J’insiste : Les cookies ne sont pas tous inoffensifs mais les "Referer" eux le sont
1er mai 2001, 12:30, par Zorglub
Non mais sérieusement, les Referer posent des problèmes assez graves :
1) Si l’addresse de la page sur laquelle se trouve le lien contient
des données sensibles (genre login / password pour interface CGI en
méthode GET) ces données seront transmises au site.
2) Un autre effet pervers est que lorsque vous utilisez un moteur de
recherche, et que vous cliquez sur un lien résultant, le site de
destination connaîtra les mots-clés que vous avez utilisé. Cela permet
notamment aux sites de l’autre côté de la barricade de faire du
"tuning" sur des mots-clés peu pertinents mais courants.
3) Soit X quelque chose regroupant des individus par intérêt.
Supposons que l’on fasse un site anti-X, sur le quel, pour
documentation, on donne des liens vers des sites pro-X. Alors à chaque
fois qu’un X-subversif cliquera sur un tel lien, le site pro-X saura
qu’un subversif vient visiter son site. Ainsi, le lobby des pro-X
pourra savoir quels sont les sites subversifs, et déduire des
informations annexes, du genre : l’évolution du taux d’activité des
X-subversifs. Tout cela grâce au Referer. Par exemple, supposons que
l’on fasse un site anti-scientologie. Si par malheur on met des liens
vers scientology.org, on pourra éventuellement recevoir des appels de
menaces de procès, comme c’est l’usage de la secte.
4) Mais à quoi sert au juste le Referer ? Le fait est que l’on peut
très bien s’en passer. Pour preuve, lorsque je supprime le Referer,
tous les sites continuent de fonctionner normalement, sauf de rares
exceptions où des mesures actives ont été prises pour empêcher le
référencement de données internes par des sites externes. Evidemment,
comme c’est l’utilisateur qui décide ce qu’il met dans Referer : la
contre-contre-mesure est triviale. Donc puisqu’il ne sert à rien
d’utile, pourquoi le garder ?
En bref, le Referer sert surtout aux Webmestres à la solde du
capitalisme à mieux mesurer l’origine du trafic incident, avec toutes
les applications commerciales que cela pourrait avoir.
D’après les lemmes 1,2,3 et 4 on en déduit que le Referer est MAL.
En conséquence de quoi il incombe à toute personne oeuvrant pour
le Progès et le Bien de l’Humanité de prendre les mesures adéquates,
à savoir, installer un filtrapub genre Junkbuster (c’est de l’opensource
hein !), et le configurer de façon à cacher les Referer.
On voit donc que la haine du Referer n’implique nullement une Echelonite
aiguë. D’ailleurs votre fournisseur d’accès en sait beaucoup, beaucoup
plus sur votre vie privée. Et de toute façon dans la plupart des pays
les flics branchent des tuyaux sur les fournisseurs d’accès, parfois
ouvertement, n’est-ce pas ? Donc croire que l’on échappera à un Echelon
quelconque en installant un filtre de ce genre c’est comme croire
que la NSA ne pourra pas décrypter vos mail parce que vous les avez
écrit avec du jus de citron.
PS.Referer s’écrit avec deux "r", le RFC comporte une faute, raison
de plus pour les supprimer !
Non mais sérieusement, les Referer posent des problèmes assez graves :
1) Si l’addresse de la page sur laquelle se trouve le lien contient
des données sensibles (genre login / password pour interface CGI en
méthode GET) ces données seront transmises au site.
2) Un autre effet pervers est que lorsque vous utilisez un moteur de
recherche, et que vous cliquez sur un lien résultant, le site de
destination connaîtra les mots-clés que vous avez utilisé. Cela permet
notamment aux sites de l’autre côté de la barricade de faire du
"tuning" sur des mots-clés peu pertinents mais courants.
3) Soit X quelque chose regroupant des individus par intérêt.
Supposons que l’on fasse un site anti-X, sur le quel, pour
documentation, on donne des liens vers des sites pro-X. Alors à chaque
fois qu’un X-subversif cliquera sur un tel lien, le site pro-X saura
qu’un subversif vient visiter son site. Ainsi, le lobby des pro-X
pourra savoir quels sont les sites subversifs, et déduire des
informations annexes, du genre : l’évolution du taux d’activité des
X-subversifs. Tout cela grâce au Referer. Par exemple, supposons que
l’on fasse un site anti-scientologie. Si par malheur on met des liens
vers scientology.org, on pourra éventuellement recevoir des appels de
menaces de procès, comme c’est l’usage de la secte.
4) Mais à quoi sert au juste le Referer ? Le fait est que l’on peut
très bien s’en passer. Pour preuve, lorsque je supprime le Referer,
tous les sites continuent de fonctionner normalement, sauf de rares
exceptions où des mesures actives ont été prises pour empêcher le
référencement de données internes par des sites externes. Evidemment,
comme c’est l’utilisateur qui décide ce qu’il met dans Referer : la
contre-contre-mesure est triviale. Donc puisqu’il ne sert à rien
d’utile, pourquoi le garder ?
En bref, le Referer sert surtout aux Webmestres à la solde du
capitalisme à mieux mesurer l’origine du trafic incident, avec toutes
les applications commerciales que cela pourrait avoir.
D’après les lemmes 1,2,3 et 4 on en déduit que le Referer est MAL.
En conséquence de quoi il incombe à toute personne oeuvrant pour
le Progès et le Bien de l’Humanité de prendre les mesures adéquates,
à savoir, installer un filtrapub genre Junkbuster (c’est de l’opensource
hein !), et le configurer de façon à cacher les Referer.
On voit donc que la haine du Referer n’implique nullement une Echelonite
aiguë. D’ailleurs votre fournisseur d’accès en sait beaucoup, beaucoup
plus sur votre vie privée. Et de toute façon dans la plupart des pays
les flics branchent des tuyaux sur les fournisseurs d’accès, parfois
ouvertement, n’est-ce pas ? Donc croire que l’on échappera à un Echelon
quelconque en installant un filtre de ce genre c’est comme croire
que la NSA ne pourra pas décrypter vos mail parce que vous les avez
écrit avec du jus de citron.
PS.Referer s’écrit avec deux "r", le RFC comporte une faute, raison
de plus pour les supprimer !