Il existe de nombreux sites Web louches, sur Internet, qui volent vos données et votre identité et les revendent à des spécialistes du marketing. Ces sites Web utilisent des extensions de navigateur et des fuites de connexion pour voler secrètement vos informations. Ils sont pour la plupart invisibles et il est assez difficile de les suivre avec des outils de base.
Le processus consiste à partager l’empreinte de votre navigateur avec le site Web, ainsi que les extensions de navigateur installées et une liste des sites Web auxquels vous vous êtes connecté. Inria ne collecte que des données anonymes pendant l’expérience et les stocke en toute sécurité sur un serveur interne. Ces données sont uniquement utilisées à des fins de recherche et ne sont partagées avec personne en dehors d’Inria. Il vous oblige également à autoriser les cookies tiers dans votre navigateur.
1]Piratage d’URL de redirection
Cette partie du processus consiste à exploiter les sites Web sur lesquels vous vous êtes déjà connecté. Lorsque vous essayez d’accéder à une ressource Web sécurisée, le site Web vous redirige vers l’écran de connexion lorsque vous ne vous êtes pas connecté. En effet, l’URL est mémorisée par votre navigateur pour aider à gérer les interactions futures. C’est là qu’intervient l’astuce d’Inria : elle modifie cette URL spécifique, de sorte que vous atterrirez sur une image si vous êtes déjà connecté.
Plus techniquement parlant, si un est intégrée et pointée vers la page de connexion avec la redirection d’URL modifiée, deux choses peuvent se produire. Si vous n’êtes pas connecté, cette image ne se chargera pas. Cependant, si vous êtes connecté, l’image se chargera correctement, ce qui peut être détecté assez facilement.
2]Abus de violation de la politique de sécurité du contenu pour la détection
Content-Security-Policy est une fonctionnalité de sécurité conçue pour limiter ce que le navigateur peut charger sur un site Web. Ce mécanisme peut être utilisé par Inria pour la détection de login, s’il y a des redirections entre sous-domaines sur le site cible selon que vous êtes connecté ou non. De même, un La balise peut être intégrée et dirigée vers un sous-domaine spécifique sur le site Web cible, qui pourrait être détecté si la page se charge ou non.
Bien qu’il n’y ait pas grand-chose à faire contre ces attaques invisibles, il est toujours conseillé d’utiliser un navigateur Firefox principalement parce que bien qu’il puisse être exploité, il y a eu très peu d’incidences de navigateurs Firefox piratés par ces voleurs virtuels. D’autre part, il existe toujours des solutions efficaces contre les détections de connexion Web, notamment la désactivation des cookies tiers dans votre navigateur ou l’utilisation d’extensions telles que Privacy Badger pour effectuer la tâche à votre place.
- IPleak.net
- DNSleaktest.com
- BrowserLeaks.com est un autre bon outil en ligne pour tester la sécurité de votre navigateur. Voici une liste de ses outils :
- Test de fuite DNS — Page autonome pour le test de fuite DNS.
- Conseils client — Page de test des conseils client HTTP et User-Agent.
- Test client SSL/TLS — Affiche les capacités SSL/TLS, l’empreinte digitale TLS, le test de contenu mixte.
- CSS Media Queries — Page de test Pure-CSS Media Queries.
- ClientRects Fingerprinting — Affiche la position exacte en pixels et la taille du rectangle des éléments HTML dessinés.
- Détection de connexion aux médias sociaux – Détection de connexion d’origine croisée pour la plupart des principaux réseaux sociaux.
- Ne pas suivre — Détecte la prise en charge DNT dans votre navigateur Web.
- Lecteur de ressources Firefox — Empreinte digitale « URI de ressource » de Firefox, détection de la plate-forme et des paramètres régionaux.
- Inria Browser Extension, Login-Leak Experiment Tool est à extensions.inrialpes.fr. Le test prend uniquement en charge les navigateurs Chrome, Firefox et Opera.
Maintenant lis:
