Connexion
Abonnez-vous

Quand SFR « hotlink » un script et se fait prendre la main dans le sac

Touché, coulé

Quand SFR « hotlink » un script et se fait prendre la main dans le sac

Le 25 septembre 2013 à 13h30

Hier après-midi, il se passait de drôles de choses sur le site de la régie publicitaire de SFR. En effet, un bandeau noir avec un liseré jaune fluo indiquait un message pour le moins surprenant : « S'il vous plait, arrêtez de linker directement mon script - utilisez un vrai CDN à la place. Merci beaucoup ». Quelques explications s'imposent.

SFR script

 

Le plugin jQuery Easing est disponible sous licence BSD (Berkeley Software Distribution), ce qui signifie qu'il peut être librement utilisé et modifié sans restrictions, y compris dans des solutions propriétaires. C'est par exemple ce que fait SFR sur le site de sa régie, ce qui ne pose aucun de souci... sauf lorsqu'il n'est pas hébergé directement par la marque au carré rouge. En effet, celle-ci utilisait le fichier directement depuis le site de son créateur comme le montre la capture du code source ci-dessous :

 

 SFR Régie site script hotlinking 

 

En effet, dans ce genre de cas cela consomme des ressources pour le site distant et cela peut même poser quelques soucis de sécurité. En effet, il suffit que le fichier soit modifié à la source pour que le résultat ne soit plus du tout le même, c'est l'expérience que vient de faire la régie de SFR. Son site a en effet affiché un message plutôt clair sur le sujet (voir la capture ci-dessus).

 

Suite à un tweet diffusé dans la journée d'hier, tout est rentré dans l'ordre, la société ayant rapidement réagi et corrigé le tir puisque la source du script est désormais la suivante :