Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

cr  01.04.2012      r+  22.10.2024      r-  22.10.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Sécurité informatique - Vie privée - Neutralité
Carnets de voyage en terres truquées
Bienvenue sur le Web

Tout d'abord, un peu de formalisme avec les termes :

On navigue sur le Web, exclusivement sur le Web, qui n'est qu'une infime partie des usages du réseau des réseaux : l'Internet.

Internet est l'aspect matériel des choses et le Web s'appuie sur Internet, qui, lui, sert de support.

Le terme « Navigateur Internet » est une faute, dans toutes les langues.

L'usage du nom « Internet Explorer », par Microsoft, pour nommer son navigateur Web, a failli pérenniser l'erreur.



Depuis le début des années 1970, on parle de l'interconnexion des réseaux, sous le terme technique d'internetwork, souvent abrégé en internet (sans majuscule) - Interconnection of Networks. En particulier, il s'agissait de rendre compatibles et intercommuniquants les technologies réseaux de chaque constructeur d'ordinateurs qui freinaient des deux pieds afin de conserver leur clientèle captive.

Le 1er janvier 1983, le réseau ArpaNet adopte TCP/IP qui sera la base d'Internet. Le nom d'Internet, avec une majuscule, devient officiel à cette date (devenant un nom propre).

Le Web n'arrivera que 8 ans plus tard.



L'idée à germée le 13 mars 1989, dans un bureau du CERN, des cogitations de Tim Berners-Lee.

Environ 2,5 ans plus tard, le 06 août 1991, le WWW (World Wide Web) naissait. Ce jour-là :

Le monde va changer.

On oublie trop souvent les noms de :

  1. Le directeur de Tim Berners-Lee, Mike Sendall, qui a été un « Bootstrap » visionnaire.

  2. Le Belge Robert Cailliau qui a développé le WEB aux côtés de Tim Berners-Lee.

En juillet 2004, Tim Berners-Lee sera anobli pour devenir Sir Timothy John Berners-Lee.

En 1994, il fonde le World Wide Web Consortium (W3C), organisme de standardisation et d'assurance de la neutralité d'Internet, qu'il dirige toujours.

Voir l'article complet sur la naissance du Web :



01 Le noyau central : le moteur de rendu

Le « moteur de rendu », c'est ce qui fait comment vous voyez, à l'écran, une page Web, juste la page Web, indépendamment de tout le reste qui s'affiche à l'écran, autour de la page Web visitée (entête, menu, bare de navigation, bare d'outils, panneaux latéraux, bas de la fenêtre, etc.), et relève du navigateur Web, pas du « moteur de rendu » (le navigateur Web peut demander au « moteur de rendu » d'afficher certains objets graphiques qui n'appartiennent pas à la page Web, comme les ascenseurs, les barres d'outils et les menus). Le « moteur de rendu » :

  • Interprète et affiche plus ou moins bien le code HTML selon les standards du W3C (y compris les formulaires et la prise en charge de l'interaction avec l'internaute)

  • En respectant plus ou moins bien les styles et formats décripts dans les feuilles de style en cascade (CSS) selon les standards du W3C

  • En interprétant plus ou moins bien, et plus ou moins rapidement, les codes Javascript (les scripts) de la page Web (il y a divers « moteurs javascript » (« interpréteur javascript ») dans les navigateurs Web dont les tests comparatifs de vitesse font l'objet de combats homériques : SpiderMonkey, TraceMonkey, JägerMonkey, IonMonkey, V8, JavaScriptCore, Chakra, Rhino, Tamarin, Carakan, Futhark, etc.

  • Avec un comportement dit « à tolérance de panne » (« fault tolerant ») qui passe son temps à tenter de rendre visible et cohérente une page bourée de fautes de syntaxe HTML et CSS, comportement hautement et admirablement abracadabrantesque (une véritable gymnastique les pieds au mur) qui fait des merveilles, mais permet aussi beaucoup de laxisme de la part des webmasteurs.

Il existe désormais (normalisation forte) très peu de « moteur de rendu » (Quantum, Webkit, Blink, Gecko et c'est presque tout). Ils sont tous open source (sauf Khtml et Trident, tous deux en voie de disparition).

Les critères de choix vont donc être :

  • Respect des standards du W3C

  • Vitesse

Aucun souci du côté des « moteurs de rendu » en termes de sécurité et de protection ou violation de la vie privée - Les « moteurs de rendu » n'interviennent absolument pas dans ce domaine et ne communiquent pas avec l'ordinateur (sauf les routines appelant les APIs du processeur graphiques et les requêtes en ressources matérielles).

ATTENTION : LE MOTEUR DE RENDU N'EST PAS LE NAVIGATEUR WEB.

Qui utilise quoi ? Quels navigateurs Web (et autres applications) utilisent Webkit ou Gecko ou Quantum ou Blink ?

  • Gecko puis Quantum :
    Un des objectifs de Gecko a été, dès le départ, le strict respect des standards du web et des recommandations du W3C. Les standards reconnus par Gecko sont notamment HTTP, HTTPS, FTP, FTPS, SSL, Unicode, JPEG, GIF, HTML, XHTML, XML, CSS, Javascript, ECMAScript, DOM, MathML, RDF, XSLT, SVG, PNG, RSS, Atom, Ajax et XUL. Gecko est remplacé par Quantum dans Firefox (mais continue d'exister dans des dizaines de navigateurs Web dérivés de Firefox.

  • Trident :
    L'un des objectifs de Microsoft, avec Trident, est de ne respecter aucun standard si ce ne sont pas des « standards » de Microsoft. A ce petit jeu, façe au W3C et face à tous les autres « moteurs de rendu », Microsoft a perdu.

Moteurs de rendu

#

Gecko

Fondation Mozilla

Webkit

Apple-Nokia

Dérivé de KHTML du projet Unix KDE

WebCore

Apple

Dérivé de KHTML du projet Unix KDE

Blink

Google

Dérivé de Webkit

Trident

Microsoft

EdgeHTML

Microsoft

Un fork de Trident

Quantum

Fondation Mozilla

FirefoxKonquerorEpiphanyGoogle ChromeInternet Explorer (toutes les versions, depuis la version 4.0 à 11.0)Edge (jusqu'au passage à Blink annoncé le 8 déc 2018Firefox à partir de la version 57 le 14 novembre 2017
ThunderbirdABrowseFlock (depuis version 3)ChromiumNetscape (dans la version 8)
SeaMonkeyGtkHTML du projet GNOMEiCab (depuis version 4)Opera depuis sa version 15Maxthon (peut utiliser Gecko à la place de Trident)
ServoNetFront (microbrowser pour petits appareils)iWebVivaldiAvant Browser
CaminoOmniWebEdge (annonce du 8 déc 2018)AOL Explorer
Flock (avant la version 3)RapidWeaverYahoo! Explorer
Beonex CommunicatorSafariiRider
Netscape (depuis la version 6)ShiiraGoogle Talk
K-MeleonSunriseBrowserImpulse
GaleonSwift
KazehakaseMidori
Pale Moon (moteur Goanna, basé sur Gecko)Origyn Web Browser
CyberfoxSputnik
WaterfoxNaveo
NvuProtom Navigator
Kompozer
BlueGriffon
Songbird
Lunascape
SmartNet Browser
Epiphany
Fennec
Symphony OS (une distribution de Linux)
Maxthon (peut utiliser Gecko à la place de Trident)



02 Le navigateur Web proprement dit

C'est lui qui permet de cliquer sur un lien pour y aller, d'aller à la page précédente/suivante, de précharger les contenus pointés dans la page Web (c'est une mauvaise bonne idée, ça) pour y accéder plus rapidement si on clique sur l'un de ces liens, de demander le rafraîchissement de la page, de gérer les paramètres et options, de gérer les certificats, de gérer les marque-pages et, surtout, toutes les fonctions et activités cachées, secrètes, avec interdiction d'ingénierie inverse du code lorsque celui-ci n'est pas open source.

  • Code open source : tout le monde peut voir ce qu'il y a dedans, ce qu'il fait et ne fait pas (il ne cache rien). Il n'y en a qu'un : Firefox.

  • Code fermé, propriétaire, secret, et personne ne sait ce qu'il y a dedans, ni ce qu'il fait, ni comment il le fait (filtrage du Web servant au suivi, suivi, pistage, espionnage, tracking, clickstream, suivi des déplacements du pointeur de la souris même sans action (sans clic) de l'utilisateur, géolocalisation, horodatage, mots clé, page précédente, page suivante, préalable au chiffrement HTTPS, exploitation de la caméra, exploitation du micro, contournement du hosts local, collectes de données privées, etc.). Sauf Firefox, ils sont tous à code fermé, dont Google Chrome et Yandex.



03 Les add-on (modules additionnels)

Choisis et installés par l'utilisateur, certains add-on sont de confiance, comme ceux développés par la Fondation Mozilla elle-même ou l'EFF (Privacy Badger, HTTPS Everywhere...), NoScript, Ghostery, Decentraleyes, AdBlock Plus, d'autres sont extrêmement suspects, voire de véritables attaques et virus.



Choisir un navigateur Web pour se rendre sur l'Internet
Choisir un navigateur Web
pour se rendre sur le Web



Le « moteur de rendu » fait comment vous voyez, à l'écran, une page Web, juste la page Web, indépendamment de tout le reste qui s'affiche à l'écran, autour de la page visitée (entête, menu, barre de navigation, barre d'outils, panneaux latéraux, bas de la fenêtre, etc.), et relève du navigateur Web, pas du « moteur de rendu » (le navigateur Web peut demander au « moteur de rendu » d'afficher certains objets graphiques qui n'appartiennent pas à la page Web, comme les ascenseurs, les barres d'outils et les menus). Le « moteur de rendu » :

  • Interprète et affiche plus ou moins bien le code HTML selon les standards du W3C (y compris les formulaires et la prise en charge de l'interaction avec l'internaute)

  • En respectant plus ou moins bien les styles et formats décrits dans les feuilles de style en cascade (CSS) selon les standards du W3C

  • En interprétant plus ou moins bien, et plus ou moins rapidement, les codes JavaScript (les scripts) de la page Web (il y a divers « moteurs JavaScript » [« interpréteur JavaScript »]) dans les navigateurs Web dont les tests comparatifs de vitesse font l'objet de combats homériques : SpiderMonkey, TraceMonkey, JägerMonkey, IonMonkey, V8, JavaScriptCore, Chakra, Rhino, Tamarin, Carakan, Futhark, etc.

  • Avec un comportement dit « à tolérance de panne » (« fault tolerant ») qui passe son temps à tenter de rendre visible et cohérente une page bourrée de fautes de syntaxe HTML et CSS, comportement hautement et admirablement abracadabrantesque (une véritable gymnastique les pieds au mur) qui fait des merveilles, mais permet aussi beaucoup de laxisme de la part des webmasteurs.

Il existe désormais (normalisation forte) très peu de « moteur de rendu » (Quantum, Webkit, Blink, Gecko et c'est presque tout). Ils sont tous open source (sauf Khtml et Trident, tous deux en voie de disparition).

Les critères de choix vont donc être :

  • Respect des standards du W3C

  • Vitesse

Aucun souci du côté des « moteurs de rendu » en termes de sécurité et de protection ou violation de la vie privée - Les « moteurs de rendu » n'interviennent absolument pas dans ce domaine et ne communiquent pas avec l'ordinateur (sauf les routines appelant les APIs du processeur graphique et les requêtes en ressources matérielles).

ATTENTION : LE MOTEUR DE RENDU N'EST PAS LE NAVIGATEUR WEB.

Qui utilise quoi ? Quels navigateurs Web (et autres applications) utilisent Webkit ou Gecko ou Quantum ou Blink ?

  • Gecko puis Quantum :
    Un des objectifs de Gecko a été, dès le départ, le strict respect des standards du Web et des recommandations du W3C. Les standards reconnus par Gecko sont notamment HTTP, HTTPS, FTP, FTPS, SSL, Unicode, JPEG, GIF, HTML, XHTML, XML, CSS, JavaScript, ECMAScript, DOM, MathML, RDF, XSLT, SVG, PNG, RSS, Atom, Ajax et XUL. Gecko est remplacé par Quantum dans Firefox (mais continue d'exister dans des dizaines de navigateurs Web dérivés de Firefox.

  • Trident :
    L'un des objectifs de Microsoft, avec Trident, est de ne respecter aucun standard si ce ne sont pas des « standards » de Microsoft. À ce petit jeu, face au W3C et face à tous les autres « moteurs de rendu », Microsoft a perdu.

Moteurs de rendu

#

Gecko

Fondation Mozilla

Webkit

Apple-Nokia

Dérivé de KHTML du projet Unix KDE

WebCore

Apple

Dérivé de KHTML du projet Unix KDE

Blink

Google

Dérivé de Webkit

Trident

Microsoft

EdgeHTML

Microsoft

Un fork de Trident

Quantum

Fondation Mozilla

FirefoxKonquerorEpiphanyGoogle ChromeInternet Explorer (toutes les versions, depuis la version 4.0 à 11.0)Edge (jusqu'au passage à Blink annoncé le 8 déc 2018Firefox à partir de la version 57 le 14 novembre 2017
ThunderbirdABrowseFlock (depuis version 3)ChromiumNetscape (dans la version 8)
SeaMonkeyGtkHTML du projet GNOMEiCab (depuis version 4)Opera depuis sa version 15Maxthon (peut utiliser Gecko à la place de Trident)
ServoNetFront (microbrowser pour petits appareils)iWebVivaldiAvant Browser
CaminoOmniWebEdge (annonce du 8 déc 2018)AOL Explorer
Flock (avant la version 3)RapidWeaverYahoo! Explorer
Beonex CommunicatorSafariiRider
Netscape (depuis la version 6)ShiiraGoogle Talk
K-MeleonSunriseBrowserImpulse
GaleonSwift
KazehakaseMidori
Pale Moon (moteur Goanna, basé sur Gecko)Origyn Web Browser
CyberfoxSputnik
WaterfoxNaveo
NvuProtom Navigator
Kompozer
BlueGriffon
Songbird
Lunascape
SmartNet Browser
Epiphany
Fennec
Symphony OS (une distribution de Linux)
Maxthon (peut utiliser Gecko à la place de Trident)



C'est lui qui permet de :

  • Cliquer sur un lien pour y aller (l'ouvrir et l'afficher).

  • Aller à la page précédente / page suivante.

  • Permettre des zooms avant / arrière.

  • Permettre de faire des captures d'écran avec plus ou moins de sélections.

  • Précharger les contenus pointés dans la page Web (c'est une mauvaise bonne idée, ça) pour y accéder plus rapidement si on clique sur l'un de ces liens.

  • Demander le rafraîchissement de la page (afficher sa dernière mise à jour).

  • Gérer les paramètres et options.

  • Gérer les certificats.

  • Gérer les marque-pages.

  • Gérer toutes les fonctions et activités cachées, secrètes, avec interdiction d'ingénierie inverse du code lorsque celui-ci n'est pas open source.

    • Code open source : tout le monde peut voir ce qu'il y a dedans, ce qu'il fait et ne fait pas (il ne cache rien). Il n'y en a qu'un : Firefox.

    • Code fermé, propriétaire, secret, et personne ne sait ce qu'il y a dedans, ni ce qu'il fait, ni comment il le fait (filtrage du Web servant au suivi, suivi, pistage, espionnage, tracking, clickstream, suivi des déplacements du pointeur de la souris même sans action (sans clic) de l'utilisateur, géolocalisation, horodatage, mot-clé, page précédente, page suivante, préalable au chiffrement HTTPS, exploitation de la caméra, exploitation du micro, contournement du hosts local, collectes de données privées, etc.). Sauf Firefox, ils sont tous à code fermé, dont Google Chrome et Yandex.

  • Etc.



Choisis et installés par l'utilisateur, certains add-ons sont de confiance, comme ceux développés par la Fondation Mozilla elle-même ou l'EFF (Privacy Badger, HTTPS Everywhere...), NoScript, Ghostery, Decentraleyes, AdBlock Plus, d'autres sont extrêmement suspects, voire de véritables attaques et virus.





  • Choisir un navigateur Web