[Web] Espionnage des visiteurs
|
03-12-2012, 00h41
(Modification du message : 03-12-2012, 00h51 par InstinctHack.)
Message : #1
|
|
InstinctHack
Posting Freak Messages : 1,366 Sujets : 184 Points: 299 Inscription : Dec 2011 |
[Web] Espionnage des visiteurs
Bonjour a tous!
On fait rarement un site sans raison, et encore moins sans clients. Mais en naviguant sur votre propre site, vous n'avez pas le regard objectif de vos visiteurs. Google analytics, pour ne pas le citer fournis déjà de nombreuses informations sur les visiteurs mais ne les epit pas. certains programmes existent bien sur pour cela, mais souvent c'est cher et prive le plaisir de coder :> Donc voilà encore un autre truc dans lequel je me lance Les différents cas de figure : Il existe beaucoup de fonctionnalités sur un navigateur moderne, mais certaines peuvent etres désactivés, fonctionnées differament selon le navigateur et meme la version, sans compter les extensions ainsi que les navigateurs anciens ou exotique... mais en gros ce qui peut changer : Javascript activé ou non. blocage de referer ou de l'user agent. Fonctionnalités différentes ou inexistante.. Les techniques d'espionnages : Analyse de la provenance du visiteur Rajout un parametre get unique sur chaque lien du site, afin de savoir de quel.lien PRECIS vient l'user (marche uniquement pour des liens internes. pour les lien externes, il faut passer soit par une redirection, soit par l'ajout d'une fonctionnalités en javascript. Cela ne compte QUE sur les liens, pour aller plus loin, il faut analyser en temps reel, les agissements de l'user, et là, il n'y a pas d'autre façon que de passer par le javascript. le javascript nous donne acces a deux entrées : le clavier et la souris, le clavier permet de visualiser les touches taper mais egalement le scroll, la souris fait encore mieux! Selon un chiffre trouver sur internet (absolument pas fiable :p) la correspondance entre la position de la souris et des yeux serais de ~80%, ce qui est assez précis (et l'analyse de mon propre comportement va dans ce sens) ainsi on peut analyser les événements lié au déplacement, aux clics, aux frappes, et tout aussi important, l'absence d'events, revelant de la lecture, une reflexion, une recherche ou bien une sieste :p je pense ainsi récupérer la plupart des événements produits sur la page web, le tout avec horaire et autre info utiles, les pauses, le scroll, la section, les clics, la zone survoller,etc... et envoyer le contenu generer toutes les 5 secondes, puis progressivement allonger ce temps. Voila mes premieres idées sur le sujet, et vous, en avez-vous d'autres ? Ps : si vous vous posez la question tres légitime sur la raison de pourquoi je veut faire mon big brother, sachez qu'il y a trois raisons : La première est que j'adore les defis et la programmation La seconde est que j'aime voir ce qu'on peut faire dans un ordi (meme si parfois ca me fait peur, comme dans le cas present :p ) La troisième est que savoir comment se passe une visite de son site par un tiers permet de voir son site sous un jour nouveau et permet d'identifier les points forts et faibles de l'applications, ceci afin d'ameliirer l'expérience utilisateur et ainsi faire avancer son site Rajout : j'ai fouiner sur google et j'ai trouver deux autres methodes afin d'obtenir des informations supplémentaire sur les visiteurs, l'une marche avec le css mais je ne suis pas sur de pouvoir en faire quelque chose, l'autre en javascript. Ces technique permettent d'obtenir un aperçu de l'historique du navigateur. Citation :un jour en cours de java j'ai attrapé les seins d'une fille mais elle m'a frappé en disant "c'est privé !!" |
|
03-12-2012, 10h10
Message : #2
|
|
gruik
gouteur de savon Messages : 757 Sujets : 44 Points: 482 Inscription : Oct 2012 |
RE: [Web] Espionnage des visiteurs
j'imagine que les techniques de decloak pour récupérer la véritable IP d'un client via flash ou java entrent dans le cadre de ce que tu évoques, partant de là on peut surement envisager pas mal de choses
on peut aussi lister les plugins/modules installés dans le browser, détecter la présence de noscript etc. on peut surement aussi évoquer la geolocalisation des clients etc. y'a potentiellement beaucoups de choses à envisager comme tu l'expliques, au delà de ce qu'il est possible de récolter comme informations y'a aussi la correlation qui en est faite, analyser les horaires de visite de chaque internaute au cas par cas peut donner des indications, analyser l'ordre, le nombre de requetes sur une même ressource, ainsi que les headers http peuvent également permettre dans une certaine mesure d'identifier un navigateur malgré un user-agent spoofé etc. côté "straight" y'a des outils comme piwik qui fonctionne à la manière d'un googleanalytics en incluant un lien dans la page ou awstat qui se focalise plus sur l'analyse de logs |
|
03-12-2012, 12h09
Message : #3
|
|
InstinctHack
Posting Freak Messages : 1,366 Sujets : 184 Points: 299 Inscription : Dec 2011 |
RE: [Web] Espionnage des visiteurs
Citation :on peut aussi lister les plugins/modules installés dans le browser, détecter la présence de noscript etcje serais curieux de savoir comment on peux faire, car je n'ai rien trouver sur ça :/ bien que je me rappelle que des chercheurs avaient lancés un projet pour obtenir un identifiant unique des visiteurs ainsi... géolocalisation, ça c'est possible les horaires sont aussi une bonne idée, ainsi que l'ordre et le nombre d'appel les logiciels tiers ne m'intéresse que par leurs fonctions et leur possibilité, pas leur usage Citation :un jour en cours de java j'ai attrapé les seins d'une fille mais elle m'a frappé en disant "c'est privé !!" |
|
03-12-2012, 15h53
Message : #4
|
|
gruik
gouteur de savon Messages : 757 Sujets : 44 Points: 482 Inscription : Oct 2012 |
RE: [Web] Espionnage des visiteurs
PerFidieS of the Web, utilisé sur la page de vérification des plugins Mozilla
|
|
03-12-2012, 19h23
Message : #5
|
|
InstinctHack
Posting Freak Messages : 1,366 Sujets : 184 Points: 299 Inscription : Dec 2011 |
RE: [Web] Espionnage des visiteurs
ton truc revient à faire :
Code : <script> Citation :un jour en cours de java j'ai attrapé les seins d'une fille mais elle m'a frappé en disant "c'est privé !!" |
|
03-12-2012, 20h14
Message : #6
|
|
gruik
gouteur de savon Messages : 757 Sujets : 44 Points: 482 Inscription : Oct 2012 |
RE: [Web] Espionnage des visiteurs
c'est pas "mon" truc je t'avoues j'ai rien codé perso
et effectivement navigator.plugins renvoit la liste des "plugins", pas des "extensions" désolé si ça ne fait pas l'affaire |
|
03-12-2012, 20h30
Message : #7
|
|
ThibauT
Keyboard not found, press F1 to resume. Messages : 348 Sujets : 6 Points: 69 Inscription : Jun 2012 |
RE: [Web] Espionnage des visiteurs
J'ai trouvé spyjax sinon.
" On peut facilement définir une couleur pour les liens dans une page, et une couleur différente pour les liens qui ont été visités. La technique consiste donc à insérer des liens dans la page via un javascript, puis de regarder la couleur du lien. Si le code couleur correspond au code que l’on a attribué au liens visités, c’est que l’internaute a visité le site. Ainsi, non seulement on peut vérifier si le visiteur est allé sur une page précise de son site, mais on peut également vérifier s’il est allé sur n’importe quel autre site, comme le site d’un de ses concurrents par exemple ! " Source : http://www.lecentre.net/fratoblog/2009/1...avascript/ Martin Golding a écrit :"Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live." Gnomino a écrit :et quand je suis payé je fais ce qu'on me demande :B |
|
03-12-2012, 21h53
(Modification du message : 03-12-2012, 22h07 par InstinctHack.)
Message : #8
|
|
InstinctHack
Posting Freak Messages : 1,366 Sujets : 184 Points: 299 Inscription : Dec 2011 |
RE: [Web] Espionnage des visiteurs
@gruik pas grave, ca peut etre aussi utile, mais la liste des extensions aurais surement fait une liste plus personnel que des plugins donc je vais continuer a chercher.
@Thibaut voila, c'etait ça que j'avais trouver Je vais essayer de trouver d'autre idée utile, si il as des cookies desactiver => utilisation du web stockage =D http://www.developpez.com/actu/27813/Un-...entialite/ Citation :un jour en cours de java j'ai attrapé les seins d'une fille mais elle m'a frappé en disant "c'est privé !!" |
|
06-05-2013, 20h54
Message : #9
|
|
oleanna
Newbie Messages : 7 Sujets : 2 Points: 1 Inscription : May 2013 |
RE: [Web] Espionnage des visiteurs
Bonsoir,
Question peut être mal placée ou écrite au mauvais endroit ^^ ! En admettant que l'on puisse avoir autant d'information ( la position de la souris c'est ouf qqmm ), Qu'es-ce qu'un utilisateur lambda devrait faire pour qu'un site ne puisse pas prendre ce type d'information lorsqu'il le visite ? Je suis parano de nature et tu me ferais presque surfer en perma tor xD ( même si c'est super lent :/ ) ! |
|
06-05-2013, 20h56
Message : #10
|
|
supersnail
Éleveur d'ornithorynques Messages : 1,609 Sujets : 71 Points: 465 Inscription : Jan 2012 |
RE: [Web] Espionnage des visiteurs
Le plus simple ça reste encore de bloquer Javascript (j'tourne avec NoScript en mode "whitelist" pour être peinard de ce côté-là)
Mon blog
Code : push esp ; dec eax ; inc ebp ; and [edi+0x41],al ; dec ebp ; inc ebp "VIM est merveilleux" © supersnail |
|
06-05-2013, 21h14
Message : #11
|
|
coye
Newbie Messages : 21 Sujets : 4 Points: 6 Inscription : May 2013 |
RE: [Web] Espionnage des visiteurs
+1 pour @supersnail.
Perso no script est tjrs activé chez moi. ensuite pour oleanna TOR c'est pratique mais c'est un peu lent vu tous les proxies par lesquels tu passes. Ensuite @khaled suffirait de désactiver js et de les activer seulement au besoin. Mais oui on peut aller loin si on creuse vraiment. je te fais confiance pour ça |
|
06-05-2013, 21h33
Message : #12
|
|
Polo
Benêt en chef Messages : 110 Sujets : 4 Points: 25 Inscription : Mar 2013 |
RE: [Web] Espionnage des visiteurs
Citation :Selon un chiffre trouver sur internet (absolument pas fiable Tongue) la correspondance entre la position de la souris et des yeux serais de ~80%, ce qui est assez précis (et l'analyse de mon propre comportement va dans ce sens) Pas vraiment d'accord : la preuve en lisant cet article, ma souris se baladait quelque-part en haut de mon écran et je scrollait avec les flèches (c'est peut-êre un peu dû au fait que le scroll de ma souris ne fonctionne pas, m'enfin bon ... ). Et ensuite ce que je trouverai intéressant c'est d'analyser le style d'écriture, comme le font des outils tels qu'anonymouth par exemple ; car le style d'écriture d'une personne sur le net peut être une vrai signature et permettre une identification quasi-certaine... |
|
06-05-2013, 22h12
(Modification du message : 06-05-2013, 22h24 par Shirobi.)
Message : #13
|
|
Bannis Messages : 207 Sujets : 19 Points: 17 Inscription : Oct 2012 |
RE: [Web] Espionnage des visiteurs
(06-05-2013, 20h54)oleanna a écrit : Bonsoir, Bonjour, C'est bien aujourd'hui qu'on se rend compte que google n'est pas temps notre amis que ça? bah dis donc ^^ Vos historiques, informations (numeros de tel, adresse etc) son vendu à des particulier sans que vous le sachiez, pour résoudre se problème on peut simplement utiliser des tools Firefox (encore et encore) like: https://www.abine.com/dntdetail.php Vous pourrez voir qu'au bout de 10 minutes de surf sur Facebook & Google (fake ou pas?) pas mal de tentatives d'espionnages ont été bloqués (500 et quelques pour moi) Pour résoudre plus rapidement le problème de Google (et sans que ce petit con vous trace avec votre cookie unique ><) utilisez tout simplement un autre moteur de recherche (si possible confidenciel) Je vous invite donc à read le projet lxquick https://ixquick.com/eng/ la particularité de se "métamoteur" de recherche est qu'il n'utilise aucun cookie et ne sauvegarde pas votre adresse ip, c'est donc pour ça qu'il se place number one des moteurs anonymes. Comme vous pouvez le voir, il vous permet aussi de visiter une page avec un proxy, il vous suffit juste de cliquer sur le lien disponible en dessous chaque résultat de la recherche.. J'écris un papper sur l'anonymat bientôt, ça fera du bien à quelques uns! :p Citation : Perso no script est tjrs activé chez moi. ensuite pour oleanna TOR c'est pratique mais c'est un peu lent vu tous les proxies par lesquels tu passes. Tor est comme "backdoorer" même si le mot est un peu abusé, les pays comme le Japon ou bien des hacker tout simplement créent de faux noeud, Attention! Au pire, utilise un socks de version 5, au moins tu es sûr d'être tranquillouu (avec la connexion du voisin, on ne sait jamais, même si c'est pas très white hat :p) Et pour ceux qui sont interessé j'ai un pote expert en anonymat, il propose un service d'hébergement offshore avec ISPR (pour ceux qui connaissent) et.. c'est le seul :') |
|
06-05-2013, 22h25
(Modification du message : 06-05-2013, 22h25 par Polo.)
Message : #14
|
|
Polo
Benêt en chef Messages : 110 Sujets : 4 Points: 25 Inscription : Mar 2013 |
RE: [Web] Espionnage des visiteurs
Intéressant ton histoire avec DoNotTrackMe, Shirobi, je vais regarder ça de plus près
Mais quoi qu'il en soit, moi j'ai abandonné google auprofit de DuckDuckGo, totalement anonymisé et qui en plus facilite grandement mes recherches avec des tags (!php -> recherche sur le manuel php ; !a -> sur amazon, etc...)... j'adore Et y'a aussi Google encrypted que certains (tous ? ) doivent connaître, je ne sais pas ce ue ça vaut niveau anonymat, mais il a l'avantage par rapport au google "classique" de ne pas pointer sur des liens de redirections de google leur permettant de faire des statistiques, toussa, mais directement sur l'url du site désiré... à voir... EDIT : d'après DoNotTrackMe Google encrypted n'a pas l'air d'essayer de me traquer ... |
|
06-05-2013, 22h33
Message : #15
|
|
Bannis Messages : 207 Sujets : 19 Points: 17 Inscription : Oct 2012 |
RE: [Web] Espionnage des visiteurs
(06-05-2013, 22h25)Polo a écrit : Intéressant ton histoire avec DoNotTrackMe, Shirobi, je vais regarder ça de plus près Ce n'est pas car on y voit "encrypted" que c'est si anonyme que ça, du moins ce n'est pas se que me dit l'header: ça me fait penser à la vidéo qu'un membre à poster sur l'initiation à la cryptographie, le mec dit dans la vidéo que les gens se croient sécurisés car ils voient "AES-256" c'est faux |
|
« Sujet précédent | Sujet suivant »
|
Sujets apparemment similaires… | |||||
Sujet | Auteur | Réponses | Affichages | Dernier message | |
|Php] Enregistrer l'ip des visiteurs dans une base de données | Drku | 4 | 398 |
01-03-2012, 12h19 Dernier message: InstinctHack |
Utilisateur(s) parcourant ce sujet : 1 visiteur(s)