Big Browser &Co
- Anmelden oder Registrieren um Kommentare zu schreiben
Salut,
juste pour vous faire part d'une réflexion sur firefox et sur le logiciel dit libre en général
Quand on voit la complexité croissante de Firefox et le partenariat entre Mozilla et Google, je me demande pourquoi Firefox reste le navigateur mis en avant quand on parle de vie privée. En fait quand on dit firme pour moi, on a tout dit, leur but principal c'est de faire du fric et les problèmes de vie privée des utilisateurs clairement arrivent après, il y a qu'à voir les préférences par défaut du navigateur. Bref il y a pour moi un gros problème de confiance dans cette application qui est pourtant le navigateur le plus répandu sous Linux.
Après il y a des extensions qui sont censées corriger les vices de firefox. Mais si on regarde l'extension Privacy Settings par exemple, il y a un présupposé que Mozilla est une gentille organisation qui fait partie du monde merveilleux du libre (les gentils) en qui on peut avoir confiance pour regarder quels logiciels on télécharge (browser.safebrowsing.downloads.enabled activé par défaut) alors que leur ami Google lui est un peu plus méchant. D'ailleurs je remarque que l'extension s'appelle Privacy Settings mais qu'elle se préoccupe autant de notre vie privée que de notre "sécurité", bizarre... Pour ce qui est d'Icecat, dérivé de firefox, c'est pareil je n'ai aucune confiance dans le dénommé Narcis Garcia, le type qui annonce les sorties des différentes versions mais qui devient sourd et même rétif quand on lui dit qu'il y a un problème à utiliser les "services" Google alors qu'Icecat est censé justement nous aider à protéger notre vie privée un peu mieux.
Alors est-ce que ça vaut vraiment le coup de passer des heures à essayer de configurer des applications qui de toute façon nous considèrent comme des produits ("si c'est gratuit, c'est toi le produit") ? Et pourquoi Google reste encore fréquentable dans le milieu du logiciel "libre"* sachant tout ce qu'il représente de néfaste en terme de centralisation, logiciel privatif, surveillance de masse, machine à fric, etc. Pour donner des exemples : partenariat Firefox/Google, Tor Browser qui participe au Google Summer of code (https://www.torproject.org/about/gsoc.html.en), silence et donc complicité de la Free Software Foundation quand le site gnu.org publie Icecat avec tous ses réglages par défaut, et alimente donc la base de données de Google et la NSA au passage. Mais dis-moi, qui donne des bons sousous à la Free Software Foundation Europe ?
-> https://opensource.google.com/community/affiliations/
Alors est-ce qu'il y a pas un peu qqchose de pourri dans le monde du "logiciel libre" ?
j'ai dejà ma petite idée...
~~~~~
* note bien que c'est le logiciel qui est libre, pas toi
Ai-je envie de troller ? Allez, un petit peu...
le navigateur le plus répandu sous Linux
Sur GNU/Linux. Pas sous Linux.
si on regarde l'extension Privacy Settings
... qui n'est pas écrite par Mozilla : http://firefox.add0n.com/privacy-settings.html
Icecat, dérivé de firefox, c'est pareil
Non : une configuration par défaut différente (notamment pour plus de vie privée), pas de DRM, LibreJS installé, etc.
je n'ai aucune confiance dans le dénommé Narcis Garcia
Je n'ai jamais entendu parlé de lui. Une chose est sûre : il n'est pas le mainteneur d'IceCat puisqu'il s'agit de Ruben Rodriguez (aussi développeur principal de Trisquel), qui semble bien seul sur le projet IceCat : https://git.savannah.gnu.org/cgit/gnuzilla.git/log/
si c'est gratuit, c'est toi le produit
La plupart des logiciels libres sont gratuits. Tu n'en es pas le produit.
Et pourquoi Google reste encore fréquentable dans le milieu du logiciel "libre"*
Le mouvement critique fortement Google pour ce qu'il fait de mal. On peut critiquer le mal et louer le bien réalisé par une une même entreprise. C'est même une excellente stratégie si l'on veut l'inciter à continuer à faire ce qu'elle fait de bien et à arrêter de faire ce qu'elle fait de mal.
* note bien que c'est le logiciel qui est libre, pas toi
Si, c'est toi. Par définition du logiciel libre :
Logiciel libre » désigne des logiciels qui respectent la liberté des utilisateurs. En gros, cela veut dire que les utilisateurs ont la liberté d'exécuter, copier, distribuer, étudier, modifier et améliorer ces logiciels. (...) Nous faisons campagne pour ces libertés parce que chacun les mérite. Avec ces libertés, les utilisateurs (à la fois individuellement et collectivement) contrôlent le programme et ce qu'il fait pour eux. Quand les utilisateurs ne contrôlent pas le programme, nous qualifions ce dernier de « non libre », ou « privateur ». Ce programme non libre contrôle les utilisateurs et son développeur le contrôle. Le programme devient donc l'instrument d'un pouvoir injuste.
https://www.gnu.org/philosophy/free-sw.fr.html
tout ce qu'il représente de néfaste en terme de centralisation, logiciel privatif, surveillance de masse, machine à fric
Ça, c'est mal : le mouvement critique Google pour tout cela.
partenariat Firefox/Google
... qui paie des développeurs pour améliorer du logiciel libre : bien.
Tor Browser qui participe au Google Summer of code
... ce qui paie des étudiants pour améliorer du logiciel libre, sans aucune contrepartie : bien.
gnu.org publie Icecat avec tous ses réglages par défaut, et alimente donc la base de données de Google et la NSA au passage.
Référence ?
qui donne des bons sousous à la Free Software Foundation Europe ?
-> https://opensource.google.com/community/affiliations/
Des sous pour la fondation qui lutte pour nos libertés dans le monde numérique, sans aucune contrepartie : bien.
Avec ton raisonnement et le même lien tu devrais trouver les 29 fondation listées "infréquentables" (Apache, Linux, GNOME, KDE, Python, Standard C++, etc.).
Je me suis intéressé à Brave tantôt et j'ai lu ce post en anglais.
https://trisquel.info/en/forum/brave-browser
grimlok a une approche similaire de Brave :
"The fact that it's based off of Google's Chrummium Browser is enough for me to stay away."
On oubliera ceci :
Chromium est un navigateur Web en partie libre qui sert de base aux navigateurs Web propriétaires Google Chrome et d'autres (voir plus bas).
https://fr.wikipedia.org/wiki/Chromium_(navigateur_web)
D'une certaine manière, dès la création du projet GNU, comme le code était déjà libre, il était déjà disponible pour ces grosses entreprises comme il l'était déjà pour les utilisateurs.
Ils peuvent effectivement se servir de ce code pour en faire des lociciels privatifs. Le code se comprend, sa structure aussi et on voit par conséquent ce qu'il fait ou pas et comment. Pas les exécutables.
Ces entreprises ont tout intérêt à contribuer pour que le libre évolue sans que l'ensemble du mouvement du libre ne fasse une seule concession sur leurs libertés.
Je lisais un récent entretien de RMS qui revenait sur le principe "Liberté égalté fraternité" du logiciel libre.
https://usbeketrica.com/article/le-telephone-portable-c-est-le-reve-de-staline-devenu-realite
RMS a ses conseillers en communication et je ne suis pas forcément d'accord sur cette idée qu'il réserve surtout à ses entretiens ou interventions en France.
Stallman ne vit pas en France et les libristes peuvent avoir une conception très différente quand on évoque ces idées. Et ce ne sont pas forcément celles de Stallman.
En tant que membre associatif pour la promotion du libre et donc exposé au public, ça m'oblige à connaître ce discours.
Je préfère dire que le logiciel libre est et reste ce que l'informatique a toujours été et ce qu'elle aurait du rester : un développement scientifique qui a une nature universelle. Les consommateurs achètent des produits informatique. Pour ma part, j'ai conscience de participer à une recherche car je développe mes connaîssances en la matière quand je l'utilise et je peux aussi contribuer.
Monsanto ne fait pas de la science, il fait avant toute chose des produits pour que l'on en soit esclave.
Le Libre voit ce qui se passe dans le monde informatique, mais revient aux bases du code pour faire quelque chose de plus simple.
Mais Monsanto aura toujours besoin des plants 100% naturels pour mener ses recherches.
Tout comme ces grandes companies ont besoin du libre.
Et nous n'hésitons pas à les charrier quand elles pompent chez nous. C'est bien légitime.
Ceci dit, la licence de Brave semble compatible avec la GPL (MPL v2, mais si quelqu'un a d'autres infos sur Brave...)
D'une certaine manière, dès la création du projet GNU, comme le code était déjà libre, il était déjà disponible pour ces grosses entreprises comme il l'était déjà pour les utilisateurs. Ils peuvent effectivement se servir de ce code pour en faire des logiciels privatifs.
Ce n'est pas vrai pour l'immense majorité du projet GNU et pour une très grande partie des logiciels libres, tous ceux distribués selon les termes d'une licence copyleftée, comme la licence GNU GPL. Vois https://www.gnu.org/licenses/copyleft.fr.html
Ces entreprises ont tout intérêt à contribuer pour que le libre évolue sans que l'ensemble du mouvement du libre ne fasse une seule concession sur leurs libertés.
Ce n'est malheureusement pas toujours vrai : le copyleft est une stratégie importante qu'il nous faut toujours défendre et promouvoir. Il y a même d'énormes efforts pour écrire des programmes alternatifs à ceux copyleftés. Par exemple, Apple met beaucoup d'argent dans le développement de LLVM, et non de GCC, parce que LLVM, contrairement à GCC, n'est pas copylefté : les extensions privatrices sont autorisées. Il y a des tas d'autres exemples : le code libre dans les logiciels populaires non copyleftés se retrouve bien vite dans du logiciel privateur (IBM HTTP Server, basé sur Apache, est un autre exemple).
RMS a ses conseillers en communication
Référence ? Il m'étonnerait beaucoup que RMS ait un "conseiller en communication" attitré.
Je préfère dire que le logiciel libre est et reste ce que l'informatique a toujours été et ce qu'elle aurait du rester : un développement scientifique qui a une nature universelle.
Ce que le logiciel libre "a toujours été" est un mouvement éthique, politique et social. RMS a créé le mouvement pour le logiciel libre. Dès 1983, RMS expliquait dans le manifeste GNU (à 30 ans, ses idées n'étaient néanmoins pas aussi claires et abouties qu'aujourd'hui) "pourquoi [il] doi[t] écrire GNU" :
Si j'apprécie un programme, j'estime que la Règle d'or m'oblige à le partager avec ceux qui l'apprécient également. Les éditeurs de logiciel cherchent à diviser et à conquérir les utilisateurs en forçant chacun à accepter de ne pas partager avec les autres. Je refuse de rompre la solidarité avec les autres utilisateurs de cette manière. Je ne peux pas, en mon âme et conscience, signer un accord de non-divulgation ou de licence pour un logiciel. Pendant des années, j'ai œuvré au sein du laboratoire d'intelligence artificielle du MIT pour résister à ces tendances et à d'autres manquements à l'hospitalité, mais finalement ils sont allés trop loin : je ne pouvais pas rester dans une institution où ce genre de choses étaient faites en mon nom contre ma volonté.
Afin de pouvoir continuer à utiliser les ordinateurs en accord avec ma conscience, j'ai décidé de réunir un ensemble de logiciels libres avec lequel je pourrai me débrouiller sans aucun logiciel non libre. J'ai démissionné du labo d'intelligence artificielle pour que le MIT ne puisse invoquer aucune excuse juridique pour m'empêcher de distribuer GNU gratuitement.
https://www.gnu.org/gnu/manifesto.fr.html
Mais Monsanto aura toujours besoin des plants 100% naturels pour mener ses recherches. Tout comme ces grandes companies ont besoin du libre.
Je déteste probablement autant que toi Monsanto et les logiciels privateurs. Mais ton analogie ne tient pas. Le logiciel libre ne se trouve pas dans la nature. Et pour qu'un logiciel soit libre, ses développeurs se doivent seulement de choisir de le distribuer selon les termes d'une licence libre. Ça ne dépend absolument pas de ce que le logiciel fait. Un même code peut être libre ou privateur. Il peut même être les deux (successivement ou en même temps, via le système des licences doubles). Les grandes firmes peuvent se passer du logiciels libres. Elles ne font qu'en profiter : pourquoi se priveraient-elle du travail gratuit des développeurs qui ne choisissent pas une licence copyleftée ?
RMS a ses conseillers en communication
Référence ? Il m'étonnerait beaucoup que RMS ait un "conseiller en communication" attitré.
Je ne prends pas de risques en disant que je confirme, ou alors ils sont très mauvais, vu certaines sorties de rms...
Magic Banana tu peux me dire où commence ton troll et où il s'arrête parce que c'est pas très clair ...
Ou sinon t'aurais pas envie de pas troller du tout plutôt, ça serait plus simple pour tout le monde quoi, plutôt la clarté que l'obscurité non ?
Parce que là tu donnes plutôt l'impression de donner des arguments "rationnels".
Quand c'est des acteurs de la politique qui se laissent financer par des lobbys, des grosses entreprises, on appelle ça de la corruption. Enfin, quand ça dépasse un certain cadre légal, et même comme ça tout le monde voit que c'est ce genre de rapports politique/affairistes qui pourrit tout et crée une oligarchie, et c'est le but recherché. Personnellement je pense que toutes les lois sont mauvaises de toute façon, et qu'elles sont là pour nous voler notre liberté au profit de l'Etat et des libéraux (au sens large, classe moyenne comprise).
Et donc quand c'est des acteurs du libre c'est juste "bien" alors ? .....
-----
Sinon pour Brave, je connaissais pas mais effectivement à partir du moment où le truc est basé sur Chromium ça ne me donne pas trop envie d'aller voir plus loin.
Je pense qu'il faudrait un peu "repartir de zéro" pour faire un bon navigateur. Mais si d'autres connaissent d'autres alternatives, allez y... Un moment je m'étais intéressé aux navigateurs qui tournent dans un terminal. C'est pas mal, ça peut dépanner mais ça a des limites quand même.
Quand c'est des acteurs de la politique qui se laissent financer par des lobbys, des grosses entreprises, on appelle ça de la corruption. Enfin, quand ça dépasse un certain cadre légal, et même comme ça tout le monde voit que c'est ce genre de rapports politique/affairistes qui pourrit tout et crée une oligarchie, et c'est le but recherché.
Avec le logiciel libre, le fork est toujours possible si les développeurs (corrompus ou pour quelque autre raison) ne suivent pas la volonté des utilisateurs (ou d'un groupe d'utilisateurs). Les forks de Firefox listés dans ce fil (IceCat, Tor Browser, Brave, et il y en a des tas d'autres) en sont la preuve : le logiciel libre est la solution contre la corruption dans le domaine du développement logiciel : le contrôle ultime est réellement dans les mains de la communauté, pas d'une oligarchie d'éditeurs.
Personnellement je pense que toutes les lois sont mauvaises de toute façon, et qu'elles sont là pour nous voler notre liberté au profit de l'Etat et des libéraux (au sens large, classe moyenne comprise).
Les lois doivent protéger les faibles des forts. L'absence de loi c'est la loi de la jungle : la loi des forts, d'une oligarchie.
Les forks de Firefox listés dans ce fil (IceCat, Tor Browser, Brave, et il y en a des tas d'autres) en sont la preuve
Non justement pour moi c'est une preuve du contraire, ou plutôt une preuve que les principes du logiciel dit libre ne sont pas suffisants en eux-mêmes. Je suis utilisateur de ces logiciels et aucun ne me satisfait. Quand je les ouvre, que je tape "about:config" dans la barre d'adresse et que je cherche "google", je trouve toujours un "service" safebrowsing de google activé par défaut. Ils font appel à des "services" d'une firme dont tout le monde sait maintenant qu'elle ne respecte absolument pas la vie privée ses utilisateurs. Tout ça sans me prévenir et sans me demander mon autorisation. Il y a donc un gros problème. Alors plutôt que de me faire chier et d'ergoter comme tu le fais, j'aimerais plutôt trouver d'autres utilisateurs pour se mettre de mon côté et essayer de changer les choses, ce qui n'a pas l'air d'être ta motivation première jusqu'ici. Tu dis qu'il y a plein d'alternatives encore, très bien, alors pourquoi tu te contentes pas de m'en donner une seule pour commencer ??
Les lois doivent protéger les faibles des forts. L'absence de loi c'est la loi de la jungle : la loi des forts, d'une oligarchie.
C'est qui les faibles et les forts pour toi exactement ? J'ai l'impression que tu récites ta leçon, la même litanie entendue mille fois dans les médias (radio, tv, journaux vendus en kioque). Est-ce que toi tu es fort ou faible ? Et moi je suis fort ou faible ? Non parce que moi-même ennemi des lois, anarchiste, je suis persécuté par les lois et les forces de répression si par exemple je veux m'installer sur un petit lopin de terre sans demander une autorisation de l'Etat. Au contraire, une personne riche (un fort donc?) pourra s'acheter à peu près tout ce qu'elle veut pour peu qu'elle reconnaisse l'autorité de l'Etat. Un exemple qui contredit totalement ce que tu racontes. La loi protège le "fort" et écrase le "faible". A moins que tu considères que les riches sont les faibles je sais pas ?
La "loi de la jungle" n'existe que pour les animaux, elle ne concerne pas les êtres humains. Ce qui se rapproche le plus de l'animalité humaine, c'est le libéralisme justement, la loi du fric, tempérée hypocritement plus ou moins par la loi.
Je ne débats pas avec ceux qui usent d'insultes plutôt que d'arguments. Je ne ferais que remarquer que les libéralistes passent leur temps à demander la dérégulation, certainement pas plus de lois.
Oui effectivement, j'aimerais bien que tu arrêtes de débattre avec moi. Je n'ai pas utilisé d'insultes, ou alors il va falloir me les montrer, ça prouve encore une fois ta malhonnêteté. Une vérité désagréable à entendre n'est pas une insulte, c'est juste une vérité désagréable à entendre. Tu es venu ici avec des mauvaises intentions, celle de troller, ce qui devrait suffir à te discréditer. Apparemment certaines personnes pensent pouvoir avoir des privilèges quand elles sont installées quelque part, c'est une attitude que je combats. Si tu veux débattre avec d'autres personnes, libre à toi de créer une nouvelle discussion sur le sujet, personnellement je vais ignorer tes interventions maintenant.
Oui aussi pour Magic Banana : tu donnes l'impression de faire une réponse "point par point" qui me contredirait alors que ça ne contredit rien de ce que je dis et que ça apporte pas grand chose concrètement à la réflexion initiale (je parle des 4-5 premiers points là). Hors sujet comme disent les profs (comme toi non?).
J'ai répondu point par point, oui. Et je contredis à peu près tout. En particulier l'attitude conspirationniste qui consiste à condamner un mouvement ou une personne ou une entreprise (ou ...) dans son entièreté parce qu'il ou elle fait une chose mal ou même par association (bidule fréquente machin qui reçoit de l'argent truc, qui fait quelque chose de mal).
Tu n'as répondu à rien du tout. Je pense que tu es une personne malhonnête en vérité, et que tu as décidé au minimum de me faire perdre mon temps et même d'embrouiller les personnes qui vont lire cette discussion. Tu commences ton messages par dire que tu vas "troller" et maintenant au contraire tu me dis que tu as répondu sérieusement et point par point à ce que j'affirme, ce qui est d'ailleurs totalement faux. Si besoin, je peux les reprendre un par par un... Donc si tu as rien à dire sur le sujet de cette discussion, ou si tu as décidé de troller, il y a une section dédiée sur ce forum et tu devrais aller y faire un tour pour te lâcher si tu veux, mais viens pas pourrir celle-ci. Le fait que tu sois un membre actif de ce forum ou que tu donnes des conseils techniques ne te donnes aucun privilège là-dessus. Donc va jouer ailleurs et arrête de me faire perdre mon temps.
J'ai "trollé" dans le sens où j'ai répondu à un troll. Quelqu'un qui vient sur le forum Trisquel avec des arguments fallacieux affirmer que le logiciel libre est "pourri". Je démonte ses faux arguments dans mon premier post, il prétend que non (rien de plus), et il commence à user d'insultes. Un troll typique en somme.
Non tu as trollé dans le sens où tu as trollé.
Apparemment tu ne peux pas t'arrêter de mentir et d'essayer de manipuler. Je n'ai pas dit que le logiciel dit libre était pourri, j'ai dit qu'il y avait quelque chose de pourri, chose que j'ai assez bien décrite je crois, ce qui ne signifie pas la même chose. Tu n'as rien démonté du tout, peut-être je prendrai le temps plus tard de répondre à ce troll puisque c'est ça, et ça sera la dernière fois que je te ferai cet honneur. Tu as raison de commencer à parler de moi à la troisième personne.
Le code source est malgré tout libre. Tor Browser est basé dessus, et c'est probablement ce qu'il y a de plus fiable.
Donc je ne suis pas d'accord avec ton raisonnement : Utiliser le code libre de Google et enlever tout ce qui est trop louche est une démarche cohérente.
Après, Mozilla, Canonical, même raisonnement.
Il paraît que malgré quelques trucs intégrés, mais inutilisables sous GNULinux, Firefox sur Debian serait parfaitement acceptable.
Abrowser : il y a eu de sérieux retards pour les mises à jour de sécurité il n'y a pas si longtemps, il me semble il y a encore plus longtemps que le DNS de Google était activé par défaut (ce n'est plus le cas non plus).
Si Abrowser a un (autre) souci, indépendamment de ton sentiment de "ras-le-bol" (que je comprends, vu le temps que je passe là-dessus), le mieux c'est de l'indiquer à qui de droit (Ruben Rodriguez à ma connaissance, je n'ai jamais entendu parler de Narcis Garcia) pour corriger le problème à la source.
"Si c'est gratuit, c'est toi le produit" ne s'applique pas quand tu peux ausculter le code source, et que tu utilises une instance décentralisée.
Par contre ça s'applique très bien aux services gratuits type Gougueul et faicebouque.
Enfin, gratuits à condition d'alimenter régulièrement ces nuages qui n'en finissent pas d'enfler. Mais bon, c'est du fichage ludique, alors ça passe. J'ai beau avoir l'impression de réciter ma leçon, je ne me vois pas utiliser ce type de services pour un usage privé.
EDIT:
Il y a (comme cité plus haut) des alternatives à Firefox et ses dérivés, plus ou moins abouties (surtout moins, selon moi, mais je ne maîtrise pas le sujet).
Parfois très (trop ?) minimalistes, pas aussi flexibles quand on veut bidouiller un peu sans être un expert, etc...
Abrowser : il y a eu de sérieux retards pour les mises à jour de sécurité il n’y a pas si longtemps, il me semble il y a encore plus longtemps que le DNS de Google était activé par défaut (ce n’est plus le cas non plus).
Anéfé. Aujourd’hui nous avons Abrowser qui est basé sur la toute dernière version de Firefox (53.0.3) et les serveurs DNS de Google (un bogue corrigé dès que découvert) ne sont qu’un mauvais souvenir.
Je sais pas, on est sur une distribution qui est censée être un peu plus orientée grand public, c'est pour ça qu'elle me plaît d'ailleurs. Alors je vois pas pourquoi on est obligé de se prendre la tête pour configurer le navigateur juste pour avoir le minimum, respecter la vie privée des utilisateurs ça devrait être le minimum pour moi.
Ils ont une version spéciale de Firefox sous Debian ? j'étais pas au courant
Après pour l'expression "Si c'est gratuit, c'est toi le produit", je l'utilise parce que j'ai le sentiment que Mozilla se comporte vraiment comme une entreprise, même si le statut est pas très clair au final. Début de l'article sur Wikipédia :
"Mozilla désigne avant tout la Fondation Mozilla, qui a déposé la marque Mozilla en 2006. Cette fondation à but non lucratif est guidée par le manifeste Mozilla, qui tâche de préserver le choix et l’innovation sur internet."
Fondation à but non lucratif, mais c'est quand même un marque quoi, et j'ai l'impression que c'est vraiment géré comme une entreprise, et ils doivent avoir des salariés.
Fondation à but non lucratif, mais c'est quand même un marque quoi
Et alors ? Debian est une marque déposée, CentOS est une marque déposée, LibreOffice est une marque déposée, Linux est une marque déposée, etc.
Le droit des marques n'est pas mauvais. La marque aide le consommateur à distinguer un produit/service d'un autre.
Ces généralités étant dites, la politique autour des marques de Mozilla pose réellement problème, à cause de ça :
"If you want to distribute the unchanged official binaries using the Mozilla Marks, you may do so, without receiving any further permission from Mozilla, as long as you comply with this Trademark Policy and you distribute them without charge."
https://www.mozilla.org/en-US/foundation/trademarks/policy/
La liberté 2 inclut la vente et demander de changer les noms et logos pour une redistribution *exacte* (la marque ne distingue rien) n'est pas proportionné : n'importe quel utilisateur (y compris non programmeur) devrait toujours pouvoir exercer la liberté 2. Les dérivés de Firefox, comme Abrowser et Icecat, ne posent pas ce problème.
On est d'accord sur le principe.
*non, c'est un Firefox standard cette fois, c'est juste que les trucs type DRM ou Pocket ne marchent pas sur GNULinux, donc c'est respectueux de la vie privée.
Je pense qu'il ne faut prendre aucun logiciel pour argent comptant (même si c'est souvent gratos :P ). Je ne suis pas d'accord avec certaines de leurs décisions, mais dans l'ensemble je le suis (d'accord).
Je ne suis pas sûr de comprendre en quoi tu considère qu'avoir des salariés est un problème.
Tant que le but reste de faire du meilleur logiciel libre et que quelques uns gagnent leur vie avec, ça me paraît réglo.
parce que le but d'une entreprise normalement c'est de faire de l'argent, alors si l'entreprise te fournit son produit gratuitement, tu dois commencer à te poser des questions
Pas nécessairement. Tant que le code source est dispo, difficile de mettre en difficulté ses utilisateurs dans le temps.
Prends Ardour, par exemple.
Dans le cas des paiements Google (et autres) à Mozilla, c'est pour avoir son moteur de recherche par défaut dans Firefox. Cela se change en littéralement trois clics et les dérivés comme Abrowser, Icecat et Tor Browser ne se gênent pas de le faire (ils ont tous trois DuckDuckGo par défaut si je ne m'abuse).
Après pour les alternatives, j'ai cherché sur cette page :
https://en.wikipedia.org/wiki/Comparison_of_lightweight_web_browsers
et ce que j'ai trouvé de mieux dans l'esprit c'est ça :
http://www.dillo.org/
C'est pas encore abouti, il gère pas le https par exemple. Par contre dans leurs objectifs ils ont ça qui me plait bien :
"Unless explicitly commanded by the user, Dillo will not silently send any personal data as default behaviour."
Pas de données personnelles envoyées par défaut, ça va mieux en le disant ...
Ma démarche, avec ma petite expérience, est la suivante :
Trisquel est l'OS le plus facile d'accès et respectueux de la vie privée.
Mais ce n'est pas parfait.
TOR Browser est vraiment solide, c'est clairement ce qu'il y a de mieux pour des recherches assez personnelles.
Pour autant, le risque zéro n'existe pas.
Et puis, il faut que ça reste utilisable (trop de sécurité rend le PC inutilisable).
Bref, dans la pratique, je vais voir si je trouve la même erreur/redirection vers Google, et tâcher de le faire corriger en amont.
ouais Tor Browser c'est ce qui se fait de mieux normalement dans le principe. Ils ont l'air sérieux, j'ai déjà fait un rapport de bug et il y a eu tout de suite qq'un pour le corriger. Le problème c'est leur rapport avec Google comme je l'ai expliqué plus haut et aussi je sais pas à quel point c'est infiltré par les agences gouvernementales. J'ai l'impression qu'il y a pas mal de noeuds du réseau qui sont gérés par des agences et si c'est le cas ça détruit totalement la protection des utilisateurs type lanceurs d'alerte ou dissidents politiques (enfin comme moi quoi).
Merci de t'intéresser au pb en tout cas, et tiens nous au courant de la suite :)
Pour moi, cette collusion supposée avec Google (summer of code par exemple) n'est en rien un problème.
Pour cette histoire de service safebrowsing activé de Google, c'est effectivement ennuyeux.
Mais es-ce que ce service ne suppose pas le fait d'utiliser Google en tant que moteur de recherche ? Par exemple, il y a une liste de noscript.surrogate., qui semblent être en lien avec NoScript en tant que remplacements de liens google. Bref, c'est parce qu'il y a marqué google que c'est forcément un problème.
Mais ça mérite d'être éclairci.
Pour ce qui est de certains noeuds gérés par des agences, c'est même une certitude. Mais prends Snowden : ce n'est pas ça qui l'a arrêté.
Il faut savoir aussi que JavaScript est activé par défaut (ou l'était, je sais plus) dans TOR Browser, le but étant de paradoxalement ne pas trop sortir du lot en ayant un navigateur trop unique.
Pas de quoi, c'est intéressant :)
Ouais mais si tu prends le cas de Snowden, il a dû "déménager" je te rappelle, et il a eu de la chance que les Russes l'embêtent pas trop et à un moment il était plus ou moins en résidence surveillée. Je sais pas si ça a évolué depuis, mais ça fait pas trop envie tout de même.
Pour moi toute collusion avec Google est un problème, pour un logiciel de protection de la vie privée encore plus, ça montre qu'ils sont capables de pactiser avec l'ennemi.
J'ai l'impression qu'il y a pas mal de noeuds du réseau qui sont gérés par des agences et si c'est le cas ça détruit totalement la protection des utilisateurs type lanceurs d'alerte ou dissidents politiques (enfin comme moi quoi).
Ce n'est pas vrai. Un nœud d'entrée sait qui tu es mais pas quel site tu contactes. Un nœud de sortie, c'est le contraire. Et un nœud intermédiaire ne sait rien. Passer, par malchance, par un nœud d'entrée et de sortie contrôlé par la même entité ne suffit donc pas encore... sauf si l'entité en question procède par corrélation temporelle mais cette technique, même si elle fonctionne en théorie, semble impraticable. Il est bien plus efficace d'exploiter les faiblesses de l'utilisateur que celles de Tor.
Tout à fait, et rester en HTTPS est recommandé (pour le noeud de sortie)
https://www.eff.org/pages/tor-and-https
Effectivement, j'avais oublié que le https peut ajouter une protection. Mais dans le cas où le https est pas disponible par contre, ça devient un problème. Un exemple de site comme ça : www.cnt-f.org
Pourtant le site officiel d'un syndicat...
Et malheureusement Tor Browser ne prévient pas qu'on navigue en http. Si on doit vérifier site par site ça devient ingérable, donc pour moi ça reste un problème de sécurité important de ce logiciel.
Après on peut aussi imaginer des attaques ciblées des agences en fonction des sites visités, qu'ils enregistrent le flux, même en https et qu'ils essaient de le cracker. J'ai cru comprendre qu'ils en avaient les moyens en "force brute", et ils peuvent aussi exploiter des failles de sécurité comme n'importe quel hacker, genre si le certificat est pas mis à jour, enfin ce genre de trucs.
Avec Tor, le nœud de sortie, www.cnt-f.org et les ordinateurs entre les deux (routeurs ou "homme du milieu") savent qu'un utilisateur ou une utilisatrice du réseau Tor visite une page particulière de www.cnt-f.org et quel texte ou autre information il ou elle envoie. Mais l'identité de l'utilisateur ou de l'utilisatrice demeure inconnue. Avec le protocole HTTPS, la page visitée et les informations envoyées deviennent inaccessible à tous, sauf à www.cnt-f.org, bien sûr. C'est particulièrement important si le navigateur Web a une emprunte unique (ou presque), des informations qu'il envoie au site Web et qui permettent de l'identifier. C'est pour cela que le Tor Browser est conseillé (son emprunte est forgée de façon à ce qu'elle soit la plus commune possible) et qu'il est déconseillé de changer sa configuration ou d'y ajouter des extensions.
Tu peux "imaginer" ce que tu veux mais rien n'indique que la plus puissante agence de renseignement soit aujourd'hui plus capable d'identifier les utilisateurs et utilisatrices de Tor qu'elle ne l'était juste avant les révélations de Snowden : https://www.aclu.org/sites/default/files/assets/tor_stinks.pdf
Le titre de de https://foreignpolicy.com/2013/10/04/not-even-the-nsa-can-crack-the-state-depts-favorite-anonymous-network/ est un bon résumé de ce support de présentation : "Not Even the NSA Can Crack the State Dept’s Favorite Anonymous Network".
Bref, rien n'indique qu'une agence de renseignement ait trouvée un moyen d'attaquer Tor directement. Elles doivent continuer à se concentrer sur les faiblesses bien humaines des utilisateurs et utilisatrices et sur les failles de sécurité des navigateurs Web pour "de-anonymize a very small fraction of Tor users" via "manual analysis" et jamais "on demand" (comme le résumé exécutif du support de présentation de la NSA dit).
La parade dans le cas ou le site que l'on visite n'est pas en https est de se servir du proxy du moteur de recherche Ixquick
Tor => Ixquick => Url => http.exemple.fr => via Ixquick/Startpage proxy
Oué non ça devient trop compliqué là, je me vois pas donner ce genre de conseil à quelqu'un qui voudrait se lancer à utiliser Tor. Bien que je comprenne la démarche, mais ponctuellement.
Bon à part ça, j'ai déjà dit à Magic Banana que je lirais plus ses messages, mais il fait comme si j'avais rien dit. Apparemment il a besoin de se sentir incontournable sur ce forum. C'est bien l'attitude d'un petit-bourgeois ça, pas trop doué pour douter de soi-même. Ah oué c'est un truc de troll aussi. Si vous vous demandez pourquoi le logiciel libre/linux a du mal à élargir son public, à mon avis ça a rien à voir avec la qualité des logiciels ou à leur prise en main. Il y a d'autres explications à chercher, un peu plus humaines.
Bon à part ça, j'ai déjà dit à Magic Banana que je lirais plus ses messages, mais il fait comme si j'avais rien dit.
Je m’exprime sur ce forum (qui ne t’appartient pas) si je veux.
C'est bien l'attitude d'un petit-bourgeois ça, pas trop doué pour douter de soi-même.
Exiger de quelqu’un qu’il se taise, c’est petit-bourgeois ?
Ah oué c'est un truc de troll aussi.
Ne pas respecter le code de conduite de la communauté, voilà un « truc de troll » :
Évitez toute discrimination envers les personnes, basée sur (…) leur classe sociale.
Exprimez vous de façon non grossière (c.a.d. en évitant de jurer).
Nous ne tolérons aucune attaque personnelle. Nous encourageons la discussion et les thèmes de discussion. Nous pouvons être en désaccord avec l'autre tout en respectant l'expression de ses idées.
https://trisquel.info/fr/wiki/lignes-directrices-de-la-communaut%C3%A9-trisquel
Merci Magic (et Mangy) !
compa,
effectivement, il semble y avoir un souci, et ça ne date pas d'hier...
https://trisquel.info/en/forum/firefox-and-perhaps-even-abrowser-sending-data-about-downloads-google
MAIS : https://feeding.cloud.geek.nz/posts/how-safe-browsing-works-in-firefox/
Privacy
One of the most persistent misunderstandings about Safe Browsing is the idea that the browser needs to send all visited URLs to Google in order to verify whether or not they are safe.
While this was an option in version 1 of the Safe Browsing protocol (as disclosed in their privacy policy at the time), support for this "enhanced mode" was removed in Firefox 3 and the version 1 server was decommissioned in late 2011 in favor of version 2 of the Safe Browsing API which doesn't offer this type of real-time lookup.
Google explicitly states that the information collected as part of operating the Safe Browsing service "is only used to flag malicious activity and is never used anywhere else at Google" and that "Safe Browsing requests won't be associated with your Google Account". In addition, Firefox adds a few privacy protections:
Query string parameters are stripped from URLs we check as part of the download protection feature.
Cookies set by the Safe Browsing servers to protect the service from abuse are stored in a separate cookie jar so that they are not mixed with regular browsing/session cookies.
When requesting complete hashes for a 32-bit prefix, Firefox throws in a number of extra "noise" entries to obfuscate the original URL further.
On balance, we believe that most users will want to keep Safe Browsing enabled, but we also make it easy for users with particular needs to turn it off.
En substance, Google et Firefox disent que c'est une protection contre des sites frauduleux, et que le minimum d'infos est récupéré.
Malgré tout, je suis d'accord, j'ai pas envie de l'avoir activé par défaut.
En fait c'est compliqué parce que la plupart des utilisateurs utilisent JavaScript, donc restent vulnérables.
Mais mon about:config semble bien indiquer que c'est activé. Ça serait bien qu'au minimum ça ne reste pas sous silence.
EDIT: le about:config de TorBB est déjà différent (parfois vide, parfois non).
Mais mon about:config semble bien indiquer que c'est activé. Ça serait bien qu'au minimum ça ne reste pas sous silence.
Le mien aussi, et j'aimerais bien que ce soit désactivé par défaut, des fois j'oublie de le faire quand j'installe trisquel.
Sasaki, es-ce que tu sais si ça pose des problèmes de sécurité, notamment pour les utilisateurs pas très portés sur l'aspect technique (utilisation "normale", avec JavaScript et tout) ?
Le travail n'est pas fait sur Abrowser manifestement, et sur TorBB, il reste quelques liens activés.
Sasaki, es-ce que tu sais si ça pose des problèmes de sécurité, notamment pour les utilisateurs pas très portés sur l'aspect technique (utilisation "normale", avec JavaScript et tout) ?
Si tu veux dire, désactiver safebrowsing pose-t-il des problèmes de sécurité, je dirais que non car selon le texte présenté plus haut, il s'agit juste de récolté d'infos pour google, pas de protection directe. Une collecte certes moins intrusive qu'auparavant depuis 2011, mais ça ne me donne pas vraiment envie de garder ce paramètre en général.
Il me semble bien plus intéressant d'installer des plugins de sécurité que de filer des infos de navigation à google en espérant qu'ils en fassent quelque chose pour protéger notre vie privée... ;-)
Dans un pdf sur ce sujet aimablement envoyé par mail par un membre de la communauté je lis :
Profil publicitaire de l'internaute
Renvoi de la recherche à Google à des fins de définir votre profil publicitaire. Cette fonctionnalité est activé par défault, vous pouvez la désactiver en mettant la variable en double cliquant sur la ligne :
browser.safebrowsing.malware.enabled à false
On peut aussi enlever toutes les adresses google.com dans les autres variables browser.safebrowsing.malware
Double clic sur la ligne, effacer, valider OK
Le pdf en question en attachement.
Anhang | Größe |
---|---|
sécuriser son navigateur.pdf | 655.67 KB |
Renvoi de la recherche à Google à des fins de définir votre profil publicitaire.
Beeerk ... c'est mal dit en plus, on dirait de la prose de flic :) ou alors c'est le traducteur qui est mauvais.
En tout cas j'ai pas envie qu'on établisse mon profil, "publicitaire" ou non. Et surtout pas si c'est Google qui s'en charge.
Le "Safe Browsing" est basé sur des listes, mises à jour toutes les trente minutes, de centaines de milliers de sites qui pratiquent l'hameçonnage ("fishing") et autres binaires qui sont des malwares connus. Google maintient actualisées ces listes que Firefox télécharge dans ~/.cache/mozilla/firefox/XXXX/safebrowsing/ ("abrowser" à la place de "firefox" pour Abrowser, etc.). Sauf que ne sont pas les centaines de milliers d'URLs (ce serait trop volumineux), juste de courtes "empruntes" ("hash"), 4 octets par URL.
Si l'utilisateur ou l'utilisatrice est sur le point d'accéder à une URL dont l'emprunte est listée (aucune connexion sortante pour découvrir cela), il se peut qu'il s'agisse en fait d'une URL qui ne pose aucun problème mais dont l'emprunte est la même que celle d'une autre URL problématique. Ce genre de "collision" est très rare (c'est l'objectif même d'une fonction de hachage) mais existe : pour que Firefox sache si il doit vraiment montrer un avertissement du danger ou non (il s'agit alors d'une collision), l'URL est envoyée à un serveur Google qui confirme ou infirme le danger. C'est seulement dans ces cas que Google est contacté. Et il ne reçoit que l'URL de base, pas ce qui suit un éventuel "?" (informations que l'utilisateur ou l'utilisatrice envoie au site). Et il ne peut pas accéder aux cookies. Et du bruit est ajouté à ces requêtes. Bref, Google n'a vraiment pas de quoi construire un profil publicitaire à partir de cela !
https://feeding.cloud.geek.nz/posts/how-safe-browsing-works-in-firefox/ décrit tout cela. Il y a le code source pour vérifier ce qui est écrit. Les adeptes des théories conspirationnistes devraient l'étudier et nous expliquer comment Google pourrait construire un "profil publicitaire" à partir des informations qu'il reçoit via le "Safe Browsing" !
Merci pour cette mise au point magic banana. On gagne toujours à avoir des infos précises.
Ainsi si on désctive safebrowsing, cela aurait pour seule incidence de désactiver des alertes à l'entrée sur des sites malveillants connus car abrowser n'aurait plus de liste dans ~/.cache/mozilla/abrowser/XXXX/safebrowsing/, ou celui-ci ne serait pas à jour. C'est bien ça ?
Oui. Enfin, il y a des tas d'options (recherche "safebrowsing" dans about:config). On peut par exemple désactiver le système pour le maliciel (ce qu'Abrowser fait par défaut, GNU/Linux n'étant pas vraiment concerné) avec "browser.safebrowsing.malware.enabled" à "false" mais le garder pour l'hameçonnage avec "browser.safebrowsing.phishing.enabled" à "true".
Au passage : mes infos n'étaient pas tellement précises (pour faire simple) :
- En fait, la protection contre le maliciel peut systématiquement ("peut" car il y a une option, browser.safebrowsing.downloads.remote.url, pour ne désactiver que cette partie) envoyer au serveur Google des méta-données sur les fichiers binaires sur le point d'être téléchargé. Le serveur répond alors s'il s'agit de maliciel connu. L'avantage c'est que le maliciel mis à disposition sur un nouveau site (pas encore dans la liste) sera bloqué. Mais, pour le coup, c'est un peu plus invasif : Google reçoit les méta-données de tous les binaires téléchargés (mais, sans accès aux cookies, il aura toujours du mal à identifier l'utilisateur);
- Au contraire la protection basée sur les URL est un moins invasive que dans ma description simplifiée : le navigateur Web n'envoie pas l'URL (du site problématique ou du site non problématique dont l'emprunte est identique) mais envoie l'emprunte et Google répond avec la liste de site(s) problématique(s) (en général, un seul site) qui ont cette emprunte. Google ne reçoit donc pas l'URL visitée. Peut-être est-ce le site malveillant, peut-être pas. Et, comme je l'ai déjà écrit, Firefox (et dérivés) envoie de temps en temps des empruntes prises aléatoirement dans les listes locales, juste pour ajouter du bruit.
Ah, fausse alerte, finalement. Donc même si Google change quoi que ce soit, c'est le code de Firefox qui compte, puisqu'il définit ce qui est envoyé.
Google peut éventuellement en déduire l'endroit (géographique d'où provient l'URL), mais pas de quel utilisateur ? Sauf peut-être en croisant d'autres données. Je sais pas, suis fatigué *_*" ...
De toute façons, si ce genre de préoccupations importent, autant passer sur TorBB directement, qui modifie ce genre de choses.
Merci encore pour les précisions, Magic Banana.
J'ai essayé de moins simplifier dans mon post précédent. Lorsqu'il s'agit de vérifier les URLs, il paraît vraiment très difficile pour Google de tirer une quelconque information personnelle de ce qu'il reçoit (des empruntes, certaines ajoutées juste pour faire du bruit). La vérification des binaires (les fichiers non exécutables ne sont pas concernés) est un peu plus invasive. Cette partie peut être désactivée avec "browser.safebrowsing.downloads.enabled" à "false". Dans sa configuration par défaut, Abrowser a toute la protection contre le maliciel désactivée ("browser.safebrowsing.malware.enabled" à "false") et la valeur de "browser.safebrowsing.downloads.enabled" n'importe pas.
Mais, franchement, je doute fortement que Google cherche à apprendre quoi que ce soit sur l'utilisateur avec le "Safe Browsing". Non seulement parce qu'il n'y a pas grand chose à exploiter (il ne peut pas même accéder aux cookies normaux) mais aussi parce qu'il connaît déjà pratiquement toute la navigation de la planète via ses publicités, Google Analytics, les Google fonts, etc. qui pullulent sur le Web. En voilà des saletés contre lesquelles pester !
La vérification d'un exécutable, donc d'un programme en ligne (télécharger un zip depuis Github par exemple) ?
Si par ce fonctionnement il leur est difficile d'associer un utilisateur à une URL, c'est certain qu'il y a bien pire que le safe browsing.
Je viens de trouver ceci: https://www.leavegooglebehind.com/how-tos/how-to-eradicate-google-from-firefox/
Il y a aussi quelque chose sur la géolocalisation.
J'imagine aussi que c'est difficile d'automatiser ce genre de modifications, à relancer/modifier à chaque mise à jour disponible.
En ce qui me concerne, je suis encore auourd'hui un peu partagé entre une protection de la vie privée peut-être excessive, et pourtant imparfaite (je ne pense pas à passer mon smartphone en mode avion, et même si je le fais, je révèle malgré tout les points A et B du trajet à un moment donné, j'utilise une navigo...), et une approche un peu plus laxiste parce que malgré les efforts, ça reste imparfait.
Celà dit, mieux vaut de petites fuites que de grosses, dans l'absolu.
Avec "geo.enabled" à "true", Firefox (et dérivés) demande toujours à l'utilisateur si il accepte (ou non) que sa position géographique soit connue du site Web. Si il ne donne pas l'autorisation, le service Google n'est pas contacté. Vois la réponse à "What information is being sent, and to whom? How is my privacy protected?" sur https://www.mozilla.org/en-US/firefox/geolocation/ pour quelques information supplémentaires.
Il y a des extensions pour plus facilement changer certaines configurations, comme https://addons.mozilla.org/fr/firefox/addon/privacy-settings/ déjà mentionnée dans ce fil. Et la configuration est préservée après une mise à jour.
D'accord, merci encore Magic Banana.
compa, je ne vois pas trop ce qui te pose problème, finalement. Pour un utilisateur lambda, les infos expédiées par Firefox sont trop pauvres pour que Google s'en serve pour définir ton profil d'utilisateur.
Si malgré tout tu trouves ça très gênant, l'addon privacy-settings semble très bien faire l'affaire, et le changement persiste malgré les mises à jour.
Et il y a toujours l'option de tout changer à la main, ce qui prends 5 min.
Oué donc comme j'ai dit, je ne lis plus les messages de Magic Banana, je n'ai qu'une parole.
Pour moi le problème n'est absolument pas réglé.
Je ne sais toujours pas quelles sont les informations envoyées à Google par défaut parmi toute la liste des "services" qui apparaissent dans about:config. Le plus simple en fait ça serait de supprimer tous ces pseudo services qui ne m'apportent rien du tout. Et ça devrait être le cas par défaut. Je vois pas ce qu'il y a de compliqué dans le principe pour un programmeur.
Tu ne lis plus les réponses de Magic Banana...et pourquoi alors devrai-je te répondre..?
- Anmelden oder Registrieren um Kommentare zu schreiben