Journal MSIE et referer

Posté par  .
Étiquettes : aucune
0
12
août
2004
Bonjour à tous,

J'en appelle à votre expérience.

Je développe en ce moment un outil online qui a besoin d'accéder au referer http correspondant au hit. Le header referer: est donc utilisé, ça fonctionne bien. Ces hits concernent des images.

Sur une page web (disons test.html) je publie des images, lors de la requête sur l'image j'accède au referer. Le referer est donc test.html puisque c'est cette page qui publie l'image.

Mais j'ai un problème avec certains clients. Pour une raison obscure je n'ai pas de referer dans environ 15% des cas.

Voila quelques user-agent pour lesquels je n'ai pas de referer.

Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322)
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)

Pourtant pour d'autres clients avec les mêmes navigateurs (IE6 3705 par exemple), j'ai bien le referer. Je penche donc plutôt pour une saloperie du genre service pack, addon quelconque du type zonealarm ou que sais-je ...

Avez-vous une idée ?
Merci

  • # Commentaire supprimé

    Posté par  . Évalué à -8.

    Ce commentaire a été supprimé par l’équipe de modération.

    • [^] # Re: MSIE et referer

      Posté par  . Évalué à 2.

      je ne vois pas comment un utilisateur windows va m aider à analyser mes logs apache. ce que je demande, c est si qqun a déja constaté de tels "trous" dans ses logs ... et si il a éventuellement retracé l origine de la perte ...

      • [^] # Commentaire supprimé

        Posté par  . Évalué à -10.

        Ce commentaire a été supprimé par l’équipe de modération.

        • [^] # Re: MSIE et referer

          Posté par  . Évalué à 4.

          t en fais pas pour moi va ... je sais déja tout ça. ça n est pas ma question.

          le referer est un champs facultatif, tout comme le user agent. ce qui m intéresse c est le visiteur lambda, pas celui qui fait du telnet ...

          j essaie de mettre au point une méthode qui fonctionne au mieux, j essaye donc de comprendre pouquoi je n ai pas de referer dans certains cas, alors que le navigateur utilisé ne permet pas (selon moi) de masquer le referer.

          le seul cas que je connais de perte du referer avec IE, c est le cross request entre http clair et http + ssl. si une page est hittée en ssl, qu elle publie une image en clair, ie ne taggera pas le referer https. certaines versions font même un warning "éléments non sécurisés patati patata".

          enfin merci de ta contribution, elle m a bien aidé.

          • [^] # Re: MSIE et referer

            Posté par  . Évalué à 2.

            Peut être que ce n'est pas IE qui laisse ces user-agents, mais un navigateur se faisant passer pour IE?

            Pour info, Opera sur mon Linux laisse ce user-agent lorsqu'il se fait passer pour IE :
            "Mozilla/4.0 (compatible; MSIE 6.0; X11; Linux i686) Opera 7.50 [en]"

            Vu qu'il rajoute son nom derrière, ça ne doit pas être lui qui te cause des problèmes...

        • [^] # En réponse à LiNuCe (légèrement hors sujet...)

          Posté par  (site web personnel) . Évalué à 8.

          Ton commentaire vaut ce que les gens jugeront par le système de pertinence.
          Pour ma part je ne cliquerais ni sur "pertinent" ni sur "inutile", j'aurais choisi "inutilement agressif :-)" plutôt (N.B.: le smiley est bien entre les guillemets, ce n'est pas une erreur de frappe ;-)).

          Je trouve dommage que des personnes répondent toujours avec autant de venin dans leur propos aux commentaires des autres :-(! Tu aurais pu dire la même chose de manière normale. Sans agressivité après tout j'imagine que toi comme moi ne connaissons pas PedroLane et qu'il s'agit peut-être d'un chic type! :-)

          Allez sans rancune! :-) Juste une information quand même. Dans les forums, comme par email ou IRC (je sais je suis d'une autre génération, mais moi MSN et consort j'aime pas! ;-)), il faut faire très attention à la CASSE ou à la teneur de nos propos car il est beaucoup plus difficile quand on a juste l'écran devant soi pour juger de déterminer le ton du propos, c'est-à-dire qu'il est difficile de savoir si le ton est ironique ou si la personne veut provoquer, etc. D'ailleurs si c'était une de ces catégories pour ton message, excuses-moi, je l'ai mal interprété :-). Mais au moins cela te prouve qu'il vaut mieux éviter l'ironie dans les forums à moins d'y mettre suffisant de smiley :-)

  • # Referer bloqué

    Posté par  (site web personnel) . Évalué à 3.

    Tu utilises le referer avec une bonne intention mais ce n'est pas le cas de tout les sites web, c'est pour ça que mon Opera est configuré pour ne pas envoyer cette information aux sites que je visite.
    De même je crois que Konqueror bloque le referer par défaut (ou par une option). Je ne sais pas quel est le but de l'accès à cette information, mais les utilisateurs faisant de plus en plus attention à leur "privacy" que je pense sincèrement que le referer est amené à disparaître.
    Alors essaye avant que ton projet ne soit trop avancé de trouver une autre solution pour ton besoin.

    PS: essaye le site de la CNIL (http://www.cnil.fr(...)), il te renseignera sur les abus potentiels de ce champ referer, et si oui ou non ton navigateur le renseigne. Pour ça va voir la partir démonstration de "Vos traces sur Internet" (ou un chapitre au titre similaire)

    • [^] # Re: Referer bloqué

      Posté par  . Évalué à 2.

      ok, merci

      le but est de protéger l accès à certaines images, pour éviter qu un autre site web les publie sans autorisation.

      le site est très "grand public". que des utilisateurs avertis de opera, konqueror, squid etc ... bloquent leur referer ne me choque pas. ce qui me chagrinerait, c'est que le navigateur le plus répandu, dans sa configuration par défaut, le fasse. ce que je cherche c est justement à savoir si c est bien le cas. en gros puis je compter sur le referer ou bien va t il tomber en désuétude avec le temps. dans ce cas je vais bosser tout de suite sur une alternative.

      j ai cherché dans les release notes de IE mais il n y a rien à ce sujet. j aimerais bien savoir d où ça vient exactement ...

      • [^] # Re: Referer bloqué

        Posté par  . Évalué à 5.

        ce qui me chagrinerait, c'est que le navigateur le plus répandu, dans sa configuration par défaut, le fasse

        Mauvais argument.
        On ne base pas ses choix techniques sur le navigateur le plus répandus chez les neusneus, dans sa version actuelle.
        Une solution a base de cookie me semble un peu plus acceptable. Si les cookies sont désactivables, la fonction de réactivation est très souvent à porté de souris.

        • [^] # Re: Referer bloqué

          Posté par  . Évalué à 1.

          oui c'est juste ... j essaie surtout de trouver une méthode passe-partout

          mais le système du referer me semblait judicieux par rapport au cookie de session car il n y a pas d "intrusion" inutile sur le client

          les gens restraignent à juste titre certains types de cookie, je pensais le referer plus "standard". mais apparemment il a lui aussi ses petites exceptions ...

          je vais peut être utiliser les deux. si j ai un referer => ok. si j en ai pas je teste le cookie.

          merci

        • [^] # Re: Referer bloqué

          Posté par  (site web personnel, Mastodon) . Évalué à 2.

          Je me demande si ça ne peut pas aussi se configurer du côté sur serveur. Il faudrait que je me replonge dans la doc d'Apache pour voir si je n'ai pas rêvé.

          • [^] # Re: Referer bloqué

            Posté par  . Évalué à 4.

            non

            tu peux demander à apache de logger ou non le referer
            tu peux lui demander d ajouter ou de retirer des entêtes abitrairement (mod_headers)

            mais le choix de transmettre le referer est fait côté client, par le navigateur ou un intermédiaire quelconque (proxy, firewall L7 ...)

            c est un entête présent uniquement dans la requête, le serveur ne peut pas intervenir

            voila, si ça peut t éclaircir

            • [^] # Re: Referer bloqué

              Posté par  (site web personnel, Mastodon) . Évalué à 3.

              Juste. en effet.

              En fait, on peut faire depuis Apache ce qu'on peut faire avec un langage server comme PHP (c'est ça que j'avais en mémoire), mais comme tu le dis, le referer vient du client. donc pas de bras, pas de chocolat.

        • [^] # Re: Referer bloqué

          Posté par  . Évalué à 2.

          je ne vois pas en quoi une utilisation de cookie serait plus "acceptable" techniquement ?

      • [^] # Re: Referer bloqué

        Posté par  (site web personnel) . Évalué à 3.

        Avec la version Pro de Zone Alarm (mais là encore il s'agit peut-être d'une élite) tu peux bloquer le referer! Mais comme tu l'indiques, ce n'est pas IE dans sa configuration par défaut qui fait ça!
        Il y avait un logiciel basé sur IE (MyIE je crois) peut-être est-ce lui? Je ne connais ni son user agent, ni ses fonctionnalités...

        Désolé je ne peux pas t'aider plus.

        • [^] # Re: Referer bloqué

          Posté par  . Évalué à 1.

          ah !

          voila peut être mon coupable !
          je suppose que myIE changerait le user-agent, donc je l'aurais vu. je vais aller voir un peu les features de ce Zone Alarm ...

          merci pour la piste !

          • [^] # Re: Referer bloqué

            Posté par  (site web personnel) . Évalué à 5.

            De toute manière c'est assez simple, il ne faut *jamais* utiliser le referer dans une appli Web, c'est une information classée dans la catégorie "non fiable", comme tous les en-têtes renvoyés par le navigateur.

            Et si ton idée est de bloquer les images, il faut toujours autoriser le referer vide.

      • [^] # Re: Referer bloqué

        Posté par  . Évalué à 0.

        le but est de protéger l accès à certaines images, pour éviter qu un autre site web les publie sans autorisation.

        Pour les sites qui les aficheraient tout en les laissant hébergées sur ton site, ça marcherait.

        Mais pour ceux qui copieraient tes images sur leurs propres serveurs, ça ne marcherait pas du tout !

        • [^] # Re: Referer bloqué

          Posté par  . Évalué à 1.

          oui mais justement ce sont des images générées dynamiquement (des plans). donc inutile de les copier, ça servira à rien ...

      • [^] # Re: Referer bloqué

        Posté par  (site web personnel) . Évalué à 2.

        Tu as 4 cas :
        - referer de chez toi, la requete vient d'une de tes pages
        - pas de referer, la requete vient d'une de tes pages
        - pas de referer, la requete vient d'une page externe
        - referer d'une page externe, la requete vient d'une page externe

        Ce que tu as du vouloir faire c'est n'autoriser que le premier cas. Plutot que de faire ça, si tu autorisais les trois premiers cas ? certes tu auras 15% des gens externes qui pourront lire tes images, mais ça veut dire que 85% ne pourront pas : c'est largement assez pour qu'aucun webmaster ne le fasse.

    • [^] # Re: Referer bloqué

      Posté par  . Évalué à 1.

      J'aimerais bien connaitre cette option pour mon konqueror (bloquer le referer). Quelqu'un sait ?

      Merci :)

      • [^] # désolé :-(

        Posté par  (site web personnel) . Évalué à 2.

        Je me suis avancé trop vite, j'étais pourtant persuadé d'avoir activé une telle option sous Konqueror. Mais bon j'ai vérifié chez moi hier soir sur mon Linux et niet!
        Je suis désolé d'avoir soulevé un espoir...

        En conclusion (et correction de mon précédent email) : je ne connais que Opera pour le moment qui bloque le referer.

        • [^] # Re: désolé :-(

          Posté par  . Évalué à 1.

          moz aussi :)
          about:config
          chercher network.http.sendRefererHeader et mettre a 0 :)

  • # Une application Intranet

    Posté par  . Évalué à 1.

    Pour ma part, j'ai eu un souci avec le referer sur une application Intranet où tous les clients étaient obligatoirement des Internet Explorer.

    J'ai fini par abandonner l'utilisation de cette variable mais je me suis "amusé" à chercher quels Os / versions de navigateurs bloquaient cette variable.

    Et du coup, par défaut, sans rien modifier à la configuration d'IE, ca change énormément... genre presque à chaque sous/sous versions d'IE, chaque service pack, etc., bref, impossible d'en tirer une logique.

  • # C'est le Norton Firewall

    Posté par  (site web personnel) . Évalué à 2.

    C'est Norton Firewall qui bloque les entêtes referer dans sa configuration par défaut.
    Et peut être d'autres firewall aussi, mais c'est lui qui a lancé la mode je crois.

  • # champ optionnel

    Posté par  . Évalué à 1.

    La RFC HTTP n'indique pas que le champ Referer est obligatoire, c'est donc un champ optionnel laissé à la discrétion du client Web.
    http://www.faqs.org/rfcs/rfc2616.html(...)

    Bref, utiliser la présence ou l'absence du champ Referer pour bloquer l'accès à une ressource est une énorme connerie (heureusement de plus en plus rare).

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.