Différences entre les cookies, sessionStorage et localStorage
Les sites Web peuvent enregistrer des informations dans le navigateur.
Maintenir l'état de connexion. Mémoriser les réglages d'affichage. Conserver le contenu du panier. Reprendre l'opération précédente. Identifier les revisites depuis le même navigateur.
Les mécanismes représentatifs utilisés pour cela sont les cookies, sessionStorage et localStorage.
Ils rendent le Web pratique. Mais du point de vue de l'anonymat, ils deviennent des indices qui identifient le même navigateur.
Qu'est-ce qu'un cookie ?
Un cookie est une petite donnée qu'un site Web enregistre dans le navigateur et qui est envoyée au serveur avec les requêtes correspondant aux conditions prévues.
Il sert à l'état de connexion, aux ID de session, aux réglages d'affichage, à la mesure d'audience, à l'identification publicitaire, etc.
Par exemple, lorsque vous vous connectez à un site, un cookie indiquant la session est enregistré dans le navigateur. Quand vous accédez ensuite au même site, ce cookie est envoyé. Le site peut juger que « ce navigateur appartient à un utilisateur déjà connecté ».
Ce qui est important pour l'anonymat, c'est que le cookie reste même si l'adresse IP change.
Après un accès depuis la connexion du domicile, même si vous utilisez un pour accéder avec le même navigateur, si le même cookie est envoyé, le navigateur est traité comme le même navigateur.
Qu'est-ce que sessionStorage ?
sessionStorage est une donnée enregistrée temporairement par onglet ou fenêtre du navigateur.
En général, elle disparaît quand cet onglet est fermé. Elle sert aux saisies de formulaire en cours, à l'état de l'écran, aux informations temporaires d'opération, etc.
Contrairement aux cookies, elle n'est normalement pas envoyée automatiquement avec chaque requête HTTP. Elle est lue et écrite depuis JavaScript, puis utilisée dans les traitements de la page.
Cependant, le fait qu'elle ne soit pas envoyée au serveur ne signifie pas qu'elle n'a aucun rapport avec l'anonymat. Le script d'une page Web peut la lire et, si nécessaire, l'envoyer au serveur.
Qu'est-ce que localStorage ?
localStorage est une donnée enregistrée à long terme dans le navigateur.
Elle reste après la fermeture de l'onglet. Elle reste après le redémarrage du navigateur. Elle peut servir aux réglages d'un site, au thème, à la sauvegarde d'état, aux identifiants, etc.
Elle permet d'enregistrer des données plus volumineuses que les cookies et se manipule depuis JavaScript.
Dans l'anonymat, il faut faire attention au fait qu'une valeur restée dans localStorage peut servir à identifier une revisite.
Même si vous supprimez les cookies, si un identifiant reste dans localStorage, le navigateur peut être traité comme le même navigateur.
Différences entre les trois mécanismes
Les cookies, sessionStorage et localStorage diffèrent par leur durée de conservation et leur manière d'être envoyés.
| Élément | cookie | sessionStorage | localStorage |
|---|---|---|---|
| Durée de conservation | Reste jusqu'à la date d'expiration définie | Jusqu'à la fermeture de l'onglet ou de la fenêtre | Reste en principe sans limite de durée, mais peut disparaître selon les actions de l'utilisateur, les réglages du navigateur, la navigation privée et la gestion de l'espace de stockage |
| Envoi au serveur | Envoyé automatiquement si les conditions correspondent | Non envoyé automatiquement | Non envoyé automatiquement |
| Usages principaux | Connexion, session, mesure | État temporaire de l'écran | Réglages, sauvegarde d'état, identifiants |
| Point d'attention pour l'anonymat | Le même navigateur peut être reconnu même si l'IP change | Utilisé dans les traitements de page | Peut rester après la suppression des cookies |
Tous sont des informations qui restent dans le navigateur. Dans l'anonymat, regarder les cookies seuls ne suffit pas.
Situations problématiques pour l'anonymat
Le problème apparaît quand l'usage sous identité réelle et l'usage anonyme se mélangent dans le même navigateur.
Par exemple, utiliser tel quel pour une activité anonyme un navigateur dans lequel vous étiez connecté à un compte sous identité réelle. Supprimer seulement les cookies, tout en laissant localStorage. Après avoir ouvert un site à usage anonyme, revenir à un service sous identité réelle dans le même onglet ou le même navigateur.
Dans ces pratiques, les informations à l'intérieur du navigateur se mélangent.
| Situation | Ce qui se passe |
|---|---|
| Utiliser identité réelle et anonymat dans le même navigateur | Les cookies et informations enregistrées se mélangent |
| Supprimer seulement les cookies | localStorage et d'autres zones de stockage restent |
| Mener une activité anonyme tout en gardant un site connecté ouvert | Les actions se relient dans le même environnement |
| Utiliser plusieurs comptes dans le même navigateur | La corrélation de comptes devient plus facile |
Dans l'anonymat, il est important non seulement de supprimer les données enregistrées, mais aussi de séparer les environnements.
Les cookies, sessionStorage et localStorage peuvent être traités ensemble comme des « données de sites ». Cependant, leur manière d'être enregistrés et de disparaître n'est pas identique.
Même si vous appuyez sur « supprimer l'historique » dans le navigateur, selon les éléments sélectionnés, seuls les cookies, seul le cache ou seul l'historique de navigation peuvent disparaître, et une partie des données de sites peut rester. À l'inverse, si vous supprimez toutes les données de sites, l'état de connexion et les réglages disparaissent aussi.
| Opération | Point d'attention |
|---|---|
| Supprimer seulement l'historique de navigation | Les cookies ou localStorage peuvent rester |
| Supprimer les cookies | D'autres zones de stockage comme localStorage peuvent rester |
| Supprimer les données de sites | L'état de connexion et les réglages disparaissent aussi |
| Fenêtre privée | Le comportement diffère de l'environnement normal existant du navigateur |
| Synchronisation du navigateur | Des informations peuvent revenir depuis un autre appareil |
Dans l'anonymat, vérifiez la portée de la suppression pour éviter de croire que vous avez effacé ce qui ne l'a pas été.
La séparation est plus importante que la suppression
Les cookies et localStorage peuvent être supprimés. Mais il est difficile de continuer à les supprimer parfaitement à chaque fois.
Les emplacements d'enregistrement diffèrent selon les sites. La portée supprimée diffère selon les réglages du navigateur. Les extensions et les fonctions de synchronisation ont une influence. Au moment de la connexion, un nouvel identifiant est créé.
C'est pourquoi, dans l'anonymat, il est plus réaliste de ne pas dépendre uniquement de la suppression et de séparer le navigateur sous identité réelle du navigateur à usage anonyme.
Pour les activités à haut risque, il faut envisager de séparer non seulement le navigateur, mais aussi l'appareil, l'OS et l'environnement réseau.
La navigation privée peut aussi être utile comme partie de la séparation. Cependant, une fenêtre privée n'est pas une technologie d'anonymisation. Ce n'est pas un mécanisme qui vous cache complètement aux sites Web, aux opérateurs de communication, aux réseaux du travail ou de l'école, ou aux serveurs de destination.
La fenêtre privée sert principalement à rendre plus difficile le fait de laisser l'historique et les cookies sur l'appareil. Si vous vous connectez à un compte sous identité réelle, cette action se relie au compte.
Ce qu'il faut vérifier
Pour les informations enregistrées dans le navigateur, vérifiez les points suivants.
- N'utilisez-vous pas le même navigateur pour l'identité réelle et pour l'anonymat ?
- Ne vous connectez-vous pas à un compte sous identité réelle dans le navigateur à usage anonyme ?
- Vérifiez-vous l'ensemble des données de sites, et pas seulement les cookies ?
- Raisonnez-vous en supposant que localStorage et sessionStorage peuvent rester ?
- La synchronisation du navigateur ne mélange-t-elle pas les informations avec un autre appareil ?
- Les extensions ne possèdent-elles pas des informations enregistrées ?
Il faut faire particulièrement attention à la synchronisation du navigateur. Si les marque-pages, l'historique, les extensions et les mots de passe enregistrés de l'environnement sous identité réelle entrent dans l'environnement anonyme, la séparation s'effondre.
Résumé
Les cookies, sessionStorage et localStorage sont des mécanismes qui permettent aux sites Web d'enregistrer des informations dans le navigateur.
Les cookies sont envoyés automatiquement au serveur si les conditions correspondent. sessionStorage sert au stockage temporaire par onglet. localStorage est une zone de stockage qui reste à long terme.
Ils rendent le Web pratique, mais dans l'anonymat, ils deviennent des indices qui identifient le même navigateur.
Même si vous changez d'adresse IP, si les cookies ou localStorage restent, le navigateur peut être traité comme le même navigateur.
Pour protéger l'anonymat, il est important non seulement de supprimer les informations enregistrées, mais aussi de séparer l'environnement de navigateur sous identité réelle et l'environnement de navigateur à usage anonyme.
Outils liés
BrowserLeaks WebRTC
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
BrowserLeaks Fingerprint
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
EFF Cover Your Tracks
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
Tor Project
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.