traçabilité sur internet

[piratebab]

Ce n'est pas à vous que j'apprendrai que l'adresse IP n'est pas le moyen d'identifier une machine , en tout cas par les grand trackeurs d'internet.
Étant fan de chien et de hardrock, je suis consommateur de ce type de vidéo sur youtube. Et youtube ne me propose plus que ces 2 thèmes (voir les articles sur l'enfermement liés à cette pratique). Alors que sur mon LAN, ma femme consulte des vidéos de centres d'intérêt complètement différents, et elle reçoit des pub très ciblèes.
J'ai donc cherché ce qui permettait à ces groupes industriel d'identifier la machine, et qui était dérierre le clavier.
Pour cela, il y a 2 sites à connaître:
https://amiunique.org
https://panopticlick.eff.org

Et effectivement, je suis unique. J'ai creusé un peu pour savoir ce qui me rendait aussi identifiable:
- j'utilise firefoc 57.0 sous linux (c'est la combinaison des 2 qui est importante)
- dans ma liste de plugins, j'ai ibfreshwrapper-flashplayer.so (car flashplayer "normal" ne fonctionne pas bien sous linux)
- le canvas: je ne sais pas trop ce que c'est , c'est lié à la façon qu'a la navigateur de rendre les images
- utilisation du driver nouveau (détecté via webgl)
- et dans une moindre mesure, les fonts installées sur mon systéme

Je vous laise faire l'analyse de votrecoté et nous dire ce qui vous identifie sur internet.

[--gilles--]

Merci pour ce sujet piratebab, Avec Firefox quelques résultats de Am I unique :

User agent 0.48% "Mozilla/5.0 (X11; Linux x86_64; rv:52.0) Gecko/20100101 Firefox/52.0"
Content language <0.1% "fr-FR,en-US;q=0.7,en;q=0.3"
0.98 % GNOME Shell Integration
Il me semble que JavaScript et Flash contribuent pas mal aussi à nous identifier. Je me suis mis à utiliser aussi le navigateur TOR :
https://fr.wikipedia.org/wiki/Tor_Browser

Avec TOR quelques résultats de Am I unique :
User agent 1.90% "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0"
Content language 27.46% "en-US,en;q=0.5"
List of plugins 26.58%
Mais comme Google tient à nous identifier, nous ne pouvons pas voir de vidéos sans désactiver les protections de TOR.

[piratebab]

Je crois que la version précise de firefox nous cerne déja bien. On dirait que les utilisateurs ne font pas les mises à jour.

[hybridemoineau]

Pour le masquage de l'OS, navigateur, extensions, voir cette option dans about:config
https://linuxfr.org/nodes/105649/comments/1730764

J'avais testé, dans mon souvenir, ça marche.

Pour le canevas, c'est la taille et la clibration des fenêtres ou des écrans qui joue. Avec Canvasbloquer en extension, j'ai de plus en plus des demandes de l'extensions de l'interdire, site par site. Chose curieuse, la demande de traçage que je rejette ne passe pas pas du javascript, puisqu'il est bloqué

J'avais eu exactement le même phénomène sur youtube, avec le mac de ma copine qui ne reprend que ses vidéeos, jamais les miennes. Et je n'ai quant à moi pas de proposition de vidéos en fonction de ce que j'ai vu avant. Je viens de vérifier. Et pourtant, pour passer par youtube, j'utilise un profil firefox vierge...

Je viens de faire le test. Deux vidéos d'ACDC je me retrouve avec des propositions ad hoc quand je reviens sur la page d'accueil (ACDC, Guns, etc). Je ferme la page, je rouvre youtube.com, plus de propositions. Ca passerait par l'historique seulement ?

[--gilles--]

[…]
Je vous laisse nous dire ce qui vous identifie sur internet.

