Intéressante et très détaillée enquête du New York Times:
“J’ai visité 47 sites et des centaines de trackers m’ont suivi”
La technologie du web est fondamentalement défaillante.
Tu dis n’importe quoi toi.
La techno du web c’est HTTP. HTTP est un protocole standard, il n’est pas du tout défaillant.
C’est l’utilisation du web qui est défaillante.
Seras-tu faire la différence ?
Non. La techno du web c’est HTTP+HTML+CSS+JS+navigateurs.
Elle ne devrait pas autoriser ce genre de choses.
Non, ce sont les technologies (du) web[1]
La technologie du web fait référence au protocole HTTP.
Tu le sais, que tu es chiant ?
Je suis précis, c’est différent.
Les techno du web sont très bien, c’est l’usage qui en est fait qui est nul à chier
Les technos du web devraient empêcher ce genre d’usage par construction.
Comment ?
Si tu vires les cookies et Javascript, le web est sûr.
Et statique comme en 90.
En n’acceptant pas les requêtes CORS (https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS). Ça causerait beaucoup de problèmes au web d’aujourd’hui mais si ça avait fait dès le début ça aurait peut-être été faisable.
Ben non, ya flash
Dans les années 90, il y avait déja des pages dynamiques, notamment via CGI
Je devrais te féliciter de troller aussi efficacement dev_tty, mais une tête innocente pourrait croire que tu es “précis”, comme tu dis, ce qui est faux et donc de mon devoir de corriger.
“La technologie du web” ne fait nulle part référence au http dans le lien que tu donnes. Il suffit de lire l’article pour voir que la technologie du web c’est le http, le html, les navigateurs, etc. comme le disait notre ami un peu plus haut.
“Comment est-ce possible ?!”, t’exclameras-tu, “Un nom singulier ne peut englober plusieurs entités, le français l’interdit”. Ben non, ben si.
C’est ce qu’on appelle un singulier collectif ou une syllepse ou ce qu’on appelle pas mais qu’on utilise tous les jours.
“La foule”, “la police”, “la blogosphère” sont des noms singuliers qui représentent un ensemble. On peut très bien dire “J’ai appelé la police et ils m’ont dit d’attendre”.
“Les droits de l’homme et du citoyen” sont les droits de tous les citoyens de France et non pas ceux d’un citoyen en particulier.
Bref, tout ça pour dire que tant qu’à faire le cuistre, autant être rigoureux sous peine de tomber sur plus cuistre que soi. Comme moi.
Zut, je suis fait comme un bleu !
Je te félicite cher altab1
EDIT: j’ai appris 2-3 termes techniques français, merci fréro!!
Ben la vache, il est rapide. Mais pas assez pour voir les 2, 3 coquilles que j’ai eu le temps de corriger ni vu ni connu.
ça dégaine ça dégaine !
Quand je dis que le web sans les cookies et Javascript, est sûr, c’est une simplification abusive. Le protocole http autorise déjà pas mal d’indélicatesses.
Le mécanisme du Referer, dont les usages légitimes ne font pas de doute, permet d’exfiltrer les informations de mes visiteurs à n’importe quel clampin qui héberge un pixel. Mais on ne peut pas toucher à ça sans remettre en cause le concept d’hypertexte.
Les iframes sont pas mal scabreuses, et les façons de contourner la règle de la same origin sont si nombreuses que ça donne le tournis.
C’est pourquoi la participation des navigateurs est nécessaire si on veut durcir le web dans le sens d’une plus grande protection de la vie privée.
Adieu cdn, serveurs de médias dédiés et cie…
Yep…
Ça va pas être pratique pour faire des sites à forte afluence…
Bref vous prenez le problème par le mauvais bout (ça ne m’étonne pas de certains vu qu’ils adorent étaler leur méconnaissance de tout un tas de sujets techniques) en voulant revenir en arrière.
Surtout que pour le sujet précis des CORS, logiquement il y a une whitelist côté serveur, pour qu’il y ait faille il faut qu’il y ait eu négligence dans la conception du site.
Alors oui je veux bien admettre à la rigueur que le web a eu à un moment attiré le bas du panier question devs (mal payé, facile d’accès, pas cher à distribuer) par rapport au logiciel (même si la tendance s’inverse) et donc qu’il y ait même proportionnellement plus de merdes et de failles dans le web.
Mais vouloir supprimer une techno qui a son utilité parce que certains ne savent pas l’utiliser c’est un poil ridicule.
On est encore revenu en 1990.
C’est bien pourquoi j’ai précisé que “Ça causerait beaucoup de problèmes au web d’aujourd’hui mais si ça avait fait dès le début ça aurait peut-être été faisable.”.
La whitelist côté serveur, quand elle est mise à Access-Control-Allow-Origin: *
c’est rarement une négligence dans la conception du site. Si il n’était pas autorisé d’accepter toutes les origines, peut-être que l’on aurait moins de trackers partout. Alors effectivement, ce ne serait pas pratique pour tout ce qui est CDN, APIs, facebook likes etc… mais ca aurait été “by design”.
J’ai pas dit qu’il faudrait supprimer cette possibilité, c’est bien impossible à l’heure actuelle.
Bien sûr que si c’est une négligence : même si c’est par paresse ou volonté de baisser les coûts.
A la limite que le * ne soit plus possible, si tu veux.
Donc sur cette URL: https://api.github.com/
Le Access-Control-Allow-Origin: *
est une négligence ?
Jamais travaillé avec les api de github, mais ça doit être pour qu’on puisse les appeler salement de n’importe où, au lieu de le faire server -side.
Donc oui une négligence.
Le Javascript, de base, c’est de la merde.
(EDIT: ne cherchez-pas d’éléments constructifs dans mon commentaire)