Tracker sans javascript


#1

Note : J’ai écrit dans la section Méta car aucune autre section couvrait ce genre de sujet. Sentez-vous à l’aise de le déplacer.

J’imagine que plusieurs ici utilisent des extensions tel que uBlock Origin, Privacy Badger, NoScript et bien d’autres afin de limiter les trackers qui amassent un paquet d’informations sur nous.

La plupart de ces extensions, ou tout du moins leur configuration de base, visent en général à bloquer les scripts javascript qui nous pistent. Or, comme le montre ce petit projet, il est aussi possible de pister les gens avec du bon vieux CSS.

Bref, c’est déjà difficile de naviguer le web sans javascript, car certains sites ne fonctionnent pas sans… Je vous laisse imaginer de naviguer sans CSS :).


#2

Ou sans images…

J’ai vu que ce projet avait beaucoup de traction, mais ça ressemble beaucoup au simple pixel qu’on peut ajouter sur un site (ou plusieurs!). Y’a sûrement quelques subtilités que je n’ai pas compris. Je n’ai pas regardé de très près.

Internet n’a pas été conçu à la base pour assurer l’anonymat, pas plus que le Web. Les seuls moyens d’obtenir cet anonymat sont de naviguer par personnes interposées (vpn, proxy, tor), ajouter des délais, utiliser des machines virtuelles jetables… Beaucoup de peines et dans certains cas, des peines nécessaires.

Même le P2P à lui-seul (dat, torrents, ipfs, ssb) ne garanti pas l’anonymat.

Parlant de ça, DuckDuckGo étend ses ailes. Voir aussi leur billet de blogue.


#3

Une extension comme uMatrix (https://github.com/gorhill/uMatrix) permet d’avoir un contrôle plus fin sur les requètes que l’on autorise son navigateur à faire. Et si par défaut l’extension laisse passer tout le CSS et les images, il est très facile de limiter ces requètes au seul site original, évitant de ce fait tous les domaines de tracking externes : https://github.com/gorhill/uMatrix/wiki/How-to-work-in-hard-3rd-party-default-deny-by-default

Par contre c’est vrai que la navigation devient un peu moins confortable puisque quand on découvre un site, il faut parfois autoriser le bon CDN avant de voir quelque chose (ou alors utiliser le mode lecture de firefox si l’on veut juste lire le contenu).


#4

L’exemple que je donne est basé sur l’utilisation de tracking primaire avec CSS donc bloquer les sites tiers n’y changera rien. De plus, il est déjà difficile, voir parfois impossible, de naviguer sur internet de nos jours sans javascript. Alors bloquer le CSS rendrait cela encore plus ardu. Je vous épargne les horreurs que j’ai pu voir!

Bref, l’intention derrier le post est plutôt de montrer que la solution à cette problématique ne réside pas simplement dans l’utilisation d’extensions.


#5

Je ne suis pas d’accord, pour moi le tracking par le domaine primaire n’est en général pas génant puisque justement limité à ce site. Pour moi si cette technologie finit par arriver en production ce sera sur des services spécialisés en tracking avec leur propre domaine. Et quand je vois qu’une majorité de sites utilisent le CDN de bootstrap pour leur css plutôt que d’auto-héberger le fichier, je ne fais pas tellement de soucis.

Et une partie non négligeable du web est utilisable sans javascript (ou en se limitant au seul domaine original, ce qui est ma config uMatrix par défaut).


#6