Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    juin 2016
    Messages
    755
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Bénin

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : juin 2016
    Messages : 755
    Points : 22 495
    Points
    22 495

    Par défaut Comment un hébergeur Web peut injecter du code JavaScript dans votre site web, et comment le stopper ?

    Comment un hébergeur Web peut injecter sournoisement du code JavaScript dans votre site web, et comment le stopper ?
    Un exemple avec GoDaddy

    Quel registraire ou hébergeur de nom de domaine utilisez-vous ? Lui faites-vous confiance pour la sécurité de vos données ? Dans un monde informatique où l’ingénierie sociale est grandissante, la question de la confiance envers celui qui héberge vos ressources pour votre site Web ou application Web est un sujet difficile à traiter. Il existe aujourd’hui des services d’hébergements gratuits comme payants. Dans le premier cas, l’option étant gratuite, on peut s’attendre à des risques d’injection de code ou d’ingérence dans la manière dont le site Web va fonctionner. L’on pourrait comprendre que les services d’hébergements gratuits, pour compenser les coûts liés à la gratuité du service, peuvent s’adonner à des pratiques douteuses telles que des injections de code dans les pages Web, la collecte de statistiques ou bien d’autres pour un profit quelconque.

    Cependant, que des services d’hébergements payants se retrouvent dans ce lot semble susciter beaucoup de questions. Dans un article de blog, Igor Kromin, consultant et développeur de solution informatique, nous parle du cas de l’américain GoDaddy. Dans son article du 12 janvier, Kromin explique qu’en essayant de résoudre un problème provenant d’un site Web dont il a la charge, il est tombé sur un script JavaScript de tiers totalement inconnu. Il estime que même si les erreurs sur son site Web ne provenaient pas de ce script, ce dernier n’avait pas lieu d’être.

    « J'ai récemment commencé à avoir des problèmes avec l'interface d'administration d'un site Web que je dirige et j'ai décidé de vérifier la console du navigateur pour voir si des erreurs y étaient affichées. Il y avait une erreur indiquant qu'un fichier de carte JavaScript chargé (et défaillant) était inconnu et que je ne reconnaissais pas. Cela signifiait que le fichier JavaScript lui-même était déjà chargé via mon site Web. Cela a déclenché toutes sortes d’alarmes et j’ai commencé à creuser davantage », a-t-il écrit. Il a constaté après l’analyse du fichier et des commentaires qui s’y trouvaient qu’il provenait de l’hébergeur GoDaddy. Pourquoi un hébergeur injecterait-il un script JavaScript dans mon site Web et cela sans mon consentement ?, s’est-il demandé. Le fichier de script se présentait comme suit :

    Nom : GoDaddy-JavaScript-RUM.png
Affichages : 3540
Taille : 28,1 Ko

    Lorsqu’il s’est référé à son fournisseur de service, GoDaddy lui indiquait qu’il s’agit d’une manière de collecter des métriques pour apporter des améliorations aux performances du site Web. Ce script est un script RUM (Real User Metrics). GoDaddy explique sur son site Web qu’un script RUM est un extrait de code Javascript qui leur permet de mesurer et de suivre les performances d’un site Web quelconque et de collecter des informations telles que le temps de connexion et le temps de chargement de la page. A cela, un utilisateur pose la question de savoir « pourquoi ne pas demander au préalable l’avis du propriétaire du site Web avant de réaliser une telle injection ? N’auriez-vous pas une autre idée derrière ce silence ? »

    Il y a deux mois de cela, les utilisateurs du site communautaire Reddit prévenaient la communauté par rapport à un tel agissement de GoDaddy. Certains d’entre eux voyaient cette inscription, qui se fait sans le consentement de l’administrateur du site Web comme une mauvaise chose et que cela ne devrait pas être légal. Ils jugeaient cela de mauvaise pratique commerciale. Ils préconisent d'éviter tout fournisseur de service qui fait cela et de choisir ceux qui sont opt-in (démarche emblématique de permission en marketing sur Internet. L'opt-in consiste à solliciter l'autorisation préalable de l'internaute pour pouvoir lui adresser un message électronique ou tout simplement collecter des informations à son sujet telles que ses historiques de navigation sur un site, la nature de ses achats en ligne, son profil, son mode de paiement. Par opposition, l'opt-out ou opting out consiste à faire fi de cette autorisation préalable).

    D’autres disent que GoDaddy oublierait parfois les restrictions sur la vie privée. Ils témoignent qu’après votre inscription chez l’hébergeur, vous rencontrez un afflux de spam dans votre boîte de réception et recommandent d’autres hébergeurs comme Krystal ou Heart Internet. « Nous ne collectons aucune information d'utilisateur avec RUM. Les données que nous collectons nous permettent d’améliorer nos systèmes, la résolution DNS, le routage réseau et la configuration des serveurs », assure GoDaddy à ses clients. Néanmoins l’hébergeur reconnaît que l’utilisation de ce JavaScript de tiers peut être à la base de certains problèmes du point de vue performance d’un site Web.

    La présence de script au sein de votre hébergement peut entraîner la lenteur de votre site Web, le rendre défectueux ou inutilisable, reconnaît le fournisseur de services. L’autre information donnée par GoDaddy est que si vous êtes un client aux États-Unis ou si votre site Web est hébergé dans un centre de données américain, vous êtes automatiquement inscrit à ce service et toutes les pages de votre site Web ont ce code JavaScript injecté. Mais pourquoi procéder à une telle chose si les retombés risquent d’être très sévères pour les site Web des clients ?, s’insurge un autre internaute.
    Cependant, il existe quand même une procédure pour désactiver l’utilisation des scripts RUM par GoDaddy dont en voici les étapes :

    1. Accédez à votre compte d'hébergement cPanel en accédant à myh.godaddy.com, en vous connectant et en cliquant sur le compte d'hébergement pour lequel vous souhaitez désactiver RUM ;
    2. Cliquez sur le bouton indiquant trois points de suspension (...) puis sur “Aidez-nous” ;
      Nom : cPanel-optoutofRUM-01.gif
Affichages : 3644
Taille : 145,6 Ko
    3. Cliquez sur Désinscription.


    Une fois que vous réalisez ses trois actions, le script RUM disparaît de tous vos fichiers et pages Web. Outre cela, vous pouvez le réactiver à nouveau dans un délais de 24h après cette désactivation.

    Sources : Billet de blog, GoDaddy

    Et vous ?

    Que pensez-vous de ces pratiques d'injection sournoise ?
    Connaissez-vous d'autres hébergeurs qui font de même ?

    Voir aussi

    Le langage JavaScript est-il responsable de la lenteur des sites Web de nos jours ? Oui, selon un expert

    Les meilleurs cours et tutoriels pour apprendre le JavaScript

    Emploi développeur 2017 : les langages les plus demandés et les mieux payés Java, JavaScript et PHP plus demandés, mais Perl, Go et Scala mieux payés
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre du Club Avatar de luigifab
    Profil pro
    Inscrit en
    mars 2010
    Messages
    62
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mars 2010
    Messages : 62
    Points : 66
    Points
    66

    Par défaut

    C'est plutôt le moment de changer d'hébergeur.

  3. #3
    Membre confirmé
    Homme Profil pro
    Consultant en technologies
    Inscrit en
    juin 2013
    Messages
    193
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Consultant en technologies
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : juin 2013
    Messages : 193
    Points : 613
    Points
    613

    Par défaut

    Citation Envoyé par luigifab Voir le message
    C'est plutôt le moment de changer d'hébergeur.
    Gros +1, ou alors avoir une technique permettant d'automatiser la suppression de resources injectées de manière externe (la directive CSP par exemple) avec un exemple bien sympa pour montrer comment on peut éviter du pistage ou du XSS aurait pu être plus intéressant que montrer comment faire 3 clics dans le BO d'un hébergeur bien douteux

  4. #4
    Nouveau Candidat au Club
    Homme Profil pro
    Développeur informatique
    Inscrit en
    octobre 2018
    Messages
    131
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 19
    Localisation : France, Yvelines (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : octobre 2018
    Messages : 131
    Points : 0
    Points
    0

    Par défaut

    A partir du moment où c'est godaddy qui fait l'install et la maintenance du serveur web, goDaddy peut mettre des outils techniques pour cela ...

  5. #5
    Modérateur
    Avatar de grunk
    Homme Profil pro
    Architecte Web / Android
    Inscrit en
    août 2003
    Messages
    5 456
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : France, Côte d'Or (Bourgogne)

    Informations professionnelles :
    Activité : Architecte Web / Android
    Secteur : Industrie

    Informations forums :
    Inscription : août 2003
    Messages : 5 456
    Points : 14 601
    Points
    14 601

    Par défaut

    Citation Envoyé par Cassoulatine Voir le message
    A partir du moment où c'est godaddy qui fait l'install et la maintenance du serveur web, goDaddy peut mettre des outils techniques pour cela ...
    Mouais on parle pas ici d'un outil de stats qui viendrait parser les logs du serveur mais belle et bien d'un injection de code et donc potentiellement une altération du fonctionnent initial.
    Ça commence par relever des metrics et puis ça s’arrête où ? Si demain il se mettent à récupérer des infos personnelles , qui est responsable ?
    Pry Framework php5 | N'oubliez pas de consulter les FAQ Java et les cours et tutoriels Java

  6. #6
    Membre actif
    Homme Profil pro
    Étudiant
    Inscrit en
    janvier 2019
    Messages
    98
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Gabon

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2019
    Messages : 98
    Points : 287
    Points
    287

    Par défaut

    Il a le droit de faire ça ?

  7. #7
    Membre régulier
    Profil pro
    developpeur
    Inscrit en
    septembre 2010
    Messages
    175
    Détails du profil
    Informations personnelles :
    Localisation : Canada

    Informations professionnelles :
    Activité : developpeur

    Informations forums :
    Inscription : septembre 2010
    Messages : 175
    Points : 120
    Points
    120

    Par défaut Go Daddy pas cool

    Comment peux t on désactiver d'autres scripts que les siens sur une page web ?

Discussions similaires

  1. JustGage.js : des jauges dans votre site web
    Par FirePrawn dans le forum Général JavaScript
    Réponses: 0
    Dernier message: 03/09/2012, 09h58
  2. Réponses: 6
    Dernier message: 16/07/2010, 14h36
  3. comment cree une base donnée dans un site web ?
    Par cameleon2006 dans le forum Bases de données
    Réponses: 2
    Dernier message: 31/03/2007, 23h36
  4. Retrouver structure du code PHP d'un site web
    Par picomz dans le forum Outils
    Réponses: 4
    Dernier message: 28/02/2007, 19h03
  5. Placement du code ASP dans la page WEB
    Par sam.fet dans le forum ASP
    Réponses: 2
    Dernier message: 11/08/2006, 17h12

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo