IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Une faille sur le Net permet à des sites de voler l'historique des navigateurs


Sujet :

Sécurité

  1. #1
    Expert éminent sénior
    Avatar de Katleen Erna
    Profil pro
    Inscrit en
    Juillet 2009
    Messages
    1 547
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : Juillet 2009
    Messages : 1 547
    Points : 76 188
    Points
    76 188
    Par défaut Une faille sur le Net permet à des sites de voler l'historique des navigateurs
    Une faille sur le Net permet à des sites de voler l'historique des navigateurs, des chercheurs offrent un outil pour mesurer cet impact sur vous

    Des chercheurs de l'Université de San Diego viennent de découvrir une faille très largement répandue sur le Web ; leur étude s'appuie déjà sur 485 sites qui se font un plaisir de l'exploiter (majoritairement, des sites réservés aux adultes, dans une sélection des 50.000 sites les plus visités au monde).

    Mais de quoi parle-t-on ? D'une vulnérabilité qui permet à un domaine malveillant d'aller fouiner dans votre historique, et ainsi de tout savoir des sites que vous avez précédemment visité.

    C'est la manière dont la majorité des navigateurs gère les liens qui ont été visités qui fait défaut. Ils sont en effet beaucoup à modifier la couleur du texte, pour vous signifier "tu l'as déjà cliqué celui-là !".

    Un code spécifique exploite ce détail. Placé sur un site, il interroge le navigateur d'un visiteur pour voir quelles réponses il fournit pour une liste de pages données. Et donc, changement de couleur = site déjà consulté.

    YouPorn utilise cette technique, pour afficher des publicités ciblées ou voir si la victime consulte régulièrement la concurrence. Mais des pages dans d'autres domaines que la pornographie en font également usage (sites de sport, d'informations, etc.).

    Pour les scientifiques, il est urgent de prendre des mesures pour mieux défendre ses historiques. D'autant qu'en dehors de cette faille, d'autres techniques sont exploitées.

    Par exemple, YouTube espionne ses visiteurs grâce à un script qui traque les mouvements de la souris d'un utilisateur sur ses pages.

    "Les applications composites Web 2.0 populaires et les ciblages publicitaires sophistiqués sont réalisés avec diverses violations de la vie privée", peut-on lire dans leur recherche.

    La faille qu'ils ont découverte a déjà été colmatée par plusieurs navigateurs : Chrome, Safari et la dernière version de Firefox. Pour les utilisateurs d'Internet Explorer, il faut passer en mode "private browsing" pour se protéger.

    Pour être vraiment certain de ne pas laisser de traces derrière soit, le mieux est encore de visiter la page mise en ligne par les chercheurs, qui tente de récupérer votre historique et vous informe donc des informations que vous pouvez laisser échapper à votre insu.

    Pour la suite, des travaux plus en profondeur sont prévus, afin de créer des outils aidant à lutter contre ce bug.

    Source : L'étude des chercheurs (PDF)

  2. #2
    Modérateur
    Avatar de sevyc64
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Janvier 2007
    Messages
    10 191
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 51
    Localisation : France, Pyrénées Atlantiques (Aquitaine)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Janvier 2007
    Messages : 10 191
    Points : 28 070
    Points
    28 070
    Par défaut
    Ben apparemment le site des chercheurs est inaccessible.
    --- Sevyc64 ---

    Parce que le partage est notre force, la connaissance sera notre victoire

  3. #3
    Expert éminent sénior Avatar de Uther
    Homme Profil pro
    Tourneur Fraiseur
    Inscrit en
    Avril 2002
    Messages
    4 552
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Tourneur Fraiseur

    Informations forums :
    Inscription : Avril 2002
    Messages : 4 552
    Points : 15 463
    Points
    15 463
    Par défaut
    Si ces chercheurs viennent de trouver ça, ils sont vraiment en retard et très mal renseignés. Ce problème dans la gestion des liens visités est connu depuis des années, et il y a de nombreux sites qui en font des démonstration très efficace.