C'est une question de multiplication de probabilités. Il n'y a pas que les chiffres bas d'un seul critère qui font progresser notre identification par les sites.
Par exemple si critère1 = 0,00390625 ~ 0,4 %

On peut obtenir le même degré d'identification avec 8 critères à 50 %
(1/2)^8 = 0,00390625 ~ 0,4 %

Comme il est nous est offert de plus en plus de possibilités de personnaliser notre navigateur le nombre de critère d'identification augmente et par conséquent nos choix tendent de plus en plus à nous identifier.

Pour le masquage de l'OS, navigateur, extensions, voir cette option dans about:config
https://linuxfr.org/nodes/105649/comments/1730764
J'avais testé, dans mon souvenir, ça marche.
Pour le canevas, c'est la taille et la clibration des fenêtres ou des écrans qui joue. Avec Canvasbloquer en extension, j'ai de plus en plus des demandes de l'extensions de l'interdire, site par site. Chose curieuse, la demande de traçage que je rejette ne passe pas pas du javascript, puisqu'il est bloqué

Je viens de découvrir que l'identification par le canevas peut passer par autre chose que JavaScript :
https://connect.ed-diamond.com/MISC/MIS ... erprinting

Il y a en exemple une partie du code, qui sert à nous identifier avec l'API canvas, tiré du script de fingerprinting utilisé sur AmIUnique.org, je vous en mets un extrait :

try {

canvas = document.createElement("canvas");

canvas.height = 60;

canvas.width = 400;

canvasContext = canvas.getContext("2d");

canvas.style.display = "inline";

canvasContext.textBaseline = "alphabetic";

canvasContext.fillStyle = "#f60";

canvasContext.fillRect(125, 1, 62, 20);

canvasContext.fillStyle = "#069";

canvasContext.font = "11pt no-real-font-123";

canvasContext.fillText("Cwm fjordbank glyphs vext quiz, \ud83d\ude03", 2, 15);

canvasContext.fillStyle = "rgba(102, 204, 0, 0.7)";

canvasContext.font = "18pt Arial";

canvasContext.fillText("Cwm fjordbank glyphs vext quiz, \ud83d\ude03", 4, 45);

canvasData = canvas.toDataURL();

} catch(e){

canvasData = "Not supported";

}

Le script ( entre autres tests ) teste l'utilisation d'une police de caractères qui n'existe pas "11pt no-real-font-123" pour savoir quelle est la police de remplacement par défaut. Ce langage de script utilise l'instruction "try"

Or il n'y pas que le langage JavaScript qui utilise l'instruction "try" :
https://en.wikipedia.org/wiki/Compariso ... Exceptions

Dans cette liste de langage de programmation C, C++, C#, ne sont pas censés être exécutés par une page web à ma connaissance, il s'agit peut-être de PHP, mais il faudrait qu'un codeur expérimenté confirme mon hypothèse.

[hybridemoineau]

Le script ( entre autres tests ) teste l'utilisation d'une police de caractères qui n'existe pas "11pt no-real-font-123" pour savoir quelle est la police de remplacement par défaut. Ce langage de script utilise l'instruction "try"

Or il n'y pas que le langage JavaScript qui utilise l'instruction "try" :
https://en.wikipedia.org/wiki/Compariso ... Exceptions

Dans cette liste de langage de programmation C, C++, C#, ne sont pas censés être exécutés par une page web à ma connaissance, il s'agit peut-être de PHP, mais il faudrait qu'un codeur expérimenté confirme mon hypothèse.

Je me suis apperçu que j'avais dit une bêtise. Le blocage de canevas que me propose l'extension porte sur des canevas HTML5. C'est peut-êrtre la solution au problème de code que tu te poses.

[piratebab]

En conclusion, le plus simple set de leurrer les algo de traçage est se fondant dans la masse.

[hybridemoineau]

Oui, en laissant alors les autres algos de traçage faire le job.

Individualisation sans infos suivies d'un côté (pas de cookies, java, etc),toutes les infos et communications possibles de l'autre, mais sans individualisation. Dilemne.