Il est extrêmement utile de savoir quelles genres d'informations on peut laisser derrière soi en surfant.
Par exemple : Quelles informations recueille-t-on sur vous quand vous cliquez dans un lien dans votre compte webmail. Ou encore alors que vous étiez en consultation sur votre banque, d'un site d'achat en ligne qui connaît votre numéro de carte bleue ou d'une interface sensible (backend d'un logiciel métier de votre employeur, console d'administration de votre blog, intranet de la compta du FBaïlle) ?
L'information referer est consultable de deux manières : par celle que votre navigateur envoie en même temps qu'il demande un document html (ou image). Celle-ci est récupérable côté serveur Apache dans la variable HTTP_REFERER
(en php : $_SERVER['HTTP_REFERER']
). Pour des raisons techniques, ce n'est pas cette méthode que je vais utiliser, mais elle est affichée dans cette page de test et celle d'erreur
L'autre méthode se sert du moteur Javascript de votre navigateur, en lui demandant quelle est la dernière adresse que vous avez visité. D'ailleurs, je peux vérifier sur vous ? Je vois... je vois... je vois que vous venez de...
Testez en ouvrant cette page dans une nouvelle fenêtre, un nouvel onglet, ou en cliquant d'un lien vers ce billet à partir d'un mail,
via une redirection...
Allez-y ! Vérifiez votre parano soudainement éveillée ! Si j'ai écrit ce billet, c'est que j'étais moi-même méfiant dans certains cas... Si vous en avez peur, ce
plug-in pour Firefox permet de limiter cette “fuite d'information” en fonction des adresses de site. Pratique !
À noter que désactiver le referer de votre navigation n'est pas forcément une bonne idée. Par exemple, cette information est utilisée par les moteurs de blogs pour valider votre commentaire, ou il peut être utilisé par votre banque pour vérifier que vous ne faites pas une fausse manip. C'est primitif, mais c'est un élément de vérification comme un autre.
L'“arme” est à double-tranchant puisque des pirates peuvent s'en servir pour justement vous attirer sur leur site quand vous consultez vos stats de fréquentation. Ce qui leur permet en reprenant le referer de votre visite de tenter de pirater votre site... Une information très sensible puisque les moteurs Dotclear 1.2.6 et inférieurs sont sensibles à ce genre d'attaque.
4 réactions
1 De Da Scritch - 11/08/2007, 00:40
Ben déjà ça commence très mal :
Si j'ouvre le lien d'une page web dans une nouvelle fenêtre ou une nouvelle tab, Firefox envoie le referer.
Si je veux consulter sans qu'on connaisse d'où je vienne, il faut copier l'url où je veux aller, ouvrir une tab ou une fenêtre vierge, et coller l'url manuellement.
2 De Bandini - 17/08/2007, 17:33
Oui, ce javascript indiscret est une vraie plaie. Pour limiter la casse, il y a un plugin pour Firefox :
http://extensions.geckozone.org/NoS...
3 De Da Scritch - 17/08/2007, 18:07
Bandhi, tu te trompes de cible : le HTTP REFERER est envoyé, que le Javascript soit activé ou non.
Si on souhaite contrôler ce paramètre (accessible, je le rappelle soit en Javascript, soit par les requêtes HTTP), il vaut mieux utiliser l'extention RefControl comme préconisé dans mon billet
4 De da scritch net works - 10/09/2008, 13:35
Des images dans les CSS
qui fait quoi et comment. Et qu'est-ce qui se passe dans les logs Apache. Instructif sur le mode de fonctionnement de chaque navigateur. Et sur l'état d'avancement de Google Chrome....