🛡️ FIREFOX : Tracking, pistage utilisateur et sécurité

Tous les sujets autour de la vie privée, les anti-pubs etc sur la toile
Avatar de l’utilisateur
Parisien_entraide
Messages : 20264
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

🛡️ FIREFOX : Tracking, pistage utilisateur et sécurité

par Parisien_entraide »

COMPOSITION



Ce petit dossier est divisé en plusieurs parties pour une meilleure visibilité et lecture et parce qu'ils sont complémentaires :

1) Le DO NOT TRACK et les MODULES pour FIrefox https://forum.malekal.com/viewtopic.ph ... 41#p355941
2) FIREFOX Tracking et sécurité (modifications par about:config) https://forum.malekal.com/viewtopic.ph ... 37#p439737
3) Les MOTEURS DE RECHERCHE a utiliser sous Firefox https://forum.malekal.com/viewtopic.ph ... 32#p439732
Activer et utiliser la protection contre le pistage de Firefox
4) TRACKER FIRST PARTY : COMMENT LES SITES VIOLENT LE RGPD ? viewtopic.php?p=483451#p483451


La position de MOZILLA et usage de FIRFOX et extensions pour les années à venir du fait du MANIFEST V3
Google Chrome Manifest V3 : les extensions Manifest V2 seront désactivées à partir de juin 2024 (Chrome 127)
viewtopic.php?p=547073#p547073




Le dossier complet sur le suivi et pistage utilisateur : Web Tracking sur internet ou pistage des internautes



Nouveau au 30/08/2022 : FIREFOX : Les meilleures extensions/ADD-ONS/modules complémentaires


ATTENTION ! Tout ce qui suit en relation avec les modifications de lignes que l"on trouve via about: config, peuvent

- Fonctionner
- Fonctionner partiellement
- Ne pas fonctionner

La raison est simple, MOZILLA au fur à et mesure des versions de Firefox, va conserver.. OU PAS, certaines fonctions, d'autres seront dépréciées etc
A cela on y ajoute les différences entre la version "normale" et d'autres comme l' ESR
Par contre tout ce qui est décrit, sur la forme, reste d'actualité
Il m'est impossible de suivre l'actu concernant ces fonctions surtout que tout n'est pas dit de la part de Mozilla

J'y ajoute juste (Que l'on retrouve dans Librewolf)
https://github.com/arkenfox/user.js
avec son interface graphique
https://arkenfox.github.io/gui/

qui est d'actualité pour qui voudrait modifier Firefox en profondeur (et on peut aller plus loin que LibreWolf)
https://www.malekal.com/librewolf-une-a ... a-firefox/
------------------




PREAMBULE

A prendre en considération : Je suis parti sur une base de Firefox 52 ESR (parce que j'ai besoin d'un plug in qui ne sera jamais développé en web extension)
Ce n'est pas une bonne idée, car la sécurité de Firefox repose sur les web extension, une future sandbox, de meilleures perfomances avec le prochain passage presque forcé au 64Bits etc car des failles existent pour n'importe quel navigateur sans compter avec les fonctionnalités offertes (voir la doc en fin de page)

Ex avec la compilation JIT (pour le javascript) (une faille peut/pouvait permettre de télécharger et d'exécuter un code arbitraire depuis une application malveillante signée), on peut ajouter le JIT Spaying, le bitflip (un seul bit suffit)
Pour un createur de navigateur son pire cauchemard est l'existence de l'active X et du BHO
Mozzila a contourné le problème avec ses propres technologies, les plug in (je devrais dire "extension") sont développées en XUL, mais contiennent parfois du code natif

Il y en aurait des pages à dire, donc prenez tout ce qui suit comme une base, pour savoir que cela existe, et que vous pouvez adaptez en fonction de vos besoins,usages, de votre version de firefox et OS utilisé, et en ajoutant un peu de sécurité


_____________________________________________

AU SUJET DE FIREFOX :

Image

_____________________________________________

Mozilla est en fait sur un fil de rasoir. Il doit :

- Eviter de tomber dans les foudres de "certains" Ex : (cela concerne Opéra mais c'est la meme chose):
https://vivaldi.com/blog/google-return- ... eing-evil/ ou en FR
http://www.numerama.com/tech/286371-le- ... oogle.html
- Eviter de se couper de sources de financements (il ne faut pas rêver, on ne peut pas vivre que d'amour, d'eau fraiche et de fraises Tagada)
- Eviter de se couper de ses utilisateurs qui sont très attachés au respect de la vie privée

Ils proposent donc un produit (Firefox) en l'état, qui subtilement ne propose pas la même chose suivant les pays et les versions (Yahoo! aux US et Google en France par ex), mais qui a l'avantage de laisser le champ libre à ses utilisateurs par le biais de modification

Dans Firefox, Il faut évidemment faire un tour dans le menu "options" : Avancé, Securité, et vie privée et cocher/décocher tout ce qui ne vous convient pas

https://support.mozilla.org/fr/kb/comme ... onnections

Selon les fonctionnalités activées, diverses informations sont susceptibles d’être envoyées à Mozilla. La plupart sont en rapport avec :

– les informations liées aux modules complémentaires installés et le blocage automatique des modules en liste noire ;
– les rapports de plantage ;
– le service de mise à jour automatique ;
– le service de protection contre les sites malveillants ;
– le service de synchronisation Firefox Sync

mais pas que... Il y a les services tiers (OS, sites web, moteur etc ) qui peuvent pomper allègrement des données

Edit : C'est à nouveau confirmé https://bugzilla.mozilla.org/show_bug.cgi?id=1384567 (corrigé pour la version 57)

"nous détectons une longue liste d'obscurs (mais pas toujours si obscurs) outils tiers sous Windows qui utilisent l'accessibilité pour espionner l'activité de l'utilisateur"

En effet, certaines applications dédiées à l'accessibilité peuvent avoir besoin d'accéder au navigateur pour afficher du contenu. Au sein de Firefox, de nombreux outils et autres API sont prévus à cet effet. De quoi permettre à des développeurs mal intentionnés d'utiliser cette porte d'entrée pour grapiller des informations.
Rappelez vous ceci : Ils sont prêts à tout pour aspirer nos données privées


Intéressant : "La protection contre le pistage de Firefox réduit les temps de chargement des sites de 44% "
Avec -67,5% de cookies, le chargement est 44% plus rapide en moyenne, et l’appareil consomme 39% moins de data

https://fr.scribd.com/document/26644197 ... erformance

Juste pour la curiosité, que fait Firefox au démarrage.. il se connecte à :

1 : www.mozilla.org.
1 : snippets.cdn.mozilla.net.
1 : geo.mozilla.org.
1 : location.services.mozilla.com.
1 : search.services.mozilla.com.
1 : self-repair.mozilla.org.
1 : aus4.mozilla.org.
3 : search.yahoo.com.
3 : ff.search.yahoo.com.
1 : ciscobinary.openh264.org.
1 : clients1.google.com.
1 : safebrowsing.google.com.
53 : safebrowsing-cache.google.com.
1 : ocsp.digicert.com.


A noter qu'on retrouve la meme chose sur Thunderbird (copié de ce que j'ai mis dans le fichier hosts)

127.0.0.1 services.addons.mozilla.org
127.0.0.1 services.addons.mozilla.org
127.0.0.1 ocsp.digicert.com
127.0.0.1 ocsp.digicert.com
127.0.0.1 live.mozillamessaging.com
127.0.0.1 live.mozillamessaging.com
127.0.0.1 addons.cdn.mozilla.net
127.0.0.1 addons.cdn.mozilla.net
127.0.0.1 ocsp.usertrust.com
127.0.0.1 ocsp.usertrust.com
127.0.0.1 ssl.google-analytics.com
127.0.0.1 ssl.google-analytics.com


L'astuce pour contrecarrer cela ; Dans les 2 cas il suffit d'aller dans Ublock Origin, ---> Onglet Liste blanche, et de supprimer la ligne about-scheme
(on peut se demande ce que cela fait là...)

Cepandant avant tout chose, faite une copie de votre fichier pref.js (qui enregistre vos paramètres)

Pour les puristes le chemin complet via l'explorateur windows :

Code : Tout sélectionner

 C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\Nom de votreprofil
ou pour la facilité via le menu démarrer en tapant :

Code : Tout sélectionner

%APPDATA%\Mozilla\Firefox\Profiles


Mais faites une copie intégrale de votre profil avant manipulations:


Pour cela, rendez-vous sur about:support cliquez sur "Ouvrir le dossier correspondant" en face de Dossier de profil. Prenez le dossier profil au complet et vous en faites une copie dans votre dossier de sauvegarde

Vous pouvez créer un nouveau profil également (que vous pouvez appeler "test") qui peut être à l'identique de votre profil actuel
Se rappeler que si vous effacer le fichier pref.js, vous gardez vos préférences, mais tout ce que vous avez modifié dans about:config se remet par défaut


ATTENTION : Prenez bien en compte les modifications apportées par ces types de fichiers (pref.js, user.js, ...), car certaines modifications ont un impact très lourd sur l’expérience utilisateur

Prenez le temps de comprendre et ne pas hésitez à les modifier avec un éditeur avancé comme Notepad ++ https://notepad-plus-plus.org/fr/ et surtout assurez vous qu'il soit en relation avec votre version de Firefox ! (bien lire les changelog)

Un outil existe également : ConfigFox http://configfox.sourceforge.net/ Il permet l'édition du fichier d’options personnalisées, user.js (le programme comporte un default.js, Si un fichier user.js existe dans votre profil il s'en servira)
viewtopic.php?f=36&t=53164&p=439780#p439780




Maintenant on se met au boulot :-)

TROIS POSSIBILITES

1) Utiliser le fichier pref.js
2) Utiliser un fichier user.js
3) Utiliser un programme qui va le faire pour vous

Il y a des avantages et inconvénients à utiliser l'un plus que l'autre. L'idéal étant d'en combiner plusieurs
En usage normal de Firefox, on retrouve les modifs effectuées dans le fichier user.js (comme le fichier pref.js) en tapant dans l'URL : about:config
________________________________________


1) UTILISER LE FICHIER "Pref.js"

Si le fichier user.js vous fait peur, la méthode la plus simple est de passer par le fichier prefs.js
Taper dans l'URL de firefox : about:config et cliquez sur le "je ferais attention"

Si vous désirez revenir à la valeur par défaut de ce que vous avez modifié dans "about: config" il suffit de faire un clic droit sur la valeur à changer et de choisir "réinitialiser"

Certains items doivent normalement être à "false" si vous êtes passé par le menu options
Certains fonctions peuvent exister.. ou pas, suivant les versions FR, US, ESR et numéros de version de Firefox, d'autres peuvent être modifiées par des programmes ou modules complémentaires, et d'autres, suivant les mises à jour de Firefox peuvent être sans effet ou remplacées

Ce site permet de savoir ce qu'il en est (et la base user.js de l'auteur est tenue à jour)
https://www.ghacks.net/2017/08/22/firef ... s-changes/ (il y a des liens à suivre dans cette adresse)


ATTENTION ! Là aussi, tout n'est pas à appliquer. Bien lire l'impact sur la navigation et habitudes
Néanmoins tout ce qui suit est globalement appliqué sur mon propre navigateur et je n'ai pas d'impact négatif pour visualiser mes sites web habituels
(moins qu'avec No script)

- Vie Privée et télémetrie -

privacy.trackingprotection.enabled (true) Permet d' activer la protection contre le pistage (il s'agit de la protection intégrée de pistage de Mozilla)
Il utilise la liste des filtres Disconnect.me, ce qui est redondant si vous utilisez déjà des filtres uBlock Origin 3rd party ou le module Disconnect. Si c'est le cas, vous devez le définir comme "false" si vous utilisez les fonctionnalités complémentaires.

extensions.webservice.discoverURL (tout effacer ou mettre http://127.0.0.1 ) Permet à Mozilla de récupérer des statistiques concernant les modules installés par l'intermédiaire de.. Google Analytics (sera corrigé dans une future version de Firefox)
https://www.developpez.com/actu/149477/ ... Analytics/

datareporting.healthreport.uploadEnabled (false) Je ne souhaite pas que Firefox envoie des informations sur mon utilisation du navigateur à Mozilla (lié le bilan de santé Firefox) Normalement désactivé en passant par le menu de réglage de FIrefox

Normalement si vous avez configuré votre firefox, tout ce qui est lié à la télémétrie n'est plus en place mais vous pouvez vérifier :

toolkit.telemetry.cachedClientID — videz la valeur du champ
toolkit.telemetry.enabled — faites passer sa valeur à «False»
toolkit.telemetry.infoURL — videz la valeur du champ
toolkit.telemetry.previousBuildID — videz la valeur du champ
toolkit.telemetry.server — videz la valeur du champ
toolkit.telemetry.server_owner — videz la valeur du champ


Statistiques d'usage

toolkit.telemetry.unified — faites passer sa valeur à «False»
toolkit.telemetry.archive.enabled — faites passer sa valeur à «False».

toolkit.telemetry.shutdownPingSender.enabled (false) La fonctionnalité était en test depuis le mois d'avril 2017 et mis en place dans la Nightly 54.0a1 . Le pingsender.exe va régulièrement scruter l'IP 50.112.45.104 port 443, dont le propriétaire est Amazon (le cloud https://aws.amazon.com/fr/ pas le site) dans un espace attribué à Mozilla, et envoie les données lorsqu'on quitte Firefox
Qu'en est il ? https://forums.mozfr.org/viewtopic.php?t=134297
Source : https://bugzilla.mozilla.org/show_bug.cgi?id=1336360
https://wiki.mozilla.org/QA/Shutdown_Ping

Se rappeler quand même qu'avec certaines modifications, vous coupez les développeurs des rapports de bugs, crashes etc qui permettent de solutionner les problèmes



Puis (à vérifier): Rapports de performance et stabilité

datareporting.healthreport.uploadEnabled (false) : Par défaut Firefox envoie des informations sur l'utilisation du navigateur à Mozilla.
breakpad.reportURL remplacer la valeur par «blank» (désactive l’envoi à Mozilla de rapport de crash)


Pour éviter l'envoi des données qui précèdent :

datareporting.policy.dataSubmissionEnabled (false) Permet d 'évitier l'envoi de données à Mozilla à des fins d'amélioration



Sécurité

Désactiver quelques fonctions dom (comme par exemple, bloquer la récupération possible par les sites web que vous visitez la liste de vos périphériques USB dont on se demande l'utilité, ou la récupération de vos données en cache) :

dom.gamepad.enabled (false)
dom.battery.enabled (false) Les propriétaires de sites web peuvent traquer l'état de la batterie de votre appareil -
device.sensors.enabled (false)
dom.event.clipboardevents.enabled (false) Pour désactiver la consultation des notifications des sites web, si vous copiez, collez ou coupez depuis une page web. Les sites savent depuis quelle partie d'un site vous avez fait la sélection (et les keyloggers aussi)


Désactiver certaines API pour lesquelles il n'existe aucune protection (et donc qui pourraient être exploitées à des fins malhonnêtes)
A la base cette fonction déplace certains calculs dans un thread séparé afin que celui-ci ne bloque pas ou ne ralentisse pas l'application ou la page Web avec laquelle l'utilisateur interagit. Dans les faits, on désactivant on ne note pas de différence (une majorité de sites ne s'en sert pas)

dom.serviceWorkers.enabled (false) Pour désactiver les agents de service
dom.caches.enabled (false) désactiver le cache des agents de service et le stockage du cache


WebGl

Qu'est ce que ce c'est ? WebGL (Web-based Graphics Library) est une collection de codes pour JavaScript qui permet à un site Web d'accéder à votre carte vidéo afin d'afficher des graphiques 3D interactifs à l'aide de l'élément Canvas HTML5 sans utiliser de plug-ins tiers

WebGL n’est pas sans danger parce que c’est une fonction liée à JavaScript qui peut récupérer des informations sur votre système.
Vous avez le choix de le désactiver dans Firefox ou dans le module NoScript. C’est plus efficace de le faire en priorité dans Firefox car un module peut se trouver désactivé, pas à jour, etc. mais.. si vous en avez besoin encore faudra t-il se souvenir de ce que vous avez fait :-)

webgl.disable-extensions (true) Neutraliser WebGL dans Firefox
webgl.min_capability_mode (false) Idem

