Mésaventure d'un développeur PHP
- 27/04/2008
Développement web://
Mésaventure d'un développeur PHPEn tant que développeur web je publie régulièrement des sites ou des maquettes pour que des amis et collègues puissent jouer les testeurs et me donner leur avis. Ces sites ne sont pas publics (j'aime faire des surprises) mais pour éviter de compliquer la vie de mes testeurs ils ne sont pas protégés.
Et pourtant, deux maquettes et une version de démonstration d'un de mes projets se sont retrouvées sur le moteur de recherche Alexa. Donc accessible à n'importe qui. Enquête et leçon à en tirer.
D'abord, j'ai interrogé mes testeurs. Aucun n'a réagit à la barre Alexa, mais ce n'est pas probant. La mailing-list de l'AFUP m'a apporté quelques pistes déjà envisagée. Et Alexa a gentiment répondu à ma question :
Dear Cedric,
Thank you for contacting Alexa Internet.
Do you use the Alexa Toolbar? It is one of the sources we use to gather information about what pages to index in our crawl. If a page is secure, then the Toolbar does not report information on or for it.
We appreciate your interest in Alexa.
Best regards,
Alexa Internet Customer Service
Cela me confirme d'une part qu'il faut se méfier de ce genre de barres quand on créé des sites, de l'autre qu'il convient de protéger même sommairement ses projets quand on aime faire des surprises. Ceci étant, Alexa donne la solution sur son site, et cette mésaventure sans gravité montre combien c'est utile.
Rubriques des billets
- Agilité - 16 billets
- Archerie - 8 billets
- Avis - 49 billets
- Cultures - 9 billets
- Délires - 34 billets
- Démocrachie - 5 billets
- Développement - 22 billets
- Développement web - 19 billets
- Ergonomie - 17 billets
- Geekerie - 10 billets
- Inclassable - 4 billets
- Informatique - 19 billets
- Littératures - 34 billets
- PHP - 5 billets
- Poor Lonesome Coder - 19 billets
- Régalons-nous - 6 billets
- Sortons! - 2 billets
- Travail - 16 billets
- Voyages - 2 billets
- Webmasteriat - 18 billets
Commentaires(s)
- 2008-04-27 18:09:27 - Eric
Je ne suis pas sûr que le problème soit la barre Alexa. Ton site était bel et bien public, et c'est là le problème. Seule l'adresse était cachée.
Des documents confidentiels sur les moteurs de recherche c'est fréquent.
Un domaine spécifique avec un robots.txt et une authentification http pour entrer, c'est tout de même le minimum. Et surtout c'est normal.
Je suis convaincu qu'il reste possible d'envoyer un mot de passe simple en même temps que l'adresse de la page aux clients/testeurs sans que ça ne soit plus complexe. Quitte même à ce que ce login/pass soit test/test. - 2008-04-27 18:47:41 - Cédric
J'ai oublié de dire : Alexa avait trois sites non publics, et était le seul moteur à les avoir. Aucun autre n'indexait l'un de ces sites, et comme le service client d'Alexa me confirme que la barre rapporte les adresses visitées au moteur de recherche, je reste sur mon idée.
Surtout, d'autres sites qui ne sont pas passés par ce groupe de testeurs sont parfaitement restés cachés aux yeux des moteurs. Ce qui ne m'empêchera pas dorénavant de mettre un contrôle d'accès simple, je suis bien d'accord. - 2008-04-27 20:32:27 - Eric
Ah mais je ne dis pas que l'indexation vient d'ailleurs que la barre, je suis tout prêt à m'accorder là dessus. Ce que je veux dire c'est que le problème n'est pas la "fuite" de l'information via la barre, le problème à la base c'est le manque d'authentification ou au moins de déclaration comme "non indexable" du site. Le fonctionnement de la barre n'est que ce qui a permis de révéler ton problème initial.
- 2008-04-28 09:39:01 - Cédric
Tout à fait. Disons que la sécurité par l'obscurité ne marche à aucun niveau, et que je trouve pertinent de le savoir concrètement. Donc d'agir tant sur la sécurisation systématique qu'en se méfiant de certains outils.
J'aime bien comprendre le fond des choses, mais tu as raison de recentrer sur l'important : sécuriser à priori tout ce qui doit rester caché.
Ecrire votre commentaire
27/04/2008 - Systeme