Discussion :

[Hinault Romaric]

Un simple script permet de savoir si les internautes sont connectés à des services Web
Nouveau problème de confidentialité en perspective


Un développeur Web anglais vient de trouver un moyen simple de savoir si les visiteurs de son site sont connectés à Gmail, Facebook, Twitter ou Digg.

Mike Cardwell a ainsi écrit un script JavaScript assez simple qui utilise les codes de statut retournés par de nombreux services. Ces retours diffèrent selon que l’utilisateur est connecté ou non. Conséquence, en analysant la réponse, il est possible de connaitre leur statut (connecté ou non).

Le Script fonctionne de manière assez fiable pour Twitter, Facebook et Digg.

Dans ces trois cas, Cardwel exploite le statut HTTP qui est retourné lorsque le navigateur du visiteur rencontre le lien qui se trouve dans son script. Cardwel estime que ce procédé est très efficace car il est très difficile d'éviter l’envoi des codes d’état HTTP.

Pour Gmail, Cardwel, utilise une autre méthode. Il met en ligne une photo dans un dossier public, mais uniquement consultable par les utilisateurs connectés à Gmail. Le Script essaye ensuite de voir si l'image est renvoyée (statut connecté) ou pas (déconnecté).

Ces méthodes fonctionnent sous Chrome, Safari ou Firefox.

Ces Scripts ne sont en aucun cas des exploits (ils ne permettent pas d'accéder aux services avec le compte de l'utilisateur). Mais ils posent question au moment où Firefox et Chrome tentent de trouver des parades au ciblage comportemental publicitaire. Savoir si un visiteur utilise tel ou tel service peut en effet rentrer dans ce genre d'analyse – cachée – des visiteurs.

Autre souci souligné par Mike Cardwell, étendre cette méthode permettrait de tracer un internaute, même de manière partielle, en sachant quel site il visite régulièrement (ceux pour lesquels il a choisi de se connecter automatiquement par exemple). Des plus évidents (Facebook, Gmail, etc.) aux plus « sensibles ».

Source : Blog de Cardwel


En collaboration avec Gordon Fowler

[Invité]

si j'ai bien compris il declare une image et avec comme adresse celle d'une image qui appartient a un un compte gmail disponible quand le compte est loggé et si l'image est lu (onload) on en conclu que la personne est loggé

c'est tout con

[Loceka]

Repost.

[Gordon Fowler]

Repost.

Salut,

Il s'agit de deux sujets bien différents (bien que sur le même sujet de la confidentialité),

Cordialement,

[Loceka]

Il s'agit du même exploit : se servir de l'historique du navigateur dans un javascript pour savoir si l'utilisateur est ou non connecté à un site.

Après c'est sûr que c'est juste un exemple d'application du premier post mais techniquement c'est la même chose.

[Paul TOTH]

Il s'agit du même exploit : se servir de l'historique du navigateur dans un javascript pour savoir si l'utilisateur est ou non connecté à un site.

Après c'est sûr que c'est juste un exemple d'application du premier post mais techniquement c'est la même chose.

je n'accède pas à l'article...mais de ce qu'il en est dit, ce n'est pas une histoire de navigation mais de réponse HTTP, le code erreur ne serait pas le même pour une personne non identifiée (401 j'imagine) et non autorisée (403) (cf Wikipedia)

[WebPac]

Un script permet de savoir si les internautes sont connectés à des services Web, vers des problèmes de confidentialité ?

C'est moi où les news sur Developpez font de plus en plus racoleur pour lancer et nourrir des trolls ?

[Ev3r10st]

Bah disons qu'une fois qu'un hacker sait quels services tu utilises, il peut utiliser le tabnabbing, voire le phishing pour te voler ton compte...

Au final, c'est quand même une "faille" importante puisqu'elle permet un meilleur ciblage des victimes de hacking.
Encore un truc qui rend plus dangereuses les failles XSS.

[LhIaScZkTer]

Encore un truc qui rend plus dangereuses les failles XSS.

Rien à voir avec le XSS. Le XSS consiste en l'injection de code dans un site cible, ne pas confondre avec les différentes formes de pishing.

[LhIaScZkTer]

Il n'y a pas besoin de chercher autant loin.

Aujourd'hui certains sites, comme Facebook, mettent à disposition des services qui permettent à un utilisateur, depuis un site Y, d'alimenter par exemple facebook. Donc au moment où l'utilisateur lambda se connecte au site Y on peut déjà savoir s'il est connecté ou non aux sites proposant ce genre de services.

[Warluck]

On est en droit de se demander si nos données confidentielles sont en danger. À quand le prochain script qui lui, peut, en utilisant une session ouverte, accèder au dit service comme par exemple Facebook ou même gmail?

Moral de cet histoire, ouvrez une seule session firefox, explorer, chrome, visitez votre service "sensible" puis ensuite fermez votre session avant d'en ouvrir une nouvelle pour les activités plus générales.