Stocker le hash d'un email sans l'accord de son propriétaire ?

[Khleo]

Bonjour,

Je voudrais savoir si il m'était possible de stocker dans ma base de données le md5 d'un email sans l'accord du propriétaire de celui-çi.

Merci

[Dadou]

A quoi pourrait te servir le hash d'un email?

[Khleo]

A quoi pourrait te servir le hash d'un email?

Pour enregistrer et regrouper les statistiques d'un membre à partir de différents sites.

[captain_torche]

À priori, il n'y a pas de souci, vu que le hash ne peut pas être considéré comme une donnée personnelle.

Par contre, si tes utilisateurs se rendent compte qu'ils sont reconnus, il faudra leur expliquer comment tu fais, faute de quoi ils risquent de ne pas te faire confiance.

[Arlette]

Bonjour,

Un me parle de md5, les autres de hash... Voilà comment je me retrouve à faire des recherches pour comprendre la discussion.

Quand on pose la question ici : "Sans accord du propriétaire... " Cela indique que l'on peut certainement identifier quelqu'un après quelques manips et donc le doute est là.

MD5 est une manière de crypter pour obtenir une empreinte numérique... Mais pour un mail cela va crypter le contenu. Je ne vois pas quelle utilisation statistique tu peux faire de ce cryptage. Si ce cryptage te permet après passage dans une moulinette, de connaitre les adresses mail des expéditeurs, alors NON tu n'as pas le droit sans au moins les informer que tu stockes des données personnelles.

[captain_torche]

Arlette : un hash, contrairement à un cryptage, est irréversible.

Par contre, en comparant deux hashs, on peut en déduire que la valeur d'origine est identique.

Si le hash de mon mail est enregistré sur un site, et qu'il est également enregistré sur un autre, mes deux comptes peuvent être liés sans pour autant avoir enregistré de données personnelles.

[Arlette]

Si le hash est différent du MD5 ... Alors il faut qu'il précise sa question. Dans le titre on parle de Hash, dans le contenu de MD5 !

Et comme j'ai cherché MD5... Dans le lien que j'ai mis, il est bien dit que celui-ci est réversible ... Je vais aller chercher Hash maintenant

[captain_torche]

Le MD5 est un algorithme de hashage, et je te confirme qu'il est irréversible

Son "défaut" énoncé sur Wikipédia est que comme il n'existe pas une infinité de hashs MD5 (la longueur est fixe), il existe des solutions pour générer des hashs identiques avec deux sources différentes.

[Arlette]

A quoi pourrait te servir le hash d'un email?

Pour enregistrer et regrouper les statistiques d'un membre à partir de différents sites.

Pourquoi vouloir travailler sur un code, lorsque tu peux travailler sur le mail directement ? Pour avoir ce code les membres doivent envoyer un mail, donc tu dois avoir les mails dans tes logs non ???

Tu peux très bien dire clairement à tes membres : "Votre adresse mai me permet de faire des statistiques internes, mais elle ne sera pas utilisée pour communiquer ou revendue" . C'est pas plus simple ? La seule condition est bien entendu la déclaration à la CNIL. Mais enfin, c'est pas le bout du monde non plus.

[Dadou]

En effet, si c'est un membre, le mail doit déjà bien être stocké, en général une inscription à un service nécessite, le stockage du mail ne serait ce pour envoyer les infos de connections si le membre les as perdus, a partir de la pourquoi hasher?

[Khleo]

Bonjour,

Merci pour vos réponses

Je ne vais pas entrer dans les détails, mais c'est pour enregistrer les pubs sur lesquels le membre clique.

[Dadou]

Et l'intérêt du hash???

Un outil de tracking des clics sur un membre, c'est relativement simple à faire

[captain_torche]

Attention aussi : si tu te sers des infos de clic sur les pubs pour faire de l'analyse comportementale sur tes membres, il me semble qu'on peut parler là aussi de ce qu'on pourrait considérer comme des infos "nominatives", et donc déclarables.

[Khleo]

Et l'intérêt du hash???

Un outil de tracking des clics sur un membre, c'est relativement simple à faire

Pour stocker l'historique de ce membre sur un serveur externe.

[Arlette]

Il y a quelque chose qui m'échappe ! Imaginons que je m'inscrive sur plusieurs de tes sites avec mon mail... Le code de mon mail apparaitra dans ta base disons comme : ABC...

Effectivement, sur tes différents sites tu pourras dire :

ABC est inscrit sur 10 de mes sites.

Mais comment sauras-tu que j'ai cliqué sur des pubs ? A part, en faisant une corrélation entre le pseudo et le code ABC qui correspondra à mon mail. Et quand bien même, savoir que je clique sur des publicités qui me parlent de livre de cuisine qu'est ce que cela peut t'apporter de savoir qu'ABC est intéressé par la cuisine ?

Oui je sais je suis curieuse, mais maintenant que j'ai découvert cette histoire de cryptage j'aimerais bien savoir ce qu'on peut en faire

[Dadou]

Pour stocker l'historique de ce membre sur un serveur externe.

Le rapport avec le hash??? Je ne vois toujours rien qui justifie un hashage

Oui je sais je suis curieuse, mais maintenant que j'ai découvert cette histoire de cryptage j'aimerais bien savoir ce qu'on peut en faire

Hashage Arlette, le cryptage c'est différent, c'est reversible.

Il saura que azer25hids34flkjhsh à cliqué 20 fois sur les pubs, mais alors qui c'est??

[captain_torche]

Si j'ai bien compris, on pourra en déduire que azer25hids34flkjhsh aime les belles voitures et les cravates en soie, et éventuellement lui présenter plus de pubs concernant ses intérêts.

Et c'est là qu'il me semble qu'un recensement de données comportementales (même anonymes) pourrait être considéré comme des données nominatives.

[Khleo]

Salut,

Mais comment sauras-tu que j'ai cliqué sur des pubs ?

En passant le hash en paramètre GET dans le lien.

Et quand bien même, savoir que je clique sur des publicités qui me parlent de livre de cuisine qu'est ce que cela peut t'apporter de savoir qu'ABC est intéressé par la cuisine ?

Pour pourvoir prédire et afficher les pubs qui vont t'intéresser.

Le rapport avec le hash??? Je ne vois toujours rien qui justifie un hashage

Pour pouvoir avoir une clé primaire unique à chaque adresse e-mail dans ma base de données.

[Arlette]

En passant le hash en paramètre GET dans le lien.

Tu m'en veux aujourd'hui... Encore un gros mot pour moi "GET" ... Mais bon, je vais zapper

Pour pourvoir prédire et afficher les pubs qui vont t'intéresser.

Je pensais que c'était pour cela . Un peu le même système que Google avec les gmail c'est ça ?

Mais c'est pas plus simple de travailler directement avec le mail ? Par contre, pour les visiteurs qui ne mettront pas leur adresse email tu feras comment ?

Bref, si c'est que pour cela, alors OUI, tu n'as pas besoin de leur permission.

[Dadou]

En passant le hash en paramètre GET dans le lien.

Hum, pour moi, ce n'est pas forcement la bonne méthode. Si tu peux récupérer l'adresse mail, c'est qu'une session est active, donc pourquoi ne pas utiliser les sessions pour tracker le click, puisque de toute manière tu vas devoir passer par une page intermédiaire pour récupérer l'info de clic

Voila le scénario :

- Le membre se connecte

- Création de la variable de session $_SESSION['email']

- Le membre navigue sur ton site, et clique sur la pub affichée qui renvois vers ta page de comptabilisation de clic ( clic.php?pub=nomdelapub )

- Stockage du clic de $_SESSION['email'] sur nomdelapub en BDD

- Redirection vers url de la pub.

Rien de plus simple, a aucun moment, du hashage, pas de paramètres hashés passés dans tes url.

Pour pouvoir avoir une clé primaire unique à chaque adresse e-mail dans ma base de données.

Ce n'est pas une raison valable pour faire le hash de l'adresse mail, tu peux directement utiliser l'adresse mail comme clé primaire

[Khleo]

Je pensais que c'était pour cela . Un peu le même système que Google avec les gmail c'est ça ?

Mais c'est pas plus simple de travailler directement avec le mail ? Par contre, pour les visiteurs qui ne mettront pas leur adresse email tu feras comment ?

Oui c'est du ciblage comme Google, mais eux utilisent les mots clés de la page pour cibler la publicité. Moi j'utilise autre chose, mais j'ai pas envi te trop en dire vu que c'est encore au stade de projet.

Si le projet se concrétise, je vous présenterais le principe plus en détails.

[Khleo]

Et c'est là qu'il me semble qu'un recensement de données comportementales (même anonymes) pourrait être considéré comme des données nominatives.

Ca change quoi concrètement ?

Ce n'est pas une raison valable pour faire le hash de l'adresse mail, tu peux directement utiliser l'adresse mail comme clé primaire

Si un utilisateur affiche une pub de ma régie publicitaire, son email sera enregistré dans la base de données du site www.MaRegiePub.com et ceux sans lui en informer. C'est pour ça que je prefere stocker son hashage plutot que son mail, de plus le hashage est largement suffisant.

Voila le scénario :

- Le membre se connecte

- Création de la variable de session $_SESSION['email']

- Le membre navigue sur ton site, et clique sur la pub affichée qui renvois vers ta page de comptabilisation de clic ( clic.php?pub=nomdelapub )

- Stockage du clic de $_SESSION['email'] sur nomdelapub en BDD

- Redirection vers url de la pub.

Oui, c'est une solution mais il faut que ça reste simple à installer pour l'éditeur qui s'est inscrit à ma régie.

Donc je prefere une solution du type :

Placer ce code sur votre site:

<script type="text/javascript">
CodeEditeur = "54678907";
Largeur = 120;
Hauteur = 240;
CourrielVisiteur = moi_AT_toi.fr;
//-->
</script>
<script type="text/javascript"
src="http://MaRegiePub.com/AffichePub.js">
</script>

Modifié 2 Décembre 2009 par Khleo

[captain_torche]

Et tu comptes effectuer le hashage chez toi, après que l'email ait transité sur ton serveur ?

Il FAUT qu'il n'y ait que le hash qui te soit envoyé !

Et sinon, je doute que les éditeurs se plient si facilement à ce genre de bidouilles : c'est plus compliqué à installer qu'un script de pub tout bête.

Tu ne pourrais pas plus simplement voir avec l'IP ?

En tout cas, c'est tout de suite plus facile à comprendre avec une explication plus précise

[Khleo]

Et tu comptes effectuer le hashage chez toi, après que l'email ait transité sur ton serveur ?

Il FAUT qu'il n'y ait que le hash qui te soit envoyé !

Et sinon, je doute que les éditeurs se plient si facilement à ce genre de bidouilles : c'est plus compliqué à installer qu'un script de pub tout bête.

Tu ne pourrais pas plus simplement voir avec l'IP ?

En tout cas, c'est tout de suite plus facile à comprendre avec une explication plus précise

Dans ce cas je demanderai de mettre le hash en paramètre au lieu de mettre l'email.

Pour la complexité, je commencerai à installer la régie uniquement sur mes sites. Si les résultats sont là, j'aurai pas de mal à la promouvoir.

L'IP change à chaque reconnexion, de plus, une ip peut être utilisée par plusieurs utilisateurs.

[Dadou]

Oui, c'est plus clair avec une explication un peu plus complète, mais (oui j'ai encore des réticences) Pour l'installation de ce type de script pour beaucoup cela va être difficile de :

- Hasher le mail,

- Faire en sorte que le hashage soit intégré dans le javascript

N'oublie pas, beaucoup de webmasters en herbe jouent du copier / coller, alors faire une modif...

Sans compter, que beaucoup seront très réticent à te transmettre le mail même hasher, ils penseront facilement que tu te constitue une base email, comme Arlette, beaucoup penseront que le hash est réversible.

Pourquoi ne pas faire plutôt comme les autres régies publicitaires et fonctionner par cookie??