Internet

Le serveur Apache ignore le paramètre de confidentialité d’IE 10

Internet Explorer 10 apporte plusieurs nouvelles fonctionnalités et l’une d’entre elles est Do Not Track, un en-tête HTTP qui détermine si l’utilisateur souhaite partager des informations à des fins de suivi. Lorsque cette fonction est activée, il est théoriquement interdit aux entreprises de recueillir des données sur les habitudes de navigation de l’utilisateur. Mais cette fonctionnalité peut ne pas fonctionner pour les utilisateurs de navigateurs Microsoft : le serveur web Apache contourne la configuration.

Un correctif publié par Roy Fielding, co-fondateur d’Apache, ajoute un code qui détecte si l’utilisateur navigue avec Internet Explorer 10 et désactive l’en-tête “Not Track”, permettant aux sites qui utilisent le serveur web open source de continuer à collecter des données. La modification est déjà présente dans Apache 2.4.3, la dernière version stable du principal serveur web, avec une part de marché de 54,98%, selon Netcraft.

Tout ce problème s’est produit parce que Microsoft a décidé d’activer par défaut la fonction “Ne pas suivre” dans Internet Explorer 10, ce qui n’est pas autorisé par le W3C, l’organisation qui travaille sur la normalisation des en-têtes. Les spécifications de Do Not Track sont très claires lorsqu’elles disent que la configuration doit être désactivée par défaut et doit nécessairement refléter le choix de l’utilisateur, et non celui d’une institution, d’un vendeur ou d’une limitation imposée par le réseau.

  Vidéo : le retour de Merton, le pianiste de la Chatroulette

Les six lignes de code qui ignorent les “Do Not Track” d’IE 10 sont disponibles dans httpd.conf, le fichier de configuration principal d’Apache. Tout administrateur de serveur peut désactiver le comportement par défaut d’Apache en supprimant simplement les instructions après un en-tête qui dit “Traite avec les agents utilisateurs qui violent délibérément les standards ouverts” (ouch !).

Ars Technica nous rappelle que cette décision peut avoir des motivations financières. Le serveur Apache est utilisé par de nombreux sites (dont celui-ci PerlmOl) et il est évident que beaucoup d’entre eux veulent continuer à en tirer profit en diffusant des publicités ciblées sur les habitudes de navigation de l’utilisateur, qui apportent plus de rendement. On sait également que Roy Fielding est un employé d’Adobe — considérez que Flash est largement utilisé dans les bannières publicitaires et reliez les points.

Il convient de rappeler que la décision d’Apache ne résout pas du tout le problème de la conduite de Microsoft. En fait, cela ne crée qu’un inconvénient supplémentaire : les utilisateurs qui ne veulent vraiment pas être “traqués” par les entreprises perdront ce droit. Et Microsoft a déjà dit qu’il ne reviendrait pas en arrière.

  Le muambulateur est bloqué par la Poste mis à jour

A propos de l'auteur

Ronan

Le Breton de l'équipe ! Développeur back-end dans une startup française. Internet des objets, domotiques, mes sujets de prédilection sont vastes. #teamLinux sur PerlmOl

Laisser un commentaire