Vous voulez vous protéger de ce truc ? Installez µMatrix, en mode paranoïa. Désactivez a minima JS sur tout le contenu « tiers » y compris 1st party. C’est le domaine chargé qui peut faire du JS et c’est tout. Aucun sous-domaine. Bon courage avec votre navigation du coup… 😑

Et comme je ne doute pas un seul instant qu’un jour ils iront jusqu’à foutre le proxy sur une sous-URL du domaine principal, commencez déjà à hurler sur vos sites qui font du JS tout court en fait… 🤷

Parce que le jour où le proxy arrivera sur https://le-site-principal/{tracking-proxy}/ (sachant que la valeur peut être différente pour chaque appel en plus…), ça en deviendra littéralement imbloquable sans virer complètement JS de votre navigateur. Et encore.

Vu les « progrès » des trackers en l’état, disons qu’il nous reste quelques mois pour devoir virer JS complètement… 😭

@aeris JS c'est pour J'irai Shier en fait ? 🤔

@lucasbenard @aeris

Presque envie d'installer NoScript pour de vrai. :-(

@sebsauvage @lucasbenard @aeris Déjà fait perso… c’est pas si relou que ça en vrai.

@sebsauvage @aeris @lucasbenard En tout cas moins que maintenir uMatrix. Suffit de NoScript + uBlock Origin, c’est plus simple à gérer

@aeris y’en a marre de leur monde de merde…

@aeris On peut switcher sur un nouveau protocole peut-être ? Laisser le web tel qu'on l'a connu aux marketeux à la con et refaire un monde meilleur ?

@charly @aeris Donc Gemini quoi: https://gemini.circumlunar.space/

@lanodan @aeris Ou ZeroNet, ou Hypecore, ou IPFS, que sais-je … ?

@charly @aeris Gemini est un protocol hyper simple qui fonctionne globalement partout (genre y'a un client et un serveur fait pour Plan9).

À coter de ça ZeroNet/dat/… font un peu jouet académique.
Et IPFS un énième clone de NFS/9p/…

@charly @lanodan Le problème n’est pas réellement le média mais la mentalité des gens…

@charly @lanodan Tu auras beau avoir le média que tu veux, dès qu’il y aura suffisamment d’adhérence dessus, coucou les marketeux qui te trouveront bien le moyen de te placer du tracking… aidés en prime par « les utilisateurs » qui voudront de plus en plus « du joli/qui pète » ouvrant la voie à encore plus de tracking.

@charly @lanodan HTML/HTTP est à la base un média sain et honnête. C’est ce que les gens lui ont fait qui le rend horrible aujourd’hui. On a voulu toujours moins de clic et de dynamismes, on lui a collé JS dedans…

@aeris @lanodan Et ?

@charly @lanodan Et ça a été la porte ouverte à toutes les fenêtres derrière…

@charly @lanodan Les marketeux ont été capables de détourner plus ou moins tout ce qu’on leur a foutu sous les doigts. CSP, cookie, JS, DNS, CNAME, GCE, HPKP…

@aeris @charly
cookie → Toujours été un soucis monstre, surtout depuis que les navigateurs en ont rien à péter de l'utilisateur
JS → NoScript sans doute est pas loin d'être aussi vieux que JS en age internet
HPKP → Pourquoi ça m’étonne juste pas?

Tant qu'on y est HSTS, QUIC sont pas mal dans leur genre de trucs assez mal foutu pour que ça soit une épée à double tranchant.
Et ETag à tendance à être oublié mais c'est un des premiers cookies mis de manière détournée.

@aeris @lanodan Ouais et alors ? On arrête de chercher et on laisse comme ça ?

@charly @lanodan Je n’ai pas dis ça non plus. Juste que le vrai problème est plutôt assis sur une chaise qu’un tas de 0/1 sur un disque dur.

@charly @lanodan Quelque soit le média, si l’utilisateur ne refuse pas la merde ambiante, ça conduira à la même situation finale. La situation actuelle n’est corrigeable qu’avec des utilisateurs capables de faire une croix définitive sur des interfaces « ergonomiques » et donc sur JS.

@charly @lanodan Et ça sera plus ou moins pareil à plus ou moins longs termes avec tout autre média alternatif à partir du moment où il deviendra « mainstream ».

@aeris @lanodan

😩 🔫

@aeris @charly Le média est pas trop un soucis normalement mais un navigateur web est globalement un curl|sh donc on peu pas trop non plus rejeter entièrement la faute aux autres.

@charly Ce serai bien… Mail l'humain moyen veut son youtube et son facebook à la con… Donc les marketteux continueront d’être des êtres nuisibles et à collecter les données sur x par l'intermédiaire de y qui connaît x et qui continuera a surfer sur le web à poil…

@aeris

@aeris sous prétexte que la terre est rempli de cons, on doit se passer de technos utiles ?

@sxpert Tu veux vraiment la réponse ? 😭

@sxpert Si tu veux une réponse longue, ça date déjà de 6 ans…
https://blog.imirhil.fr/2014/06/22/vos-libertes-mes-libertes.html

@sxpert Et en TLDR : je ne peux exercer mes libertés sur un outil qui ne me permet aucun contrôle à cause des (faux) besoins (débiles) des autres utilisateurs…

@aeris je suis pas sur que traiter les besoins des autres, qui ne sont manifestement pas aussi compétents dans le sujet que nous de “faux” et “débiles” ne va probablement pas aider a faire passer le message que je comprend parfaitement

@sxpert J’entend par faux et débile le résultat de l’analyse du besoin exprimé hein, pas a priori de l’expression du besoin.

@sxpert Et je pourrais résumer ça en un seul problème « mais pourquoi tu veux absolument faire ça en web bordel ! »

@sxpert Pourquoi est-ce qu’on a voulu faire des « applications web » quand on aurait du les faire en natif ? Pourquoi est-ce qu’on a absolument voulu faire webrtc quand on savait très bien le faire et en mieux en natif ?

@sxpert Pourquoi est-ce qu’on a des applications de 100Mo de JS quand on aurait pu avoir les mêmes en 10ko de natif ?

@sxpert Et qu’on ne me parle pas « oui mais c’est compliqué, multi OS, tout ça » quand Unreal ou Neverwinter Night était cross-OS natif dès 1999 et 2002. Juste qu’ils avaient des personnes compétentes en dev, pas des marketeux chef de projet…

@aeris la est le probleme, on a plus que des incompetents

@aeris on peut aussi avoir les memes applis en 10ko de js, a condition de coder correctement

@aeris parce que ca coute de faire une version par plateforme

@aeris @sxpert Alors, ça… Je me poserai toujours la question. D’ailleurs le plus grande énigme pour moi c'est Angular. Le truc pas bon du tout pour faire du web parce que ça balance 50 requêtes HTTP en parallèle à cause de son approche "composant". Mais pas aussi bon que Qt/QML pour coder des interfaces utilisateurs , si l’idée est de faire un client lourd.

@charly @aeris oui, c’est une vraie daube...

@sxpert @charly Je pense que le problème vient du moment où on a considéré qu’on allait avoir un unique langage pour tout faire. Et en prenant le plus moisi qui n’ait jamais existé, JS.

@sxpert @charly On a du coup voulu tout faire avec, parce que tout le monde avait un navigateur sous la main. Et quand ça n’a plus suffit on a fait electron pour embarqué un nav dans une application…

@aeris @sxpert Mais en ce qui me concerne, le pire n’est pas que certains aient fait le choix de ce genre d’approche. Ce qui me révolte c’est la réaction des gens quand on essaie de leur faire comprendre que c’est une mauvaise approche :
- « Du moment que ça répond au besoin… »
- « C'est Google quand même… »
- « Tout le monde fait ça »
- « On ne m’a jamais remonté de problème pour le moment »
- « Le technologie, c’est fait pour évoluer »
etc.

@charly @sxpert Disons surtout qu’ils n’écoutent pas…
On prévient de la merde d’electron quasiment depuis sa sortie, en 2016 : https://twitter.com/aeris22/status/719981274677571584

@aeris pour justement qu’elles soient utilisables depuis n’importe quelle plateforme. La machine virtuelle ultime, en quelque sorte

@aeris vu que c'est tout sur le serveur, JS ou pas JS au bout d'un moment, s'ils veulent vraiment…

@mmu_man Non. Sans JS ils n’ont pas de moyen de récupérer de données utiles pour le côté serveur.

@mmu_man Pour contrer ça, il « suffit » que HTTP interdise l’accès à ces données. C’est le cas aujourd’hui, ce n’est pas possible sans JS derrière (taille de l’écran, font supportées, etc)

@aeris il reste tout de même IP, headers, cookies, patterns de navigation (quels URL, quels délais entre les clics…)…

@mmu_man Les headers sont uniquement côté navigateur et ne peuvent pas sortir de nul part non plus. Ce n’est pas turing complet comme l’est JS. Et la question n’est pas d’avoir un truc tracking-proof (c’est impossible, quelque soit le média, analyse du pattern de navigation server side possible), mais de quoi avoir pour maîtriser a minima ce qu’il est possible de faire.

@mmu_man Dit autrement, tu ne peux que très difficilement détourner les headers pour faire du tracking sachant qu’ils sont hard-codés côté navigateurs et non modifiables (en tout cas sans JS). Sinon les trucs « conventionnels » type timezone, locale ou useragent.

@mmu_man Tu n’as strictement aucun moyen d’injecter/modifier les headers server-side sans JS. Les possibilités de tracking sont by design limitées par le navigateur au niveau HTTP.

@mmu_man On sait lister explicitement quels headers vont partir, et c’est garanti pour tous les sites internet quel que soit leur contenu. Ce n’est plus vrai dès qu’on ajoute JS dans la boucle.