Quand SFR « hotlink » un script et se fait prendre la main dans le sac
Touché, coulé
Hier après-midi, il se passait de drôles de choses sur le site de la régie publicitaire de SFR. En effet, un bandeau noir avec un liseré jaune fluo indiquait un message pour le moins surprenant : « S'il vous plait, arrêtez de linker directement mon script - utilisez un vrai CDN à la place. Merci beaucoup ». Quelques explications s'imposent.
Le plugin jQuery Easing est disponible sous licence BSD (Berkeley Software Distribution), ce qui signifie qu'il peut être librement utilisé et modifié sans restrictions, y compris dans des solutions propriétaires. C'est par exemple ce que fait SFR sur le site de sa régie, ce qui ne pose aucun de souci... sauf lorsqu'il n'est pas hébergé directement par la marque au carré rouge. En effet, celle-ci utilisait le fichier directement depuis le site de son créateur comme le montre la capture du code source ci-dessous :
En effet, dans ce genre de cas cela consomme des ressources pour le site distant et cela peut même poser quelques soucis de sécurité. En effet, il suffit que le fichier soit modifié à la source pour que le résultat ne soit plus du tout le même, c'est l'expérience que vient de faire la régie de SFR. Son site a en effet affiché un message plutôt clair sur le sujet (voir la capture ci-dessus).
Suite à un tweet diffusé dans la journée d'hier, tout est rentré dans l'ordre, la société ayant rapidement réagi et corrigé le tir puisque la source du script est désormais la suivante :
<script src="js/jquery.easing.1.3.js">
Commentaires (28)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 25/09/2013 à 13h32
Ces stagiaires…
Le 25/09/2013 à 13h42
ah ah
" />
Le 25/09/2013 à 13h48
Le 25/09/2013 à 13h51
Le 25/09/2013 à 13h56
http://www.lecomedyclub.com/
" />
Le 25/09/2013 à 14h01
/mode_feignant
Le 25/09/2013 à 14h01
Quelqu’un a dit “revue de code”
" />
Le 25/09/2013 à 14h20
Le 25/09/2013 à 14h29
Plutôt éducatif le message, à sa place j’aurais été d’avantage potache…
" />
Le 25/09/2013 à 14h30
da SFR code !
" />
Le 25/09/2013 à 14h33
Ah, un poste vient tout juste de se libérer chez SeuFeuReu, kinenveu ?
" />
Le 25/09/2013 à 14h44
Le 25/09/2013 à 15h15
Encore une exploitation d’un Script Foutrement Reussie !
Le 25/09/2013 à 15h16
ou d’un Stagiaire Fraichement Recruté
" />
Le 25/09/2013 à 15h24
Le 25/09/2013 à 15h36
Le plus aberrant (mais si peu appliqué) c’est que ce script ne soit pas concaténé avec le JS global minifié que l’on devrait trouver en bas du document chargé en asynchrone
Le 25/09/2013 à 17h39
Le problème semblait déjà exister en avril 2013
http://www.prestashop.com/forums/topic/242738-popup-malvaillante/
Cela dit, tout à fait d’accord avec Cisco pour le coup… c’est si simple d’automatiser cela en plus et pour un site comme SFR, le gain en bande passante ne doit pas être négligeable. Bon en même temps, leur boulot c’est de vendre de la bande passante, ça explique peut-être…
Le 25/09/2013 à 19h03
Et pcImpact qui fait la même chose en tapant directement sur un fichier d’un projet perso hébergé sur google code "http://ie7-js.googlecode.com/svn/version/2.1(beta4)/IE9.js”
Certes, la situation n’est pas exactement la même : ce ne sont pas les visiteurs de pcImpat qui vont écrouler les serveurs de google code, mais c’est surtout sur le plan sécurité (modification du repo par l’auteur du projet) que ça craind pour pcImpact et ses utilisateurs
Le 25/09/2013 à 21h19
Le 25/09/2013 à 22h00
Le 25/09/2013 à 22h09
SFR au carré rouge devrait s’appeler la marque au carré…bleu.
" />
" />
Le 25/09/2013 à 22h30
Le 26/09/2013 à 07h09
“en effet”
" />
Le 26/09/2013 à 13h31
Le 26/09/2013 à 13h33
Le 26/09/2013 à 19h29
Le 27/09/2013 à 08h12
Le 01/10/2013 à 12h55