(a tester avec google maps dans le navigateur par exemple)

A noter que dans certains cas de figure, le layers.acceleration.force-enabled n'est pas activé (est en "false" pas défaut) mais il y a une raison
https://wiki.mozilla.org/Blocklisting/B ... ntel_cards


Désactiver les appels vers les sites visités

La page «Nouvel onglet» affiche les sites que vous avez récemment visités, sous forme de vignettes («Thumbnails»), ce qui est pratique pour les retrouver. Mais en même temps, si vous passez la souris sur une vignette, le site web se précharge dans les coulisses, ce qui est une intrusion dans votre vie privée. C’est comme si vous étiez en train de visiter ce site web.

browser.newtabpage.directory.ping (Vider la valeur du champ)
browser.newtabpage.directory.source (Idem)


Du même ordre

network.http.speculative-parallel-limit (0) Vous posez votre souris sur un lien, précisément pour vérifier ce qui se cache dessous. Si je vois que c’est un lien vers Google, je ne vais pas cliquer. Mais, tant pis pour moi, c’est comme si je l'avais fait, car la connexion se fait déjà en arrière-plan


browser.sessionstore.max_tabs_undo (0) Même avec Firefox paramétré sur "Ne pas se rappeler de l'historique", vos onglets fermés sont stockés temporairement dans Menu ---> Historique --> Onglets récemment fermés -

extensions.pocket.enabled (false) Pocket est un service qui permet de stocker et consulter plus tard, les pages sur lesquelles vous surfez.(à ne pas confonfre avec «Reader View» Pas de requêtes envoyée néanmoins



- Media

media.eme.enabled (false) Désactiver l’intégration de DRM (EME) dans Firefox (il existe une version de firefox sans l'intégration des DRM)
La différence avec la version classique c'est que le "Widevine CDM" de téléchargement est désactivé, et le"contenu du "Play DRM" est caché
Ne pas désactiver ou utiliser, si vous êtes utilisateur de Netflix, ou vidéos Youtube et Amazon avec droits DRM
https://wiki.mozilla.org/Media/EME

browser.casting.enabled (false) L’envoi de vidéo vers un appareil une fonction gadget qui peut être dangereuse. Firefox ne doit pas assurer la communication directe entre un site web et une clé USB, par exemple, encore moins un smartphone. La fonction doit être activée si vous utilisez Chromecast



- VPN et WebRTC

media.peerconnection.enabled (false) Si vous utilisez un VPN (explication à https://www.undernews.fr/anonymat-cryp ... ction.html

[b]Désactiver WebRTC. WebRTC divulgue vos adresses IP même si vous utilisez un VPN.[/b]

media.peerconnection.enabled (false) optionnel si vous l’avez sécurisé avec Ublock Origin
media.peerconnection.turn.disable (true)
media.peerconnection.use_document_iceservers (false)
media.peerconnection.video.enabled (false)
media.peerconnection.identity.timeout ( 1)
media.navigator.enabled (false) https://developer.mozilla.org/fr/docs/W ... troduction (idem)

Si vous conservez WebRTC, il est alors recommandé d’utiliser uBlock Origin et de cocher un paramètre dans le tableau de bord, pour sécuriser WebRTC


Failles

SPDY est un protocole réseau expérimental de Google visant à augmenter les capacités du protocole HTTP pour réduire le temps de chargement des pages Web en classant les objets par ordre de priorité et en multiplexant les transferts pour ne nécessiter qu’une seule connexion. Ce protocole est vulnérable aux attaques CRIME (Compression Ratio Info-leak Made Easy) lorsqu’il est utilisé avec HTTPS (ce qui est généralement le cas).

network.http.spdy.enabled (false)
network.http.spdy.enabled.dep (false)
network.http.spdy.enabled.http2 (false)
network.http.spdy.enabled.v3-1 (false) ---> Ex de modification dépréciée. Depuis la version 55 cela n'a plus d'impact)

network.idn_show_punycode (true) Corrige une faille dans Firefox contre le phishing. Concrètement : on clique sur un lien malicieux (qui lui même présente un nom légitime lors du passage de la souris en survol) qui nous amène vers un site malicieux, et nos navigateurs affichent le nom de domaine légitime. Si le site malicieux présente un chiffrement fiable alors nous verrons même le petit cadenas vert indiquant que tout va bien. Depuis quelques jours un exemple est donné par le site "wordfence" https://www.wordfence.com/blog/2017/04/ ... -phishing/

Autrefois on avait des s éléments animés dans les publicités (il y en a encore), mais maintenant cela se répand désormais dans le contenu des pages web. On a de plus en plus d'animations GIF ou des vidéos qui se lancent de manière automatique alors qu'on lit un article, parfois même avec du son.
Pour neutraliser tout cela :

image.animation_mode (oncel) Il y a trois valeurs : none, once ou normal (par défaut). Si vous voulez bloquer totalement les animations des GIF, la première est à utiliser. Si vous voulez seulement interdire qu'elles ne tournent en boucle, la seconde suffira.
media.autoplay.enabled (false) Pour éviter la lecture automatique des vidéos)
media.mediasource.webm.enabled (true) Pas vraiment une sécurité, mais c'est juste pour activer le codec VP9 (qui est en false par défaut)



Optionnel (et si vous voulez privilégier les performances ou avantages des fonctionnalités)

Désactiver le pre-fetching : C'est censé améliorer les performances, mais Firefox va lancer des requêtes DNS et HTTP

network.prefetch-next (false) : Empêche le téléchargement prédictif anticipé des documents liés à la page Web visités (link prefetch-ing) pour éviter l’établissement de connexions et le téléchargement de contenu non sollicités
network.dns.disablePrefetch (true) : Désactiver la résolution DNS en avance.


Accessoirement :

browser.send_pings (false) Désactiver les «pings» de Firefox (pour éviter les tracking des clics lorsque vous êtes sur une page web)
browser.send_pings.require_same_host (idem)

browser.aboutHomeSnippets.updateUrl (Vider la valeur du champ) Pour ne pas voir de suggestions envoyées par Mozilla ou ses partenaires dans la page «Nouvel onglet»

browser.cache.offline.enable (false) Désactiver le cache hors ligne - Mais vous allez vous priver de la navigation privée
browser.search.suggest.enabled (false) Pour éviter d'envoyer tout ce que vous recherchez au moteur de recherche. via les sugestions qui sont prises dans le cache local


Forcer l'utilisation d'une police

Source : WebSauvage

Nombre de sites utilises des police "Google" (Google en sait déjà assez comme cela) et cela peut ralentir le surf (téléchargement)

Comment faire ? Télécharger par ex http://font.ubuntu.com/, décompressez le fichier (winrar)
Puis, rendez vous dans, ----> "Panneau de configuration" -> "Apparence et thème" (ou police) ->"Police"
Placer les fichiers .TTF dans le dossier "Police".

Dans la configuration de Firefox > onglet Contenu > Polices et couleurs > bouton Avancé… :
Serif : je choisi Ubuntu
Sans serif : : je choisi Ubuntu
Décocher Autoriser les pages web à utiliser leurs propres polices au lieu de celles choisies ci-dessus.
Dans la configuration de µBlock-origin, je coche Bloquer les polices d'écriture distantes.

Inconvénient: De rares sites utilisent des icônes à base de police de caractères. On peut les autoriser au cas pas cas à utiliser leur police via Ublock Origin . Il suffit de cliquer sur l'icone d'Ublock En bas à droite de la petite fenêtre qui s'ouvre, se trouve le symbole "caractère" représenté par un A majuscule. On clique dessus et le tour est joué
_______________________________


LES MODIFICATIONS QUE VOUS POUVEZ EVITER OU INSTALLER

Safe Browsing

Un grand nombre de requêtes dans FIrefox (dont au démarrage), sont le fait d’appels à Google et sont en relation avec le service SafeBrowsing de Google (Navigation Sécurisée en français). C'est l'équivalent du SmartScreen sous IE
C’est une liste noire de domaines qui contiennent ou ont contenu divers malwares ou qui pratiquent le phishing. Cela permet au navigateur de bloquer la page avant même de la charger et d’afficher une alerte, mais cela implique d’envoyer l’URL visitée au service. Et ce service est tenu par Google.

Schéma simplifié Safe Browsing (attention ce n'est pas celui qui est implémenté dans Firefox :

Image

Pour résumer, à chaque fois que vous consulter une URL (qui peut être un site Web), celle ci est envoyée à Google pour analyse (c'est pour votre bien)
Ca c'est la version raccourcie
Dans les faits, il serait trop lent (et invasif pour la vie privée) de contacter un serveur de confiance chaque fois que le navigateur veut établir une connexion avec un serveur Web.
Au lieu de cela, Firefox télécharge une liste d'URL incorrecte toutes les 30 minutes du serveur browser.safebrowsing.provider.google.updateURL et effectue une recherche sur sa base de données locale avant d'afficher une page à l'utilisateur.

chaque URL de la liste est sous une forme canonique (1)
puis haché ,
dont seulement les premiers 32 bits du hash sont conservés.

(1) https://fr.wikipedia.org/wiki/Canonique_(informatique)

Les listes demandées à partir du serveur Safe Browsing et utilisées pour classer les pages en tant que malware / indésirables ou phishing peuvent être trouvées dans repectivement urlclassifier.malwareTable et urlclassifier.phishTable

L'un des malentendus les plus persistants sur la navigation sécurisée est l'idée que le navigateur doit envoyer toutes les URL visitées à Google afin de vérifier si elles sont sécurisées ou non.
La version 2 de l'API Safe Browsing n'offre pas ce type de recherche en temps réel (ni la 3 d'ailleurs)

Google déclare explicitement que les informations collectées dans le cadre de l'utilisation du service de navigation sécurisée "sont utilisées uniquement pour signaler une activité malveillante et ne sont jamais utilisées ailleurs" et que "les demandes de navigation sécurisée ne seront pas associées à votre compte Google" .

Firefox ajoute quelques protections de la vie privée (soient ils n'ont pas confiance, soit ils veulent rassurer les utilisateurs, ou.. les deux :-)

"Les paramètres de la chaîne de requête sont supprimés des URL que nous vérifions dans le cadre de la fonctionnalité de protection de téléchargement.
Les cookies définis par les serveurs de navigation sécurisée pour protéger le service contre les abus, sont stockés dans un cookie distinctif afin qu'ils ne soient pas mélangés avec des cookies de navigation / session réguliers.
Lorsque vous demandez des hachages complets pour un préfixe de 32 bits, Firefox lance un certain nombre d' entrées supplémentaires de "bruit" pour offusquer (masquer) l'URL d'origine. "

En clair et en simplifiant : Chaque URL visitée ne file pas directement chez Google car Firefox télécharge une liste qu'il consulte en local

Le seul moment où Firefox partage des données avec google c'est pour l'analyse de téléchargement de fichiers sur les sites douteux
Cette recherche à distance peut être supprimée via la browser.safebrowsing.downloads.remote.enabled pour les utilisateurs concernés, par l'envoi de ces métadonnées à un tiers
Néanmoins cet envoi existe, seulement si Firefox n'a pas pu vérifier que l'URL pincipale n'est pas en liste blanche locale, puis dans un deuxième temps pu vérifier la signature du fichier téléchargé sur une autre liste blanche locale, d'éditeurs connus, et dans une troisième condition que le fichier ne soit pas un fichier binaire (et autres comme l'indique https://dxr.mozilla.org/mozilla-centra ... pp#388-425


Lecture : https://wiki.mozilla.org/Security/Safe_Browsing
Il y a même une page pour tester : https://testsafebrowsing.appspot.com/

Je ne vais donc pas conseiller de désactiver avec about:config (c'est un peu comme dire de désactiver l'UAC "parce que je sais ce que je fais")
Il s'agit à la base d'une protection, et même si relativement efficace, la sécurité c'est comme un mille feuille, tout ne repose pas que sur la brique Antivirus, et chaque couche ajoutée apporte sa contribution

Google, passe sa vie à balayer la totalité des pages de tous les sites Web du monde avec son "crawler", dans toutes les langues, et dont la puissance de calcul est la plus élevée du monde
Sa base de données est amplement supérieure à celle de votre anti virus (qui peut d'ailleurs être abonné au cloud et client de google qui fournit une API) Il peut y avoir donc une double vérification

Ensuite à moins de se plonger pendant des heures ou des jours dans les docs techniques, on ne sait pas toujours à quoi correspondent toutes les occurences de safeBrowsing et Google dans "about:config'

Le plus "safe" est en rapport avec ce que l'on peut désactiver via l'interface de Firefox (que je peux citer puisque étant une fonctionnalité offerte)

browser.safebrowsing.malware.enabled (False) Pour les sites de logiciels malveillants et les sites de logiciels indésirables
browser.safebrowsing.phishing.enabled (false) Pour les pages de phishing

Est ce que c'est efficace ?
A vous de juger : https://transparencyreport.google.com/s ... former.com
(je ne conseille pas de télécharger quoi que ce soit sur le site proposé en analyse c'est pire que softonic.com)

De toutes les façons on ne peut y échapper : Google se fiche complètement des législations anti-tracking et développe des "services" qui nécessitent que les internautes soient trackés, par la nature technique de ces services (Safe Browsing, Géolocalisation, GPS, etc. ...)

Liens en relation :

viewtopic.php?t=51057&start=
viewtopic.php?t=51859&start=
https://wiki.mozilla.org/Security/Safe_Browsing
https://wiki.mozilla.org/Security/Tracking_protection


Le Referer

Certains suggèrent de modifier

network.http.sendRefererHeader en le fixant à "0" (Il est fixé à 2 par défaut)

Comme je le soulignais dans l'article do not track, cela peut amener de mauvaises surprises
Par ex pour ceux qui veulent se connecter à certains services en ligne (chez OVH par exemple) Si c'est à 0 ou 1 vous serez déconnecté de ces services
Idem pour les usagers de Twitter. Il sera impossible de reTweeté, ni d'avoir de réponse


Géolocalisation et WI FI

geo.wifi.uri Là aussi il est conseillé de supprimer le champ qui apparait. ce n'est pas une bonne idée...

Sur ma version ESR (et les versions classiques en FR normalement), par défaut j'ai cette valeur qui apparait dans le champs :

Code : Tout sélectionner

https://www.googleapis.com/geolocation/v1/geolocate?key=%GOOGLE_API_KEY%
Cette fonctionnalité est décrite comme : "Aide la géolocalisation de Firefox à se montrer plus précise en utilisant Google Location Services"

Firefox envoie donc votre IP, la liste des réseaux Wifi environnants et un identifiant unique régénéré toutes les deux semaines à Google pour obtenir une localisation fiable au niveau de la rue au lieu de n’avoir que GeoIP qui est fiable au niveau de la ville (et encore, parfois on a que le pays). Sans cette option, la précision prend un sacré coup ce qui peut jouer des tours aux personnes qui en ont l’utilité

En 2015 Mozilla a remplacé la valeur du champ par

Code : Tout sélectionner

https://location.services.mozilla.com/v1/geolocate?key=%MOZILLA_API_KEY%  
Pour enrichir sa base géoloc, Mozilla utilise les données renvoyées par le WiFi et le réseau GSM et a même mis en ligne sur le Play Store, Mozilla Stumbler qui permet aux volontaires d'enrichir les données du service de géolocalisation de Mozilla.
Après à l'usage, est-ce aussi efficace que les API de Google ? A vous de tester
(se rappeler que Google avec ses google cars pour nous offrir street view, scannait tous les réseaux wi fi et équipement pendant ses déplacements, en récupérant toutes les données possibles (Mac Adress etc.
Pris sur le fait, Google avait indiqué qu'il s'agissait d'un bug...) http://assiste.com/Google_et_Geolocali ... _View.html


geo.enabled (false) Si la valeur est à " True" vous autorisez certains sites à vous géolocaliser pour "améliorer" le service fourni. Cette information leur permet non seulement de mieux connaître leur audience, mais surtout de pouvoir cibler leurs messages publicitaires.
Exemple de Facebook Messenger qui le fait à des fins commerciales et qui en plus le fait fuiter l’info à "vos amis"
Firefox (normalement) vous demandera toujours l'autorisation de révéler votre géolocalisation aux sites qui le demandent et par défaut, en théorie, aucune information de localisation n'est envoyée sans votre consentement
Donc suivant l'usage ou finalité vous pouvez laisser à True ou pas

Contrairement à ce qu'on peut lire sur le net, cette astuce ne vous permettra pas de contourner la géolocalisation IP des sites de vidéos. si vous êtes à l'étranger, comme TF1 (parce que JP Pernaut vous manque :-) parce qu'ils se basent sur notre adresse IP.



Désactiver la connexion WiFI quasi permanente:

Avec Firefox 52.0 une nouvelle fonction est disponible, la détection automatique de portails captifs d'accès Wi-Fi.Un portail captif est un service web mis en place dans un réseau pour authentifier les utilisateurs (la page de redirection pour s'authentifier lorsque vous vous connectez sur du Free Wi fi, ou FON)
La conséquences de cette amélioration est la connexion quasi permanente de Firefox à un serveur aléatoire de cloudfront.net

Si vous êtes chez vous, relié à votre Box en filaire, et que donc vous n'utilisez pas le Wi-fi, vous pouvez désactivez cette fonction (cela fera une charge en moins sur le réseau et un service en arrière plan supprimé)

network.captive-portal-service.enabled (false)
network.tcp.keepalive.enabled (false)

Il faut relancer Firefox pour la prise en considération de la modification.



Un élement du Finger Printing

privacy.resistFingerprinting (true) Cette fonction a été introduite dans la version 4 de TOR (qui est basé sur la version ESR) et implémentée dans les versions Firefox à partir de la version 50
Cela permet de bloquer l'information pour les sites webs intrusifs, comme votre résolution, dimension des fenêtres,...

Elle est souvent en "false" par défaut (malgré les mises à jour) ou même n'existe pas suivant les zones de téléchargement, car un bug créait une ouverture de fenêtre fixée à 1000 et donc pas de zomm dispo etc (on pouvait contouner en créant avec une nouvelle chaine de caractère : privacy.window.maxInnerWidth

Le bug a été corrigé dans la version 55 de firefox mais peut ne pas être activée

Cette fonction est activée si vous utilisez Classic Theme restorer

Un autre bug a été signalé : Lorsque privacy.resistFingerprinting est à (true)avec NoScript, vous aurez plus d'évènements "ClearClick dans NoScript" (https://noscript.net/faq#qa7_1)
Bizarrement lorsqu'il est à (false), il n'y a pas d'événements "ClearClick" dans l'extension NoScript (à vérifier en activant les sons)

Le problème est apparu depuis la version 52 de Firefox, et peut empêcher des fonctionnalités pour certains sites comme le paiement à Ebay

La solution est de créer (valeur booléenne): browser.tabs.remote.force-enable et de mettre à true
Sinon utiliser Umatrix qui met en liste blanche diverses URL affectées par le problème (Ebay, Paypal, ...)

A ce jour le créateur de No Script travaille toujours sur le problème (les beta fonctionnent pour certains et pas pour d'autres) mais il se pourrait que certains AV (Avast, Norton) contribuent à ce bug





Un mot sur Firefox et Facebook

Si vous n'avez pas facebook vous ne verrez pas cela, mais si vous l'utilisez, et que vous n'avez pas de protections voila ce qui peut apparaitre dans about:config

http://www.hostingpics.net/viewer.php?id=729928face.gif


______________________________________________
Pour la tranquillité d'esprit, vous pouvez également rechercher dans votre fichier prefs.js pour toutes occurences de "http" et vérifier à quoi les URL sont utilisées.
Si vous souhaitez désactiver la fonctionnalité, vous pouvez simplement ajouter la préférence à votre fichier user.js et remplacer l'URL par "", ou localhost , ou vous pouvez faire pointer l'URL vers localhost dans votre fichier HOSTS .
________________________________________________



2) UTILISER LE FICHIER "user.js"

Ne cherchez pas ce fichier, il n'existe pas. Il faut donc le créer. Il prendra le dessus sur le fichier pref.js et en plus vous pourrez créer et activer des fonctions cachées

Comme déjà indique, la solution idéale est de se créer un fichier user.js https://primokorn.wordpress.com/2017/03 ... e-user-js/

Pourquoi ? Parce qu'une fois généré, ce fichier est pris en charge par Firefox, vous évitant de toucher au fichier de configuration pref.js, modifié par vos choix effectués à partir de l’adresse about:config.

Ensuite, il est plus intéressant de passer par ce type de fichier pour plusieurs raisons :

- On peut mettre des commentaires ce qui est très pratique pour s’organiser, faire des recherches dans ses modifications, garder en tête des informations sans pour autant les appliquer,…
- Utiliser les mêmes préférences sur plusieurs profils Firefox ou appareils.
- Facilité d’utilisation de manière générale et la possibilité de partage avec d’autres personnes

De plus rien ne dit que Mozilla dans une mise à jour du navigateur ne remette par défaut certains paramètres (ou en ajoutent d'autres)
D'où le gros avantage du user.js (et des modules complémentaires)


On trouve des fichiers "user.js" un peu partout sur le net


Quelques liens de user.js (lien lire les changelogs) IMPORTANT, les modifs proposées tiennent compte du fait que vous avez certains modules installées comme Ublock Origin)

https://github.com/pyllyukko/user.js
https://raw.githubusercontent.com/pylly ... er/user.js (pour voir le contenu directement)
https://github.com/ghacksuserjs/ghacks-user.js/releases
https://github.com/atomGit/Firefox-user.js

Si vous maitrisez la langue inventée pour s'engueuler et vendre du poisson à la criée (je plaisante !)
https://www.privacy-handbuch.de/handbuch_21.htm

Je conseille dans un premier temps d'utiliser le https://github.com/ghacksuserjs/ghacks-user.js/releases en choisissant la version qui correspond à votre navigateur (IMPORTANT !)

Pour installer ce user.js, les détails sont sur la page suivante : Mozilla Firefox : user.js contre le pistage internaute

On a même droit à la documentation et avertissements

https://github.com/ghacksuserjs/ghacks- ... ementation
https://github.com/ghacksuserjs/ghacks- ... 1-Overview

Dans ces fichiers prêts à l'emploi que vous pouvez télécharger, vous noterez la présence de ghacks_user.js.parrot.
Firefox lit le fichier user.js du haut vers le bas.
S’il rencontre une erreur de syntaxe, il ignorera tout ce qui suit cette erreur.
Pour savoir si Firefox a bien chargé toutes les préférences, ghacks_user.js.parrot sert de contrôle.

Après vous faites ce que vous voulez. Vous pouvez placer ce paramètre "user_pref("ghacks_user.js.parrot" tout en bas du fichier de préférence

Au redémarrage de Firefox, allez sur about:config et recherchez ghacks_user.js.parrot. Si Firefox vous l'affiche C'est que tout fonctionne
Si Firefox vous renvoie autre chose, c’est qu’il y a au moins une erreur dans les lignes insérées

Si vous voulez ajouter vos propres changements dans le user.js, il est fortement recommandé de les placer tout en bas du fichier.

Vu que Firefox lit le fichier du haut vers le bas, il lira vos préférences en dernier. Ce seront elles qui seront appliquées même si d'autres valeurs de configuration identique mais avec des valeurs différentes y figurent

Si vous souhaitez enlever/modifier quelque chose de votre fichier user.js, vous devez le faire avant de lancer Firefox.

Avantages : C'est prêt à l'emploi, c'est bien documenté, et surtout mis à jour ex https://www.ghacks.net/2017/08/22/firef ... s-changes/
Inconvénients : C'est prévu pour la langue US, dont il va falloir éditer le fichier et remplacer (ex avec d'autres avertissements: https://www.ghacks.net/2015/08/18/a-com ... -settings/

Sinon (liste non exhaustive) : Votre firefox sera en langue US, certains modules seront en langue US (no script par ex), flash sera complètement désactivé, la liste de vos plug in n'apparaitra plus, le codec H264 de Cisco sera désactivé, vous ne pourrez plus lire le .pdf directement dans le navigateur, vous ne pourrez plus avoir la fonction pour certains extension "utiliser avec" mais "sauvegarder", etc
Tout cela est réversible évidemment mais oblige à mettre les mains dans le cambouis

Concrètement, dans la liste du lien indiqué ci-dessus, vous pouvez changez les "en-US, en" qui apparaissent en "fr-FR" et les "US" en "FR"
Exemple ; general.useragent.locale mettre fr-FR et ne pas oublier le javascript.use_us_english_locale a mettre en false

Perso pour mon usage j'ai modifié les lignes 0202, 0204,0207, 0208, 1805, 1820, 1840, 2662, et je dois en oublier...
L'auteur précise bien à coups de WARNINGS, ce que l'on peut modifier pour son propre usage

Par ex, je voulais utiliser le programme Pdf-Xchange viewer
L'auteur a mis une restriction pour empêcher l'ouverture du viewer pdf intégré dans le navigateur via javascript (préventions des exploits)

pdfjs.disabled (true);
Il faut laisser à "true" mais on peut servir d'une application externe qui va mettre un plug in comme :
https://www.tracker-software.com/produc ... fileid=549
ou
https://www.tracker-software.com/produc ... nge-viewer (qui est 10 fois moins gros et suffit amplement)

Par contre j'ai du aller dans le menu "options" ---> Applications, et dans le type de contenu et "action" j'ai du mettre partout "utiliser "PDF X change" sinon cela demande à télécharger le .pdf alors que je veux juste le visualiser
Le point négatif c'est que cela lance l'appli, mais c'est une sécurité (mais il est très rapide)
(ne pas hésiter à aller dans les préférences de X Pdf viewer, pour désactiver ce qui est lié à l'usage du javascript, des moteurs de recherche, ..)



3) PROGRAMMES PRETS A L'EMPLOI


Vous ne voulez pas vous embêtez à faire les manips à la main ?

Là c'est tout simple, il suffit d'utiliser ces modules


Privacy Settings : https://addons.mozilla.org/fr/firefox/a ... -settings/

avec

Policy Control https://addons.mozilla.org/en-US/firefo ... src=search (un complément)

L'avantage, c'est que des préférences sont prêtes à l'emploi (impliquant par ex le safe browsing ou non)

- Vie privée avec une meilleure compatibilité de surf et sécurité
- Vie privée, mais sans l'aspect sécurité"
- Vie privée et sécurité
- Securité


L'aspect négatif, c'est que vous ne savez pas ce que vous faites et que vous pouvez vous retrouver bloqué sur certains sites sans savoir pourquoi
Tout n'est pas implémenté (sauf le principal)
Néanmoins ces modules ont l'avantage d'exister et surtout permettent de basculer d'un mode à l'autre sans à devoir relancer Firefox (normalement)

_____________________________________________________

A PRENDRE EN COMPTE

Si on regarde la plupart des indications du fichier user.js, on s'aperçoit que mettre des données en cache n'est pas compatible avec une navigation respectueuse de la vie privée et sécurité
Du coup on perd tout l'aspect rapidité de chargement des pages web et en réactivité (je n'ai pas dit "latence" qui est un autre problème)

Si on désactive le cache disque, les sites seront restockés après chaque ouverture de Firefox.
Pour l'aspect sécurité c'est bien, mais cela implique une lourde charge réseau (donc ralentissements à prévoir du fait des requêtes, chargement des pages etc d'autant plus visibles sur les ordinateurs de type portable axés bureautique, et en wi fi)

Les principaux inconvénients de cette méthode sont que le contenu des pages Web parcourues est perdu si le navigateur se bloque ou après un redémarrage


Si on souhaite un juste équilibre, on peut modifier ces valeurs en jouant sur les valeurs sur disk (ssd) et en ram

Se rappeler que l'augmentation du cache "mémoire" va simplement augmenter ou diminuer la quantité de cache que Firefox gère, cela n'augmentera ou ne diminuera pas la quantité de mémoire système que Firefox peut utiliser

On est en 2017, donc on peut jouer avec certaines valeurs (les gens ont un SSD, et plus de mémoire)
Sur le net on trouve quelques variantes mais celles ci assurent une meilleure stabilité

Avant tout amusez vous à regarder votre conso mémoire en tapant dans l'url de Firefox : about:cache
Cela peut vous donnez une idée des réglages
A voir : https://addons.mozilla.org/en-US/firefo ... cheviewer/


Rechercher la valeur "browser.cache"

browser.cache.disk.enable (true) Cette valeur peut etre mise à (false) ce qui supprime le cache sur disque et la priorité sera donnée au cache en RAM (une meilleure stabilité implique le disque et la ram)

Si la valeur est en (true)
browser.cache.disk.capacity (358400) Valeur donnée en ex)
browser.cache.disk.smart_size_cached_value (358400) Idem


browser.cache.memory.enable (true) Active le cache en ram (si vous avez des fuites mémoire vous pouvez mettre la valeur à (false) pour tester)


Ensuite il faut créer la valeur : clic droit sur la fenêtre principale -> nouvelle -> valeur numérique) et assignez lui une valeur en kilo - octets . A moduler en fonction de la RAM dont vous disposez

browser.cache.memory.capacity (358400) Pour 1 GB . Il s'agit du cache HTTP. J'ai mis un ex, à moduler en fonction de votre ram dispo, mais je conseille de laisser à -1 et on laisse Firefox décider de la taille à allouer ((si vous avez des fuites mémoire vous pouvez mettre la valeur à (false) pour tester)

browser.cache.use_new_backend (1) Nouveau cache HTPP


Néanmoins si la vitesse est votre priorité, rien ne vaut un RAM disk :

https://www.raymond.cc/blog/superspeed- ... n-ramdisk/


Si vous avez des fuites memoire avec win10 http://windowsreport.com/firefox-too-mu ... indows-10/


IMPORTANT : Tout ce que vous avez fait ne sert à rien sans de BONS DNS (je ne parle pas de DNS rapides, toujours dispos etc comme ceux de google et OpenDNS (Cisco) que tout le monde conseille)

Jetez un oeil à : https://www.shaftinc.fr/arretez-google-dns.html


VPN

Si vous vous déplacez à l'étranger n'utilisez pas les pseudos comparateurs de VPN (tous sponsorisés) et des VPN gratuits

Offrir un service VPN, pour un opérateur signifie qu'il doit disposer de nombreux serveurs présents réellement dans différents pays. Si tu as 500 serveurs répartis dans le monde cela a des coûts importants de maintenance et de charges pour chaque serveur.
Donc, la gratuité offerte ne peut être que toute relative.


Que cache cette gratuité ?

- Collecte et vente des données personnelles.
- Une grande partie des fournisseurs de VPN gratuit enregistrent les données de leurs clients au fil du temps, pour déterminer leurs habitudes d’utilisation à des fins publicitaires.
- Installation sur le PC de scripts malveillants pour récupérer des données personnelles
- Un fournisseur VPN peut vendre la bande passante de ses clients (donc imaginez ce que cela peut donner si quelqu'un fait dans l'illégalité ; hacking pedo pornographie etc le risque étant de voir débouler les "amis du petit déjeuner", ce qui sera justifié et tant mieux

Tous les VPN ne sont pas fiables (soit parce que leur sécurité est défaillante, soit parce qu’ils sont montés par des officines gouvernementales, mafias etc, pour obtenir des informations sur leurs utilisateurs

Les questions à se poser avant le choix d'un VPN Gratuit (en anglais), même si les gens s'en moquent, parce que seul le mot "gratuit" intéresse :
(il y a des réponses également)

https://torrentfreak.com/anonymous-vpn- ... 15-150228/

Actuellement on peux trouver un bon VPN payant pour autour de 4$ par mois sans les inconvénients (enfin pas tous car il y a les logs mais souvent pour des raisons de maintenance)

Et se rappeler que la majorité des VPN suspendent les comptes de leurs abonnés qui pratiquent le téléchargement illégal, cybercrime etc
Le risque étant de se faire clôturer le compte client, sans compter la coopération avec le pays d'accueil avec les autorités en place

Un comparateur : https://thatoneprivacysite.net/vpn-comparison-chart/


Pour les services de proxies gratuits c'est la même chose

________________________________________________________
EDIT : ; Cet article a pour vocation d être en évolution, donc des ajouts peuvent apparaitre, des compléments d'information apportés etc
Le problème c'est qu'il faut du temps à y consacrer (je n'en ai pas beaucoup) mais j'essaierai. Pour l'instant je n'ai mis que l'indispensable et le principal

_________________________________________________________

POUR TESTER

Se rappeler que si vous diminuez les infos que certains sites ou programmes peuvent récupérer, votre IP sera toujours là, et vous aurez toujours une empreinte unique (ce n'est pas celle de Firefox qui n'a pas d'ID number, mais elle est liée à l'empreinte digitale de son environnement, comme les plug in etc)
C'est le UUID (identifiant unique) qui apparait dans certains sites de tests, (et qui est envoyé lors des crashes de Firefox) mais ce n'est pas l'UUID qui est stockée dans le bios.
Les UUID les plus célèbres sont les GUID (Globally Unique IDentifiers) de Microsoft utilisés pour l’API COM, mais il existe de nombreuses versions.


