Fuinril
est avec nous depuis le 8 avril 2010 ❤️
Oups.
On dirait que quelqu'un ici aime garder ses petits secrets, comme si de par hasard il y avait quelque chose à cacher...
Désolé, ô lectrice de passage, cher lecteur égaré, pas de révélation sensationnelle pour le moment sur ce profil.
Repassez plus tard ?
2751 commentaires
Des chercheurs créent une empreinte pour pister un internaute via plusieurs navigateurs
Le 14/02/2017Le 15/02/2017 à 02h 09
Normalement non.
Je ne peux pas me prononcer sur le cas exact de font-family car je ne l’ai jamais fait, et j’ai carrément la flemme de mettre en place les conditions nécessaires pour un test réel. Mais en tous cas je peux garantir le bon fonctionnement sur tous les attributs de style “normaux” (height, width, padding, margin, etc….).
Normalement ça fonctionne bien, mais la gestion des polices est assez spéciale (ce n’est pas géré directement par le browser) donc je ne peux pas le garantir à 100%.
Definition and Usage
The getComputedStyle() method gets all the actual (computed) CSS property and values of the specified element.
The computed style is the style actually used in displaying the element, after “stylings” from multiple sources have been applied.
Style sources can include: internal style sheets, external style sheets, inherited styles and browser default styles.
The getComputedStyle() method returns a CSSStyleDeclaration object.
Source :https://www.w3schools.com/jsref/jsref_getcomputedstyle.asp
Le 15/02/2017 à 01h 52
Ok. Vu comme ça ça se tient mais admet que c’est tiré par les cheveux… Et que implémenter un truc qui va mettre le CPU des clients à plats pour plusieurs secondes juste pour affiner l’identification de 0.01% de tes visiteurs c’est absurde.
D’autant que si le mec gère vraiment il va savoir qu’il est tracé et va faire en sorte de pourrir (littéralement) son navigateur de données foireuses…
Tout ça pour un résultat qui est bien naze par rapport à ce que peut faire google via son omniprésence et la qualité hallucinante de leur analyse de données (nan parce que le cross media ça c’est un vrai truc de fou ! Il y a rien, aucune données identiques : ni IP, ni cookie, ni browser, ni CPU, ni OS… rien !).
Du coup, euh…. Publier un papier ça sert à quoi ?
Le 15/02/2017 à 01h 02
Le 15/02/2017 à 00h 50
Tu prends (comme Ricard) le problème à l’envers. La question n’est pas de savoir si l’on peut reconnaitre l’internaute, mais la robustesse de la reconnaissance.
Encore une fois, c’est caricatural mais créer une empreinte pour détecter si un internaute particulier a changé de navigateur c’est super simple, il suffit de se baser sur la résolution d’écran. Ce ne va pas t’aider quand tu auras 250k internautes qui ont la même….
C’est tout le problème de leur méthode : ils n’ont aucun moyen novateur d’identification. Après, combiné au reste, certes…. mais la plus grande discrimination est faite via l’IP et les cookies, ça n’est jamais que de l’affinage (genre la paille est jaune, mais j’ai une super méthode qui coute un million à implémenter qui permet de détecter la nuance exacte de jaune….).
Je vais citer juste un petit passage :
Screen Resolution.
The current measurement of screen resolu-
tion is via the “screen” object under JavaScript. However, we
find that many browsers, especially Firefox and IE, change the
resolution value in proportion to the zoom level. For example,
if the user enlarges the webpage with “ctrl++” in Firefox and
IE, the screen resolution is inaccurate. We believe that the
zoom level needs to be considered in both single- and cross-
browser fingerprinting.
Specifically, we pursue two separate directions. First, we
adopt existing work [13] on the detection of zoom levels based
on the size of a div tag and the device pixel ratio, and then
adjust the screen resolution correspondingly. Second, because
the former method is not always reliable as acknowledged by
the inventors, we adopt a new feature, i.e., the ratio between
2
screen width and height, which does not change with the zoom
level
Ouha ! Ils font des ratios largeur / hauteur ! Quelle innovation !
Le papier c’est uniquement des conneries du genre ! Que ça berne des marketteux qui pètent plus haut que leur cul, ok, c’est fait pour leur soutirer du fric. Mais des techniques (desquels tu me sembles faire partie) ça m’inquiète….
Le 15/02/2017 à 00h 22
Et au passage ton script comporte des erreurs de syntaxe (ça passe peut être mais jusqu’à preuve du contraire ta ligne 1 renvoie un dom element, pas un tableau de dom element - après jQuery est excessivement crade sur la gestion du typage donc bon…) et ne prend pas en considération 2 police ayant le même empâtement, ni les différences entre la police chargée et la police de l’OS, ni…. bah rien en fait, il suffit que je change les alias de police dans mon navigateur et ton truc plante.
Du coup autant demander directement au DOM la police qu’il applique non ? Ca revient au même, c’est moins compliqué et c’est infiniment plus propre….
Le 15/02/2017 à 00h 02
Le 14/02/2017 à 23h 17
Le 14/02/2017 à 23h 11
Exact. Non standard !
Genre si je duplique time new roman en toto.ttf
Tiens, au pif, choppé sur un site random :http://cdn.fontspace.com/Styles/font-icon/font/fsicons.woff2?81454616
Trouve moi un script non fait pour qui la détecte….
Le 14/02/2017 à 23h 05
Très vrai !
Mais ça reste une méthode excessivement lourde pour “juste” une précision de données
Le 14/02/2017 à 23h 00
Tu veux quels genres de polices ? Exclusivement des non web j’ai le droit ?
Si ta question c’est “trouve moi une police qui sera pas listée” ça va pas être dur, des polices y en a une infinité….
Le 14/02/2017 à 22h 50
Le 14/02/2017 à 22h 48
Euh d’où ? Le principe de l’empreinte c’est d’être un hash d’un agrégat de données. Change un bit à la string initial et ton hash n’aura rien à voir….
Heureusement d’ailleurs, sinon j’aurais vraiment peur quant au paiement en ligne : si tu décales une virgules dans les paramètres tu changes tout le hash et le paiement devient invalide….
Le 14/02/2017 à 22h 44
Le 14/02/2017 à 22h 33
Le 14/02/2017 à 22h 26
Mais ça marche pas : 60 polices me dit le site, windows me dit 98. Tu peux savoir si une police est présente ou non, pas obtenir la liste de celles présentes….. et pour peu que ton navigateur en ait chargé une distante sur un site juste avant ça foire l’empreinte….
Non vraiment c’est super comme technique….
Le 14/02/2017 à 22h 24
En réalité c’est une technique qui aurait eu beaucoup de mérite il y a 20 ans, avec des environnements extrêmement hétérogènes. Aujourd’hui tous les fabricants, tous les éditeurs, tous les assembleurs tentent par tous les moyens de réduire leurs coûts via des économies d’échelle…. et du coup les environnement sont très semblables d’un utilisateur sur l’autre (hors cas particulier : les devs, les sysadmin, les utilisateurs de BSD, de Lynx, etc…).
La technique se basant sur les différences d’environnement entre utilisateurs c’est on ne peut plus débile….
Le 14/02/2017 à 22h 19
Le 14/02/2017 à 22h 03
Le 14/02/2017 à 21h 57
Tu prends le problème à l’envers.
Le SEUL intérêt du tracking du point de vue de ceux qui financent le marché (c’est à dire les clients, pas les chercheurs) c’est d’être unique et fiable. Et à priori ce n’est pas le cas avec cette technique.
