Comme dâhabitude, un bon papier de @pixeldetracking sur la future vĂ©ritable merde de tracking qui sâannonce aprĂšs le tout aussi infĂąme CNAME cloacking de lâannĂ©e derniĂšreâŠ
https://www.pixeldetracking.com/fr/google-tag-manager-server-side-tagging
Il va sans dire quâon a encore moins de possibilitĂ© de blocage que le CNAME cloaking qui nâen avait dĂ©jĂ pas beaucoupâŠ
LĂ en lâĂ©tat, considĂ©rez ce truc comme Ă©tant plus imblocable quâautre choseâŠ đ€· đĄ
Vous voulez vous protĂ©ger de ce truc ? Installez ”Matrix, en mode paranoĂŻa. DĂ©sactivez a minima JS sur tout le contenu « tiers » y compris 1st party. Câest le domaine chargĂ© qui peut faire du JS et câest tout. Aucun sous-domaine. Bon courage avec votre navigation du coup⊠đ
Et comme je ne doute pas un seul instant quâun jour ils iront jusquâĂ foutre le proxy sur une sous-URL du domaine principal, commencez dĂ©jĂ Ă hurler sur vos sites qui font du JS tout court en fait⊠đ€·
Parce que le jour oĂč le proxy arrivera sur https://le-site-principal/{tracking-proxy}/ (sachant que la valeur peut ĂȘtre diffĂ©rente pour chaque appel en plusâŠ), ça en deviendra littĂ©ralement imbloquable sans virer complĂštement JS de votre navigateur. Et encore.
@aeris yâen a marre de leur monde de merdeâŠ
@aeris On peut switcher sur un nouveau protocole peut-ĂȘtre ? Laisser le web tel qu'on l'a connu aux marketeux Ă la con et refaire un monde meilleur ?
@charly @lanodan Tu auras beau avoir le mĂ©dia que tu veux, dĂšs quâil y aura suffisamment dâadhĂ©rence dessus, coucou les marketeux qui te trouveront bien le moyen de te placer du tracking⊠aidĂ©s en prime par « les utilisateurs » qui voudront de plus en plus « du joli/qui pĂšte » ouvrant la voie Ă encore plus de tracking.
cookie â Toujours Ă©tĂ© un soucis monstre, surtout depuis que les navigateurs en ont rien Ă pĂ©ter de l'utilisateur
JS â NoScript sans doute est pas loin d'ĂȘtre aussi vieux que JS en age internet
HPKP â Pourquoi ça mâĂ©tonne juste pas?
Tant qu'on y est HSTS, QUIC sont pas mal dans leur genre de trucs assez mal foutu pour que ça soit une épée à double tranchant.
Et ETag Ă tendance Ă ĂȘtre oubliĂ© mais c'est un des premiers cookies mis de maniĂšre dĂ©tournĂ©e.
@aeris sous prétexte que la terre est rempli de cons, on doit se passer de technos utiles ?
@sxpert Tu veux vraiment la rĂ©ponse ? đ
@sxpert Si tu veux une rĂ©ponse longue, ça date dĂ©jĂ de 6 ansâŠ
https://blog.imirhil.fr/2014/06/22/vos-libertes-mes-libertes.html
@sxpert Et en TLDR : je ne peux exercer mes libertĂ©s sur un outil qui ne me permet aucun contrĂŽle Ă cause des (faux) besoins (dĂ©biles) des autres utilisateursâŠ
@aeris je suis pas sur que traiter les besoins des autres, qui ne sont manifestement pas aussi compĂ©tents dans le sujet que nous de âfauxâ et âdĂ©bilesâ ne va probablement pas aider a faire passer le message que je comprend parfaitement
@sxpert Jâentend par faux et dĂ©bile le rĂ©sultat de lâanalyse du besoin exprimĂ© hein, pas a priori de lâexpression du besoin.
@sxpert Et je pourrais résumer ça en un seul problÚme « mais pourquoi tu veux absolument faire ça en web bordel ! »
@sxpert Pourquoi est-ce quâon a voulu faire des « applications web » quand on aurait du les faire en natif ? Pourquoi est-ce quâon a absolument voulu faire webrtc quand on savait trĂšs bien le faire et en mieux en natif ?
@sxpert Pourquoi est-ce quâon a des applications de 100Mo de JS quand on aurait pu avoir les mĂȘmes en 10ko de natif ?
@sxpert Et quâon ne me parle pas « oui mais câest compliquĂ©, multi OS, tout ça » quand Unreal ou Neverwinter Night Ă©tait cross-OS natif dĂšs 1999 et 2002. Juste quâils avaient des personnes compĂ©tentes en dev, pas des marketeux chef de projetâŠ
@aeris la est le probleme, on a plus que des incompetents
@aeris on peut aussi avoir les memes applis en 10ko de js, a condition de coder correctement
@aeris parce que ca coute de faire une version par plateforme
@aeris @sxpert Alors, ça⊠Je me poserai toujours la question. Dâailleurs le plus grande Ă©nigme pour moi c'est Angular. Le truc pas bon du tout pour faire du web parce que ça balance 50 requĂȘtes HTTP en parallĂšle Ă cause de son approche "composant". Mais pas aussi bon que Qt/QML pour coder des interfaces utilisateurs , si lâidĂ©e est de faire un client lourd.
@aeris @sxpert Mais en ce qui me concerne, le pire nâest pas que certains aient fait le choix de ce genre dâapproche. Ce qui me rĂ©volte câest la rĂ©action des gens quand on essaie de leur faire comprendre que câest une mauvaise approche :
- « Du moment que ça répond au besoin⊠»
- « C'est Google quand mĂȘme⊠»
- « Tout le monde fait ça »
- « On ne mâa jamais remontĂ© de problĂšme pour le moment »
- « Le technologie, câest fait pour Ă©voluer »
etc.
@charly @sxpert Disons surtout quâils nâĂ©coutent pasâŠ
On prĂ©vient de la merde dâelectron quasiment depuis sa sortie, en 2016 : https://twitter.com/aeris22/status/719981274677571584
@charly @sxpert Avec les problÚmes de mémoire associées : https://twitter.com/aeris22/status/1014291342543990784
@aeris @sxpert Je ne pense pas vraiment que ce soit ça. Je dirais plutĂŽt quâils nâont pas les compĂ©tences pour se faire un avis en se basant sur les raisonnements quâon leur offre. Du coup ils se content juste de se caler sur lâavis gĂ©nĂ©ral plutĂŽt que sur un avis dâexpert dont ils ne connaissent pas vraiment le niveau dâexpertise.
Et je ne pense pas ĂȘtre trĂšs loin de la rĂ©alitĂ©. Parce quâen fait, tu remarqueras que ce schĂ©ma sâapplique Ă beaucoup de domaines en ce moment.
@aeris pour justement quâelles soient utilisables depuis nâimporte quelle plateforme. La machine virtuelle ultime, en quelque sorte
@aeris vu que c'est tout sur le serveur, JS ou pas JS au bout d'un moment, s'ils veulent vraimentâŠ
@mmu_man Non. Sans JS ils nâont pas de moyen de rĂ©cupĂ©rer de donnĂ©es utiles pour le cĂŽtĂ© serveur.
@mmu_man Pour contrer ça, il « suffit » que HTTP interdise lâaccĂšs Ă ces donnĂ©es. Câest le cas aujourdâhui, ce nâest pas possible sans JS derriĂšre (taille de lâĂ©cran, font supportĂ©es, etc)
@aeris il reste tout de mĂȘme IP, headers, cookies, patterns de navigation (quels URL, quels dĂ©lais entre les clicsâŠ)âŠ
@mmu_man Les headers sont uniquement cĂŽtĂ© navigateur et ne peuvent pas sortir de nul part non plus. Ce nâest pas turing complet comme lâest JS. Et la question nâest pas dâavoir un truc tracking-proof (câest impossible, quelque soit le mĂ©dia, analyse du pattern de navigation server side possible), mais de quoi avoir pour maĂźtriser a minima ce quâil est possible de faire.
@mmu_man Dit autrement, tu ne peux que trĂšs difficilement dĂ©tourner les headers pour faire du tracking sachant quâils sont hard-codĂ©s cĂŽtĂ© navigateurs et non modifiables (en tout cas sans JS). Sinon les trucs « conventionnels » type timezone, locale ou useragent.
@mmu_man Tu nâas strictement aucun moyen dâinjecter/modifier les headers server-side sans JS. Les possibilitĂ©s de tracking sont by design limitĂ©es par le navigateur au niveau HTTP.
@mmu_man On sait lister explicitement quels headers vont partir, et câest garanti pour tous les sites internet quel que soit leur contenu. Ce nâest plus vrai dĂšs quâon ajoute JSÂ dans la boucle.
Vu les « progrĂšs » des trackers en lâĂ©tat, disons quâil nous reste quelques mois pour devoir virer JS complĂštement⊠đ