Suivre

Google et Hotmail visite les liens que reçoivent leurs utilisateurs. Ce n'est pas nouveau, mais c'est bien de le savoir et de le rappeler.

Exemple, j'envoie un lien "privée", vers un dossier Nextcloud, dans les logs je vois une visite de :

40.94.88.46 - Microsoft
66.102.8.252 - Google

Je vois aussi l'IP du destinataire. ce n'est pas un proxy pour le téléchargement, juste une petite visite pour voir qui fait quoi sur Internet.

Je l'ai déjà sortie plusieurs fois... Je pense que ce message devraient être obligatoire sur le paquets des comptes Gmail.

Afficher le fil de discussion

@manu Il peut y avoir des raisons valables à ça, genre pour afficher une miniature. Mastodon fait ça aussi

@val

C'est vrai sur les plateformes de médias sociaux, puisqu'on s'envoie des liens vers des sites publiques (en générale - d'ailleurs, c'est vrai que ce serait bien une option "lien privée").

Mais dans un courriel, si je veux envoyer un lien uniquement pour les yeux du destinataires, c'est impossible auprès de Gmail et MS-mail.

@manu Et accessoirement ça casse les liens à usage unique (delete après 1er accès) sur des outils de type lufi/lstu…

@val

@devnull @manu En même temps, ça casse facilement ce genre de liens.
Genre impossible de recharger la page si le chargement ne fonctionne pas du premier coup ou qu'il faut changer de navigateur

@val Ça n'empêche pas que ce type de lien à un intérêt, et que l'intrusivité des GAFAM qui imposent ce que bon leurs semble, ne justifie pas de contribuer à casser encore plus ce type de lien, sous prétexte que « Ça ne fonctionne pas toujours à 100% »…

En plus, en pratique, j'ai pas tant de problème que ça, coté « Vrai humain »… D'ailleurs, ce ne sont pas des outils qui imposent cette merde de edge/chrome, donc j'ai du mal à voir dans quel cas « il faudrai changer de navigateur »

@manu

@val En plus, en cas de problème temporaire coté humain/vrai navigateur, tu peux toujours demander à la personne de te remettre un autre lien. EN cas de probème à cause des accès automatiques parce que ton fournisseur d'email lit tes emails et consulte toutes les URL, tu peux rien faire d'autre que de changer de canal. Ça sert à rien de recevoir un autre lien sur le même canal, le problème sera reproductible pour 100% des tentatives. Du coup c'est nettement plus emmerdant.

@manu

@devnull @val

J'ai envie d'ajouter deux trucs:

1. On peut faire un lien à ouverture unique qui fonctionne avec rechargement (exemple : un cookie ou empreinte qui reconnaît le premier visiteur)

2. Ce n'est pas aux GAFAMs de casser ces liens unique pour nous obliger à faire un système plus malin, qui leur permets de visiter aussi.

Les expéditeurs n'ont pas acceptés les conditions générales d'utilisation (ou vente) des fournisseurs de courriels des destinataires.

Bises à vous deux,
: ]

@manu Voila. +1. Surtout pour « Les expéditeurs n'ont pas acceptés les conditions générales d'utilisation (ou vente) des fournisseurs de courriels des destinataires. ». (Pour les autres parties aussi, hein, mais ce dernier point est hyper important à ms yeux)

@val

@manu Officiellement, c’est pour afficher directement dans le mail de l’utilisateur une petite en-tête avec le titre et l’intro de la page en question (raison pour laquelle il faut la lire avant). Et sans doute aussi pour effectuer quelques vérifications que ce n’est pas un site louche, mais va savoir sur quoi ils se basent…

@eurobxl C'est pas à gogle et à microsft/une multinationale/une entreprise privée à but lucratif de décider ce que c'est « un site chelou ».

@manu

@manu Question de curiosité*, dans quels logs retrouves tu ces "traces" ?

* J'aimerai être capable de refaire la démonstration en live à certain·es

@fipaddict Ce sont les logs du serveur web ou se trouve mon instance Nextcloud. Le principe est identique pour n'importe quelle page web.

J’envoie un lien de partage Nextcloud qui contient une suite unique, genre "Xhjd9wkqd9d". À l'ouverture du mail, Hotmail/Gmail visite l'url.

En même temps, je cherche la suite unique dans les logs du serveur web. Et la, je vois les IPs des GAFAMs. Ensuite, en cliquant sur l'url dans le mail, on verra l'IP du visiteur.

@manu Jusque là j'avais suivi. 😜
Ma question était dans quels logs de ton serveur web tu retrouves ces traces. Je m'y pers un peu sur tous les logs de mon côté (Nextcloud via YNH sur un p'tit VPS)

@fipaddict

Dans ton cas, je ne sais pas exactement, MAIS, ça devrait être facile à trouver.

Je suppose que tu utilise YunoHost. Je pense que tu peut le savoir en regardant dans la configuration du serveur web (Nginx à priori).

Sinon, demandons à @yunohost : où se trouve les logs web de Nextcloud ?
: ]

@manu Merci pour cette piqûre de rappel qui me fait me souvenir que je dois encore me débarasser de mon vieux compte #hotmail 😕

J'ai le temps avec le #confinement, donc pas d'excuse...

@manu

oui j'ai vu ca aussi. Sur les doc partagés, parfois tu vois l'utilisateur Microsoft/Google qui se connecte puis disparait...

Je me demande si ce n'est pas lié à leur système antiphishing, antimalware, antivirus... A ton avis?

@tuxicoman

C'est possible, comme disait @eurobxl aussi.

Donc il y a deux parties :

- Afficher une prévisualisation dans le mail de l'utilisateur Gmail/Hotmail (ça c'est certain)

- Voir ce qui se passe au bout du lien (raisons possibles : phishing/malware, statistiques).

Dans tout les cas, il y a une visite non-autorisée qui se fait.

@manu on avait découvert ça il y a plusieurs années lorsqu'on avait envoyé par mail l'url d'un traitement à lancer en fin de journée... le traitement tournait très souvent, parfois lancé par Google, parfois par l'antivirus, parfois par Yahoo, c'était un vrai bazar jusqu'à ce qu'on comprenne.
Désormais, c'est authentification obligatoire

@manu C'est plutôt une bonne chose, je pense. Il y a des entreprises qui offrent comme service de détecter quand le correspondant ouvre un mail, en surveillant les logs pour une ressource cachée qui n'est chargée que quand on ouvre le mail. Si gmail se permet de télécharger les liens, ça poussera tout le monde à le faire et cette forme de surveillance par l'expéditeur disparaîtra.

@manu merci pour l'info il va falloir que je me désengage de tout ça...

@manu
Oui, c'est aussi le cas pour Mastodon et Pleroma pour info.

Pour contourner ceci sur mon instance https://privatebin.tetsumaki.net j'ai écris cette règle nginx, ça pourra servir à d'autres :

if ($http_user_agent ~* .*(bingpreview|bot|crawl|curl|facebookexternalhit|http-client|httpclient|https?://|python-requests|skypeuripreview|spider|twingly|whatsapp)) {
return 403;
}

@tetsumaki

En effet. Cela dit, juste mon avis, pour les lien publiés sur Mastodon/Pleroma/Twitter et même Facebook, pourquoi pas, puisque le lien est publié publiquement. Mais, ce serait une bonne idée que ce ne soit pas le cas pour les messages privés.

Il peut y avoir des cotés pratiques à avoir une prévisualisation, mais ça ne devrait pas être automatique.

@manu
Même si ce n'est pas la raison principale pour laquelle Gmail fait ça, comment sont détectés les indésirables ? Le courriel est lu par un logiciel donc fatalement le lien aussi et si le truc pousse un peu, il va vérifier que le site vers lequel pointe le lien n'est pas un site frauduleux. J'ai un compte Gmail que j'abandonne petit à petit, ben je peux te dire que leur filtre antispam me manque.

@pulsar

J'ai l'impression que la visite de la part des GAFAMs s'opère au moment ou l'utilisateur ouvre le mail (à confirmer, je ne peut pas tester), et donc, après le filtre anti-spam.

Cela dit, c'est tout à fait possible qu'ils utilisent les données récoltées à cette occasion pour nourrir leur filtre anti-spam, mais aussi, pour tout un tas d'autre choses.

@manu @pulsar Snowden nous répondrait que c'est l'intérêt du chiffrement bout à bout. Au moins, seul le destinataire peut lire le contenu du mail, et la question de la confiance en un tiers est alors contournée. (mais bien sûr il faut partir des gafam)

@h30x @pulsar

Et c'est totalement vrai. Mais, il y a aussi les méta-données - qui écrit à qui, quelle heure, depuis quelle IP, quel OS, etc.

@manu @pulsar bien sur, c'est un point central du discours de Snowden. J'ai lu son livre "permanent record" il n'y a pas longtemps, c'est vraiment bien. C'est intéressant même quand on connaît par cœur son histoire parce que ça remet en contexte d'une manière très pédagogique.

@manu Ca fait probablement aussi partie de leur système anti-spam pour le coup.

Inscrivez-vous pour prendre part à la conversation
Hoga Social

Le réseau social de l'avenir : Pas d'annonces, pas de surveillance institutionnelle, conception éthique et décentralisation ! Possédez vos données avec Mastodon !