Default
Prince-Baron
Prince-Baron
En utilisant le module Noscript je viens de découvrir sur le site d'une célèbre boutique qu'il y a  environ une vingtaine de script.

Si quelques uns ne me surprend la plupart me semble pas du tout lié au fonctionnement de la boutique.

J'avoue que ces pratiques m'agace beaucoup. Tric Trac
dawilok
dawilok
Certainement pas me seul site (ce qui n absous de rien) et même pas sûr que le site sache vraiment pourquoi d ailleurs tous ces scripts sont utilisés.

Le plus "marrant" ce sont les journaux qui font des articles autour des AAMAM (ex GAFAM) avec des sites truffés de cookies, fingerprints & cie .
Lymon Flowers
Lymon Flowers
Il y a une certaine propension chez les développeurs web à la paresse (c'est humain).  D'un côté, tu as le  choix entre construire ta CSS tout seul pour qu'elle soit propre et belle et de l'autre tu vas sur google fonts et en deux clics tu as un CSS construit tout seul avec un hébergement « gratuit » des polices chez Google.  Au plus grand dam est utilisateurs qui se font donc pister !

C'est pareil avec chaque CDN, chaque outil de mesure d'audience, chaque outil de partage sur les réseaux sociaux, etc…

Personnellement je ne vais jamais sur le web sans uMatrix activé.  C'est un peu extrême mais on y gagne sacrément en pistage et en conservation de la vie privée.
Gabriel Ombre
Gabriel Ombre
Et ublock origin ?
Rodenbach
Rodenbach
Les boutiques ont aussi des revenus publicitaires. Faut pas chercher tellement plus loin.

Vous n'êtes pas obligés d'accepter les cookies, par ailleurs.

Lymon, heureusement que les développeurs ne réinventent pas la roue à chaque projet sinon il faudrait des équipes colossales et des temps de développement infinis. Pour des résultats médiocres. (Je vais pas m'amuser à recréer un système de cartographie perso. Vive les bibliothèques bien faites et maintenues). Là où tu vois de la paresse je vois de la bonne intelligence... Enfin... Sauf que je préférerai toujours un CSS à la main à Material.ui 

Maintenant t'as raison il y a vraiment des gens qui installent tout et n'importe quoi comme dépendance, pour résoudre des problèmes qui feraient quelque lignes de code... Quitte à installer des trucs obscurs et pleins de trous de sécu, pas maintenus...
Krrro
Krrro
Je m’étais intéressé au sujet il y a quelques années et j’avais entre autre « no script » qui m’avait fait prendre conscience que la très grande majorité des sites sont blindés de mouchards. Entre autre tous les trackeurs google c’était quasi chaque page visitée sans doute pour les raisons évoquées par Lymon Flowers. J’avais essayé de bloquer un maximum de script sauf que la plupart des sites ne fonctionnent pas du tout ou pas bien... Il faut se prendre la tête à regarder quel script est indispensable, quel script ne l’est pas, etc... Et puis j’ai « arrêté » de me prendre la tête : j’utilise juste firefox (la base), startpage qui est censé anonymisé nos recherches sur le net, ublock origin qui bloque les pubs et « https everywhere » qui force les pages qui peuvent être en connexion sécurisée à l’être… « No script » est très bien pour prendre conscience de tout ce qui nous piste sur le net mais ça devient vite pénible à utiliser je trouve…
Casimir Morel
Casimir Morel
Prince-Baron dit :En utilisant le module Noscript je viens de découvrir sur le site d'une célèbre boutique qu'il y a  environ une vingtaine de script.

Si quelques uns ne me surprend la plupart me semble pas du tout lié au fonctionnement de la boutique.

J'avoue que ces pratiques m'agace beaucoup. Tric Trac

De mémoire ,

Cloudfront, c'est un CDN, c'est un service qui fournit des caches partout dans le monde, l'idée est que si le site est à Lyon et que l'on est à Paris, le CDN va fournir les images depuis Paris ce qui rendra le chargement de la page plus rapide

Doofinder ça ne me rappelle rien

Doubleclick, c'est normalement pour la publicité (sur une boutique c'est peut-être pour vérifier l'efficacité de la publicité mais ça me semble d'un intérêt douteux)

Google analytics, c'est un outil de mesure d'audience, pourcentage de personne qui a cliqué ici ou la

Google.com, google.fr je ne sais pas ce qu'il font là, peut-être un service d'authentification ou anti robot

Googletagmanager, c'est un outil qui permet de prendre les événements sur une page et les envoyer à X services, ça peut servir à faire des tests en modifiant les pages pour une parties des utilisateurs via un service (Mais ça introduit de gros biais , c'est plus un signe de maîtrise médiocre des scripts sur la page)

Gstatic c'est un service de google pour des ressources statiques communes, l'idée est que si la page dit d'aller chercher la police toto chez google, le navigateur l'a peut être déjà en cache et n'ira pas la chercher (contrairement à une police sur le site qui sera chargé pour chaque site), c'est un des services qui laisse le moins de données fuiter (vu que si on a déjà téléchargé le contenu, on ne va pas le récupérer à nouveau)

Maps, pour un service d'affichage de carte

Pagesense.io mesure d'audience plus intrusive (c'est de mémoire et j'ai un doute)

salecycle, connait pas, mais probablement un service pour les retrocommissions (lien affiliés, tout ça)
sc-static probablement pour que le script ne soit pas rechargé sur chaque site visité

Snapchat, Titou, peut-être des boutons de partage/suivi qui servent de pisteurs (ils pourraient facilement s'en passer)

Soho, il me semblait que c'était plutôt des outils intranet, pas grand chose à faire là

Lymon Flowers
Lymon Flowers
Rodenbach dit :Lymon, heureusement que les développeurs ne réinventent pas la roue à chaque projet sinon il faudrait des équipes colossales et des temps de développement infinis. Pour des résultats médiocres. (Je vais pas m'amuser à recréer un système de cartographie perso. Vive les bibliothèques bien faites et maintenues). Là où tu vois de la paresse je vois de la bonne intelligence... Enfin... Sauf que je préférerai toujours un CSS à la main à Material.ui 

On est d'accord !  Le tout n'est pas tant d'utiliser des choses qui existent (vive bootstrap et jquery !) que d'utiliser des dépendances moisies qui au final te dépossèdent de ton travail et participent activement au flicage de tes utilisateurs.  C'est sans doute mon côté GNU/libriste libertaire mais c'est bien dommage que beaucoup de dévs web ne sachent pas à quoi ils s'engagent quand ils placent des dépendances de ce type sur leur site.

MasterMindM
MasterMindM
Krrro dit :Entre autre tous les trackeurs Google

Le problème c’est que sans Google on n’arrive pas à trouver une fiche Tric Trac 

Casimir Morel
Casimir Morel
Krrro dit :J[...] « No script » est très bien pour prendre conscience de tout ce qui nous piste sur le net mais ça devient vite pénible à utiliser je trouve…

Plutôt μBlock pour prendre conscience du pistage, en allant dans les paramètres pour élargir un peu ce qui est bloqué.

No Script, c'est pour activer le Javascript à la demande plutôt que de le laisser actif par défaut. C'est un autre besoin en sécurité.

Un script peut-être natif au site, ne rien pister et être néfaste :
- calcul de collision pour la cryptomonaie en utilisant les ressources CPU du visiteur
- exploitation de failles

Default
Prince-Baron
Prince-Baron
Rodenbach dit :Les boutiques ont aussi des revenus publicitaires. Faut pas chercher tellement plus loin.

Vous n'êtes pas obligés d'accepter les cookies, par ailleurs.

Lymon, heureusement que les développeurs ne réinventent pas la roue à chaque projet sinon il faudrait des équipes colossales et des temps de développement infinis. Pour des résultats médiocres. (Je vais pas m'amuser à recréer un système de cartographie perso. Vive les bibliothèques bien faites et maintenues). Là où tu vois de la paresse je vois de la bonne intelligence... Enfin... Sauf que je préférerai toujours un CSS à la main à Material.ui 

Maintenant t'as raison il y a vraiment des gens qui installent tout et n'importe quoi comme dépendance, pour résoudre des problèmes qui feraient quelque lignes de code... Quitte à installer des trucs obscurs et pleins de trous de sécu, pas maintenus...

Mais justement là j'ai refusé les cookies!

Et si je bloque les scripts plusieurs choses ne fonctionnent plus

Casimir Morel
Casimir Morel
Prince-Baron dit :
Rodenbach dit :Les boutiques ont aussi des revenus publicitaires. Faut pas chercher tellement plus loin.

Vous n'êtes pas obligés d'accepter les cookies, par ailleurs.

Lymon, heureusement que les développeurs ne réinventent pas la roue à chaque projet sinon il faudrait des équipes colossales et des temps de développement infinis. Pour des résultats médiocres. (Je vais pas m'amuser à recréer un système de cartographie perso. Vive les bibliothèques bien faites et maintenues). Là où tu vois de la paresse je vois de la bonne intelligence... Enfin... Sauf que je préférerai toujours un CSS à la main à Material.ui 

Maintenant t'as raison il y a vraiment des gens qui installent tout et n'importe quoi comme dépendance, pour résoudre des problèmes qui feraient quelque lignes de code... Quitte à installer des trucs obscurs et pleins de trous de sécu, pas maintenus...

Mais justement là j'ai refusé les cookies!

Et si je bloque les scripts plusieurs choses ne fonctionnent plus

Il y avait des remplacement de script qui ne sont peut-être pas dans les versions récentes

Il faut potentiellement une autre extension pour charger ces scripts de remplacement et réparer les fonctionnalités (et ça demande de comprendre un minimum de js, NoScript n'est pas exactement à recommander à tout le monde, c'est à considérer pour les journalistes et haut fonctionnaires, ublock est probablement plus adapté)

Krrro
Krrro
MasterMindM dit :
Krrro dit :Entre autre tous les trackeurs Google

Le problème c’est que sans Google on n’arrive pas à trouver une fiche Tric Trac 

Ça c'est un autre problème... 🤣

En fait on a besoin d'un moteur de recherche ( ce qui est ni pratique, ni vraiment "normal"...) mais pas forcément de google, il y a de très bonnes alternatives : duckduckgo, startpage...

@Casimir Morel : merci pour les précisions techniques.

Rodenbach
Rodenbach
Prince-Baron dit :
Rodenbach dit :Les boutiques ont aussi des revenus publicitaires. Faut pas chercher tellement plus loin.

Vous n'êtes pas obligés d'accepter les cookies, par ailleurs.

Lymon, heureusement que les développeurs ne réinventent pas la roue à chaque projet sinon il faudrait des équipes colossales et des temps de développement infinis. Pour des résultats médiocres. (Je vais pas m'amuser à recréer un système de cartographie perso. Vive les bibliothèques bien faites et maintenues). Là où tu vois de la paresse je vois de la bonne intelligence... Enfin... Sauf que je préférerai toujours un CSS à la main à Material.ui 

Maintenant t'as raison il y a vraiment des gens qui installent tout et n'importe quoi comme dépendance, pour résoudre des problèmes qui feraient quelque lignes de code... Quitte à installer des trucs obscurs et pleins de trous de sécu, pas maintenus...

Mais justement là j'ai refusé les cookies!

Et si je bloque les scripts plusieurs choses ne fonctionnent plus

Le fait de refuser les cookies va juste empêcher le transfert de données personnelles (et rendre les dépendances publicitaires inopérantes) mais ça n'annule pas le fait que l'application cherche à contacter ses dépendances au chargement. Donc tu les verras toujours avec noscript (mais en général tu peux en laisser la plupart désactivés).

​​​​​​

xbrossard
xbrossard
La plupart des développeurs web ne savent pas ce qu'ils intègrent dans leur site.
J'ai vu ça quand j'ai travaillé pour la SNCF; l'équipe de développement (externe) des sites PHP commerciales utilisaient des bibliothèques javascript trouvés sur le web. Quand il a fallu le mettre en exploitation et que les règles de sécurité (pas d'accès à internet pour les appli intranet) devrait être mis en place, l'équipe de dev n'était même pas capable de lister l'ensemble des dépendances et ne pouvait pas garantir qu'il n'ait pas de chargement "à la volée" d'autres scripts, ce qui allait à l'encontre des règles de sécurité de la SNCF...
Casimir Morel
Casimir Morel
xbrossard dit :La plupart des développeurs web ne savent pas ce qu'ils intègrent dans leur site.
J'ai vu ça quand j'ai travaillé pour la SNCF; l'équipe de développement (externe) des sites PHP commerciales utilisaient des bibliothèques javascript trouvés sur le web. Quand il a fallu le mettre en exploitation et que les règles de sécurité (pas d'accès à internet pour les appli intranet) devrait être mis en place, l'équipe de dev n'était même pas capable de lister l'ensemble des dépendances et ne pouvait pas garantir qu'il n'ait pas de chargement "à la volée" d'autres scripts, ce qui allait à l'encontre des règles de sécurité de la SNCF...

Ou, parce qu'on parle de la SNCF quand même, ils ont eu des demandes contradictoires, par exemple installer un tag manager et garantir qu'il n'y aura pas de chargement de script externe...

Rodenbach
Rodenbach
Enfin tout le monde est au courant qu'avec la SNCF on est toujours dans l'extrême en terme d'application web 

​​​​​​Spécialisés dans la loose depuis plus de 20 ans !
sissouvic
sissouvic
Rodenbach dit :Les boutiques ont aussi des revenus publicitaires. Faut pas chercher tellement plus loin.

Vous n'êtes pas obligés d'accepter les cookies, par ailleurs.

Ça dépend car sur certains sites on ne te laisse pas le choix.
Soit tu acceptes les cookies soit tu payes. Dans ces cas-là je ne vais plus sur ce site à regret.

Rodenbach
Rodenbach
sissouvic dit :
Rodenbach dit :Les boutiques ont aussi des revenus publicitaires. Faut pas chercher tellement plus loin.

Vous n'êtes pas obligés d'accepter les cookies, par ailleurs.

Ça dépend car sur certains sites on ne te laisse pas le choix.
Soit tu acceptes les cookies soit tu payes. Dans ces cas-là je ne vais plus sur ce site à regret.

Oui c'est juste, mais ce n'est pas le cas pour les boutiques ludiques.

noixman
noixman
Rodenbach dit :
Prince-Baron dit :
Rodenbach dit :Les boutiques ont aussi des revenus publicitaires. Faut pas chercher tellement plus loin.

Vous n'êtes pas obligés d'accepter les cookies, par ailleurs.

Lymon, heureusement que les développeurs ne réinventent pas la roue à chaque projet sinon il faudrait des équipes colossales et des temps de développement infinis. Pour des résultats médiocres. (Je vais pas m'amuser à recréer un système de cartographie perso. Vive les bibliothèques bien faites et maintenues). Là où tu vois de la paresse je vois de la bonne intelligence... Enfin... Sauf que je préférerai toujours un CSS à la main à Material.ui 

Maintenant t'as raison il y a vraiment des gens qui installent tout et n'importe quoi comme dépendance, pour résoudre des problèmes qui feraient quelque lignes de code... Quitte à installer des trucs obscurs et pleins de trous de sécu, pas maintenus...

Mais justement là j'ai refusé les cookies!

Et si je bloque les scripts plusieurs choses ne fonctionnent plus

Le fait de refuser les cookies va juste empêcher le transfert de données personnelles (et rendre les dépendances publicitaires inopérantes) mais ça n'annule pas le fait que l'application cherche à contacter ses dépendances au chargement.

Comme si en 2022 on avait encore besoin des cookies pour faire du user tracking. Plus besoin de ça pour diffuser des pubs qui correspondent à un utilisateur.

Default
Casimir Morel
Casimir Morel
noixman dit :
Rodenbach dit :
Prince-Baron dit :
Rodenbach dit :Les boutiques ont aussi des revenus publicitaires. Faut pas chercher tellement plus loin.

Vous n'êtes pas obligés d'accepter les cookies, par ailleurs.

Lymon, heureusement que les développeurs ne réinventent pas la roue à chaque projet sinon il faudrait des équipes colossales et des temps de développement infinis. Pour des résultats médiocres. (Je vais pas m'amuser à recréer un système de cartographie perso. Vive les bibliothèques bien faites et maintenues). Là où tu vois de la paresse je vois de la bonne intelligence... Enfin... Sauf que je préférerai toujours un CSS à la main à Material.ui 

Maintenant t'as raison il y a vraiment des gens qui installent tout et n'importe quoi comme dépendance, pour résoudre des problèmes qui feraient quelque lignes de code... Quitte à installer des trucs obscurs et pleins de trous de sécu, pas maintenus...

Mais justement là j'ai refusé les cookies!

Et si je bloque les scripts plusieurs choses ne fonctionnent plus

Le fait de refuser les cookies va juste empêcher le transfert de données personnelles (et rendre les dépendances publicitaires inopérantes) mais ça n'annule pas le fait que l'application cherche à contacter ses dépendances au chargement.

Comme si en 2022 on avait encore besoin des cookies pour faire du user tracking. Plus besoin de ça pour diffuser des pubs qui correspondent à un utilisateur.

Bah si en 2022 c'est encore nécessaire pour les sites web, il n'y a plus les cookies flash et l'accès aux identifiants personnels par les app a été sérieusement restreint.

Les systèmes à base d'ip/signature du navigateur ça permet de définir des cohortes, pour cibler des profils utilisateurs,  ce n'est plus du pistage individuel, ça reste néfaste, mais ça n'est pas la même chose.

Éventuellement il y a les systèmes de partage d'infos clients authentifié entre entreprises via des trucs genre criteo (ça se faisait aussi via co entreprises de gestion de cartes de fidélité pour les clients hors web), mais pareil ça a pris un gros plomb avec l'empilement des rappels à la loi.

Pour les pubs qui correspondent  à un utilisateur ça dépend de ce qu'on entends par là, mais en soit il n'y a jamais eu besoin de cookie hier ou demain si la régie pub sonde les consommateurs, ça permet aux annonceurs de cibler ce qui les intéresse (et la prochaine horreur de Google à base de cohorte n'est pas encore déployée sur Chrome).

Ce n'est pas pour rien que le marché s'est dégradé pour les petites et moyennes régies pub et s'est concentré sur quelques acteurs .

En 200X par contre c'était la foire, on pouvait trouver des sites qui demandaient l'installation d'un mouchard sur le PC.

Genre même tf1, pour la vod installait ce genre de mouchard qui surveillait toute l'activité du PC
 

Rodenbach
Rodenbach
Ah oui le cookie tiers est encore à la base des solutions ciblées.

Les alternatives efficaces n'existent pas tout à fait. Il y a plusieurs voies explorées mais toutes ont leurs downsides. Que ce soit en terme de mise en place, de déploiement à grande échelle, d'interdictions ou de blocages à court terme, ou en terme de volumétrie de cibles.
​​​​​