Alertes de sécurité en cours Discussion Discussion
Faire un lien Lien
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée


Live HTTP Headers

Dernière mise à jour : 2017-02-01T00:00 - 01.02.2017
01.04.2012 - 00h00 - Paris - (Assiste - Pierre Pinard)

Live HTTP Headers permet de voir, en temps réel, le contenu des requêtes envoyées par un navigateur.

Assiste.com - Live HTTP Headers
Télécharger gratuitement
Notes de version
Version :
Dernière version
  0,17
Taille :  
MD5 :Cliquez sur le code MD5 suivant. Si le fichier a déjà été analysé, vous accèderez immédiatement au résultat de sa dernière analyse par 43 antivirus simultanés
SHA-1 :Cliquez sur le code SHA-1 suivant. Si le fichier a déjà été analysé, vous accèderez immédiatement au résultat de sa dernière analyse par 43 antivirus simultanés
Système :   Firefox
Licence :   GNU General Public License, version 2.0
Date :   09.05.2011
Langue :  
Auteur :   Daniel Savard, Nikolas Co
Editeur :   Mozilla
Origine :
Changelog Changelog
Signature
Tutoriel :  
Notre éval :  
Votre éval :  
Prix :   Gratuit
 
Mode d'emploi du téléchargement
 
Dans la même famille
 

Live HTTP HeadersLive HTTP HeadersLive HTTP Headers

Live HTTP Headers est un module additionnel à Firefox qui affiche, dans un volet à gauche de l'écran, en temps réel, le contenu de toutes les requêtes envoyées.

On peut voir le contenu des requêtes (dont les données portant problème en matière de vie privée).
  1. Lorsque vous demandez à voir une page Web (clic sur un lien...), votre navigateur (et toute autre application se connectant au Web comme votre client de messagerie...) envoie une requête au serveur de la page demandée.

  2. La page demandée est reçue par votre navigateur qui l'affiche.

  3. De nombreux objets à afficher, qu'ils soient visibles ou invisibles, sont à aller chercher sur d'autres serveurs (les images et messages publicitaires sur les serveurs des régies publicitaires, le bouton Google +1 sur un serveur de Google, le tag des statistiques pour le Webmaster sur le serveur de la société avec laquelle le webmaster a contracté, le bouton Facebook sur un serveur Facebook, le bouton Tweeter sur un serveur Tweeter, etc. ...).

    Votre navigateur est donc obligé de fabriquer et envoyer autant de requêtes qu'il y a d'intervenants. Ce sont donc 10, 15, 20 serveurs de 10, 15, 20 sociétés, qui sont sollicités en quelques millièmes de seconde. Ces sociétés récupèrent l'intégralité de nos données et nos déplacements sur l'Internet. Elles les conservent indéfiniment et les analysent pour en tirer divers profils de chaque individu.

  4. Votre navigateur reçoit les objets et les affiche.
Exemple avec le site du CNET (C|Net) France, dont les pages s'adressent à une vingtaine de serveurs, ceux-ci étant différents selon le contenu de la page, pour un total phénoménal de serveurs (de sociétés espionnes) recevant nos données de navigation :

Avec l'outil "Ghostery", gratuit, créé pour répondre aux obligations légales imposées dans les pays démocratiques, dont les pays d'Europe et d'Amérique du Nord, on peut voir que cette page va chercher des objets sur 19 autres serveurs en plus du sien. L'outil "Ghostery" est l'un des outils de notre "Tableau de préparation des navigateurs".
Avec l'outil "Ghostery", gratuit, créé pour répondre aux obligations légales imposées dans les pays démocratiques, dont les pays d'Europe et d'Amérique du Nord, on peut voir que cette page va chercher des objets sur 19 autres serveurs en plus du sien. L'outil "Ghostery" est l'un des outils de notre "Tableau de protection des navigateurs, de la navigation et de la vie privée".


Avec l'outil "Collusion", gratuit, il est possible de voir, graphiquement, avec qui communique le site visité. Chaque fois qu'une page du site, au centre du graphique, est affichée, elle oblige le navigateur utilisé à faire des requêtes à chacun des serveurs d'autres domaines (sites). Chaque Requête HTTP envoie des informations sur vous à chacune des sociétés qui opèrent ces serveurs.
Avec l'outil "Collusion", gratuit, il est possible de voir, graphiquement, avec qui communique le site visité. Chaque fois qu'une page du site au centre du graphique (ici CNET (C|Net) France) , est affichée, elle oblige le navigateur utilisé à faire des requêtes à chacun des serveurs d'une foule d'autres domaines (sites). Chaque requête HTTP envoie des informations sur vous à chacune des sociétés qui opèrent ces serveurs.

