uMatrix avec Firefox – 3 : les «scopes»
Maintenant que vous êtes à l’aise avec la matrice aux deux couleurs et que uMatrix est configuré dans son tableau de bord, associé ou non à uBlock Origin et à NoScript, il est temps d’aller un peu plus loin et, notamment, d’explorer les «scopes» matriciels.
Préliminaires
En replongeant dans la matrice colorée de uMatrix et en découvrant ses «scopes», nous allons en profiter pour voir d’autres réglages possibles avec, comme exemples, des sites web moins inoffensifs que Liberté GNU/Linux.
Cet article étant le dernier épisode du petit feuilleton uMatrix, il est important d’avoir lu les articles précédents :
- uMatrix avec Firefox – 1 : la matrice en action
- uMatrix avec Firefox – 2 : le tableau de bord
- ainsi que [Firefox] uBlock Origin, uMatrix, NoScript
Que veut dire le mot «scope» dans uMatrix ?
Le mot «scope» est bien difficile à traduire en un seul mot. C’est l’étendue, le champ d’application ou d’action de quelque chose.
Dans uMatrix, il y a le «global scope» et le «current scope», autrement dit, deux types de «champs», l’un qui s’applique globalement, c’est-à-dire à l’ensemble de votre navigation et du web et l’autre qui s’applique de manière spécifique, au domaine du site web que vous êtes en train de consulter ou de lire.
Ces deux champs s’affichent succcessivement, par des clics de souris, dans l’unique cellule à gauche de la barre d’icône. Un champ intermédiaire peut apparaître lorsque le champ du domaine en cours est un sous-domaine. Voyez plus loin pour ce cas assez fréquent mais pas essentiel.
Pour le deuxième type de «scope», «current scope», il faut probablement éviter la traduction «champ domanial» … «champ local» n’est sans doute pas satisfaisant … «champ du domaine en cours» serait peut-être la traduction la moins obscure.
Ces deux champs correspondent aux deux types de réglages que vous pouvez effectuer dans uMatrix :
- réglage global
- réglage spécifique pour le domaine en cours, concernant le seul domaine de la page web en cours.
Cette distinction est déjà dans uBlockO. Voyez [Firefox] Comment utiliser uBlock Origin – 3.
En tous cas, avec uMatrix, vous êtes les maîtres des «scopes» car c’est vous qui déterminez l’étendue des autorisations ou des blocages pour le web entier. Le web devient votre champ d’action. «The web my scope», voilà un slogan qui conviendrait à uMatrix
Matrice pour le domaine en cours et matrice globale
D’emblée, uMatrix vous présente toujours la matrice pour le domaine de la page web en cours («current scope») qui inclut les domaines tiers qui s’y rattachent éventuellement, comme sur cette image :
C’est tout à fait logique car ce sont les réglages pour la page ou le site web que vous consultez qui vous concernent dès l’abord.
Cependant, à partir de la page web en cours, vous pouvez effectuer des réglages globaux qui seront pris en compte quelque soit la page que vous visitez.
Pour accéder à la matrice globale, clic sur la cellule bleue affichant le nom de domaine pour la faire passer en une cellule toute noire ne contenant qu’une astérisque *
:
Bien que cette cellule noire soit bien visible, elle est indiquée par une pastille orange sur l’image-ci dessus.
La matrice «globale» vous permet de faire rapidement des réglages. Par exemple, vous pouvez interdire les images et les CSS globalement, pour les domaines en cours (cellules «Images» et «CSS» dans la ligne «1st-party» à passer en rouge).
Dans le champ du domaine en cours, il vous faudrait alors, site par site, autoriser les images et les CSS, pour la page web du domaine en cours. Ce serait un peu fastidieux.
Pour bloquer une fois pour toutes, sur tous les sites, tout sauf les images et les CSS par défaut, vous pouvez le faire à partir de la page courante de Liberté GNU/Linux :
- Clic sur sur la cellule bleue du domaine en cours (
vive-gnulinux.fr.cr
), jusqu’à ce qu’elle se transforme en cellule noire avec son*
- Clic sur les cellules «Images» et «CSS» correspondant à la ligne «domaine de la page» (1st-party, 3e ligne de la matrice) pour les passer en vert.
Voyez le résultat dans l’image ci-dessus.
Cas spécial : les sous-domaines
Le cas du domaine vive-gnulinux.fr.cr
est un peu particulier, car il est considéré comme un sous-domaine de fr.cr
.
De la même façon, www.april.org
est considéré comme le sous-domaine d’april.org
qui est la racine du site de l’April, mais c’est dans ce «sous-domaine» que sont les images, les CSS et les scripts, comme vous le montre la fenêtre de uMatrix :
Donc, pour de nombreux sites, il y a 3 champs possibles que vous révèleront vos clics successifs :
- Champ du domaine en cours (celulle bleu ciel)
- Champ de la racine du domaine en cours (celulle bleu roy)
- Champ globlal (cellule noire)
Voici ces 3 champs en image, par ordre d’apparition :
Vous pouvez essayer d’interdire les images et les CSS pour le domaine fr.cr à partir du «champ global» («global scope»), cela n’a pas peut-être pas d’influence pour simplement visiter Liberté GNU/Linux. Mais il faudra alors autoriser ces éléments spécifiquement dans le champ du domaine en cours («current scope»). Tout ceci sera plus clair en trois images :
La première colonne de la matrice
Comme le vocabulaire français est un peu confus pour traduire celui de uMatrix, voici une image avec la liste des cellules de la première colonne, la colonne des domaines :
- Cellule des «scopes», ici le champ du domaine en cours. Cette cellule est isolée car elle ne gouverne aucune ligne. À sa droite, c’est simplement la barre des icônes.
- Cellule «Tout» («All») — ligne d’éléments pouvant être présents dans une page web – un clic dessus modifie toute la matrice (pour la matrice indiquée par la 1ère cellule «champs»)
- Cellule «Domaine de la page» (1st-party) quelque soit le site en cours, sauf bien sûr les domaines tiers
- Cellule «Domaine racine» (dont le sous-domaine est indiqué dans la 5e cellule) — cette cellule n’est pas nécessairement présente (voir plus haut)
- Cellule «Domaine en cours de visite» — les éléments présents d’une page à l’autre dans le même domaine (ou site web) peuvent varier (»Frame» dans certaines pages seulement, par exemple)
- Cellule «Domaine tiers racine» (cette cellule n’est pas nécessairement présente)
- Cellule «domaine tiers» (ici sous-domaine de
tuxfamily.org
)
«Frame» (cadre) dans une page web
Les cadres («frames») sont bloqués dans le champ global («global scope»), par défaut, dans tous les sites tiers, sauf dans le champ de la page web en cours «current scope». Mais vous avez vu qu’il est préférable d’interdire les frames même pour les domaines en cours («1st-party») — c’est là-bas uMatrix avec Firefox – 1 : la matrice en action.
Sur Liberté GNU/Linux, il y a un exemple d’«iframe». Ce n’est pas que cet élément est recommandable mais il s’agissait simplement d’essayer une nouvelle fonction de WordPress. Ainsi, dans l’article Debian Backports sont insérés les aperçus de deux autres articles dont les titres sont des liens grâce à deux «iframes».
Pour les voir sur la page web, il faut passer la cellule «Frame» en vert pour le domaine en cours. Comme les cadres sont interdits partout, la cellule passera au vert vif.
Voici une image dans laquelle sont signalés, par des cadres oranges, l’iframe inséré dans l’article et la cellule «frame» dans la matrice de uMatrix :
Chiffres dans les cellules
Si un chiffre, comme ici le chiffre 2
, apparaît dans la cellule «frame», sur la ligne correspondant au domaine de la page web en cours, c’est que deux éléments de type«frame» sont présents dans la page. Cela ne veut pas dire, comme vous l’avez vu plus haut, qu’il faut autoriser ces éléments. uMatrix vous informe simplement. À vous de décider en connaissance de cause.
Des Frames ou pas du tout ?
Même sur Liberté GNU/Linux, vous êtes évidemment libres de ne pas autoriser les «frames». C’est pourquoi il y a un lien visible pour tous les internautes en complément ou en remplacement du lien présent dans le cadre. Regardez bien l’image ci-dessus ou allez à la page elle-même pour trouver ces deux liens, l’un en bleu dans le texte de l’article, l’autre en noir dans le cadre inséré.
uMatrix ne permet pas (pas facilement en tous cas) d’autoriser un «frame» et pas l’autre, au contraire de NoScript (autorisation temporaire).
Bloquer radicalement un site web
Le filtre statique, inclus dans uBlockO (1ère section dans l’onglet «Filtres tiers»), proposé par Gorhill et intitulé «Badware risks», bloque carrément l’accès à quelques sites comme Sourceforge — voyez son effet en image dans [Firefox] uBlock Origin, uMatrix, NoScript.
Dans uMatrix, vous pouvez très facilement bloquer ce site et tous ceux que vous voulez, de deux manières, au choix, sans aucun filtre statique :
- En passant par l’onglet «My Rules» du tableau de bord
- Ou directement depuis la matrice.
Bloquer un site web dans le tableau de bord
Tous les détails concernant l’onglet «My Rules» du tableau de bord de uMatrix sont là-bas : uMatrix avec Firefox – 2 : le tableau de bord.
Voici le filtre à enregistrer dans cet onglet pour bloquer Sourceforge :
* sourceforge.net * block
De la même manière, j’ai bloqué le site web Nextinpact parce que tout son contenu est en fait dans le cloud d’Amazon. Donc, en visitant Nextinpact, vous livrez à Amazon des données vous concernant, ce qui n’est pas du tout recommandable :
* nexinpact.com * block
Voici le résultat dans Firefox si je clique par inadvertance sur un lien vers un article de Nextinpact, par exemple dans la revue de presse de La Quadrature du Net :
Cette fonction de blocage radical devrait permettre de se passer de uBlockO en reprenant la liste des sites nocifs inclus dans les filtres propres à ce module.
Bloquer radicalement un site web dans la matrice
En tant que site tiers, Youtube est par défaut bloqué globalement, c’est-à-dire que les requêtes vers Youtube sont bloquées, mais le site lui-même n’est pas du tout bloqué. En effet, si vous tapez l’URL de Youtube dans Firefox, l’accès au site se fait tout à fait normalement.
Voici une image prenant comme exemple le journal en ligne Atlantico.fr, et affichant le champ global («global scope») :
Vous voyez sur cette image que deux domaines tiers sont en rouge vif. Ce sont des domaines bloqués par les filtres statiques de l’onglet «Host files» dans le tableau de bord de uMatrix.
Vous pouvez maintenant bloquer radicalement l’accès à Facebook en affichant le champ global («global scope»), comme dans l’image ci-dessus et passant en rouge vif la cellule du domaine de Facebook (facebook.com).
En principe, cela suffit car l’autre domaine (www.facebook.com) est considéré comme un sous-domaine, donc il hérite de l’interdiction globale.
Voici maintenant la matrice :
NB : La petite pastille orange indique un petit chevron à peine visible qui escamote un sous-domaine d’atlantico.fr. L’astérisque *
dans la cellule du domaine en cours, précédant .atlantico
vous indique qu’au mois un sous-domaine du domaine en cours est caché dans la matrice.
Si vous repassez dans le «champ du domaine en cours» («current scope»), la cellule facebook.com est bien sûr aussi en rouge vif et son sous-domaine hérite du blocage radical que vous lui avez fait subir, donc elle reste en rouge pâle.
Vérifiez vous-mêmes que les deux URL de Facebook sont bien bloquées en les tapant tour à tour dans la barre de l’URL de Firefox.
