Rigo Wenning@bortzmeyer la fin de la vie privé par QUIC? La notion de "session", va t'elle diparaitre? Huitema voit un risque
Stéphane Bortzmeyer@rigo Ah, je n'ai pas regardé ce problème. Des références ?
@bortzmeyer https://mail.tools.ietf.org/html/draft-huitema-quic-dnsoquic-01 Mais c'est un prob générale de QUIC et de SPDY. Il faut donc une option pour le 'reset' de la connexion. Hors, je crois que notre joli économie de surveillance ne va pas implémenter un bouton pour le controler
@bortzmeyer
Okay, en mode privé, ton navigateur oublie l'état dans lequel il était quand tu le fermes. Les cookies sont effacés. En mode pas si privé, tu peux dire à ton navigateur d'accepter uniquement les session-cookies. Puis tu peux dire à ta connexion orange de changer d'IP. Mais QUIC mémorise l'état puis reprends la session. Donc, le serveur DNS, mais plus généralement le serveur HTTP te reconnaitront malgré tout. Par défaut. Le rève pour la pub ciblé.
Okay, en mode privé, ton navigateur oublie l'état dans lequel il était quand tu le fermes. Les cookies sont effacés. En mode pas si privé, tu peux dire à ton navigateur d'accepter uniquement les session-cookies. Puis tu peux dire à ta connexion orange de changer d'IP. Mais QUIC mémorise l'état puis reprends la session. Donc, le serveur DNS, mais plus généralement le serveur HTTP te reconnaitront malgré tout. Par défaut. Le rève pour la pub ciblé.
@rigo Ce n'est qu'une méthode de "fingerprinting" parmi hélas de nombreuses autres (et ce n'est pas tellement QUIC que TLS, avec son session resumption).
@bortzmeyer exact, mais Huitema a la bonne idée de demander un bouton "reset". Et je trouve qu'il a raison :)
Pierre Beyssac@rigo @bortzmeyer pourquoi ne pas plutôt intégrer ce mécanisme dans les navigateurs pour qu'ils fassent eux-mêmes ce qu'il faut au moment opportun ?
@pb @bortzmeyer parce que les navigateurs sont fabriqués par des gens qui ont un intérêt à te reconnaître. C'est leur fond de commerce. Donc, ça m'étonnerait qu'ils fassent.
@rigo @bortzmeyer ça dépend lesquels. Pas Firefox notamment.
@pb oh que si. Il est très dur d'arrêter le javascript dans firefox. Vivalid est mieux, dans ce domaine. Et opera 12 est sans égale. Sauf que opera 12 un un peu agé maintenant
@bortzmeyer l'amélioration d'utiliser quic, c'est contre le MTM (mouches) car c'est crypté. Bon, mais ça donne plus de capacité de surveillance aux points finales, donc aux GAFA.
@rigo Euh, les serveurs DNS ne sont pas tous contrôlés par les GAFA (ou alors on compte l'AFNIC, Verisign et FDN dans les GAFA :-)
@bortzmeyer Ok pour le DNS (j'utilise celui du CCC), mais je parle plutôt de l'impact vie privé du traffic web