IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Responsable .NET

    Avatar de Hinault Romaric
    Homme Profil pro
    Consultant
    Inscrit en
    janvier 2007
    Messages
    4 570
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2007
    Messages : 4 570
    Points : 252 332
    Points
    252 332
    Billets dans le blog
    118
    Par défaut Un simple script permet de savoir si les internautes sont connectés à des services Web
    Un simple script permet de savoir si les internautes sont connectés à des services Web
    Nouveau problème de confidentialité en perspective


    Un développeur Web anglais vient de trouver un moyen simple de savoir si les visiteurs de son site sont connectés à Gmail, Facebook, Twitter ou Digg.

    Mike Cardwell a ainsi écrit un script JavaScript assez simple qui utilise les codes de statut retournés par de nombreux services. Ces retours diffèrent selon que l’utilisateur est connecté ou non. Conséquence, en analysant la réponse, il est possible de connaitre leur statut (connecté ou non).

    Le Script fonctionne de manière assez fiable pour Twitter, Facebook et Digg.

    Dans ces trois cas, Cardwel exploite le statut HTTP qui est retourné lorsque le navigateur du visiteur rencontre le lien qui se trouve dans son script. Cardwel estime que ce procédé est très efficace car il est très difficile d'éviter l’envoi des codes d’état HTTP.

    Pour Gmail, Cardwel, utilise une autre méthode. Il met en ligne une photo dans un dossier public, mais uniquement consultable par les utilisateurs connectés à Gmail. Le Script essaye ensuite de voir si l'image est renvoyée (statut connecté) ou pas (déconnecté).

    Ces méthodes fonctionnent sous Chrome, Safari ou Firefox.

    Ces Scripts ne sont en aucun cas des exploits (ils ne permettent pas d'accéder aux services avec le compte de l'utilisateur). Mais ils posent question au moment où Firefox et Chrome tentent de trouver des parades au ciblage comportemental publicitaire. Savoir si un visiteur utilise tel ou tel service peut en effet rentrer dans ce genre d'analyse – cachée – des visiteurs.

    Autre souci souligné par Mike Cardwell, étendre cette méthode permettrait de tracer un internaute, même de manière partielle, en sachant quel site il visite régulièrement (ceux pour lesquels il a choisi de se connecter automatiquement par exemple). Des plus évidents (Facebook, Gmail, etc.) aux plus « sensibles ».

    Source : Blog de Cardwel


    En collaboration avec Gordon Fowler
    Vous souhaitez participer aux rubriques .NET ? Contactez-moi

    Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire
    Mon blog, Mes articles, Me suivre sur Twitter
    En posant correctement votre problème, on trouve la moitié de la solution

  2. #2
    Invité
    Invité(e)
    Par défaut
    si j'ai bien compris il declare une image et avec comme adresse celle d'une image qui appartient a un un compte gmail disponible quand le compte est loggé et si l'image est lu (onload) on en conclu que la personne est loggé

    c'est tout con

  3. #3
    Expert confirmé
    Avatar de Loceka
    Profil pro
    Inscrit en
    mars 2004
    Messages
    2 273
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mars 2004
    Messages : 2 273
    Points : 4 753
    Points
    4 753

  4. #4
    Expert éminent sénior

    Inscrit en
    juillet 2009
    Messages
    3 407
    Détails du profil
    Informations forums :
    Inscription : juillet 2009
    Messages : 3 407
    Points : 148 792
    Points
    148 792
    Par défaut
    Citation Envoyé par Loceka Voir le message
    Salut,

    Il s'agit de deux sujets bien différents (bien que sur le même sujet de la confidentialité),

    Cordialement,

  5. #5
    Expert confirmé
    Avatar de Loceka
    Profil pro
    Inscrit en
    mars 2004
    Messages
    2 273
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mars 2004
    Messages : 2 273
    Points : 4 753
    Points
    4 753
    Par défaut
    Il s'agit du même exploit : se servir de l'historique du navigateur dans un javascript pour savoir si l'utilisateur est ou non connecté à un site.

    Après c'est sûr que c'est juste un exemple d'application du premier post mais techniquement c'est la même chose.

  6. #6
    Expert éminent sénior
    Avatar de Paul TOTH
    Homme Profil pro
    Freelance
    Inscrit en
    novembre 2002
    Messages
    8 272
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 52
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Freelance
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : novembre 2002
    Messages : 8 272
    Points : 26 784
    Points
    26 784
    Par défaut
    Citation Envoyé par Loceka Voir le message
    Il s'agit du même exploit : se servir de l'historique du navigateur dans un javascript pour savoir si l'utilisateur est ou non connecté à un site.

    Après c'est sûr que c'est juste un exemple d'application du premier post mais techniquement c'est la même chose.
    je n'accède pas à l'article...mais de ce qu'il en est dit, ce n'est pas une histoire de navigation mais de réponse HTTP, le code erreur ne serait pas le même pour une personne non identifiée (401 j'imagine) et non autorisée (403) (cf Wikipedia)
    Developpez.com: Mes articles, forum FlashPascal
    Entreprise: Execute SARL
    Le Store Excute Store

  7. #7
    Expert éminent sénior
    Avatar de Marco46
    Homme Profil pro
    Développeur informatique
    Inscrit en
    août 2005
    Messages
    4 413
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : août 2005
    Messages : 4 413
    Points : 19 368
    Points
    19 368
    Par défaut
    En bref c'est un nmap de réseaux sociaux qui permet de déterminer le degré de lobotomisation de l'internaute ciblé
    Un problème avec Git ? Essayez la FAQ, sinon posez votre question sur le forum.



    "Toute personne croyant qu'une croissance exponentielle peut durer indéfiniment dans un monde fini est soit un fou, soit un économiste."
    Kenneth E. Boulding

    "Les richesses naturelles sont inépuisables, car, sans cela, nous ne les obtiendrions pas gratuitement. Ne pouvant être ni multipliées ni épuisées, elles ne sont pas l’objet des sciences économiques."
    Jean-Baptiste Say, Traité d'économie politique, 1803.

    "/home/earth is 102% full ... please delete anyone you can."
    Inconnu

  8. #8
    Membre éprouvé
    Profil pro
    Inscrit en
    juillet 2010
    Messages
    657
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : juillet 2010
    Messages : 657
    Points : 1 237
    Points
    1 237
    Par défaut
    Perso chez moi javascript est maintenant désactivé par défaut.
    Pas besoin de Js pour gmail , mais les sites qui ne proposent pas de fallback en pure html , c'est tant pis pour eux, et de plus en plus de monde fait de même.

  9. #9
    Expert éminent
    Avatar de pmithrandir
    Homme Profil pro
    Responsable d'équipe développement
    Inscrit en
    mai 2004
    Messages
    2 251
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : Responsable d'équipe développement
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : mai 2004
    Messages : 2 251
    Points : 6 486
    Points
    6 486
    Par défaut
    Citation Envoyé par camus3 Voir le message
    Perso chez moi javascript est maintenant désactivé par défaut.
    Pas besoin de Js pour gmail , mais les sites qui ne proposent pas de fallback en pure html , c'est tant pis pour eux, et de plus en plus de monde fait de même.
    Plus simple que ca on pourrait avoir un niveau de confidentialité ou un site a interdiction d'ouvrir un contenu depuis un domaine différent.

    Exemple, on autorise pas www.google.fr a faire une requete HTTP(image, AJAX, etc..) sur facebook.com

    Mais on limitee l'experience utilisateur... pour prevenir juste le fait de savoir si l'utilisateur utilise ou pas des services...

    Quand on desactiver javascript, c'est revenir au web d'il y a 10 ans, et moi il ne me manque pas.

  10. #10
    Membre confirmé Avatar de WebPac
    Profil pro
    Inscrit en
    mai 2004
    Messages
    947
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mai 2004
    Messages : 947
    Points : 496
    Points
    496
    Par défaut
    Citation Envoyé par Hinault Romaric Voir le message
    Un script permet de savoir si les internautes sont connectés à des services Web, vers des problèmes de confidentialité ?
    C'est moi où les news sur Developpez font de plus en plus racoleur pour lancer et nourrir des trolls ?

  11. #11
    Membre chevronné
    Homme Profil pro
    Développeur informatique
    Inscrit en
    juillet 2005
    Messages
    541
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : juillet 2005
    Messages : 541
    Points : 1 863
    Points
    1 863
    Par défaut
    Citation Envoyé par pmithrandir Voir le message
    Plus simple que ca on pourrait avoir un niveau de confidentialité ou un site a interdiction d'ouvrir un contenu depuis un domaine différent.

    Exemple, on autorise pas www.google.fr a faire une requete HTTP(image, AJAX, etc..) sur facebook.com
    ...
    Ce serait très très embêtant, pour tout ce qui est contenu embedded ( genre videos ), pour les pubs aussi ( qui même si vous les aimez pas, font vivre une très grosse partie du web )
    If it's free, you are not the customer, you are the product.

  12. #12
    Expert éminent
    Avatar de pmithrandir
    Homme Profil pro
    Responsable d'équipe développement
    Inscrit en
    mai 2004
    Messages
    2 251
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : Responsable d'équipe développement
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : mai 2004
    Messages : 2 251
    Points : 6 486
    Points
    6 486
    Par défaut
    Citation Envoyé par Neko Voir le message
    Ce serait très très embêtant, pour tout ce qui est contenu embedded ( genre videos ), pour les pubs aussi ( qui même si vous les aimez pas, font vivre une très grosse partie du web )
    Pour le contenu embed, je pense qu'il est possible d'automatiser le ait que la zone se reserve, et que l'on nee voit ce qu'il y a dessus qu'en cliquant.

    Pour la pub, c'est effectivement un soucis.
    Mais mon idée etait de proposer le niveau de sécurité, pas de l'imposer a tous.

  13. #13
    Expert éminent sénior
    Avatar de Paul TOTH
    Homme Profil pro
    Freelance
    Inscrit en
    novembre 2002
    Messages
    8 272
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 52
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Freelance
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : novembre 2002
    Messages : 8 272
    Points : 26 784
    Points
    26 784
    Par défaut
    Citation Envoyé par pmithrandir Voir le message
    Pour le contenu embed, je pense qu'il est possible d'automatiser le ait que la zone se reserve, et que l'on nee voit ce qu'il y a dessus qu'en cliquant.

    Pour la pub, c'est effectivement un soucis.
    Mais mon idée etait de proposer le niveau de sécurité, pas de l'imposer a tous.
    tu ne fais jamais "clic droit, ouvrir dans un nouvel onglet ?" ou "copier l'URL" et coller dans un nouvel onglet ?

    ça m'embêterait de retomber sur la page de login à chaque fois.

    D'ailleurs si on désactive cela systématiquement, les boutons "J'aime" externes à FB ne fonctionneraient plus.

    maintenant il serait intéressant en effet de pouvoir dissocier des instances de navigation...aujourd'hui il faut lancer deux navigateurs différents, il pourrait être intéressant de pouvoir le faire avec un même navigateur...

    reste à savoir comment reconnaitre la session qui contient le cookie de Facebook de celle qui contient celui de gmail ...

    hum après tout on pourrait avoir des icons en bas de page avec le F de facebook le G de gmail, le Y de yahoo, etc... qu'on pourrait activer ou pas à volonter (un peu comme Firebug ou xDebugSession), quand on décoche les cookies ne sont pas envoyés, quand on coche il le sont...du coup quand je suis sur une page autre que Facebook et que je décoche le F, une requête AJAX ne serait plus que je suis connecté...un peu lourd mais ça répond à la demande

    ça devrait même pouvoir se coder comme une extension à priori.
    Developpez.com: Mes articles, forum FlashPascal
    Entreprise: Execute SARL
    Le Store Excute Store

  14. #14
    Membre chevronné
    Profil pro
    Inscrit en
    janvier 2006
    Messages
    927
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : janvier 2006
    Messages : 927
    Points : 2 079
    Points
    2 079
    Par défaut
    hum après tout on pourrait avoir des icons en bas de page avec le F de facebook le G de gmail, le Y de yahoo, etc... qu'on pourrait activer ou pas à volonter [...]
    Et avec une iĉone pour bloquer tout le contenu extérieure, pour rassembler les 2 idées. Je vote pour, même sans.
    "If you can't teach it then you don't know it."

  15. #15
    Expert éminent
    Avatar de pmithrandir
    Homme Profil pro
    Responsable d'équipe développement
    Inscrit en
    mai 2004
    Messages
    2 251
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : Responsable d'équipe développement
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : mai 2004
    Messages : 2 251
    Points : 6 486
    Points
    6 486
    Par défaut
    Citation Envoyé par Paul TOTH Voir le message
    D'ailleurs si on désactive cela systématiquement, les boutons "J'aime" externes à FB ne fonctionneraient plus.
    C'est ce a quoi je pensais.
    Avoir ce niveau de sécurité qui interdit a la page l'accés aux url hors domaines.

    Ce niveau de sécurité se situerai entre le comportement normal et le retrait de javascript.(et éviterait que javascript ne soit desactivé)

  16. #16
    Membre habitué
    Profil pro
    Inscrit en
    octobre 2010
    Messages
    41
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : octobre 2010
    Messages : 41
    Points : 134
    Points
    134
    Par défaut
    Bah disons qu'une fois qu'un hacker sait quels services tu utilises, il peut utiliser le tabnabbing, voire le phishing pour te voler ton compte...

    Au final, c'est quand même une "faille" importante puisqu'elle permet un meilleur ciblage des victimes de hacking.
    Encore un truc qui rend plus dangereuses les failles XSS.

  17. #17
    Membre averti Avatar de LhIaScZkTer
    Inscrit en
    mai 2004
    Messages
    564
    Détails du profil
    Informations personnelles :
    Âge : 39

    Informations forums :
    Inscription : mai 2004
    Messages : 564
    Points : 301
    Points
    301
    Par défaut
    Il n'y a pas besoin de chercher autant loin.

    Aujourd'hui certains sites, comme Facebook, mettent à disposition des services qui permettent à un utilisateur, depuis un site Y, d'alimenter par exemple facebook. Donc au moment où l'utilisateur lambda se connecte au site Y on peut déjà savoir s'il est connecté ou non aux sites proposant ce genre de services.
    Sun Certified Java Programmer, SE 6 et Sun Certified Web Component Developer, J2EE 5

  18. #18
    Membre averti Avatar de LhIaScZkTer
    Inscrit en
    mai 2004
    Messages
    564
    Détails du profil
    Informations personnelles :
    Âge : 39

    Informations forums :
    Inscription : mai 2004
    Messages : 564
    Points : 301
    Points
    301
    Par défaut
    Citation Envoyé par Ev3r10st Voir le message
    Encore un truc qui rend plus dangereuses les failles XSS.
    Rien à voir avec le XSS. Le XSS consiste en l'injection de code dans un site cible, ne pas confondre avec les différentes formes de pishing.
    Sun Certified Java Programmer, SE 6 et Sun Certified Web Component Developer, J2EE 5

  19. #19
    Nouveau membre du Club
    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    décembre 2008
    Messages
    34
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données
    Secteur : Communication - Médias

    Informations forums :
    Inscription : décembre 2008
    Messages : 34
    Points : 39
    Points
    39
    Par défaut
    On est en droit de se demander si nos données confidentielles sont en danger. À quand le prochain script qui lui, peut, en utilisant une session ouverte, accèder au dit service comme par exemple Facebook ou même gmail?

    Moral de cet histoire, ouvrez une seule session firefox, explorer, chrome, visitez votre service "sensible" puis ensuite fermez votre session avant d'en ouvrir une nouvelle pour les activités plus générales.

Discussions similaires

  1. Réponses: 4
    Dernier message: 27/08/2012, 22h20
  2. Réponses: 6
    Dernier message: 03/05/2009, 14h45
  3. Réponses: 60
    Dernier message: 25/10/2006, 14h47
  4. Script: permet de savoir date fichier
    Par noirot dans le forum Windows
    Réponses: 2
    Dernier message: 14/04/2006, 17h47
  5. Comment savoir si les ScrollBar sont visibles sur un TRichEdit ?
    Par vanquish dans le forum Composants VCL
    Réponses: 2
    Dernier message: 16/10/2003, 11h28

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo