Cookies de session

[JohnXLivingston]

En venant sur le formulaire par un chemin normal (ie: en venant de https://www.interieur.gouv.fr/Actualites/L-actu-du-Ministere/Attestation-de-deplacement-derogatoire-et-justificatif-de-deplacement-professionnel ), je me retrouve avec plusieurs cookies de session. Je tronque volontairement leurs noms :

Même si j'arrive directement sur la page, j'ai 3 cookies (___utmvc, incap_ses_xxxxxx, visid_incap_xxxx) Or, sur la page de génération du formulaire, ils ne sont clairement pas nécessaire au service (puisqu'ils ne sont pas lu par le code disponible dans ce dépot). Il faudrait donc un bandeau RGPD avec une demande d'autorisation pour les cookies. Ou alors les retirer sur cette page.

[BlueskyFR]

Cette page n'utilise pas de cookies et ne transmet aucune donnée personnelle à un service tiers, donc pas besoin de bandeau RGPD. De plus, les cookies sont définis pour un domaine donné, et non pas pour une page.

En effet, les cookies dont tu parles sont définis pour le domaine interieur.gouv.fr et la page du présent repo est disponible sur le sous-domaine media.interieur.gouv.fr. Ainsi, les cookies du domaine parent sont accessibles pour l'enfant. Les cookies sont présents mais non lus. La présente page ne lisant ou n'écrivant aucun cookie, RGPD n'est donc pas applicable à ce que je sache.

Enfin, ce repo n'est pas le lieu pour reporter une telle chose, celui-ci pouvant être déployé n'importe-où et les cookies en question n'ayant pas été générés par cette page.

[JohnXLivingston]

Je n'ai peut être pas été assez clair. Même si je vais directement sur https://media.interieur.gouv.fr/deplacement-covid-19/ en navigation privée, j'ai les 3 cookies suivants:

Le code marche sans ces cookies. Ils ne sont donc pas nécessaires au service. Et entrent donc dans le cadre du RGPD.

Ok, ce dépot n'est peut être pas l'endroit où déclarer ça. Mais vu que les développeurs doivent être en contact avec les admin du site web du gouvernement, il me semblait pertinent de poster ça ici. Je pourrais aussi contacter directement la CNIL, mais ça me semble moins efficace comme façon de faire.

[franky47]

En effet, les cookies dont tu parles sont définis pour le domaine interieur.gouv.fr et la page du présent repo est disponible sur le sous-domaine media.interieur.gouv.fr. Ainsi, les cookies du domaine parent sont accessibles pour l'enfant. Les cookies sont présents mais non lus. La présente page ne lisant ou n'écrivant aucun cookie, RGPD n'est donc pas applicable à ce que je sache.

Le problème n'est pas qu'ils soient lus (ils font partie du service d'Incapsula), mais qu'ils soient envoyés à chaque téléchargement du PDF vierge, donc à chaque génération d'attestation:

[duchnoun]

De plus, après analyse du code d'incapsula , un fingerprint est généré (en récupérant les fonts installé dans le navigateur), pourquoi l'utilisation d'un tel service ? (de plus il n'est pas mis dans les sources sur ce dépot) , Pourrions nous voir le code original des services d'incapsula ?

Il faut comprendre qu'avec un fingerprint généré, il est possible de suivre un internaute.

[YaFou]

De plus, après analyse du code d'incapsula , un fingerprint est généré (en récupérant les fonts installé dans le navigateur), pourquoi l'utilisation d'un tel service ? (de plus il n'est pas mis dans les sources sur ce dépot) , Pourrions nous voir le code original des services d'incapsula ?

Il faut comprendre qu'avec un fingerprint généré, il est possible de suivre un internaute.

Le script Incapsula a été expliqué dans cette issue : #5. Ce script permet la protection des attaques DDOS.

[JohnXLivingston]

De plus, après analyse du code d'incapsula , un fingerprint est généré (en récupérant les fonts installé dans le navigateur), pourquoi l'utilisation d'un tel service ? (de plus il n'est pas mis dans les sources sur ce dépot) , Pourrions nous voir le code original des services d'incapsula ? Il faut comprendre qu'avec un fingerprint généré, il est possible de suivre un internaute.

Le script Incapsula a été expliqué dans cette issue : #5. Ce script permet la protection des attaques DDOS.

Il n'empêche que cela pose un problème de confiance envers le prestataire, et il est légitime - au vue des promesses de confidentialité qui sont faites sur cet outil - de s'en inquiéter.

[duchnoun]

Encore plus quand on vois ce genre de post :

https://blog.xmco.fr/lentreprise-imperva-divulgue-une-exposition-de-donnees-sensibles-de-clients-de-la-solution-incapsulacloud-waf/

Je ne comprend vraiment pas pourquoi utiliser de tels service sur un site d'état.