Que contiennent les entêtes HTTP et qu'est-ce qui pose problèmeQue contiennent les entêtes HTTP et qu'est-ce qui pose problèmeQue contiennent les entêtes HTTP et qu'est-ce qui pose problème

Voici ce qu'envoi votre navigateur. Ceci est visible en temps réel en utilisant "Live HTTP Headers".
Le serveur du site visité récupère également d'autres informations, par exemple les
Voir également :
Analyse d'un Entête HTTP (HTTP Header)
  1. Contenu brut de l'entête d'une requête HTTP
    Ici, c'est un clic sur un lien se trouvant sur une page du CNet (C|Net) pour se rendre sur une autre pas du même site.
    Contenu du cookie coupé en plusieurs lignes à cause des contraintes d'affichage.

    http://www.cnetfrance.fr/cartech/hyundai-ix-35-a-hydrogene-50000-euros-pour-la-version-grand-public-39787999.htm

    GET /cartech/hyundai-ix-35-a-hydrogene-50000-euros-pour-la-version-grand-public-39787999.htm HTTP/1.1
    Host: www.cnetfrance.fr
    User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:19.0) Gecko/20100101 Firefox/19.0
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
    Accept-Language: fr,fr-fr;q=0.8,en-us;q=0.5,en;q=0.3
    Accept-Encoding: gzip, deflate
    DNT: 1
    Referer: http://www.cnetfrance.fr/produits/dell-xps-13-full-hd-39788156.htm
    Cookie: bbproduction_lastvisit=1363885598; bbproduction_lastactivity=0; s_getNewRepeat=1363886306777-New;
    s_lv_cnetfr=1363886306779; __utma=114781269.1340294670.1363885672.1363885672.1363885672.1;
    __utmz=114781269.1363885672.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none);
    bwp2=960ae55a60deb4ff2739cc11da479c4f,15.4332736580731,v1; LDCLGFbrowser=0e82ddba-f5d6-4c84-96da-840136fe227d;
    s_fid=22B508C8D2B2D196-234333110059C88A; s_vnum=1366478272913%26vn%3D1;
    cnetfr%3Aproduction%3Asid=nluvbguaiqpcrss7gh3eu5jmh2;
    RT=s=1363901815679&r=http%3A%2F%2Fwww.cnetfrance.fr%2Fproduits%2Fdell-xps-13-full-hd-39788156.htm
    Connection: keep-alive

    HTTP/1.1 200 OK
    Date: Thu, 21 Mar 2013 21:35:48 GMT
    Server: Apache
    Expires: Thu, 19 Nov 1981 08:52:00 GMT
    Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
    Pragma: no-cache
    Vary: Accept-Encoding
    Content-Length: 63852
    Keep-Alive: timeout=20, max=45
    Connection: Keep-Alive
    Content-Type: text/html; charset=UTF-8



  2. Le même contenu, commenté, de l'entête d'une requête HTTP.
    En rouge, ce qui pose problème

    La ressource web demandée par l'internaute
    Lorsqu'une page Web est demandée (votre "clic" sur un lien...), le serveur de la page demandée reçoit une "requête" contenant des informations sur votre "requête". Que le serveur reçoive l'URL de la page demandée est logique et on ne peut y échapper (il faut bien dire au serveur quelle page on souhaite voir, même si cela lui permet de pister ma navigation et mes centres d'intérêts).
    http://www.cnetfrance.fr/cartech/hyundai-ix-35-a-hydrogene-50000-euros-pour-la-version-grand-public-39787999.htm

    Spécification du type de requête - La méthode GET demande la ressource brute (aucun traitement)
    GET /cartech/hyundai-ix-35-a-hydrogene-50000-euros-pour-la-version-grand-public-39787999.htm HTTP/1.1

    Le domaine de la ressource demandée par l'internaute
    N'est réellement utile que si la ressource est sur un serveur mutualisé, hébergeant plusieurs domaines à la même adresse IP.
    Host: www.cnetfrance.fr

    Le navigateur utilisé par l'internaute
    Était très utile aux temps où chaque éditeur d'un navigateur tentait d'imposer ses propres élucubrations et tentait d'élever ses bizarreries au rang de standards. Le serveur devait savoir à quel navigateur il avait à faire pour adapter ce qu'il envoyait aux incompatibilités du client. Aujourd'hui, les recommandations du W3C sont suivies et cette information n'a plus lieu d'être. Le serveur n'a pas à savoir quel navigateur j'utilise et certains petits outils d'anonymisation permettent d'effacer cette zone des entêtes HTTP, où d'y inscrire une imbécilité sans queue ni tête.
    User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:19.0) Gecko/20100101 Firefox/19.0

    Ordre de préférences de l'internaute pour recevoir la réponse
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

