Sécuriser Firefox

Modérateur: Modérateurs et Modératrices

Messagede Jim Rakoto » 16 Jan 2006, 18:06

Salut

Je voudrais votre avis sur la barre Netcraft qui est suspectée de tracker les utilisateurs et de mettre du spyware.


Euh, il serait possible d'avoir les sources de cette info.

A+
Mes configs Linux user #402189
Garder toujours son sens critique en éveil en utilisant le doute rationnel comme filtre de lecture.
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Messagede piercoco » 16 Jan 2006, 19:35

Bonsoir,

à propos de "Noscript", je viens de l'installer et pour assiste.forum.free.fr il m'est demandé d'autoriser free.fr ??

J'ai testé noscript sur les jeux proposés par Club-internet (jeux classiques --> jeux vidéos --> puzzles et mots --> un jeux u hasard) car je sais que tous sont en java, il m'a été nécessaire de passer java actif dans Contenu de Firefox!!

Effectivemment avec noscript il faut autoriser pas à pas chaque accès, mais toujours la même question entre java et java script, je pense en comprendre la différence, java est compilé, javascript ne l'est pas et est chargé dans la page html.

Cela veut-il dire que ces jeux utilisent du java et non du javascript, et si oui, à quoi sert noscript dans ce cas là ??

Un peut égaré le gars, merci de lui indiqué par où est la sortie ... :wink:

@+
piercoco
 
Messages: 1681
Inscription: 25 Déc 2002, 17:14
Localisation: nice

Messagede Jim Rakoto » 16 Jan 2006, 20:04

Salut

Sauf erreur, Java est un langage de programmation : donc un jeu peut être écrit en Java

Javascript est un langage d'écriture web qui permet d'insérer des scripts dans le HTML

Les applets java sont des sous-ensemble d'applications Java que l'on pourra insérer dans les pages hypertextes d'un serveur Web.

L'applet s'exécute dans un contexte graphique situé dans la fenêtre de visualisation d'un navigateur Web.

Par exemple les applets java utilisés par certains sites bancaires

Autoriser javascript pour Assiste est nécessaire pour activer les smilies par exemple.
Il faut aussi autoriser les sites qui proposent les extensions Firefox ou Thunderbird. Les fichiers .xpi utilisent le javascript

Avec ceci, cela va être tout de suite bcp plus clair
http://www.editeurjavascript.com/cours/cours_01.php

A+
Mes configs Linux user #402189
Garder toujours son sens critique en éveil en utilisant le doute rationnel comme filtre de lecture.
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

barre Netcraft

Messagede LaChouette » 16 Jan 2006, 20:54

Pour la barre Netcraft :

http://forum.pcastuces.com/sujet.asp?SU ... 760&Page=9

Descendre dans la discussion (qui concerne Arovax shield originellement), et lire pages 9 et 10... il y a de vrais doutes. Sur les forums Zebulon tesgaz déconseille de garder Netcraft (j'y ai posé la question).

Pris sur le site de Netcraft (leur "éthique") :

http://news.netcraft.com/archives/2003/ ... ement.html
http://news.netcraft.com/archives/banne ... ising.html
Connection internet ouverte ? Tous aux abris !
Avatar de l’utilisateur
LaChouette
 
Messages: 33
Inscription: 15 Nov 2005, 22:03
Localisation: Ici et là

Messagede Invité » 16 Jan 2006, 21:01

Bonsoir Jim,

merci pour l'explication, nous sommes d'accord, donc noscript gère l'utlisation de javascript et n'a aucun effet sur java.

Il faut donc conserver java activé dans les paramètres de Firefox, je dis cela car tu préconises de désactiver java ... sommes nous toujours c'accord ??

@+
Invité
 

Messagede piercoco » 16 Jan 2006, 21:02

Re,

c'était moi :oops: :oops:
piercoco
 
Messages: 1681
Inscription: 25 Déc 2002, 17:14
Localisation: nice

Messagede LaChouette » 17 Jan 2006, 11:57

Quelqu'un sait ou a vérifié pour la barre Netcraft ? j'ai regardé sur Secuser.com et ils la recommandent.... Les sites genre ZDnet ou 01.Com aussi bien sûr... Le vrai problème avec cette barre est qu'on se fait profiler si on l'utilise. Alors à garder ou pas ?

Sur PCA tout le monde l'a supprimée ou désactivée.... C'est dommage de se passer d'un bon élément de protection, par contre si c'est un outil qui se retourne contre l'utilisateur il faut non seulement confirmer mais faire passer le mot pour que plus personne ne l'utilise.

Je cherche à clarifier les choses: si cette barre est utile et que le profilage est secondaire (genre pour faire des statistiques et que l'utilisateur n'est pas profilé sur ses habitudes de surf ; le problème est qu'ils envoient des pubs ciblées d'après ça paraitrait-il...), dans ce cas on peut la conserver. Comme la précision et la validité des données fournies par la barre Netcraft dépendent des utilisateurs, plus ils sont nombreux mieux la barre fonctionne (plus de données collectées sur davantage de sites, alerte rapide si tentative de phising sur le lien où on veut aller). Si quelqu'un me confirme que la barre est OK ou au contraire nuisible je passe le mot aux autres.
Connection internet ouverte ? Tous aux abris !
Avatar de l’utilisateur
LaChouette
 
Messages: 33
Inscription: 15 Nov 2005, 22:03
Localisation: Ici et là

Messagede Jim Rakoto » 17 Jan 2006, 14:09

Salut

Pour la barre Netcraft

Il y a une confusion entre deux éléments, me semble-t-il.

Effectivement, Netcraft enregistre l'IP d'un internaute qui se connecte sur leur site d'une part pour leur permettre de le gérer et d'autre part pour cibler l'affichage de publicités régionales.
# Information Automatically Logged

We use your IP address to help diagnose problems with our server and to administer our Web site. Your IP address may also used to display regional advertising banners.


Jusque là, rien d'anormal pour un site qui utilise la publicité pour vivre. Je me souviens d'une discussion animée dans laquelle il apparaissait que PcAstuces utilisait la régie Admajorem pour faire la même chose.
http://forum.pcastuces.com/sujet.asp?SU ... ge=1&Img=1

De plus l'info est affichée.

La barre Netcraft quant à elle :

. enregistre l'utilisateur lors de son installation, afin de gérer les mises à jour (dixit Netcraft). Cet enregistrement est toutefois séparé de l'utilisation de la barre pour la navigation.
* A unique identification reference is generated for each Toolbar installation. This is sent back to us when the Toolbar attempts to download updated versions of its software and is used for planning and licensing purposes. This is not sent as part of the Toolbar's normal operation when browsing the web.


De nombreuses firmes pratiquent ce genre d'enregistrement à commencer par Microsoft, les antivirus par la clé de licence ou la licence gratuite genre Avast

- enregistre les sites visités pour établir des statistiques de fréquentation de ces sites.
Web sites (not URLs) visited when browsing the web. These are used to provide contextual reports and popularity ranking information for the site being browsed.


Google fait la même chose, Technorati aussi quoique sa technique soit différente
Google est basé sur le principe d'une indexation systématique qui ne tient pas compte du souhait des gens d'être indexés ou non, alors que Technorati fonctionne sur le principe de la promotion des écrits de celui qui publie. Ainsi Technorati n'a besoin que de très peu d'ordinateurs puisqu'il collecte uniquement des notifications, les fameux pings. En d'autres termes, alors que Google sonde la botte de foin à la recherche de l'aiguille, Technorati utilise un aimant pour attirer l'aiguille et cet aimant est l'égo des blogueurs.
Source


- Contrôle les hashes des sites visités et les compare avec les hashes de phishing connus afin de bloquer le "détournement". Pour ce faire, Netcraft travaille sur l'URL et plus le nom de domaine.
Secure hashes of URLs visited when browsing the web. These are used to defend against phishing sites by comparing the hash against a list of hashes of previously reported phishing URLs and blocking the page if a match is found. There is no other case in which we can determine the URL of the page you have visited from the hash which we receive.


c'est évidemment le noyau de la barre Netcraft. Il est nécessaire de travailler sur l'url (voir dans le Bistrot : "nous avons un mouton noir" pour comprendre cette nécessité)

Une application des hashes pour des fichiers :
Les hashes sont calculés selon un algorithme commun. Le hash "SHA-1" d'un fichier est composés d'un hash de 32 chiffres SHA (Secure Hash Algorithm) qui est utilisé pour l'identifier sur le réseau G2 et peut également être utilisé pour vérifier que le fichier téléchargé a été correctement transmis. Les fichiers identiques auront les hashes identiques. Le réseau Edonkey2000 utilise également un hash de 32 chiffres pour identifier les fichiers, mais on le calcule en utilisant une méthode différente du réseau G2. Les clients BitTorrent, avant de se connecter au tracker, calculent des hashs de 32 chiffres à partir du dictionnaire du metainfofile (-ce lit : méta info file, voir détails plus bas). Le client enverra ces hashs au tracker, ce dernier connaîtra alors quel fichier le client torrent souhaite.


- aucune autre information n'est collectée en particulier celles qui peuvent identifier les habitudes de navigation d'un utilisateur particulier
The Toolbar does not collect any personal information except that described above. In particular, we do not collect personal information which can identify the browsing habits of individual users.


Donc en résumé
- Netcraft collecte l'IP des internautes qui vont sur son site. ce que peut faire n'importe quel site web
- Netcraft enregistre une identité d'installation séparée du fonctionnement de sa barre.
- Netcraft collecte les noms de domaine visités aux fins de statistiques.
- Netcraft compare la signature hash des URLs visités avec les hashes connus de phishing existants pour bloquer la connexion en cas de concordance.

Il serait préoccupant évidemment que Netcraft croise les informations d'identité d'installation ET les informations collectées lors de la navigation.

La firme écrit en tout cas qu'elle ne le fait pas.

Il existe Spoofstick mais qui est une extension passive et non active comme la barre Netcraft.
Spoofstick vous indique dans quel site vous êtes réellement sans bloquer la connexion.

Spoofstick dira : "Vous êtes dans ebay.com".

Si vous êtes redirigé vers un autre site, exemple : h**p://signin.ebay.com@10.19.32.4/

Spoofstick dira : "Vous êtes dans 10.19.32.4"


Donc pour ceux qui ne veulent pas servir à alimenter des statistiques ou qui pensent que Netcraft peut croiser les infos, ben utiliser Spoofstick.

A+
Mes configs Linux user #402189
Garder toujours son sens critique en éveil en utilisant le doute rationnel comme filtre de lecture.
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Messagede Jim Rakoto » 17 Jan 2006, 14:20

Salut

Pour Piercoco

NON il ne faut pas activer java dans Firefox SAUF pour une connexion sur un site spécifique (site bancaire par ex.)

A+
Mes configs Linux user #402189
Garder toujours son sens critique en éveil en utilisant le doute rationnel comme filtre de lecture.
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Messagede piercoco » 17 Jan 2006, 16:06

Salut,

c'est à dire pour des sites utiisant java, comme des jeux, par seulement un site banqaire.

Par exemple les jeux sur club-internet ne fonctionnent pas sans activer java !!!

@+
piercoco
 
Messages: 1681
Inscription: 25 Déc 2002, 17:14
Localisation: nice

PrécédenteSuivante

Retourner vers Firefox

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 3 invités

cron