Labels Milestones

New Issue

Limiter les referers (au moins dans l'espace privé) #3834

Closed

opened 6 years ago by Fil · 6 comments

Fil commented 6 years ago

Owner

Lorsqu'on consulte des sites à partir des stats, ou lorsqu'on prépare un contenu, on n'a pas forcément envie que le site destinataire voie des urls monsite/ecrire/?…… dans ses logs.

Les navigateurs récents respectent une referrer-policy (https://www.w3.org/TR/referrer-policy/), et je propose qu'on envoie en standard

Referrer-Policy: origin-when-cross-origin

Ca envoie quand même par politesse le nom de notre site, mais pas l'url de la page privée.

Pour l'espace public la logique serait d'envoyer
Referrer-Policy: no-referrer-when-downgrade

afin de limiter la fuite d'infos quand on passe de https à http.

Cette proposition est volontairement minimaliste, il s'agit d'éviter des fuites d'informations mais pas de masquer notre activité. Si on veut rendre ça plus drastique on pourrait passer par deux constantes _REFERRER_POLICY_PUBLIC et _REFERRER_POLICY_PRIVE.

Attention à l'orthographe c'est bien Referrer-Policy avec deux R, contrairement à l'entête Referer :)

cf. aussi https://core.spip.net/projects/spip/repository/revisions/23162

Lorsqu'on consulte des sites à partir des stats, ou lorsqu'on prépare un contenu, on n'a pas forcément envie que le site destinataire voie des urls monsite/ecrire/?…… dans ses logs. Les navigateurs récents respectent une referrer-policy (https://www.w3.org/TR/referrer-policy/), et je propose qu'on envoie en standard `Referrer-Policy: origin-when-cross-origin` Ca envoie quand même par politesse le nom de notre site, mais pas l'url de la page privée. Pour l'espace public la logique serait d'envoyer `Referrer-Policy: no-referrer-when-downgrade` afin de limiter la fuite d'infos quand on passe de https à http. Cette proposition est volontairement minimaliste, il s'agit d'éviter des fuites d'informations mais pas de masquer notre activité. Si on veut rendre ça plus drastique on pourrait passer par deux constantes _REFERRER_POLICY_PUBLIC et _REFERRER_POLICY_PRIVE. Attention à l'orthographe c'est bien Referrer-Policy avec deux R, contrairement à l'entête Referer :) cf. aussi https://core.spip.net/projects/spip/repository/revisions/23162

b_b commented 6 years ago

Owner

+1 j'y pensais aussi pour la page de plugins-dist/statistiques qui listes les liens entrants.

+1 j'y pensais aussi pour la page de plugins-dist/statistiques qui listes les liens entrants.

cerdic commented 2 years ago

Owner

gogogo
Version cible mise à 4.0

gogogo **Version cible mise à 4.0**

b_b commented 2 years ago

Owner

Pour l'espace public la logique serait d'envoyer
Referrer-Policy: no-referrer-when-downgrade

D'après https://developer.mozilla.org/fr/docs/Web/HTTP/Headers/Referrer-Policy no-referrer-when-downgrade est utilisé par défaut donc pas grand chose à faire de ce côté :)

Je vais chercher à quel endroit on peut définir ces headers et je tente de m'y coller asap.

> Pour l'espace public la logique serait d'envoyer > `Referrer-Policy: no-referrer-when-downgrade` D'après https://developer.mozilla.org/fr/docs/Web/HTTP/Headers/Referrer-Policy `no-referrer-when-downgrade` est utilisé par défaut donc pas grand chose à faire de ce côté :) Je vais chercher à quel endroit on peut définir ces headers et je tente de m'y coller asap.

cerdic commented 2 years ago

Owner

Intégré par 3479d6cf53
Statut changé à Fermé

Intégré par https://git.spip.net/spip/statistiques/commit/3479d6cf532256b9bbb636bd8626f2200d720902 **Statut changé à Fermé**

b_b commented 2 years ago

Owner

Super, par contre il semble y avoir une typo avec ray($entetes); (?) => ha je crois me souvenir que c'est le nouveau truc pour ne plus faire de var_dump cf https://freek.dev/1868-introducing-ray-a-debugging-tool-for-pragmatic-developers

Corrigé https://git.spip.net/spip/statistiques/commit/faaab360 :)

Super, par contre il semble y avoir une typo avec `ray($entetes);` (?) => ha je crois me souvenir que c'est le nouveau truc pour ne plus faire de var_dump cf https://freek.dev/1868-introducing-ray-a-debugging-tool-for-pragmatic-developers Corrigé https://git.spip.net/spip/statistiques/commit/faaab360 :)

cerdic commented 2 years ago

Owner

fuck, merci !

fuck, merci !

Sign in to join this conversation.

No Branch/Tag Specified

Branches Tags

1.8

1.9.1

1.9.2

2.0

2.1

3.0

3.1

3.2

4.0

4.1

4.2

boutons-danger

coquille_doc

debug_ecrire_fichier

dev-sortable

dev/autoloader

dev/hasard_fixe

dev/instituer_ergo

dev/issue_5447_exporter_csv

dev_infos_image

fix/valider_url_distante

fix_issue_5454

fix_modifier_login

issue_4101

issue_4678

issue_4705

issue_4717

issue_4836

issue_4946

issue_5258

issue_5344

issue_5427_bis

master

v1.8.3+b

v1.9.1+i

v1.9.2+f

v1.9.2+g

v1.9.2+h

v1.9.2+i

v1.9.2+j

v1.9.2+k

v1.9.2+m

v1.9.2+n

v1.9.2+o

v1.9.2+p

v2.0.0

v2.0.1

v2.0.10

v2.0.11

v2.0.12

v2.0.13

v2.0.14

v2.0.15

v2.0.16

v2.0.17

v2.0.18

v2.0.19

v2.0.2

v2.0.20

v2.0.21

v2.0.22

v2.0.23

v2.0.24

v2.0.25

v2.0.26

v2.0.3

v2.0.5

v2.0.6

v2.0.7

v2.0.8

v2.0.9

v2.1.0

v2.1.1

v2.1.10

v2.1.11

v2.1.12

v2.1.13

v2.1.14

v2.1.15

v2.1.16

v2.1.17

v2.1.18

v2.1.19

v2.1.2

v2.1.20

v2.1.21

v2.1.22

v2.1.23

v2.1.24

v2.1.25

v2.1.26

v2.1.27

v2.1.28

v2.1.29

v2.1.3

v2.1.30

v2.1.4

v2.1.5

v2.1.6

v2.1.7

v2.1.8

v2.1.9

v3.0.0

v3.0.0-alpha.1

v3.0.0-beta

v3.0.0-beta.2

v3.0.0-rc

v3.0.1

v3.0.10

v3.0.11

v3.0.12

v3.0.13

v3.0.14

v3.0.15

v3.0.16

v3.0.17

v3.0.18

v3.0.19

v3.0.2

v3.0.20

v3.0.21

v3.0.22

v3.0.23

v3.0.24

v3.0.25

v3.0.26

v3.0.27

v3.0.28

v3.0.3

v3.0.4

v3.0.5

v3.0.6

v3.0.7

v3.0.8

v3.0.9

v3.1.0

v3.1.0-alpha

v3.1.0-beta

v3.1.0-rc

v3.1.0-rc.2

v3.1.0-rc.3

v3.1.1

v3.1.10

v3.1.11

v3.1.12

v3.1.13

v3.1.14

v3.1.15

v3.1.2

v3.1.3

v3.1.4

v3.1.5

v3.1.6

v3.1.7

v3.1.8

v3.1.9

v3.2-alpha.1

v3.2.0

v3.2.0-alpha.1

v3.2.0-beta

v3.2.0-beta.2

v3.2.0-beta.3

v3.2.1

v3.2.10

v3.2.11

v3.2.12

v3.2.13

v3.2.14

v3.2.15

v3.2.16

v3.2.17

v3.2.2

v3.2.3

v3.2.4

v3.2.5

v3.2.6

v3.2.7

v3.2.8

v3.2.9

v4.0.0

v4.0.0-alpha

v4.0.0-beta

v4.0.1

v4.0.2

v4.0.3

v4.0.4

v4.0.5

v4.0.6

v4.0.7

v4.0.8

v4.0.9

v4.1.0

v4.1.0-alpha

v4.1.0-beta

v4.1.0-rc

v4.1.1

v4.1.2

v4.1.3

v4.1.4

v4.1.5

v4.1.6

v4.1.7

v4.2.0-alpha

v4.2.0-alpha2

Labels

Apply labels

Clear labels

accessibilité amélioration
Amélioration, nouvelle fonctionnalité APIs authentification base de données bug
Ca ne fonctionne pas code généré compilo css divers documentation doublon
Ce ticket est un doublon ergonomie espace privé filtres et balises formulaires Inscription installation invalide
Ticket invalide javascript langues LDAP plugin PostgreSQL refusé
Ignoré, c'est comme Ca... sécurité traduction

No Label accessibilité amélioration APIs authentification base de données bug code généré compilo css divers documentation doublon ergonomie espace privé filtres et balises formulaires Inscription installation invalide javascript langues LDAP plugin PostgreSQL refusé sécurité traduction

Milestone

Set milestone

Clear milestone

No items

No Milestone

4.0

Projects

Clear projects

No project

Assignees

Assign users

Clear assignees

No Assignees

3 Participants

Notifications

Subscribe

Due Date

The due date is invalid or out of range. Please use the format 'yyyy-mm-dd'.

No due date set.

Dependencies

This issue currently doesn't have any dependencies.

Write Preview

Loading…

Cancel

Save

There is no content yet.