Des techniques avancées de tracking fiables à 80% basées sur l’histo y en a à la pelle. Ici on est largement en dessous, le seul intérêt de la technique c’est d’être crossbrowser mais si c’est pas fiable…. Et même en admettant qu’ils arrivent à 90% de fiabilité c’est par machine et non par utilisateur (exit le cross media - pas de bol en tant que webmarchand j’aimerais bien savoir combien de % de mes clients visitent le site sur mobile pour acheter sur desktop ou l’inverse….), du coup…..
Et je ne parle pas de la technique en elle même que personne ne voudra implémenter : bouffer 80-100% du CPU de l’utilisateur pendant plusieurs secondes au chargement de la page alors qu’on essaye d’accélérer le chargement des scripts fonctionnels, mais bien sûr !
Sinon : les polices dépendent de l’OS (principalement), les plugins la plupart n’en ont pas, le support de webGL dépend du navigateur de la CG et des pilotes, canvas de l’OS et du navigateur (et du CPU mais non pris en compte pour des raisons évidentes). L’audio c’est devenu inutile depuis que toutes les CM implémentent la même carte….
Je le redis : c’est une recherche bidon publiée pour le fric. Le navigateur peut lire des données ! Scandale ! Ca fait jamais que 25 ans qu’on le sait (au bas mot), en attendant ça reste basé sur la fiabilité de l’IP (qui ne l’est pas, donc….)
Le 14/02/2017 à 21h 13
about:config est ton ami
Le 14/02/2017 à 21h 07
Le 14/02/2017 à 20h 08
Euh, mais c’est NUL !
C’est quoi cet échantillon moisi ? 36 critères c’est ridicule ! Alors oui sur moins de 2000 utilisateurs, ok, sur 2 millions combien de collisions ? Sachant qu’en plus, sur la masse, les matos vont se recouper en fonction de certaines caractéristiques utilisateur (exemple : j’ai un proc de gamer, une CG de gamer et une carte mère de gamer. Dans les 3 cas la gamme est exactement la même et ce n’est pas une gamme sur laquelle il y a beaucoup de produits….) .
Complètement inexploitable ! Les chercheurs arrivent à avoir une empreinte unique sur plusieurs navigateurs (je veux bien), mais cette empreinte sera reproduite autant de fois qu’il y a de configuration similaires… Je demande à voir le taux de fiabilité sur un environnement réel avec plusieurs millions de connexions, mais j’ai de sérieux doutes….
Cadeaux offerts par les industriels de santé : la transparence étendue aux vétérinaires
Le 31/01/2017Le 02/02/2017 à 23h 08
Au passage, de la part d’un médecin, ne pas prendre en considération le cout du produit pharmaceutique dans l’évaluation du coût de la consultation ça fait montre d’un tel “je m’en bas les steaks c’est la sécu qui paye” que ça me laisse sans voix….
Le problème avec les relations entre médecins et labo est peut être là….
Qu’un quidam ne l’appréhende pas, c’est plutôt normal, mais un médecin bordel….
Le 02/02/2017 à 22h 47
Le 31/01/2017 à 19h 35
Le 31/01/2017 à 17h 48
Le 31/01/2017 à 17h 36
Le 31/01/2017 à 17h 19
Le 31/01/2017 à 17h 14
Vu le fonctionnement des vétérinaires et les marges arrières démentes ça va être drôle
Pour la ministre de la Culture, il n’y a aucun droit à revendre ses jeux vidéo immatériels
Le 19/01/2017Le 21/01/2017 à 19h 10
Des sénateurs veulent sanctionner ceux qui signalent la présence de policiers, même sur Internet
Le 20/01/2017Le 20/01/2017 à 20h 53
Quel être normalement constitué, n’ayant pas subis de chocs violents et répétés sur la tête, cela choque-t-il ?
