IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Conception Web Discussion :

SSO : plus efficace pour traquer les utilisateurs que les cookies


Sujet :

Conception Web

  1. #1
    Expert éminent sénior

    Homme Profil pro
    Développeur informatique
    Inscrit en
    Septembre 2014
    Messages
    194
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Algérie

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Enseignement

    Informations forums :
    Inscription : Septembre 2014
    Messages : 194
    Points : 12 291
    Points
    12 291
    Par défaut SSO : plus efficace pour traquer les utilisateurs que les cookies
    SSO : plus efficace pour traquer les utilisateurs que les cookies
    Les grandes firmes du web ont de nouveaux moyens aujourd'hui pour cataloguer les utilisateurs

    Avec le rapide développement des smartphones, les géants de l'internet et de l'informatique ont trouvé de nouveaux moyens pour traquer les utilisateurs et les classer selon leurs goûts et leurs comportements. En effet, l'une des plus classiques méthodes utilisées pour suivre un utilisateur sur internet était de stocker des cookies sur son ordinateur. Les cookies servaient à stocker des informations sur les sites qu'il visite avec les dates, ainsi que d'autres informations utiles.

    Cependant, avec l'apparition des tablettes et des smartphones, cette méthode a rapidement montré ses limitations. Aujourd'hui, il est fréquent utiliser plusieurs appareils pour se connecter à internet, du coup, les géants du web préfèrent stocker les informations sur l'activité de l'utilisateur sur leurs propres serveurs au lieu des cookies. D'autant plus que l'explosion des réseaux sociaux a permis de rassembler une précieuse mine d'informations pour cataloguer les utilisateurs, que les entreprises utilisent sans hésitation à des fins commerciales. Une autre raison qui limite la pertinence des cookies et qui a contribué à accélérer cette transition est que les constructeurs de smartphones empêchent aujourd'hui les applications d'accéder aux cookies des navigateurs web et vice-versa.

    C'est pour ces raisons que certaines firmes comme Google, Microsoft, Apple, Yahoo et Facebook s'intéressent maintenant plus à ce qu'on appelle l'Identification Unique ou Single Sign-On (SSO) en anglais : qui est une méthode permettant à un utilisateur d'accéder à plusieurs sites web ou applications sécurisés en ne procédant qu'à une seule identification.

    Par exemple, avec notre seul identifiant Gmail, on peut aujourd'hui accéder à Youtube, Drive, Calendar, Google+, Maps, Play Store ainsi que tous les autres services Google, mais les fournisseurs d'identification vont encore plus loin et proposent aux développeurs des API qui permettent aux utilisateurs de s'identifier sur des sites tiers en utilisant leurs comptes Gmail par exemple, ou leurs comptes Facebook, Flickr, YahooID, Live ID ou Twitter.

    Ceci représente un avantage pour les utilisateurs qui leur évite de créer un compte différent pour chaque site avec tous les problèmes de perte de mot de passe qui s'en suivent. Et ça profite encore plus aux fournisseurs du service d'identification, car ça leur permet de traquer et cataloguer l'utilisateur et recueillir des informations détaillées sur les sites qu'il a l'habitude de visiter pour ensuite les utiliser pour mieux cibler la publicité.

    Dans un récent article paru dans eMarketer, Google et Facebook se partagent 40% de la publicité sur internet, suivis directement par Microsoft et Yahoo. Sur mobile l'importance de ce type de revenu se fait plus sentir puisque Google à elle seule possède 50% du marché de la publicité, suivi de Facebook avec 22%. L'intérêt de traquer et cataloguer les utilisateurs prend donc tout son sens vu l'ampleur des revenus qu'ils peuvent générer. Toutefois, pour but de protéger la vie privée des utilisateurs, ces firmes ne communiquent plus les noms et/ou adresses mails des utilisateurs aux annonceurs de pubs, ils utilisent au lieu de cela un identifiant à chaque utilisateur, l'annonceur pourra donc vous cibler avec sa publicité, mais ne saura pas votre identité réelle.

    Sources : Facebook Developpers Blog, eMarketer, Wikipédia, Apple SSO authentification, Google Account Help Center

    Et vous ?

    À quelle fréquence utilisez-vous ces services d'identification sur des sites tiers ?
    Que pensez-vous des publicités ciblées en utilisant les informations recueillies sur les utilisateurs ?

