Follow

Dis @Mozilla pourquoi est-ce que chaque site que je visite avec n'est pas par défaut isolé dans son propre conteneur ? Si les conteneurs protègent notre vie privée, ça devrait être l'exception le fait d'associer deux conteneurs, quand on a consciemment envie de permettre une liaison de services… Parce qu'on aura jamais fini d'isoler tous les mal intentionnés à la main là.

@inso Yop, qu'est-ce qui te fait dire ça dans le lien pointé ? (pas trouvé)

@Siltaer OK c'est pas "par défaut pour tous les sites", mais ça serait surement absurde de toute façon (comment faire de l'authent OAuth sinon par exemple).

La méthode proposée par FF est intéressante : tu créé un conteneur gmail, un twitter, un facebook, et tu utilises le conteneur "personnel" pour tout le reste par exemple

@inso Tu crées donc un conteneur par GAFAM, et t'y ajoutes PagesJaunes, LaPoste, Github, et en fait, puisqu'il faut isoler chaque gros truc, et que je n'utilises pas d' (et pense être dans la masse sur ce coup, et non un utilisateur avancé), eh ben j'aurais plus vite fait d'activer une isolation par défaut des sites que je consulte… Et quand t'y réfléchi, au marginal Oauth près, dans notre tête, c'est bien l'isolation la règle par défaut non ?

Je ne dit pas à Libé que je lis le Canard…

@Siltaer Je sais pas, je pense que ça casserai une bonne partie du fonctionnement du web.

Mais ça serait une extension à développer qui trouverait très certainement son public. C'est assez complexe par contre de gérer les connexions et cookies (un site a plusieurs DNS typiquement, comment tu associes un site à tout ses DNS ? Tu te reconnectes à chaque fois ? )

@inso Les conteneurs, actuellement, ils fonctionnent ? Ça me suffit bien :-) (on peut choisir si on associe un conteneur à un domaine, avec ou sans ses domaines… je ne crois pas qu'il faille voir de la difficulté dans ce qu'on ignore sur ce coup là)

@Siltaer Ben je viens de les découvrir suite à ta remarque :p Je viens de conteneuriser toutes mes sessions GAFAM, ça a l'air de bien fonctionner.

@Siltaer Je pense que pour avoir des conteneurs auto, il faudrait surtout y associer un système de liste à la uBlock (ou chaque site est associée à ses domaine et les contenerise en conséquence)

@Siltaer parceque c'est compliqué a implementé, la feature est pas dispo de base faut mettre une pref. la liste des todo est encore longue bugzilla.mozilla.org/showdepen

@usul Ce sont bien les priorités de Mozilla à ce sujet qui m'interpellent. Je suis tout à fait d'accord avec @jz quand il explique que @Mozilla se préoccupe bien tard de protéger la vie privée de ses utilisateurs, et porte une partie de responsabilité de la mauvaise situation actuelle, qui appelle à installer :
- Privacy Badger
- HTTPS everywhere
- uBlock origin
- Decentraleyes
- Disconnect
- CookieAutodelete

Et donc de se fader la création des conteneurs qui vont bien à la main…

@Siltaer @Mozilla @usul Question est: pourquoi Moz n'a jamais installé adblock et autres-protection anti-tracking *par défaut* durant ces dernières 10 années?

Ils auraient été en position de durablement changer l'écosystème en heurtant ce modèle eco. de surveillance de masse au porte-monnaie.

Est-ce en rapport avec les milliards collectés de Google? Quelle est la nature de leur deal? Est-ce que quelq'un a déja vu ce contrat?

Moz est complice de cette destruction du web par l'espionnage...

@jz @usul @Mozilla @Siltaer C'est pas très neutre de fournir un navigateur web qui par défaut altère le contenu des pages web…

@lord @Mozilla @usul @jz La question s'est posée avec la filtrage par défaut des pubs mis en place par Free. L'exemple était bien là.

Autre exemple, le qu'il faut activer, il est quand même bien là par défaut, prêt à l'emploi. Un bloqueur de pub pourrait en être aussi.

Après, c'est l'arbre qui cache ma forêt d'addons. Même sans en arriver là @Mozilla a les moyens d'améliorer la situation. Ne serait-ce qu'en faisant fonctionner les cookies comme on pourrait s'y attendre.

@Siltaer @jz @Mozilla @lord tu peux aussi mettre en œuvre first party isolation

@usul @lord @Mozilla @jz Merci,

about:config -> privacy.firstparty.isolate -> True

(pas grand public comme approche)

Ça semble correspondre à la préoccupation, voir être redondant avec les conteneurs pour le coup ?

@Siltaer @jz @usul @Mozilla Disons que par défaut ça devrait être intégrer dans le navigateur et non sous forme d'addons.
Avec par exemple un ballot screen pour demander si l'ont veut ou non ces fonctionnalité…

@lord @Mozilla @jz @Siltaer les ballot screen ça fait fuir les utilisateurs en ce moment on essaye d'en garder pour rester crédible. Si vous voulez aider passer sous nightly

@usul @Mozilla @jz @Siltaer malheureusement je n'utilise plus firefox mais je reviendrai probablement ;-)

@lord @Siltaer @jz @Mozilla ben t'es le bienvenu de revenir :) Aussi sur mobile ....

@usul @Mozilla @jz @Siltaer j'y suis déjà sur mobile avec plaisir mais pas en nightly car pas dispo via fdroid.

@lord @Siltaer @jz hum nightly devrait etre dispo sur fdroid , je me renseigne

@usul @Mozilla @jz @lord Firefox Focus est encore spartiate, mais il inspire confiance et tient sa promesse d'être plus rapide que le navigateur livré avec Android. C'est pas militant de le mettre par défaut, c'est juste du bon sens :-)

Tout comme je confie à DuckDuckGo plutôt qu'à Google mes errances…

@Siltaer @lord @jz mais c'est du webkit pour l'instant :( Pour les recherche je suis passé a qwant et google quand c'est technique

@usul @jz @lord 0_0

« Les ignorants sont bénis… »

Et Mozilla ne cesse de … surprendre.

Avec @Grandasse on se demande pourquoi on découvre le FirstParty Isolation aujourd'hui, alors que c'est implémenté depuis 2 ans et que ça semble très bien régler le problème pour lequel les conteneurs sont mis en avant ?

@Siltaer @Grandasse @lord @jz ça régle pas tout, on l'a importé de TOR et on n'a pas fait de bruit dessus, me demander pas pourquoi j'ai pas la réponse.

@usul @Siltaer @Grandasse @lord @jz

Pour rester en bons termes avec #Google, je suppose ; ce grand fournisseur d' #argent à #Mozilla, qui elle lutte pour la #vieprivée et des services/logiciels ouverts... qui n'est pas vraiment le concept de base de Google...

@Siltaer @lord @jz @usul
Je me demande comment ça se passe pour les sites qui demandent de se logger via une autre plateforme (donc autre domaine), si c'est bloquant ou non.
A tester.

@Grandasse @jz @lord @Siltaer c'est pas bloquant on utilise sasml au bureau pour presque tout

@Grandasse @usul @jz @Mozilla Ah, ça, ça ressemble à ce que je cherche ! Merci ! Test en cours…

@Grandasse Oui, j'ai pris sur moi, et je me demande vraiment si le firstparty isolation ne recouvre pas l'usage pour le coup.

@Grandasse Moi aussi, alors que ça fait juste 2 ans que ça existe quoi (Firefox 55).

@Siltaer @Grandasse

Cette configuration?

about:config
* 4001: enable First Party Isolation (FF51+) * [WARNING] May break cross-domain logins and site functionality until perfected * [1] bugzilla.mozilla.org/1260931 ***/ user_pref("privacy.firstparty.isolate", true);

github.com/ghacksuserjs/ghacks

Jusqu'à présent l'activer ne casse pas trop de sites (Fennec F-droid 59.0.2 Android et Firefox Beta 60 Desktop Linux)

@Siltaer @elpanzer @Grandasse

Avais pas vu les threads parallèles ;) Jusqu'à la V.58, CookieAutodelete râlait très fort avec firstparty.isolate activé en tous cas.

Bonne description des impacts ici (cookies, cache, HTTP Authentication, DOM Storage, Flash cookies, SSL and TLS session resumption, Shared Workers, blob URIs, SPDY and HTTP/2, automated cross-origin redirects, window.name, auto-form fill, HSTS and HPKP supercookies, etc)

ghacks.net/2017/11/22/how-to-e

@Siltaer @Mozilla @jz @usul Pendant ce temps, chez le Panda Roux :

« Mozilla développe l’équivalent du forum pour la réalité virtuelle »

presse-citron.net/mozilla-deve

Alors je sais bien que dans une structure de 1000 personnes, plusieurs équipes travaillent sur plusieurs projets, mais en terme symboliques ça se pose là je trouve

@Shaft @jz @Mozilla @Siltaer Quand on fait des trucs comme ça j'appelle ça l'effet valley

@poujolrost A priori il s'agirait d'un petit clic magique sur :

about:config -> privacy.firstparty.isolate -> True

Et les cookies sont aussi bien gardés que les hippopotames.

Les conteneurs apportent peut être quelque chose en plus par rapport aux historiques, mais c'est pas bien clair.

@Siltaer
Sans Tor, il reste l'IP pour faire la connexion, tu sais…

@aeris Oui, je l'utilise 🙂
Ça ralenti l'ouverture d'un onglet (quand Nightly l'autorise). C'est un ajout à aller chercher, alors que mon message portait sur la politique "par défaut" que @Mozilla a laissé filer. De fait, ça casse les authentifications déportées, appuyés sur plusieurs domaines.
Ma parade étant alors de recommencer l'opération dans une fenêtre de navigation privée.
Bref jongler entre 3 niveaux de "sécurité", et j'ne détaille pas ici comment garder une session dans un conteneur.

@aeris @Mozilla Avec une icône ça semble plus convivial qu'en bidouillant dans les préférences comme évoqué ici : mamot.fr/@Siltaer/999308706758

@aeris @Mozilla
Aujourd'hui on râle devant le résultat des courses… mais Mozilla a sûrement tenté de ne pas laisser d'avantage fonctionnel à ses concurrents pour rester dans la course. Le but était sûrement de ne pas se marginaliser tout en s'économisant une réflexion sur le long terme…

Bon, aujourd'hui on est marginalisés et troués, mais ce n'était probablement pas le but.

@Siltaer
Ça rendrait ta navigation insupportable. Déjà avec le modèle de Tor Browser où on isole par domaine (mozilla.org est séparé de lemonde.fr), il y a de nombreux sites qui cassent, alors une granularité plus forte ça serait difficile à tenir, je pense.

@lunar @Siltaer Faudrait surtout que les sites arrêtent de faire de la merde au kilomètre 😭

@aeris @lunar @Siltaer
@whilelm
Bon je tenais juste à indiquer que ce thread était très instructif et que j'ai découvert plusieurs extensions bien sympa grâce à vous tous. Je suis assez surpris que ce soit la première fois seulement que j'entends parler de l'option FirstParty.Isolation ! 😮

Sign in to participate in the conversation
La Quadrature du Net - Mastodon - Media Fédéré

Bienvenue dans le media fédéré de la Quadrature du Net association de défense des libertés. Les inscriptions sont ouvertes et libres.
Tout compte créé ici pourra a priori discuter avec l'ensemble des autres instances de Mastodon de la fédération, et sera visible sur les autres instances.
Nous maintiendrons cette instance sur le long terme.