GuiGui's Show

Ho, très utile l'argument « -d » : display time described by STRING, not 'now'.

$ date ; date -d "1 month" ; date -d "-1 min"
Thu Mar 19 15:05:51 CET 2015
Sun Apr 19 16:05:51 CEST 2015
Thu Mar 19 15:04:51 CET 2015

Application : créer un fichier vieux d'une semaine : touch -d "`date -d "-1 week"`" test

« Dans un article publié mercredi soir, Le Monde (qui lui-même constate que le site "ne fait effectivement aucune apologie ouverte du terrorisme") révèle que les services de l'Etat ont exigé des FAI qu'ils bloquent l'accès à l'ensemble du média couvrant l'actualité du monde islamique parce qu'il "reproduit – sans le mettre en perspective – un discours d'Al-Baghdadi dans lequel le leader de l'EI invite à « déclencher les volcans du djihad partout », et héberge le fichier audio de ce discours in extenso".

L'article du 13 novembre 2014 encore visible en cache Google faisait effectivement une explication de texte du discours audio de 17 minutes d'Abu Bakr al-Baghdâdi, pour en analyser dans un premier temps les motivations politiques et le contexte militaire, avant d'en citer des extraits sans livrer de commentaire particulier. A aucun moment il n'en fait l'apologie. "Ce message audio se caractérise par la virulence des attaques contre la coalition arabo-occidentale", et "ne laisse aucun doute sur les futures intentions de l’organisation", écrivait simplement l'auteur d'Islamic-News.

De son côté, Arrêt sur Images constate également que "le rédacteur ne commente ni favorablement, ni défavorablement les déclarations d'Al-Baghdadi".

[...]

 "Beauvau rappelle toutefois que le responsable d'Islamic-news.info dispose d'un droit de recours, une possibilité qu'aucun des cinq sites bloqués vendredi n'a encore fait valoir jusqu'ici. Les quatre autres sites hébergeant des contenus à la teneur djihadiste bien plus évidente, il serait bien improbable qu'ils en usent", ajoute le quotidien.

Un média ainsi censuré a donc le droit de contester sa censure, et il faudrait s'en contenter aux yeux du ministère de l'intérieur. Mais comme l'écrit le créateur d'Islamic-News, "le mal est déjà fait". "L’étiquette du « terrorisme » a été déposée et personne ne pourra l’enlever même pas la décision d’un juge. La page Facebook a été supprimée sans aucune raison. Mon compte Facebook personnel est vide, je n’ai jamais rien publié et pourtant il a été supprimé."

Une certaine idée de l'état de droit. Qui n'est pas la nôtre. »

Non mais c'est quoi ce délire ! O_O C'est l'hébergement d'un fichier audio qui a posé problème ? Vraiment ? Pourquoi ne pas avoir utilisé la LCEN pour le faire retirer par éditeur/hébergeur, alors ?! Aucune demande n'est parvenue jusqu'à l'hébergeur : https://twitter.com/olesovhcom/status/577401572235296768 . Pourtant, la censure administrative de la loi n°2014-1353 du 13 novembre 2014 prévoit un principe de subsidiarité qui veut que la police s’adresse d’abord à l’hébergeur pour faire supprimer le contenu et que passé un délai de 24h, sans réponse ou sans effet, elle peut ordonner aux FAI de procéder à la censure.

« Cette installation de Confluence ne dispose pas d’une licence pour des utilisateurs supplémentaires.
Vous avez dépassé le nombre maximal d’utilisateurs pour cette licence. Vous aurez accès au contenu mais, afin de créer ou modifier le contenu, vous devez réduire le nombre d’utilisateurs actifs dans l’installation.

Il y a deux moyens de réduire le nombre d’utilisateurs actifs :

    Désactiver des utilisateurs
    supprimer des utilisateurs

Pour désactiver ou supprimer un utilisateur, allez sur la page Utilisateurs et cherchez son nom. Cliquez sur le lien approprié et sélectionnez l'option Supprimer ou Désactiver. »

« Avast ferait-il du MITM (pour Man In The Middle, une forme d’attaque informatique) depuis quelques temps ?

Car oui, depuis quelques jours, consciencieuse comme je suis, j’avais mis à jour ma version d’Avast. Bien sûr comme à chaque fois, pas de patch-notes complètes, à part un rapide coup d’oeil sur les dernières features (et encore, seulement pour faire de la pub pour la version payante).

Ainsi donc, après ma découverte sur linuxfr.org, je décide de vérifier les autre sites. Résultat ?

Et oui, on ne le dira jamais assez : le cadenas ne suffit pas ! Vérifier le certif aussi est important. preuve en est : depuis 2-3 jours avec Avast 2015, je ne remonte le souci qu’après avoir dû vérif un certif, autrement… ceci me serait passé totalement inaperçu.

Avast pratique donc du déchiffrement SSL sur tout le trafic https de votre machine, ce qui est une faille importante de sécurité à mes yeux (et surtout de confiance).

Un MITM (Man in the Middle) consiste à s’introduire sur le réseau, de manière dérobée, entre 2 correspondants (basiquement Alice et Bob pour les connaisseurs). L’attaquant se fera donc passer pour Alice auprès de Bob et inversement, il se fera passer pour Bob auprès d’Alice :

Dans le cas d’un déchiffrement SSL sur votre machine, cela permet à Avast de :

- intercepter toutes vos données (voire plus) transitant par votre navigateur depuis les sites web (comment vérifier si il ne le fera pas ? Impossible de savoir…)

- avoir vos infos en clair à un moment ou à un autre (données sensibles s’abstenir)

- Rendre inutile l’utilisation du cadenas : comment savoir que je parle bien à ma banque par exemple ? Avast m’empêche d’avoir accès au certif original et donc de vérifier l’info.

