privacy

Lorsque vous visitez une page web, le navigateur envoie des informations au serveur. C'est tout à fait normal. Mais parmi ces informations se trouve le « referer ». Il contient l'adresse de la page visitée juste avant.
Cette donnée est utilisée par les sites web pour voir d'où proviennent les visiteurs et possède quelques autres applications pratiques.

Mais depuis que les plugins Google (Adsense, analytics…) et autres boutons Facebook (j'aime, partager, etc.) sont un peu partout, il leur est possible de déterminer pratiquement l'ensemble des sites que vous visitez, même si le site ne possède pas de plugin externe (comme c'est le cas ici au passage) : il suffit qu'au fil de votre surf, un site sur deux contienne un script externe (sachant que 80% des sites ont des morceaux de Google dedans, miam).

Certains navigateurs permettent de désactiver l'envoi du referer au site que vous visitez :
  • Pour Opera : Ctrl F12 > onglet « Avancé » > ligne « réseau » > décochez la case « Informer de quel site vous venez ».
  • Pour Firefox : Dans la barre d'adresse, tapez « about:config », puis recherchez la clé « network.http.sendRefererHeader ». Si elle n'existe pas, créez-la (type : integer). Donnez-lui la valeur « 0 » (zéro).

(je n'ai rien trouvé pour IE, Safari et Chromium)

Voilà. Ce n'est pas grand-chose, mais c'est juste un petit plus pour conserver un peu sa vie privée. Ce n'est pas suffisant comme moyen mais à mon avis ça fait partie de toute la panoplie de hacks et autres trucs à faire pour rester libre (Adblock, Ghostery, bloquer les cookies externes, …).
Et tant pis pour les sites qui utilisent justement le referer pour leurs stats : ranafoutre.

Notez juste que certains sites peuvent ne pas fonctionner : par exemple quelques sites de téléchargement : ils utilisent le referer et le comparent à leur propre nom de site, évitant ainsi qu'on puisse faire des liens directs. Mais c'est quand même rare.

image de Opensourceway

11 commentaires

gravatar
sebsauvage a dit :

Il fut une époque où je masquais systématiquement le http_referer (ah le bon vieux Proxomitron), mais je n'estime plus ça utile maintenant. Je trouve que ça ne donne pas vraiment d'informations compromettantes.
Je suis content de "dire" à un webmaster comment j'ai trouvé sa page (qui l'a cité, que ce soit un site ou un moteur de recherche).

Les seuls cas où je continue à masquer:

- quand la page source doit rester privée (discussion privée, webmail...) (Je ne clic jamais un lien dans un webmail.)
- quand la page source est mon lecteur de flux RSS sur le web (RSSLounge) (je ne souhaite pas rendre l'URL de mon lecteur RSS publique: j'utilise la redirection http://anonym.to/ qui le masque).

Pour le reste, bof... je ne vois pas trop quelles infos ils vont récupérer.

gravatar
Guenhwyvar a dit :

Connaître la recherche qu'a tapée un type avant d'arriver sur ton site, ça peut être pratique, quand même (et aussi marrant, des fois ^^)…

gravatar
Grumph a dit :

Sous Firefox, il y a la très bonne extension RefControl qui permet de leurrer le site : si je vais sur www.siteweb.com/une-adresse, Firefox enverra le referer www.siteweb.com .
Le plugin a aussi une gestion de liste d'exceptions, qui permet d'envoyer le bon referer pour certains sites comme sourceforge par exemple, qui m'a posé quelques soucis lors du téléchargement d'un fichier avec le referer caché.

gravatar
julien a dit :

@Grumph :

Des fois quand je regarde dans mes statistiques de awstats, je remarque qu'il y a des sites qui sont indiqués comme une source de mes visiteurs.

Portant en regardant, ces sites n'ont pas de liens vers le mien.

Je me demande si ça un rapport avec ce genre d'extension

gravatar
Le Hollandais Volant a dit :

@sebsauvage : oui : depuis mon Panel admin (celui de blogotext), je veux pas qu'on trouve le dossier :D.

Mais sinon : s'il y a un scripte externe (au hasard : Google, FB…) dans une page d'un site A. Et que le referer indique qu'on vient d'un site B. Google ou FB savent-il le referer contenant le site B ? En fait, c'est surtout pour cela que je le bloque maintenant… J'ai vu que les cookies de FB étaient trop déjà intrusifs…

Mais on peut pas régler ça pour chaque site différemment (par défaut dans Opera).

gravatar
Rolinh a dit :

Je suis relativement d'accord avec SebSauvage: c'est intéressant en tant que webmaster de savoir comment les visiteurs sont tombés sur son site. Dommage et inutile donc selon moi de bloquer le http referer.

Quand à l'idée de cacher certaines informations (comme l'adresse du panel d'admin de blogotext ou du lecteur de flux RSS de SebSauvage), je trouve que cela s'apparente assez à la notion de la sécurité par l'obscurité et bon... oui, ça peut être un léger plus mais je ne pense pas que cela vaille la peine de se compliquer la vie pour ça.

En revanche, je suis bien d'accord par rapport à l'histoire de la pollution du web par les "boutons sociaux" (twitter, facebook, google+ et j'en passe). Pour moi, c'est bien simple: je les bloque tous.

Quand à Google Analytics, je compte bien m'en débarrasser au profit de Piwik mais celui-ci ne me remonte pas d'informations pour le moment (il faut que j'investigue un peu afin de découvrir là où ça cloche).

gravatar
Le Hollandais Volant a dit :


Quand à l'idée de cacher certaines informations (comme l'adresse du panel d'admin de blogotext ou du lecteur de flux RSS de SebSauvage), je trouve que cela s'apparente assez à la notion de la sécurité par l'obscurité et bon... oui, ça peut être un léger plus mais je ne pense pas que cela vaille la peine de se compliquer la vie pour ça.


Je te rassures, mon panel n'est pas juste protégé par ça :D.

gravatar
Guenhwyvar a dit :

D'ailleurs, en parlant d'Analytics et Piwik, y'a un service de statistiques du même genre mais en beaucoup plus simple ? Parce que là, l'analyse des objectifs, le détail des revenus générés, une gestion des utilisateurs pour administrer plusieurs sites, tout ça, c'est sûrement très bien pour les gros trucs, mais j'en ai pas besoin, perso…
(Et même si j'ai codé entièrement mon site tout seul de A à Z (avec gedit :D), là, pour le coup, je me sens pas de le faire moi-même… ^^')

gravatar
Baronsed a dit :

Rolinh : non, l'obscurantisme, c'est quand par exemple une entreprise te vend un système qu'on t'empêche de comprendre ou modifier "pour des raisons de sécurité".
Les systèmes doivent être libres, mais lors de l'utilisation quotidienne, plus on peut réduire la marge de manoeuvre de l'attaquant, mieux c'est.
C'est comme la config du pare-feu (iptables -L), tu ne peux la voir qu'en root.

gravatar
Popochapo a dit :

Ce procédé permet-il d'échapper au "pistage" des sites de téléchargement ?

Les commentaires sont fermés pour cet article