web-dev-qa-db-fra.com

Pourquoi quelqu'un ferait-il confiance à DuckDuckGo ou à d'autres fournisseurs avec une politique de confidentialité similaire?

DuckDuckGo est un moteur de recherche qui prétend qu'il ne partagera pas vos résultats avec d'autres. Beaucoup de mes collègues sceptiques pensent que cela peut être une arnaque.

Existe-t-il une preuve qu'un moteur de recherche Web protégera votre vie privée lors de sa publicité?

privacytrustduckduckgo
125
goodguys_activate

Il n'y a aucune preuve que DuckDuckGo fonctionne comme annoncé. (Il n'y en a jamais sur le Web.) Cependant, ce n'est pas la bonne question.

DuckDuckGo est très clair dans sa politique de confidentialité . DuckDuckGo dit il ne vous suit pas , il n'envoie pas vos recherches à d'autres sites , par défaut, il n'utilise aucun cookie , il ne recueille pas d'informations personnelles , il n'enregistre pas votre adresse IP ou d'autres informations sur votre ordinateur qui peuvent être envoyées automatiquement avec vos recherches , il ne ' t stocker aucune information personnelle . Ce sont des promesses assez fortes, sans formulation de belette. Et, pour autant que je puisse voir, la politique de confidentialité de DuckDuckGo ressemble à une politique de confidentialité modèle. C'est un modèle de clarté, de langage simple et de manque d'obscurcissement juridique.

Et les politiques de confidentialité ont mordu. Le FTC a intenté des poursuites contre des entreprises qui enfreignent leur propre politique de confidentialité annoncée. (Pas seulement les petites entreprises dont vous n'avez jamais entendu parler: elles ont même poursuivi Facebook!) Aux États-Unis, il n'y a pratiquement pas de règles de confidentialité qui restreignent les informations que les sites Web peuvent collecter - sauf que s'ils ont une politique de confidentialité, ils doivent la respecter. La violation de votre propre politique de confidentialité peut être une fraude, ce qui est illégal. , violer votre propre politique de confidentialité représente des "actes ou pratiques déloyaux ou trompeurs", et le FTC est autorisé à poursuivre toute personne qui se livre à des "actes ou pratiques déloyaux ou trompeurs" devant les tribunaux. DuckDuckGo serait assez stupide de violer leur propre politique de confidentialité; leur politique de confidentialité est claire et sans ambiguïté et leur laisse peu de marge de manœuvre.

Non, je ne pense pas que DuckDuckGo soit une arnaque. Je pense que c'est un discours fou. Compte tenu des incitations et du régime juridique, je pense que vous devez supposer que DuckDuckGo suit leurs propres politiques de confidentialité, jusqu'à ce que vous trouviez des informations contraires.

156
D.W.

Je suis le fondateur de DuckDuckGo. D.W. a raison, si nous violions notre politique de confidentialité, nous pourrions avoir beaucoup de problèmes. De plus, j'ai essayé d'être aussi transparent que possible sur la façon dont nous fonctionnons, à la fois dans notre politique de confidentialité et sur mon blog .

J'ai pensé et exploré la vérification externe, par quelqu'un comme l'EFF par exemple, mais je ne pense pas que cela ferait beaucoup pour apaiser le cœur du commentaire.

164
yegg

Ce que D.W. m'a dit. Mais aussi, vous n'avez pas à faire confiance à DuckDuckGo. Vous ne vous connectez pas, vous pouvez effacer les cookies, vous pouvez changer votre adresse IP, vous pouvez y accéder via Tor. Ne pas être un appendice d'une société d'identité (par exemple, Google) est un gros plus pour la confidentialité.

31
pseudon

J'arrive tard à cette question, mais j'espère pouvoir apporter des informations utiles qui aideront également d'autres à prendre une décision plus éclairée concernant la fiabilité de DuckDuckGo. Cette réponse donne quelques raisons de croire que DuckDuckGo met sa politique de confidentialité en pratique en étudiant les aspects techniques de DuckDuckGo en date du 2012-08-23.

J'ai regardé les données envoyées depuis mon navigateur (Firefox 14.0.1 sur Ubuntu 11.04) vers les serveurs DuckDuckGo lorsque je fais des recherches de page (sans changer aucun des paramètres par défaut de DuckDuckGo) et j'ai trouvé les bons points suivants:

  • aucun cookie DuckDuckGo n'est stocké sur mon navigateur.
  • toutes les recherches sont effectuées avec un http GET.
  • aucun paramètre d'identification n'est renvoyé dans la partie chaîne de requête de la requête http.
  • toutes les demandes sont https.

Bien sûr, il y a encore des informations qu'un utilisateur régulier de DuckDuckGo doit supposer être à la disposition de DuckDuckGo:

  • l'adresse IP du routeur de l'utilisateur.
  • le nom du navigateur de l'utilisateur (agent utilisateur) et du système d'exploitation (par exemple, le mien est "Mozilla/5.0 (X11; Ubuntu; Linux i686; rv: 14.0) Gecko/20100101 Firefox/14.0.1")
  • d'autres signatures http que je ne connais pas si bien.

Je suis sûr que j'ai raté quelques petites choses dans cette dernière liste, mais c'est un bon début. Donc, dès le premier ensemble de points positifs, nous pouvons voir que DuckDuckGo fait vraiment tout ce qu'il peut.

L'absence de cookies et de paramètres d'identification dans la chaîne http GET est une assurance que DuckDuckGo n'a aucun intérêt à suivre un utilisateur d'une recherche à l'autre. C'est à dire. en ce qui concerne les cookies et les informations URL renvoyées au serveur, votre première recherche sur DuckDuckGo aurait pu être complètement différente de votre deuxième recherche sur DuckDuckGo. Cependant, vous ne devez pas en déduire que DuckDuckGo n'est pas capable de vous lier plusieurs recherches - voir plus loin pour plus de détails à ce sujet.

Je devrais expliquer que http GET n'est pas réellement plus sûr que POST - DuckDuckGo aurait pu choisir POST et il n'y aurait pas eu de compromis là-bas. Cependant, la bonne chose avec GET, c'est que l'utilisateur peut voir les données qui sont renvoyées à DuckDuckGo directement dans son URL - c'est-à-dire qu'il n'a pas besoin d'aller fouiller pour trouver les paramètres de publication envoyés par le navigateur à DuckDuckGo.

Un autre point est que https est toujours activé. cela indique que DuckDuckGo ne veut pas que ses utilisateurs soient vulnérables aux attaques de l'homme du milieu. Bien sûr, cela ne veut pas dire que les attaques de l'homme du milieu ne se produiront pas si vous utilisez DuckDuckGo, mais simplement que du côté des serveurs DuckDuckGo, ils semblent avoir fait tout ce qu'ils pouvaient pour les empêcher.

Cela dit, DuckDuckGo pourrait toujours lier vos recherches à une seule personne et éventuellement à vous si vous ne prenez pas de précautions. l'agent utilisateur est une forme d'identification simplement parce qu'il ne change pas d'une demande à l'autre (sauf si vous prenez des précautions contre cela). De même, l'adresse IP de votre routeur connecté à Internet apparaîtra sur le serveur DuckDuckGo.

Pour ces deux derniers points, il y a des choses que vous pouvez faire pour cacher votre identité - comme installer un randomiseur d'agent utilisateur ou utiliser Tor, mais si vous n'utilisez pas ces choses, vous devrez faire confiance à DuckDuckGo quand ils disent qu'ils respectent votre vie privée . Autant que je sache, ils ont fait tout leur possible pour m'assurer qu'ils respectent ma vie privée. Vais-je aller chercher des termes incriminants sans utiliser Tor et d'autres sécurités sur mon PC? Absolument pas!

17
mulllhausen

Il n'est pas possible de prouver qu'il fonctionnera de cette façon, mais il est très facile de l'utiliser de la façon dont ils en font la publicité.

Je suis également d'accord avec D.W. et j'ai commencé à l'utiliser il y a quelques jours. J'ai supprimé google de ma liste des moteurs de recherche, mais j'ai également eu des problèmes de confiance en ddg, car je suis une personne légèrement paranoïaque, mais il fournit une connexion sécurisée, je l'utilise sur tor et je cherche toujours Ma vie privée. Je n'ai pas encore trouvé de problème. Il n'y a pas d'ID pour vous suivre. Ils pourraient vous donner des empreintes digitales avec vos paramètres de confidentialité, mais rien de plus.

J'ai rejoint leur chaîne irc et posé quelques questions, vous devriez le faire aussi, c'est irc.freenode.net #duckduckgo

Si vous avez peur d'une fuite de données, vous pouvez essayer de visiter une page et consulter les journaux. Visitez-le une fois sur google et une fois sur ddg. Google divulguera votre terme de recherche sur le référent.

11
sfx

Il n'est jamais facile de prouver ces choses, mais les gens déménagent souvent vers DuckDuckGo pour des raisons de confidentialité. Il faut du temps à une marque pour gagner un nom positif et à l'ère d'Internet, cela peut prendre aussi peu que quelques minutes pour voir votre bonne réputation détruite.

Avec les premiers articles de presse que DuckDuckGo viole ses promesses à ses utilisateurs, ils commenceront à partir car les nouvelles se répandront dans tous les médias en quelques minutes. De plus, le nom de son fondateur restera dans les mémoires pendant des siècles et il sera probablement indisponible pour toujours en ce qui concerne les services de confidentialité. Vous pouvez mettre des informations sur Internet, mais vous ne pouvez jamais les supprimer.

4
jippie

Voici une autre preuve que vous pouvez faire confiance à DDG si vous êtes paranoïaque: ils facilitent le contrôle des informations envoyées à l'hôte cible lorsque vous suivez un lien. Peut-être que vous ne pouvez pas vraiment savoir ce qu'ils gardent dans leurs journaux, mais vous POUVEZ savoir comment ils traitent votre interaction avec les cibles de lien, et vous pouvez le contrôler si vous le souhaitez. Essayez ceci sur DuckDuckGo et Google, avec Javascript activé: 1. recherchez quelque chose 2. passez la souris sur l'un des liens de résultat et vérifiez l'adresse dans la barre d'état 3. faites un clic droit sur l'un des liens et regardez l'adresse dans la barre d'état à nouveau

Sur DuckDuckGo, les liens sont ce qu'ils disent être. Si vous voulez empêcher DuckDuckGo de voir ce sur quoi vous cliquez et si vous voulez que la cible ne sache pas que vous êtes entré via DuckDuckGo, vous pouvez le faire facilement: copiez simplement le lien à l'étape 3, collez-le dans votre adresse et vous y êtes - plus d'interaction avec DuckDuckGo et aucune URL de référence envoyée au site cible. Sur Google, cependant, notez que dans # 2, ils vous montrent le lien que vous attendez, mais à l'étape # 3, le lien change soudainement en une adresse google.com avec une tonne de charabia. C'est également l'adresse qui est utilisée si vous cliquez normalement sur le lien. La seule façon d'obtenir directement la véritable adresse cible est de la survoler et de la retaper vous-même au lieu de cliquer dessus. Le script côté client Google est spécialement conçu pour vous assurer que vous accédez au serveur de suivi Google avant d'être redirigé vers la page que vous vouliez vraiment, et en plus, POUR CACHER LE FAIT QU'IL IS FAIT SO à partir du grande majorité des utilisateurs. C'est l'action entreprise par Google il y a quelques années qui m'a finalement amené à utiliser exclusivement DDG. Je comprends que Google doive monétiser son service, mais lorsqu'il cache délibérément ce mécanisme fondamental, il prouve qu'il n'est pas digne de confiance.

Vous pouvez donc avoir votre choix: utilisez un site qui dit qu'il ne vous suit pas et semble tenir sa promesse; ou utilisez un site qui vous suit de toutes les manières possibles, vous indique qu'il le fait et rend le plus difficile possible de l'éviter. Le choix est évident.

3
Randall Krieg

Eh bien maintenant, si DuckDuckGo était domicilié dans un État de l'EEE, il serait soumis à des contrôles juridiques rigoureux sur ce qu'il pourrait faire avec les données des utilisateurs, et en particulier il lui serait interdit de violer sa propre politique de confidentialité.

Donc, si vous vous souciez vraiment de ce problème, recherchez un service similaire basé dans l'EEE, qui vous offrirait un potentiel de recours juridique si vous découvriez qu'ils traitaient vos données d'une manière qui violait leur politique de confidentialité.

La façon dont vous détectez ces violations est un exercice pour vous.

0
Marcin