4G Box : Bouygues Telecom lance son offensive en zones rurales, à 32,99 € par mois
Le 20/01/2017Le 20/01/2017 à 19h 57
J’espère que ça ne sera pas QUE pour les campagnes…. j’habite en zone dense mais avec un internet tout pourri (fibre à 100m, 4,5Mb chez moi), ça pourrait être une meilleure solution que le partage de connexion de mon téléphone (50Go ça va vite…)
Pour la Cour de cassation, c’est à la banque de prouver une arnaque par phishing
Le 19/01/2017Le 19/01/2017 à 16h 26
Autonomie du MacBook Pro : Consumer Reports est tombé sur un bug, d’autres tests arrivent
Le 11/01/2017Le 11/01/2017 à 17h 46
Bah y a de quoi se poser des questions…. et ils les ont posé à Apple.
Le fait est que je doute qu’ils aient magouillés les options comme des tarés. Leurs protocoles de test sont fait pour tester des PC, le mac book est un PC, les résultats sont comparés avec (beaucoup) d’autres PC d’autres marques.
Les résultats sont cohérents sur tous les modèles sauf sur celui là : tu poses des questions au constructeur, tu ne remets pas en question le test
[Interview] On parle numérique avec Yannick Jadot, le candidat des Verts à la présidentielle
Le 11/01/2017Le 11/01/2017 à 17h 29
Le 11/01/2017 à 10h 44
J’aime bien ce mec. On en entend quasiment pas parler, mais généralement ce qu’il dit est intéressant et plein de bon sens tout en évitant la démagogie.
Tellement loin du discours de ses concurrents….
Le 11/01/2017 à 10h 43
J’aime bien ce mec. On en entend quasiment pas parler, mais généralement ce qu’il dit est intéressant et plein de bon sens tout en évitant la démagogie.
Tellement loin du discours de ses concurrents….
Internet Explorer a perdu plus de la moitié de ses utilisateurs en un an
Le 04/01/2017Le 10/01/2017 à 09h 45
Mais personne n’a prétendu que les services et produits commerciaux de google étaient libres.
Ce que je dis c’est qu’ils utilisent de l’open source mais qu’ils en respectent scrupuleusement les règles, notamment en terme de contribution.
De plus ils ouvrent beaucoup des technos qu’ils développent en interne.
J’ai quand même l’impression qu’il y a une grosse confusion… Qu’on tape sur google pour leur politique de vie privée ou fiscale, oui et 100 oui. Qu’on tape dessus pour des raisons techniques c’est déjà plus compliqué à justifier….
C’est loin d’être des saints, et on pourrait même qualifier leur stratégie de services gratuits de vicieuse, oui. Mais techniquement (donc pas leurs produits mais une partie de leurs technos) il n’y a strictement rien à dire…. c’est encore eux qui décident si ils veulent rendre libre une techno ou pas, et si pas comment ils vont l’exploiter (libre à chacun de l’utiliser ou pas).
Donc, à la limite, critiquer google pour son insertion dans la vie privée via leurs produits oui. Taper sur leur politique technique alors que ce qu’ils donnent librement (dans l’espoir de le voir se démocratiser nous sommes d’accord) est exempt de tout reproche (du moins j’attends encore le scandale de la techno libre qui inclut des couches propriétaires et/ou des espions….) je suis déjà moins d’accord.
Le 05/01/2017 à 16h 08
Le 05/01/2017 à 14h 27
Le 05/01/2017 à 13h 48
J’ai souvenir d’un temps où on expliquait que l’open source pouvait être rentable. Google l’a prouvé.
Ils exploitent l’opensource ? Et alors ? C’est fait pour ça ! Ce n’est pas comme si ce n’était pas un des plus gros contributeurs…. Avec des millions de sociétés qui exploitent de l’open source sans en respecter les règles tu viens taper sur google ? C’est parce qu’ils sont gros ou tu es en fait contre l’exploitation commerciale de l’open source ?
Même les technos qu’ils développent en interne ils les ouvrent ! C’était le rêve des libristes d’il y a 15 ans qui avaient pour référence Microsoft, Apple et IBM.
Bien sûr qu’il y ont un intérêt. Ils sont devenus omniprésents grâce à cette stratégie et aujourd’hui bien malin qui peut se passer de google. Ca correspond à leur modèle commercial, oui.
