Tracking pages de site via cdn, src etc...

Florent D. · 2 Novembre 2022

Bonsoir,

Un truc me turlupine concernant un site de recherche (sensible) d'utilité publique.
Ce site utilise une quantité de services tiers avec des src d'autres sites (JS) et un paquet de cdn dans les pages (Bootstrap and co,...).

A chaque recherche, les paramètres sont passés dans l'url. Aussi je me dis que tous ces sites tiers peuvent avoir en statistiques que le fichier a été télécharger depuis :

toto.ndd/?=motclé1&secteur=2
toto.ndd/?=motclé2&secteur=1

En gros tout ces sites sont à même de collecter les recherches des mots clés (quid de l'ip ? )

Concernant le cas spécifique d'Analytic qui est aussi appelé dans cette page ? Google peut-il lui aussi capter ces informations, je ne parle pas de l'interface du client mais pour ses propres datas ?

Pouvez-vous me confirmer, infirmer ca.
Cordialement,
Florent

rick38 · 5 Novembre 2022

Oui mais normalement on ne met jamais de paramètre sensible dans l'url, jamais d'email, ni mot de passe.

S'ils ont mis referrerpolicy="no-referrer" dans la balise, en revanche le referrer n'est pas envoyé.
Ou une balise <meta name="referrer" content="origin"> qui n'enverra que le domaine.

Florent D. · 5 Novembre 2022

Rick,

Merci pour ton retour, comme tu l'écris "on ne met jamais de paramètre sensible dans l'url" dans le cas qui me préoccupe, c'est le cas. Entre mon message initial et ta réponse j'ai cherché dans tout les sens. J'avais trouvé de l'info sur les balises meta.

Le site en question n'en utilise pas, en cherchant un peu dans tous les sens, j'ai cru comprendre que l'on pouvait le gérer dans la conf du serveur. Y a t'il des outils pour tester les urls pour savoir si c'est bien bloqué.

En cherchant sur le web, je suis tombé sur de rares messages sur le sujet, de la fuite de données via les cdn via le referrer.

Merci,
Florent

rick38 · 5 Novembre 2022

Il y a un outil ici : https://geekflare.com/tools/referrer-policy-test
Mais vu comme le site a l'air d'être codé vu l'utilisation de nombreux scripts non hébergés sur le serveur, je connais déjà la réponse.

Florent D. · 6 Novembre 2022

Bonjour Rick,

Le referrer policy est le suivant : strict-origin-when-cross-origin

Définition source Justgeek.fr
strict-origin-when-cross-origin : l'en-tête referrer contient l'URL complète si la destination a la même origine et contient uniquement l'origine si la destination est aussi sécurisée (HTTPS vers HTTPS). Si la destination n'est pas sécurisée (HTTP) alors aucune en-tête referrer n'est envoyée

Qu'est-il entendu par origine, le nom de domaine ?
Cordialement,
F.

rick38 · 6 Novembre 2022

Oui, le domaine, donc en fait c'est bon, ça n'envoie que le domaine aux autres sites.

Et d'ailleurs je vois que Chrome (et peut-être les autres) le met par défaut quand ça n'est pas spécifié, par sécurité justement, donc envoie seulement le domaine au lieu de l'url complète.