Fingerprinting (empreintes)

Panopticlick https://panopticlick.eff.org/
JoDonym http://ip-check.info/?lang=en
Am I Unique? https://amiunique.org/
Browserprint https://browserprint.info/test

Test Multiple Tests
(page simple)

Whoer https://whoer.net/
5who http://5who.net/?type=extend
IP/DNS Leak https://ipleak.net/
IP Duh http://ipduh.com/anonymity-check/

Test Multiples [plusieurs-pages]

BrowserSpy.dk http://browserspy.dk/
BrowserLeaks https://www.browserleaks.com/
HTML Security https://html5sec.org/
PC Flank http://www.pcflank.com/index.htm


Cryptage / Ciphers / SSL/TLS / Certificates

BadSSL https://badssl.com/
DCSec https://cc.dcsec.uni-hannover.de/
Qualys SSL Labs https://www.ssllabs.com/ssltest/viewMyClient.html
Fortify https://www.fortify.net/sslcheck.html
How's My SSL https://www.howsmyssl.com/
RC4 https://rc4.io/
Heartbleed https://filippo.io/Heartbleed/
Freak Attack https://freakattack.com/clienttest.html
Logjam https://weakdh.org/
Symantec https://cryptoreport.websecurity.symant ... lCheck.jsp



DOCUMENTATION


D'autres possibilités : http://www.thechangebook.org/blog/2226 ... avigateur/

Lecture où vous trouverez des explications, d'autres modules à activer ou désactiver : https://www.ssi.gouv.fr/uploads/2015/01 ... ox_1-1.pdf comme changer le moteur de recherche par défaut (Google) par un autre (Qwant par ex)


Securite FIREFOX

https://blog.mozilla.org/security/
https://wiki.mozilla.org/Electrolysis
https://wiki.mozilla.org/Security/Sandbox


Divers :

http://12bytes.org/articles/tech/opting ... hseJMIT22A

https://www.raymond.cc/blog/edit-files- ... KWtHkl5D8A

http://12bytes.org/articles/tech/firefo ... ance-buffs

https://github.com/ghacksuserjs/ghacks-user.js/issues/8
https://github.com/ghacksuserjs/ghacks- ... aster.atom
https://github.com/atomGit/Firefox-user ... aster.atom
http://12bytes.org/feed
Dernière modification par Parisien_entraide le 09 sept. 2017 14:18, modifié 24 fois.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Malekal_morte
Messages : 116304
Inscription : 10 sept. 2005 13:57

Re: FIREFOX : Tracking et sécurité

par Malekal_morte »

Salut,

Merci,
Intéressant : "La protection contre le pistage de Firefox réduit les temps de chargement des sites de 44% "
Avec -67,5% de cookies, le chargement est 44% plus rapide en moyenne, et l’appareil consomme 39% moins de data
Je n'utilise pas Firefox, vous avez vraiment remarqué une amélioration ?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Avatar de l’utilisateur
Parisien_entraide
Messages : 20264
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: FIREFOX : Tracking, pistage utilisateur et sécurité

par Parisien_entraide »

Franchement je ne pourrais dire... Mon Windows, ma connexion réseau, sont bidouillés/tweakés (je l'ai toujours fais sur mes ordis) Firefox également depuis pas mal de temps, juste pour grapiller quelques % de réactivité en navigation, en évitant la pollution de datas qui entrent ou sortent, dans le seul but des jeux FPS :-) Accessoirement cela sert pour empêcher le tracking et éviter les infections
Si en plus les sites s'affichent plus vite.. tant mieux :-)

Je pense que cela peut être visible sur des ordis lents (vieux portables etc) mais j'ai quand même constaté une meilleure réactivité sur le chargement de sites fortement encombrés en données média (image etc), bourrées de script etc. Sur d'autres c'est moins flagrant (il faut dire que l'accélération matérielle cela aide aussi pour l'affichage (j ai souvent la page qui s'affiche d'un seul coup et très vite) donc il est difficile de quantifier

Là où c'est vraiment flagrant, c'est la conso de data (faudrait un jour que je remette wireshack pour refaire les tests) et ce qui traine sur le disk en fin de session
Malgré les outils en place qui font le nettoyage lorsque je quitte le navigateur (les options de Firefox qui le permettent c'est bidon), il ne reste plus que le minimum (3 ou 4 fichiers) par ex en visu avec un nettoyeur comme CCleaner et l extension CCenhancer alors que sans il doit bien y avoir une douzaine de dossiers et fichiers qui restent en place, et qui donc sont accessibles lors d'un prochaine ouverture de Firefox et sont donc servies sur un plateau pour les trackers

Je sais que tu n'es pas partisan du nettoyage avec les outils, mais tout dépend de la finalité.
Perso c'est pour éviter que reste sur le disque des données d'ordre privée, et qu'on s'en serve pour des raisons commerciales et profilage (cela va de pair pour le but marketing)

Il faut se rappeler qu'il y a d'autres programmes qui scrutent le disque dur/ssd

Vu que je joue, je sais que Origin et pukbuster vont jeter un oeil dans certains dossiers, fichiers, se nourrissent des traces de surf, vont regarder les Shellbages où il sauront (merci les logs windows) quels dossiers j'ai ouvert, avec les noms des fichiers, à quelle heure, pendant combien de temps etc, et ce meme pour les périphériques connectés (clé usb, disque dur extern ...) sans compter qu'au lancement, Origin par ex va balancer 2 tonnes de cookies et de trackers de toutes les sortes (comme Tapad qui est hyper intrusif et spécialisé dans le suivi unifié des utilisateurs sur plusieurs appareils en fonction de leur comportement https://www.tapad.com/about-us/what-we-do)
Je suis obligé également si je veux jouer, de désactiver certains modules de protection de Firefox

Steam fait la même chose et à même renforcé son tracking depuis 2 mois . Si je veux qu'il se lance je suis obligé de mettre en liste blanche (fichiers hosts) certains appels à des url de tracking/marketing et évidemment serveurs Akamai (les listes qu'on a à travers les modules ne sont pas à jour). en plus ils exploitent les services de google

Par ex lorsque j'ai viré la version "normale" de Firefox pour une version ESR il y a quelques mois, j'en ai profité pour refaire l'aspect sécurité du navigateur
Ca n'a pas loupé, j'ai eu un avertissement du Steam GUARD (outil dit de protection des utilisateurs pour les protéger du vol de leur connexion et jeux)
comme quoi j'utilisais Steam sur un nouvel ordinateur (ce qui n'est pas le cas) et qu'il s'agissait d'un ordinateur "public" (salle de jeux etc)
Je me suis battu avec eux pendant une semaine, car le code qu'ils m envoyaient ne fonctionnait pas. La raison je l'ai trouvé, il fallait que je lance une version de Firefox avec un profil vierge de modules complémentaires et de modification du programme (en fait ils font du fingerPrint, même si leur interface se lance en apparence de façon indépendante et ils n'arrivaient pas à avoir mes données)

Du coup, avant de jouer je passe toujours un coup de CCleaner et de https://privazer.com/download-shellbag- ... leaner.php
Je sais que cela ne fait pas tout, mais cela limite la casse