Ainsi, la cellule du domaine de Facebook en rouge clair signifie que les requêtes depuis FB sont bloquées sans que l’accès au site lui-même soit bloqué. Mais si cette même cellule est en rouge vif, c’est que Facebook est entièrement bloqué.
Pour débloquer l’accès à FB, retournez dans le champ global et passez la cellule facebook.com en rouge clair. Mais vous savez sans doute que Facebook est un site néfaste (pour plusieurs raisons).
N’oubliez pas de recharger les pages, d’annuler vos modifications erronées et d’enregistrer celles qui vous paraissent devoir être permanentes.
Autoriser entièrement un site
Pour autoriser tous les éléments du domaine de la page web en cours, partez du champ du domaine en cours («current scope») et faites passer en vert la cellule du domaine en cours. Cette cellule deviendra vert vif et les autres cellules de la ligne passeront toutes au vert pâle, sauf exceptions. Voyez l’illustration ci-contre.
En effet, si vous avez conservé l’interdiction totale des «frames» (cellule «Frame» en rouge vif), la cellule correspondant au domaine en cours ne deviendra pas verte, du fait de cette interdiction globale. Il faudra cliquer sur cette cellule pour l’autoriser et elle passera alors au vert vif. Voyez l’illustration ci-contre.
Rappel : Il est toujours plus prudent d’autoriser simplement certains éléments nécessaires au bon affichage d’une page dans un site web auquel vous faites relativement confiance que d’autoriser un site entièrement. Pour cela, cliquez sur les cellules individuelles, sans toucher la cellule du domaine en question.
Notamment, l’élément «Plugin» ne devrait jamais être autorisé et il ne sert à rien sur Liberté GNU/Linux. Donc, il vaudrait mieux passer cette cellule en rouge si vous donnez à ce site une autorisation complète. C’est ce qui a été fait ci-dessus, (voyez l’illustration).
Les images et les CSS
Avec uBlockO, vous avez vu que les images et les CSS du journal en ligne lemonde.fr sont hébergées dans le «cloud» d’une entreprise américaine : [Firefox] Comment utiliser uBlock Origin – 4.
Par défaut, uMatrix autorise toutes les images et les CSS globalement, ainsi que le montre le champ global dans l’image ci-contre (la cellule «Cookies» peut être en rouge clair).
Pour autoriser les images et les CSS juste pour le domaine en cours, restez sur la matrice en mode global, et faites passer en vert les cellules concernées sur la ligne «domaine de la page» («1st party»). Voici le résultat :
Si vous avez déjà bloqué les images et des CSS hors du «domaine de la page» («1st-party), comme il est conseillé dès vos premiers pas avec uMatrix — uMatrix avec Firefox – 1 : la matrice en action —, seul s’affichera dans Firefox le texte de la page d’accueil ou des articles du Monde en ligne.
Si vous ne l’avez pas fait, vous pouvez passer dans le «champ global» («global scope») pour mettre en rouge la cellule «Image» et la cellule «CSS»
Ainsi, vous bloquez automatiquement les images et les CSS venant du cloud du Monde en ligne. uMatrix ne voit pas le cloud par derrière le nom de domaine s1.lemde.fr
mais vous pouvez le voir grâce à cette commande dans le terminal et compléter par quelques recherches sur le web :
dig NS s1.lemde.fr
L’exemple d’un site web dont toutes les images sont dispersées dans le cloud à travers plusieurs CDN, branchez-vous.com, vous montre l’avantage de bloquer les images globalement pour tous les sites web, domaine en cours inclus. Seuls les CSS ont été autorisés. Voici une image vous montrant le résultat de ces réglages dans la matrice et sur la page web de ce site :
Vous pouvez escamoter la longue liste de CDN en cliquant sur le presque invisible chevron qui apparaît lorsque vous passez lentement la souris sur le bas de la cellule du domaine en cours.
NB : en l’occurrence, les CDN de ce site web ainsi que le site lui-même sont apparemment hébergés par la même entreprise qui n’a sans doute rien à voir avec Amazon ou Edgecast. Mais peu importe dans le cas présent. Je vous laisse faire des recherches…
Le mode «Lecture» de Firefox
Pour lire plus agréablement les articles de sites web comme lemonde.fr, vous pouvez les afficher en mode lecture. Voyez [Firefox] Comment utiliser uBlock Origin – 4.
Depuis au moins Firefox 43, le dossier spécial des marques-page «liste de lecture» et sa fonction ont disparu mais le mode «Lecture» est toujours présent.
Dans uMatrix, le mode «Lecture» de Firefox correspond à reader.about-scheme
, une des lignes commençant par matrix-off
que vous avez vues dans l’onglet «My Rules» du tableau de bord : uMatrix avec Firefox – 2 : le tableau de bord.
Par défaut, uMatrix est totalement désactivé pour le mode lecture.
Pour bloquer les photos sur lemonde.fr en mode «Lecture», affichez la matrice et clic sur l’icône appropriée indiquée par une pastille orange sur l’image ci-dessous. Celle-ci vous montre la matrice après votre modification :
Voici le résultat sur un article du Monde :
La matrice addons.about-scheme
La matrice addons.about-scheme
est par défaut désactivée, donc elle autorise toutes les requêtes.
Elle concerne la page about:addons
de Firefox qui vous présente différents onglets concernant les modules que vous pouvez notamment chercher et ajouter directement depuis cette page (1er onglet « Get Extensions »).
Par défaut, Mozilla se charge de vérifier si vos modules sont à jour et les met à jour dès qu’une nouvelle version est disponible.
Tout ceci est pratique mais vous n’êtes pas obligés d’accepter les requêtes de Mozilla. Après tout, Mozilla stocke tous les modules pour Firefox sur du cloud d’Amazon, ce qui n’est pas sympathique, même si Mozilla se débrouille peut-être pour garder notre anonymat.
Et si vous affichez la matrice après avoir ouvert la page de Firefox about:addons
, Mozilla vous a préparé une surprise : par défaut, à votre insus, il y a une requête vers Google Analytics. Pas sympa non plus.
Donc, il est préférable de bloquer les requêtes qui vous paraissent indésirables et au moins Google Analytics qui ne vous rend aucun service. Si vous bloquez tout mozilla.org, comme dans l’image ci-dessous, vous ne pourrez plus utiliser la page de recherche des modules car elle est presque vide. Vous pouvez aussi passer en vert les cellules nécessaires ou utiles lorsque vous avez besoin de cette page et tout bloquer de nouveau, ou simplement faire confiance à Mozilla en autorisant le strict nécessaire.
Amusez-vous bien avec uMatrix
N’oubliez pas d’explorer le journal de bord de uMatrix («logger»). Comme il ressemble à celui de uBlockO (avec quelques variantes), il est inutile de rallonger cet article. Voyez [Firefox] Comment utiliser uBlock Origin – 4.
Vous pouvez compléter cet article avec uMatrix : « behind-the-scene », qui vous présente notamment l’onglet des filtres de uMatrix et où on reparle en passant du journal de bord de uMatrix.
Entraînez-vous à utiliser uMatrix en naviguant sur le web et peut-être est-il prudent de garder uBlockO tant que vous n’êtes pas très sûrs de vous.
Bonne navigation
Très sympa ce uMatrix
D’autres exemples sur le mode behind-the-scene aurait été intéressant. Difficile de savoir ce qui est justifié parfois.
Voici un petit complément : uMatrix : « behind-the-scene ».
Superbe, merci. Je vais aller regarder ça !
Tiens, je me demandais s’il était sage de débloquer « encrypted.google.com » (quand on lance une recherche sur Google via Duckduckgo grâce à « !g »). Un avis sur la question ?
Mon seul avis, c’est ne pas utiliser Google. Il y a d’autres moteurs de recherche. J’en parlerai dans un prochain article.
Dans l’idée, c’est bien, et j’essaie autant que possible de me passer de Google. Malheureusement, force est de constater que les résultats obtenus avec Duckduckgo (par exemple) sont loin d’être toujours pertinents…