Aller au contenu

Maxthon et l'UEIP


Ldfa

Messages recommandés

annonce2Maxthon, d'après les experts en sécurité informatique polonais de la société Exatel, récupérerait les informations liées à l'UEIP (Programme d'amélioration de l'expérience utilisateur) malgré le choix indiqué lors de l'installation du programme. :unsure:

 

En effet, lors de l'installation de Maxthon, ce choix est coché par défaut pour les version Bêta et décoché pour les versions stables. :shifty:

 

L'information semble sérieuse car la clé AES indiquée dans le document permet bien de déchiffrer le fichier incriminé. :shocked:

 

Source : http://www.zataz.com/navigateur-maxhton-espionne-utilisateurs/#axzz4EPI4pqqp et http://news.softpedia.com/news/maxthon-browser-collects-sensitive-data-even-if-users-opt-out-506327.shtml

Lien vers le commentaire
Partager sur d’autres sites

Disons que ce "bug" va disparaitre ... et etre beaucoup mieux codé par la suite :) Pas de parano :) :) :) :)  Objectivement Maxthon (et d'autres) est proposé gratuitement ... il faut bien que cette boite se rémunère d'une manière ou d'une autre ... le gagne pain ce sont les données utilisateurs ... et accessoirement les données sensibles ... reste que la notion de vie privée est totalement différente en dehors de nos frontières... la FR est tres protectrice avec ca .... Ailleurs encore plus qu'en FR, les données c'est aussi le savoir et comme l'on dit :) le savoir c'est le pouvoir et l'argent :) c'est la limite avec les navigateurs alternatifs ... je ne pense pas qu'il soit tres bon de tout synchoniser sur les serveurs proposé par les navigateurs alternatifs ... (à la limite les seuls qui trouveraient grace a mes yeux seraient la synchro Mozilla ... mais on ne rien vérifier de toute facon...).

Lien vers le commentaire
Partager sur d’autres sites

la révélation n'est pas partie de France mais de Pologne en milieu de journée, softpedia a suivi immédiatement, ce n'est arrivé en France que plus tardivement dans la journée.

 

la synchronisation et le compte passeport sont obligatoires avec Mx5, cela nous inquiétait déjà avant cette histoire et on essaie de le faire changer d'avis à ce sujet, sans succès pour le moment.

 

peut-être que justement à cause de cette histoire il va plier.

Lien vers le commentaire
Partager sur d’autres sites

Objectivement Maxthon (et d'autres) est proposé gratuitement ... il faut bien que cette boite se rémunère d'une manière ou d'une autre ...

 

Oui et avec leur affiliation lors des recherches sur Google (http://www.maxthon-fr.com/forum/index.php?/topic/10231-a-propos-des-derni%C3%A8res-versions/&do=findComment&comment=90413).

 

J'ai essayé Maxthon 5 pendant quelques minutes, et j'ai pu constater que ce système d'affiliation était toujours actif. Maxthon 5 ne sera pas resté longtemps sur mon ordinateur :)

Lien vers le commentaire
Partager sur d’autres sites

Oui et avec leur affiliation lors des recherches sur Google (http://www.maxthon-fr.com/forum/index.php?/topic/10231-a-propos-des-derni%C3%A8res-versions/&do=findComment&comment=90413).

 

J'ai essayé Maxthon 5 pendant quelques minutes, et j'ai pu constater que ce système d'affiliation était toujours actif. Maxthon 5 ne sera pas resté longtemps sur mon ordinateur :)

 

avec Mx5 effectivement l'extension "search" est là, dans les données utilisateur, mais elle n’apparaît pas dans la liste des extensions, et avec la synchronisation continue on ne peut pas la supprimer...

 

Il semblerait toutefois que certains n'aient pas cette extension ...

 

portableapps attend une confirmation indépendante de tout ceci : http://portableapps.com/node/54786

Lien vers le commentaire
Partager sur d’autres sites

Personnellement, je n'ai pas activé l'UEIP dans mx5 alpha et Maxthon Cloud 4.4.8.2000. Je n'ai pas de fichier ueipdata.zip dans le dossier %APPDATA%\Maxthon3\Temp\ueip\.

