L'offre « sans pistage publicitaire » de Libération mène à des développements inattendus. Suite à la découverte de certains scripts hébergés par le média (first-party) plutôt que par les sociétés qui en sont à l'origine (third-party), pour éviter leur blocage, uBlock Origin a adapté son fonctionnement.
Aeris avait en effet évoqué le problème avec les développeurs de l'extension, par crainte d'un procédé pouvant mener à des problèmes de sécurité. Mais comme l'avait montré Shaft via son tutoriel de blocage DNS, les sociétés proposant ces scripts continuent de se reposer sur des noms de domaine qu'elles contrôlent.
De quoi fournir une solution aux outils de blocage. uBlock Origin demande ainsi désormais la permission d'accès aux IP et nom d'hôte (DNS) sous Firefox afin de découvrir quels sites se cachent derrière certaines requêtes et pouvoir les bloquer si nécessaire.
La fonctionnalité est encore en test, mais elle est désormais en préparation active, une documentation étant proposée par ici. Pas sûr que les éditeurs et sociétés qui ont fait le choix de masquer ainsi leurs scripts, sans toujours s'assurer d'avoir l'accord explicite de leurs visiteurs soient gagnants dans l'affaire.
Preuve que même si certains pensent encore que forcer la main de la CNIL ou des internautes est la solution pour favoriser un modèle économique toujours basé sur le pistage en ligne, la véritable solution est ailleurs.
Commentaires (30)
#1
Ce plugin est vraiment une bénédiction … Amen !
#2
quand les boites de pistage vont laisser tomber les CNAME pour passer a des enregistrements A ou des solutions à base de reverse-proxy, on sera définitivement baisés techniquement à moins de maintenir des blacklists…
Et je suis sur que c’est déjà en préparation.
Il est temps que la CNIL tape du poing sur la table et arrête de jouer la carte de la bienveillance…
#3
J’achèèèèèèète ^^ Je vais virer ghostery (beaucoup trop limité depuis quelques temps) pour installer celui là ! Merci NxI !
#4
sinon, les deux ensembles forment un bon duo!
#5
Avec si peu de pouvoir c’est compliqué.
" />).
Il reste les options de tor comme base de contre ingérence (ou base d’attaque évidemment
#6
Exact,
" />
En ce qui me concerne, j’ai remplacé Ghostery par Disconnect, qui est très sympa aussi.
En complément de uBlock Origin, aucun souci.
#7
Sur firefox, me semble qu’il utilise Disconnect par defaut.
#8
Perso. uBlock Origin + Ghostery depuis des années.
#9
Liste d’add-on :https://prism-break.org/en/subcategories/windows-web-browser-addons/
Sinon, LibreFox est pas mal violent à ce niveau (conf firefox) :https://github.com/intika/Librefox/
#10
Le problème de Ghostery (du moins il y a quelques temps) il renvoyait par défaut des données aux serveurs de Ghostery, donc on ne se faisait plus pister par les autres mais par Ghostery…
Lire les commentaires de cette news :
https://www.nextinpact.com/news/103316-vie-privee-ghostery-appartient-desormais-a-societe-allemande-cliqz.htmA voir si c’est encore d’actualité.
#11
#12
Ne pas oublier Privacy Badger de l’EFFhttps://www.eff.org/privacybadger
#13
La vie uBlock Origine trouve toujours un chemin
" />
#14
Des listes sont déjà maintenues. Ok c’est surement plus simple qu’avec juste des IP mais bon.
#15
#16
#17
Hmm ptite question ça marchera ce patch de uBlock avec le DNS over https?
#18
#19
Bonne question.
Je me pose également la question du fonctionnement d’uBlock Origin et/ou uMatrix avec IPv6 : quelqu’un aurait des réponses ?
#20
Réponse : oui, ça fonctionne avec ipv6 aussi. Y a pas de raison.
#21
Ces addons par site ne peuvent pas fonctionner correctement, l’approche globale de Privacy Badger ou du traqueur de Firefox est bien meilleur :
Plutôt que de gérer une liste noire longue comme le bras et faire ramer à l’analyser chaque page de fond en comble, ces extensions analysent le traffic réseau : si un site tiers récupère un cookie ou un id posé par un autre site il est bloqué.
C’est simple, léger (pas besoin de parser, d’analyser le contenu de la page à la volée, ou de stocker une blacklist qui ne fera que s’alonger avec le temps), auto apprenant (ne soyez pas surpris au début ça ne bloque rien du tout) et assez puissant pour détecter la majorité des stockages (images, script de traqueurs auto-hébergé comme pour Libé…)
L’effet bénéfique est que ça ne bloque pas tout et laisse les pubs non intrusives sur les sites vertueux.
Effet négatif est qu’il y’a des faux positifs, genre ici: le même serveur de contenu est utilisé entre impact-hardware et nextimpact. Dés qu’une image été affiché sur les deux sites, un comportement suspect est détecté et toutes les images se sont retrouvé bloquées. J’ai signalé le bug (s’en ait un) à next impact et ai white-listés ses deux sites en en click. Mais c’est bel et bien un tracking qui a été détecté automatiquement.
Si vous souhaitez essayer ces systèmes il faut leur laisser du grain à moudre et ne pas les combinés avec d’autres bloqueurs, il faut aussi tester quelques jours avant de voir l’effet.
#22
#23
Quand je regarde le site de Ghostery, il n’y a aucune mention de ce genre. ça mentionne Cliqz.
Est-ce que tu as une source à ce propos ?
#24
Il semblerait que ce n’était qu’une question de temps avant qu’on tombe sur ce problème à partir du moment où on a décidé d’intégrer une machine de Turing dans le navigateur : JavaScript ? (voire Flash/Java auparavant)
Soit on reste sur la Toile limitée à des documents, soit on ouvre la porte à un Internet applicatif pouvant exécuter du code arbitraire sur notre ordinateur, avec tout ce que ça implique…
(Voir aussi : les problèmes avec le format PDF et les macros Excel.)
P.S.: Le sites pourraient aussi décider d’ajouter des publicités dans les pages html avant de nous les envoyer, mais c’est beaucoup plus cher (pour eux) en calcul d’avoir une publicité ciblée, et rend le pistage plus complexe ?
#25
La publicité est déjà dans les pages mais elle est statique donc facile à bloquer avec une liste.
Faire de la publicité en temps réel supposerait d’identifier le visiteur par son IP (pour avoir un caractère unique), puis de différencier selon d’autres données quelle publicité envoyer dans le cadre applicatif… en gros c’est ce qu’essaye de faire Google avec les pubs sur youtube. Là dessus j’ai pas creusé, je dis peut-être une connerie.
Mais je crois surtout que vu qu’il n’existe pas de balise ou truc équivalent pour dire “scripts pub à ranger ici”, le RGPD est voué à l’échec. Il faut rénover les langages de programmation et intégrer dès le départ qu’une page web ne sera pas codable sans cocher une case pour le programmeur qui efface tout tracking. Le DNT de mozilla c’est pas au point…
#26
Euh, non, ça fait un bail que la publicité n’est plus statique et qu’elle est chargée par des sites tiers, qui, si je ne me trompe font des enchères sur la publicité à montrer suivant l’identité du visiteur - qu’est ce que tu crois qu’ils veulent dire par first-/third-party ? Et pourquoi crois-tu que le pistage des internautes est autant pratiqué ?
Essaie d’utiliser uMatrix, il rend bien plus facile de voir ce qui se charge d’où quant tu visites un site…
(Même pour les sous-domaines du style xxx.nextinpact.com d’ailleurs…)
#27
J’utilise uMatrix…
#28
Cliqz est propriété de Mozilla et d’Hubert Burda Media (wikipédia).
#29
Mozilla semble être minoritaire dans Cliqz.
Après, si on lit l’article sur Cliqz, ça fait pas rêver : une version modifiée de Firefox, envoyé à 1% des personnes qui téléchargent sur le site officiel de Mozilla, qui s’occupe d’aspirer les informations de navigation tout en essayant de les anonymiser “au maximum” avant de les envoyer chez Mozilla.
Enfaite pas besoin de Ghostery, Firefox semble faire du suivi de navigation tout seul.
ça fait rêver…
#30
La version 5.0 (beta pour l’instant) de pihole semble pouvoir gérer les CNAME ?