Limiter les referers (au moins dans l'espace privé) #3834

Closed
opened 6 years ago by Fil · 6 comments
Fil commented 6 years ago
Owner

Lorsqu'on consulte des sites à partir des stats, ou lorsqu'on prépare un contenu, on n'a pas forcément envie que le site destinataire voie des urls monsite/ecrire/?…… dans ses logs.

Les navigateurs récents respectent une referrer-policy (https://www.w3.org/TR/referrer-policy/), et je propose qu'on envoie en standard

Referrer-Policy: origin-when-cross-origin

Ca envoie quand même par politesse le nom de notre site, mais pas l'url de la page privée.

Pour l'espace public la logique serait d'envoyer
Referrer-Policy: no-referrer-when-downgrade

afin de limiter la fuite d'infos quand on passe de https à http.

Cette proposition est volontairement minimaliste, il s'agit d'éviter des fuites d'informations mais pas de masquer notre activité. Si on veut rendre ça plus drastique on pourrait passer par deux constantes _REFERRER_POLICY_PUBLIC et _REFERRER_POLICY_PRIVE.

Attention à l'orthographe c'est bien Referrer-Policy avec deux R, contrairement à l'entête Referer :)

cf. aussi https://core.spip.net/projects/spip/repository/revisions/23162

Lorsqu'on consulte des sites à partir des stats, ou lorsqu'on prépare un contenu, on n'a pas forcément envie que le site destinataire voie des urls monsite/ecrire/?…… dans ses logs. Les navigateurs récents respectent une referrer-policy (https://www.w3.org/TR/referrer-policy/), et je propose qu'on envoie en standard `Referrer-Policy: origin-when-cross-origin` Ca envoie quand même par politesse le nom de notre site, mais pas l'url de la page privée. Pour l'espace public la logique serait d'envoyer `Referrer-Policy: no-referrer-when-downgrade` afin de limiter la fuite d'infos quand on passe de https à http. Cette proposition est volontairement minimaliste, il s'agit d'éviter des fuites d'informations mais pas de masquer notre activité. Si on veut rendre ça plus drastique on pourrait passer par deux constantes _REFERRER_POLICY_PUBLIC et _REFERRER_POLICY_PRIVE. Attention à l'orthographe c'est bien Referrer-Policy avec deux R, contrairement à l'entête Referer :) cf. aussi https://core.spip.net/projects/spip/repository/revisions/23162
b_b commented 6 years ago
Owner

+1 j'y pensais aussi pour la page de plugins-dist/statistiques qui listes les liens entrants.

+1 j'y pensais aussi pour la page de plugins-dist/statistiques qui listes les liens entrants.
Owner

gogogo
Version cible mise à 4.0

gogogo **Version cible mise à 4.0**
b_b commented 1 year ago
Owner

Pour l'espace public la logique serait d'envoyer
Referrer-Policy: no-referrer-when-downgrade

D'après https://developer.mozilla.org/fr/docs/Web/HTTP/Headers/Referrer-Policy no-referrer-when-downgrade est utilisé par défaut donc pas grand chose à faire de ce côté :)

Je vais chercher à quel endroit on peut définir ces headers et je tente de m'y coller asap.

> Pour l'espace public la logique serait d'envoyer > `Referrer-Policy: no-referrer-when-downgrade` D'après https://developer.mozilla.org/fr/docs/Web/HTTP/Headers/Referrer-Policy `no-referrer-when-downgrade` est utilisé par défaut donc pas grand chose à faire de ce côté :) Je vais chercher à quel endroit on peut définir ces headers et je tente de m'y coller asap.
Owner

Intégré par 3479d6cf53
Statut changé à Fermé

Intégré par https://git.spip.net/spip/statistiques/commit/3479d6cf532256b9bbb636bd8626f2200d720902 **Statut changé à Fermé**
b_b commented 1 year ago
Owner

Super, par contre il semble y avoir une typo avec ray($entetes); (?) => ha je crois me souvenir que c'est le nouveau truc pour ne plus faire de var_dump cf https://freek.dev/1868-introducing-ray-a-debugging-tool-for-pragmatic-developers

Corrigé https://git.spip.net/spip/statistiques/commit/faaab360 :)

Super, par contre il semble y avoir une typo avec `ray($entetes);` (?) => ha je crois me souvenir que c'est le nouveau truc pour ne plus faire de var_dump cf https://freek.dev/1868-introducing-ray-a-debugging-tool-for-pragmatic-developers Corrigé https://git.spip.net/spip/statistiques/commit/faaab360 :)
Owner

fuck, merci !

fuck, merci !
Sign in to join this conversation.
No Milestone
No project
No Assignees
3 Participants
Notifications
Due Date

No due date set.

Dependencies

This issue currently doesn't have any dependencies.

Loading…
There is no content yet.