Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Les données des logs Web pourraient identifier l'activité des machines
Et menacer la vie privée, selon les chercheurs de Microsoft

Le , par Hinault Romaric

0PARTAGES

4  0 
Les données recueillies régulièrement dans les journaux des événements (logs) Web comme les adresses IP, les identifiants des cookies, le système d’exploitation, le type d’utilisateur, l’agent utilisateur, etc. peuvent être une menace pour la vie privée en ligne.

Selon les chercheurs de Microsoft Research, ces informations peuvent être exploitées pour identifier l’activité des machines individuelles.

Les chercheurs ont constaté que les informations de la chaine HTTP de l’agent utilisateur peuvent permettre d’identifier un hôte dans 62% des cas. Cette information combinée avec l’adresse IP, la précision passe à 80,6%. Si les données de l’agent utilisateur sont associées uniquement avec le préfixe IP, la précision se retrouve à environ 79,3%.



Ces résultats sont issus d’une analyse en aout 2010 des données anonymes de Hotmail et de Bing pour de millions d’utilisateurs, dans le respect de la politique de confidentialité de Microsoft.

L’analyse de ces données disponibles au niveau de la couche application des serveurs pour Bing et Hotmail, a permis aux chercheurs de recueillir des informations secondaires sur le système d’exploitation, le type de navigateur, l’adresse IP source, le temps de connexion et des ID anonymes pour Hotmail. Pour Bing, les informations de l’agent utilisateur, les adresses IP et les cookies générés par le moteur de recherche.

Ainsi, les fournisseurs de service pourraient reconnaitre 88% des dispositifs qui reçoivent un cookie, même si ceux-ci utilisent la navigation privée, conçue pour protéger l’identité des utilisateurs, concluent les chercheurs de Microsoft.

Microsoft Research note par ailleurs que l’analyse de ces données peut aider à détecter une activité malveillante sur internet, et améliorer de ce fait la sécurité.

Enfin, ceux-ci conseillent aux utilisateurs qui ne souhaitent pas être suivis qu’en plus de la suppression des cookies, ils doivent utiliser un navigateur dont la chaine de l’agent utilisateur est populaire, utiliser des outils comme Torbutton pour gérer les informations d’identité, et envisager l’utilisation des proxies.

Source : le rapport de Microsoft Research (au format PDF)

Et vous ?

Qu'en pensez-vous ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de sevyc64
Modérateur https://www.developpez.com
Le 06/02/2012 à 17:16
Citation Envoyé par tontonnux Voir le message
Exact. D'ailleurs, pour approfondir l'analogie, le cookie, c'est comme le tampon qu'on fait sur la main en entrant dans un concert. Donc oui, même dans la "vraie vie" ça existe et c'est normal.
L'analogie s’arrête bien vite.

Le tampon sur la main tu sais quand on te le met, tu sais ce qui a dessus, tu sais quand quelqu'un l'utilise, et, à priori, il ne sert qu'à celui qui l'a posé. Et un tampon, quand tu sort et que tu reviens 2 jour plus tard, il n'est plus valable.

Un cookies, tu ne sais quand il arrive, ni ce qu'il stocke, ni qui l'utilise et comment. Rien ne te dit que des sites ne cherchent pas à lire, ou seulement la présence de cookies d'autres sites rein que pour savoir si tu es aller sur ces autres sites. Et certains cookies ont une durée de vies de plusieurs années.

Bref, les cookies est une cuisine interne dont tu ne sais rien et que tu ne maitrise pas.
Si la plupart du temps c'est utiliser à bon escient, on a aucun moyen de savoir quand ça ne l'ai pas.
12  1 
Avatar de _skip
Expert éminent https://www.developpez.com
Le 09/02/2012 à 11:50
Citation Envoyé par abgech Voir le message
Microsoft, se préoccupant des violations de la vie privée, c'est vraiment l'hôpital qui se moque de la charité.
Je pense qu'ils ont commencé à vachement se calmer avec l'arrivée de tout plein de services concurrents. Tout le monde se prétend espionné par "microsoft", il y a des choses vraies qu'ils ont faites qui sont moins que limite mais il y a aussi beaucoup de mythes et de légendes urbaines sur le gros méchant monopoleur qui mange les enfants.

Microsoft n'a peut être pas toujours été exemplaire sur la protection de la vie privée par le passé. Cependant, à l'heure qu'il est, si tu regardes google, facebook, apple ce n'est de loin pas le plus mauvais élève en la matière.

Enfin... c'est mon avis.
11  0 
Avatar de _skip
Expert éminent https://www.developpez.com
Le 07/02/2012 à 9:08
Citation Envoyé par souviron34 Voir le message

En ce qui concerne HTTP : ce me semble, on demande bien une communication vers une adresse IP, non ? cette connexion est parfaitement identifiée entre l'émetteur et le récepteur... Que la route soit inconnue n'a pas d'importance.. puisque c'est bien le principe sous-jacent..

(...)
'fin bref.. Toujours les mêmes arguments "on peut pas s'en passer"... Mais bien sûr que si qu'on peut s'en passer.. C'est juste plus facile pour les développeurs de sites de les avoir..

Je ré-itère juste que le Web des années 93-99 n'en avait pas, et pourtant il marchait.. Bizarre autant qu'étrange, non ??
Tout le monde est d'accord pour dire que HTTP est stateless par nature et que donc, conserver un état passe obligatoirement par un artifice, la solution des cookies c'est de dire que la personne qui arrive s'annonce.
Dans l'annonce, un simple numéro de session peut suffire, on peut tout à fait stocker l'état sur serveur dans une sorte de map et ne stocker que l'identifiant de la clé chez le client.
Le gros inconvénient ici c'est surtout la sécurité en cas d'attaque mitm.

Tu parles de connexion entre 2 Ips, je suis pas un spécialiste système mais autant que je sache tu ne pas identifier une session à l'aide d'une IP, sinon toutes les personnes derrière une même IP publique (université, entreprise) partageraient la même session. Peut être ce serait possible si on supprimait les sous-réseaux et qu'on passait tous à l'ipv6, avec pour chaque poste une IP unique au monde mais ce serait à ce moment là encore pire côté confidentialité.

Donc en gros, mon cher Souviron, vu tes années de bouteille, je ne t'ai sûrement rien appris à travers ces faits. Toutefois, tu dis que les développeurs de site sont flemmards, et qu'on s'y prenait autrement dans les années 92-95 (ma découverte du net ne date que de 98).
Je serai curieux d'en savoir plus sur les autres solutions, ce n'est pas ironique. Enfin bien sûr sans remettre en cause le protocole http.
9  0 
Avatar de Chuck_Norris
Membre émérite https://www.developpez.com
Le 07/02/2012 à 11:21
Citation Envoyé par souviron34 Voir le message
En ce qui concerne HTTP : ce me semble, on demande bien une communication vers une adresse IP, non ? cette connexion est parfaitement identifiée entre l'émetteur et le récepteur... Que la route soit inconnue n'a pas d'importance.. puisque c'est bien le principe sous-jacent..
La connexion HTTP en cours, certes. Mais naviguer sur un site Web, c'est faire de très nombreuses connexions HTTP distinctes, une pour chaque clic, en gros. Il n'y a pas de connexion TCP persistante entre la machine du client et le serveur. Autrement dit, tu accèdes à la page d'accueil, tout est chargé via une connexion HTTP qui est ensuite fermée une fois la page chargée. Maintenant, tu cliques sur un lien de cette page. Une connexion HTTP est recréée pour la demande et les nouveaux chargements, et le serveur n'a pas de moyen automatique de se rendre compte que cette requête suit la première demande ou même provient du même ordinateur.

