IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Conception Web Discussion :

« L'extension de navigateur "Stylish" vole votre historique internet », selon un développeur


Sujet :

Conception Web

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    9 103
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 9 103
    Points : 209 937
    Points
    209 937
    Par défaut « L'extension de navigateur "Stylish" vole votre historique internet », selon un développeur
    « L'extension de navigateur "Stylish" vole votre historique internet », selon un développeur
    qui la voit désormais comme un logiciel espion

    Stylish est une extension de navigateur open-source qui peut appliquer une feuille de style à une page web, en plus des Feuilles de Style en Cascade fournie par le site lui-même, pour customiser et personnaliser l'apparence de la page. Elle est disponible pour les navigateurs web basés sur Chromium (Google Chrome, Flock, Opera 15+) et sur Firefox, y compris sur la version Android.

    Si l’application est relativement populaire (elle compte presque deux millions d’utilisateurs uniquement sur Chrome), le développeur Robert Heaton met en garde contre cette extension.

    Nom : stylish_1.png
Affichages : 4328
Taille : 68,5 Ko

    « Avant de devenir un outil de surveillance dissimulé déguisé en extension de navigateur exceptionnelle, Stylish était vraiment une extension de navigateur exceptionnelle. Elle a donné à ses utilisateurs rien de moins que le pouvoir de changer l'apparence de l'Internet. Sa vaste banque de skins créés par les utilisateurs donnait un fond sombre aux sites Web lumineux, supprimait les modifications de l'interface utilisateur, et ajoutait des images de manga à tout ce qui n'était pas déjà une image de manga », a-t-il déclaré en guise d’introduction.

    Le développeur a reconnu avoir fait usage de l’extension lui-même : « J'ai passé de nombreuses heures merveilleuses dans son simple éditeur de CSS, cachant les parties distrayantes du web tout en étant espionné sans le savoir. Flux d’actualités Facebook - disparu. Flux d’actualités Twitter - disparu. L'historique de navigation personnelle - disparu. Qualité de vie et ennui inexpliqué - haut et bas respectivement ».

    L'extension serait devenu un logiciel espion déguisé

    Robert assure que depuis janvier 2017, Stylish a embarqué des fonctionnalités supplémentaires qui enregistrent tous les sites Web que sa grande base d’utilisateurs visitent.

    « Stylish renvoie notre activité de navigation complète à ses serveurs, avec un identifiant unique. Cela permet à son nouveau propriétaire, SimilarWeb, de connecter toutes les actions d'un individu dans un seul profil. Et pour les utilisateurs comme moi qui ont créé un compte Stylish sur userstyles.org, cet identifiant unique peut facilement être lié à un cookie de connexion. Cela signifie que non seulement SimilarWeb possède une copie de nos historiques de navigation complets, mais possède également suffisamment d'autres données pour lier théoriquement ces historiques aux adresses e-mail et aux identités réelles », a-t-il affirmé.

    Selon le développeur, cette direction a été prise après que le propriétaire et créateur original de Stylish l'a vendu en août 2016. En janvier 2017, le nouveau propriétaire l'a revendue en annonçant que « Stylish fait désormais partie de la famille SimilarWeb ». En parcourant la description promotionnelle de la famille de SimilarWeb, le développeur est tombé sur « des solutions de marché pour voir tout le trafic de vos concurrents » parmi ses intérêts déclarés.

    En quoi est-ce dangereux ?

    La politique de confidentialité de SimilarWeb indique qu'ils ne collectent que des données « non personnelles », une déclaration que le développeur suppose être techniquement vrai. Cependant, il rappelle que des incidents peuvent arriver :

    « Lorsque vous confiez involontairement vos données personnelles à une entreprise comme SimilarWeb, non seulement vous devez espérer qu'ils n'ont pas d'intentions malveillantes (en plus de celles listées sur leur page de tarification), mais en plus vous devez espérer qu'ils ont de bons contrôles d'accès aux données, c’est à dire qu’ils n’aient aucun employé malveillant et dispose d’une sécurité assez forte pour empêcher le vol de toutes leurs données (qui étaient auparavant les vôtres). Pire encore, même la mise en cache d'une liste d'URL nominalement anonymisée a d'importantes implications en termes de confidentialité et de sécurité. La désanonymisation à l'aide d'adresses IP et les spécificités de l'historique de navigation d'un utilisateur sont souvent simples. Qui pensez-vous que cette personne visitant https://www.linkedin.com/in/robertjheaton/edit pourrait être ?

    Nom : stylish_2.png
Affichages : 3651
Taille : 249,2 Ko

    « Les URL uniques sans contexte supplémentaire peuvent également être très sensibles. Par exemple, certains sites Web utilisent des URL contenant des jetons d'authentification spéciaux pour connecter automatiquement leurs utilisateurs lorsqu'ils cliquent sur un lien dans un e-mail. Lorsqu'un utilisateur clique sur un lien tel que mysocialnetwork.com/inbox?login_token=fsdj80d ... etc ..., le site utilise le long login secret de l'URL comme mot de passe alternatif et connecte l'utilisateur à son compte. C'est une pratique risquée mais parfois défendable qui repose sur des jetons de connexion qui restent secrets et inaccessibles. Cependant, comme ils font partie de l'URL, Stylish les enregistre et les envoie aux serveurs SimilarWeb. Leurs bases de données contiennent vraisemblablement des identifiants de connexion secondaires pour les comptes d'utilisateurs sur un nombre quelconque d'autres services.

    « Les URL sensibles peuvent également intervenir ailleurs. Mon fournisseur de soins médicaux en ligne me montre mes documents médicaux en utilisant des URL secrètes de 1000 caractères (générées par Amazon S3) qui expirent après une minute environ. Pour ces pages, aucune authentification de connexion au-delà de la simple connaissance de l'URL n'est requise. Toute personne ayant deviné le jeton d'authentification dans l'URL avant son expiration pourrait voir et télécharger mes documents médicaux. À mon avis, ce n'est pas la meilleure pratique de l'équipe d'ingénierie de mon fournisseur de soins médicaux en ligne. Mais le monde réel est plein de choses qui ne sont pas de bonnes pratiques, et aucun attaquant conventionnel ne sera en mesure de deviner une URL de 1000 caractères en une minute. Stylish leur facilite la vie en récoltant le tout et en l'enregistrant dans leur base de données. Maintenant, cette entreprise de publicité stupide possède également des indications sur mes dossiers médicaux. J'espère vraiment qu'ils ne seront jamais piratés.

    « Le plus souvent, de nombreux sites utilisent des jetons d'URL pour permettre aux utilisateurs de réinitialiser un mot de passe oublié. Quand un utilisateur clique sur le bouton "Mot de passe oublié?", Le site web lui envoie un email contenant un lien spécial. Ce lien pointe vers une URL longue qui ressemble à quelque chose comme mysocialnetwork.com/password-reset?reset_token=a3dJ3 ... etc .... Lorsque l'utilisateur clique dessus, le site lit le reset_token, recherche l'utilisateur correspondant, et lui permet de réinitialiser son mot de passe en toute sécurité. Cependant, si un attaquant était capable d'intercepter ces URL et de terminer le processus de réinitialisation de mot de passe avant l'utilisateur réel, il aurait un contrôle total sur le compte. Une fois de plus, Stylish remonte ces URL de réinitialisation de mot de passe, prenant en charge la confidentialité et la sécurité de ses utilisateurs ».

    Source : billet du développeur

    Et vous ?

    Utilisez-vous Stylish ? Qu'en pensez-vous ?
    Partagez-vous le point de vue de Robert, qui estime que cette extension est devenue un logiciel espion, ou avez vous une opinion plus modérée ?
    Quelles alternatives pourraient-être, selon-vous, plus intéressantes ?

    Voir aussi :

    Red Shell : les développeurs de jeux suppriment cet outil d'analyse marketing assimilé à un spyware par la communauté des joueurs
    Google met un terme à l'installation des extensions Chrome à partir de sites web autres que sa boutique d'applications en ligne
    Des chercheurs de Kaspersky découvrent de façon fortuite le spyware ultrasophistiqué Slingshot, qui a réussi à échapper à toute détection depuis 2012
    Microsoft améliore les capacités défensives de Windows Defender et Office 365 avec des techniques de détection du spyware gouvernemental FinFisher
    HP : accusée d'avoir déployé un spyware dans une récente mise à jour sur Windows 10 à l'insu des utilisateurs, l'entreprise s'explique

  2. #2
    Expert confirmé
    Avatar de Doksuri
    Profil pro
    Développeur Web
    Inscrit en
    Juin 2006
    Messages
    2 480
    Détails du profil
    Informations personnelles :
    Âge : 54
    Localisation : France

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : Juin 2006
    Messages : 2 480
    Points : 4 693
    Points
    4 693
    Par défaut
    je ne connaissais meme pas cette extension.

    les devs honnetes se font de plus en plus rares...

    faut pas se leurrer, c'est pareil pour tout. (meme les OS)
    sans rien faire, en ecoutant le reseau, il y a tellement de data qui transfere....

    avant, on lancait le soft, puis on le coupait, point.
    maintenant, on coupe l'appli, ca continue de vivre en background pour avoir toujours des infos fraiches...

    a vouloir toujours etre connecte...

  3. #3
    Membre émérite Avatar de onilink_
    Profil pro
    Inscrit en
    Juillet 2010
    Messages
    610
    Détails du profil
    Informations personnelles :
    Âge : 33
    Localisation : France

    Informations forums :
    Inscription : Juillet 2010
    Messages : 610
    Points : 2 497
    Points
    2 497
    Par défaut
    C'est fou ça, a chaque fois qu'un truc fonctionne bien y a anguille sous roche.
    Je vais devoir trouver une alternative, c'est un des rares trucs efficaces que j'avais trouvé pour naviguer sur un web "sombre" pour pas fatiguer mes yeux (y a même un thème pour developpez.net).

    Edit:
    Cet envoie de données s'applique-t-il quand on a désactivé cette option? (coché par défaut)



    https://userstyles.org/login/policy

    OPT OUT RIGHT

    You may opt out of the automatic collection and sharing of Non-Personal Information described above as follows:

    For the Stylish browser extension:

    Right click on the extension icon, select 'Options', and uncheck the box that says "Send anonymous data to Stylish developers". Note that once you opt out, part of the Services provided by the Stylish browser extension will no longer be available, meaning 1) install count won't be saved; and 2) "Suggested Web Styles" won't be available in the browser extension interface.
    Edit2:
    Bon, viré et je teste stylus, qui se veut un équivalent sans vol d'url. On verra ce que ça donne, mais déjà les thèmes ont pas l'air de courir les rues pour le moment.

    Edit3:
    Ah ben en fait c'est carrément compatible avec les styles stylish. Nickel.

  4. #4
    Membre extrêmement actif
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Octobre 2017
    Messages
    2 021
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Octobre 2017
    Messages : 2 021
    Points : 6 322
    Points
    6 322
    Par défaut
    Citation Envoyé par onilink_ Voir le message

    Edit2:
    Bon, viré et je teste stylus, qui se veut un équivalent sans vol d'url. On verra ce que ça donne, mais déjà les thèmes ont pas l'air de courir les rues pour le moment.

    Edit3:
    Ah ben en fait c'est carrément compatible avec les styles stylish. Nickel.
    A en profiter jusqu'à la prochaine news qui annoncera que ta solution a les même pratique que stylish...

  5. #5
    Membre du Club Avatar de Xinsura
    Homme Profil pro
    Inscrit en
    Décembre 2012
    Messages
    25
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Belgique

    Informations forums :
    Inscription : Décembre 2012
    Messages : 25
    Points : 53
    Points
    53
    Par défaut
    @onilink_ il me semble qu'il est même possible d'ajouter du code CSS dirrectement dans le fichier userChrome.css de Firefox, pour chaque page web. Et tout ceci, sans passer par une extension. J'en utilise un pour une application web au boulot, qui a un frontend pas très ergonomique.

  6. #6
    Membre émérite Avatar de onilink_
    Profil pro
    Inscrit en
    Juillet 2010
    Messages
    610
    Détails du profil
    Informations personnelles :
    Âge : 33
    Localisation : France

    Informations forums :
    Inscription : Juillet 2010
    Messages : 610
    Points : 2 497
    Points
    2 497
    Par défaut
    @Xinsura
    Il faudra que je regarde ça, cela serait très intéressant vu que j'utilise des styles que sur une 10 aine de sites a tout casser.

    Citation Envoyé par Anselme45 Voir le message
    A en profiter jusqu'à la prochaine news qui annoncera que ta solution a les même pratique que stylish...
    Oui bon A ce compte la on utilise plus rien Enfin j'espère qu'il retournera pas sa veste oui, surtout qu'a part ne plus utiliser un outil y a pas vraiment de moyen pour faire pression a ce genre de pratique.

  7. #7
    Chroniqueur Actualités
    Avatar de Patrick Ruiz
    Homme Profil pro
    Redacteur web
    Inscrit en
    Février 2017
    Messages
    2 122
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Redacteur web
    Secteur : Communication - Médias

    Informations forums :
    Inscription : Février 2017
    Messages : 2 122
    Points : 57 026
    Points
    57 026
    Par défaut Google et Mozilla éjectent l’extension Stylish des boutiques d’applications de leurs navigateurs
    Google et Mozilla éjectent l’extension Stylish des stores de leurs navigateurs
    Après les révélations concernant ses fonctionnalités de spyware

    Les internautes qui se sont lancés à la recherche d’outils leur permettant de changer l’apparence d’Internet ont certainement entendu parler de Stylish. Il s’agit d’une extension de navigateur open-source qui peut appliquer une feuille de style à une page web, en plus de celles dites en cascade fournies par le site lui-même, pour la personnaliser en apparence. L’additif disponible pour les navigateurs Google Chrome et Firefox a été éjecté des stores respectifs de ces navigateurs il y a peu.

    « Nous avons décidé de bloquer l’extension en raison de la violation de certaines prescriptions au sein de notre politique de gestion des données », écrit Andreas Wagner de Mozilla. Chez Google, pas d’explication, mais la mort du lien, qui menait vers la page de téléchargement du plug-in en dit long.

    Nom : stylish.png
Affichages : 3686
Taille : 651,7 Ko
    Une modification d'apparence réalisée avec Stylish

    Chez Mozilla, l’éjection de l’extension fait suite à une requête formulée par un utilisateur sur la liste de diffusion de bogues du navigateur open source. La demande s’appuyait sur le billet de blog détaillé de Robert Heaton à propos de l’additif. Dans sa publication, le développeur revient sur la spirale descendante du plug-in qui a débuté en août 2016 avec le rachat par un autre développeur, qui a ensuite revendu l’appli à Similarweb – une firme spécialisée en analytique du web. L’identité de l’acheteur suscitait déjà des craintes quant à l’avenir de l’extension et la journée de lundi est venue les confirmer. C’est en effet ce jour que Robert Heaton a publié des captures d’écran illustrant comment l’extension collectait l’historique de navigation des utilisateurs et l’envoyait sur les serveurs de Similarweb.

    Nom : tosimilar.png
Affichages : 3184
Taille : 593,5 Ko

    En 2016, juste après la finalisation de la première vente de l’extension, Justin Hindman – le nouveau propriétaire – a annoncé son intention de s’associer à Similarweb pour le partage de données anonymisées. La décision a soulevé un vent de panique au sein des utilisateurs et a bien évidemment fait l’objet de nombreuses critiques. Stylish n’en est donc pas à son premier scandale et il semble bien que ce soit l’estocade finale avec l’éviction des plateformes des principaux navigateurs.

    Quelles alternatives alors ? Les habitués à Stylish ne devraient pas être très dépaysés avec Stylus. Il s’agit d’un projet porté par la communauté de l’open source – un fork de Stylish. Il a pris corps lorsque les rumeurs du rachat de l’extension par Similarweb ont fait surface en janvier 2017.

    Source : Mozilla

    Et vous ?

    Faites-vous encore usage de Stylish ? Quel retour pouvez vous en faire ?

    Quelles autres alternatives fiables pouvez-vous conseiller ?

    Voir aussi :

    Red Shell : les développeurs de jeux suppriment cet outil d'analyse marketing assimilé à un spyware par la communauté des joueurs
    Google met un terme à l'installation des extensions Chrome à partir de sites web autres que sa boutique d'applications en ligne
    Des chercheurs de Kaspersky découvrent de façon fortuite le spyware ultrasophistiqué Slingshot, qui a réussi à échapper à toute détection depuis 2012
    Microsoft améliore les capacités défensives de Windows Defender et Office 365 avec des techniques de détection du spyware gouvernemental FinFisher
    HP : accusée d'avoir déployé un spyware dans une récente mise à jour sur Windows 10 à l'insu des utilisateurs, l'entreprise s'explique

  8. #8
    Membre éprouvé Avatar de 4sStylZ
    Homme Profil pro
    Null
    Inscrit en
    Novembre 2011
    Messages
    314
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Ain (Rhône Alpes)

    Informations professionnelles :
    Activité : Null
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Novembre 2011
    Messages : 314
    Points : 1 057
    Points
    1 057
    Par défaut
    Stylus est open source, j’ai migré vers lui et il permet d’exploiter les feuilles de styles hebérgées sur le même site web (dont les miennes) donc c’est parfait comme ça.

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo