Que de chemin depuis les premiers navigateurs Web très grand public (Netscape Navigator, IE 2.0) ... les pages Web ne sont plus des documents textes pouvant contenir d'autres ressources non interactives avec une interactivité limité aux échanges avec le serveur (généralement par des formulaires).
L'interactivité ne passant pas forcèment par le serveur est partout. Pour ce faire, l'accès au DOM par JS a remplacé le Java, Flash et autres widgets ActiveX (chaque système ayant son modèle de sécurité, modèle pouvant être "faites moi confiiiiaaaance).
Puis sont arrivées des API donnant accès des informations privées de l'utilisateur, avec contrôle d'accès au niveau du nom de domaine :
- géolocalisation (*)
- accès au micro (#)
- accès à la Webcam (#)
- accès à l'accéléromètre sur un smartphone, qui peut être extrêmement sensible
(*) sur un laptop, un service fournis par Google à partir de sa base de données Wifi construite par les Google Cars de Google Street View; sur un smartphone le composant GPS peut être utilisé ou bien le Wifi
(#) Flash a été le seul moyen d'utiliser d'enregistrer l'utilisateur depuis un site pendant longtemps et certains sites utilisent encore le moyen
Ces API dévoilent des données privées; une fois l'accès autorisé, on peut toujours de révoquer mais on ne peut pas empêcher un site d'enregistrer les informations. Ces autorisations n'ont donc rien à voir avec l'autorisation de déposer des cookies HTTP, contrairement à ce que le grand confusionniste adulé défenseur du libre raconte.
Il est donc essentiel que le contrôle d'accès soit fiable : seuls les domaines autorisés par l'utilisateur doivent accéder aux informations.