L'adresse IP pour essayer de voir si ça vient de la même machine n'est pas une indication fiable, pour deux raisons : une même adresse IP peut être en effet partagée entre de nombreuses machines derrière une passerelle faisant le pont entre un réseau privé et Internet, et il y a également le phénomène des IP dynamiques, ce qui fait que l'IP peut parfois changer régulièrement, sans pour autant qu'on ait changé d'utilisateur. Chez Orange par exemple, avec les vieilles Livebox, le changement d'IP est forcé toutes les 22 heures, et à chaque perte de synchronisation, nouveau changement d'IP également.

'fin bref.. Toujours les mêmes arguments "on peut pas s'en passer"... Mais bien sûr que si qu'on peut s'en passer.. C'est juste plus facile pour les développeurs de sites de les avoir..
Jamais dit qu'on ne pouvait pas s'en passer, mais c'est une meilleure méthode que celle de l'identifiant de session renvoyé dans l'url.

Je ré-itère juste que le Web des années 93-99 n'en avait pas, et pourtant il marchait.. Bizarre autant qu'étrange, non ??
Je ne pense pas qu'on peut comparer le Web statique des années 93 avec les sites dynamiques avec connexions d'aujourd'hui. De plus, les cookies ont été intégrés dans Netscape dès 1994.

Cela serait la même chose que de dire que le monde au moyen âge n'avait pas d'électricité et qu'on vivait quand même, donc on peut tout à fait s'en passer.

Citation Envoyé par pmithrandir Voir le message
La méthode la plus simple consiste à balader dans ton url l'identifiant de session. De cette façon, tu ne stockes rien sur le PC de ton client mais tout dans ta session sur le serveur. Quand il revient, tu retrouves les données enregistrées depuis la session précédente et tu les remets dans la nouvelle.

C'est le même niveau de sécurité que les cookies, l'identifiant de session est toujours baladé en clair(que ca soit dans l’entête ou dans l'url fait peut de différence)
Je regrette, c'est une méthode moins sûre. Je ne vais donner qu'un seul exemple, mais bien parlant. Tu trouves un lien qui t'intéresse, tu veux le passer à un copain, tu copies-colle ton url pour le donner à ton copain. Oh... tu avais ton identifiant de session dans l'url ? Dommage, sans le savoir tu lui as donné accès à ta session.
9  0 
Avatar de Chuck_Norris
Membre émérite https://www.developpez.com
Le 07/02/2012 à 12:01
Citation Envoyé par souviron34 Voir le message
Primo, tu viens de le dire pour le serveur.. Pourquoi alors cela doit-il être stocké chez le client ??
Visiblement tu n'as donc rien compris au problème pour poser cette question.

Je vais donc reprendre avec une image. Tu es le client, tu es masqué, on ne peut pas t'identifier. Le serveur c'est quelqu'un chez qui tu vas. Tu vas chez lui une première fois, tu lui montres ta carte de visite, c'est-à-dire ton cookie. Il sait que c'est toi, tu la reprends. La prochaine fois que tu viens, avec un déguisement différent, le serveur ne te reconnaît pas. Tu montres ta carte de visite, ton cookie, que tu avais donc gardé, le serveur te reconnaît.

A l'inverse, tu suggères que l'information, le cookie donc doit être conservé côté serveur, reprenons donc l'image. Tu vas chez le serveur la première fois, masqué. Tu lui donnes ta carte de visite, que le serveur va donc conserver. Tu y retournes une deuxième fois, sous un déguisement différent. Mais tu n'as pas ta carte de visite, c'est le serveur qui l'a. Et pourquoi le serveur, celui qui t'ouvre penserait que la carte de visite qu'on lui a donné serait forcément celle du client qui vient de frapper à la porte ? Rien du tout.

Voilà pourquoi le cookie doit être conservé côté client.