    Ordre de préférences de langue de l'internaute pour recevoir la réponse
    Accept-Language: fr,fr-fr;q=0.8,en-us;q=0.5,en;q=0.3

    L'internaute (son navigateur) accepte la compression
    Accept-Encoding: gzip, deflate

    L'Internaute a activé Do Not Track (Voir DNT)
    DNT: 1

    L'internaute venait de cette page lorsqu'il a demandé la nouvelle ressource (permet de pister l'internaute et de remonter toute sa navigation)
    Pour des raisons historiques de mise au point et maintenance du réseau Internet, le serveur reçoit également l'URL de la page précédente (celle sur laquelle vous pouvez revenir en cliquant sur le bouton "Reculer d'une page"). Envoyer cette information était utile pour chercher d'où venaient les erreurs de fonctionnement du réseau, il y a 40 ou 50 ans. Elle n'est plus d'aucune utilité technique aujourd'hui mais continue d'être envoyée. Il est donc possible, de "hop" en "hop", de suivre et reconstituer l'intégralité des déplacements de chaque internautes. Par lecture des contenus des pages visitées, puis analyse, des déductions diverses sont faites, appelées "Profils".
    Referer: http://www.cnetfrance.fr/produits/dell-xps-13-full-hd-39788156.htm

    Le contenu du cookie de tracking du domaine pour cet internaute (dont un Identificateur Unique - GUID)
    Cookie: bbproduction_lastvisit=1363885598; bbproduction_lastactivity=0; s_getNewRepeat=1363886306777-New;
    s_lv_cnetfr=1363886306779; __utma=114781269.1340294670.1363885672.1363885672.1363885672.1;
    __utmz=114781269.1363885672.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none);
    bwp2=960ae55a60deb4ff2739cc11da479c4f,15.4332736580731,v1; LDCLGFbrowser=0e82ddba-f5d6-4c84-96da-840136fe227d;
    s_fid=22B508C8D2B2D196-234333110059C88A; s_vnum=1366478272913%26vn%3D1;
    cnetfr%3Aproduction%3Asid=nluvbguaiqpcrss7gh3eu5jmh2;
    RT=s=1363901815679&r=http%3A%2F%2Fwww.cnetfrance.fr%2Fproduits%2Fdell-xps-13-full-hd-39788156.htm

    Conserver une connexion persistante
    (un code fantôme qui ne sert plus mais est maintenu, au cas où on verrait passser du HTTP/1.0 . Ce truc remonte à la RFC 1945 (en 1990)
    Connection: keep-alive

    ________________________________
    Réponse du serveur
    ________________________________

    Réponse du serveur (Protocole et code de statut - La signification des Codes - Liste en français)
    Le code 200 signifie que "tout va bien" mais ce pourrait être 403 (accès interdit) ou 404 (n'existe pas) etc. ...
    HTTP/1.1 200 OK

    Réponse du serveur (Horodatage de l'acusé de réception)
    Date: Thu, 21 Mar 2013 21:35:48 GMT

    Réponse du serveur (Nature du serveur)
    Server: Apache

    Réponse du serveur (Expiration de la ressource (obsolescence) après qui, ne plus la garder en cache)
    Une telle date fait en sorte que la ressource est toujours considérée obsolète, donc jamais conservée en cache.
    Expires: Thu, 19 Nov 1981 08:52:00 GMT

    Réponse du serveur (Coment utiliser le cache)
    Ici, la ressource doit être entièrement rechargée, ce qui gonfle les compteurs de visites de la page, force les "hits" des publicités et les oblige à être mises à jour.
    Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0

    Réponse du serveur (Coment utiliser le cache)
    Pragma: no-cache

    Réponse du serveur (Si utilisation du cache, infos sur la forme du contenu du cache)
    Vary: Accept-Encoding

    Réponse du serveur (Longueur, en octets, du message envoyé)
    Content-Length: 63852

    Keep-Alive: timeout=20, max=45
    Connection: Keep-Alive

    Réponse du serveur (Encodage utilisé)
    Avec Content-Type, le serveur dit à votre navigateur quel est le type du fichier envoyé (ici, c'est "text/html" - d’autres fichiers pourraient être d'autres types comme "text/plain", "text/css", "image/png", etc. ...).
    Avec Content-Type, le serveur dit également à votre navigateur quel est l’encodage des caractères utilisé (ici "UTF-8").
    Content-Type: text/html; charset=UTF-8

RessourcesRessourcesRessources

Cette section est vide ou insuffisante. Si vous avez des liens vers des ressources significatives, votre aide est la bienvenue, y compris s'il s'agit de votre propre site. Après approbation, ils seront ajoués ici. Assiste n'utilise pas le honteux attribut rel=”nofollow”.

Header Field Definitions
List of HTTP header fields

Requêtes similairesRequêtes similairesRequêtes similaires