660 likes | 875 Views
Le point sur les témoins aussi appelés « Cookies ». Réal Dumoulin, dir. p.i. Benoît Girard, formation des webmestres Direction des inforoutes et de l'information documentaire Ministère des Relations avec les citoyens et de l'Immigration. Plan de l’exposé. Qu'est-ce qu'un témoin?
E N D
Le point sur les témoins aussi appelés « Cookies » Réal Dumoulin, dir. p.i. Benoît Girard, formation des webmestres Direction des inforoutes et de l'information documentaire Ministère des Relations avec les citoyens et de l'Immigration
Plan de l’exposé • Qu'est-ce qu'un témoin? • Dans quelle mesure représente-t-il un danger? • Qu'en est-il de la controverse à ce sujet dans les média? • Quelle attitude convient-il d'adopter?
Qu'est-ce qu'un témoin? Le «témoin» est une composante du protocole HTTP, lequel régit les échanges se déroulant sur le Web. Pour bien comprendre son rôle, il est nécessaire de rappeler brièvement le fonctionnement du Web.
Une requête HTTPSchéma de base Serveur Client Date et heure Nom du fichier, adresse IP, types MIME, modèle du fureteur, etc Log Document HTML
Une même page peut comporter plusieurs requêtes indépendantes
Le schéma de base comporte des inconvénients majeurs • Il est impossible d’engager un dialogue soutenu entre le client et le serveur. • Il est impossible d’opérer la moindre transaction.
Le serveur peut exécuter des programmes Ce qui permet de créer des sites Web dynamiques
Le site Web « statique » Serveur Tous les documents sont préexistants dans le serveur Requête pour un fichier html Document réclamé .html
Le site « dynamique » Le programme utilise les informations brutes Pour composer une page HTML ad hoc Requête pour un fichier .asp ou .php Document réclamé .html
Dans un site dynamique, l'échange d'information est beaucoup plus nourri que dans un site statique.
Une requête avec formulaire La requête donne au serveur les informations du formulaire complété, et le nom du programme à mobiliser. Formulaire Requête avec infos. Document créé
Tout est possible… dans le cadre de cette unique requête L'information est traitable, conservable, manipulable, mais elle est toujours limitée à la seule requête en cours. Il est toujours impossible de lier ensemble deux requêtes et de dire qu'elles concernent une même personne.
Or, la capacité de lier les visites à un même client est souhaitable • Elle permet : • l’accès réservé (mot de passe); • le décompte précis des visiteurs; • la personnalisation de l’expérience des visiteurs; • les transactions commerciales (« panier à épicerie ») • Bref, elle permet l’interactivité.
La solution: le témoin Utiliser l’ordinateur du client pour établir la continuité et garder la trace des échanges.
Le décompte des visiteurs Au lieu de compter les requêtes provenant de la même adresse au cours d’un laps de temps standard (5 à 10 minutes, généralement), on attribue un numéro unique au visiteur. Ce numéro étant associé à toutes les requêtes en provenance d’un internaute particulier, il sert de fil conducteur. Autant de numéros différents, autant de visiteurs différents.
Composition du témoin • L’adresse IP et le chemin (path) de son origine; • Le niveau de sécurité imposé aux échanges; • La date d’expiration; • Les variables (couples nom/valeur pour chacune)
Témoin éphémère versus témoin persistant • La plupart des témoins sont éphémères et disparaissent avec la fin de la session. • Mais, on peut aussi en créer qui durent plus longtemps en leur attribuant une date d’expiration située dans le futur.
Les limites imposées aux témoins • Un site Web ne peut pas lire un témoin qu’il n’a pas créé. • On ne peut créer de témoin pour le premier niveau (Ex.: tous les .ca ou .com) • La taille de l’entête avec témoin est limitée à 4 ko. • Le nombre de témoins est limité à 300 (Netscape)
Plan de l’exposé • Qu'est-ce qu'un témoin? • Dans quelle mesure représente-t-il un danger? • Qu'en est-il de la controverse à ce sujet dans les média? • Quelle attitude convient-il d'adopter?
Résumé de l ’acquis • Un témoin est un petit texte qui permet d'enregistrer des variables sur l'ordinateur du visiteur d'un site Web. • L’information qu’il contient permet de créer un lien entre les différentes requêtes d'un visiteur sur un même site Web.
Autre conséquence • Le témoin persistant permet d’établir un lien entre les différentes visites d’un fureteur sur un même site Web. • Toutes les informations recueillies au cours de ces multiples visites sont donc connectées entre elles au moyen du témoin.
Quelles informations? • Toutes les informations que le fureteur et le serveur s’échangent dans le cours normal de leur opération. • Toutes les informations que vous aurez données en complétant un formulaire envoyé à ce site Web. • Toutes celles contenues dans le témoin.
Que peut-on faire à l'aide de cette palette de moyens? • Tout ce que peut faire un programme informatique avec de l’information : • l’enregistrer, la trier, l’utiliser dans des calculs, etc... • Un usage particulièrement prisé par les représentants commerciaux est le « profil de client ».
Le « profil de client » • Comprend tous vos déplacements dans le site Web; • Toutes les préférences que vous aurez exprimées dans des formulaires; • Tous les autres renseignements que vous aurez donnés sur vous-même.
Sur un seul site? • Pour le moment, toutes ces informations sont limités à vos actions sur un seul site. • Peut-on dépasser cette limite et établir un profil de comportement sur plusieurs sites? • Dans certains cas, oui.
…vous font visiter un nouveau serveur. • Celui de l’agence de publicité qui a loué l’espace publicitaire de la page que vous visitez. • Cette requête permet au serveur de l’agence de vous inoculer un témoin lui aussi.
Une agence publicitaire - des centaines de sites Web • Cette agence peut avoir acheté de la publicité dans des centaines de sites Web différents. • Chacun d’eux, par la requête pour une bannière publicitaire, vous enverra sur le serveur de l’agence…
Le serveur sait d’où vous le contactez • Une des informations standard que serveurs et clients s’échangent est l’adresse IP de la page Web d’où origine une demande. • C’est-à-dire, la page Web où la bannière doit prendre place… • En d’autres termes, la page Web que vous êtes en train de visiter.
Le « profil de client » multisites • Il est donc possible, à travers le témoin, d’établir votre profil de navigation à travers tous les sites Web où une agence a acheté de la publicité.
Un profil multi-agences? • Et si les agences fusionnaient ou s’entendaient pour partager leurs bases de données? • Les témoins d’origines différentes sont distincts et incompatibles... • Mais le jumelage devient possible si les bases de données ont un autre point commun, comme votre adresse de courriel.
C’est légal • Dans l’état actuel des législations, l’établissement de ce genre de profil est légal. • Ses conséquences - recevoir de la publicité non sollicitée - ne sont pas un crime dans nos sociétés.
C’est illicite ou illégal ? • Mais si un gouvernement se mettait à utiliser les mêmes techniques, quel serait le danger, exactement?
Techniques d’auto-défense • Incidemment, l’usager individuel peut se défendre: • Il peut supprimer les témoins en tout temps, sans conséquences fâcheuses pour son ordinateur. • Il peut créer des adresses de courriel tampons entre lui et les sites à témoins.
Plan de l’exposé • Qu'est-ce qu'un témoin? • Dans quelle mesure représente-t-il un danger? • Qu'en est-il de la controverse à ce sujet dans les média? • Quelle attitude convient-il d'adopter?
Il y a matière à préoccupation • Des usages discutables et imprévus • ...dont il faut s’occuper
Le problème n'est pas démesuré • Pas de panique : ces usages sont impossibles à mener en secret!
Trouver la bonne cible à notre intervention • Prudence. Il ne faut pas paralyser toute l'industrie de commerce électronique et la prestation des services électroniques en ligne. • Or, la conjoncture est propice aux réactions intempestives.
Le public est inquiet • Parce qu'il y a un réel fond de danger; • Parce que la culture technique est insuffisante; • Parce que les média cherchent plus à effrayer qu'à instruire. • Parce que le spectre de « Big Brother » est une image frappante et peu réjouissante.
L'enquête de Radio-Canada • Un exemple typique de la couverture que les média font d'Internet: • 604 sites Web publics examinés (125 fédéraux, 191 provinciaux et 288 municipaux); • Près de 10% de ces sites gouvernementaux utilisent des témoins; • De ceux-ci, 86.2% le font sans avertissement.
11 sites Web provinciaux utiliseraient des témoins • Société des alcools du Québec; • Ministère de la Sécurité publique; • Office de la protection du consommateur; • Ministère des Ressources naturelles; • Commission de la construction; • Commission des droits de la personne et de la jeunesse; • Conseil de la langue française; • Régie régionale de la santé; • Agence métropolitaine de transport; • Centre d'étude sur l'emploi et la technologie; • Hydro-Québec.
Les directives du MRCI • Le « Cadre de diffusion de l'information gouvernementale sur Internet » stipule que: • Aucun renseignement personnel ne doit être recueilli sans le consentement préalable et explicite de l'internaute; • Les renseignements recueillis doivent être nécessaires à la prestation de service considérée; • Les renseignements ainsi recueillis doivent être traités avec les mêmes mesures de confidentialité que le courrier postal.
Ces règles sont connues des webmestres gouvernementaux • Le cadre de diffusion est un document connu des webmestres. • Les règles sur la confidentialité ont été diffusées dans le Bulletin des Webmestres en janvier 2000. • Elles ont aussi été présentées de vive voix à WebÉducation en février 2000.