Qutebrowser occupe une place unique dans l'écosystème des navigateurs : il permet une navigation entièrement pilotée au clavier, sans jamais toucher à la souris. Nous aborderons son utilisation avancée dans un prochain article. Aujourd'hui, concentrons-nous sur la sécurité. Non seulement ce logiciel est l'un des rares à porter le label "not spyware" selon Watchdog, mais vous pouvez drastiquement augmenter son niveau de protection avec quelques ajustements simples.
1. Configuration initiale : Le mode "Zéro Trace"
La méthode la plus rapide consiste à utiliser la ligne de commande intégrée (appuyez sur :). Entrez la commande suivante pour désactiver JavaScript par défaut — une excellente pratique qui ne nécessite aucune extension :
set content.javascript.enabled false
Ensuite, désactivez totalement les cookies :
set content.cookies.accept never
Pour parfaire cette configuration, ajoutez ces paramètres pour limiter l'empreinte de votre session de navigation :
set content.private_browsing true
set completion.cmd_history_max_items 3
set completion.web_history.max_items 3
Le premier paramètre active la navigation privée, tandis que les deux suivants réduisent l'historique des commandes et de navigation à 3 éléments. Si un site est important, enregistrez-le ; ne comptez pas sur l'historique pour le retrouver.
2. Retourner la perspective : Le contrôle granulaire
Avoir un navigateur "sain" signifie que de nombreux sites seront inaccessibles dans un premier temps. C’est normal : au lieu d'accepter aveuglément les scripts et traqueurs de sites douteux, nous refusons tout par défaut. Nous allons maintenant créer des raccourcis pour autoriser ponctuellement les ressources nécessaires site par site.
Pour créer un raccourci, ouvrez la ligne de commande (:) et entrez :
bind ,jt set content.javascript.enabled true -u *://{url:host}/*
Analyse de la commande :
bind: crée le raccourci.,jt: le raccourci choisi (icijpour javascript,tpour true).set ...: la commande à exécuter.-u *://{url:host}/*: applique la règle uniquement au domaine actuel (sous-domaines inclus).
Créez maintenant les raccourcis complémentaires pour JavaScript et les cookies :
bind ,jf set content.javascript.enabled false -u *://{url:host}/*
bind ,ca set content.cookies.accept all -u *://{url:host}/*
bind ,cn set content.cookies.accept never -u *://{url:host}/*
bind ,c3 set content.cookies.accept no-3rdparty -u *://{url:host}/*
bind ,cu set content.cookies.accept no-unknown-3rdparty -u *://{url:host}/*
Attention : Pour rendre ces modifications permanentes, vous devez sauvegarder la configuration :
config-write-py --force
3. Utilisation au quotidien
Prenons l'exemple d'un accès à un serveur Mastodon. Si la page ne s'affiche pas, saisissez ,c3 (cookies tiers bloqués) puis ,jt (JavaScript activé). La page se chargera alors correctement. Dès que vous tapez ,, une fenêtre apparaît en bas de l'écran pour vous rappeler vos raccourcis.
Conseil expert : Pour les cookies, commencez toujours par la règle la plus restrictive (no-3rdparty), rechargez la page (R), et n'élargissez les permissions qu'en cas d'échec.
⚠️ Note sur les sites "récalcitrants"
Sur certains portails intrusifs comme Amazon, les règles génériques peuvent échouer. Dans ce cas, remplacez {url:host} par le domaine spécifique. Exemple :
set content.cookies.accept no-3rdparty -u *://amazon.it/*
En informatique, comme dans la vie, la sécurité absolue est un mythe ; il s'agit toujours d'une démarche de réduction du risque. Bonne navigation.
- Date
- 2023-09-10
- Taxonomy
- Tech-log | qutebrowser, vie-privee, securite, tutoriel