C'est l'avenir vers lequel on se dirige.. Couper nos protections si on veut utiliser les programmes qu'on a acheté (déjà qu'il faut le faire partiellement sur certains sites pour qu'ils s'affichent...)
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Malekal_morte
Messages : 116304
Inscription : 10 sept. 2005 13:57

Re: FIREFOX : Tracking, pistage utilisateur et sécurité

par Malekal_morte »

ok je vois =)
tu nettoyes bcp =)

Merci du retour.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Avatar de l’utilisateur
Parisien_entraide
Messages : 20264
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: FIREFOX : Tracking, pistage utilisateur et sécurité

par Parisien_entraide »

Oui je nettoie beaucoup :-) (et mon windows est stable depuis des années) Tout dépend des nettoyeurs utilisés et de leur configuration

Mais je procède au nettoyage au sens large, comme désactiver un tas de services inutiles de windows , du moins pas adaptés à mon usage, de ceux apportés par les logiciels dont on ne sait pas toujours ce qu'ils font, et parfois cachés, comme le révèle autoruns, ce qui est lancé au démarrage et qui encombre (mais qui n'est pas toujours utile) etc
Je veux du léger mais fonctionnel, adapté à mon usage, et un outil qui n'est pas là pour qu'on se serve dans mes logs, traces etc à des fins dont je n'adhère pas (être le produit), même si cela devient de plus en plus utopique parce qu'on ne peut pas tout maitriser :-)
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Malekal_morte
Messages : 116304
Inscription : 10 sept. 2005 13:57

Re: FIREFOX : Tracking, pistage utilisateur et sécurité

par Malekal_morte »

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116304
Inscription : 10 sept. 2005 13:57

Re: FIREFOX : Tracking, pistage utilisateur et sécurité

par Malekal_morte »

J'ai publié ce tuto qui explique comment installer le user.js pour compléter cette page : Mozilla Firefox : user.js contre le pistage internaute
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
fakir

Re: FIREFOX : Tracking, pistage utilisateur et sécurité

par fakir »

Salut,

Comment sauvegarder les sites auquel on accepte le pistage ?

Je dois à chaque au démarrage de FF désactiver "Protection contre le pistage" sur les sites de confiance.
Avatar de l’utilisateur
Parisien_entraide
Messages : 20264
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: FIREFOX : Tracking, pistage utilisateur et sécurité

par Parisien_entraide »

J'ai du mal à évaluer ta question... En te lisant on a l'impression que tu n'as rien changé dans Firefox et que tu penses qu'il s'agit d'un module qu'il suffit de désactiver ou activer suivant ce que tu souhaites faire

En fait le plus simple, c'est de te créer plusieurs profils dans Firefox

https://support.mozilla.org/fr/kb/utili ... er-profils

Perso :

- J'en ai crée un pour les jeux , pour ceux qui utilises l'interface Origin et le navigateur, qui use et abuse de la télémetrie, et pour lequel, si on ne laisse pas passer un tas de trucs va empêcher le chargement de la page du jeu et même son lancement
Idem avec Steam d'ailleurs qui avec sa protection, va être perdu et va croire que j'ai une empreinte hardware et logicielle qui a changé

- Un autre profil très sécurisé (des tas modules complémentaires, user.js modifié etc) pour divers tests

- Un profil avec le minima (no script, Ublock, ..) mais pas contraignant pour les sites d'achats habituels, banque, informations etc

Au lancement de Firefox tu choisis le profil que tu veux lancer et si tu veux te faire pister, tu prends le moins contraignant

Par contre si tu parles de la fonction inclue de Firefox "ne pas me pister"... https://www.malekal.com/protection-cont ... e-firefox/
Relis bien, tu as 2 possibilités
Mieux, tu t'aperçois que Firefox utilise les listes de https://addons.mozilla.org/fr/firefox/addon/disconnect/
Donc si tu veux mieux gérer les sites que tu autorises à te pister, utilise plutôt le module complémentaire et tu pourras mettre ces sites en liste blanche
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
fakir

Re: FIREFOX : Tracking, pistage utilisateur et sécurité

par fakir »

Bonjour,

J'avais déjà fait beaucoup de modifications dans about:config. Pour ma part je ne vois pas l'utilité de crée un autre profil, j'ai une utilisation unique de mon navigateur.

Je voulais parler de garder en souvenir les sites que j'autorise, car je m'y rends souvent. Et qui bloque par exemple les vidéos youtube, les capatcha (saloperie d'ailleurs)... j'ai le bouclier en haut à gauche et j'autorise le site en désactivant la protection contre le pistage.

Mais en fait j'ai trouvé, j'avais activé après chaque fermeture "Préférences de site"

l'extension "Disconnect" est du même genre que "Privacy Badger" ? car j'ai celui ci d'installer.
Malekal_morte
Messages : 116304
Inscription : 10 sept. 2005 13:57

Re: FIREFOX : Tracking, pistage utilisateur et sécurité

par Malekal_morte »

Disconnect (en tout cas les listes) est déjà inclut dans les options de Firefox à travers l'option de protection contre le suivi.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Avatar de l’utilisateur
Parisien_entraide
Messages : 20264
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: FIREFOX : Tracking, pistage utilisateur et sécurité

par Parisien_entraide »

fakir a écrit : 21 déc. 2017 12:28

l'extension "Disconnect" est du même genre que "Privacy Badger" ? car j'ai celui ci d'installer.
Ce n'est pas tout à fait la même chose ni la même philosophie :

https://www.eff.org/fr/node/73969

Quant à Disconnect :

"Il détecte les mouchards, les bogues Web, les pixels et les balises placés sur les pages Web par Facebook, Google et plus de 500 autres réseaux publicitaires, fournisseurs de données sur le comportement et éditeurs Web, toutes ces sociétés étant intéressées par votre activité."

Le seul avantage du module de disconnect, c'est que contrairement à Firefox, ou Ublock (si on l'ajoute) c'est que la liste vient de son serveur, ^pour les autre Il faut savoir que les listes sont téléchargées sur notre disque dur depuis le cloud d’Amazon... Perso je me méfie de tout ce qui s'appelle "cloud" car on ne sait pas ce qui se fait derrière, et en plus comme cela appartient à Amazon...

Donc Disconnect est un complément d'Ublock Origin car les annonces publicitaires elles-mêmes ne sont pas bloquées par Disconnect ou Privacy Badger
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
fakir

Re: FIREFOX : Tracking, pistage utilisateur et sécurité

par fakir »

Bonjour,

Je reviens pour dire si vous avez remarqué que l'on à plus accès au module installation, site lui-même en mettant ces lignes dans le fichier hosts.

127.0.0.1 services.addons.mozilla.org
127.0.0.1 services.addons.mozilla.org
127.0.0.1 addons.cdn.mozilla.net
127.0.0.1 addons.cdn.mozilla.net
Avatar de l’utilisateur
Parisien_entraide
Messages : 20264
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: FIREFOX : Tracking, pistage utilisateur et sécurité

par Parisien_entraide »

Le plus simple est de le bloquer pour les raisons indiquées
https://www.ghacks.net/2015/08/18/a-com ... -settings/

// 0320: disable extension discovery
// featured extensions for displaying in Get Add-ons panel
user_pref(“extensions.webservice.discoverURL”, “http://127.0.0.1”);

https://www.developpez.com/actu/149357/ ... Analytics/
(mais tout dépend de la version de Mozilla (52 ESR ou la dernière puisqu'à priori le pistage de google analytics est désactivable maintenant)

Ensuite rien n'interdit de passer par le lien direct en dehors de la page des modules

https://addons.mozilla.org/fr/firefox/

On peut effectivement bloquer tout dans le hosts mais à moins d'utiliser un gestionnaire de fichiers hosts, si tu as besoin d'une extension tu es bloqué
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
fakir

Re: FIREFOX : Tracking, pistage utilisateur et sécurité

par fakir »

Je rectifie ce sont celle ci uniquement

127.0.0.1 addons.cdn.mozilla.net
127.0.0.1 addons.cdn.mozilla.net

Et puis même en dehors, sur le site je n'y est pas accès, même avec une version portable, peut importe la version, ou nouveau profil.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Vie privée, antipub sur internet »