 

Par contre, je l'ai déjà eu lors d'installations précédentes dont j'ai les sauvegardes, mais je ne saurait dire aujourd'hui si j'avais ou non accepté l'UEIP. :unsure:

Lien vers le commentaire
Partager sur d’autres sites

moi j'ai détruit  ueip.dll hier et aujourd'hui C:\Users\****\AppData\Roaming\Maxthon3\Temp\ueip est vide avec comme dernière date de modification hier

 

il me reste 2 questions :

est-ce que cela veut dire que rien n'est envoyé ?

est-ce que décocher l'ueip a le même effet que détruire la dll ?

 

et une réflexion : si des données privées sont envoyées en chine (même pour des fins politiques), tant que la chine ne fait pas la loi ici, cela m'importe finalement assez peu. Bien que sur le principe j'aimerais tout de même savoir ce qui s'en va de chez moi.

Lien vers le commentaire
Partager sur d’autres sites

A propos des navigateurs alternatifs plus intrusifs que... que lesquels en fait ? Quand on voit les polémiques concernant Microsoft, payant, et sa conception particulière de la protection de la vie privée, quelle est la différence, à part justement le fait qu'on paie chez le plus gros pour être marqué à la culotte ? Alors on lit l'argument quand même assez stupéfiant (ça me passera, on s'habitue, c'est tout, disait Brel) selon lequel Apple pomperait les données privées sur ses appareils "depuis longtemps sans que cela n'émeuve personne", on se frotte les yeux d'incrédulité. Selon cette doctrine aveugle, qui ne tient aucun compte des contextes différents (smatphone – outil imposé par le marché, devenu quasi intime, contre informatique générale et sécurité) ni du fait qu'il faut du temps et des circonstances souvent particulières pour qu'un problème apparaisse dans sa réalité, y'a qu'à accepter l'état des choses puisque "ça se fait" depuis longtemps, puis de toute manière on peut pas faire marche arrière et qui voudrait se priver de l'essentiel et de la modernité, revenir à la bougie. Bref. fermez le ban. Ben non, pas encore. Quant à MX5, que j'attendais, me voilà tout-à-coup pas du tout pressé. Cela fait très longtemps que j'hésite à changer de navigateur, la paresse, l'habitude m'empêchant de le faire. Maxthon n'ayant aucun besoin de moi, ce ne serait pas un drame...

Lien vers le commentaire
Partager sur d’autres sites

il me reste 2 questions :

est-ce que cela veut dire que rien n'est envoyé ?

est-ce que décocher l'ueip a le même effet que détruire la dll ?

- Dans le document il est précisé que le fichier ueipdata.zip est envoyé sur les serveurs de Maxthon.

- Pour ma part je n'ai pas pu reproduire la création de ce fichier sur mes 2 versions installées sans cocher l'UEIP.

Lien vers le commentaire
Partager sur d’autres sites

les explications de Jeff Chen

Security and Privacy are Top Priorities at Maxthon - Maxthon News - Maxthon Community


 

Security and Privacy are Top Priorities at Maxthon

 

 

 

 

 

This week Exatel published a report saying that Maxthon collects sensitive user information and sends the URLs to the Maxthon server. We take the allegations from the Exatel report very seriously and have fully investigated this matter.

 

 

 

 

 

User Experience Improvement Program (UEIP)

 

 

 

 

 

Maxthon implements a User Experience Improvement Program (UEIP), a standard industry practice to improve the user experience. Users are supposed to have full control when it comes to opting in or out of the UEIP. If a user opts out, the UEIP is not supposed to collect information. However, upon investigating the situation based on the Exatel report, we located a bug in our 2007 code library which will cause the setting being ignored under some rare condition.We have immediately fixed this bug. We thank the Exatel team for helping us identify the problem.

 

 

 

 

 

We’d like to note that the user information the UEIP program collects follows industry standard practice, and we share this practice with our users in the Maxthon UEIP policy. As pointed out in the Exatel report, the software information Maxthon collects is designed to improve the user experience by better configuring the software our users run in the system. Thanks to the UEIP program, we are able to analyze and solve configuration issues across all kinds of software. We will update our UEIP policy and provide even more transparency to our users.

 

 

 

 

 

Sending URLs to the Maxthon server

 

 

 

 

 

Exatel also reported that Maxthon sends URLs back to its server. Just as all URL security checks work, Maxthon’s cloud security scanner module (cloud secure) checks the safety of the websites our users visit. By implementing this URL security check, Maxthon sends URLs to its server to check if the website is safe or not. As a result of these security checks, we have prevented our users from visiting millions of fake and malicious websites since 2005. In our latest version, we will add an option for users to turn off the scanner.

 

 

 

 

 

security_scanner.thumb.png.b3fc128f23ec7

 

 

 

Our Promise to Users

 

 

 

 

 

We at Maxthon take users’ privacy and information security seriously. We keep our users’ information secure and private. Maxthon has been in business for over 10 years and there has NEVER been a privacy leak to any third party. We are a truly international company with servers located in the U.S., EU, and Asia. We take endless efforts to improve our product to protect users’ security and privacy. 

 

 

 

 

 

We are about to release our next-generation browser, the MX5, with enhanced features to protect user’s data and privacy.

 

 

 

 

 

1.       MX5 requires registration so that MX5 users are protected by a secure username and password.

 

 

 

 

 

2.       MX5’s Passkeeper feature provides triple encryption and multi-channel security using the AES25 algorithm. This algorithm strengthens the local database encryption and provides safer transmission to the cloud via https.

 

 

 

 

 

3.       MX5’s UUmail is a virtual email box that helps protect users real email addresses and get rid of spam emails.

 

 

 

 

 

Please check www.maxthon.com for the latest information.

 

 

 

 

 

 

 

 

Jeff Chen (CEO of Maxthon)

 

 

11:00pm EST, July 14, 2016

 

 

Lien vers le commentaire
Partager sur d’autres sites

C'est bien ce qu'on dit : tout le monde le fait, c'est pour votre bien, avec une péniche de bonne grosse langue de bois, nous prenons très au sérieux les commentaires de truc et l'utilisateur et, cerise sur le cheese, nous améliorons la protection de la vie privée. Ça c'est fait.

Lien vers le commentaire
Partager sur d’autres sites

Bon, je comprends l'explication de Jeff concernant un bug qui enverrait les données de l'UEIP par erreur en chine, mais quid de la seconde révélation d'Exatel concernant la faille de sécurité engendrée par le fait que la clé de chiffrement AES 128 est hardcodée dans les exécutables de Maxthon suivants et peut permettre une attaque de type MITM :

 

AES128.png

 

PS : Après avoir effectué une nouvelle recherche, il n'y a finalement que ces fichiers qui contiennent la clé de chiffrement AES 128.

Lien vers le commentaire
Partager sur d’autres sites

En conclusion, Maxthon va être très surveillé maintenant, donc on pourra très certainement choisir de désactiver réellement l'ueip. 

 

pour la faille de sécurité il faut poser la question directement sur le Fi, Jeff est devenu très chatouilleux à ce sujet et répond rapidement... si tu veux je transmets ta question mais je pense que tu préféreras la poster directement.

Lien vers le commentaire
Partager sur d’autres sites

Il a répondu à côté, comme à chaque fois qu'il a eu à répondre à des problèmes de sécurité dans Maxthon : http://forum.maxthon.com/index.php?/topic/20208-security-and-privacy-are-top-priorities-at-maxthon/&do=findComment&comment=104396

Lien vers le commentaire
Partager sur d’autres sites

Franchement, je découvre l'existence et la fonction de l'UEIP, qui reste pas claire pour moi. Il faudrait que cela m'intéresse, que j'y revienne plusieurs fois pour comprendre. Je ne dois pas être le seul dans ce cas. Autrement dit, l'utilisateur lambda veut pouvoir faire confiance aux concepteurs des applications qu'il emploie. On remerciera donc d'autant plus les spécialistes qui veillent, mais ce genre d'accident ne donne pas l'espoir que les choses aillent s'améliorant au point qu'on puisse par la suite accorder une confiance toujours plus grande aux développeurs en informatique. Pour ce qui est des réponses données "à côté", il est vrai que les différences culturelles et les barrières de langues ont leur importance. Espérons que le point de rencontre soit possible et qu'il n'y ait pas de volonté de dissimulation chez Maxthon.

Lien vers le commentaire
Partager sur d’autres sites

je vais faire un paralèlle avec un domaine que je connais bien :

il est possible de télétransmettre des données médicales pour surveiller des patients à distance, par exemple des capteurs de glycémie chez les diabétiques qui déclenchent des secours si la glycémie descend trop bas.

de quelles données ont besoin les gens à l'autre bout pour être efficace ?

de quelles données ont ils besoin en plus pour améliorer leur prestation ?

 

qu'ils enregistrent le poids, la taille, les traitement en cours parait légitime. S'ils se mettent à enregistrer le nombre de rapports sexuels et l'adn des partenaires, on pourra commencer à se poser des questions...

si en plus ils laissent la porte ouverte pour que d'autres (par exemple des détectives privés) aient accès aux données, on se demandera qui paye pour ce type de prestation...

en d'autres termes cherchez à qui le crime profite.

 

pour l'UEIP, Jeff donne des explications "plausibles" sur l'utilisation des données, du moins pour un européen. Pour un chinois, savoir quels sites il visite ou quelles recherches il fait peut l'exposer à des complications si ces données tombent entre "de mauvaises mains".

 

de notre côté du monde on a probablement moins à redouter de maxthon que de microsoft ou google, et je ne parle même pas de ce que les gens exposent eux-même sur facebook...

Lien vers le commentaire
Partager sur d’autres sites

Ce qui me gène le plus, c'est qu'on me dise que Maxthon est très sécurisé et qu'une clé de chiffrement AES 128 soit stockée en clair dans 4 fichiers de Maxthon. Jeff connait-il le salage : https://fr.wikipedia.org/wiki/Salage_(cryptographie)?

 

De plus, la version de Flash Player distribuée avec mx5 est toujours obsolète de plusieurs versions et donc potentiellement exploitable par de nombreux malwares.

 

Enfin, quand on voit que :

- Maxthon 4.4.8.2000 utilise le moteur de rendu de Chrome 30 qui date de 2013.

- Maxthon 4.9.3.1000 utilise le moteur de rendu de Chrome 39 qui date de 2014.

- Maxthon 5.0.0.2600 utilise le moteur de rendu de Chrome 47 qui date de 2015.

 

Et que toutes ces versions ont des failles de sécurités exploitées également par des malwares, on est en droit de se poser de sérieuses questions sur le niveau de compétence de Maxthon au niveau de la sécurité de ses produits. :unsure:

 

Je ne suis pas un expert dans ce domaine, mais je me pose des questions... :shifty:

Lien vers le commentaire
Partager sur d’autres sites

Tu parles de Max 5, à propos de la clé AES 128 ? Parce que je me souviens (mal) d'un membre de ce forum qui avait dit avoir décrypté les fichiers de versions plus anciennes contenant les mots de passe, tu rétabliras précisément à quoi je fais référence j'espère. Je ne me souviens pas si cette faille avait été comblée, mais si la version 5 ne ferait pas mieux, même s'il ne s'agit pas du même problème ?
Lien vers le commentaire
Partager sur d’autres sites

Le programme qui permet de récupérer tous les mots de passe de Maxthon 3/4 se nomme recALL et il ne fonctionne plus, dans sa dernière version avec mx5.;)

 

Mais effectivement, rien a été fait pour corriger ce problème pour les versions antérieures. :blush2:

Lien vers le commentaire
Partager sur d’autres sites

Archivé

Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.