDN. C’est là dessus que tu trouveras ton bonheur
Sinon, une liste d’instances est disponible dans leur documentation.
#19.1
Je vais quand même lire la doc’ histoire de comprendre un peu mieux le fonctionnement, en tout cas, via le lien FDN, ça a l’air parfait !
#19.2
Apparemment et techniquement, non
J’ai eu un blocage sur un article où dans une université il me semble, ils avaient réussi à “keyloggé” un PC non connecté à Internet. J’imagine même pas le mal sur un intra via le hack d’un mobile dans le coin x)
Avec un micro et le bruit des touches … Ca m’a traumatisé
C’est plutôt pour éviter de me faire hack ou autre que je fais attention à tout ça.
Un coup de sim swaping et ton 2FA tu l’as dans l’os par exemple.
Je suis pas mal un site de numérama c’est cyberguerre, crois moi, t’as de quoi être parano
Par contre tu apprends pleins de trucs et leurs articles bien que long, sont grave pédagogue. C’est simple à comprendre même si le sujet abordé t’échappes.
Les méchants pirates sont chaud maintenant, beaucoup moins clichés qu’avant, avec les phising bourrés de faute par exemple.
Ca peut être utile selon les contraintes et besoins, pour ma part, j’ai pas eu l’occasion d’utiliser cela.
Mais, ce n’est pas intégré dans FF direct aujourd’hui ?
J’ai déjà remplacé tous mes marques pages de chaine par l’équivalent invidious. Un putain de merci, c’est vraiment bien.
Que 2 scripts à autoriser si tu utilises NoScript. Le site, et googlevideo.com
Ce gain de temps
Seul petit point négatif, le player ne garde pas en mémoire le volume de son de la vidéo d’avant si t’ouvres dans un autre onglet. Mais je m’en fou
#20
Ok, merci, je comprends mieux. ^^
J’ai cru qu’il y avait encore une douille avec les applications de 2FA qui partagent notre numéro de téléphone aux sites dont on utilise le service.
C’est sûr. On laisse plus ou moins de traces en fonction des contraintes que l’on est prêt à se mettre, la logique suivie derrière la construction de son “identité numérique” (qui rejoint plus ou moins son “identité réelle”) et finalement vis-à-vis de qui on veut le moins laisser de traces. ^^
Dans un autre genre, Firefox Multi-Account Containers me sert aussi pas mal pour compartimenter certaines activités et permettre le multi-comptes (comme les webmails).
#21
Ravi que tu y trouves ton intérêt. Pour ma part j’ai testé l’extension proposée par Gorom (Privacy Redirect, elle est aussi dispo pour les Chromium).
C’est un plaisir de se faire rediriger sur Nitter plutôt que Twitter par les liens piégés. A titre perso, je reconnais être un poil extrémiste sur ces points précis, mais j’estime que des liens vers les sites vivant de la vente d’humains devraient être signalés et présenter un avertissement.
#22
Concernant le SIM swapping et les applis 2AF, ça dépend du paramétrage de l’application. Avec le paramétrage par défaut, c’est peut être possible simplement mais on peut par exemple ajouter un mot de passe pour protéger son compte et même désactiver le multi-appareils. Là ça devient plus difficile.
Effectivement utiliser le SMS comme moyen de transmission du code n’est pas sécurisé.
Pas sur la branche Firefox “classique” en tout cas. ^^
#23
Ca rappelle un peu les différentes zones de sécurité dans IE6 :)
Trusted sites
(x) automatic sign-in
(x) store cookies
(x) store 3rd-party cookies
Restricted sites
(x) automatic sign-in
(x) store cookies
( ) store 3rd-party cookies
Rest of the Web
( ) automatic sign-in
( ) store cookies
( ) store 3rd-party cookies
#24
T’es pas extrémiste, c’est ta manière de faire. T’facon on l’est tous sur un truc ou un autre
J’ai pas de compte sur Twitter, j’y vais en ghost via twitter.com/explore quand j’ai envie pis je check certains threads pouvant être intéressant. Mais c’est très souvent plus énervant qu’autre chose quand je traine là bas
Désactiver le multi appareil ? Tu veux dire une fois connecté quelque part, si tu changes d’endroit ou d’appareil, tu dois te reconnecter via la 2FA c’est ça ?
Si c’est ça, c’est plutôt par défaut en général. Encore que, des fois la seconde authentification, enfin le code, c’est par mail.
Aussi, de temps à autres après un certains temps, tu dois te reconnecter complètement.
C’est Epic et Steam qui me font ça par moment.
Petit aparté, j’ai capté un truc sur mon W10, avec NVIDIA GeForce Expérience.
De temps à autre, je dois aussi me reconnecter.
SAUF QUE, en quittant l’application, en la relançant, des fois plusieurs essais, et au boot de l’application, tu es connecté.
Alors que juste avant il fallait te reco.
Ça fait une bonne année et quelque que j’ai remarqué ça.
Un peu flippant quand même.
Ah oki
#25
Je parlais de l’application de 2FA en elle même et non du service sur lequel elle est utilisée.
Lorsqu’on créé un compte par exemple sur Authy sur son téléphone, c’est donc le premier appareil lié. On a la possibilité de bloquer la connexion d’un autre appareil à l’application.
Oui, bizarre (Bogue ou lié à la façon dont se lance l’application ?). ^^
#26
Pour se dégoogliser niveau 2FA, outre Authy, il y a Raivo OTP et éventuellement FreeOTP. Ce dernier est développé par Red Hat. Je pense qu’il y a eu un moment où le développement a ralenti, en tout cas les retours étaient moins bons. Raison pour laquelle je l’ai remplacé par Raivo OTP lors d’un passage en revue des apps que j’utilise.
#26.1
Je note.
Je sais que certains proposent une fonction vraiment utile.
Pouvoir exporter les paramètres de l’application.
Du coup si changement de tél ou RAZ pour passer à LineageOS ou déverrouiller le bootloader par exemple, tu peux importer le fichier et hop. C’est reparti pour un tour.
Car sinon deux choix.
Désactiver la 2FA sur tous les services pour ensuite le remettre.
Ou second, si vol par exemple, sauvetage via les master code.