Maintenant il n'y a pas de notion de carte de visite unique d'un utilisateur à fournir à chaque site, et encore heureux (cela serait désastreux côté vie privée). Du coup, c'est pour ça que pour chaque nouveau site que tu vas visiter, ils te font donc une carte de visite à toi, mais valable que chez eux, qu'ils te donnent quand tu te connectes, que tu conserves dans ta poche et que tu montreras à chaque nouvelle visite sur le même site.

Citation Envoyé par souviron34 Voir le message
Ensuite, justement quand on téléphone, si tu téléphones de chez toi aux USA, tu ne sais pas si tu passes par le câble sous-marin ou le satellite, par combien de centraux tu passes, ni comment les conneions se font à l'intérieur des centraux.. Et pourtant tu parles entre les 2 points sans qu'aucune donnée ne soit échangée/stockée chez aucun des 2 interlocuteurs...
Encore une fois je me répète. Une communication téléphonique se maintient d'elle-même, la configuration réseau est connectée durant tout le transfert, il n'y a pas d'ambiguité. Rien à voir avec la navigation sur le Web où il n'y a pas de configuration réseau connectée en HTTP.

Citation Envoyé par souviron34 Voir le message
PS: c'est quand même assez dingue de se prendre plus de 10 votes négatifs simplement pour oser critiquer la politique des cookies
Ce n'est pas de la critique à ce niveau-là, c'est d'abord une méconnaissance du fonctionnement, de pourquoi le système a été créé. Le fait ensuite que malgré les explications, tu persistes à effectuer des analogies qui n'ont rien à voir. Et enfin, une peur phobique des cookies parce que ce sont des cookies. Je veux bien que la vie privée soit un élément important de nos jours, mais depuis toujours chaque connexion à un site Web provoque l'enregistrement de l'IP, au minimum, dans les logs serveurs, et ça bien avant l'invention des cookies.

Citation Envoyé par souviron34 Voir le message
Cependant, d'une part une URL est une URL : si tu as un lien vers une page Web et que tu veux l'envoyer , pourquoi devrait-il y avoir un id de session, puisque c'est une URL ?? Et si il y a des "sélections" ou "champs" remplis par ta requête,il suffit d'indiquer au copain ce qu'il doit faire, non ??

Enfin, peut-être qu'il faudrait plus remttre en cause le principe de connection à chaque clic...
Je ne vois vraiment pas le rapport des sélections et les champs du formulaire avec la choucroute.

Certes il n'est pas nécessaire pour chaque site de disposer d'une session, et donc de cookies. Personne n'a jamais prétendu que chaque site devait forcément établir des sessions et donc déposer des cookies.

Mais dans le cas où on veut pouvoir établir une connexion, comme ici sur le forum, où tu t'identifies pour pouvoir ensuite avoir la possibilité de poster sous ton pseudo, éditer tes messages, consulter tes messages privés, il faut un moyen de conserver la persistance de la connexion afin que tu n'aies pas à t'identifier sur chaque page pour une action privilégiée.

Donc un identifiant de session devra commencer à être envoyé, que ça soit par cookie ou par url.

Maintenant, supposons que je suis intraitable sur les cookies, j'en veux pas. Je veux donner un lien vers cette discussion à mon ami. Si je ne me suis pas connecté sur le forum, il n'y a en effet aucun problème. Mais si je me suis connecté avant parce que je me suis dit : je vais poster, je vais voir mes messages privés, je veux voir les messages non lus depuis ma dernière visite, ben du coup, j'ai un identifiant de session dans l'url, vu que je refuse d'avoir des cookies. Identifiant que recevra ton destinataire si tu n'as pas pensé à le retirer manuellement, et donc celui-ci disposera de ta propre session et pourra voir tes messages privés et poster en ton nom.
9  0 
Avatar de sevyc64
Modérateur https://www.developpez.com
Le 07/02/2012 à 14:27
La différence entre ftp et http est, comme déjà dit, dans la gestion de la connexion.