Et alors ? Ce n’est pas comme si il y avait des espions dans les libs qu’ils fournissent…
Et dans la liste des choses qu’ils fournissent commercialement en closed source tu oublies analytics. Mais nous sommes d’accord sur le fait que là ils pompent à mort. Le gros problème c’est que si tout le monde l’utilise c’est surtout et avant tout parce c’est ce qu’il y a de mieux ! Rien, absolument aucune société sur la planète, ne s’approche de la qualité de ce que fait google. Réfléchis 10s et pense à ce que Google a changé pour le monde entier en seulement 15 ans…
Je me souviens que j’utilisais un logiciel microsoft (piraté) dont le nom m’échappe, hors de prix, très limité et lourd pour prévoir mes trajets en voiture. Aujourd’hui non seulement je vois ma position en temps réel, mais je vois les alentours, les points d’intérêt, je peux voir une rue à 10000km de là, le trafique, adapter le calcul de mon parcours quand je le souhaite, localiser ce que je veux….
Et ça c’est point de vue utilisateur uniquement, mais ces technos se retrouvent aussi diffusées commercialement à coût raisonnable (de mémoire si l’on prend map c’est 2500 requêtes gratuite quotidienne puis 0.5€ par block de 1000 requêtes supplémentaires avec si vraiment tu consommes un abonnement raisonnable de quelques dizaines d’euros - dans un autre registre oracle vend son assistant de déploiement et gestion de clusters mysql 10K + abonnement), le tout étant simple à implémenter !
Donc oui il y aurait certainement beaucoup à dire sur les donnés utilisateurs que google possède et ce qu’il en fait. Maintenant je pense que n’importe quel service ayant une telle masse d’utilisateurs se retrouverait confronter au même problème : c’est normal et sain que les entreprises fassent et utilisent des statistiques sur leurs utilisateurs. Les problèmes commencent quand les utilisateurs utilisent tes produits sur tous les aspects de leur vie en continue parce que tu sais tout sur tout le monde si tu as les compétences de les exploiter (ce qui est le cas de google).
Ca n’empêche que techniquement parlant il n’y a rien à dire sur google. Ils n’ont pas besoin de mettre des mouchards dans chrome (et bien malin qui pourra le dire, la différence entre un mouchard et un rapport de plantage est ténue), toi, ton voisin, tes amis, tes ennemis…. tous utilisent les produits commerciaux de google tous les jours sans forcément s’en rendre compte (analytics est devenu une plaie à ce niveau, mais d’un autre côté les sites l’utilise parce que c’est génial)
Le 05/01/2017 à 12h 34
Le 05/01/2017 à 12h 11
Le 05/01/2017 à 11h 40
La discussion est purement technique.
Le 05/01/2017 à 01h 46
Comme Bitdefender, Norton lance un routeur Wi-Fi… pour vendre des abonnements
Le 09/01/2017Le 09/01/2017 à 18h 17
Adobe c’est des petits joueurs (ils ont une grosse base de clients non pro et/ou indés).
Les prix des vrais logiciels pro est délirant. Dans le même secteur on peut citer 3DsMax à 1500 par an, autocad dans la même gamme de prix.
Et puis après on change de secteur et c’est encore pire. Oracle, IBM, Microsoft… la même chose que les précédents avec un 0 en plus….
Accusé à tort d’avoir téléchargé un film, il obtient 17 000 dollars pour couvrir ses frais
Le 06/01/2017Le 07/01/2017 à 15h 58
Le 06/01/2017 à 21h 29
Des centaines de bases MongoDB attaquées à cause de mauvaises configurations
Le 05/01/2017Le 05/01/2017 à 18h 03
Pimax : un casque de VR avec de la 4K pour chaque œil et un champ de vision de 200°
Le 04/01/2017Le 05/01/2017 à 00h 07