Stéphane Bortzmeyer

N’eut-il pas été plus simple de faire un SRV _https._tcp.example.com.?
Si ? Ah. Bon. Impatient de voir les contournements de SOP liés à cette nouvelle... RFC.

Accessoirement, je suis surpris de ne pas te voir hurler à la mort. La vie privée en prend un sacré coup avec ce mécanisme. Super cookie, me voici.

@X_cli Oui, HTTP est hélas le seul protocole Internet où il n’y a pas de mécanisme d’indirection du domaine vers le serveur :-( Pas de SRV, pas de MX :-(

@X_cli Pour l’histoire du super-cookie, tu peux détailler ? Tous les serveurs « alternatifs » sont choisis par le gérant du serveur « origine ». Donc, on suppose qu’ils font partie de la même bande. Et qu’il n’y a donc rien d’étonnant à ce qu’ils partagent les mêmes données.

Quelle différence (pour la vie privée) avec le cas où un « load balancer » peut rediriger vers plusieurs serveurs ?

Mettons que je sois une régie publicitaire voulant traquer un utilisateur à travers plusieurs sites, un réseau social voulant faire un shadow profile d’utilisateurs, via des boutons mis sur tous les sites, ouun gestionnaire de site voulant identifier de manière unique un utilisateur derrière du NAT. Scénario Sci-Fi, donc.
Je génère un nom de domaine unique par utilisateur qui vient voir l’URI principale et je mets l’attribut « persist » ou un âge très important.

Par exemple, mettons que tu retournes ${RANDOM}.www.bortzmeyer.org pour la page d’accueil de ton blog. Mon navigateur mémorise que a874HgkIh.www.bortzmeyer.org est l’URL à interroger pour accéder à la homepage de ton blog.
Dorénavant, à chaque fois que tu auras un visiteur de ton blog accédant à a874HgkIh.www.bortzmeyer.org, tu sauras que c’est « moi », identifié par l’URL qui m’est unique. « Moi » et non moi, car tu sauras que c’est le même utilisateur (ou plus précisément le même profil navigateur), mais tu ne sauras pas mon nom.

Edit : je précise que cela m’a sauté aux yeux, mais après vérification, c’est bien un élément qui est évoqué dans les « security considerations » de la RFC.