En http, la connexion est établie à chaque requette, et fermée dès la fin de la requete (quand la page est chargée). Le clic sur un lien, un changement de page, etc ouvre une nouvelle connexion vers le serveur totalement indépendante de la précédente.

En FTP, la connexion est maintenue sur le port commande durant toute la durée ou l'utilisateur est présent sur le site. Il peut y avoir plusieurs connexion en port données, mais toujours une seule en port commande. Dès que la connexion en port commande est perdue, il faut à nouveau s'authentifier.

Ce qui est visiblement difficilement compréhensible pour certain c'est qu'en http la "session" de la connexion au serveur est extrêmement courte et ne correspond pas à la "session" de l'utilisateur, elle ne correspond seulement au chargement d'une page voire d'une partie d'une page web.

Le problème est donc de maintenir une session utilisateur au delà de plusieurs sessions de connexion au serveurs totalement indépendantes les unes des autres voire ne se faisant pas forcément toujours sur les mêmes serveurs.
7  0 
Avatar de sevyc64
Modérateur https://www.developpez.com
Le 06/02/2012 à 16:53
Citation Envoyé par souviron34 Voir le message
PS: d'ailleurs c'est bizarre, mais à la grande époque des débuts du Web, ni Mosaic ni IE n'avaient besoin de cookies..
Mais encore à l'heure actuelle, aucun navigateur n'a besoin de cookies pour fonctionner. Tu peux complètement les refuser, ton navigateur fonctionnera très bien.

C'est les sites que tu visite qui ont besoin des cookies pour stocker diverses informations sur toi. Eux par contre, pourront avoir des difficultés à t'envoyer l'information recherchée si tu as désactiver les cookies. Et certains ont besoin de beaucoup beaucoup d'informations.
6  0 
Avatar de simonf
Membre à l'essai https://www.developpez.com
Le 06/02/2012 à 17:02
Merveilleuse découverte que les "chercheurs" de MS viennent de faire là !!!
Ça n'est pas censé permettre de faire çà les logs??? Je trouve normal que un admin système puisse se retourner contre une IP qui l'agresse ou qui a un comportement anormal et que cela soit tracé. Ensuite il ne faut pas oublier que on ne devient pas admin d'une base de données d'utilisateurs ou de fichiers de logs sans une certaine éthique et que les cas crapuleux d'exploitation malfaisante de ces données sont rares (hormis business organisé à la Facebook, Google, etc.). Après tout, quand on se connecte sur un site, on rentre dessus... L'hôte, avant d'ouvrir la porte a tout de même le droit de demander qui est là !!!
8  2 
Avatar de Uther
Expert éminent sénior https://www.developpez.com
Le 06/02/2012 à 17:49
Le problème c'est que l'utilisation de ces informations est invisible pour presque tout le monde. Seul un utilisateur avancé sait comment gérer ses cookies, et même s'il sait comment faire, il ne le fait pas car ça devient vite trop contraignant.

Quand ta main est tamponnée, tu le sais et tu peux l’effacer quand tu le souhaites. Le cookie est en fait plus proche du message scotché dans ton dos que du tampon sur la main
6  0 
Avatar de Uther
Expert éminent sénior https://www.developpez.com
Le 09/02/2012 à 18:47
Citation Envoyé par BPiero Voir le message
Pour le coup je t'en ai rajouté un...
En fait c'est normal il y a plein de vrai dev web ici qui on compris que le cookie est la seule manière correcte d'identifier l'utilisateur.
Je pense que personne ne niera que le cookie est malheureusement actuellement la méthode d'identification la plus pratique, c'est difficile de s'en passer en ce moment.

Il n’empêche que si au lieu de partir sur une idée trop simple, visiblement sans avoir pensé a toutes les conséquences possibles, les inventeurs du protocole HTTP avaient pensé à un vrai système des session bien pensé, ça aurait rendu les choses bien plus propres et aurait permis de se passer des cookies, qui sont tout de même une aberration dans leur principe même et une plaie dans le traçage des utilisateurs...
6  0