En utilisant le module Noscript je viens de découvrir sur le site d’une célèbre boutique qu’il y a environ une vingtaine de script.
Si quelques uns ne me surprend la plupart me semble pas du tout lié au fonctionnement de la boutique.
J’avoue que ces pratiques m’agace beaucoup.
Certainement pas me seul site (ce qui n absous de rien) et même pas sûr que le site sache vraiment pourquoi d ailleurs tous ces scripts sont utilisés.
Le plus “marrant” ce sont les journaux qui font des articles autour des AAMAM (ex GAFAM) avec des sites truffés de cookies, fingerprints & cie .
Il y a une certaine propension chez les développeurs web à la paresse (c’est humain). D’un côté, tu as le choix entre construire ta CSS tout seul pour qu’elle soit propre et belle et de l’autre tu vas sur google fonts et en deux clics tu as un CSS construit tout seul avec un hébergement « gratuit » des polices chez Google. Au plus grand dam est utilisateurs qui se font donc pister !
C’est pareil avec chaque CDN, chaque outil de mesure d’audience, chaque outil de partage sur les réseaux sociaux, etc…
Personnellement je ne vais jamais sur le web sans uMatrix activé. C’est un peu extrême mais on y gagne sacrément en pistage et en conservation de la vie privée.
Et ublock origin ?
Les boutiques ont aussi des revenus publicitaires. Faut pas chercher tellement plus loin.
Vous n’êtes pas obligés d’accepter les cookies, par ailleurs.
Lymon, heureusement que les développeurs ne réinventent pas la roue à chaque projet sinon il faudrait des équipes colossales et des temps de développement infinis. Pour des résultats médiocres. (Je vais pas m’amuser à recréer un système de cartographie perso. Vive les bibliothèques bien faites et maintenues). Là où tu vois de la paresse je vois de la bonne intelligence… Enfin… Sauf que je préférerai toujours un CSS à la main à Material.ui 
Maintenant t’as raison il y a vraiment des gens qui installent tout et n’importe quoi comme dépendance, pour résoudre des problèmes qui feraient quelque lignes de code… Quitte à installer des trucs obscurs et pleins de trous de sécu, pas maintenus…
Je m’étais intéressé au sujet il y a quelques années et j’avais entre autre « no script » qui m’avait fait prendre conscience que la très grande majorité des sites sont blindés de mouchards. Entre autre tous les trackeurs google c’était quasi chaque page visitée sans doute pour les raisons évoquées par Lymon Flowers. J’avais essayé de bloquer un maximum de script sauf que la plupart des sites ne fonctionnent pas du tout ou pas bien… Il faut se prendre la tête à regarder quel script est indispensable, quel script ne l’est pas, etc… Et puis j’ai « arrêté » de me prendre la tête : j’utilise juste firefox (la base), startpage qui est censé anonymisé nos recherches sur le net, ublock origin qui bloque les pubs et « https everywhere » qui force les pages qui peuvent être en connexion sécurisée à l’être… « No script » est très bien pour prendre conscience de tout ce qui nous piste sur le net mais ça devient vite pénible à utiliser je trouve…
Prince-Baron dit :En utilisant le module Noscript je viens de découvrir sur le site d'une célèbre boutique qu'il y a environ une vingtaine de script.
Si quelques uns ne me surprend la plupart me semble pas du tout lié au fonctionnement de la boutique.
J'avoue que ces pratiques m'agace beaucoup.
De mémoire ,
Cloudfront, c'est un CDN, c'est un service qui fournit des caches partout dans le monde, l'idée est que si le site est à Lyon et que l'on est à Paris, le CDN va fournir les images depuis Paris ce qui rendra le chargement de la page plus rapide
Doofinder ça ne me rappelle rien
Doubleclick, c'est normalement pour la publicité (sur une boutique c'est peut-être pour vérifier l'efficacité de la publicité mais ça me semble d'un intérêt douteux)
Google analytics, c'est un outil de mesure d'audience, pourcentage de personne qui a cliqué ici ou la
Google.com, google.fr je ne sais pas ce qu'il font là, peut-être un service d'authentification ou anti robot
Googletagmanager, c'est un outil qui permet de prendre les événements sur une page et les envoyer à X services, ça peut servir à faire des tests en modifiant les pages pour une parties des utilisateurs via un service (Mais ça introduit de gros biais , c'est plus un signe de maîtrise médiocre des scripts sur la page)
Gstatic c'est un service de google pour des ressources statiques communes, l'idée est que si la page dit d'aller chercher la police toto chez google, le navigateur l'a peut être déjà en cache et n'ira pas la chercher (contrairement à une police sur le site qui sera chargé pour chaque site), c'est un des services qui laisse le moins de données fuiter (vu que si on a déjà téléchargé le contenu, on ne va pas le récupérer à nouveau)
Maps, pour un service d'affichage de carte
Pagesense.io mesure d'audience plus intrusive (c'est de mémoire et j'ai un doute)
salecycle, connait pas, mais probablement un service pour les retrocommissions (lien affiliés, tout ça)
sc-static probablement pour que le script ne soit pas rechargé sur chaque site visité
Snapchat, Titou, peut-être des boutons de partage/suivi qui servent de pisteurs (ils pourraient facilement s'en passer)
Soho, il me semblait que c'était plutôt des outils intranet, pas grand chose à faire là
Rodenbach dit :Lymon, heureusement que les développeurs ne réinventent pas la roue à chaque projet sinon il faudrait des équipes colossales et des temps de développement infinis. Pour des résultats médiocres. (Je vais pas m'amuser à recréer un système de cartographie perso. Vive les bibliothèques bien faites et maintenues). Là où tu vois de la paresse je vois de la bonne intelligence... Enfin... Sauf que je préférerai toujours un CSS à la main à Material.ui
On est d'accord ! Le tout n'est pas tant d'utiliser des choses qui existent (vive bootstrap et jquery !) que d'utiliser des dépendances moisies qui au final te dépossèdent de ton travail et participent activement au flicage de tes utilisateurs. C'est sans doute mon côté GNU/libriste libertaire mais c'est bien dommage que beaucoup de dévs web ne sachent pas à quoi ils s'engagent quand ils placent des dépendances de ce type sur leur site.
Krrro dit :Entre autre tous les trackeurs Google
Le problème c’est que sans Google on n’arrive pas à trouver une fiche Tric Trac
Krrro dit :J[...] « No script » est très bien pour prendre conscience de tout ce qui nous piste sur le net mais ça devient vite pénible à utiliser je trouve…
Plutôt μBlock pour prendre conscience du pistage, en allant dans les paramètres pour élargir un peu ce qui est bloqué.
No Script, c'est pour activer le Javascript à la demande plutôt que de le laisser actif par défaut. C'est un autre besoin en sécurité.
Un script peut-être natif au site, ne rien pister et être néfaste :
- calcul de collision pour la cryptomonaie en utilisant les ressources CPU du visiteur
- exploitation de failles
Rodenbach dit :Les boutiques ont aussi des revenus publicitaires. Faut pas chercher tellement plus loin.
Vous n'êtes pas obligés d'accepter les cookies, par ailleurs.
Lymon, heureusement que les développeurs ne réinventent pas la roue à chaque projet sinon il faudrait des équipes colossales et des temps de développement infinis. Pour des résultats médiocres. (Je vais pas m'amuser à recréer un système de cartographie perso. Vive les bibliothèques bien faites et maintenues). Là où tu vois de la paresse je vois de la bonne intelligence... Enfin... Sauf que je préférerai toujours un CSS à la main à Material.ui
Maintenant t'as raison il y a vraiment des gens qui installent tout et n'importe quoi comme dépendance, pour résoudre des problèmes qui feraient quelque lignes de code... Quitte à installer des trucs obscurs et pleins de trous de sécu, pas maintenus...
Mais justement là j'ai refusé les cookies!
Et si je bloque les scripts plusieurs choses ne fonctionnent plus
Prince-Baron dit :Rodenbach dit :Les boutiques ont aussi des revenus publicitaires. Faut pas chercher tellement plus loin.
Vous n'êtes pas obligés d'accepter les cookies, par ailleurs.
Lymon, heureusement que les développeurs ne réinventent pas la roue à chaque projet sinon il faudrait des équipes colossales et des temps de développement infinis. Pour des résultats médiocres. (Je vais pas m'amuser à recréer un système de cartographie perso. Vive les bibliothèques bien faites et maintenues). Là où tu vois de la paresse je vois de la bonne intelligence... Enfin... Sauf que je préférerai toujours un CSS à la main à Material.ui
Maintenant t'as raison il y a vraiment des gens qui installent tout et n'importe quoi comme dépendance, pour résoudre des problèmes qui feraient quelque lignes de code... Quitte à installer des trucs obscurs et pleins de trous de sécu, pas maintenus...Mais justement là j'ai refusé les cookies!
Et si je bloque les scripts plusieurs choses ne fonctionnent plus
Il y avait des remplacement de script qui ne sont peut-être pas dans les versions récentes
Il faut potentiellement une autre extension pour charger ces scripts de remplacement et réparer les fonctionnalités (et ça demande de comprendre un minimum de js, NoScript n'est pas exactement à recommander à tout le monde, c'est à considérer pour les journalistes et haut fonctionnaires, ublock est probablement plus adapté)
MasterMindM dit :Krrro dit :Entre autre tous les trackeurs GoogleLe problème c’est que sans Google on n’arrive pas à trouver une fiche Tric Trac
Ça c'est un autre problème... 🤣
En fait on a besoin d'un moteur de recherche ( ce qui est ni pratique, ni vraiment "normal"...) mais pas forcément de google, il y a de très bonnes alternatives : duckduckgo, startpage...
@Casimir Morel : merci pour les précisions techniques.
Prince-Baron dit :Rodenbach dit :Les boutiques ont aussi des revenus publicitaires. Faut pas chercher tellement plus loin.
Vous n'êtes pas obligés d'accepter les cookies, par ailleurs.
Lymon, heureusement que les développeurs ne réinventent pas la roue à chaque projet sinon il faudrait des équipes colossales et des temps de développement infinis. Pour des résultats médiocres. (Je vais pas m'amuser à recréer un système de cartographie perso. Vive les bibliothèques bien faites et maintenues). Là où tu vois de la paresse je vois de la bonne intelligence... Enfin... Sauf que je préférerai toujours un CSS à la main à Material.ui
Maintenant t'as raison il y a vraiment des gens qui installent tout et n'importe quoi comme dépendance, pour résoudre des problèmes qui feraient quelque lignes de code... Quitte à installer des trucs obscurs et pleins de trous de sécu, pas maintenus...Mais justement là j'ai refusé les cookies!
Et si je bloque les scripts plusieurs choses ne fonctionnent plus
Le fait de refuser les cookies va juste empêcher le transfert de données personnelles (et rendre les dépendances publicitaires inopérantes) mais ça n'annule pas le fait que l'application cherche à contacter ses dépendances au chargement. Donc tu les verras toujours avec noscript (mais en général tu peux en laisser la plupart désactivés).
La plupart des développeurs web ne savent pas ce qu’ils intègrent dans leur site.
J’ai vu ça quand j’ai travaillé pour la SNCF; l’équipe de développement (externe) des sites PHP commerciales utilisaient des bibliothèques javascript trouvés sur le web. Quand il a fallu le mettre en exploitation et que les règles de sécurité (pas d’accès à internet pour les appli intranet) devrait être mis en place, l’équipe de dev n’était même pas capable de lister l’ensemble des dépendances et ne pouvait pas garantir qu’il n’ait pas de chargement “à la volée” d’autres scripts, ce qui allait à l’encontre des règles de sécurité de la SNCF…
xbrossard dit :La plupart des développeurs web ne savent pas ce qu'ils intègrent dans leur site.
J'ai vu ça quand j'ai travaillé pour la SNCF; l'équipe de développement (externe) des sites PHP commerciales utilisaient des bibliothèques javascript trouvés sur le web. Quand il a fallu le mettre en exploitation et que les règles de sécurité (pas d'accès à internet pour les appli intranet) devrait être mis en place, l'équipe de dev n'était même pas capable de lister l'ensemble des dépendances et ne pouvait pas garantir qu'il n'ait pas de chargement "à la volée" d'autres scripts, ce qui allait à l'encontre des règles de sécurité de la SNCF...
Ou, parce qu'on parle de la SNCF quand même, ils ont eu des demandes contradictoires, par exemple installer un tag manager et garantir qu'il n'y aura pas de chargement de script externe...
Enfin tout le monde est au courant qu’avec la SNCF on est toujours dans l’extrême en terme d’application web
Spécialisés dans la loose depuis plus de 20 ans !
Rodenbach dit :Les boutiques ont aussi des revenus publicitaires. Faut pas chercher tellement plus loin.
Vous n'êtes pas obligés d'accepter les cookies, par ailleurs.
Ça dépend car sur certains sites on ne te laisse pas le choix.
Soit tu acceptes les cookies soit tu payes. Dans ces cas-là je ne vais plus sur ce site à regret.
sissouvic dit :Rodenbach dit :Les boutiques ont aussi des revenus publicitaires. Faut pas chercher tellement plus loin.
Vous n'êtes pas obligés d'accepter les cookies, par ailleurs.Ça dépend car sur certains sites on ne te laisse pas le choix.
Soit tu acceptes les cookies soit tu payes. Dans ces cas-là je ne vais plus sur ce site à regret.
Oui c'est juste, mais ce n'est pas le cas pour les boutiques ludiques.
Rodenbach dit :Prince-Baron dit :Rodenbach dit :Les boutiques ont aussi des revenus publicitaires. Faut pas chercher tellement plus loin.
Vous n'êtes pas obligés d'accepter les cookies, par ailleurs.
Lymon, heureusement que les développeurs ne réinventent pas la roue à chaque projet sinon il faudrait des équipes colossales et des temps de développement infinis. Pour des résultats médiocres. (Je vais pas m'amuser à recréer un système de cartographie perso. Vive les bibliothèques bien faites et maintenues). Là où tu vois de la paresse je vois de la bonne intelligence... Enfin... Sauf que je préférerai toujours un CSS à la main à Material.ui
Maintenant t'as raison il y a vraiment des gens qui installent tout et n'importe quoi comme dépendance, pour résoudre des problèmes qui feraient quelque lignes de code... Quitte à installer des trucs obscurs et pleins de trous de sécu, pas maintenus...Mais justement là j'ai refusé les cookies!
Et si je bloque les scripts plusieurs choses ne fonctionnent plusLe fait de refuser les cookies va juste empêcher le transfert de données personnelles (et rendre les dépendances publicitaires inopérantes) mais ça n'annule pas le fait que l'application cherche à contacter ses dépendances au chargement.
Comme si en 2022 on avait encore besoin des cookies pour faire du user tracking. Plus besoin de ça pour diffuser des pubs qui correspondent à un utilisateur.