PROJET AUTOBLOG


shaarli-Links

Site original : shaarli-Links
⇐ retour index

Firefox : analyse de WOT

samedi 22 août 2015 à 16:02
Firefox : analyse de WOT

Condition de test :
Debian 8
firefox 40.0
pas de plugin
utilisation de user.js ( https://raw.githubusercontent.com/Oros42/firefox_change_prefs/master/user.js ) dans /home/user/.mozilla/firefox/xxxxxxx.default/
sniff DNS fait avec https://github.com/Oros42/DNS_sniffer

Sans plugin, à l'ouverture de Firefox, je n'ai aucune requêtes sur le réseau.
Après installation de WOT, j'en ai environ 110 à l'ouverture sur about:blank (WTF?)
IP source | DNS server | nb DNS request | DNS
192.168.13.37 :
192.168.13.254 :
1 : ocsp2.globalsign.com.
1 : secure.mywot.com.

Il génère beaucoup de trafique en HTTPS sur le réseau.
À chaque ouverture de pages, secure.mywot.com est appelé.
Toutes les requêtes comporte un identifiant unique par navigateur.
Les url envoyé à secure.mywot.com sont chiffrées. Méthode de chiffrement :
Dans wot.jar/chrome/wot/content/api.js ligne 52
```
var context = wot_arc4.create(wot_hash.hmac_sha1hex(wot_prefs.witness_key, nonce));
if (!context) {return;}
var crypted = wot_arc4.crypt(context, wot_hash.strtobin(hosts));
if (!crypted) {return;}
var qs = WOT_SERVICE_API_LINK +"?id="+ wot_prefs.witness_id +"&nonce="+nonce+
"&hosts="+encodeURIComponent(btoa(wot_hash.bintostr(crypted)))+wot_url.getapiparams();
if (wot_prefs.prefetch) {qs += "&mode=prefetch";}
```

Pour suivre les articles sur le sujet : https://www.ecirtam.net/links/?searchtags=+firefox+r%C3%A9seau+securit%C3%A9
(Permalink)

Source : https://www.ecirtam.net/links/?Mnf5Aw


Firefox : analyse de uBlock Origin

samedi 22 août 2015 à 15:27
Condition de test :
Debian 8
firefox 40.0
pas de plugin
utilisation de user.js ( https://raw.githubusercontent.com/Oros42/firefox_change_prefs/master/user.js ) dans /home/user/.mozilla/firefox/xxxxxxx.default/
sniff DNS fait avec https://github.com/Oros42/DNS_sniffer

Connexion à http://www.lemonde.fr/ :

IP source | DNS server | nb DNS request | DNS
192.168.13.37 :
192.168.13.254 :
1 : match.adsrvr.org.
1 : pixel.everesttech.net.
1 : widgets.outbrain.com.
1 : download.viamichelin.com.
1 : sync.mathtag.com.
1 : ww690.smartadserver.com.
1 : vrt.outbrain.com.
1 : vox-static.liverail.com.
1 : pixel2368.everesttech.net.
1 : lemonde.ezakus.net.
1 : cdn1.smartadserver.com.
1 : adventori.com.
1 : ih.adscale.de.
1 : www.lemonde.fr.
1 : pix.btrll.com.
1 : r.turn.com.
1 : domain.com.
1 : sync.tidaltv.com.
1 : ads.yahoo.com.
1 : po.st.
1 : ad.360yield.com.
1 : vassg141.ocsp.omniroot.com.
1 : images.outbrain.com.
1 : odb.outbrain.com.
1 : ads.stickyadstv.com.
1 : dsp.adfarm1.adition.com.
1 : rtb-csync.smartadserver.com.
1 : cs600.wac.alphacdn.net.
1 : cs.meltdsp.com.
1 : image2.pubmatic.com.
1 : www.google-analytics.com.
1 : vrp.outbrain.com.
1 : log.outbrain.com.
1 : sync.active-agent.com.
1 : r.casalemedia.com.
1 : a.rfihub.com.
1 : t4.liverail.com.
1 : static.chartbeat.com.
1 : clients1.google.com.
1 : e.nexac.com.
1 : ib.adnxs.com.
1 : radar.cedexis.com.
1 : logc2.xiti.com.
1 : static.kameleoon.com.
1 : cdn.turn.com.
1 : gtssl-ocsp.geotrust.com.
1 : cm.g.doubleclick.net.
1 : sync.adap.tv.
1 : mc.yandex.ru.
1 : ip.casalemedia.com.
1 : px.owneriq.net.
1 : live.lemde.fr.
1 : sync.adaptv.advertising.com.
1 : emea-lemonde.netmng.com.
1 : track.eyeviewads.com.
1 : s2.lemde.fr.
1 : connect.facebook.net.
1 : netdna.cedexis.com.
1 : bh.contextweb.com.
1 : acuityplatform.com.
1 : d.turn.com.
1 : cas.pxl.ace.advertising.com.
1 : cloudfront.cedexis.com.
1 : i1-j1-18-18-1-10013-3853301681-i.init.cedexis-radar.net.
1 : dsum.casalemedia.com.
1 : stats.g.doubleclick.net.
1 : p258.bench.cedexis-test.com.
1 : cdn.spotxcdn.com.
1 : pr-bh.ybp.yahoo.com.
1 : cs600.wac.edgecastcdn.net.
1 : casale-cm.p.veruta.com.
1 : dis.criteo.com.
1 : s1.lemde.fr.
1 : p.po.st.
1 : us-u.openx.net.
1 : ping.chartbeat.net.
1 : ocsp.digicert.com.
1 : ad.sxp.smartclip.net.
1 : idpix.media6degrees.com.
1 : i1-j1-18-18-1-10013-2171816981-i.init.cedexis-radar.net.
1 : www.facebook.com.
1 : a.visualrevenue.com.
1 : cc.chango.com.
1 : x.bidswitch.net.
1 : cm.eyereturn.com.
1 : cm.adgrx.com.
1 : p289.bench.cedexis-test.com.
1 : cedexis.leasewebcdn.com.
1 : pixel.quantserve.com.
1 : i.po.st.
1 : sync.search.spotxchange.com.
1 : audienceinsights.net.
1 : pm.w55c.net.
1 : rs.gwallet.com.
1 : ad.turn.com.
1 : ums.adtech.de.
1 : b.scorecardresearch.com.
1 : rpt.cedexis.com.
1 : ak-ns.sascdn.com.
1 : lemonde.fr.
1 : dsum-sec.casalemedia.com.
1 : pixel.sitescout.com.
1 : ce.lijit.com.
1 : hibernia.bench.cedexis.com.
1 : ced.sascdn.com.
1 : pixel.rubiconproject.com.
1 : cdn.pulpix.co.
1 : bidi-geo.mythings.com.

Note importante, lorsque l'on ferme l'onglet, cela ne ferme par forcément les connexions !

Après installation de uBlock Origin :
IP source | DNS server | nb DNS request | DNS
192.168.13.37 :
192.168.13.254 :
1 : domain.com.
1 : widgets.outbrain.com.
1 : s2.lemde.fr.
1 : s1.lemde.fr.
1 : connect.facebook.net.
1 : cdn.PULPIX.co.
1 : po.st.
1 : download.viamichelin.com.
1 : www.lemonde.fr.
1 : i.po.st.
1 : live.lemde.fr.
1 : images.outbrain.com.
1 : odb.outbrain.com.


Pour suivre les articles sur le sujet : https://www.ecirtam.net/links/?searchtags=+firefox+r%C3%A9seau+securit%C3%A9
(Permalink)

Source : https://www.ecirtam.net/links/?6MChAw


SSL Server Test: ecirtam.net (Powered by Qualys SSL Labs)

samedi 22 août 2015 à 13:11
Si vous utilisez un produit Idaube et que vous voulez accéder à mon site https://ecirtam.net, utilisez Firefox.
Chrome 43 / OS X et Safari 8 / OS X 10.10 ne supporte pas des clé RSA > à 4096 bits.
C'est chelou.
Même IE 7 / Vista supporte les clé RSA de 8192 bits.
Est-ce pour faciliter la surveillance ?
(Permalink)

Source : https://www.ssllabs.com/ssltest/analyze.html?d=ecirtam.net&hideResults=on


How to Quash Firefox's Silent Requests - Slashdot

samedi 22 août 2015 à 11:57
Hey je viens de faire une découverte !
1- Ce n'est pas au survole du curseur sur un lien qui y a des requêtes mais au chargement de la page !
2- mon network.http.speculative-parallel-limit est à 0 !
3- il n'y que des requêtes DNS ! Pas d'appel aux pages
4- il n'y a pas de requêtes DNS sur les liens qui sont ajoutés par javascript

Pour vraiment le désactiver :
network.dns.disablePrefetch = true

Pour suivre les articles sur le sujet : https://www.ecirtam.net/links/?searchtags=+firefox+r%C3%A9seau+securit%C3%A9
(Permalink)

Source : http://sebsauvage.net/links/?VXV9gw


La fin du "permissive add-on model" chez Mozilla, ou comment flinguer une base d'extensions - LinuxFr.org

samedi 22 août 2015 à 11:45
-_-
(Permalink)

Source : https://linuxfr.org/users/kalenx/journaux/la-fin-du-permissive-add-on-model-chez-mozilla-ou-comment-flinguer-une-base-d-extensions


Privacy Badger : la passoire des bloqueurs publicitaires !

samedi 22 août 2015 à 11:37
:-/
(Permalink)

Source : http://www.dsfc.net/internet/tracking/privacy-badger-passoire-bloqueurs-publicitaires/


[Correctif] Firefox, tu m'inquietes

vendredi 21 août 2015 à 23:09
Correctif de https://www.ecirtam.net/links/?Y3EFxA

Je viens de modifier mon sniffer DNS qui me sert à analyser le trafique réseau de Firefox. (J'utilise aussi wireshark mais il y a trop de données ^_^)
J'ai publier les sources ici : https://github.com/Oros42/DNS_sniffer

En fait, trafique réseau est pire que ça :-/
Voici ce que me donne mon sniffer sur une Debian 8 neuve :
$ sudo python dns_sniffer.py
IP source | DNS server | nb DNS request | DNS
192.168.13.37 :
192.168.13.254 :
1 : www.mozilla.org.
1 : snippets.cdn.mozilla.net.
1 : location.services.mozilla.com.
3 : ff.search.yahoo.com.
1 : ocsp.digicert.com.
1 : geo.mozilla.org.
3 : search.yahoo.com.
1 : self-repair.mozilla.org.
1 : ciscobinary.openh264.org.
1 : clients1.google.com.
1 : search.services.mozilla.com.
1 : safebrowsing.google.com.
1 : aus4.mozilla.org.
53 : safebrowsing-cache.google.com.

Comme expliqué dans mon précédent message ( https://www.ecirtam.net/links/?AnwqOg ), safebrowsing.google.com comporte un ID unique par client.
Et bien c'est la même chose pour safebrowsing-cache.google.com.
Ici nous avons 53 requêtes DNS pour safebrowsing-cache.google.com sur le serveur DNS 192.168.13.254.

Pour suivre les articles sur le sujet : https://www.ecirtam.net/links/?searchtags=+firefox+r%C3%A9seau+securit%C3%A9
(Permalink)

Source : https://www.ecirtam.net/links/?40QYwg


Suite de "Firefox, tu m'inquietes" : safebrowsing.google.com

vendredi 21 août 2015 à 17:33
Suite des tests : https://www.ecirtam.net/links/?searchtags=+firefox+r%C3%A9seau+securit%C3%A9+

J'ai viré le https pour google afin de voir le trafique réseau.
Dans /home/user/.mozilla/firefox/xxxxxxx/prefs.js :

```
user_pref("browser.safebrowsing.appRepURL", "http://sb-ssl.google.com/safebrowsing/clientreport/download?key=%GOOGLE_API_KEY%";);
user_pref("browser.safebrowsing.gethashURL", "http://safebrowsing.google.com/safebrowsing/gethash?client=SAFEBROWSING_ID&appver=%VERSION%&pver=2.2";);
user_pref("browser.safebrowsing.malware.reportURL", "http://safebrowsing.google.com/safebrowsing/diagnostic?client=%NAME%&hl=%LOCALE%&site=";);
user_pref("browser.safebrowsing.reportURL", "http://safebrowsing.google.com/safebrowsing/report?";);
user_pref("browser.safebrowsing.updateURL", "http://safebrowsing.google.com/safebrowsing/downloads?client=SAFEBROWSING_ID&appver=%VERSION%&pver=2.2&key=%GOOGLE_API_KEY%";);
```

Voici ce que l'on obtient avec wireshark à l'ouverture de firefox :

```
POST /safebrowsing/downloads?client=Firefox&appver=40.0&pver=2.2&key=AIzjSyAQfEPJioumkh0jOBEOI5ZieffeBv6ygt2Q HTTP/1.1
Host: safebrowsing.google.com
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:40.0) Gecko/20100101 Firefox/40.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: fr,fr-FR;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
DNT: 1
Content-Length: 19046
Content-Type: text/plain
Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache

goog-badbinurl-shavar;a:31786-75623:s:35926,35928,35930,35941, [...] ,60950-61352,61354-61714
goog-phish-shavar;a:399586-411945:s:222071,222076-222077,222079, [...] ,230114-232539
goog-malware-shavar;a:165626-207289:s:156307-156311,156313-156318, [...], 198660-199133
goog-unwanted-shavar;

HTTP/1.1 200 OK
Content-Type: application/vnd.google.safebrowsing-update
P3P: CP="This is not a P3P policy! See http://www.google.com/support/accounts/bin/answer.py?hl=en&answer=151657 for more info."
X-Content-Type-Options: nosniff
Date: Fri, 21 Aug 2015 15:19:03 GMT
Server: HTTP server (unknown)
Content-Length: 22016
X-XSS-Protection: 1; mode=block
X-Frame-Options: SAMEORIGIN
Set-Cookie: PREF=ID=1111111111111111:TM=1440170343:LM=1440170343:V=1:S=Cc2cbkftd90cVpIZ; expires=Thu, 31-Dec-2015 16:02:17 GMT; path=/; domain=.google.com
Set-Cookie: NID=70=loViYWrE_DO9O57ds8OrV1YzPHtp9sSiCenNfRRpyaPhUclNr6d99vNluBA8kMigluvgUqnRFvAuxWfXxrNIN5Qweei7E8_LdH-2d0mSzbR5qfN_q7CX9gdfwCZc3UQm; expires=Sat, 20-Feb-2016 15:19:03 GMT; path=/; domain=.google.com; HttpOnly
Expires: Fri, 21 Aug 2015 15:19:03 GMT
Cache-Control: private

n:1862
i:goog-badbinurl-shavar
ad:31786-33445
sd:35926,35928,35930,35941,35947-35950[...]

```

Notes :
"[...]" == text coupé car très très long
AIzjSyAQfEPJioumkh0jOBEOI5ZieffeBv6ygt2Q est un identifiant unique.

Donc google sait lorsque vous ouvrez votre navigateur !

Pour bloquer ça, dans about:config:
browser.safebrowsing.appRepURL : <vide>
browser.safebrowsing.gethashURL : <vide>
browser.safebrowsing.malware.reportURL : <vide>
browser.safebrowsing.reportURL : <vide>
browser.safebrowsing.updateURL : <vide>
browser.safebrowsing.downloads.enabled : false
browser.safebrowsing.enable : false
browser.safebrowsing.malware.enabled : false

https://ecirtam.net/wiki/doku.php?id=wiki:firefox:about_config
https://github.com/Oros42/firefox_change_prefs

Pour suivre les articles sur le sujet : https://www.ecirtam.net/links/?searchtags=+firefox+r%C3%A9seau+securit%C3%A9
(Permalink)

Source : https://www.ecirtam.net/links/?AnwqOg


Firefox, tu m'inquietes - Oros links - Les liens de Jim

vendredi 21 août 2015 à 14:04
Ah non pas lynx mais links2.
lynx se connecte à lynx.isc.org à son ouverture et ne supporte pas les nouvelles méthodes de chiffrement tls.

Pour suivre les articles sur le sujet : https://www.ecirtam.net/links/?searchtags=+firefox+r%C3%A9seau+securit%C3%A9
(Permalink)

Source : https://www.e-jim.be/liens/?3YcSAQ


Mise à jour de la liste des shaarlis - Oros links - ¦ OniriCorpe -mes liens en vrac- (et pensées annexes)

vendredi 21 août 2015 à 13:26
De rien ;-)
(Permalink)

Source : https://oniricorpe.eu/links/?v5WNlA


Le problème avec shaarli disparaît si je désactive l'extension ghostery - Red Beard - Liens Ecyseo

vendredi 21 août 2015 à 12:32
Je confirme, depuis que j'ai supprimé Ghostery, je n'ai plus de problème avec shaarli.
(Permalink)

Source : http://bookmarks.ecyseo.net/?UVXVCw


Top 10 2010-Main - OWASP

vendredi 21 août 2015 à 12:10
via http://bookmarks.ecyseo.net/?TMlj9Q
(Permalink)

Source : https://www.owasp.org/index.php/Top_10_2010-Main


Firefox, tu m'inquietes - Oros links - stuper

vendredi 21 août 2015 à 11:34
Je n'ai pas chromium ni chrome donc si quelqu'un peu faire ou a fait des analyses réseau, je serai intéressé pour comparer.

Au vu de ce que je trouve, je pense plus recommander links2 ou wget ^_^

Pour suivre les articles sur le sujet : https://www.ecirtam.net/links/?searchtags=+firefox+r%C3%A9seau+securit%C3%A9
(Permalink)

Source : https://stuper.info/shaarli/?H2cMow


Suite de "Firefox, tu m'inquietes" sous Linux Mint

vendredi 21 août 2015 à 11:21
Analyse réseau de Firefox 40.0 sous Linux Mint 17.2.

À l'ouverture d'un Firefox tout neuf sans modif, il se connecte à chaque ouverture à :
www.mozilla.org
fr.search.yahoo.com
ff.search.yahoo.com
snippets.cdn.mozilla.net
support.mozilla.org
mzl.la
self-repair.mozilla.org
safebrowsing.google.com

et se connecte régulièrement et sans que l'on utilise Firefox à :
safebrowsing.google.com
fr.search.yahoo.com
ff.search.yahoo.com
self-repair.mozilla.org

Ça fait environ 770 à 840 packets sur le réseau. Le nombre augmente petit à petit.
Si vous avez d'installé WOT, httpseverywhere, FoxyProxy, NoScript ou Ghostery, le nombre de packets monte à plus de 2000!
Je détaillerais ça prochainement ;-)

Je continue mes tests...

Pour suivre les articles sur le sujet : https://www.ecirtam.net/links/?searchtags=+firefox+r%C3%A9seau+securit%C3%A9
(Permalink)

Source : https://www.ecirtam.net/links/?KOSLqg


Blocage DNS de bourin contre le tracking

jeudi 20 août 2015 à 22:27
sudo apt-get install dnsmasq
echo "
address=/facebook.com/127.0.0.1
address=/facebook.fr/127.0.0.1
address=/ghostery.com/127.0.0.1
address=/google-analytics.com/127.0.0.1
address=/google.com/127.0.0.1
address=/noscript.net/127.0.0.1
address=/redir.linuxmint.com/127.0.0.1
address=/search.yahoo.com/127.0.0.1
address=/secure.informaction.com/127.0.0.1
address=/self-repair.mozilla.org/127.0.0.1
address=/support.mozilla.org/127.0.0.1
address=/torproject.org/127.0.0.1
address=/tracking.services.mozilla.com/127.0.0.1
address=/twitter.com/127.0.0.1
address=/wiki.digitalmethods.net/127.0.0.1
address=/www.aboutads.info/127.0.0.1
address=/yahoo.com/127.0.0.1
" >> /etc/dnsmasq.conf
(Permalink)

Source : https://www.ecirtam.net/links/?5XsF_g


Firefox, tu m'inquietes

jeudi 20 août 2015 à 21:27
Je suis entrain de faire un audit réseau de Firefox 40.0.
C'est .... chelou 0_0
À l'ouverture d'un Firefox tout neuf sans modif, il se connecte à chaque ouverture à :
search.yahoo.com
ff.search.yahoo.com
www.mozilla.org
addons.mozilla.org

et se connecte régulièrement et sans que l'on utilise Firefox à :
ff.search.yahoo.com
search.yahoo.com

Les requêtes étant faitent en HTTPS, je ne connais pas encore leur contenue.

Par contre, contrairement à ce que dit Sebsauvage (http://sebsauvage.net/links/?VXV9gw), lorsque je passe le curseur sur des liens, il n'y a pas de requêtes HTTP.
Édit : c'est pas au survol du curseur mais au chargement de la page : https://www.ecirtam.net/links/?bl9zdQ

J'effectue mes tests sur une Debian 8 toute neuve.

Je continue mes tests...

Pour suivre les articles sur le sujet : https://www.ecirtam.net/links/?searchtags=+firefox+r%C3%A9seau+securit%C3%A9
(Permalink)

Source : https://www.ecirtam.net/links/?Y3EFxA


L'add-on Pocket imposé par Mozilla sur Firefox avait une faille

jeudi 20 août 2015 à 19:35
-_-
Sinon pour automatiser la désactivation de pas mal de chose dans firefox, j'ai codé ça : https://github.com/Oros42/firefox_change_prefs
(Permalink)

Source : http://www.numerama.com/magazine/33966-l-add-on-pocket-impose-par-mozilla-sur-firefox-avait-une-faille.html


Google se donne le droit d'associer des données de partenaires à votre compte

jeudi 20 août 2015 à 18:41
<troll>Ah ? c'était pas déjà le cas ?</troll>
(Permalink)

Source : http://www.numerama.com/magazine/33968-google-se-donne-le-droit-d-associer-des-donnees-de-partenaires-a-votre-compte.html


10 lsof Command Examples in Linux

jeudi 20 août 2015 à 18:24
Connexion IPv4 active :
lsof -i 4

Fichiers ouvert par firefox
lsof -c firefox

Mix des 2 :
lsof -c firefox -i 4 -a

et sans les noms de domaine :
lsof -c firefox -i 4 -a -n

Voir aussi http://www.thegeekstuff.com/2012/08/lsof-command-examples/
(Permalink)

Source : http://www.tecmint.com/10-lsof-command-examples-in-linux/


Note: HSTS - ¦ OniriCorpe -mes liens en vrac- (et pensées annexes)

jeudi 20 août 2015 à 09:05
Oooooh merci !
J'avais justement ce problème.
Donc, dans :
/home/user/.mozilla/firefox/xxxxxxxx.default/SiteSecurityServiceState.txt
il faut supprimer les lignes liées au site qui pose problème.
(Permalink)

Source : https://oniricorpe.eu/links/?z43npQ