IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Actualités Discussion :

les données des logs Web peuvent identifier l’activité des machines individuelles

  1. #1
    Responsable .NET

    Avatar de Hinault Romaric
    Homme Profil pro
    Consultant
    Inscrit en
    Janvier 2007
    Messages
    4 570
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Janvier 2007
    Messages : 4 570
    Points : 252 372
    Points
    252 372
    Billets dans le blog
    121
    Par défaut les données des logs Web peuvent identifier l’activité des machines individuelles
    les données des logs Web peuvent identifier l’activité des machines individuelles
    et menacer la vie privée en ligne selon les chercheurs de Microsoft


    Les données recueillies régulièrement dans les journaux des événements (logs) Web comme les adresses IP, les identifiants des cookies, le système d’exploitation, le type d’utilisateur, l’agent utilisateur, etc. peuvent être une menace pour la vie privée en ligne.

    Selon les chercheurs de Microsoft Research, ces informations peuvent être exploitées pour identifier l’activité des machines individuelles.

    Les chercheurs ont constaté que les informations de la chaine HTTP de l’agent utilisateur peuvent permettre d’identifier un hôte dans 62% des cas. Cette information combinée avec l’adresse IP, la précision passe à 80,6%. Si les données de l’agent utilisateur sont associées uniquement avec le préfixe IP, la précision se retrouve à environ 79,3%.



    Ces résultats sont issus d’une analyse en aout 2010 des données anonymes de Hotmail et de Bing pour de millions d’utilisateurs, dans le respect de la politique de confidentialité de Microsoft.

    L’analyse de ces données disponibles au niveau de la couche application des serveurs pour Bing et Hotmail, a permis aux chercheurs de recueillir des informations secondaires sur le système d’exploitation, le type de navigateur, l’adresse IP source, le temps de connexion et des ID anonymes pour Hotmail. Pour Bing, les informations de l’agent utilisateur, les adresses IP et les cookies générés par le moteur de recherche.

    Ainsi, les fournisseurs de service pourraient reconnaitre 88% des dispositifs qui reçoivent un cookie, même si ceux-ci utilisent la navigation privée, conçue pour protéger l’identité des utilisateurs, concluent les chercheurs de Microsoft.

    Microsoft Research note par ailleurs que l’analyse de ces données peut aider à détecter une activité malveillante sur internet, et améliorer de ce fait la sécurité.

    Enfin, ceux-ci conseillent aux utilisateurs qui ne souhaitent pas être suivis qu’en plus de la suppression des cookies, ils doivent utiliser un navigateur dont la chaine de l’agent utilisateur est populaire, utiliser des outils comme Torbutton pour gérer les informations d’identité, et envisager l’utilisation des proxies.



    Source : le rapport de Microsoft Research (au format PDF)


    Et vous ?

    Qu'en pensez-vous ?
    Vous souhaitez participer aux rubriques .NET ? Contactez-moi

    Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire
    Mon blog, Mes articles, Me suivre sur Twitter
    En posant correctement votre problème, on trouve la moitié de la solution

  2. #2
    Expert éminent sénior

    Profil pro
    Inscrit en
    Janvier 2007
    Messages
    10 603
    Détails du profil
    Informations personnelles :
    Âge : 66
    Localisation : France

    Informations forums :
    Inscription : Janvier 2007
    Messages : 10 603
    Points : 17 913
    Points
    17 913
    Billets dans le blog
    2
    Par défaut
    Citation Envoyé par Hinault Romaric Voir le message
    Et vous ?

    Qu'en pensez-vous ?
    J'ai déjà dit maintes fois, en me faisant blaster, que les "cookies" étaient une horreur informatique et privée..

    Qui accepterait qu'à chaque coup de téléphone, celui qui téléphone/ou chez qui on téléphone soit autorisé à déposer quelque chose chez vous ?

    A ce qui paraît, j'y comprend rien et l'info serait différente.. Ben voyons...

    PS: d'ailleurs c'est bizarre, mais à la grande époque des débuts du Web, ni Mosaic ni IE n'avaient besoin de cookies..
    "Un homme sage ne croit que la moitié de ce qu’il lit. Plus sage encore, il sait laquelle".

    Consultant indépendant.
    Architecture systèmes complexes. Programmation grosses applications critiques. Ergonomie.
    C, Fortran, XWindow/Motif, Java

    Je ne réponds pas aux MP techniques

  3. #3
    Membre régulier
    Homme Profil pro
    Étudiant
    Inscrit en
    Novembre 2010
    Messages
    51
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Étudiant
    Secteur : Communication - Médias

    Informations forums :
    Inscription : Novembre 2010
    Messages : 51
    Points : 79
    Points
    79
    Par défaut Les cookies, c'est bon
    Les cookies sont là pour améliorer ta navigation
    Avec les cookies, le Javascript peut stocker tes préférences entre deux rafraîchissement de page.
    Sauvegarder une session par exemple devient moins utile maintenant pour les navigateur qui te connectent en une touche mais il n'y a pas que l'utilité des session. Prends par exemple sur un forum, les threads lu des message non lu peuvent être checkés dans un cookie, mais au delà d'un site pour une vrai aplication web (jeu, logiciel) stocker des données est indispensable entre deux utilisation...

    A l'heure où on demande de plus en plus au client de générer son contenu, je ne pense même plus qu'on va se contenter d'un simple fichier mais aussi d'une véritable piscine de données.
    Il faudra améliorer la sécurité en conséquence, mais le problème ne vient pas de ce principe.

  4. #4
    Modérateur
    Avatar de sevyc64
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Janvier 2007
    Messages
    10 191
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 51
    Localisation : France, Pyrénées Atlantiques (Aquitaine)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Janvier 2007
    Messages : 10 191
    Points : 28 070
    Points
    28 070
    Par défaut
    Citation Envoyé par souviron34 Voir le message
    PS: d'ailleurs c'est bizarre, mais à la grande époque des débuts du Web, ni Mosaic ni IE n'avaient besoin de cookies..
    Mais encore à l'heure actuelle, aucun navigateur n'a besoin de cookies pour fonctionner. Tu peux complètement les refuser, ton navigateur fonctionnera très bien.

    C'est les sites que tu visite qui ont besoin des cookies pour stocker diverses informations sur toi. Eux par contre, pourront avoir des difficultés à t'envoyer l'information recherchée si tu as désactiver les cookies. Et certains ont besoin de beaucoup beaucoup d'informations.
    --- Sevyc64 ---

    Parce que le partage est notre force, la connaissance sera notre victoire

  5. #5
    Membre à l'essai
    Femme Profil pro
    Cyberdocumentaliste
    Inscrit en
    Novembre 2008
    Messages
    6
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : France

    Informations professionnelles :
    Activité : Cyberdocumentaliste
    Secteur : Arts - Culture

    Informations forums :
    Inscription : Novembre 2008
    Messages : 6
    Points : 17
    Points
    17
    Par défaut Ah booon ???
    Merveilleuse découverte que les "chercheurs" de MS viennent de faire là !!!
    Ça n'est pas censé permettre de faire çà les logs??? Je trouve normal que un admin système puisse se retourner contre une IP qui l'agresse ou qui a un comportement anormal et que cela soit tracé. Ensuite il ne faut pas oublier que on ne devient pas admin d'une base de données d'utilisateurs ou de fichiers de logs sans une certaine éthique et que les cas crapuleux d'exploitation malfaisante de ces données sont rares (hormis business organisé à la Facebook, Google, etc.). Après tout, quand on se connecte sur un site, on rentre dessus... L'hôte, avant d'ouvrir la porte a tout de même le droit de demander qui est là !!!

  6. #6
    Membre expérimenté
    Homme Profil pro
    Développeur Web
    Inscrit en
    Juillet 2009
    Messages
    420
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 43
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Juillet 2009
    Messages : 420
    Points : 1 471
    Points
    1 471
    Par défaut
    Citation Envoyé par souviron34 Voir le message
    J'ai déjà dit maintes fois, en me faisant blaster, que les "cookies" étaient une horreur informatique et privée...
    Comment fonctionnerait un forum (par exemple) sans cookie ? Tu propose l'identification obligatoire à chaque action ?

    Comment les "plusseurs" et les "moinsseurs" pourraient fonctionner ?

  7. #7
    Membre expérimenté
    Homme Profil pro
    Développeur Web
    Inscrit en
    Juillet 2009
    Messages
    420
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 43
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Juillet 2009
    Messages : 420
    Points : 1 471
    Points
    1 471
    Par défaut
    Citation Envoyé par simonf Voir le message
    Après tout, quand on se connecte sur un site, on rentre dessus... L'hôte, avant d'ouvrir la porte a tout de même le droit de demander qui est là !!!
    Exact. D'ailleurs, pour approfondir l'analogie, le cookie, c'est comme le tampon qu'on fait sur la main en entrant dans un concert. Donc oui, même dans la "vraie vie" ça existe et c'est normal.

  8. #8
    Modérateur
    Avatar de sevyc64
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Janvier 2007
    Messages
    10 191
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 51
    Localisation : France, Pyrénées Atlantiques (Aquitaine)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Janvier 2007
    Messages : 10 191
    Points : 28 070
    Points
    28 070
    Par défaut
    Citation Envoyé par tontonnux Voir le message
    Exact. D'ailleurs, pour approfondir l'analogie, le cookie, c'est comme le tampon qu'on fait sur la main en entrant dans un concert. Donc oui, même dans la "vraie vie" ça existe et c'est normal.
    L'analogie s’arrête bien vite.

    Le tampon sur la main tu sais quand on te le met, tu sais ce qui a dessus, tu sais quand quelqu'un l'utilise, et, à priori, il ne sert qu'à celui qui l'a posé. Et un tampon, quand tu sort et que tu reviens 2 jour plus tard, il n'est plus valable.

    Un cookies, tu ne sais quand il arrive, ni ce qu'il stocke, ni qui l'utilise et comment. Rien ne te dit que des sites ne cherchent pas à lire, ou seulement la présence de cookies d'autres sites rein que pour savoir si tu es aller sur ces autres sites. Et certains cookies ont une durée de vies de plusieurs années.

    Bref, les cookies est une cuisine interne dont tu ne sais rien et que tu ne maitrise pas.
    Si la plupart du temps c'est utiliser à bon escient, on a aucun moyen de savoir quand ça ne l'ai pas.
    --- Sevyc64 ---

    Parce que le partage est notre force, la connaissance sera notre victoire

  9. #9
    Membre expérimenté
    Homme Profil pro
    Développeur Web
    Inscrit en
    Juillet 2009
    Messages
    420
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 43
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Juillet 2009
    Messages : 420
    Points : 1 471
    Points
    1 471
    Par défaut
    Citation Envoyé par sevyc64 Voir le message
    L'analogie s’arrête bien vite.

    Le tampon sur la main tu sais quand on te le met, tu sais ce qui a dessus, tu sais quand quelqu'un l'utilise, et, à priori, il ne sert qu'à celui qui l'a posé. Et un tampon, quand tu sort et que tu reviens 2 jour plus tard, il n'est plus valable.

    Un cookies, tu ne sais quand il arrive, ni ce qu'il stocke, ni qui l'utilise et comment. Rien ne te dit que des sites ne cherchent pas à lire, ou seulement la présence de cookies d'autres sites rein que pour savoir si tu es aller sur ces autres sites. Et certains cookies ont une durée de vies de plusieurs années.

    Bref, les cookies est une cuisine interne dont tu ne sais rien et que tu ne maitrise pas.
    Si la plupart du temps c'est utiliser à bon escient, on a aucun moyen de savoir quand ça ne l'ai pas.
    Non, l'analogie sur l’existence du cookie reste bonne. La question qui se pose ensuite en effet est celle de son utilisation.
    Rien n'empêche un organisateur de concert de décider que ton tampon reste valable plusieurs jours (enfin si... le savon, mais c'est autre chose).

  10. #10
    Expert éminent sénior Avatar de Uther
    Homme Profil pro
    Tourneur Fraiseur
    Inscrit en
    Avril 2002
    Messages
    4 552
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Tourneur Fraiseur

    Informations forums :
    Inscription : Avril 2002
    Messages : 4 552
    Points : 15 463
    Points
    15 463
    Par défaut
    Le problème c'est que l'utilisation de ces informations est invisible pour presque tout le monde. Seul un utilisateur avancé sait comment gérer ses cookies, et même s'il sait comment faire, il ne le fait pas car ça devient vite trop contraignant.

    Quand ta main est tamponnée, tu le sais et tu peux l’effacer quand tu le souhaites. Le cookie est en fait plus proche du message scotché dans ton dos que du tampon sur la main

  11. #11
    Membre expérimenté
    Homme Profil pro
    Développeur Web
    Inscrit en
    Juillet 2009
    Messages
    420
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 43
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Juillet 2009
    Messages : 420
    Points : 1 471
    Points
    1 471
    Par défaut
    Citation Envoyé par Uther Voir le message
    Le problème c'est que l'utilisation de ces informations est invisible pour presque tout le monde. Seul un utilisateur avancé sait comment gérer ses cookies, et même s'il sait comment faire, il ne le fait pas car ça devient vite trop contraignant.

    Quand ta main est tamponnée, tu le sais et tu peux l’effacer quand tu le souhaites. Le cookie est en fait plus proche du message scotché dans ton dos que du tampon sur la main
    C'est bien ce que je dis, le problème n'est pas le cookie, mais son utilisation.
    Est-ce qu'il faut surveiller son utilisation, mieux l'encadrer, mieux éduquer l'utilisateur, l'impliquer plus dans l'utilisation des cookies ? Oui. Mais de là à remettre en cause l'utilité même du cookie...

    Des gens meurent d'intoxication alimentaire, mais on ne va pas fermer les restaurants pour autant...

  12. #12
    Membre éprouvé Avatar de pcdwarf
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    Février 2010
    Messages
    267
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : Février 2010
    Messages : 267
    Points : 964
    Points
    964
    Par défaut
    Merveilleuse découverte que les "chercheurs" de MS viennent de faire là !!!
    Ça n'est pas censé permettre de faire çà les logs???
    +1
    Avec des trouvailles pareilles, m$ mérite un prix nobel de lapalissade.

    Ensuite il ne faut pas oublier que on ne devient pas admin d'une base de données d'utilisateurs ou de fichiers de logs sans une certaine éthique et que les cas crapuleux d'exploitation malfaisante de ces données sont rares (hormis business organisé à la Facebook, Google, etc.).
    C'est un point sensible ça... Pour moi tout buisness organisé sur l'analyse des logs d'un service qui se présente comme ouvert et gratuit relève de l'abus ou au moins du mensonge par omission.

    Après tout, quand on se connecte sur un site, on rentre dessus... L'hôte, avant d'ouvrir la porte a tout de même le droit de demander qui est là !!!
    +1000
    Encore une évidence !
    C'est parfois tellement flagrant que personne ne le voit.

  13. #13
    Membre émérite

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Avril 2006
    Messages
    666
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 84
    Localisation : France

    Informations professionnelles :
    Activité : Administrateur de base de données
    Secteur : Service public

    Informations forums :
    Inscription : Avril 2006
    Messages : 666
    Points : 2 817
    Points
    2 817
    Billets dans le blog
    1
    Par défaut
    Citation Envoyé par souviron34 Voir le message
    J'ai déjà dit maintes fois, en me faisant blaster, que les "cookies" étaient une horreur informatique et privée..

    Qui accepterait qu'à chaque coup de téléphone, celui qui téléphone/ou chez qui on téléphone soit autorisé à déposer quelque chose chez vous ?
    Ceci montre une parfaite méconnaissance du Web ou alors une tentative grossière de troll de ta part.

    La grosse différence entre une communication téléphonique et une succession de requêtes HTTP vers un site Web, c'est que dans le premier cas, une communication est établie entre deux points, et donc durant toute la conversation on n'est pas toujours en train de se demander à qui on parle. De plus, votre correspondant a vu votre numéro s'afficher, et il peut également vous identifier à la voix.

    Ce n'est pas le cas des connexions HTTP qui sont toutes faites indépendamment les unes des autres, d'où la nécessité de recourir à différentes méthodes permettant de pouvoir modéliser la connexion qui n'existe pas au niveau physique des requêtes HTTP. Les cookies sont une méthode très efficace pour cela, bien plus fiable et sûre que celle de passer un identifiant de session dans l'url.

    Ne pas oublier que les cookies ne peuvent être lus que par les sites qui les ont déposés, et que certes si ceux-ci pourraient permettre en théorie de tracer les utilisateurs, les informations stockées sont très petites, peu personnelles et ne permettront généralement pas de vous identifier personnellement, alors que d'autres choses de la vie courante, comme la vidéo-surveillance, elle, vous identifieront sans le moindre problème. Il y a un moment où il faut quand même éviter de mettre trop de paranoïa dans des choses qui n'en valent pas le coup.

    En ce qui concerne l'enquête de Microsoft, effectivement ils ont découvert l'eau froide et ils tiennent à nous partager leur dernière trouvaille.

  14. #14
    Expert éminent sénior

    Profil pro
    Inscrit en
    Janvier 2007
    Messages
    10 603
    Détails du profil
    Informations personnelles :
    Âge : 66
    Localisation : France

    Informations forums :
    Inscription : Janvier 2007
    Messages : 10 603
    Points : 17 913
    Points
    17 913
    Billets dans le blog
    2
    Par défaut
    Citation Envoyé par Chuck_Norris Voir le message
    Ceci montre une parfaite méconnaissance du Web ou alors une tentative grossière de troll de ta part.

    La grosse différence entre une communication téléphonique et une succession de requêtes HTTP vers un site Web, c'est que dans le premier cas, une communication est établie entre deux points, et donc durant toute la conversation on n'est pas toujours en train de se demander à qui on parle. De plus, votre correspondant a vu votre numéro s'afficher, et il peut également vous identifier à la voix.

    Ce n'est pas le cas des connexions HTTP qui sont toutes faites indépendamment les unes des autres, d'où la nécessité de recourir à différentes méthodes permettant de pouvoir modéliser la connexion qui n'existe pas au niveau physique des requêtes HTTP. Les cookies sont une méthode très efficace pour cela, bien plus fiable et sûre que celle de passer un identifiant de session dans l'url.

    Ne pas oublier que les cookies ne peuvent être lus que par les sites qui les ont déposés, et que certes si ceux-ci pourraient permettre en théorie de tracer les utilisateurs, les informations stockées sont très petites, peu personnelles et ne permettront généralement pas de vous identifier personnellement, alors que d'autres choses de la vie courante, comme la vidéo-surveillance, elle, vous identifieront sans le moindre problème. Il y a un moment où il faut quand même éviter de mettre trop de paranoïa dans des choses qui n'en valent pas le coup.
    .
    Ah bon ???

    • Pour l'affichage du numéro :


      • Et si je n'ai pas de téléphone à afficheur (ce qui est quand même très courant) ??

      • Et même si j'en ai un, il y a n'importe quel centre d'appel qui appelle en 0000000 par exemple..


    • En ce qui concerne HTTP : ce me semble, on demande bien une communication vers une adresse IP, non ? cette connexion est parfaitement identifiée entre l'émetteur et le récepteur... Que la route soit inconnue n'a pas d'importance.. puisque c'est bien le principe sous-jacent..



    'fin bref.. Toujours les mêmes arguments "on peut pas s'en passer"... Mais bien sûr que si qu'on peut s'en passer.. C'est juste plus facile pour les développeurs de sites de les avoir..

    Je ré-itère juste que le Web des années 93-99 n'en avait pas, et pourtant il marchait.. Bizarre autant qu'étrange, non ??
    "Un homme sage ne croit que la moitié de ce qu’il lit. Plus sage encore, il sait laquelle".

    Consultant indépendant.
    Architecture systèmes complexes. Programmation grosses applications critiques. Ergonomie.
    C, Fortran, XWindow/Motif, Java

    Je ne réponds pas aux MP techniques

  15. #15
    Expert éminent
    Avatar de pmithrandir
    Homme Profil pro
    Responsable d'équipe développement
    Inscrit en
    Mai 2004
    Messages
    2 418
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : Responsable d'équipe développement
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Mai 2004
    Messages : 2 418
    Points : 7 295
    Points
    7 295
    Par défaut
    Citation Envoyé par simonf Voir le message
    Merveilleuse découverte que les "chercheurs" de MS viennent de faire là !!!
    Ça n'est pas censé permettre de faire çà les logs??? Je trouve normal que un admin système puisse se retourner contre une IP qui l'agresse ou qui a un comportement anormal et que cela soit tracé.
    je pense que relire l'article ne ferait pas de mal avant de réagir a chaud.

    Ici, on ne parle pas d'identifier une liaison informatique, mais bien de l'unicité de chaque ordinateur relié a internet.

    C'est comme si on récoltait a ton insu des données sur toi :
    couleur des yeux, taille, couleur des cheveux, avec un degré de détail suffisamment élevé(par exemple la teinte exacte des couleurs) pour finalement être capable a 80% d'identifier à coup sur une personne unique sur le réseau.

    Ca n'est pas innocent, parce que ca veut dire que l'on peut vendre cette identité a quelqu'un d'autres, a plus forte raison quand elle est associée a d'autres information entrée dans les formulaires(nom, prénom...).

    Ca veut également dire que certaines sociétés peuvent avoir des bases avec des précisions élevées de personnes. Ca ne parait peut être rien, mais il y a encore 10 ans, c'était l’apanage des gouvernement et des fichiers de police d'avoir autant de détails.

    Potentiellement, a moins de vider son cache, ses données souvent, on s’aperçoit donc que des gens mal intentionnés pourraient facilement en faire un usage illégal ou immoral.

    EDIT : c'est marrant, mais j'ai l'impression qu'on a eu la même étude et la news qui va avec il y a 1 ou 2 ans.

  16. #16
    Membre expérimenté
    Homme Profil pro
    Développeur Web
    Inscrit en
    Juillet 2009
    Messages
    420
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 43
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Juillet 2009
    Messages : 420
    Points : 1 471
    Points
    1 471
    Par défaut
    Citation Envoyé par souviron34 Voir le message
    Ah bon ???
    Oui, il a parfaitement raison, et son explication me semble assez claire.

    Citation Envoyé par souviron34 Voir le message
    Pour l'affichage du numéro :
    En fait, comparer http et le téléphone, c'est comme si :
    1 - je t'appelle
    2 - je dis bonjour, tu dis bonjour
    3 - on raccroche
    4 - je t'appelle
    5 - je te demande comment ça va, mais tu ne sais plus qui je suis. C'est à ça que sert le cookie. C'est un aide mémoire pour serveur.

    Citation Envoyé par souviron34 Voir le message
    En ce qui concerne HTTP : ce me semble, on demande bien une communication vers une adresse IP, non ? cette connexion est parfaitement identifiée entre l'émetteur et le récepteur... Que la route soit inconnue n'a pas d'importance.. puisque c'est bien le principe sous-jacent..
    La connexion est bien identifiée entre le serveur et ton navigateur (et encore, à condition qu'il n'y ait que ton ordinateur de relier à ta box ce qui est devenu très rare aujourd'hui -console, téléphone, tablette etc...-), mais pas entre le serveur et toi. Ce n'est donc pas suffisent pour tout site qui a besoin de savoir que c'est bien toi et pas ta femme au "bout du fil".

    Citation Envoyé par souviron34 Voir le message
    'fin bref.. Toujours les mêmes arguments "on peut pas s'en passer"... Mais bien sûr que si qu'on peut s'en passer.. C'est juste plus facile pour les développeurs de sites de les avoir..
    Explique moi comment (sans méthode de bourrin évidemment). Je suis parfaitement ouvert.

    Pour info, je ne stocke jamais autre chose que l'identifiant de session dans mes cookies. Autrement dit, la seule chose que stock, c'est une chaine du type "f4e8cce52f2e3b865ca0a306f84ac10d".

    Citation Envoyé par souviron34 Voir le message
    Je ré-itère juste que le Web des années 93-99 n'en avait pas, et pourtant il marchait.. Bizarre autant qu'étrange, non ??
    Tu peux aussi dire qu'a l'époque où il n'y avait pas de téléphone, il n'y avait pas d'écoute téléphonique... C'est parfaitement idiot, mais oui tu peux le dire...

  17. #17
    Expert éminent
    Avatar de _skip
    Homme Profil pro
    Développeur d'applications
    Inscrit en
    Novembre 2005
    Messages
    2 898
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : Suisse

    Informations professionnelles :
    Activité : Développeur d'applications
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : Novembre 2005
    Messages : 2 898
    Points : 7 752
    Points
    7 752
    Par défaut
    Citation Envoyé par souviron34 Voir le message
    En ce qui concerne HTTP : ce me semble, on demande bien une communication vers une adresse IP, non ? cette connexion est parfaitement identifiée entre l'émetteur et le récepteur... Que la route soit inconnue n'a pas d'importance.. puisque c'est bien le principe sous-jacent..

    (...)
    'fin bref.. Toujours les mêmes arguments "on peut pas s'en passer"... Mais bien sûr que si qu'on peut s'en passer.. C'est juste plus facile pour les développeurs de sites de les avoir..

    Je ré-itère juste que le Web des années 93-99 n'en avait pas, et pourtant il marchait.. Bizarre autant qu'étrange, non ??
    Tout le monde est d'accord pour dire que HTTP est stateless par nature et que donc, conserver un état passe obligatoirement par un artifice, la solution des cookies c'est de dire que la personne qui arrive s'annonce.
    Dans l'annonce, un simple numéro de session peut suffire, on peut tout à fait stocker l'état sur serveur dans une sorte de map et ne stocker que l'identifiant de la clé chez le client.
    Le gros inconvénient ici c'est surtout la sécurité en cas d'attaque mitm.

    Tu parles de connexion entre 2 Ips, je suis pas un spécialiste système mais autant que je sache tu ne pas identifier une session à l'aide d'une IP, sinon toutes les personnes derrière une même IP publique (université, entreprise) partageraient la même session. Peut être ce serait possible si on supprimait les sous-réseaux et qu'on passait tous à l'ipv6, avec pour chaque poste une IP unique au monde mais ce serait à ce moment là encore pire côté confidentialité.

    Donc en gros, mon cher Souviron, vu tes années de bouteille, je ne t'ai sûrement rien appris à travers ces faits. Toutefois, tu dis que les développeurs de site sont flemmards, et qu'on s'y prenait autrement dans les années 92-95 (ma découverte du net ne date que de 98).
    Je serai curieux d'en savoir plus sur les autres solutions, ce n'est pas ironique. Enfin bien sûr sans remettre en cause le protocole http.

  18. #18
    Membre émérite
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Septembre 2008
    Messages
    1 190
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Septembre 2008
    Messages : 1 190
    Points : 2 657
    Points
    2 657
    Par défaut
    Citation Envoyé par _skip Voir le message
    Tu parles de connexion entre 2 Ips, je suis pas un spécialiste système mais autant que je sache tu ne pas identifier une session à l'aide d'une IP, sinon toutes les personnes derrière une même IP publique (université, entreprise) partageraient la même session.
    Disons que si tu as un proxy ou autre tu peux mettre sur tes requêtes la même adresse IP (pour les sites=même personne) et renvoyer la requête de retour vers la bonne personne au sein de ton réseau (local ou non).

  19. #19
    Expert éminent
    Avatar de pmithrandir
    Homme Profil pro
    Responsable d'équipe développement
    Inscrit en
    Mai 2004
    Messages
    2 418
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : Responsable d'équipe développement
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Mai 2004
    Messages : 2 418
    Points : 7 295
    Points
    7 295
    Par défaut
    Citation Envoyé par tontonnux Voir le message
    Pour info, je ne stocke jamais autre chose que l'identifiant de session dans mes cookies. Autrement dit, la seule chose que stock, c'est une chaine du type "f4e8cce52f2e3b865ca0a306f84ac10d".
    La méthode la plus simple consiste à balader dans ton url l'identifiant de session. De cette façon, tu ne stockes rien sur le PC de ton client mais tout dans ta session sur le serveur. Quand il revient, tu retrouves les données enregistrées depuis la session précédente et tu les remets dans la nouvelle.

    C'est le même niveau de sécurité que les cookies, l'identifiant de session est toujours baladé en clair(que ca soit dans l’entête ou dans l'url fait peut de différence)

  20. #20
    Membre actif
    Profil pro
    Inscrit en
    Février 2009
    Messages
    149
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Février 2009
    Messages : 149
    Points : 206
    Points
    206
    Par défaut
    Heuuu, je tiens à (re)préciser que le cookie est juste un critère supplémentaire (final) qui permet de vous identifiez "à 100%" (la machine)

    Sinon les cookies sont très bien, et peuvent respecter la vie privé des internautes.
    Sauf lorsqu'ils sont utilisés dans le but de vous pistez, et non de simplement garder votre session ou faire marcher un site web correctement.

    Et comme déjà dit plus haut, un cookie n'est accessible que par le domaine qui l'a crée.

    Un souci de vie privé se pose lorsque un site X intègre un site Y dans sa page (notamment via la balise html iframe)
    Le site Y peut alors savoir un paquet de choses par rapport au site parent X.

    A l'heure actuelle, vous trouverez en générale facebook à la place du site Y.
    Et donc facebook peu par exemple savoir "toutes" votre navigation, étant donné que son marqueur se trouve sur bcp trop de sites web...
    (à la condition que vous ayez le cookie facebook, et que vous ayez un compte fb bien sure...)

    Et sinon avant, ou même maintenant, cookie non activé sur le navigateur, il faut normalement passer par l'url pour stocker les paramètres.
    (mais un bon point de souviron, si il l'a dit qqpart, c'est que bcp de devs actuels sont flémmard )

Discussions similaires

  1. Réponses: 1
    Dernier message: 13/04/2010, 00h48
  2. Réponses: 6
    Dernier message: 18/07/2007, 11h55
  3. Réponses: 5
    Dernier message: 16/07/2007, 11h14
  4. Analyse des log web
    Par cjacquel dans le forum Statistiques
    Réponses: 1
    Dernier message: 10/04/2006, 23h46

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo