web-dev-qa-db-fra.com

Quel type d'informations les sites Web peuvent-ils collecter sur un utilisateur / client?

C'est une question en plusieurs parties:

1) Quel type d'informations les sites Web peuvent-ils collecter sur une personne (son ordinateur ou son appareil) lorsqu'elle visite votre site Web?

Je sais que nous enregistrons les adresses IP et pouvons déterminer votre code postal, votre système d'exploitation, le type de navigateur et la langue maternelle, mais quoi d'autre?

2) Des informations collectées et consignées par le site Web peuvent-elles être utilisées pour retracer une connexion vers un ordinateur spécifique? Les ordinateurs, appareils et téléphones, etc. envoient-ils une sorte d’identifiant unique à un site Web?

Je comprends que les forces de l’ordre peuvent le faire, mais est-ce que cela peut être fait par un webmaster?

3) Si quelqu'un attaque notre site Web comme une attaque par déni de service, pouvons-nous obtenir l'identité ou interdire un ordinateur/appareil spécifique? Ou faut-il que quelqu'un comme le FBI soit enrôlé pour retracer une attaque contre un appareil spécifique? Je sais que nous pouvons interdire les IP.

Je suis sûr que cette question a déjà été posée quelque part, mais je n’ai pas eu la chance de trouver une réponse. J'ai essayé de chercher ceci ici et via google mais je ne pense pas connaître les termes de recherche appropriés.

Veuillez utiliser des termes simples, car je ne suis pas particulièrement familiarisé avec le Web.

3
Ben5454

Quel type d'informations les sites Web peuvent-ils collecter sur une personne (son ordinateur ou son appareil) lorsqu'ils visitent votre site Web?

Je sais que nous enregistrons les adresses IP et pouvons déterminer votre code postal, votre système d'exploitation, le type de navigateur et la langue maternelle, mais quoi d'autre?

Du haut de ma tête -

  • Ton ip.

  • Depuis votre adresse IP, les informations de localisation, parfois jusqu'au niveau de la ville, parfois pas. Parfois, il existe même plus d'informations, par exemple si vous accédez à Internet depuis un campus universitaire. Le fournisseur de services Internet connaît généralement l'identité de l'utilisateur, mais cette information n'est disponible que pour les forces de l'ordre.

  • Dans l'en-tête accept-language, langue (s) utilisateur définie (s) dans le navigateur. Ceci est librement manipulable par l'utilisateur (c'est-à-dire que vous ne pouvez pas faire confiance à ces informations, en particulier dans le contexte d'une attaque.)

  • A partir de votre chaîne d'agent utilisateur, la version du navigateur, éventuellement certaines des extensions installées, et le système d'exploitation. Ceci est librement manipulable.

  • Dans l'en-tête accept:, parfois informations sur les programmes installés, bien que cela ne soit pas très fiable. Ceci est également librement manipulable.

  • De faire un appel JavaScript - votre heure locale sur votre ordinateur, votre résolution d'écran, éventuellement plus d'informations sur les plugins installés comme Java et Flash. Librement manipulable.

  • De faire une demande de géolocalisation HTML 5 dans le navigateur - l'emplacement géographique de l'utilisateur tel que déterminé par GPS, WLAN ou d'autres moyens. Nécessite le consentement de l'utilisateur et est librement manipulable.

2) Des informations collectées et consignées par le site Web peuvent-elles être utilisées pour retracer une connexion vers un ordinateur spécifique?

Dans de nombreux pays, les services répressifs peuvent généralement déterminer la connexion utilisée pour faire une demande auprès d'une adresse IP donnée à un moment donné. Les FAI stockeront ces informations exactement à cette fin.

Cependant, en règle générale, même les forces de l'ordre ne disposent pas d'un moyen fiable de déterminer quel individu ordinateur était à l'origine d'une demande. Il peut y avoir un nombre quelconque d’ordinateurs derrière une adresse IP et la plupart des routeurs ne consignent pas les ordinateurs de leurs clients qui ont demandé quelle heure.

Il existe des moyens peu fiables d’identifier une machine ayant déjà visité un site - la plus populaire consiste à stocker un cookie avec un hachage aléatoire dans le navigateur de l’utilisateur. Ce cookie peut être utilisé pour identifier cette machine lors des accès suivants. Toutefois, cela peut être falsifié (en copiant le cookie) et vous devez savoir sur quelle machine vous avez placé le cookie, ce que vous ne pouvez généralement pas.

Les ordinateurs, appareils et téléphones, etc. envoient-ils une sorte d’identifiant unique à un site Web?

Non.

4
Pekka 웃

S'il s'agit d'une simple attaque par déni de service DoS (à partir d'un petit nombre d'ordinateurs), vous devez le signaler aux autorités, car elles ont les moyens de localiser les sources et si possible, identifiez-les et amenez-les au tribunal. Je ne recommande pas le travail de détective amateur pour traquer les attaquants. Nous payons des taxes pour une raison.

Pour résoudre temporairement le déni de service, le fournisseur d'accès Internet de la société de serveurs peut également bloquer les requêtes d'une plage d'adresses IP vers votre serveur, parmi de nombreuses autres solutions. Ce correctif fonctionnera jusqu'à ce que les attaquants trouvent une autre plage d'adresses IP à partir de laquelle attaquer. Ensuite, votre entreprise de serveur fera rapport à nouveau à son fournisseur d'accès ...

S'il s'agit d'une distribuée attaque par déni de service DDoS, les demandes d'attaque peuvent provenir de milliers d'ordinateurs du monde entier. Les propriétaires de ces ordinateurs ne savent généralement pas que leurs machines sont contrôlées par l'attaquant. S'il est bien planifié et exécuté, il est presque impossible d'arrêter ce genre d'attaque sans fermer le site Web. Peu d'attaques sont bien planifiées et exécutées et il existe des solutions qui fonctionnent pour la plupart des attaques. La clé est de trouver quelque chose qui puisse différencier le trafic légitime de l'attaque.

La solution la plus courante à un fichier DDoS bien exécuté consiste à transférer le site vers une infrastructure de serveur capable de le gérer ou d'attendre et d'espérer que les machines "zombies" trouvent une autre cible. Les attaques DDoS bien exécutées et efficaces sont rares, car elles nécessitent de créer et d'infecter de nombreux ordinateurs avec des chevaux de Troie, et la plupart des attaquants n'ont pas la capacité de le faire.

serverfault.com est le site où aller pour une explication plus détaillée.

2
Osvaldo