  2. #2
    Invité
    Invité(e)
    Par défaut
    Citation Envoyé par Amine Horseman Voir le message
    Toutefois, pour but de protéger la vie privée des utilisateurs, ces firmes ne communiquent plus les noms et/ou adresses mails des utilisateurs aux annonceurs de pubs, ils utilisent au lieu de cela un identifiant à chaque utilisateur, l'annonceur pourra donc vous cibler avec sa publicité, mais ne saura pas votre identité réelle.
    Mais pourquoiiiiii?

    On a rien a cacher!

  3. #3
    Membre éclairé
    Ingénieur de recherche
    Inscrit en
    Novembre 2008
    Messages
    227
    Détails du profil
    Informations professionnelles :
    Activité : Ingénieur de recherche

    Informations forums :
    Inscription : Novembre 2008
    Messages : 227
    Points : 825
    Points
    825
    Par défaut
    D'où l'intérêt et l'urgence de retirer à Google, Facebook, Microsoft, Yahoo... tout le pouvoir qu'on leur donne en utilisant leurs services.

  4. #4
    Membre actif Avatar de Agrajag
    Inscrit en
    Janvier 2014
    Messages
    110
    Détails du profil
    Informations forums :
    Inscription : Janvier 2014
    Messages : 110
    Points : 263
    Points
    263
    Par défaut
    C'est l'histoire d'un mec... qui voulait supprimer son compte Facebøøk.
    Mais finalement, comme il s'était inscrit partout avec, il a dû se résigner à continuer de l'utiliser.

    FIN

  5. #5
    lvr
    lvr est déconnecté
    Membre extrêmement actif Avatar de lvr
    Profil pro
    Responsable de projet fonctionnel
    Inscrit en
    Avril 2006
    Messages
    909
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations professionnelles :
    Activité : Responsable de projet fonctionnel
    Secteur : Arts - Culture

    Informations forums :
    Inscription : Avril 2006
    Messages : 909
    Points : 1 360
    Points
    1 360
    Par défaut
    Conclusion : utiliser un login prorpre à chaque site fréquenté...

  6. #6
    Invité
    Invité(e)
    Par défaut
    Surtout que si le compte principale est compromis, je vous laisse imaginer l'étendue des dégâts!

  7. #7
    Invité
    Invité(e)
    Par défaut
    Le maillon faible, c'est le webmaster qui pour X raisons préfère utiliser des services externe plutôt que de faire les choses complètement. Je n'ai pas à juger des raisons qui les poussent à ça, c'est juste un constat.

    C'est vrai pour l'authentification mais pas que.
    En fait, n'importe quel outil devant effectuer des requêtes vers un serveur Google, Facebook, Microsoft, Yahoo ou n'importe quel autre fournisseur de services tiers est potentiellement utilisable pour tracer assez bien un utilisateur durant toute sa navigation. Je pense bien entendu aux outils d'analyse de trafic mais aussi à des choses plus inoffensives comme des polices.
    Je dirais que 99% des sites web se font complices de cette traque bien malgré eux (developpez.net n'y échappe pas d'ailleurs ). Le problème est d'autant plus important que ce sont à peu près toujours les mêmes outils que l'on retrouve d'un site à l'autre.

    Lorsqu'on veut avoir une certaine hygiène numérique face à ça, c'est assez compliqué. C'est un peu comme vouloir être végétarien au fin fond du Texas.
    Côté utilisateur, j'utilise par exemple request policy dans firefox (ça bloque toutes les requêtes vers les domaines autres que celui visité et ça prévient lors des redirections automatiques sur certaines pages).
    J'utilise par ailleurs un blog Wordpress et par défaut, il utilise des google font. J'ai donc désactivé ça car google peut très bien se passer de moi s'il veut collecter des données.

  8. #8
    Expert confirmé
    Avatar de Katyucha
    Femme Profil pro
    DevUxSecScrumOps Full Stack Bullshit
    Inscrit en
    Mars 2004
    Messages
    3 287
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : Irlande

    Informations professionnelles :
    Activité : DevUxSecScrumOps Full Stack Bullshit

    Informations forums :
    Inscription : Mars 2004
    Messages : 3 287
    Points : 5 075
    Points
    5 075
    Par défaut
    De toute façon, les marketteux auront notre peau. Quoi qu'on fasse, il faudra toujours produire plus d'informations sur nous, pour être "les premiers" à détecter les tendances et se faire du fric. Pour moi, c'est l'humain qui doit être plus fort en arrêtant de cliquer à tord et a travers sur la première pub qui passe
    Grave urgent !!!

  9. #9
    Rédacteur/Modérateur

    Avatar de SylvainPV
    Profil pro
    Inscrit en
    Novembre 2012
    Messages
    3 375
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Novembre 2012
    Messages : 3 375
    Points : 9 944
    Points
    9 944
    Par défaut
    Le titre est trompeur étant donné que l'authentification, SSO ou pas, se sert toujours des cookies. On a simplement réduit les données du cookie au strict minimum, à savoir l'authentification de l'utilisateur. Les cookies ne sont pas morts, mais leur rôle s'est amoindri.
    One Web to rule them all

  10. #10
    Modérateur

    Profil pro
    Inscrit en
    Septembre 2004
    Messages
    12 545
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Septembre 2004
    Messages : 12 545
    Points : 21 601
    Points
    21 601
    Par défaut
    Citation Envoyé par diabolos29 Voir le message
    Le maillon faible, c'est le webmaster qui pour X raisons préfère utiliser des services externe plutôt que de faire les choses complètement. Je n'ai pas à juger des raisons qui les poussent à ça, c'est juste un constat.
    Dans mon cas, si je le fais c'est parce que mes utilisateurs me râlent dessus pour pas l'avoir fait, alors le maillon faible tu sais ce qu'il te dit. Le maillon faible c'est les utilisateurs de Facebook.
    Au passage il reste parfaitement possible de s'authentifier par mot de passe simple.

    Et ce comportement des utilisateurs, qui paraît démentiel quand on regarde les choses avec son microscope "vie privée," n'a rien de surprenant quand on regarde les choses dans leur globalité. D'abord l'utilisateur, lorsqu'il a déjà entendu parler de la notion de vie privée sur Internet, il s'en cogne. Je rappelle qu'il utilise Facebook, c'est censé être une surprise ? Les gens n'en ont déjà rien à cirer de leur vie privée dans la rue et vous voulez qu'ils s'en occupent devant leur ordinateur ?
    L'utilisateur a ses propres priorités, et parmi elles, il a autre chose à foutre que créer un nouveau mot de passe et s'en rappeler pour chaque site qu'il "visite" (bien sûr pas besoin d'authentification pour visiter, en réalité s'il a besoin de le faire c'est parce qu'il a demandé à être actif, mais l'utilisateur n'a pas le niveau pour comprendre des notions qui l'intéressent aussi peu.) Donc ces sites devraient se débrouiller pour utiliser les authentifications qu'il a déjà, qu'on résume en général à Facebook, Google ou Yahoo. Du point de vue des gens, rappelez-vous, les gens c'est ces trucs pour lesquels on fait en sorte que les sites existent, eh ben donc, de leur point de vue c'est non seulement normal mais même évident. Quand ils exigent pas ça, c'est la plupart du temps qu'ils ont pas compris que c'est faisable.

    Est-ce que ça ne s'apparente pas un peu à un enfant qui tape du pied pour que je le laisse jouer avec des ciseaux métalliques et la prise murale ? Certainement. Et peut-être que ça s'apparente aussi à un fumeur de soixante ans, qui a attendu personne pour entendre que c'est pas bien, mais ce qu'il constate c'est que ça améliore son confort de vie, jusqu'à un évènement dans le vague futur où il va y avoir des conséquences dont il a déjà dit qu'il en a rien à foutre. Je me répète, mais cette personne utilise Facebook, alors les risques de vie privée en utilisant mon site, hein.
    Le paternalisme, considérer les gens comme des enfants, c'est facile. Mais peut-être qu'au fond, si leurs priorités ne sont pas celles qu'ils "devraient avoir," c'est parce que les priorités ça se discute. Je ne le pense pas, mais il m'est arrivé de me tromper dans ma vie.