    Ce n'est pas pour rien qu'il a été corrigé sur Firefox(et la plupart des autre navigateur aussi il me semble)

  4. #4
    Futur Membre du Club
    Inscrit en
    Décembre 2007
    Messages
    8
    Détails du profil
    Informations forums :
    Inscription : Décembre 2007
    Messages : 8
    Points : 7
    Points
    7
    Par défaut
    Je suis d'accord avec Uther ! J'ai déjà entendu parlé de cette faille, ce n'est pas aussi récent que ça!

  5. #5
    Membre habitué
    Inscrit en
    Septembre 2008
    Messages
    68
    Détails du profil
    Informations forums :
    Inscription : Septembre 2008
    Messages : 68
    Points : 169
    Points
    169
    Par défaut
    Une faille ?
    je croyais que c'était une option à désactiver ...
    j'avais déjà vu un ou 2 sites qui me semblait lire dans mon historique (au vu de certaine options proposé qui correspondaient à des recherches ou type de sites visités il y avait peu) ...
    bon, en fait, il est possible qu'il lisait dans mes cookies. (mais ça ne m'avais pas plus embêté que ça... tant que rien n'y est laissé en clair...

  6. #6
    Membre averti Avatar de Sacha999
    Inscrit en
    Mars 2007
    Messages
    294
    Détails du profil
    Informations personnelles :
    Âge : 44

    Informations forums :
    Inscription : Mars 2007
    Messages : 294
    Points : 350
    Points
    350
    Par défaut
    C'est quoi ce titre d'article?

    Y'a une différence entre "voler l'historique" et "tenter de deviner la visite de site web parmi une liste prédéfini"

    J'ai été sur le site "toto.com", si le site "pirate" n'a pas le site "toto.com" dans sa liste de site, il ne saura jamais que j'étais sur "toto.com"....
    Le forum c'est trop génial

  7. #7
    Membre éclairé Avatar de Julien Bodin
    Homme Profil pro
    Devops
    Inscrit en
    Février 2009
    Messages
    474
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : France, Calvados (Basse Normandie)

    Informations professionnelles :
    Activité : Devops
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Février 2009
    Messages : 474
    Points : 843
    Points
    843
    Par défaut
    Excellent

    L'ingéniosité des gens m'impressionnera toujours !

  8. #8
    Expert éminent sénior Avatar de Uther
    Homme Profil pro
    Tourneur Fraiseur
    Inscrit en
    Avril 2002
    Messages
    4 552
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Tourneur Fraiseur

    Informations forums :
    Inscription : Avril 2002
    Messages : 4 552
    Points : 15 463
    Points
    15 463
    Par défaut
    Citation Envoyé par sizvix Voir le message
    Une faille ?
    je croyais que c'était une option à désactiver ...
    j'avais déjà vu un ou 2 sites qui me semblait lire dans mon historique (au vu de certaine options proposé qui correspondaient à des recherches ou type de sites visités il y avait peu) ...
    bon, en fait, il est possible qu'il lisait dans mes cookies. (mais ça ne m'avais pas plus embêté que ça... tant que rien n'y est laissé en clair...
    Non ce n'est pas une option a désactiver.
    Normalement un site ne devrait pas avoir un accès direct à l'historique. Mais on peut abuser du ":visited" de CSS pour savoir si un site particulier est présent dans l'historique. Tous les navigateur sont plus ou moins concernés, vu que ce fonctionnement est induit par le support de CSS2.

    Ceci dit en "mentant" intelligemment, certains navigateur arrivent a éviter ce problème, sans que l'affichage des lien visités ne soit trop impactés.

  9. #9
    Membre averti
    Homme Profil pro
    Consultant PLM
    Inscrit en
    Août 2007
    Messages
    203
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : Consultant PLM

    Informations forums :
    Inscription : Août 2007
    Messages : 203
    Points : 304
    Points
    304
    Par défaut
    Mais c'est hyper connu !
    Par exemple, c'est utilisé sur evercookie.

  10. #10
    Membre confirmé
    Homme Profil pro
    Étudiant
    Inscrit en
    Novembre 2010
    Messages
    254
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Novembre 2010
    Messages : 254
    Points : 538
    Points
    538
    Par défaut
    majoritairement, des sites réservés aux adultes, dans une sélection des 50.000 sites les plus visités au monde
    Je suis toujours admiratif de la quantité de place qu'occupe le porno sur internet.
    Pour en revenir au sujet, c'est pas nouveau qu'internet soit espionner par toutes sortes de personnes. Après les cartes de fidélité de super marché, ce genre de démarche était relativement attendu. C'est juste une évolution naturelle du système d'enquête auprès des consommateurs. Après est-ce immoral? Aussi immoral que les cartes de fidélité. A part qu'on ne reçoit pas de cadeau en échange de notre historique de navigation.
    "L'insanité consiste à répéter la même action dans l'espoir d'aboutir à un résultat différent" Albert Einstein
    ----------------------
    T.O.A.O 6-MarViN

  11. #11
    Expert éminent sénior Avatar de Uther
    Homme Profil pro
    Tourneur Fraiseur
    Inscrit en
    Avril 2002
    Messages
    4 552
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Tourneur Fraiseur

    Informations forums :
    Inscription : Avril 2002
    Messages : 4 552
    Points : 15 463
    Points
    15 463
    Par défaut
    Le principe est quand même assez différent des cartes de fidélité qui ne traquent le client que sur les opérations dont elle a connaissance. En utilisant cette faille un site peut savoir si tu en as visité d'autres avec lesquels il n'a aucun lien.

  12. #12
    Membre habitué
    Profil pro
    Inscrit en
    Octobre 2010
    Messages
    41
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Octobre 2010
    Messages : 41
    Points : 134
    Points
    134
    Par défaut
    C'est pas mal les gens qui découvrent le hack CSS en 2010...

    L'idée c'est de planquer une iframe dans une page html.

    Le script générant le contenu de l'iframe affiche n liens (10 000 ça passe plutôt discrètement) ayant pour .visited : background-image : "log.php?id_link=n"

    Pour chaque lien visité le script log.php sera appelé avec l'id du lien, et pourra donc retrouver l'adresse visitée.

    Sympa pour espionner un collègue de travail, un boss, ...

  13. #13
    Expert éminent sénior Avatar de Uther
    Homme Profil pro
    Tourneur Fraiseur
    Inscrit en
    Avril 2002
    Messages
    4 552
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Tourneur Fraiseur

    Informations forums :
    Inscription : Avril 2002
    Messages : 4 552
    Points : 15 463
    Points
    15 463
    Par défaut
    Cette méthode a le mérite de marcher même sur les navigateur avec Javascript désactivé, mais elle est plutôt violente.

    Si Javascript est activé, comme c'est presque toujours le cas de nos jours, il y a moyen de faire plus simple. On peut utiliser le "getComputedStyle()" sur un lien, là encore pour voir s'il est marqué comme visité.

  14. #14
    Membre éclairé Avatar de Filippo
    Homme Profil pro
    Statisticien
    Inscrit en
    Mai 2004
    Messages
    864
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 50
    Localisation : France, Eure (Haute Normandie)

    Informations professionnelles :
    Activité : Statisticien

    Informations forums :
    Inscription : Mai 2004
    Messages : 864
    Points : 881
    Points
    881
    Par défaut
    Bonjour,
    quand je surfe, je vois bien que les pubs qui me sont proposées sont en lien direct avec le contenu des mes mails et des sites que je visite. Je ne crois pas beaucoup au hasard ...
    (\ _ /)
    (='.'=) Voici Lapinou. Aidez le à conquérir le monde
    (")-(") en le reproduisant

  15. #15
    Expert éminent sénior Avatar de Uther
    Homme Profil pro
    Tourneur Fraiseur
    Inscrit en
    Avril 2002
    Messages
    4 552
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Tourneur Fraiseur

    Informations forums :
    Inscription : Avril 2002
    Messages : 4 552
    Points : 15 463
    Points
    15 463
    Par défaut
    - En fonction du site que tu est en train de visiter, c'est normal.
    - En fonction des sites que tu as visité, ça pourrait s'expliquer par ce problème, même si je ne suis pas sur que les régie publicitaire classiques s'autorisent à utiliser ça. Pas à cause de la morale mais plutôt des problèmes techniques.
    - En fonction de tes mails, ça me parait par contre difficile a expliquer si tu n'as pas un troyen sur ta machine.

  16. #16
    Membre éclairé Avatar de Filippo
    Homme Profil pro
    Statisticien
    Inscrit en
    Mai 2004
    Messages
    864
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 50
    Localisation : France, Eure (Haute Normandie)

    Informations professionnelles :
    Activité : Statisticien

    Informations forums :
    Inscription : Mai 2004
    Messages : 864
    Points : 881
    Points
    881
    Par défaut
    Pour les mais, sous gmail il y a un petit bandeau avec une sélection de sites; le contenu est sans aucun doute en liaison avec les mails que j'ai envoyés ou reçus.
    (\ _ /)
    (='.'=) Voici Lapinou. Aidez le à conquérir le monde
    (")-(") en le reproduisant

  17. #17
    Futur Membre du Club
    Profil pro
    Inscrit en
    Octobre 2006
    Messages
    3
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Octobre 2006
    Messages : 3
    Points : 6
    Points
    6
    Par défaut Re:
    Changez de navigateur, et le problème est réglé.
    Voici le retour du site avec Opéra par exemple:
    Congratulations, we did not find anything in this category in your browser history.
    Feel free to try our other browser history tests.

  18. #18
    Membre éclairé Avatar de Filippo
    Homme Profil pro
    Statisticien
    Inscrit en
    Mai 2004
    Messages
    864
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 50
    Localisation : France, Eure (Haute Normandie)

    Informations professionnelles :
    Activité : Statisticien

    Informations forums :
    Inscription : Mai 2004
    Messages : 864
    Points : 881
    Points
    881
    Par défaut
    J'ai installé OpéraMini sur le mobile de ma femme, c'est vrai que c'est beaucoup plus rapide et convivial que le navigateur qui était fourni avec le téléphone.
    (\ _ /)
    (='.'=) Voici Lapinou. Aidez le à conquérir le monde
    (")-(") en le reproduisant

  19. #19
    Modérateur
    Avatar de sevyc64
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Janvier 2007
    Messages
    10 191
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 51
    Localisation : France, Pyrénées Atlantiques (Aquitaine)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Janvier 2007
    Messages : 10 191
    Points : 28 070
    Points
    28 070
    Par défaut
    Citation Envoyé par legonzo Voir le message
    Changez de navigateur, et le problème est réglé.
    Voici le retour du site avec Opéra par exemple:
    Congratulations, we did not find anything in this category in your browser history.
    Feel free to try our other browser history tests.
    Même message avec FF3.6

    Developpez.net et Developpez.com ne doivent pas être dans la liste testée
    --- Sevyc64 ---

    Parce que le partage est notre force, la connaissance sera notre victoire

  20. #20
    Membre habitué
    Inscrit en
    Septembre 2010
    Messages
    84
    Détails du profil
    Informations forums :
    Inscription : Septembre 2010
    Messages : 84
    Points : 183
    Points
    183
    Par défaut
    Bon bin y'a un bug dans le bug, parce que tout ce que ce site me révèle comme pages visitées, c'est Wikipédia, alors que je vais sur bien d'autres sites.
    Quoi que c'est déjà assez compromettant, si la CIA s'aperçoit que mon historique se limite au page "Bangladesh, Tomate, Inquisition, Hendrix et Sophisme, ils vont m'enfermer à l'asile

Discussions similaires

  1. Réponses: 0
    Dernier message: 04/02/2014, 22h05
  2. Récupérer des données depuis une BDD sur un serveur de mon site web
    Par kookitanou dans le forum Développement Web en Java
    Réponses: 2
    Dernier message: 30/10/2012, 11h52
  3. Réponses: 12
    Dernier message: 07/12/2010, 11h37
  4. Créer une radio sur le net
    Par gobmok dans le forum Outils
    Réponses: 3
    Dernier message: 21/11/2006, 15h36

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo