(dé)connexion de Facebook

Le
siger
Bonjour,
Avec XP et firefox paramétré pour effacé l'historique, le cache, les
cookies et je ne sais quoi à sa fermeture, après avoir redémarré mon
ordinateur je clique sur un lien dans un courriel de Facebook, c'est une
méthode qui permet d'arriver directement sur la boite d'identification, il
n'y a que le mot de passe à entrer.
Mais je suis déjà connecté ! comment est-ce possible.

J'ai fait des essais, et ma conclusion provisoire est que si je ne me
déconnecte pas avant de fermer le navigateur, je reste connecté,
probablement quelque part sur mon profil.

Qu'en pensez vous ? D'autres font ça aussi ?
Vos réponses Page 5 / 5
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Alain
Le #26424912
On 30/01/2017 09:09, Alain wrote:
Avez-vous pensé aux flash-cookies ?

Bonjour,
Le sujet m'intéresse, j'ai cherché un peu plus.
- Les flash ne sont qu'un cas parmi les supercookies
https://qz.com/634294/a-short-guide-to-supercookies-whether-youre-being-tracked-and-how-to-opt-out/
Vu la disparition annoncée de flash au profit d'html5 nous avons "html5
local storage"
Et les add-ons qui vont avec, pour voir et effacer tout ça.
Je me suis trouvé une longue chaîne pour Ebay qui doit faire à la fois
login et passwd quand je demande à rester connecté.
Mais je ne sais pas où c'est écrit sur le disque.
- Côté identifiant unique stocké sur le serveur, j'y crois moins car
moins autorisé (condamnation de Verizon)
Le site original ne donne plus l'identification complète :
https://panopticlick.eff.org/
Mais on la trouve ici :
https://browserprint.info/
a+
Yliur
Le #26424940
Le Tue, 31 Jan 2017 10:07:38 +0100
Alain
- Côté identifiant unique stocké sur le serveur, j'y crois moins car
moins autorisé (condamnation de Verizon)

À quoi fais-tu référence ici ?
Un nom + un mot de passe c'est un identifiant unique. Pas de session
mais d'un utilisateur et assez d'informations pour se connecter à son
compte (son nom seul est suffisant comme identifiant unique auprès su
serveur).
Alain
Le #26424953
On 31/01/2017 20:16, Yliur wrote:
Le Tue, 31 Jan 2017 10:07:38 +0100
Alain
- Côté identifiant unique stocké sur le serveur, j'y crois moins car
moins autorisé (condamnation de Verizon)

À quoi fais-tu référence ici ?

Bonjour,
A ce que j'ai compris dans le lien que j'ai indiqué :
Verizon (fournisseur d'accès) calcule et enregistre un "Unique
Identifier Headers" du client connecté et le transmettait à l'insu du
client à certains sites web dans la requête html.
Ce qui est critiquable est que le client n'a pas conclu de contrat avec
ces sites web impliquant qu'il soit identifié.
https://www.eff.org/fr/deeplinks/2014/11/verizon-x-uidh
Pour leur défense ils disent que cela n'identifie pas l'utilisateur (par
son nom etc)
"The UIDH does not contain any personally identifiable data"
https://www.verizonwireless.com/support/unique-identifier-header-faqs/
Un nom + un mot de passe c'est un identifiant unique. Pas de session
mais d'un utilisateur et assez d'informations pour se connecter à son
compte (son nom seul est suffisant comme identifiant unique auprès su
serveur).

Ce doit être ça ; le genre de chaîne (86 car avec un / vers la fin) que
j'ai trouvée pour Ebay doit permettre d'identifier assez sûrement mon
profil de navigation pour accéder à des données personnelles que je leur
ai communiquées (mais pas aux données de paiement chez Ebay).
C'est très persistant et ne dépend pas de l'IP ; c'est possiblement lié
à des données récoltées sur la machine.
Amazon par contre enregistre les moyens de paiement, mais le "rester
connecté" ne permet pas d'y accéder ni à aucune autre donnée sensible.
a+
Yliur
Le #26424980
Le Wed, 1 Feb 2017 09:54:56 +0100
Alain
On 31/01/2017 20:16, Yliur wrote:
Le Tue, 31 Jan 2017 10:07:38 +0100
Alain
- Côté identifiant unique stocké sur le serveur, j'y crois moins
car moins autorisé (condamnation de Verizon)

À quoi fais-tu référence ici ?

Bonjour,
A ce que j'ai compris dans le lien que j'ai indiqué :
Verizon (fournisseur d'accès) calcule et enregistre un "Unique
Identifier Headers" du client connecté et le transmettait à l'insu du
client à certains sites web dans la requête html.
Ce qui est critiquable est que le client n'a pas conclu de contrat
avec ces sites web impliquant qu'il soit identifié.
https://www.eff.org/fr/deeplinks/2014/11/verizon-x-uidh
Pour leur défense ils disent que cela n'identifie pas l'utilisateur
(par son nom etc)
"The UIDH does not contain any personally identifiable data"
https://www.verizonwireless.com/support/unique-identifier-header-faqs/
Un nom + un mot de passe c'est un identifiant unique. Pas de session
mais d'un utilisateur et assez d'informations pour se connecter à
son compte (son nom seul est suffisant comme identifiant unique
auprès su serveur).

Ce doit être ça ; le genre de chaîne (86 car avec un / vers la fin)
que j'ai trouvée pour Ebay doit permettre d'identifier assez sûrement
mon profil de navigation pour accéder à des données personnelles que
je leur ai communiquées (mais pas aux données de paiement chez Ebay).
C'est très persistant et ne dépend pas de l'IP ; c'est possiblement
lié à des données récoltées sur la machine.
Amazon par contre enregistre les moyens de paiement, mais le "rester
connecté" ne permet pas d'y accéder ni à aucune autre donnée sensible.
a+

D'accord, merci.
Par contre le problème des cas que tu cites est que ces identifiants
sont passés à d'autres sites : Facebook peut utiliser un mécanisme
d'identifiant qui lui serait propre et l'envoyer par courriel sans le
partager avec personne et ce ne serait sans doute pas illégal (pas de
diffusion d'information de leur part). Par contre ça n'apporte
effectivement pas grand chose par rapport à juste l'adresse
électronique de la personne.
Il peut aussi utiliser des "super-cookies", mais à moins d'être sûr de
son coup ça peut être un peu dangereux de se baser sur l'empreinte du
navigateur ou autre (identifiant pas si unique que ça, plusieurs
personnes peuvent avoir accès à la machine, ...), je trouve ça un peu
hasardeux. D'un autre côté le problème de siger est effectivement
curieux...
siger
Le #26425018
Le 31/01/2017 à 00:11, Alain a écrit :
On 30/01/2017 20:36, siger wrote:
Même connecté à Facebook, il n'y a rien dans about:config en tapant
facebook.
Social :
social.directories https://activations.cdn.mozilla.net
social.remote-install.enabled true
social.share.activationPanelEnabled true
social.shareDirectory https://activations.cdn.mozilla.net/sharePanel.html
social.sidebar.unload_timeout_ms 10000
social.toas-notifications.enabled true
social.whitelist https://mozsocial.cliqz.com


y'a d'autres gens qui conseillent de désactiver en mettant des false et
des chaines vides
https://gist.github.com/haasn/69e19fc2fe0e25f3cff5

J'ai fait ça, puis j'ai attendu un peu. J'ai cru un moment que ça avait
marché, mais là je réessaye, et j'arrive à nouveau connecté sur mon
compte.
Juste après cet essai je me déconnecte, je supprime les cookies FB, c'est
à dire que je suis en théorie dans la même situation que pour l'essai
précédent, je clique sur le même lien, et là il me demande le mot de
passe...
Je vais voir du côté des extensions.
Jo Engo
Le #26425032
Le Thu, 02 Feb 2017 16:08:45 +0000, siger a écrit :
Je vais voir du côté des extensions.

cookie «furtif» ou fingerprint

--
Car il est de la nature de l'infini que ma nature,
qui est finie et bornée, ne le puisse comprendre.
-+- René Descartes -+-
siger
Le #26425035
Le 30/01/2017 à 20:28, Alain a écrit :
Et si on cherche ça dans les plugins : l'existence de social fixers et
social/facebook disconnectors fait penser que vous n'êtes pas le seul à
avoir le problème ...

Il y a plus de 1000 extensions pour Firefox avec "facebook" comme mot
clé...
Ceux dont vous parlez, et d'autres, sont des extensions soit pour
customiser son compte, soit pour éviter les malhonnêtetés de Facebook
qui nous suit à la trace, soit en visitant des sites qui on le "pouce",
soit après être passé chez Facebook. J'ai déjà ça avec Ghostery et
UBlock, et je ferme mon navigateur de temps en temps pour supprimer les
cookies.
Je n'ai pour l'instant rien vu qui "tue" Facebook après être
déconnecté.
Gilbert VAISSIERE
Le #26426023
Bonjour,
Any news ?
Je n'ai pas vu de message dans lequel vous indiquiez que vous avez fini
par comprendre comment s'effectuait cette "connexion automatique aléatoire".
A moins que votre réponse ne m'ait échappé ?
Sous Firefox, on peut utiliser la méthode suivante pour voir les cookies :
Shift / F4
On rentre dans l'éditeur de Javascript
Saisir :
alert(document.cookie);
Et cliquer sur le bouton "Exécuter"
A faire dans le cas où le mot de passe est demandé et dans le cas où il
ne l'est pas.
Est-ce que cela pourrait vous orienter vers une piste ? Ou, au
contraire, éliminer la piste "cookie" ?
Cdlt.
G.V.
Publicité
Poster une réponse
Anonyme