Protéger le navigateur

[BioBen]

Bonjour,
j'aimerai savoir comment protéger son navigateur.

J'ai fait le test shields up, j'avais un "ping echo" donc j'ai modifié les paramètres de ma box et maintenant tout va bien.

Your system has achieved a perfect "TruStealth" rating. Not a single packet — solicited or otherwise — was received from your system as a result of our security probing tests. Your system ignored and refused to reply to repeated Pings (ICMP Echo Requests). From the standpoint of the passing probes of any hacker, this machine does not exist on the Internet. Some questionable personal security systems expose their users by attempting to "counter-probe the prober", thus revealing themselves. But your system wisely remained silent in every way. Very nice.

Je suis allé sur pcflank, tout à l'air d'aller sauf le "browser test" (j'utilise firefox 3.0.10).

Cookies check
Danger! Your computer may save special cookies on your hard drive that have the purpose of directing advertising or finding out your habits while web surfing.

Referrer check
Danger! While visiting web sites your browser reveals private information (called 'referrer') about previous sites you have visited.

J'ai tenté de télecharger l'addon pour firefox "Targeted Advertising Cookie Opt-Out" mais ça n'a rien changé....
Dans l'onglet "Vie privée" de firefox j'ai
* "accepter les cookies" coché
* "accepter les cookies tiers" décoché
* Les conserver jusqu'à "la fermeture de Firefox"

Merci.
-----

[BioBen]

J'ai fait le test de navigateur sur http://bcheck.scanit.be et là par contre tout allait bien....

[ProgVal]

Bonjour,

Pour ce qui est du referercheck: à chaque fois que tu accèdes à une page via un lien, le navigateur dit sur quelle page se situe le lien. (mais rien de plus que l'URL)
Je te déconseille de bloquer ceci, pour certains applications Web, c'est très important.

Cordialement,
ProgVal

[JPL]

Tous les navigateurs envoient les referrers. Par contre certains pare-feux permettent de le supprimer. Quant au problème des cookies, Pcflank me dit également que j'accepte ce type de cookies indiscrets (mais sans danger aucun) alors qu'ils sont bloqués aussi bien dans mon navigateur que dans mon pare-feu !

[A voir en vidéo sur Futura]

[BioBen]

Bonjour,
merci pour vos réponses.

Par contre certains pare-feux permettent de le supprimer.

Rien de trouver de tel dans Zone Alarm (free)

Je te déconseille de bloquer ceci, pour certains applications Web, c'est très important.

En fait ce qui m'inquiétait c'est que pcflank commence en disant "Danger".... donc je me dis que c'est un truc pas cool à changer

[ProgVal]

Oui, mais bon, après....
Par exemple, l'un de tes tests me dit qu'il est possible que j'ai des virus, parce que mon port 80 est ouvert, alors que c'est tout simplement Apache qui l'utilise...

[JPL]

Je te déconseille de bloquer ceci, pour certains applications Web, c'est très important.

Peux-tu donner des exemples ?

[BioBen]

Peux-tu donner des exemples ?

A part pour les outils statistiques (google analytics, weborama,...), je n'en vois pas non plus l'interet... (d'où ma volonté de les supprimer) !

[ProgVal]

Sur mon projet en cours (un forum), j'utilise ceci pour mettre un lien vers la page d'où vient l'utilisateur (en cas d'erreur). Sinon, ça fait une impasse...

[BioBen]

L'addon RefControl pour Firefox permet de gérer les referrer (bloquer, envoyer un leurre, gérer les exceptions,....).

[Bruno]

Peux-tu donner des exemples ?

Les referrer sont utilisés à des fins de sécurité mais aussi pour empêcher le vol de bande passante. En général, ils sont une précieuse source de statistiques pour les sites web qui voient d'où provient leur trafic. Les inquiétudes quelque peu alarmistes de ce thread n'ont pas lieu d'être : le fait qu'une machine réponde au ping ou qu'un navigateur renvoie la source d'une visite sont des choses habituelles tout à fait normales et ne constituent en rien une faille de sécurité.

[ProgVal]

L'addon RefControl pour Firefox permet de gérer les referrer (bloquer, envoyer un leurre, gérer les exceptions,....).

Merci à toi!

[JPL]

Donc Bruno confirme ce que je pensais : c'est n'est utile que pour les statistiques des serveurs, et en rien pour le fonctionnement de certaines applications, comme le suggérait Progval dans son message n° 3.

[Bruno]

Donc Bruno confirme ce que je pensais : c'est n'est utile que pour les statistiques des serveurs

Ce n'est pas ce que j'ai écrit ! De plus en plus de sites utilisent de l'AJAX et font appel au referrer pour éviter les abus.

[JPL]

Quels types d'abus ?

[ProgVal]

HotLink.....

[BioBen]

En général, ils sont une précieuse source de statistiques pour les sites web qui voient d'où provient leur trafic. Les inquiétudes quelque peu alarmistes de ce thread n'ont pas lieu d'être : le fait qu'une machine réponde au ping ou qu'un navigateur renvoie la source d'une visite sont des choses habituelles tout à fait normales et ne constituent en rien une faille de sécurité.

Et alors.... je veux pouvoir me laisser le choix de transmettre ces informations ou non !

Pour info sur Firefox, les addons RefControl et CookieMonster permettent de supprimer toutes ces traces très facilement (et conserver les cookies sur les sites que l'on souhaite style futura, gmail,...).

[Bruno]

Quels types d'abus ?

L'envoi de requêtes plus ou moins automatisées qui n'ont rien à faire là.

Et alors.... je veux pouvoir me laisser le choix de transmettre ces informations ou non !

N'oublie pas de masquer la version de ton navigateur, celle de ton système d'exploitation ainsi que ton adresse IP. Et pourquoi pas ne consulter que les sites en HTTPS dont le certificat n'utilise pas l'algo MD5... en fait ne transmet rien tout court et résilie ton abonnement Internet

[ProgVal]

L'envoi de requêtes plus ou moins automatisées qui n'ont rien à faire là.

Je ne vois pas en quoi ça sécurise... Personnellement, avec cURL, je rajoute une ligne de code, et je peux mettre ce que je veux en referer

N'oublie pas de masquer la version de ton navigateur

Déconseillé; certains site-web s'en servent pour savoir quel code CSS (celui qui gère le design) envoyer. Par exemple, moi, je ne demande de mettre des bords arrondis aux messages d'erreur que si on a Gecko.

celle de ton système d'exploitation

Ca, ok

ainsi que ton adresse IP.

Certains sites où l'on se connectent s'en servent pour éviter les piratage (par vol de cookie), il est donc plus risqué de masquer que de montrer...

Et pourquoi pas ne consulter que les sites en HTTPS dont le certificat n'utilise pas l'algo MD5... en fait ne transmet rien tout court et résilie ton abonnement Internet

Tu peux répéter?

[Bruno]

Je ne vois pas en quoi ça sécurise... Personnellement, avec cURL, je rajoute une ligne de code, et je peux mettre ce que je veux en referer

Disons que ça permet déjà de filtrer pas mal.

Déconseillé; certains site-web s'en servent pour savoir quel code CSS (celui qui gère le design) envoyer. Par exemple, moi, je ne demande de mettre des bords arrondis aux messages d'erreur que si on a Gecko.

Tu veux dire que tu génères du code CSS en fonction du moteur du visiteur ? Car, en général, c'est le navigateur qui lit la feuille de style et qui prend ce qui le concerne... Enfin, l'user-agent contient plus bien d'informations que le simple nom du browser

Certains sites où l'on se connectent s'en servent pour éviter les piratage (par vol de cookie), il est donc plus risqué de masquer que de montrer...
Tu peux répéter?

Mon message était empreint d'ironie pour montrer jusqu'où on peut pousser le "délire" sécuritaire. L'histoire du md5 faisait référence à ça.

[ProgVal]

Tu veux dire que tu génères du code CSS en fonction du moteur du visiteur ? Car, en général, c'est le navigateur qui lit la feuille de style et qui prend ce qui le concerne... Enfin, l'user-agent contient plus bien d'informations que le simple nom du browser

Oui, mais je veux faire des arrondis, tout en étant compatible W3C

Regarde ma feuille:

Code PHP:

<?php   // AtomForum        design de base
    // Note: ce fichier n'est pas directement envoyé au navigateur, mais interprèté par un script PHP.
    // Note: le fichier initialize.php est déjà inclu
    $firefox=ereg("Gecko",$_SERVER['HTTP_USER_AGENT'],$regs);
?>

.error_msg
{
    margin: auto;
    text-align: center;
    background-color: #FFCCCC;
    <?php if ($firefox) echo '-moz-border-radius: 20px;'; ?>
}

En fait, au départ, on ne peut pas mettre de PHP dans le CSS, mais avec une série de manips (fichiers PHP, changement de headers, et redirections .htaccess), j'arrive à le faire

[Bruno]

Oui, mais je veux faire des arrondis, tout en étant compatible W3C

Regarde ma feuille:

Code PHP:

<?php   // AtomForum        design de base
    // Note: ce fichier n'est pas directement envoyé au navigateur, mais interprèté par un script PHP.
    // Note: le fichier initialize.php est déjà inclu
    $firefox=ereg("Gecko",$_SERVER['HTTP_USER_AGENT'],$regs);
?>

.error_msg
{
    margin: auto;
    text-align: center;
    background-color: #FFCCCC;
    <?php if ($firefox) echo '-moz-border-radius: 20px;'; ?>
}

En fait, au départ, on ne peut pas mettre de PHP dans le CSS, mais avec une série de manips (fichiers PHP, changement de headers, et redirections .htaccess), j'arrive à le faire

Ok. C'est un peu bourrin ceci dit.

[ProgVal]

Oui, mais je veux un beau design, et je suis un fanatique des normes W3C ^^

Ce sujet est en train de partir en sucette...