- Introduire en local une faille critique : un spyware présent sur votre machine ou votre réseau local pourrait très bien avoir accès à ces flux déchiffrés, et donc être au même niveau qu’Avast en ce qui concerne les droits sur vos données persos car, rappelons-le, un AV du calibre d’Avast a un accès limite root sur votre machine.

Notez d’ailleurs qu’Avast fait de même pour les mails : cette « feature » est également active par défaut pour les mails qui transitent via SMTP avec SSL.

[...]

Heureusement il existe une solution rapide à cela. Avast vous permet d’enlever d’un click ces 2 protections, dans les paramètres de votre antivirus (section Agent Web et Agent Mail) »

Via http://seenthis.net/messages/351006

Simuler un fichier stéréo, plutôt mais c'est utile quand un des canaux est endommagé ou n'a pas été enregistré. Si vous êtes dans un tel cas, la flèche qui contient « Joindre en piste stéréo » contient aussi une action « Séparer stéréo vers mono » qui permet de virer le canal défectueux.

« Vous avez peut-être (mais sans doute pas) entendu parler des lois LOPPSI et Terrorisme (cette dernière votée fin 2014) et de leur décret d’application (sorti en début d’année 2015).

Pour ne pas accabler le gouvernement, il faut savoir que le PS a combattu le blocage sans juge avec succès lorsqu’il était dans l’opposition, pendant le mandat Sarkozy, avant de le voter quasi unanimement en 2014, avec l’aide du PCF (qui voulait en fait voter contre mais ne s’en est aperçu qu’après).

Ces lois permettent à la police, sans intervention d’un juge et sans aucune transparence, de bloquer, avec l’aide de certains fournisseurs d’accès (les 4 plus gros en France, à savoir Orange, Free, SFR-Numéricâble et Bouygues) un site Internet faisant l’apologie du terrorisme.

Le blocage, techniquement parlant, est un blocage DNS, mais cela n’a guère d’importance ici.

Théoriquement, le principe de subsidiarité veut que l’hébergeur ait 24 heures pour couper le site incriminé ; le blocage DNS n’étant supposé être activé qu’à l’issue de ce délai et en l’absence de coupure par l’hébergeur ou l’éditeur. Les deux blocages ayant été mis en place, rien ne dit que ce délai a été respecté (mais rien ne dit non plus le contraire), en raison de l’opacité des procédures.

Le premier site bloqué ainsi (ou plutôt, dont quelqu’un constate publiquement le blocage, puisque tout cela se fait dans l’opacité la plus totale) est islamic-news.info. C’est un site dont, personnellement, je n’avais jamais entendu parler jusqu’à ce jour. Si vous cliquez sur ce lien, vous allez vous retrouver :
    * ou bien sur une page d’avertissement du ministère de l’Intérieur, si votre FAI est l’un des quatre susnommés et que vous utilisez leurs serveurs DNS ;
    * ou sinon sur rien du tout, le site en question (chez un hébergeur français) ayant été manifestement coupé (on ne sait pas par qui).

[...]

Il s’agit d’un site d’actualités islamiques apparemment assez “engagé”, comme d’autres sites non moins engagés mais sur d’autres sujets, également situés en France. Le site fait-il vraiment l’apologie du terrorisme ? Difficile à dire, on entre là dans le jugement de valeur.

Et c’est bien tout le problème.

La police a “jugé” (guillemets) que oui, ce site fait l’apologie du terrorisme. Nous sommes obligés de lui faire confiance, n’ayant ni accès à l’intégralité du site, ni la possibilité de trouver quel est le contenu incriminé précisément (cela ne me saute pas aux yeux sur la page d’accueil).

La décision de la police n’a pas à être motivée, tout juste est-elle susceptible de recours hiérarchique — les nouvelles règles sur l’acceptation implicite de l’administration en l’absence de réponse de sa part dans le délai imparti ne s’appliquent pas ici, ce serait trop beau :

    En l’absence de réponse de l’administration dans un délai de deux mois à compter de la date de réception de votre recours, celui-ci doit être considéré comme implicitement rejeté.

Ensuite un recours est possible auprès du tribunal administratif de Cergy-Pontoise, ce qui est rendu d’autant plus difficile que la décision à contester n’est ni publique ni motivée.

[...]

Nous nous retrouvons donc dans un régime où la police, sans contre pouvoir réel car avec des voies de recours extrêmement difficiles et aléatoires, peut décider de ce que nous avons le droit de voir ou pas.

Vous pensez peut-être que, pour lutter contre le terrorisme, cela est parfaitement anodin et normal, et que les services administratifs de la police n’ont de compte à rendre à personne en termes de transparence.

Sachez alors que Christiane Taubira, ministre de la justice, propose l’extension de ce blocage sans juge aux contenus antisémites et racistes — sur simple estimation opaque et non motivée de la police, là encore.

Sachez enfin qu’un député PS, Guy Delcourt, du Pas de Calais, a demandé très récemment l’extension de ce blocage aux injures envers les élus (uniquement envers les élus), sous couvert de protection de la démocratie. C’est ici, trouvé par l’œil affûté de Nextinpact :

http://questions.assemblee-nationale.fr/q14/14-75404QE.htm

Dans l’indifférence pour ne pas dire l’approbation quasi-générale,  l’état de droit continue donc à s’effriter peu à peu avec la mise en place par nos gouvernements et parlementaires de procédures d’exception, sous prétexte de protection de… l’état de droit. »

« Le décret n° 2015-125 du 5 février 2015 « relatif au blocage des sites provoquant à des actes de terrorisme ou en faisant l'apologie et des sites diffusant des images et représentations de mineurs à caractère pornographique » est désormais rentré en application. Cela fait quoi, en pratique ? Regardons un peu ce qui se passe pour un site Web censuré.

Prenons l'exemple de http://islamic-news.info/ dont, je suppose, d'après son nom de domaine, qu'il s'agit d'un site de propagande intégriste (je n'ai pas pu le consulter, pas à cause de la censure française, facile à contourner, mais parce qu'il semble en panne). Si on essaie de le consulter depuis un FAI français typique, on obtient à la place une page Web avec une main rouge menaçante et un texte TOUT EN MAJUSCULES « VOUS AVEZ ÉTÉ REDIRIGÉ VERS CE SITE OFFICIEL CAR VOTRE ORDINATEUR ALLAIT SE CONNECTER À UNE PAGE DONT LE CONTENU PROVOQUE À DES ACTES DE TERRORISME OU FAIT PUBLIQUEMENT L'APOLOGIE D'ACTES DE TERRORISME ». Comment est-ce réalisé ?

Les différents textes officiels sur ces mesures de censure n'imposaient pas aux FAI une technique particulière mais les conditions de mise en œuvre (liste noire de noms de domaine, obligation de rediriger vers « CE SITE OFFICIEL » situé au ministère de l'Intérieur), fait que la solution la plus simple est de mettre en place un résolveur DNS menteur.

[...]

 Est-ce bien ce trompeur 90.85.16.52 qui est le site officiel servant la « main rouge » ? Testons-le en HTTP. Il y a plusieurs méthodes pour cela mais j'ai utilisé une des plus simples, mettre dans mon fichier local /etc/hosts l'adresse de ce site pour un nom bidon :

% cat /etc/hosts
...
90.85.16.52 front-liberation-potamocheres.example

Et, en visitant http://front-liberation-potamocheres.example/, j'ai bien la page à la main rouge.

Notez que cela veut dire que le ministère de l'Intérieur est au courant de mon intérêt pour cet animal : avec ce système, l'utilisateur est redirigé, à son insu, vers un serveur Web du ministère de l'intérieur, qui aura accès, via le champ HTTP Host: (RFC 7230, section 5.4) au nom originellement demandé. Lourde responsabilité pour le FAI qui, en configurant son résolveur DNS pour rediriger, fait cette redirection, il envoie ses clients vers un site qui saura si on aime les potamochères, le djihad ou les photos pédophiles.

Notez que la CNIL avait formulé un avis sur ce point, et noté que « [les textes officiels ne] permet ni la collecte ni l'exploitation, par l'OCLCTIC, des données de connexion des internautes qui seraient redirigés vers la page d'information du ministère de l'intérieur. Elle [la CNIL] rappelle que si des traitements de données à caractère personnel spécifiques étaient alimentés par ces données, ils devraient être soumis à l'examen préalable de la commission. » Bref, la CNIL ne se mouille pas. Pas d'avis concret, du genre « l'adresse IP source et le champ Host: ne devront pas être journalisés", ce qui serait la moindre des choses, et laisserait quand même le minstère de l'Intérieur faire des statistiques sur le nombre de visiteurs des sites censurés. (Note technique au passage, si vous utilisez Apache, la directive pour journaliser l'adresse IP source est %h - ou %a - et celle pour le champ Host: est %v. Ce sont ces deux directives qu'il faudrait retirer du LogFormat du ministère pour ne pas fliquer les utilisateurs. Cf. la documentation d'Apache.)

[...]

Continuons avec d'autres détails techniques : le « SITE OFFICIEL » est sans doute en place depuis très peu de temps car DNSDB (qui n'est pas temps réel, loin de là), n'a pas encore vu de noms se résolvant en 90.85.16.52 (DNSDB permet de chercher par le contenu de la réponse DNS, pas juste par le nom demandé).

[...]

% python resolve-name.py --country=FR islamic-news.info
Measurement #1895736 for islamic-news.info/A uses 498 probes                                
[] : 22 occurrences
[90.85.16.52] : 346 occurrences
[37.59.14.72] : 403 occurrences
Test done at 2015-03-15T15:39:15Z

À peu près la moitié des sondes Atlas en France voient la censure. Notez que les sondes Atlas ne sont pas du tout représentatives : installées par des volontaires, sans doute dans des réseaux plus geek que la moyenne, elles ont plus de chances d'avoir un résolveur local non menteur (voir plus loin, pour cette solution anti-censure).

[...]

Et DNSSEC ? Est-ce qu'il résoudrait ce problème ? Non, car la validation est faite dans le résolveur. S'il est menteur, le fait de valider ne changera rien. Seul avantage, les gens qui valident avec DNSSEC ne verront pas la page d'information du ministère de l’intérieur (et ne seront pas enregistrés par ledit ministère) puisque le mensonge dans le résolveur entrainera une erreur (SERVFAIL : Server Failure) sur les domaines signés (ce qui n'est de toute façon pas le cas de islamic-news.info).

Quelles solutions sont disponibles si on veut quand même voir la propagande djihadiste ? La seule solution propre techniquement est d'avoir son propre résolveur DNS. En attendant, on peut utiliser un résolveur non-menteur (en supposant qu'il ne soit pas détourné et que le port 53 ne soit pas filtré). Dans tous les cas, il est sûr que la stabilité et la sécurité de l'Internet vont en souffrir. »

About:config

    ÉDIT DU 19/07/2023 : je recommande de repartir de la [liste Arkenfox](https://github.com/arkenfox/user.js), car, ici, il y a pas mal de paramètres obsolètes en sus des paramètres actuels. FIN DE L'ÉDIT.

    browser.newtab.url -> about:blank
    ÉDIT DU 10/06/2016 À 19H05 : apparemment, dans les versions plus récentes, il faut également modifier une autre valeur : browser.newtabpage.enabled -> false FIN DE L'ÉDIT.
    => Ne pas afficher une mosaique de mes sites "préférés" lors de l'ouverture d'un nouvel onglet. https://support.mozilla.org/fr/kb/page-nouvel-onglet-afficher-masquer-personnaliser-sites-preferes
   
    ÉDIT DU 19/07/2023 : a priori, il faut aussi virer tout ça :
      browser.newtab.preload -> false
      browser.newtabpage.activity-stream.feeds.telemetry -> false
      browser.newtabpage.activity-stream.telemetry -> false
      browser.newtabpage.activity-stream.feeds.snippets -> false
      browser.newtabpage.activity-stream.feeds.section.topstories -> false
      browser.newtabpage.activity-stream.section.highlights.includePocket -> false
      browser.newtabpage.activity-stream.showSponsored -> false
      browser.newtabpage.activity-stream.feeds.discoverystreamfeed -> false
      browser.newtabpage.activity-stream.showSponsoredTopSites -> false
      browser.newtabpage.activity-stream.default.sites -> ""
    FIN DE L'ÉDIT DU 19/07/2023.
   

    browser.safebrowsing.enabled -> false
    browser.safebrowsing.malware.enabled -> false
ÉDIT DU 04/11/2015 à 0h50 : suite à la lecture de http://aldarone.fr/que-fait-firefox-sur-le-reseau-quand-on-le-demarre-et-faut-il-y-remedier/ et https://julien.mailleret.fr/links/?4aVk5g, j'ajoute :
    browser.safebrowsing.downloads.enabled -> false
FIN DE L'ÉDIT
ÉDIT DU 05/01/2020 À 19 H 10 :
    browser.safebrowsing.downloads.remote.enabled -> false
    browser.safebrowsing.blockedURIs.enabled -> false
    browser.safebrowsing.allowOverride -> false
FIN DE L'ÉDIT DU 05/01/2020 À 19 H 10.
    => Non, Google ne connaîtra pas toutes les URL des sites web que je visite en échange d'une prétendue protection.

    browser.search.openintab -> true
    => Ouvrir un nouvel onglet pour afficher les résultats d'une recherche effectuée depuis la barre de recherche.

    browser.urlbar.trimURLs -> false
    => Ne pas supprimer le protocole (« http:// », par exemple) lors de l'affichage des URLs dans la barre d'URL.

    dom.event.clipboardevents.enabled -> false
    => Voir http://shaarli.guiguishow.info/?7taesA

    general.warnOnAboutConfig -> false
    => Je suis un grand garçon, ne pas m'avertir que je peux tout casser à chaque fois que je vais dans about:config.

    network.proxy.socks_remote_dns -> true
    => Lors de l'utilisation d'un proxy SOCKS, proxifier aussi le trafic DNS.

    network.http.speculative-parallel-limit -> 0
    network.dns.disablePrefetch -> true
    network.prefetch-next -> false
    => Ne pas précharger les pages sur lesquelles je serais susceptible de cliquer dans une page web (liens et co).

ÉDIT DU 04/11/2015 à 0h50 : Suite à la lecture de https://julien.mailleret.fr/links/?4aVk5g, j'ajoute :
    media.eme.enabled -> false et media.eme.apiVisible -> false. «  JavaScript API for playing DRMed video content in HTML » (https://wiki.mozilla.org/Media/EME)

    loop.enabled -> false. « Firefox Hello is the new online chat feature being offered by Mozilla Firefox web browser. » (http://www.trishtech.com/2015/01/disable-firefox-hello/ et https://wiki.mozilla.org/Loop/Load_Handling)

    geo.enabled -> false (« Share Location Data with sites (about:config geo.enabled preference) »). Attention : les sites commerçants qui mettent en place de la restriction géographique (genre les sites de VoD FR/US) ne fonctionneront plus !
FIN DE L'ÉDIT.

ÉDIT DU 04/11/2015 à 0h50 : Suite à la lecture de http://aldarone.fr/que-fait-firefox-sur-le-reseau-quand-on-le-demarre-et-faut-il-y-remedier/, j'ajoute :
    browser.search.geoip.url -> false

    geo.wifi.uri -> false
FIN DE L'ÉDIT.

ÉDIT DU 05/11/2015 à 03h35 :
    media.peerconnection.enabled -> false en attendant media.peerconnection.ice.force_interface -> tun0 à partir de Firefox 43. Voir http://shaarli.guiguishow.info/?SbTFTQ
FIN DE L'ÉDIT.

ÉDIT DU 01/10/2017 À 20h30 :
    media.navigator.enabled -> false. Un site web ne peut plus connaître l'état du microphone et de la souris.
FIN DE L'ÉDIT DU  01/10/2017 À 20h30

ÉDIT DU 10/06/2016 À 0H45 :
    media.autoplay.enabled -> false . À partir de Firefox 41 : permet de virer le spam vidéo non flash (les vidéos dont la lecture débute automatiquement). Voir http://shaarli.guiguishow.info/?aJehow
   
    media.autoplay.blocking_policy -> 2

    dom.webnotifications.enabled -> false . À partir de Firefox 44 : permet de désactiver les demandes d'accord des notifications push de la part des sites web. Voir http://shaarli.guiguishow.info/?bvGHGg
FIN DE L'ÉDIT.

ÉDIT DU 30/08/2016 À 14H40 :
    datareporting.policy.dataSubmissionEnabled -> false

    datareporting.healthreport.uploadEnabled -> false

    datareporting.healthreport.service.enabled -> false

    toolkit.telemetry.enabled
    toolkit.telemetry.unified -> false
    toolkit.telemetry.server -> "data:,"
    toolkit.telemetry.archive.enabled -> false
    toolkit.telemetry.newProfilePing.enabled -> false)
    toolkit.telemetry.shutdownPingSender.enabled -> false)
    toolkit.telemetry.updatePing.enabled -> false
    toolkit.telemetry.bhrPing.enabled -> false
    toolkit.telemetry.firstShutdownPing.enabled -> false
    toolkit.telemetry.coverage.opt-out -> true
    toolkit.coverage.opt-out -> true
    toolkit.coverage.endpoint.base -> ""
    browser.ping-centre.telemetry -> false
    app.normandy.enabled -> false
    app.normandy.api_url -> ""
    => On vire les HealthReports (une fonctionnalité bullshit censée nous informer de la performance et de la stabilité de notre navigateur à travers le temps, voir https://support.mozilla.org/en-US/kb/firefox-health-report-understand-your-browser-perf ) et la télémétrie (une autre fonctionnalité bullshit pour collecter et envoyer des mesures de perfs, la consommation et la personnalisation de Firefox aux devs, voir https://wiki.mozilla.org/Telemetry ).
FIN DE L'ÉDIT.

ÉDIT DU 02/01/2016 à 22h05 :
    security.OCSP.enabled -> 0. Voir https://www.grc.com/revocation/ocsp-must-staple.htm . Non, les autorités de certification x509 n'auront pas la liste des sites web que je consulte au motif de m'indiquer si un certificat x509 est révoqué ou non. De plus, ce protocole est souvent bloqué sur les réseaux crades où règnent portails captifs et co. Par contre, on vérifie que security.ssl.enable_ocsp_stapling est bien à true. C'est le même mécanisme mais sous forme d'une extension TLS donc ça passe les portails captifs qui laissent passer TLS et ça ne fait pas fuiter votre vie privée aux AC x509 : le site web que vous souhaitez consulter agit comme un proxy. Forcément, ça n'apporte rien niveau sécurité : OCSP sert uniquement à dire qu'un certificat est révoqué (utile en cas de compromission de la clé privée) mais un serveur web ne va jamais dire ça, c'est stupide ! Puisque si un adminsys fait révoquer son certificat car vol ou autre, il va le changer sur son serveur web et donc son serveur web ne servira jamais le certificat révoqué donc la réponse OCSP stapling sera toujours "ce certificat est OK"... Avec OCSP stapling, on ne gagne rien non plus en cas de construction d'un rogue website suite à un vol de la clé privée...
FIN DE L'ÉDIT.

ÉDIT DU 15/06/2016 à 15h15 :
    browser.pocket.enabled -> false
    browser.pocket.site -> ""
    browser.toolbarbuttons.introduced.pocket-button -> true
    => Permet de désactiver Pocket qui est une application non libre qui permet de sauvegarder (sur un serveur centralisé hors de votre contrôle) du contenu pour une lecture ultérieure. Je n'ai pas besoin de ça et je n'utilise pas des trucs non-libres.
FIN DE LÉDIT.


https://support.mozilla.org/fr/kb/desactiver-lecteur-pdf-integre
=> Désactiver la visionneuse PDF intégrée qui est archi-foireuse àmha. ÉDIT DU 19/07/2023 : pdfjs.disabled -> true FIN DE L'ÉDIT.

ÉDIT DU 22/09/2016 À 18H05 :
    extensions.blocklist.enabled => false
> Enable the blocklist. Retrieve the list from the server specified in extensions.blocklist.url at the interval specified in extensions.blocklist.interval. If blocklisted extensions or plugins are already installed, disable them, and prevent blocklisted extensions from being installed in the future.
( http://kb.mozillazine.org/Extensions.blocklist.enabled )

ÉDIT DU 04/05/2018 À 22H07 :
   xpinstall.signatures.required => false
=> Je me passerai de la signature cryptographique des extensions. La sécurité, c'est mignon, mais ça permet aussi de contrôler ce que les gens peuvent installer / utiliser ou non. Sans moi.
FIN DE L'ÉDIT DU 04/05/2018 À 22H07

    layout.spellcheckDefault => 2
> Enable spellchecker for multi-line controls and single-line controls. (Default in Camino)
( http://kb.mozillazine.org/Layout.spellcheckDefault )


    dom.battery.enabled => false
    device.sensors.enabled => false
    camera.control.face_detection.enabled => false
=> bon, ça parle tout seul.


    media.gmp-manager.url => http://127.0.0.1/
    media.gmp-manager.url.override  => "data:text/plain,"
    media.gmp-provider.enabled => false
> GMP is a special purpose extension point for authorised 3rd party codecs and EME (Encrypted Media Extensions) CDMs (Content Decryption Modules).
( https://wiki.mozilla.org/GeckoMediaPlugins )


    browser.selfsupport.url => ""
=> Permet d'évaluer Firefox. La notification apparaît que pour une poignée d'utilisateurs mais Firefox (pour avoir simplement un échantillon) se connecte bien régulièrement chez Mozilla (pour savoir s'il fait partie du lot qui doit afficher la notification, j'imagine). Voir https://support.mozilla.org/fr/kb/rate-your-firefox-experience-heartbeat


    browser.newtabpage.directory.source => "");
    browser.newtabpage.directory.ping => ""
    browser.newtabpage.introShown => true
=> Ça, c'est pour le très controversé ajout de pub lors de l'ouverture d'un nouvel onglet. Bon, a priorio, ça ne me concerne pas vu que j'ai configuré browser.newtab.url -> about:blank , mais bon.


    social.directories" => ""
    social.remote-install.enabled => false
    social.share.activationPanelEnabled => false
    social.shareDirectory => ""
    social.toast-notifications.enabled => false
    social.whitelist => ""
=> Ça, c'est pour virer ce qu'il reste de l'API Social de Firefox…


On peut aussi empêcher la mise à jour automatique des moteurs de recherche mais je ne l'ai pas fait :
    browser.search.update => false
FIN DE L'ÉDIT.

ÉDIT DU 01/10/2017 À 20h30 :
    browser.cache.offline.enable -> false. Un site web ne peut plus stocker quelques contenus destinés à être affichés quand Firefox est en mode « Travailler hors connexion » pour tenter de conserver un semblant de fonctionnement normal.
FIN DE L'ÉDIT DU 01/10/2017 À 20h30

ÉDIT DU 05/01/2020 À 19 H 05 :
    extensions.fxmonitor.enabled -> false. Désactiver la fonctionnalité de Firefox qui informe l'utilisateur qu'un site web actuellement visité a subi un piratage d'infos personnelles. Pour ce faire, Firefox recupère une liste on ne sait trop où. Non merci.
FIN DE L'ÉDIT DU 05/01/2020 À 19 H 05.

ÉDIT DU 25/11/2022 :
    browser.download.start_downloads_in_tmp_dir -> true. Les téléchargements se font dans /tmp. Si tu choisis "ouvrir", ils y restent, si tu choisis "enregistrer", ils sont déplacés dans ~/Téléchargements. Comportement historique de Firefox. Voir http://shaarli.guiguishow.info/?MLqRnw .
   
    browser.download.useDownloadDir -> false . Toujours demander où télécharger.

    browser.download.manager.addToRecentDocs -> false . Ne pas ajouter à la liste des « documents récents » du système.

    browser.download.always_ask_before_handling_new_types -> true .
FIN DE L'ÉDIT DU 25/11/2022.

ÉDIT DU 30/06/2023 :
    dom.block_download_insecure -> false. Ne pas bloquer les téléchargement prétendument suspects. Voir http://shaarli.guiguishow.info/?xz2zNA .
FIN DE L'ÉDIT DU 30/06/2023.

ÉDIT DU 19/07/2023 :
  privacy.resistFingerprinting -> true . Nouvel outil interne pour juguler la prise d'empreinte. Le thème préféré annoncé (prefers-color-scheme) est "clair", le fuseau horaire annoncé est UTC, User-Agent  = winwin, etc.)
 
  Désactiver le suivi de la zone géographique pour afficher du contenu et des moteurs de recherche locaux (https://firefox-source-docs.mozilla.org/toolkit/modules/toolkit_modules/Region.html)
    browser.region.network.url -> ""
    browser.region.update.enabled -> false

  geo.provider.use_gpsd -> false . Ne pas utiliser le service de géolocalisation fourni par le système ;

  Désactiver la recommandation d'extensions :
    extensions.getAddons.showPane -> false
    extensions.htmlaboutaddons.recommendations.enabled -> false
    browser.discovery.enabled -> false

  Désactiver les tests de connectivité et de présence d'un portail captif :
    captivedetect.canonicalURL -> ""
    network.captive-portal-service.enabled -> false
    network.connectivity-service.enabled -> false

  Comportement de la barre d'adresses :
    network.file.disable_unc_paths -> true . Désactiver les liens file:///, lecteur réseau Samba, etc. afin d'éviter des attaques possibles.

    keyword.enabled -> false. Ne pas palier une typo dans une URL en lançant une recherche, afficher une erreur à la place.

    browser.fixup.alternate.enabled -> false. Ne pas déduire des noms de domaines alternatifs à un domaine inexistant (en tentant d'ajouter www. ou .com ou…).
 
    browser.urlbar.dnsResolveSingleWordsAfterSearch -> 0 . Ne pas essayer de résoudre un mot.
   
    browser.urlbar.speculativeConnect.enabled -> false . Ne pas précharger les pages sur lesquelles je serai susceptible de cliquer depuis la barre d'adresses.
   
    browser.places.speculativeConnect.enabled -> false . La même mais pour les favoris et l'historique.
   
    browser.urlbar.suggest.engines -> false . La barre d'adresses propose des suggestions (onglets ouverts, favoris, etc.). Ne pas proposer en sus de chercher sur le moteur de recherche du site web visé (youtube, etc.).
   
    browser.urlbar.suggest.topsites . La barre de recherche ne proposera pus de chercher sur les gros sites web (Ebay, Amazon, etc.) souvent sponsorisés.

  Désactiver l'auto-complétion des formulaires :
    extensions.formautofill.addresses.enabled -> false
    extensions.formautofill.available -> "off"
    extensions.formautofill.creditCards.available -> false
    extensions.formautofill.creditCards.enabled -> false
    extensions.formautofill.heuristics.enabled -> false
    signon.autofillForms -> false
    signon.formlessCapture.enabled -> false

  network.auth.subresource-http-auth-allow -> 1 . Des ressources incluses sur un site ne peuvent pas déclencher une demander d'aut HTTP.

  security.ssl.require_safe_negotiation -> true . Un site web TLS doit proposer la renégociation sécurisée sinon erreur.

  browser.xul.error_pages.expert_bad_cert -> true . Une erreur liée à un certificat x509 affichera directement les erreurs détailées plutôt que le bouton "en savoir plus".

  gfx.font_rendering.opentype_svg.enabled -> false . Désactiver le rendu des polices de caractères OpenType au format SVG.

  dom.disable_window_move_resize -> true . Les scripts ne peuvent pas déplacer ni redimensionner une fenêtre.
   
  dom.popup_allowed_events -> "click dblclick mousedown pointerdown" . Liste réduite d'événements pouvant générer l'ouverture d'un popup (liste par défaut : change click dblclick auxclick mousedown mouseup pointerdown pointerup notificationclick reset submit touchend contextmenu).
   
  dom.disable_beforeunload -> true . Désactiver les messages "êtes-vous sûr de vouloir quitter" des sites web.

  accessibility.force_disabled -> 1 . Les outils d'accessibilité n'ont plus accès à Firefox.

  browser.pagethumbnails.capturing_disabled -> true . Désactiver les miniatures que Firefox fait des sites web (celles qu'on voit dans la liste des onglets - sur mobile - ou quand on ouvre un nouvel onglet).
 
  Désactiver UITour (API qui permet de piloter quelques fonctions de Firefox depuis une liste fermée de sites web autorisés) :
    browser.uitour.enabled -> false
    browser.uitour.url -> ""

  permissions.manager.defaultsUrl -> "" . Retirer les autorisations par défaut dont disposent certains domaines de Mozilla (voir resource://app/defaults/permissions). Semble avoir aucun effet (addons.mozilla.org peut toujours installer des extensions, par ex.).
 
  webchannel.allowObject.urlWhitelist -> "" . Idem mais pour webchannel (moyen de créer un canal de communication).
   
  network.IDN_show_punycode -> true . Afficher les noms de domaine internationnalisés en punnycode afin de permettre l'identification visuelle de typosquatting.

  privacy.partition.serviceWorkers -> true . La Totale Cookie Protection (compartimentation des états et objets par site web afin d'éviter le suivi inter-sites) appliquée aux serviceWorkers.

  webgl.disabled -> true.

  identity.fxaccounts.enabled -> false . Virer Sync et Firefox Accounts.
   
FIN DE L'ÉDIT DU 19/07/2023.


Mes extensions :
    * Adblock Edge. Listes :
        * Liste FR+EasyList - https://easylist-downloads.adblockplus.org/liste_fr+easylist.txt
        * Fanboy's Social Blocking List - https://easylist-downloads.adblockplus.org/fanboy-social.txt
        * EasyPrivacy - https://easylist-downloads.adblockplus.org/easyprivacy.txt

ÉDIT DU 30/08/2016 À 13H33 : J'ai remplacé Adblock Edge par uBlock Origin car le premier est déprécié depuis plus d'un an et ne permet plus de modifier les filtres dans les versions récentes de Firefox. Voir : http://shaarli.guiguishow.info/?5PqoyA .

J'utilise les filtres suivants :
  * uBlock filters‎ - Ads
  * uBlock filters – Badware risks‎
  * uBlock filters – Privacy‎
  * uBlock filters – Quick fixes
  * uBlock filters – Unbreak‎
  * AgGuard - Ads
  * EasyList
  * EasyPrivacy‎ ( https://easylist-downloads.adblockplus.org/easyprivacy.txt )
  * Online Malicious URL Blocklist
  * Peter Lowe’s Ad and tracking server list‎
  * AdGuard - Cookie Notices
  * AdGuard - Mobile App Banners
  * AdGuard - Other Annoyances
  * AdGuard - Popup Overlays
  * AdGuard - Social Media
  * AdGuard - Widgets
  * EasyList - Cookie Notices
  * EasyList - Social Widgets
  * uBlock filters - Annoyances
  * AdGuard Français
  * Listes pour virer les paramètres traçants dans les URL :
    * Actually Legitimate URL Shortener Tool (https://raw.githubusercontent.com/DandelionSprout/adfilt/master/LegitimateURLShortener.txt)
    * AdGuard URL Tracking Protection (https://raw.githubusercontent.com/AdguardTeam/FiltersRegistry/master/filters/filter_3_Spyware/filter.txt)
  * Fanboy's Annoyance List (intègre Fanboy's Cookie Monster filter list qui remplace Prebake)
  * EasyList Liste FR​​​​​, https://raw.githubusercontent.com/easylist/listefr/master/liste_fr.txt (avec EasyList, elle remplace (même nombre d'entrées) Liste FR+EasyList‎)

  * Fanboy’s Social Blocking List ( https://easylist-downloads.adblockplus.org/fanboy-social.txt )
FIN DE L'ÉDIT.


    * Disconnect. Remplaçant libre de Ghostery. Voir : http://shaarli.guiguishow.info/?0V5Lxw . ÉDIT DU 18/04/2020 : Je n'utilise plus Disconnect. Mozilla Firefox a activé par défaut un blocage des traqueurs qui utilisent les listes de Disconnect. Les paramètres de Firefox ne permettent pas aisément d'autoriser un traqueur sur un site web, mais je suis très rarement intervenu sur les choix de Disconnect, donc bon… FIN DE L'ÉDIT.

    * Video DownloadHelper. Je l'active uniquement au besoin puisqu'il ne nécessite pas de redémarrer firefox pour être activé/désactivé.

    * DownThemAll!

    * Firebug. Je l'active uniquement au besoin puisqu'il ne nécessite pas de redémarrer firefox pour être activé/désactivé.  ÉDIT DU 18/04/2020 : les fonctionnalités de Firebug ont été intégrées dans les outils de développement de Firefox, donc Firefox n'est plus maintenu ni nécessaire. FIN DE L'ÉDIT.

    * Greasemonkey. Scripts :
        * Don't track me Google. Permet de ne pas avoir la réécriture des liens et donc d'avoir les vrais liens complets et originaux vers les sites web dans Search, entre autres - http://userscripts-mirror.org/scripts/show/121923

        * UTM Stripper. Supprimer les paramètres « UTM_ » des URLs. Très pratique quand on shaarli beaucoup de pages web. - http://userscripts-mirror.org/scripts/show/71813
      ÉDIT DU 10/01/2016 à 17h00 : je n'utilise plus Greasemonkey : UTM Stripper est avantageusement remplacé par Pure URL (voir ci-dessous) donc utiliser Greasemonkey pour Don't track me Google seulement, c'est idiot vis-à-vis des performances donc je l'ai remplacé par l'extension « Google search link fix ». FIN DE L'ÉDIT.

      ÉDIT DU 25/02/2021 : depuis la fin de l'année 2020, j'utilise de nouveau Greasemonkey avec les scripts suivants :
        * Youtube - dismiss sign-in (https://greasyfork.org/en/scripts/412178-youtube-dismiss-sign-in) : dégager, pour de vrai, la popup « connectez-vous » de YouTube, voir http://shaarli.guiguishow.info/?Lkrf5w ;
        * YouTube Click To Play (https://greasyfork.org/en/scripts/406420-youtube-click-to-play) :  ne pas lire automatiquement la vidéo située sur la page de présentation d'une chaîne YouTube, voir https://shaarli.guiguishow.info/?uI_DZQ .
        * Simple YouTube Age Restriction Bypass (https://greasyfork.org/en/scripts/423851-simple-youtube-age-restriction-bypass) : le nom parle de lui-même .
      FIN DE L'ÉDIT DU 25/02/2021.

    * HTTPS-Everywhere. ÉDIT DU 19/07/2023 : fin de vie https://www.eff.org/https-everywhere/set-https-default-your-browser, remplacé par le mode "HTTPS uniquement" de Firefox. FIN DE L'ÉDIT DU 19/07/2023.

    * NoScript. Avec une config' permissive (« Autoriser temporairement les sites de premier niveau par défaut » + « Domaines de second niveau ») et sans l'affichage de message indiquant ce qui est bloqué, sinon ça devient vite insupportable.

    * Certificate Patrol. Malgré son utilité indéniable (http://sebsauvage.net/rhaa/index.php?2010/11/08/19/54/41-je-suis-content-d-utiliser-certpatrol), je l'ai désactivé depuis longtemps car extrêmement gonflant ! Voir : http://sebsauvage.net/links/?j01u3w

ÉDIT DU 10/01/2016 à 17h00 : suite à la lecture de https://blog.imirhil.fr/2015/12/08/extensions-vie-privee.html et d'un mois d'essai, j'ajoute les extensions suivantes :
    * Decentraleyes : remplace à la volée les contenus que vous auriez normalement dus aller chercher sur des CDN centralisés et généralement très enclin à violer votre vie privée, tels Google, CloudFlare, Akamai et j’en passe.  ÉDIT DU 18/04/2020 : Ça fait environ un an que je constate que cette extension ne fonctionne pas sauf sur un jquery récupéré depuis Google. Le reste (cdnjs.com, maxcdn, jsdeliver.net et même jquery.com) n'est pas substitué. Je lui préfère désormais l'extension LocalCDN. FIN DE L'ÉDIT. ÉDIT DU 04/09/2022 : pour augmenter l'efficacité de LocalCDN, il faut activer son filtre de code source HTML, voir http://shaarli.guiguishow.info/?e6wHOQ . FIN DE L'ÉDIT.

    * Pure URL : vire les trackers (comme les utm de google) des URL. Contrairement au script Greasemonkey « UTM Stripper », les trackers sont nettoyés avant de faire la requête HTTP et pas uniquement lors de l'affichage dans la barre d'adresse. ÉDIT DU 19/07/2023 : inutile avec uBlock Origin et les listes pour supprimer les paramètres traçants des URL, cf. ci-dessus. FIN DE L'ÉDIT DU 19/07/2023.

    * Smart Referer : permet de masquer son référent. En effet, par défaut, votre navigateur envoie au serveur l’URL du site duquel vous venez. L’extension permet de remplacer cette valeur par l’URL du site sur lequel on va.

    Pour prendre connaissance de mon avis détaillé sur ces extensions, c'est ici : http://shaarli.guiguishow.info/?1E_GKw
FIN DE L'ÉDIT.

ÉDIT DU 01/02/2017 À 13h20 :  
    * Grammalecte : correcteur grammatical.
FIN DE L'ÉDIT.

ÉDIT DU 25/02/2021 :
  * Redirect AMP to HTML
  * I don't care about cookies ÉDIT 07/2023 : remplacée par I still don't care about cookies, cf. http://shaarli.guiguishow.info/?lhGExA . FIN DE L'ÉDIT du 07/2023.
  * Never-Consent
  * First Party Isolation . ÉDIT 07/2023 : inutile car, quand ETP (protection renforcée contre le pistage) est activée, Total Cookie Protection est aussi activée et fait ce boulot).
  * Cookie Autodelete
  => J'explique l'utilité de ces extensions ici : https//shaarli.guiguishow.info/?xSqOyg

  Depuis le début de l'année 2020, j'utilise Meta-Press.es, un moteur de recherche décentralisé et auto-hébergé pour la presse, voir http://shaarli.guiguishow.info/?rwyGfQ .

  Depuis 2015/2016, j'utilise PassFF afin d'utiliser mon gestionnaire de phrases/mots de passe, Pass, voir http://shaarli.guiguishow.info/?jofDiw .

  Depuis le début de l'année 2020, j'utilise uMatrix afin de limiter le flicage, voir http://shaarli.guiguishow.info/?HLalig .

  Depuis 2016, j'utilise Privacy Badger afin de limiter le flicage, voir http://shaarli.guiguishow.info/?0wu11g .
FIN DE L'ÉDIT DU 25/02/2021.

De plus en plus de sites web, souvent des sites de presse d'ailleurs (comme d'habitude, ils ont un temps de retard sur l'évolution des pratiques :( ), ajoutent une notice « cet extrait a été copier/coller depuis tel site, voici les mentions de droit d'auteur applicables » / « Read more at » lorsque l'on copie/colle un extrait de leur contenu.

C'est à la fois chiant et très infantilisant : j'ai toujours cité mes sources, je n'ai pas besoin qu'on me force la main ! Et là je dois supprimer la notice à chaque copier/coller. NON, juste NON, j'ai autre chose à faire de mon temps !

« The solution is simple locate dom.event.clipboardevents.enable preference item in Firefox about:config, and set it to false (default is true) ».

Fuck you.

ÉDIT DU 07/04/2015 à 10h45 : pour info : il y a quelques effets secondaires de sites depuis lesquels on ne peut plus copier/coller comme par exemple les javascript obfuscator/deobfuscator. FIN DE L'ÉDIT.

« Votre voiture transmet plein d’informations automatiquement à Peugeot, qui les rend accessibles via une excellente API, bien documentée. »