Chrome, Safari et Opera critiqués pour avoir supprimé des paramètres de confidentialité (traduction)

C'est une fonctionnalité de navigateur dont peu d'utilisateurs auront entendu parler, mais les prochaines versions de Chrome, Safari et Opera sont en train de supprimer la possibilité de désactiver une fonctionnalité de suivi longtemps ignorée appelée pings d'audit des hyperliens.

Il s'agit d'une fonctionnalité HTML établie de longue date qui est définie comme un attribut - la variable ping - qui transforme un lien en une URL qui peut être suivie par les propriétaires de sites Web ou les annonceurs pour surveiller ce sur quoi les utilisateurs cliquent.

Lorsqu'un utilisateur suit un lien configuré de cette manière, un ping HTTP POST est envoyé vers une deuxième URL qui enregistre cette interaction sans révéler à l'utilisateur que cela s'est produit.

Ce n'est qu'un moyen parmi d'autres de suivre les utilisateurs, bien sûr, mais cela dérangeait depuis longtemps les experts en confidentialité, c'est pourquoi les tiers bloqueurs de publicités incluent souvent par défaut cette fonctionnalité sur leur liste de blocage.

Jusqu'à présent, un moyen encore plus simple de bloquer ces pings était de passer par le navigateur lui-même, ce qui, dans le cas de Chrome, Safari et Opera, se faisait en paramétrant une option (dans Chrome vous saisissiez chrome:/ //flags et paramétriez l'audit hyperlink à 'disabled').

Notez, cependant, que ces navigateurs autorisent toujours l'audit des hyperliens par défaut, ce qui signifie que les utilisateurs doivent être au courant de ce paramètre pour changer cela. Il semble que très peu le font.

En revanche, Firefox a changé l'option par défaut des audits des hyperliens à désactivé par défaut à partir de la version 30 en 2008, alors que depuis les utilisateurs doivent l'activer avec about:config > browser.send_pings mis à 'true'.

Ce qui est en train de changer

Il semble maintenant que les utilisateurs de Chrome et d'Opera seront bientôt incapables de modifier la valeur par défaut, laissant l'audit des hyperliens activé en permanence, alors que pour les utilisateurs de Safari, cela s'est déjà produit.

Les navigateurs ne se sont pas vraiment évertués à annoncer le changement, mais quelques développeurs l'ont remarqué, dont Jeff Johnson de StopTheMadness, une extension de navigateur.

Selon Johnson, Safari 12.1 a récemment supprimé ce paramètre - l'ironie étant qu'Apple continue de promouvoir la confidentialité comme l'une de ses vertus :

"Apple prétend que Safari est censé protéger votre vie privée et empêcher le suivi intersites, mais l'audit des hyperliens est une porte grande ouverte au suivi intersites qui existe toujours."

Quant à Chrome :

"J'ai été informé que chrome:///flags#disable-hyperlink-auditing est maintenant absent des bêta de Google Chrome, même s'il existe toujours dans la version actuelle non bêta. L'option a été retiré du code source il y a un peu plus d'un mois."

Les bêta de Chrome 74 (qui seront livrés plus tard ce mois-ci) ont abandonné cette option, tout comme Opera qui est construit sur le même moteur Chromium et qui a suivi le changement dans ses versions de développement.

Pour ceux qui s'interrogent sur Microsoft's Edge, l'audit des hyperliens est apparemment permis par défaut et n'offre aucun mécanisme pour désactiver cette fonction. Étant donné que Edge prévoit de passer à Chromium en temps voulu, c'était de toute façon inévitable.

Le contre-argument est que très peu d'utilisateurs ont pris la peine de modifier les paramètres par défaut du navigateur pour ce type de suivi, donc le supprimer complètement ne constituerait pas une perte importante.

Bien que cela soit vrai, c'est peut-être parce que les utilisateurs n'ont jamais entendu parler de cette fonctionnalité, ou qu'ils se sont simplement résignés à être suivis, car c'est ainsi que le Web semble fonctionner.

Bien que l'audit des hyperliens semble sournois, c'est l'une des formes les plus banales de pistage. Parce qu'il repose sur du HTTP pur, il n'y a pas de code Javascript pour ralentir votre navigateur, et les cookies nécessaires pour lier deux ou plusieurs requêtes à la même personne sont facilement bloqués par les paramètres ou plugins du navigateur.

Firefox ou le navigateur Brave de Brendan Eich continuent de permettre aux utilisateurs de désactiver complètement les pings d'audit.

Par : John E Dunn
Sauce :
https://nakedsecurity.sophos.com/2019/04/09/chrome-safari-and-opera-criticised-for-removing-privacy-setting/

Enregistrer un commentaire

Les commentaires sont validés manuellement avant publication. Il est normal que ceux-ci n'apparaissent pas immédiatement.

Plus récente Plus ancienne