Alors ça, c’est un putain de gros mensonge (ou Qwant serait dans l’illégalité la plus totale…)

Follow

Techniquement, c’est particulièrement faux sauf à étayer à mort de comment ils font pour rendre le stockage des logs (qui je le rappelle est une obligation légale) anonymes.

Sur mandat de perquisition, il y a toutes les chances du monde pour que Qwant fasse exactement comme toute autre boîte FR : elle filera tout ce qu’elle connaît sur vous (ou en tout cas les IP qui vous seront associées)

Par défaut, la recherche Qwant passe dans un GET (et non un POST), et donc peu être présente dans les logs systèmes fonction de la configuration du serveur en face.

Par défaut, la query part est stockée dans les logs. Sur réquisition judiciaire, c’est donc l’intégralité de vos recherches qui seraient communiquées, sauf config spécifique faite côté Qwant.

@aeris

La seule reponse que t'aura c'est "Tu fais partie d'une cabale contre qwant"

@aeris Et donc c'est quoi la config côté qwant ? Et sinon, quel meilleur moteur qui puisse tenir de vrais engagements ? Duckduckgo ?

@Nestasolis @aeris j'imagine que la même chose est valable pour ddg, étant donné que la recherche est en GET par défaut. Dans le cas de ddg tu peux rajouter le fait qu'ils sont soumis à la réglementation américaine (NSA, etc)

@aeris
Après si on applique le droit européen la période de rétention est plutôt courte non ? 🤔
"Nous appelons tous les hébergeurs à rejeter cette pratique illicite et à se conformer au droit de l'Union européenne : à ne retenir aucune données de connexion concernant leurs utilisateurs pour une durée supérieure à 14 jours."
laquadrature.net/fr/requisitio

@aeris Je rappelle que l’obligation légale des logs est pour la création de contenus, pas la consultation.

@framasky Laisse, @aeris aime tout particulièrement se faire des amis 🙄…

@framasky Certes, mais en pratique tu ne sais pas dire si ton backend est sémantiquement conforme HTTP… Donc effectivement, tu pourrais juridiquement te limiter à POST/PATCH/PUT, mais en pratique des GET peuvent aussi avoir des modifications côté back…

@aeris C’est pour ça que Lutim et Lufi mettent les infos des créateurs de contenu en BDD : comme ça, OSEF les logs du serveur web 🙂

@framasky IP *ET* port source *ET* destination, avec l’heure en UTC et l’ensemble des paramètres de la requête ? 😂

@aeris Bah destination, c’est 443, couillon ! L’heure est un timestamp unix et oui, IP et port source.
Quand à l’ensemble des paramètres de la requête, on s’en balec : c’est pour pousser une image ou un fichier. Au pire, y a qu’à regarder les paramètres de l’image ou du fichier en question pour les reconstituer.

@framasky Non, ce n’est pas 443. Pas forcément au moment où tu as loggué ta donnée 😊

@aeris La destination ? La destination est mon serveur pourtant 🤔
Au fait, genre toi t’as le port source dans tes logs de serveur web ?

@aeris @framasky Le RFC 6302 n'est pas une norme, mais un BCP. Le titre indique clairement que c'est une recommandation de la part des auteurs : si l'ip est logguée, alors ils est recommandé que le port source soit enregistré. (Et ils ne prennent pas position sur le log de l'ip) :)

@framasky Ton serveur peut avoir changé d’IP depuis les 1 ans de la collecte…

@aeris Pas grave : au bout d’un an, j’ai plus l’info sur le créateur de contenu 😛

Et franchement, dans un délai d’un an, je peux retrouver où était le serveur et à quelle IP avant la migration.

@framasky Quand tu as une réquis, ils s’en foutent un peu de si tu peux combler les trous manuellement ou pas : ils veulent des logs complets.

@aeris Chaque fois que j’ai eu une réquisition, ils avaient strictement rien à foutre d’où était mon serveur au moment où y a eu l’upload. Mais royal.

@framasky Oui, ils font assez peu chier avec ça pour le moment, mais avec CGNAT & cie, ça va devenir un poil plus embêtant…

@aeris Il dit qu’il voit pas le rapport.
Le CGNAT change des trucs pour identifier l’utilisateur, pas mon serveur. Je vois franchement pas ce qu’ils foutraient avec l’IP de mon serveur. Les réquisitions que j’ai eues, c’est « Qui a uploadé ce truc et ce truc ? »
Et quand bien même on me demanderait « Telle IP, tel port source, tel intervalle de temps : qu’est-ce qu’il a déposé chez vous ? », je pourrais toujours répondre.

@framasky C’est aussi pour ça qu’on fait la journalisation sur les fronts et pas sur les backs, qui n’ont généralement pas accès à l’IP accédée *par l’utilisateur*.

Sign in to participate in the conversation
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!