GuiGui's Show

Simuler un fichier stéréo, plutôt mais c'est utile quand un des canaux est endommagé ou n'a pas été enregistré. Si vous êtes dans un tel cas, la flèche qui contient « Joindre en piste stéréo » contient aussi une action « Séparer stéréo vers mono » qui permet de virer le canal défectueux.

« Vous avez peut-être (mais sans doute pas) entendu parler des lois LOPPSI et Terrorisme (cette dernière votée fin 2014) et de leur décret d’application (sorti en début d’année 2015).

Pour ne pas accabler le gouvernement, il faut savoir que le PS a combattu le blocage sans juge avec succès lorsqu’il était dans l’opposition, pendant le mandat Sarkozy, avant de le voter quasi unanimement en 2014, avec l’aide du PCF (qui voulait en fait voter contre mais ne s’en est aperçu qu’après).

Ces lois permettent à la police, sans intervention d’un juge et sans aucune transparence, de bloquer, avec l’aide de certains fournisseurs d’accès (les 4 plus gros en France, à savoir Orange, Free, SFR-Numéricâble et Bouygues) un site Internet faisant l’apologie du terrorisme.

Le blocage, techniquement parlant, est un blocage DNS, mais cela n’a guère d’importance ici.

Théoriquement, le principe de subsidiarité veut que l’hébergeur ait 24 heures pour couper le site incriminé ; le blocage DNS n’étant supposé être activé qu’à l’issue de ce délai et en l’absence de coupure par l’hébergeur ou l’éditeur. Les deux blocages ayant été mis en place, rien ne dit que ce délai a été respecté (mais rien ne dit non plus le contraire), en raison de l’opacité des procédures.

Le premier site bloqué ainsi (ou plutôt, dont quelqu’un constate publiquement le blocage, puisque tout cela se fait dans l’opacité la plus totale) est islamic-news.info. C’est un site dont, personnellement, je n’avais jamais entendu parler jusqu’à ce jour. Si vous cliquez sur ce lien, vous allez vous retrouver :
    * ou bien sur une page d’avertissement du ministère de l’Intérieur, si votre FAI est l’un des quatre susnommés et que vous utilisez leurs serveurs DNS ;
    * ou sinon sur rien du tout, le site en question (chez un hébergeur français) ayant été manifestement coupé (on ne sait pas par qui).

[...]

Il s’agit d’un site d’actualités islamiques apparemment assez “engagé”, comme d’autres sites non moins engagés mais sur d’autres sujets, également situés en France. Le site fait-il vraiment l’apologie du terrorisme ? Difficile à dire, on entre là dans le jugement de valeur.

Et c’est bien tout le problème.

La police a “jugé” (guillemets) que oui, ce site fait l’apologie du terrorisme. Nous sommes obligés de lui faire confiance, n’ayant ni accès à l’intégralité du site, ni la possibilité de trouver quel est le contenu incriminé précisément (cela ne me saute pas aux yeux sur la page d’accueil).

La décision de la police n’a pas à être motivée, tout juste est-elle susceptible de recours hiérarchique — les nouvelles règles sur l’acceptation implicite de l’administration en l’absence de réponse de sa part dans le délai imparti ne s’appliquent pas ici, ce serait trop beau :

    En l’absence de réponse de l’administration dans un délai de deux mois à compter de la date de réception de votre recours, celui-ci doit être considéré comme implicitement rejeté.

Ensuite un recours est possible auprès du tribunal administratif de Cergy-Pontoise, ce qui est rendu d’autant plus difficile que la décision à contester n’est ni publique ni motivée.

[...]

Nous nous retrouvons donc dans un régime où la police, sans contre pouvoir réel car avec des voies de recours extrêmement difficiles et aléatoires, peut décider de ce que nous avons le droit de voir ou pas.

Vous pensez peut-être que, pour lutter contre le terrorisme, cela est parfaitement anodin et normal, et que les services administratifs de la police n’ont de compte à rendre à personne en termes de transparence.

Sachez alors que Christiane Taubira, ministre de la justice, propose l’extension de ce blocage sans juge aux contenus antisémites et racistes — sur simple estimation opaque et non motivée de la police, là encore.

Sachez enfin qu’un député PS, Guy Delcourt, du Pas de Calais, a demandé très récemment l’extension de ce blocage aux injures envers les élus (uniquement envers les élus), sous couvert de protection de la démocratie. C’est ici, trouvé par l’œil affûté de Nextinpact :

http://questions.assemblee-nationale.fr/q14/14-75404QE.htm

Dans l’indifférence pour ne pas dire l’approbation quasi-générale,  l’état de droit continue donc à s’effriter peu à peu avec la mise en place par nos gouvernements et parlementaires de procédures d’exception, sous prétexte de protection de… l’état de droit. »

« Le décret n° 2015-125 du 5 février 2015 « relatif au blocage des sites provoquant à des actes de terrorisme ou en faisant l'apologie et des sites diffusant des images et représentations de mineurs à caractère pornographique » est désormais rentré en application. Cela fait quoi, en pratique ? Regardons un peu ce qui se passe pour un site Web censuré.

Prenons l'exemple de http://islamic-news.info/ dont, je suppose, d'après son nom de domaine, qu'il s'agit d'un site de propagande intégriste (je n'ai pas pu le consulter, pas à cause de la censure française, facile à contourner, mais parce qu'il semble en panne). Si on essaie de le consulter depuis un FAI français typique, on obtient à la place une page Web avec une main rouge menaçante et un texte TOUT EN MAJUSCULES « VOUS AVEZ ÉTÉ REDIRIGÉ VERS CE SITE OFFICIEL CAR VOTRE ORDINATEUR ALLAIT SE CONNECTER À UNE PAGE DONT LE CONTENU PROVOQUE À DES ACTES DE TERRORISME OU FAIT PUBLIQUEMENT L'APOLOGIE D'ACTES DE TERRORISME ». Comment est-ce réalisé ?

Les différents textes officiels sur ces mesures de censure n'imposaient pas aux FAI une technique particulière mais les conditions de mise en œuvre (liste noire de noms de domaine, obligation de rediriger vers « CE SITE OFFICIEL » situé au ministère de l'Intérieur), fait que la solution la plus simple est de mettre en place un résolveur DNS menteur.

[...]

 Est-ce bien ce trompeur 90.85.16.52 qui est le site officiel servant la « main rouge » ? Testons-le en HTTP. Il y a plusieurs méthodes pour cela mais j'ai utilisé une des plus simples, mettre dans mon fichier local /etc/hosts l'adresse de ce site pour un nom bidon :

% cat /etc/hosts
...
90.85.16.52 front-liberation-potamocheres.example

Et, en visitant http://front-liberation-potamocheres.example/, j'ai bien la page à la main rouge.

Notez que cela veut dire que le ministère de l'Intérieur est au courant de mon intérêt pour cet animal : avec ce système, l'utilisateur est redirigé, à son insu, vers un serveur Web du ministère de l'intérieur, qui aura accès, via le champ HTTP Host: (RFC 7230, section 5.4) au nom originellement demandé. Lourde responsabilité pour le FAI qui, en configurant son résolveur DNS pour rediriger, fait cette redirection, il envoie ses clients vers un site qui saura si on aime les potamochères, le djihad ou les photos pédophiles.

Notez que la CNIL avait formulé un avis sur ce point, et noté que « [les textes officiels ne] permet ni la collecte ni l'exploitation, par l'OCLCTIC, des données de connexion des internautes qui seraient redirigés vers la page d'information du ministère de l'intérieur. Elle [la CNIL] rappelle que si des traitements de données à caractère personnel spécifiques étaient alimentés par ces données, ils devraient être soumis à l'examen préalable de la commission. » Bref, la CNIL ne se mouille pas. Pas d'avis concret, du genre « l'adresse IP source et le champ Host: ne devront pas être journalisés", ce qui serait la moindre des choses, et laisserait quand même le minstère de l'Intérieur faire des statistiques sur le nombre de visiteurs des sites censurés. (Note technique au passage, si vous utilisez Apache, la directive pour journaliser l'adresse IP source est %h - ou %a - et celle pour le champ Host: est %v. Ce sont ces deux directives qu'il faudrait retirer du LogFormat du ministère pour ne pas fliquer les utilisateurs. Cf. la documentation d'Apache.)

[...]

Continuons avec d'autres détails techniques : le « SITE OFFICIEL » est sans doute en place depuis très peu de temps car DNSDB (qui n'est pas temps réel, loin de là), n'a pas encore vu de noms se résolvant en 90.85.16.52 (DNSDB permet de chercher par le contenu de la réponse DNS, pas juste par le nom demandé).

[...]

% python resolve-name.py --country=FR islamic-news.info
Measurement #1895736 for islamic-news.info/A uses 498 probes                                
[] : 22 occurrences
[90.85.16.52] : 346 occurrences
[37.59.14.72] : 403 occurrences
Test done at 2015-03-15T15:39:15Z

À peu près la moitié des sondes Atlas en France voient la censure. Notez que les sondes Atlas ne sont pas du tout représentatives : installées par des volontaires, sans doute dans des réseaux plus geek que la moyenne, elles ont plus de chances d'avoir un résolveur local non menteur (voir plus loin, pour cette solution anti-censure).

[...]

Et DNSSEC ? Est-ce qu'il résoudrait ce problème ? Non, car la validation est faite dans le résolveur. S'il est menteur, le fait de valider ne changera rien. Seul avantage, les gens qui valident avec DNSSEC ne verront pas la page d'information du ministère de l’intérieur (et ne seront pas enregistrés par ledit ministère) puisque le mensonge dans le résolveur entrainera une erreur (SERVFAIL : Server Failure) sur les domaines signés (ce qui n'est de toute façon pas le cas de islamic-news.info).

Quelles solutions sont disponibles si on veut quand même voir la propagande djihadiste ? La seule solution propre techniquement est d'avoir son propre résolveur DNS. En attendant, on peut utiliser un résolveur non-menteur (en supposant qu'il ne soit pas détourné et que le port 53 ne soit pas filtré). Dans tous les cas, il est sûr que la stabilité et la sécurité de l'Internet vont en souffrir. »

About:config

    ÉDIT DU 19/07/2023 : je recommande de repartir de la [liste Arkenfox](https://github.com/arkenfox/user.js), car, ici, il y a pas mal de paramètres obsolètes en sus des paramètres actuels. FIN DE L'ÉDIT.

    browser.newtab.url -> about:blank
    ÉDIT DU 10/06/2016 À 19H05 : apparemment, dans les versions plus récentes, il faut également modifier une autre valeur : browser.newtabpage.enabled -> false FIN DE L'ÉDIT.
    => Ne pas afficher une mosaique de mes sites "préférés" lors de l'ouverture d'un nouvel onglet. https://support.mozilla.org/fr/kb/page-nouvel-onglet-afficher-masquer-personnaliser-sites-preferes
   
    ÉDIT DU 19/07/2023 : a priori, il faut aussi virer tout ça :
      browser.newtab.preload -> false
      browser.newtabpage.activity-stream.feeds.telemetry -> false
      browser.newtabpage.activity-stream.telemetry -> false
      browser.newtabpage.activity-stream.feeds.snippets -> false
      browser.newtabpage.activity-stream.feeds.section.topstories -> false
      browser.newtabpage.activity-stream.section.highlights.includePocket -> false
      browser.newtabpage.activity-stream.showSponsored -> false
      browser.newtabpage.activity-stream.feeds.discoverystreamfeed -> false
      browser.newtabpage.activity-stream.showSponsoredTopSites -> false
      browser.newtabpage.activity-stream.default.sites -> ""
    FIN DE L'ÉDIT DU 19/07/2023.
   

    browser.safebrowsing.enabled -> false
    browser.safebrowsing.malware.enabled -> false
ÉDIT DU 04/11/2015 à 0h50 : suite à la lecture de http://aldarone.fr/que-fait-firefox-sur-le-reseau-quand-on-le-demarre-et-faut-il-y-remedier/ et https://julien.mailleret.fr/links/?4aVk5g, j'ajoute :
    browser.safebrowsing.downloads.enabled -> false
FIN DE L'ÉDIT
ÉDIT DU 05/01/2020 À 19 H 10 :
    browser.safebrowsing.downloads.remote.enabled -> false
    browser.safebrowsing.blockedURIs.enabled -> false
    browser.safebrowsing.allowOverride -> false
FIN DE L'ÉDIT DU 05/01/2020 À 19 H 10.
    => Non, Google ne connaîtra pas toutes les URL des sites web que je visite en échange d'une prétendue protection.

    browser.search.openintab -> true
    => Ouvrir un nouvel onglet pour afficher les résultats d'une recherche effectuée depuis la barre de recherche.

    browser.urlbar.trimURLs -> false
    => Ne pas supprimer le protocole (« http:// », par exemple) lors de l'affichage des URLs dans la barre d'URL.

    dom.event.clipboardevents.enabled -> false
    => Voir http://shaarli.guiguishow.info/?7taesA

    general.warnOnAboutConfig -> false
    => Je suis un grand garçon, ne pas m'avertir que je peux tout casser à chaque fois que je vais dans about:config.

    network.proxy.socks_remote_dns -> true
    => Lors de l'utilisation d'un proxy SOCKS, proxifier aussi le trafic DNS.

    network.http.speculative-parallel-limit -> 0
    network.dns.disablePrefetch -> true
    network.prefetch-next -> false
    => Ne pas précharger les pages sur lesquelles je serais susceptible de cliquer dans une page web (liens et co).

ÉDIT DU 04/11/2015 à 0h50 : Suite à la lecture de https://julien.mailleret.fr/links/?4aVk5g, j'ajoute :
    media.eme.enabled -> false et media.eme.apiVisible -> false. «  JavaScript API for playing DRMed video content in HTML » (https://wiki.mozilla.org/Media/EME)

    loop.enabled -> false. « Firefox Hello is the new online chat feature being offered by Mozilla Firefox web browser. » (http://www.trishtech.com/2015/01/disable-firefox-hello/ et https://wiki.mozilla.org/Loop/Load_Handling)

    geo.enabled -> false (« Share Location Data with sites (about:config geo.enabled preference) »). Attention : les sites commerçants qui mettent en place de la restriction géographique (genre les sites de VoD FR/US) ne fonctionneront plus !
FIN DE L'ÉDIT.

ÉDIT DU 04/11/2015 à 0h50 : Suite à la lecture de http://aldarone.fr/que-fait-firefox-sur-le-reseau-quand-on-le-demarre-et-faut-il-y-remedier/, j'ajoute :
    browser.search.geoip.url -> false

    geo.wifi.uri -> false
FIN DE L'ÉDIT.

ÉDIT DU 05/11/2015 à 03h35 :
    media.peerconnection.enabled -> false en attendant media.peerconnection.ice.force_interface -> tun0 à partir de Firefox 43. Voir http://shaarli.guiguishow.info/?SbTFTQ
FIN DE L'ÉDIT.

ÉDIT DU 01/10/2017 À 20h30 :
    media.navigator.enabled -> false. Un site web ne peut plus connaître l'état du microphone et de la souris.
FIN DE L'ÉDIT DU  01/10/2017 À 20h30

ÉDIT DU 10/06/2016 À 0H45 :
    media.autoplay.enabled -> false . À partir de Firefox 41 : permet de virer le spam vidéo non flash (les vidéos dont la lecture débute automatiquement). Voir http://shaarli.guiguishow.info/?aJehow
   
    media.autoplay.blocking_policy -> 2

    dom.webnotifications.enabled -> false . À partir de Firefox 44 : permet de désactiver les demandes d'accord des notifications push de la part des sites web. Voir http://shaarli.guiguishow.info/?bvGHGg
FIN DE L'ÉDIT.

ÉDIT DU 30/08/2016 À 14H40 :
    datareporting.policy.dataSubmissionEnabled -> false

    datareporting.healthreport.uploadEnabled -> false

    datareporting.healthreport.service.enabled -> false

    toolkit.telemetry.enabled
    toolkit.telemetry.unified -> false
    toolkit.telemetry.server -> "data:,"
    toolkit.telemetry.archive.enabled -> false
    toolkit.telemetry.newProfilePing.enabled -> false)
    toolkit.telemetry.shutdownPingSender.enabled -> false)
    toolkit.telemetry.updatePing.enabled -> false
    toolkit.telemetry.bhrPing.enabled -> false
    toolkit.telemetry.firstShutdownPing.enabled -> false
    toolkit.telemetry.coverage.opt-out -> true
    toolkit.coverage.opt-out -> true
    toolkit.coverage.endpoint.base -> ""
    browser.ping-centre.telemetry -> false
    app.normandy.enabled -> false
    app.normandy.api_url -> ""
    => On vire les HealthReports (une fonctionnalité bullshit censée nous informer de la performance et de la stabilité de notre navigateur à travers le temps, voir https://support.mozilla.org/en-US/kb/firefox-health-report-understand-your-browser-perf ) et la télémétrie (une autre fonctionnalité bullshit pour collecter et envoyer des mesures de perfs, la consommation et la personnalisation de Firefox aux devs, voir https://wiki.mozilla.org/Telemetry ).
FIN DE L'ÉDIT.

ÉDIT DU 02/01/2016 à 22h05 :
    security.OCSP.enabled -> 0. Voir https://www.grc.com/revocation/ocsp-must-staple.htm . Non, les autorités de certification x509 n'auront pas la liste des sites web que je consulte au motif de m'indiquer si un certificat x509 est révoqué ou non. De plus, ce protocole est souvent bloqué sur les réseaux crades où règnent portails captifs et co. Par contre, on vérifie que security.ssl.enable_ocsp_stapling est bien à true. C'est le même mécanisme mais sous forme d'une extension TLS donc ça passe les portails captifs qui laissent passer TLS et ça ne fait pas fuiter votre vie privée aux AC x509 : le site web que vous souhaitez consulter agit comme un proxy. Forcément, ça n'apporte rien niveau sécurité : OCSP sert uniquement à dire qu'un certificat est révoqué (utile en cas de compromission de la clé privée) mais un serveur web ne va jamais dire ça, c'est stupide ! Puisque si un adminsys fait révoquer son certificat car vol ou autre, il va le changer sur son serveur web et donc son serveur web ne servira jamais le certificat révoqué donc la réponse OCSP stapling sera toujours "ce certificat est OK"... Avec OCSP stapling, on ne gagne rien non plus en cas de construction d'un rogue website suite à un vol de la clé privée...
FIN DE L'ÉDIT.

ÉDIT DU 15/06/2016 à 15h15 :
    browser.pocket.enabled -> false
    browser.pocket.site -> ""
    browser.toolbarbuttons.introduced.pocket-button -> true
    => Permet de désactiver Pocket qui est une application non libre qui permet de sauvegarder (sur un serveur centralisé hors de votre contrôle) du contenu pour une lecture ultérieure. Je n'ai pas besoin de ça et je n'utilise pas des trucs non-libres.
FIN DE LÉDIT.


https://support.mozilla.org/fr/kb/desactiver-lecteur-pdf-integre
=> Désactiver la visionneuse PDF intégrée qui est archi-foireuse àmha. ÉDIT DU 19/07/2023 : pdfjs.disabled -> true FIN DE L'ÉDIT.

ÉDIT DU 22/09/2016 À 18H05 :
    extensions.blocklist.enabled => false
> Enable the blocklist. Retrieve the list from the server specified in extensions.blocklist.url at the interval specified in extensions.blocklist.interval. If blocklisted extensions or plugins are already installed, disable them, and prevent blocklisted extensions from being installed in the future.
( http://kb.mozillazine.org/Extensions.blocklist.enabled )

ÉDIT DU 04/05/2018 À 22H07 :
   xpinstall.signatures.required => false
=> Je me passerai de la signature cryptographique des extensions. La sécurité, c'est mignon, mais ça permet aussi de contrôler ce que les gens peuvent installer / utiliser ou non. Sans moi.
FIN DE L'ÉDIT DU 04/05/2018 À 22H07

    layout.spellcheckDefault => 2
> Enable spellchecker for multi-line controls and single-line controls. (Default in Camino)
( http://kb.mozillazine.org/Layout.spellcheckDefault )


    dom.battery.enabled => false
    device.sensors.enabled => false
    camera.control.face_detection.enabled => false
=> bon, ça parle tout seul.


    media.gmp-manager.url => http://127.0.0.1/
    media.gmp-manager.url.override  => "data:text/plain,"
    media.gmp-provider.enabled => false
> GMP is a special purpose extension point for authorised 3rd party codecs and EME (Encrypted Media Extensions) CDMs (Content Decryption Modules).
( https://wiki.mozilla.org/GeckoMediaPlugins )


    browser.selfsupport.url => ""
=> Permet d'évaluer Firefox. La notification apparaît que pour une poignée d'utilisateurs mais Firefox (pour avoir simplement un échantillon) se connecte bien régulièrement chez Mozilla (pour savoir s'il fait partie du lot qui doit afficher la notification, j'imagine). Voir https://support.mozilla.org/fr/kb/rate-your-firefox-experience-heartbeat


    browser.newtabpage.directory.source => "");
    browser.newtabpage.directory.ping => ""
    browser.newtabpage.introShown => true
=> Ça, c'est pour le très controversé ajout de pub lors de l'ouverture d'un nouvel onglet. Bon, a priorio, ça ne me concerne pas vu que j'ai configuré browser.newtab.url -> about:blank , mais bon.


    social.directories" => ""
    social.remote-install.enabled => false
    social.share.activationPanelEnabled => false
    social.shareDirectory => ""
    social.toast-notifications.enabled => false
    social.whitelist => ""
=> Ça, c'est pour virer ce qu'il reste de l'API Social de Firefox…


On peut aussi empêcher la mise à jour automatique des moteurs de recherche mais je ne l'ai pas fait :
    browser.search.update => false
FIN DE L'ÉDIT.

ÉDIT DU 01/10/2017 À 20h30 :
    browser.cache.offline.enable -> false. Un site web ne peut plus stocker quelques contenus destinés à être affichés quand Firefox est en mode « Travailler hors connexion » pour tenter de conserver un semblant de fonctionnement normal.
FIN DE L'ÉDIT DU 01/10/2017 À 20h30

ÉDIT DU 05/01/2020 À 19 H 05 :
    extensions.fxmonitor.enabled -> false. Désactiver la fonctionnalité de Firefox qui informe l'utilisateur qu'un site web actuellement visité a subi un piratage d'infos personnelles. Pour ce faire, Firefox recupère une liste on ne sait trop où. Non merci.
FIN DE L'ÉDIT DU 05/01/2020 À 19 H 05.

ÉDIT DU 25/11/2022 :
    browser.download.start_downloads_in_tmp_dir -> true. Les téléchargements se font dans /tmp. Si tu choisis "ouvrir", ils y restent, si tu choisis "enregistrer", ils sont déplacés dans ~/Téléchargements. Comportement historique de Firefox. Voir http://shaarli.guiguishow.info/?MLqRnw .
   
    browser.download.useDownloadDir -> false . Toujours demander où télécharger.

    browser.download.manager.addToRecentDocs -> false . Ne pas ajouter à la liste des « documents récents » du système.

    browser.download.always_ask_before_handling_new_types -> true .
FIN DE L'ÉDIT DU 25/11/2022.

ÉDIT DU 30/06/2023 :
    dom.block_download_insecure -> false. Ne pas bloquer les téléchargement prétendument suspects. Voir http://shaarli.guiguishow.info/?xz2zNA .
FIN DE L'ÉDIT DU 30/06/2023.

ÉDIT DU 19/07/2023 :
  privacy.resistFingerprinting -> true . Nouvel outil interne pour juguler la prise d'empreinte. Le thème préféré annoncé (prefers-color-scheme) est "clair", le fuseau horaire annoncé est UTC, User-Agent  = winwin, etc.)
 
  Désactiver le suivi de la zone géographique pour afficher du contenu et des moteurs de recherche locaux (https://firefox-source-docs.mozilla.org/toolkit/modules/toolkit_modules/Region.html)
    browser.region.network.url -> ""
    browser.region.update.enabled -> false

  geo.provider.use_gpsd -> false . Ne pas utiliser le service de géolocalisation fourni par le système ;

  Désactiver la recommandation d'extensions :
    extensions.getAddons.showPane -> false
    extensions.htmlaboutaddons.recommendations.enabled -> false
    browser.discovery.enabled -> false

  Désactiver les tests de connectivité et de présence d'un portail captif :
    captivedetect.canonicalURL -> ""
    network.captive-portal-service.enabled -> false
    network.connectivity-service.enabled -> false

  Comportement de la barre d'adresses :
    network.file.disable_unc_paths -> true . Désactiver les liens file:///, lecteur réseau Samba, etc. afin d'éviter des attaques possibles.

    keyword.enabled -> false. Ne pas palier une typo dans une URL en lançant une recherche, afficher une erreur à la place.

    browser.fixup.alternate.enabled -> false. Ne pas déduire des noms de domaines alternatifs à un domaine inexistant (en tentant d'ajouter www. ou .com ou…).
 
    browser.urlbar.dnsResolveSingleWordsAfterSearch -> 0 . Ne pas essayer de résoudre un mot.
   
    browser.urlbar.speculativeConnect.enabled -> false . Ne pas précharger les pages sur lesquelles je serai susceptible de cliquer depuis la barre d'adresses.
   
    browser.places.speculativeConnect.enabled -> false . La même mais pour les favoris et l'historique.
   
    browser.urlbar.suggest.engines -> false . La barre d'adresses propose des suggestions (onglets ouverts, favoris, etc.). Ne pas proposer en sus de chercher sur le moteur de recherche du site web visé (youtube, etc.).
   
    browser.urlbar.suggest.topsites . La barre de recherche ne proposera pus de chercher sur les gros sites web (Ebay, Amazon, etc.) souvent sponsorisés.

  Désactiver l'auto-complétion des formulaires :
    extensions.formautofill.addresses.enabled -> false
    extensions.formautofill.available -> "off"
    extensions.formautofill.creditCards.available -> false
    extensions.formautofill.creditCards.enabled -> false
    extensions.formautofill.heuristics.enabled -> false
    signon.autofillForms -> false
    signon.formlessCapture.enabled -> false

  network.auth.subresource-http-auth-allow -> 1 . Des ressources incluses sur un site ne peuvent pas déclencher une demander d'aut HTTP.

  security.ssl.require_safe_negotiation -> true . Un site web TLS doit proposer la renégociation sécurisée sinon erreur.

  browser.xul.error_pages.expert_bad_cert -> true . Une erreur liée à un certificat x509 affichera directement les erreurs détailées plutôt que le bouton "en savoir plus".

  gfx.font_rendering.opentype_svg.enabled -> false . Désactiver le rendu des polices de caractères OpenType au format SVG.

  dom.disable_window_move_resize -> true . Les scripts ne peuvent pas déplacer ni redimensionner une fenêtre.
   
  dom.popup_allowed_events -> "click dblclick mousedown pointerdown" . Liste réduite d'événements pouvant générer l'ouverture d'un popup (liste par défaut : change click dblclick auxclick mousedown mouseup pointerdown pointerup notificationclick reset submit touchend contextmenu).
   
  dom.disable_beforeunload -> true . Désactiver les messages "êtes-vous sûr de vouloir quitter" des sites web.

  accessibility.force_disabled -> 1 . Les outils d'accessibilité n'ont plus accès à Firefox.

  browser.pagethumbnails.capturing_disabled -> true . Désactiver les miniatures que Firefox fait des sites web (celles qu'on voit dans la liste des onglets - sur mobile - ou quand on ouvre un nouvel onglet).
 
  Désactiver UITour (API qui permet de piloter quelques fonctions de Firefox depuis une liste fermée de sites web autorisés) :
    browser.uitour.enabled -> false
    browser.uitour.url -> ""

  permissions.manager.defaultsUrl -> "" . Retirer les autorisations par défaut dont disposent certains domaines de Mozilla (voir resource://app/defaults/permissions). Semble avoir aucun effet (addons.mozilla.org peut toujours installer des extensions, par ex.).
 
  webchannel.allowObject.urlWhitelist -> "" . Idem mais pour webchannel (moyen de créer un canal de communication).
   
  network.IDN_show_punycode -> true . Afficher les noms de domaine internationnalisés en punnycode afin de permettre l'identification visuelle de typosquatting.

  privacy.partition.serviceWorkers -> true . La Totale Cookie Protection (compartimentation des états et objets par site web afin d'éviter le suivi inter-sites) appliquée aux serviceWorkers.

  webgl.disabled -> true.

  identity.fxaccounts.enabled -> false . Virer Sync et Firefox Accounts.
   
FIN DE L'ÉDIT DU 19/07/2023.


Mes extensions :
    * Adblock Edge. Listes :
        * Liste FR+EasyList - https://easylist-downloads.adblockplus.org/liste_fr+easylist.txt
        * Fanboy's Social Blocking List - https://easylist-downloads.adblockplus.org/fanboy-social.txt
        * EasyPrivacy - https://easylist-downloads.adblockplus.org/easyprivacy.txt

ÉDIT DU 30/08/2016 À 13H33 : J'ai remplacé Adblock Edge par uBlock Origin car le premier est déprécié depuis plus d'un an et ne permet plus de modifier les filtres dans les versions récentes de Firefox. Voir : http://shaarli.guiguishow.info/?5PqoyA .

J'utilise les filtres suivants :
  * uBlock filters‎ - Ads
  * uBlock filters – Badware risks‎
  * uBlock filters – Privacy‎
  * uBlock filters – Quick fixes
  * uBlock filters – Unbreak‎
  * AgGuard - Ads
  * EasyList
  * EasyPrivacy‎ ( https://easylist-downloads.adblockplus.org/easyprivacy.txt )
  * Online Malicious URL Blocklist
  * Peter Lowe’s Ad and tracking server list‎
  * AdGuard - Cookie Notices
  * AdGuard - Mobile App Banners
  * AdGuard - Other Annoyances
  * AdGuard - Popup Overlays
  * AdGuard - Social Media
  * AdGuard - Widgets
  * EasyList - Cookie Notices
  * EasyList - Social Widgets
  * uBlock filters - Annoyances
  * AdGuard Français
  * Listes pour virer les paramètres traçants dans les URL :
    * Actually Legitimate URL Shortener Tool (https://raw.githubusercontent.com/DandelionSprout/adfilt/master/LegitimateURLShortener.txt)
    * AdGuard URL Tracking Protection (https://raw.githubusercontent.com/AdguardTeam/FiltersRegistry/master/filters/filter_3_Spyware/filter.txt)
  * Fanboy's Annoyance List (intègre Fanboy's Cookie Monster filter list qui remplace Prebake)
  * EasyList Liste FR​​​​​, https://raw.githubusercontent.com/easylist/listefr/master/liste_fr.txt (avec EasyList, elle remplace (même nombre d'entrées) Liste FR+EasyList‎)

  * Fanboy’s Social Blocking List ( https://easylist-downloads.adblockplus.org/fanboy-social.txt )
FIN DE L'ÉDIT.


    * Disconnect. Remplaçant libre de Ghostery. Voir : http://shaarli.guiguishow.info/?0V5Lxw . ÉDIT DU 18/04/2020 : Je n'utilise plus Disconnect. Mozilla Firefox a activé par défaut un blocage des traqueurs qui utilisent les listes de Disconnect. Les paramètres de Firefox ne permettent pas aisément d'autoriser un traqueur sur un site web, mais je suis très rarement intervenu sur les choix de Disconnect, donc bon… FIN DE L'ÉDIT.

    * Video DownloadHelper. Je l'active uniquement au besoin puisqu'il ne nécessite pas de redémarrer firefox pour être activé/désactivé.

    * DownThemAll!

    * Firebug. Je l'active uniquement au besoin puisqu'il ne nécessite pas de redémarrer firefox pour être activé/désactivé.  ÉDIT DU 18/04/2020 : les fonctionnalités de Firebug ont été intégrées dans les outils de développement de Firefox, donc Firefox n'est plus maintenu ni nécessaire. FIN DE L'ÉDIT.

    * Greasemonkey. Scripts :
        * Don't track me Google. Permet de ne pas avoir la réécriture des liens et donc d'avoir les vrais liens complets et originaux vers les sites web dans Search, entre autres - http://userscripts-mirror.org/scripts/show/121923

        * UTM Stripper. Supprimer les paramètres « UTM_ » des URLs. Très pratique quand on shaarli beaucoup de pages web. - http://userscripts-mirror.org/scripts/show/71813
      ÉDIT DU 10/01/2016 à 17h00 : je n'utilise plus Greasemonkey : UTM Stripper est avantageusement remplacé par Pure URL (voir ci-dessous) donc utiliser Greasemonkey pour Don't track me Google seulement, c'est idiot vis-à-vis des performances donc je l'ai remplacé par l'extension « Google search link fix ». FIN DE L'ÉDIT.

      ÉDIT DU 25/02/2021 : depuis la fin de l'année 2020, j'utilise de nouveau Greasemonkey avec les scripts suivants :
        * Youtube - dismiss sign-in (https://greasyfork.org/en/scripts/412178-youtube-dismiss-sign-in) : dégager, pour de vrai, la popup « connectez-vous » de YouTube, voir http://shaarli.guiguishow.info/?Lkrf5w ;
        * YouTube Click To Play (https://greasyfork.org/en/scripts/406420-youtube-click-to-play) :  ne pas lire automatiquement la vidéo située sur la page de présentation d'une chaîne YouTube, voir https://shaarli.guiguishow.info/?uI_DZQ .
        * Simple YouTube Age Restriction Bypass (https://greasyfork.org/en/scripts/423851-simple-youtube-age-restriction-bypass) : le nom parle de lui-même .
      FIN DE L'ÉDIT DU 25/02/2021.

    * HTTPS-Everywhere. ÉDIT DU 19/07/2023 : fin de vie https://www.eff.org/https-everywhere/set-https-default-your-browser, remplacé par le mode "HTTPS uniquement" de Firefox. FIN DE L'ÉDIT DU 19/07/2023.

    * NoScript. Avec une config' permissive (« Autoriser temporairement les sites de premier niveau par défaut » + « Domaines de second niveau ») et sans l'affichage de message indiquant ce qui est bloqué, sinon ça devient vite insupportable.

    * Certificate Patrol. Malgré son utilité indéniable (http://sebsauvage.net/rhaa/index.php?2010/11/08/19/54/41-je-suis-content-d-utiliser-certpatrol), je l'ai désactivé depuis longtemps car extrêmement gonflant ! Voir : http://sebsauvage.net/links/?j01u3w

ÉDIT DU 10/01/2016 à 17h00 : suite à la lecture de https://blog.imirhil.fr/2015/12/08/extensions-vie-privee.html et d'un mois d'essai, j'ajoute les extensions suivantes :
    * Decentraleyes : remplace à la volée les contenus que vous auriez normalement dus aller chercher sur des CDN centralisés et généralement très enclin à violer votre vie privée, tels Google, CloudFlare, Akamai et j’en passe.  ÉDIT DU 18/04/2020 : Ça fait environ un an que je constate que cette extension ne fonctionne pas sauf sur un jquery récupéré depuis Google. Le reste (cdnjs.com, maxcdn, jsdeliver.net et même jquery.com) n'est pas substitué. Je lui préfère désormais l'extension LocalCDN. FIN DE L'ÉDIT. ÉDIT DU 04/09/2022 : pour augmenter l'efficacité de LocalCDN, il faut activer son filtre de code source HTML, voir http://shaarli.guiguishow.info/?e6wHOQ . FIN DE L'ÉDIT.

    * Pure URL : vire les trackers (comme les utm de google) des URL. Contrairement au script Greasemonkey « UTM Stripper », les trackers sont nettoyés avant de faire la requête HTTP et pas uniquement lors de l'affichage dans la barre d'adresse. ÉDIT DU 19/07/2023 : inutile avec uBlock Origin et les listes pour supprimer les paramètres traçants des URL, cf. ci-dessus. FIN DE L'ÉDIT DU 19/07/2023.

    * Smart Referer : permet de masquer son référent. En effet, par défaut, votre navigateur envoie au serveur l’URL du site duquel vous venez. L’extension permet de remplacer cette valeur par l’URL du site sur lequel on va.

    Pour prendre connaissance de mon avis détaillé sur ces extensions, c'est ici : http://shaarli.guiguishow.info/?1E_GKw
FIN DE L'ÉDIT.

ÉDIT DU 01/02/2017 À 13h20 :  
    * Grammalecte : correcteur grammatical.
FIN DE L'ÉDIT.

ÉDIT DU 25/02/2021 :
  * Redirect AMP to HTML
  * I don't care about cookies ÉDIT 07/2023 : remplacée par I still don't care about cookies, cf. http://shaarli.guiguishow.info/?lhGExA . FIN DE L'ÉDIT du 07/2023.
  * Never-Consent
  * First Party Isolation . ÉDIT 07/2023 : inutile car, quand ETP (protection renforcée contre le pistage) est activée, Total Cookie Protection est aussi activée et fait ce boulot).
  * Cookie Autodelete
  => J'explique l'utilité de ces extensions ici : https//shaarli.guiguishow.info/?xSqOyg

  Depuis le début de l'année 2020, j'utilise Meta-Press.es, un moteur de recherche décentralisé et auto-hébergé pour la presse, voir http://shaarli.guiguishow.info/?rwyGfQ .

  Depuis 2015/2016, j'utilise PassFF afin d'utiliser mon gestionnaire de phrases/mots de passe, Pass, voir http://shaarli.guiguishow.info/?jofDiw .

  Depuis le début de l'année 2020, j'utilise uMatrix afin de limiter le flicage, voir http://shaarli.guiguishow.info/?HLalig .

  Depuis 2016, j'utilise Privacy Badger afin de limiter le flicage, voir http://shaarli.guiguishow.info/?0wu11g .
FIN DE L'ÉDIT DU 25/02/2021.

De plus en plus de sites web, souvent des sites de presse d'ailleurs (comme d'habitude, ils ont un temps de retard sur l'évolution des pratiques :( ), ajoutent une notice « cet extrait a été copier/coller depuis tel site, voici les mentions de droit d'auteur applicables » / « Read more at » lorsque l'on copie/colle un extrait de leur contenu.

C'est à la fois chiant et très infantilisant : j'ai toujours cité mes sources, je n'ai pas besoin qu'on me force la main ! Et là je dois supprimer la notice à chaque copier/coller. NON, juste NON, j'ai autre chose à faire de mon temps !

« The solution is simple locate dom.event.clipboardevents.enable preference item in Firefox about:config, and set it to false (default is true) ».

Fuck you.

ÉDIT DU 07/04/2015 à 10h45 : pour info : il y a quelques effets secondaires de sites depuis lesquels on ne peut plus copier/coller comme par exemple les javascript obfuscator/deobfuscator. FIN DE L'ÉDIT.

« Votre voiture transmet plein d’informations automatiquement à Peugeot, qui les rend accessibles via une excellente API, bien documentée. »

Hoooo, un nouveau service Google qui ferme... Quelle surprise dis-donc.

Et c'est ainsi que l'on découvre que le terme « project-hosting » est interdit sur les serveurs IRC geeknode sinon kick avec raison « botnet ». Joiiiiiiiiiiiiie.

« One slight problem – the folks at HBO had signed the hbonow.com domain with DNSSEC, but had not done so correctly!

[...]

Because:
    1. The .COM top-level domain (TLD) had a DS record indicating that the hbonow.com site was signed with DNSSEC.
    2. The hbonow.com domain did NOT have the corresponding DNSKEY record.
    3. Comcast’s DNSSEC-validating DNS resolvers identified the problem and blocked access to the site on the assumption that this could have been an attacker attempting to redirect people to an unsigned and potentially bogus website.

[...]

This is not the first time Comcast has dealt with a site with misconfigured DNS records.  If you remember back to 2012 there was the issue with NASA.GOV, which turned out to be a problem with the changing of DNSSEC keys.  Comcast and NASA provided a detailed explanation of what happened then.  (And in another case of spectacularly bad timing, the outage occurred on the day of the SOPA/PIPA website protests, leading then to charges on Twitter that Comcast was deliberately blocking sites.)

[...]



HBO has seemed to “fix” this issue by, unfortunately, simply removing DNSSEC records and returning the domain to a completely unsigned / unprotected state.   Once the incorrect DNS records age out of DNS resolver caches (based on their Time-To-Live (TTL)), or if the DNS resolver caches are flushed of the current records, then the domain will resolve correctly and people will be able to get to the site.

[...]

In Comcast’s case, Jason tweeted out that they flushed the caches on their DNS resolvers and so people should have been able to get to the site right after that.   In my case, I logged into the web admin menu for my home server/gateway and clicked the button to flush the cache… but that didn’t seem to work (and so I’m going to be raising a ticket with the software distribution). »

« Le documentaire de Laura Poitras, Citizenfour, est unique en son genre, par de nombreux aspects. Le principal est qu’il montre sans détours, en direct, le plus grand lanceur d’alerte de tous les temps dénoncer la pire « affaire d’Etat » de tous les temps. Le WaterGate est une bluette sans grand intérêt à côté des révélations d’Edward Snowden. Que pouvons-nous retirer de cette histoire incroyable, saisissante, effroyable, alarmante ? Snowden aurait pu délivrer les preuves que le monde était dirigé par des aliens, l’effet aurait été le même : stupéfaction, indignation, incrédulité, et au final… rien. Comme si rien ne pouvait être fait contre quelque chose d’invisible ? [...]

[...]

Populations anesthésiées et dirigeants aux ordres ?

Les alternances entre des tribunaux de justice d’Etat, des tribunes où Jacob Appelbaum vient expliquer les capacités de surveillance stupéfiantes des services gouvernementaux américains, des journaux télévisés qui relayent les premiers articles de Glenn Greenwald, et Snowden cherchant à s’échapper de sa chambre d’hôtel, sont un enchaînement vertigineux de situations uniques ayant pour point commun, une même question : que sont devenues les libertés individuelles et le droit à la vie privée ? La planète entière découvre la machine implacable constituée en secret par le gouvernement de la plus grande puissance mondiale, les USA, — une machine totalement illégale, bafouant toutes les conventions internationales, les Constitutions. Et pourtant, malgré de nombreux débats publics aux Etats-Unis, l’affaire reste en l’état.

Snowden parvient à fuir Hong Kong, aidé par Wikileaks, trouve refuge en Russie, l’Allemagne se plaint des écoutes du téléphone portable de sa chancelière, mais finalement, Barak Obama vient calmer toute velléité à l’encontre des pratiques de la NSA. Un discours, pas d’excuses, des chefs d’Etats européens qui grognent pour la forme, mais rentrent très vite dans le rang : nos vies privées sont piétinées quotidiennement et continueront à l’être. Circulez, il n’y a rien à dire, ni à contester. Les populations ne sont pas descendues dans les rues pour demander l’arrêt des systèmes d’interception de communications et de collectes de données, les gouvernements n’ont pas menacé les Etats-Unis ou l’Angleterre de mesures de rétorsions.

Snowden aurait pu démontrer que des aliens dirigeaient la planète, l’effet aurait été le même, et la réponse citoyenne, politique, tout aussi faible. Comme si, face à la réalité, même la plus incroyable qui soit, l’anesthésie prime sur toute autre réaction.

Une affaire qui touche aux fondements de nos sociétés

Citizenfour démontre quelque chose que la plupart d’entre nous soupçonne, mais verbalise avec difficulté : que reste-t-il de la démocratie tant vantée par ceux-là mêmes qui la bafouent en piétinant nos vies privées ? La démocratie, dans sa dimension de liberté des individus (d’expression, de propriété privée, de droit à la vie privée, de circulation, etc…), et non pas comme système politique en tant que tel, est le cœur de la dynamique occidentale moderne. Que peut-il se passer si cette liberté est mise sous surveillance intégrale par des administrations ou des groupes privés, que chacune de nos actions, nos paroles peut être captée, analysée, classée ?

[...]

Edward Snowden a permis de découvrir que ce système totalitaire existe, qu’il est en place et que nos vies sont déjà classées. Prêtes à être fouillées, compulsées, analysées. Qui peut prétendre savoir comment et par quelle intelligence, elles seront un jour utilisées à des fins de répression ou de censure ? Personne. Nos libertés sont déjà bafouées. Nous ne sommes plus en démocratie, et presque personne ne s’en soucie. Le constat est affligeant, mais le travail de Laura Poitras, Glenn Greenwald, Ewen MacAskill, et le courage d’Edward Snowden doivent servir à quelque chose. Sans quoi, quand il sera trop tard, nous ne pourrons pas dire : « nous ne savions pas ». »

« Une personne avait tenté d’obtenir le code source du logiciel simulant le calcul de l’impôt sur les revenus des personnes physiques. L’enjeu ? Pouvoir réutiliser ce logiciel pour ses travaux universitaires. Seulement, la direction générale des finances publiques avait fermement refusé une telle transmission. Ce chercheur a donc saisi la CADA pour avoir son avis.

[...]

Seulement, dans le cadre qui nous intéresse, cette autorité estime « que les fichiers informatiques constituant le code source sollicité, produits par la direction générale des finances publiques dans le cadre de sa mission de service public, revêtent le caractère de documents administratifs. »

[...]

Elle émet donc un avis pleinement favorable à cette communication du code source. Contacté, Frédéric Couchet, délégué général de l'April, juge l’avis « très important ». Et pour cause, « cette réponse positive de la CADA pourrait entrainer d'autres demandes de ce type. Et cela pose forcément la question de la licence d'utilisation sous laquelle ce code source pourrait être mis à disposition. Le ministère devrait choisir, dès la communication du code source du simulateur, de le diffuser sous une licence de logiciel libre. »

Sur ce plan, la CADA considère que le demandeur « est libre de le réutiliser dans les conditions fixées à l’article 12 de la loi du 17 juillet 1978, en l’absence de droits de propriété intellectuelle détenus par des tiers à l’administration, dont le directeur général des finances publiques ne fait pas état ». L’article en jeu prévient que sauf accord de l'administration, la réutilisation est soumise à la condition que les informations « ne soient pas altérées, que leur sens ne soit pas dénaturé et que leurs sources et la date de leur dernière mise à jour soient mentionnées. »

[...]

Cet avis n’ouvre pas les vannes sans nuance. La loi CADA du 17 juillet 1978 prévoit plusieurs exceptions qui peuvent empêcher une communication. Outre la recherche d'infractions fiscales, citons par exemple, les pièces couvertes par les secrets liés la défense nationale, la sûreté de l'État, la sécurité publique ou la sécurité des personnes. De même, le respect de la vie privée, les secrets en matière commerciale et industrielle peuvent jouer les trouble-fêtes puisque ces pièces ne peuvent être communiqués qu’aux personnes directement concernées. Enfin, précisons que la CADA ne rend qu'un avis, l'administration est donc libre de le suivre ou l'ignorer. Le cas échéant, il faudra passer par les juridictions administratives pour faire plier les résistances. »