Très intéressant.
Mais du coup c’est du JS ? il faut injecter / modifier le code source du site envoyé par le serveur ?
@whilelm
On est d’accord qu’il est raisonnable de mentionner ça la politique vie privée.
Concernant le caractère de donnée personnelle, la réponse ne me semble pas évidente. Il existe différentes variantes d’empreintes JA4, il faut demander à un(e) spécialiste RGPD de regarder une variante d’empreinte spécifique.
Par exemple JA4s_c correspond au « truncated SHA256 hash of the Extensions ». Je me demande si le processus hash + troncation peut être considéré comme une anonymisation suffisante pour rendre impossible tout identification, et être hors-champ du RGPD.
- Un processus d’anonymisation de données personnelles vise à rendre impossible toute identification des individus au sein de jeux de données. Il s’agit donc d’un processus irréversible. Lorsque cette anonymisation est effective, les données ne sont plus considérées comme des données personnelles et les exigences du RGPD ne sont plus applicables.
Identifier les données personnelles | CNIL
@greg
La calcul de JA3 et JA4 s’effectue coté serveur. Le document lisez-moi de JA4+ fourni quelques exemples, tel qu’un module JA4 pour nginx.
Merci je vais regarder ça ! (je ne touche pas aux sites web)
Crowdsec (adopté chez moi, complexe mais très puissant), permet un blocage de tout un subnet s’il a déjà bloqué X IP :
- https://app.crowdsec.net/hub/author/crowdsecurity/configurations/ban-defcon-drop_range
- Block subnet if multiple IPs from the same subnet are banned - crowdsec - CrowdSec
ça fonctionne chez moi 
Pas mal je le connaissais pas pas celui là. Du coup autant conserver le ban sur plusieurs jours non ?
Le ban du subnet ? Oui, moi je vais mettre 24h pour sûr…