    À la place je fais ce que je peux pour les éduquer, en mettant en valeur des liens vers quelques blogs qui expliquent les problèmes du SSO. Et si vraiment ils veulent s'authentifier avec Facebook, ils peuvent. Au pire il y a moyen de changer de mode d'authent' si un jour ils se décident enfin à avoir peur de Facebook.
    N'oubliez pas de consulter les FAQ Java et les cours et tutoriels Java

  11. #11
    Rédacteur
    Avatar de pcaboche
    Homme Profil pro
    Inscrit en
    Octobre 2005
    Messages
    2 785
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 44
    Localisation : Singapour

    Informations forums :
    Inscription : Octobre 2005
    Messages : 2 785
    Points : 9 716
    Points
    9 716
    Par défaut
    Citation Envoyé par thelvin Voir le message
    Dans mon cas, si je le fais c'est parce que mes utilisateurs me râlent dessus pour pas l'avoir fait, alors le maillon faible tu sais ce qu'il te dit. Le maillon faible c'est les utilisateurs de Facebook.
    +1000
    "On en a vu poser les armes avant de se tirer une balle dans le pied..."
    -- pydévelop

    Derniers articles:

    (SQL Server) Introduction à la gestion des droits
    (UML) Souplesse et modularité grâce aux Design Patterns
    (UML) Le Pattern Etat
    Autres articles...

  12. #12
    Membre actif Avatar de Agrajag
    Inscrit en
    Janvier 2014
    Messages
    110
    Détails du profil
    Informations forums :
    Inscription : Janvier 2014
    Messages : 110
    Points : 263
    Points
    263
    Par défaut
    thelvin :
    À la place je fais ce que je peux pour les éduquer, en mettant en valeur des liens vers quelques blogs qui expliquent les problèmes du SSO. Et si vraiment ils veulent s'authentifier avec Facebook, ils peuvent.
    J'applaudis l'initiative, car peu de gens y pensent !

  13. #13
    Membre averti
    Inscrit en
    Février 2006
    Messages
    707
    Détails du profil
    Informations forums :
    Inscription : Février 2006
    Messages : 707
    Points : 366
    Points
    366
    Par défaut Attentions au login de réseaux sociaux comme identifiant
    Bonjour,

    Je vous propose d'écouter une chronique au sujet des login sur les réseaux sociautx dans l’émission "on en parle" de la radio télévision suisse.

    Titre es logins qui pompent énormément

    http://www.rts.ch/la-1ere/programmes...4-10-2014.html

    J'attends vos réactions

    Salutations
    Battant

  14. #14
    Membre averti
    Profil pro
    TDG
    Inscrit en
    Mars 2007
    Messages
    152
    Détails du profil
    Informations personnelles :
    Localisation : Canada

    Informations professionnelles :
    Activité : TDG

    Informations forums :
    Inscription : Mars 2007
    Messages : 152
    Points : 367
    Points
    367
    Par défaut
    Je n'utilise pas ces identifiants uniques sur Internet. Échec et mat pour ces sociétés!

  15. #15
    Rédacteur
    Avatar de pcaboche
    Homme Profil pro
    Inscrit en
    Octobre 2005
    Messages
    2 785
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 44
    Localisation : Singapour

    Informations forums :
    Inscription : Octobre 2005
    Messages : 2 785
    Points : 9 716
    Points
    9 716
    Par défaut
    Citation Envoyé par Battant Voir le message
    J'attends vos réactions
    N'ayant pas de compte Facebook ou Twitter (des fois j'ai l'impression d'être un Extra-Terrestre), je n'étais pas au courant de l'étendue des dégâts...

    Ce que je constate avec ce genre d'applications (celles qui reposent sur Facebook, Twitter et autres), c'est qu'elles exploitent plus ou moins les mêmes principes :

    - la majorité des gens se fichent de leur vie privée

    Tu veux accéder à toutes mes données personnelles, mes photos, mes contacts, etc ? Pas de problème ! (Tu veux pas baiser ma copine aussi, tant que tu y es ?)


    - la majorité des gens sont paresseux

    Devoir créer un compte, remplir des formulaires, avoir plusieurs mots de passe ? Trop fatiguants -> vas-y, accède à toutes mes données personnelles

    Avoir le choix entre attendre 1h, faire une action répétitive pendant 5 minutes ou dépenser de l'argent pour avancer plus vite. vas-y, prend mon fric. Je m'en fous, je suis millionnaire !


    - la majorité des gens sont faibles

    Avoir le choix entre se passer d'une application / d'un service ou accepter des Conditions Générales d'Utilisation (500 pages de jargon légal que personne ne lit) qui donnent le droit de faire tout et n'importe quoi c'est bon, j'accepte les CGU !

    Ça me rappelle un épisode de South Park ("The human Centipad")

    Et quand la réalité dépasse la fiction, des gens sont allé jusqu'à donner un de leurs enfants contre du wifi gratuit :
    http://www.theinquirer.net/inquirer/...-for-free-wifi




    À partir de là, des gens peu scrupuleux se disent "puisque qu'il y a de plus en plus de gens capables d'accepter tout et n'importe quoi, autant en profiter !" et sortent de nouvelles applications dans ce sens.
    "On en a vu poser les armes avant de se tirer une balle dans le pied..."
    -- pydévelop

    Derniers articles:

    (SQL Server) Introduction à la gestion des droits
    (UML) Souplesse et modularité grâce aux Design Patterns
    (UML) Le Pattern Etat
    Autres articles...

  16. #16
    Membre à l'essai
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Janvier 2013
    Messages
    18
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Tunisie

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Industrie

    Informations forums :
    Inscription : Janvier 2013
    Messages : 18
    Points : 20
    Points
    20
    Par défaut Pas besoin de cookie
    Pas besoin de cookie il y a le RFID

  17. #17
    Membre actif
    Profil pro
    Ingénieur
    Inscrit en
    Mars 2007
    Messages
    199
    Détails du profil
    Informations personnelles :
    Localisation : France, Seine Saint Denis (Île de France)

    Informations professionnelles :
    Activité : Ingénieur

    Informations forums :
    Inscription : Mars 2007
    Messages : 199
    Points : 291
    Points
    291
    Par défaut Pas facile de se débarasser de google
    Pour rebondir sur le sujet, j'ai configuré mon téléphone pour être le moins
    dépendant possible des applications google, des surcouches opérateurs
    et des surcouches fabriquant.

    Le constat est que ce n'est pas facile à mettre en oeuvre.

    La première démarche est de passer son téléphone en mode root,
    ce qui donnera les droits nécessaires pour supprimer les applications
    opérateurs et fabriquant.

    Après cette étape, j'ai installé cyanogenmod, c'est un android sans
    les applications googles, ou tout du moins on peut s'en passer.

    Et pour finir, et c'est là que ça devient moins évident, j'ai utilisé un serveur
    que je loue chez SAS Online (FREE) en installant un serveur CalDAV, CardDAV,
    SMTP, IMAP, DNS et mon cloud perso. Avec un cryptage adapté et quand c'est possible
    pour essayer de maintenir un semblant de protection des données personnelles.

    Reste le délicat problème des nouvelles applications à installer, deux solutions
    la première étant de s'adresser à des "stores" libres ou de télécharger vos
    applications sur un PC et transférer les packages sur votre portable mais
    là vous allez me dire, on utilise google de façon délocalisé, quand je vous dis
    que ce n'est pas facile de s'extraire des pieuvres curieuses et fouineuses
    aujourd'hui.

    J'ai eu cette démarche en pensant à certains films de sciences fictions
    où les acteurs majeurs du numérique sont dans nos vies en permanence.
    On peut vite s'apercevoir qu'aujourd'hui il est déjà de plus en plus difficile
    de s'en extraire.

    Et encore on ne parle pas des titres de transports électroniques, des caméras
    "outdoor", du traçage des GSM, etc... Parano pensez vous ? Non juste techniquement
    curieux et de toute façon j'ai rien à cacher

  18. #18
    Membre régulier

    Profil pro
    Inscrit en
    Mars 2013
    Messages
    17
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mars 2013
    Messages : 17
    Points : 73
    Points
    73
    Par défaut
    Moi, je pensais que l'article parlerait du Web Storage...

Discussions similaires

  1. Réponses: 1
    Dernier message: 18/02/2013, 10h04
  2. Réponses: 2
    Dernier message: 20/01/2012, 11h03
  3. Ne conserver que les N enregistrement les plus récents.
    Par gomodo dans le forum Langage SQL
    Réponses: 2
    Dernier message: 21/01/2008, 20h46
  4. Réponses: 1
    Dernier message: 27/03/2007, 19h22
  5. Réponses: 6
    Dernier message: 16/01/2007, 22h34

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo