Reprise du message précédent :

Perso je suis sur KeePass 2 mais je n'ai pas vraiment creusé les solutions concurrentes car je préfère éviter de payer un abo pour la synchro avec le mobile, donc je ne sais pas s'il y a mieux ^^
 
Next INpact a fait un dossier sur les gestionnaires de mot de passe, qui est désormais disponible en accès libre pour ceux que ça intéresse (lien vers des articles détaillés sur 4 gestionnaires en fin d'article) :
https://www.nextinpact.com/article/ [...] -vous-faut

J'ai eu la 100.0.2 proposée le temps de rédiger le message, vu que c'est un fix de sécurité elle est proposée immédiatement.

 
Bitwarden, tu peux aussi gérer la base chez toi (c'est mon cas)
Du coup, synchro mobile/tablette/pc avec autant de compte que je le souhaites, sans soucis

Je me suis habitué à KeepassXC donc je ne compte pas changer, mais c'est bon à savoir.  
Avec Biwarden on n’est pas à l'abri que l'édition gratuite perde des fonctions pour encourager à passer à une version payante, c'est ce qui s'est passé avec LastPass.

J'utilise celui de Firefox pour ma part, j'en suis très content

Le problème c'est que ça t'enchaine à Firefox, avec KeepassDX par exemple, j'ai installé l'extension dans Firefox (évidemment), mais aussi dans ungoogled chromium, dans un second profil Firefox dédié aux achats, et je pourrais aussi l'installer dans Edge, Vivaldi, etc...bref, je ne suis pas limité à un seul navigateur, ce qui est très bien.
 
Idem sur Android, KeepassDX devient le gestionnaire de MDP du système (c'est Google par défaut sur Android évidemment), et ça permet de se connecter non-seulement sur les sites web, mais aussi dans les applications.
 
Je conserve aussi mes n° de cartes bancaires, des identifiants de comptes Windows, etc...en fait on peut conserver à peu-près n'importe-quel texte que l'on veut à la fois protéger l'accès et y accéder facilement depuis n'importe quel appareil.

C'est vrais, mais bon je n'utilise rien d'autre comme navigateur et je n'utilise que rarement des app sur mon smartphone, je fais 99% d'Internet via Firefox et sur PC, du coup je n'ai jamais vu ça comme une limite

 
 
Tu n'as pas de smartphone ? Commet tu gères les identifiants des comptes ?
 
Il y a aussi l'argument sécurité, un logiciel dédié à la conservation des secrets fera ça toujours mieux qu'un navigateur, dont c'est une sous-fonction.  
Les navigateurs sont en frontal avec le web, donc avec des machines pas forcément amicales, et des failles de sécurité sont très régulièrement découvertes, ainsi y conserver tes secrets ne me semble pas du tout une bonne idée.
 
Mots de passe : pourquoi faut-il éviter de les enregistrer sur votre navigateur web
 

Bitwarden disent qu'ils ne voient jamais tes mots de passe mais pour les rentrer ça se passe obligatoirement en ligne.  Bof bof
 
De mon coté j'ai opté pour KeepassXC

Oui c'est aussi pour ça que je préfère un truc 100% local.

KeepassXC donne le niveau d'entropie (en bits) du MDP, ce qui permet de connaitre son niveau de sécurité, et on peut l’afficher directement dans une colonne, avec un code couleur rouge/orange/vert pour faible/moyen/fort respectivement, ça permet de classer les MDP par entropie, ce qui est pratique pour changer ceux jugés trop faibles. C'est une fonction 100% offline.

Il y a aussi une fonction de vérification de compromission des MDP, c'est relié à la base de https://haveibeenpwned.com/ et ça n'envoie pas le MDP mais seulement une petite partie du hash SHA-1 de celui-ci, les explications en détail: https://www.troyhunt.com/ive-just-l [...] kanonymity

Je ne peux pas faire de captures de KeepassXC, mais ça se trouve dans Base de données => Rapports de la base de données => HIBP - Mots de passe compromis.

EDIT: trouvé comment faire des captures d'écran:

https://keepassxc.org/docs/KeePassX [...] t_security

Voici donc quelques screenshots:

Une partie de la fenêtre principale de KeepassXC, comme vous le voyez on peut afficher la colonne "Qualité de mot de passe" On peut aussi voir ça en détail dans les statistiques de la base de données, ainsi que

Le bilan de santé de la base de données, pour voir où se situent les faiblesses de vos logins. Vérifiez bien que les logins apparaissant ici ne soient que sur des comptes sans importance.

La fonction de génération des mots de passe, tout est configurable, et vous connaissez le niveau d'entropie du mot de passe dès sa génération

La fonction HIBP dont je parlais:

 
Un grand merci  ,
 
ces réglages m'éviteront d'avoir à effacer manuellement le cache.

Oui, mais effacer le cache, c’est une fausse bonne idée, car en général, on visite souvent les mêmes sites, donc ça forcerait le navigateur à aller retélécharger à chaque fois les mêmes données, au lieu d’aller les réafficher directement depuis le cache. Donc, on gagne ni espace disque (puisque la place « gagnée » sera de nouveau prise la prochaine fois), ni en performances (parce que même avec un disque dur, ça va plus vite que de tout retélécharger). Et normalement, les données du cache ne doivent être consultées que lorsque c’est nécessaire, donc ça ne doit pas avoir d’impact sur le lancement du logiciel… Enfin, je dis ça, mais je sais pas comment FF est bidouillé sur ce point.
 
Si ton problème est la place occupée sur le disque, trop grande pour ce qui est vraiment utile (dans les 300 Mio, disons), c’est que tu dois avoir une mauvaise configuration dans « about:config » (plusieurs Gio, c’est clairement trop, oui).

Cherche pas, Youtube ET Firefox does not compute  
J'ai beau cherché des ''fix'', ça revient toujours

Il ne faut pas exagérer, je n'ai quasiment aucun problème avec Youtube.

Avec les connexions actuelles, télécharger quelques Ko ou même Mo est quasi instantané.
En ce qui me concerne ce n'est pas pour un gain de place sur le disque, effacer le cache à la fermeture permet de redémarrer chaque session sans traceurs éventuels, ou autres fichiers indésirables, qui auraient pu survivre à mes extension de vie privée comme Cookie Autodelete par exemple.

En ce qui me concerne le problème d'un cache trop gros stocké sur un périphérique lent (disque dur) c'est qu'il entraine chez moi un démarrage lent de firefox à froid (premier lancement de la journée),  
 
et même souci après une mise à jour de firefox, au premier lancement il fait gratter le disque dur pour mettre à jour quelque chose dans le profil, si on a un gros cache (1 Go) sur le disque dur alors il peut mettre plus d'une minute à s'initialiser (navigateur indisponible pour le surf tant qu'il n'a pas fini de s'initialiser),
 
j'ai ces soucis uniquement si je laisse trop grossir le cache.

Question: pourquoi est-ce que le cache Firefox (et donc je suppose ton OS aussi) est sur un disque dur ?

Bloque les cookies tiers, et laisse uBO et Disconnect faire leur boulot, et tu auras sans doute déjà beaucoup moins de pisteurs, sans avoir à subir les inconvénients de la suppression de tous les cookies (les sites requérant une identification pour être utilisables étant désormais aussi nombreux que relous en ce qui concerne la reconnexion à son compte, une fois déconnecté de ces derniers : le coup du code complémentaire à taper ou de l’e-mail en mode « alerte rouge, c’est la panique ! », juste parce que tu as voulu te reconnecter à ton compte depuis ta machine, j’en ai vite eu marre, personnellement).
 
D’ailleurs, c’est pas en virant le cache que tu te protégeras des pisteurs, surtout côté serveur (puisque, voyant la même IP les contacter, ce sera du pareil au même, pour eux, que tu vides le cache où certains scripts JS pourraient se cacher ou pas).
 

Sûrement parce qu’il n’a pas de SSD…

Je ne vois pas vraiment d'intérêt à bloquer les cookies tiers, et inversement aucun inconvénient à supprimer les cookies et autres données, sinon je n'utiliserais pas Cookie Autodelete. Note qu'il est évidemment configuré pour conserver ceux que je souhaite. Pour les autres sites où je ne souhaite pas rester connecté en permanence (soit l'immense majorité), j'ai justement KeepassXC, qui me connecte très facilement. Autre avantage, ça dégage aussi les cookies de tous les sites où je ne me connecte jamais (et donc aussi les cookies tiers forcément), ainsi je suis moins facilement pistable. Mais j'ai déjà expliqué tout cela mainte fois il me semble, et aussi pourquoi bloquer les cookies tiers est une solution inférieure, pour un habitué du topic je suis étonné que tu ne saches pas déjà tout cela.

Je n'utilise pas Disconnect.

Je me doute bien...ce qui m'intéresse c'est la raison.

Moi je demande à Firefox de gérer le cache en RAM, du coup quand je ferme Firefox, le cache est purgé. C'est une méthode hérité de l'époque des HDD, j'ai garder l'habitude de faire ainsi

Tu as fait ça via un RAM Disk ou via les préférences de Firefox ?
 
Il y a déjà une partie qui est en RAM, et vu la RAM que peut bouffer Firefox avec quelques dizaines d'onglets ouverts, je préfère éviter de rajouter le cache entier !

Via les flags de Firefox. Ca marche très bien et je ne dois pas dépasser les 1.5Gb de mémoire utilisée par Firefox au bout d'une journée, après je suis un petit utilisateur et je n'ai que 4 ou 5 onglets d'ouverts avec des sites légers à la sauce HFR

Je suis passé à un SSD mais relativement récemment, l'OS (archlinux) se trouve dessus, tout en gardant le disque dur qui sert pour mon /home.
mon installation actuelle de firefox date d'avant l'installation du SSD, ce qui fait que le dossier profil firefox se trouve sur le disque dur, dans la partition /home.

Une solution serait de transférer le dossier profil sur le SSD, mais la flemme de le faire.

D'accord. effectivement c'est de la flemme là, car le gain serait non négligeable, pour quoi, 5 à 10 minutes de recherches pour trouver les commandes à taper ?

Voilà le déplacement du profil a été fait vers le SSD.
 
Méthode utilisée :
 
- commande "firefox -p", je clique sur le bouton permettant de créer un nouveau profil, je sélectionne le SSD comme emplacement, je donne un nom de profil
 
- je repère le dossier du profil actuel (présent sur le disque dur) et je copie le contenu de ce dossier vers le nouvel emplacement situé sur le SSD (il faut penser à fermer firefox avant de copier le contenu)
 
- je m'assure que le profil localisé sur le SSD est défini comme "profil par défaut" (une case à cocher dans l'interface lancée par la commande "firefox -p" )
 
Après toutes ces manipulations ça fonctionne (on peut ensuite vérifier que firefox utilise le bon dossier de profil via l'adresse "about:profiles" )  

 
Mon speech de motivation a fonctionné

Oui la gestion des profiles c'est super simple dans Firefox, ça permet même de les backuper et les dupliquer si besoin, idem pour Thunderbird

Bah, ne laisser passer que les cookies propres aux sites que tu visites permet justement de bloquer ceux des sites de pistage. Parce que c’est uniquement ça, ces cookies tiers. Seule exception que je connaisse, et encore, c’est très récemment que ça s’est produit, c’est pour les lecteurs embarqués de vidéos d’instances PeerTube sur d’autres sites : ils ne s’affichent sur ces sites que si on active les cookies des instances PT concernées. Mais sinon, moi, je ne vois aucun intérêt à activer les cookies tiers (déjà qu’il y a encore 10 ans, je bloquais tous les cookies, quels qu’ils fussent… C’est lorsque les sites requérant une identification via cookie côté client sont apparus que j’ai dû me résigner à accepter les cookies 1st party) : bien au contraire, moins il en passe, mieux l’Univers se porte.
 

Ça, ça reste à prouver, pour les raisons évoquées dans mon message précédent. Qu’en pense AmIUnique ?
 

Il fait un peu double emploi avec uBO, c’est vrai. Mais je trouve qu’ils se complètent bien : Disconnect permet notamment de bloquer les encarts Twitter, les transformant en citations purement textuelles avec liens vers les tweets originaux, comme ici, de ça :

à ça :

Ce qui rend les pages plus légères à charger et est donc tout bénef’.

 
   
 
https://www.cnil.fr/fr/definition/cookie
 
extrait :
 

 
Bloquer les cookies tiers, c'est ce que je fais en premier lors d'une installation.

Mais quelle importance que des cookies (tiers ou pas) soient déposés, ils seront détruits par Cookie Autodelete (ou équivalent) quelques secondes après la fermeture de l'onglet, le pistage ne peut fonctionner que si les cookies restent en place.  
 
L'intérêt de les accepter, ben tu le reconnais toi-même, ça évite que certaines sites ou certaines fonctionnalités soient cassés. Certains sites détectent aussi que tu refuses les cookies et refusent de fonctionner, là encore, les accepter silencieusement pour mieux les supprimer dès la visite terminée me semble bien plus intelligent.
 
Je pourrais aussi citer le cas du cashback, dans ce cas les cookies tiers et le tracking sont nécessaires, mais j'ai résolu le problème en utilisant un profil Firefox dédié (qui supprime néanmoins les cookies à la fermeture, quels qu'ils soient, là aussi aucune raison d'un pistage persistant).

Amiunique n'est qu'un POC, je pense que peu de serveurs s’embêtent à pister ainsi les utilisateurs. Effectivement, il est illusoire de penser que l'on peut échapper au pistage à 100%, et c'est aussi pour ça que je ne m'embête plus avec des trucs genre canvas blocker ou privacy badger, mais si je peux éviter 80 à 90% du pistage, c'est déjà très bien.

Pour la légèreté de la page, j'ai une machine véloce et une bonne connexion, donc ce n’est vraiment pas un problème de charger un tweet embarqué. À la limite il y a le facteur vie privée, à ce moment-là on peut remplacer les appels à Twitter par Nitter via une extension par exemple, mais franchement là aussi je ne trouve pas que ça vaille les ennuis.

CF ma réponse à Trit' (vous deux je me demande parfois si vous n'êtes pas une seule et même personne d'ailleurs )

Je suis en train de penser: est-ce que uBO ne bloque pas la majorité des cookies tiers responsables du pistage via ses listes anti tracking ?

Et pendant ce laps de temps, ils auront eu le temps de faire leur sale besogne. Ça sert à rien de les détruire après coup : c’est trop tard. Il faut au contraire les empêcher de venir.
 

Corrigé.
 

Ça, c’est ce que les pubards et autres « fermiers à humains » (parce que oui : nous sommes réduits à l’état de bétail, pour ces gens et organisations-là) veulent te faire accroire.
 
Et bémol sur les « sites cassés » : c’était juste sur un blog personnel, une seule fois, et on peut pas dire que l’affichage d’un  lecteur vidéo embarqué bloqué parce que les cookiers tiers le détermine si un site est cassé ou non. Le site visité lui-même n’avait aucun souci, et je n’ai fait que créer une exception pour l’instance PeerTube en question, je n’ai en aucun cas ouvert les vannes à tous les nuisibles (ça, jamais !).
 
Et si un site ne veut vraiment pas fonctionner sans ça, ben, c’est simple : c’est un site qui ne mérite pas d’être visité. De toute façons, il y en a bien assez pour le remplacer par d’autres qui auraient la même chose (voire mieux) à proposer.
 

Je ne pratique pas le cashback, mais de ce que tu en dis, j’ai aucune intention d’approcher ce genre de trucs, même avec un long bâton.
 

Ça risque pas : j’ai aucun multi, nulle part. Le forum RPG où on pouvait se créer autant de personnages qu’on voulait où j’en avais a malheureusement disparu depuis longtemps…
 

Tu connais l’adage : deux (voire davantage de) précautions valent mieux qu’une.
 
Sur ce, bon WE, et vaut mieux qu’on en reste là : j’ai autant fait le tour de la question que je comprends qu’on est dans un dialogue de sourds totalement stérile qui ne fera que nous faire perdre notre temps à tous les deux. Nos points de vue ayant été exposés et détaillées en long, en large et à travers, il n’y a rien de plus à ajouter.

Il faut dire qu'ublock, avec les bons réglages et les bonnes listes fait déjà une grosse partie du job, on peut très bien se contenter de lui seul, c'est ce que je fais et ça fonctionne très bien en plus d'être assez simple à maintenir.

Après pour les cookies, soyons franc, les cookies tiers c'est une crasse, en plus de ne servir à rien à part traquer les gens, ça pollue et ça rends la gestion des cookies pénible.

Un cookie ça n'est utile que pour garder l'utilisateur logué sur un site ou pour garder des préférences comme la langue en mémoire. Donc bloquer les cookies tiers ça ne va pas poser de problème, en tout cas je n'en ai jamais rencontré

Je n'utilise que Noscript (ou ematrix quand j'étais sur Palemoon).

Trop usine à gaz.
Je l'ai viré.
C'est pas mal un truc de parano quand même.

C'est surtout que ublock gère très bien le blocage de scripts. Du coup à quoi ça sert d'avoir une extension dédiée à une chose que ublock gère de son coté en plus de tout le reste ?

L'habitude, je dirais.

Bitwarden en version payante, c'est 10US$ par an. Ça reste accessible, à la différence des autres solutions payantes.

@Trit' effectivement on n'est pas d'accord, et tu as raison, c'est un peu un dialogue de sourds car probablement aucun des deux ne parviendra à convaincre l'autre.
Je ne vois pas les cookies comme toi visiblement.
De toute manière on sait que les cookies sont de moins en moins utilisés pour le pistage, et qu'il existe des tas d'autres méthodes, Facebook le fait depuis des années via ses boutons j'aime (et via ses serveurs "analytics" sur mobile aussi)  et Google via ses innombrables appels à ses services, autant côté client que serveur, au point qu'il est impossible d'éviter leur pistage.

De ce point de vue-là uBlock Origin fait un bien meilleur travail en bloquant l'appel au serveur.

Mais comment échapper au tracking des CDN ?  (Amazon Cloudfront, Cloudflare, Google Cloud CDN pour n'en citer que quelques-uns). Ici le filtrage côté client est impuissant.

Les cookies tiers restent très certainement très utilisés, même si d'autres méthodes de pistage existent.
Et à partir du moment où ils sont sur ton pc, ils peuvent être actifs.
Quant à dire que le fait de désactiver les cookies tiers bloquent certains sites, donne moi des exemples.
Parce qu'il ne doit pas y en avoir des masses.
Pour ma part, aucun problème.

Wired : il commence à charger et bloque sur une page blanche. Mais c’est bien le seul que j’aie pu rencontrer dans ce cas, car si c’était pareil aussi avec les forums de Phoronix, ça ne l’y fait plus.