Logo journal du hacker middle
  1. 4
  1.  

  2. 3

    Eh oh, faut franchement se calmer là…

    Ce détecteur est extrêmement important car il évite qu'en changeant de point wi-fi, on ne se retrouve sur un point de portail captif, et qu'on envoie des adresses, des cookies, des identifiants de manière automatique, ouvrant la porte à une interception.

    C'est mon point de vue mais… Heureusement que cette vérification existe !

    1. 2

      Tout à fait d'accord ! L'article souligne en parlant de l'option: “dont je vous avoue mon ignorance totale quant à son utilité sociale”. J'ai trouvé en 2 secondes cette explication (qui reprend ce que @DaScritch viens de dire): https://www.reddit.com/r/privacytoolsIO/comments/6j22nd/disable_firefox_detect_captive_portal_in/djb5fq9

      1. [Comment from banned user removed]

        1. 1

          @bloginfo, après avoir relu 5 fois l'article, je ne vois pas de mention de ce genre. “Pour désactiver cette fonctionnalité dont je vous avoue mon ignorance totale quant à son utilité sociale” est tout ce que je vois.

          @DaScritch vient de donner la raison de l'appel à cette adresse.

      2. [Comment from banned user removed]

        1. 2

          C'est un metabug qui a sa propre page QA https://wiki.mozilla.org/QA/Captive_Portals . La suite des liens est intéressants, notamment les problèmes de stratégie de détection de changement de points wi-fi, pas toujours bien remontées par les OS. Je songe notamment aux features “transparency itinerance” et surtout la mortelle stratégie iOS et Android qui consiste à se connecter au premier point d'accès wi-fi ouvert trouvé, sans forcément en informer les utilisateurs ou les programmes.

          Ayant développé un portail captif pour un groupe de très grosses entreprises, mes tests persos m'ont montré qu'on se retrouvait souvent avec des informations très compromettantes, parce que les scripts PWA balancent la purée, sans forcément recevoir d'événements du type “offline”/“online” indiquant un changement inopiné de point d'accès.

          Après, je ne suis pas surpris que tu n'aie pas vraiment cherché, car ce n'est pas la première fois que je reprends tes posts.

          1. [Comment from banned user removed]

            1. 2

              « Rien » ???? J'ai cherché « detect captive portal firefox » dans un moteur de recherche, la page que je t'ai pointé était le tout premier lien exposé .

              Ensuite, l'URL a été expliquée dans le metabug sur bugzilla https://bugzilla.mozilla.org/show_bug.cgi?id=1202680 . Alors certes, en commentaires, mais quand même… RTFM.

              L'adresse n'est pas supposée être fixée dans le marbre, car certains kits de captive portal qu'on peut qualifier de “malicieux” (je ne vois pas d'autres termes), s'amusent déjà à faker ce genre de page pour essayer de chopper des identifiants à la volée.

              Le tout m'a pris… Allez … 3mn pour te répondre, parce que je trouve ce genre d'article un poil expédié et alarmiste, et si tu n'as pas fait un minimum de recherche, je me demande quel intérêt à fournir à un rythme aussi soutenu des articles avec ce genre d'accroche. La recherche d'audience à tout prix ? Le problème est que ton style d'article ne te semble pas prêter à conséquences, mais que tu vas le laisser en ligne sans une seule correction (ni dans le titre, ni dans le chapeau) pendant des années. Et que des gens vont te croire sans chercher à lire au delà de ton premier chapitre. Sauf qu'ils vont involontairement se mettre dans une situation dangereuse, beaucoup plus grave que la supposée “télémétrie”.

              Tu aurais été responsable, tu aurais ouvert un bug demandant une meilleure information sur un des supports (QA ? fait. KB ? fait aussi), voire tu aurais gentiment demandé sur les réseaux sociaux une réponse AVANT de publier.

              1. [Comment from banned user removed]

                1. 1

                  Honnêtement, il y a quelques infos sur le Bugzilla. Je pense que pour les développeurs c'est un détail d'implémentation ;) Ils ont documenté le fait que c'est potentiellement un problème de vie privée. Après, c'est sûr qu'on peut toujours mieux faire mais je pense qu'il y a déjà pas mal d'éléments pour qui veut se faire une idée précise. Sinon, il reste le code :p

                  1. 2

                    malheureusement on peut jamais vraiment lire le code qui tourne sur un serveur…

      3. [Comment removed by author]