Un meilleur job mieux payé ?

Deviens chef de projet, développeur, ingénieur, informaticien

Mets à jour ton profil pro

ça m'intéresse

Un script permet de savoir si les internautes sont connectés à des services Web
Vers des problèmes de confidentialité ?

Le , par Hinault Romaric, Responsable .NET
Un développeur Web anglais vient de trouver un moyen simple de savoir si les visiteurs de son site sont connectés à Gmail, Facebook, Twitter ou Digg.

Mike Cardwell a ainsi écrit un script JavaScript assez simple qui utilise les codes de statut retournés par de nombreux services. Ces retours diffèrent selon que l’utilisateur est connecté ou non. Conséquence, en analysant la réponse, il est possible de connaitre leur statut (connecté ou non).

Le Script fonctionne de manière assez fiable pour Twitter, Facebook et Digg.

Dans ces trois cas, Cardwel exploite le statut HTTP qui est retourné lorsque le navigateur du visiteur rencontre le lien qui se trouve dans son script. Cardwel estime que ce procédé est très efficace car il est très difficile d'éviter l’envoi des codes d’état HTTP.

Pour Gmail, Cardwel, utilise une autre méthode. Il met en ligne une photo dans un dossier public, mais uniquement consultable par les utilisateurs connectés à Gmail. Le Script essaye ensuite de voir si l'image est renvoyée (statut connecté) ou pas (déconnecté).

Ces méthodes fonctionnent sous Chrome, Safari ou Firefox.

Ces Scripts ne sont en aucun cas des exploits (ils ne permettent pas d'accéder aux services avec le compte de l'utilisateur). Mais ils posent question au moment où Firefox et Chrome tentent de trouver des parades au ciblage comportemental publicitaire. Savoir si un visiteur utilise tel ou tel service peut en effet rentrer dans ce genre d'analyse – cachée – des visiteurs.

Autre souci souligné par Mike Cardwell, étendre cette méthode permettrait de tracer un internaute, même de manière partielle, en sachant quel site il visite régulièrement (ceux pour lesquels il a choisi de se connecter automatiquement par exemple). Des plus évidents (Facebook, Gmail, etc.) aux plus « sensibles ».

Source : Blog de Cardwel

En collaboration avec Gordon Fowler


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de pmithrandir pmithrandir - Membre expert http://www.developpez.com
le 26/01/2011 à 17:57
Citation Envoyé par camus3  Voir le message
Perso chez moi javascript est maintenant désactivé par défaut.
Pas besoin de Js pour gmail , mais les sites qui ne proposent pas de fallback en pure html , c'est tant pis pour eux, et de plus en plus de monde fait de même.

Plus simple que ca on pourrait avoir un niveau de confidentialité ou un site a interdiction d'ouvrir un contenu depuis un domaine différent.

Exemple, on autorise pas www.google.fr a faire une requete HTTP(image, AJAX, etc..) sur facebook.com

Mais on limitee l'experience utilisateur... pour prevenir juste le fait de savoir si l'utilisateur utilise ou pas des services...

Quand on desactiver javascript, c'est revenir au web d'il y a 10 ans, et moi il ne me manque pas.
Avatar de WebPac WebPac - Membre confirmé http://www.developpez.com
le 26/01/2011 à 18:15
Citation Envoyé par Hinault Romaric  Voir le message
Un script permet de savoir si les internautes sont connectés à des services Web, vers des problèmes de confidentialité ?

C'est moi où les news sur Developpez font de plus en plus racoleur pour lancer et nourrir des trolls ?
Avatar de Neko Neko - Membre chevronné http://www.developpez.com
le 26/01/2011 à 21:45
Citation Envoyé par pmithrandir  Voir le message
Plus simple que ca on pourrait avoir un niveau de confidentialité ou un site a interdiction d'ouvrir un contenu depuis un domaine différent.

Exemple, on autorise pas www.google.fr a faire une requete HTTP(image, AJAX, etc..) sur facebook.com
...

Ce serait très très embêtant, pour tout ce qui est contenu embedded ( genre videos ), pour les pubs aussi ( qui même si vous les aimez pas, font vivre une très grosse partie du web )
Avatar de pmithrandir pmithrandir - Membre expert http://www.developpez.com
le 26/01/2011 à 22:15
Citation Envoyé par Neko  Voir le message
Ce serait très très embêtant, pour tout ce qui est contenu embedded ( genre videos ), pour les pubs aussi ( qui même si vous les aimez pas, font vivre une très grosse partie du web )

Pour le contenu embed, je pense qu'il est possible d'automatiser le ait que la zone se reserve, et que l'on nee voit ce qu'il y a dessus qu'en cliquant.

Pour la pub, c'est effectivement un soucis.
Mais mon idée etait de proposer le niveau de sécurité, pas de l'imposer a tous.
Avatar de Paul TOTH Paul TOTH - Expert éminent sénior http://www.developpez.com
le 27/01/2011 à 5:37
Citation Envoyé par pmithrandir  Voir le message
Pour le contenu embed, je pense qu'il est possible d'automatiser le ait que la zone se reserve, et que l'on nee voit ce qu'il y a dessus qu'en cliquant.

Pour la pub, c'est effectivement un soucis.
Mais mon idée etait de proposer le niveau de sécurité, pas de l'imposer a tous.

tu ne fais jamais "clic droit, ouvrir dans un nouvel onglet ?" ou "copier l'URL" et coller dans un nouvel onglet ?

ça m'embêterait de retomber sur la page de login à chaque fois.

D'ailleurs si on désactive cela systématiquement, les boutons "J'aime" externes à FB ne fonctionneraient plus.

maintenant il serait intéressant en effet de pouvoir dissocier des instances de navigation...aujourd'hui il faut lancer deux navigateurs différents, il pourrait être intéressant de pouvoir le faire avec un même navigateur...

reste à savoir comment reconnaitre la session qui contient le cookie de Facebook de celle qui contient celui de gmail ...

hum après tout on pourrait avoir des icons en bas de page avec le F de facebook le G de gmail, le Y de yahoo, etc... qu'on pourrait activer ou pas à volonter (un peu comme Firebug ou xDebugSession), quand on décoche les cookies ne sont pas envoyés, quand on coche il le sont...du coup quand je suis sur une page autre que Facebook et que je décoche le F, une requête AJAX ne serait plus que je suis connecté...un peu lourd mais ça répond à la demande

ça devrait même pouvoir se coder comme une extension à priori.
Avatar de goomazio goomazio - Membre chevronné http://www.developpez.com
le 27/01/2011 à 20:25
hum après tout on pourrait avoir des icons en bas de page avec le F de facebook le G de gmail, le Y de yahoo, etc... qu'on pourrait activer ou pas à volonter [...]

Et avec une iĉone pour bloquer tout le contenu extérieure, pour rassembler les 2 idées. Je vote pour, même sans.
Avatar de pmithrandir pmithrandir - Membre expert http://www.developpez.com
le 27/01/2011 à 22:42
Citation Envoyé par Paul TOTH  Voir le message
D'ailleurs si on désactive cela systématiquement, les boutons "J'aime" externes à FB ne fonctionneraient plus.

C'est ce a quoi je pensais.
Avoir ce niveau de sécurité qui interdit a la page l'accés aux url hors domaines.

Ce niveau de sécurité se situerai entre le comportement normal et le retrait de javascript.(et éviterait que javascript ne soit desactivé)
Avatar de Ev3r10st Ev3r10st - Membre régulier http://www.developpez.com
le 28/01/2011 à 12:27
Bah disons qu'une fois qu'un hacker sait quels services tu utilises, il peut utiliser le tabnabbing, voire le phishing pour te voler ton compte...

Au final, c'est quand même une "faille" importante puisqu'elle permet un meilleur ciblage des victimes de hacking.
Encore un truc qui rend plus dangereuses les failles XSS.
Avatar de LhIaScZkTer LhIaScZkTer - Membre actif http://www.developpez.com
le 28/01/2011 à 12:30
Il n'y a pas besoin de chercher autant loin.

Aujourd'hui certains sites, comme Facebook, mettent à disposition des services qui permettent à un utilisateur, depuis un site Y, d'alimenter par exemple facebook. Donc au moment où l'utilisateur lambda se connecte au site Y on peut déjà savoir s'il est connecté ou non aux sites proposant ce genre de services.
Avatar de LhIaScZkTer LhIaScZkTer - Membre actif http://www.developpez.com
le 28/01/2011 à 12:39
Citation Envoyé par Ev3r10st  Voir le message
Encore un truc qui rend plus dangereuses les failles XSS.

Rien à voir avec le XSS. Le XSS consiste en l'injection de code dans un site cible, ne pas confondre avec les différentes formes de pishing.
Avatar de Warluck Warluck - Nouveau membre du Club http://www.developpez.com
le 02/02/2011 à 14:37
On est en droit de se demander si nos données confidentielles sont en danger. À quand le prochain script qui lui, peut, en utilisant une session ouverte, accèder au dit service comme par exemple Facebook ou même gmail?

Moral de cet histoire, ouvrez une seule session firefox, explorer, chrome, visitez votre service "sensible" puis ensuite fermez votre session avant d'en ouvrir une nouvelle pour les activités plus générales.
Offres d'emploi IT
Développeur de drivers (broadcom) expert eCos
Celad - Provence Alpes Côte d'Azur - Marseille (13000)
iOS developer (m/f)
Experis - Luxembourg - Luxembourg
Ingénieur Developpement Mobile: IOS/Android (H/F)
Alten - Provence Alpes Côte d'Azur - Sophia Antipolis

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil