Connexion
Abonnez-vous

SFR modifie les pages HTML, pour le bien du client selon l’opérateur mobile

Mais cela appartiendra bientôt au passé

SFR modifie les pages HTML, pour le bien du client selon l'opérateur mobile

Le 18 mars 2013 à 17h00

Vendredi dernier, notre confrère Reflets est revenu sur un sujet assez ancien : la modification des pages par l'opérateur. Officiellement, cela permet d'accélérer l'affichage par le client mobile. Une modification positive pour l'abonné donc, mais qui soulève de nombreuses questions, notamment de confiance et de neutralité du net.

Reflets SFR modifications HTML

« Cette technique existe et fonctionne depuis longtemps »

Lorsqu'un abonné mobile de SFR se rend sur une page internet, l'opérateur réalise donc des modifications sur la source HTML afin d'en accélérer son affichage. Une façon de procéder en réalité ancienne et que ne renie pas SFR, contacté par Clubic : « Cette technique existe et fonctionne depuis longtemps. L'optimiseur permet d'afficher plus rapidement les images. Par contre, nous ne touchons pas aux transferts de fichiers, mais pour le client le recours à cette méthode peut lui être bénéfique, car cela lui permet de réduire sa consommation en Data et d'afficher les pages et les photos plus rapidement. »


En plein débat sur la neutralité du net, la méthode que certains pensaient révolue peut étonner. En effet, comme l'explique très bien ZDNetles modifications sur les pages HTML des sites visités étaient monnaie courrante il y a 10 - 15 ans, ceci alors que les réseaux mobiles étaient extrêmement lents. Mais à l'heure de la 3G+, du Dual Carrier et du LTE, ces modifications censées optimiser les pages perdent de leur sens, même si l'explosion de la consommation des données sur les réseaux mobiles peut pousser les opérateurs à réduire ladite consommation et donc leur facture.

Des modifications HTML qui disparaitront avec la 4G ?

Contacté par nos soins, Nicolas Chatin, directeur de l'information chez SFR, nous a aussi confirmé réaliser ces modifications, tout en précisant bien qu'il n'y avait aucun filtrage, qu'aucun fichier n'était trié, regardé, etc. Et l'optimisation n'est pas systématique.


L'opérateur au carré rouge nous a bien concédé qu'à l'heure du très haut débit mobile, ces optimisations maison ont beaucoup moins d'intérêt. Pour autant, pour les personnes surfant encore en 2G, l'intérêt est très important nous a-t-on confiés. Et même sur 3G, le gain n'est pas négligeable nous assure-t-on. Toutefois, avec les hauts et très hauts débits de type Dual Carrier et LTE (4G), ces modifications de pages devraient fortement se réduire voire disparaître nous assure Nicolas Chatin.

Pour SFR, d'ailleurs, il ne s'agit pas là d'une violation de la neutralité du net. Tout est en effet question de sa définition. Est-ce qu'optimiser une page pour un affichage plus rapide brise cette neutralité ? Au sens strict, certainement. Ce qui implique que tous les opérateurs au monde violent la neutralité du net, dès lors qu'ils imposent une simple modification (filtrer les spams, etc.). Derrière ce sujet se cache donc surtout la question de sa définition, mais aussi de la confiance que l'on accorde à son opérateur. Vaste débat.

Le 18 mars 2013 à 17h00

Commentaires (60)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

le probléme c’est que ça peut potentiellement apporté un lot de faille de sécurité sur certain site

votre avatar







Laskov a écrit :



le probléme c’est que ça peut potentiellement apporté un lot de faille de sécurité sur certain site





Comment ça?


votre avatar



ces modifications censées optimiser les pages perdent de leur sens, même si l’explosion de la consommation des données sur les réseaux mobiles peut pousser les opérateurs à réduire ladite consommation et donc leur facture.



et mieux faire payer les gros consommateurs par la suite ?

(segmentation des offres toussa…)



Au sens strict, certainement. Ce qui implique que tous les opérateurs au monde violent la neutralité du net, dès lors qu’ils imposent une simple modification (filtrer les spams, etc.)



Je m’étonne d’ailleurs que bluetouff n’aie pas cherché à tester les autres opérateurs.

votre avatar

SFR, groupe Universal…



Next !

votre avatar







FrenchPig a écrit :



Je m’étonne d’ailleurs que bluetouff n’aie pas cherché à tester les autres opérateurs.





C’est en cours. D’après son twitter, il planche sur une injection de code javascript dans les pages lues via le réseau mobile de bouygues telecom.


votre avatar

les opérateurs ont-ils les mêmes pratiques sur les lignes fixes?

si c’est effectivement pour le bien du client, j’imagine qu’ils opèrent les mêmes modifications pour les zones peu denses où le débit est réduit?

J’imagine qu’ils opéraient aussi les mêmes modifications quand on en était encore au 56K?



d’autre part, l’intérêt pour SFR n’est-il pas de pousser ses clients qui surfent en 2G (une énorme envie d’éclater de rire me prend soudainement) à passer au minimum à la 3G?

non?



ah mais non, tout ça est dans l’intérêt du client.

comme le mec surfe en 2G, SFR l’aide à continuer à surfer en 2G en modifiant la compression des images.



c’est vrai qu’SFR a tout intérêt à garder des gens qui surfent en 2G: ça rapporte moins et ça fait plus de monde sur la bande des 1800MHz, histoire de pas l’utiliser pour la 4G.



tout ça est parfaitement logique. <img data-src=" />

votre avatar







Khalev a écrit :



Comment ça?







Réfléchis. La réponse te viendra d’elle-même.


votre avatar







hellmut a écrit :



d’autre part, l’intérêt pour SFR n’est-il pas de pousser ses clients qui surfent en 2G (une énorme envie d’éclater de rire me prend soudainement) à passer au minimum à la 3G?

non?



ah mais non, tout ça est dans l’intérêt du client.

comme le mec surfe en 2G, SFR l’aide à continuer à surfer en 2G en modifiant la compression des images.



c’est vrai qu’SFR a tout intérêt à garder des gens qui surfent en 2G: ça rapporte moins et ça fait plus de monde sur la bande des 1800MHz, histoire de pas l’utiliser pour la 4G.



tout ça est parfaitement logique. <img data-src=" />





Il peut très bien ne l’appliquer que pour les gens en 3G.


votre avatar







hellmut a écrit :



les opérateurs ont-ils les mêmes pratiques sur les lignes fixes?





À priori non, mais sur le portail SFR, il y a du javascript assez bizarre.

Je recommande la lecture de la ligne 198.


votre avatar







atem18 a écrit :



Réfléchis. La réponse te viendra d’elle-même.





J’y ai réfléchi et je ne vois toujours pas.



En fait je ne vois pas comment ça pourrait mettre en péril la sécurité d’un site.



Par contre je vois très bien comment ça peut mettre en péril la sécurité côté client, mais seulement vis-à-vis de SFR et pour tous les sites.



Tu parles dans quel cas toi?


votre avatar

Quand j’entends SFR, j’entends Vivendi universal, j’entends DADVSI, HADOPI, ACTA, etc…



Et je fuis.

votre avatar







Khalev a écrit :



J’y ai réfléchi et je ne vois toujours pas.



En fait je ne vois pas comment ça pourrait mettre en péril la sécurité d’un site.



Par contre je vois très bien comment ça peut mettre en péril la sécurité côté client, mais seulement vis-à-vis de SFR et pour tous les sites.



Tu parles dans quel cas toi?







Je parles niveau client. Côté serveur, profiter des failles est bien moins drôles. Donc, pars du principe que tu altères le contenu d’une page. Tu ne crois pas que cela peut introduire des failles du genre XSS ?


votre avatar







Khalev a écrit :



Il peut très bien ne l’appliquer que pour les gens en 3G.





que pour la 2G/3G simple à la limite je comprendrais, mais il m’étonnerait fort que Bluetouff soit pas à minima en H+: il a justement des problèmes de ligne fixe et bosse via son mobile.

donc SFR applique le même raisonnement sur des connections qui montent théoriquement à 42Mb/s, soit deux fois le débit d’une très bonne ligne ADSL, mais pas sur l’ADSL…

quand bien même, visiblement aucune ligne ne précise nulle part dans le contrat qu’SFR se réserve le droit de modifier le contenu qui passe sur son réseau.



ce cas de figure est d’ailleurs très intéressant dans le débat suite au rapport du CNNum sur une certaine neutralité, rapport qui préconise une certaine transparence dans les éventuelles violation de la neutralité du net:

“la neutralité (…) des services d’accès et de communication ouverts au public par voie électronique garantit l’accès à l’information et aux moyens d’expression à des conditions non-discriminatoires, équitables et transparentes.”

en effet ce genre de conditions ne garantit pas que le contenant ne modifie pas le contenu. On garantit juste que tout le monde accède au même contenu, pas que ce contenu n’est pas modifié/censuré/caviardé.

j’imagine qu’en Chine, les internautes ont tous accès aussi au même contenu…


votre avatar

Moi ce que je vois, c’est que cela fait plus d’un mois que les possesseurs d’un forfait SFR, RED ou JOE galère comme des ânes avec leurs connexion 3G



http://forum.sfr.fr/t5/Le-R%C3%A9seau-SFR-Mobile-et-SFR-WiFi/Le-3G-3G-DC-ou-quoi…



ou



https://communaute.joemobile.fr/t5/L-atelier-mobiles/Micro-coupure-internet/td-p…


votre avatar







Inny a écrit :



À priori non, mais sur le portail SFR, il y a du javascript assez bizarre.

Je recommande la lecture de la ligne 198.





Le “reference code” écrit en dur. Ca sent la vieille div pour faire peur avec rien derrière. T’aurais le code Js qui s’occupe de l’afficher ? (A moins qu’il soit côté serveur, mais dans ce cas pourquoi mettre un display none plutôt que de ne simplement pas l’envoyer…)


votre avatar

Question bête : avec quel apn les tests sont effectués ? sl2sfr? wapsfr? websfr? internetneuf? Car ils ont un comportement différent. De mémoire sl2sfr ne modifiait pas les requêtes (clef 3g entreprise sans vpn) contrairement à web2sfr.

votre avatar







Isamu a écrit :



Moi ce que je vois, c’est que cela fait plus d’un mois que les possesseurs d’un forfait SFR, RED ou JOE galère comme des ânes avec leurs connexion 3G



http://forum.sfr.fr/t5/Le-R%C3%A9seau-SFR-Mobile-et-SFR-WiFi/Le-3G-3G-DC-ou-quoi…



ou



https://communaute.joemobile.fr/t5/L-atelier-mobiles/Micro-coupure-internet/td-p…





Je suis chez SFR et je confirme qu’il y a de nombreux packetloss. La perte de paquet n’était pourtant pas si présente auparavant, j’ai remarqué ce soucis depuis quelques mois (3 peut-être ?)…


votre avatar

C’est franchement pas nouveaux , ça fait des années que c’est le cas chez SFR , sans parler d’orange qui en son temps détournait les requêtes infructueuses (404 and co) pour afficher ses propres liens commerciaux…

votre avatar







Techdust a écrit :



C’est franchement pas nouveaux , ça fait des années que c’est le cas chez SFR , sans parler d’orange qui en son temps détournait les requêtes infructueuses (404 and co) pour afficher ses propres liens commerciaux…







Oui mais là c’est plus de l’optimisation. Si les méthodes employées visent (je ne sais pas comment) à accélérer le rendu des pages sans en modifier le contenu pourquoi pas, du moment qu’il n’y a pas d’effets de bords, ralentissements ou autre.<img data-src=" />


votre avatar







atem18 a écrit :



Je parles niveau client. Côté serveur, profiter des failles est bien moins drôles. Donc, pars du principe que tu altères le contenu d’une page. Tu ne crois pas que cela peut introduire des failles du genre XSS ?





Oui c’est possible. Mais pour le XSS, c’est pas avec le type de modification que fait SFR que ça sera possible.



Pour les XSS il faut quand même intentionnellement enlever les protections mise en place. Là on est dans l’acte malveillant pur. Et j’aurais du mal à voir leur intérêt à permettre à des tiers de faire des exploits XSS.



S’il veulent récupérer des infos sur leur clients pas besoin de XSS puisqu’ils peuvent directement insérer leur JavaScript dans les pages.


votre avatar







hellmut a écrit :



les opérateurs ont-ils les mêmes pratiques sur les lignes fixes?

si c’est effectivement pour le bien du client, j’imagine qu’ils opèrent les mêmes modifications pour les zones peu denses où le débit est réduit?

J’imagine qu’ils opéraient aussi les mêmes modifications quand on en était encore au 56K?



d’autre part, l’intérêt pour SFR n’est-il pas de pousser ses clients qui surfent en 2G (une énorme envie d’éclater de rire me prend soudainement) à passer au minimum à la 3G?

non?



ah mais non, tout ça est dans l’intérêt du client.

comme le mec surfe en 2G, SFR l’aide à continuer à surfer en 2G en modifiant la compression des images.



c’est vrai qu’SFR a tout intérêt à garder des gens qui surfent en 2G: ça rapporte moins et ça fait plus de monde sur la bande des 1800MHz, histoire de pas l’utiliser pour la 4G.



tout ça est parfaitement logique. <img data-src=" />





<img data-src=" /> Pas tout compris à ton raisonnement.

Pourquoi ils auraient modifié les pages web 56k comme celles en 3G ? Il est où le rapport ?



A l’époque du 56k les pages étaient faites pour du 56k.

Aujourd’hui à l’époque du “WEB2.0” (<img data-src=" />) il est plus normal de traiter ces pages pour que l’affichage sur un mobile en EDGE par exemple ne soit pas désagréable et lent.



Opera Mobile contient aussi un système pour optimiser l’affichage des pages par exemple.


votre avatar







hellmut a écrit :



que pour la 2G/3G simple à la limite je comprendrais, mais il m’étonnerait fort que Bluetouff soit pas à minima en H+: il a justement des problèmes de ligne fixe et bosse via son mobile.

donc SFR applique le même raisonnement sur des connections qui montent théoriquement à 42Mb/s, soit deux fois le débit d’une très bonne ligne ADSL, mais pas sur l’ADSL…

quand bien même, visiblement aucune ligne ne précise nulle part dans le contrat qu’SFR se réserve le droit de modifier le contenu qui passe sur son réseau.





Ce que je voulais dire c’est qu’il pourrait très bien appliquer la compression pour les hauts-débit (3G, 3G+, H+, 4G,…), justement pour s’économiser de la BP (puisque c’est eux qui en bouffe un max, et laisser les bas débits avec la vraie info bien lourde histoire de les faire bien rager puisque de toute façon leur débit et tellement pourri que ça mets pas en danger son infrastructure.



Entre avoir un gars en 2G qui va mettre 12 minutes à télécharger une page et un gars en H+ pour qui ça prend entre 1 et 2 secondes de télécharger une page, c’est plus intéressant de limiter la taille de celui en H+ parce qu’il aura tendance à ouvrir beaucoup beaucoup plus de pages.





hellmut a écrit :



ce cas de figure est d’ailleurs très intéressant dans le débat suite au rapport du CNNum sur une certaine neutralité, rapport qui préconise une certaine transparence dans les éventuelles violation de la neutralité du net:

“la neutralité (…) des services d’accès et de communication ouverts au public par voie électronique garantit l’accès à l’information et aux moyens d’expression à des conditions non-discriminatoires, équitables et transparentes.”

en effet ce genre de conditions ne garantit pas que le contenant ne modifie pas le contenu. On garantit juste que tout le monde accède au même contenu, pas que ce contenu n’est pas modifié/censuré/caviardé.

j’imagine qu’en Chine, les internautes ont tous accès aussi au même contenu…





C’est chercher loin quand même.



Parce que ça veut dire qu’il suffit qu’un seul FAI au monde ne soit pas d’accord pour que tous les autres soient en infraction :Un simple accès via un VPN sur ce seul FAI suffit à accéder à la véritable info et donc à montrer que l’accès à l’information n’est pas garantie.



Voir même un accès direct en ssh au site.


votre avatar







hellmut a écrit :



donc SFR applique le même raisonnement sur des connections qui montent théoriquement à 42Mb/s, soit deux fois le débit d’une très bonne ligne ADSL, mais pas sur l’ADSL…



42Mb/s partagés, théoriques, et valables seulement avec un signal excellent contre 20 unitaires, et valables à partir du moment où tu synchronises à ce débit… t’aime comparer les choux et les carottes toi.


votre avatar

Free est le seul à ne pas modifier les pages, il ne transmet aucun contenu <img data-src=" />

votre avatar







Patch a écrit :



42Mb/s partagés, théoriques, et valables seulement avec un signal excellent contre 20 unitaires, et valables à partir du moment où tu synchronises à ce débit… t’aime comparer les choux et les carottes toi.





c’est bien pour ça que j’ai précisé “théorique”.

tout comme l’ADSL ou tu n’as jamais ou presque 20Mb/s.

à tester mais j’imagine qu’SFR ne compresse pas les images pour un mec à 3 bornes du DSLAM et qui synchro à 5 Mb/s.



d’autre part:



Toutefois, avec les hauts et très hauts débits de type Dual Carrier et LTE (4G), ces modifications de pages devraient fortement se réduire voire disparaître nous assure Nicolas Chatin.



c’est donc bien qu’un tel traitement ne se justifie pas sur une connection H+.


votre avatar







Khalev a écrit :



C’est chercher loin quand même.



Parce que ça veut dire qu’il suffit qu’un seul FAI au monde ne soit pas d’accord pour que tous les autres soient en infraction :Un simple accès via un VPN sur ce seul FAI suffit à accéder à la véritable info et donc à montrer que l’accès à l’information n’est pas garantie.



Voir même un accès direct en ssh au site.





des conditions non discriminatoires, équitables et transparentes, je les ai au boulot, ou personne n’a accès à youtube, ni à la plupart des blogs, quelle que soit son origine, son sexe, sa couleur de peau, sa classe sociale ou ses convictions politiques.


votre avatar

Qu’ils optimisent leurs matériels et débride leurs offres avant d’empietter sur les pages HTML de quiconque

votre avatar







Ler van keeg a écrit :



A l’époque du 56k les pages étaient faites pour du 56k.

Aujourd’hui à l’époque du “WEB2.0” (<img data-src=" />) il est plus normal de traiter ces pages pour que l’affichage sur un mobile en EDGE par exemple ne soit pas désagréable et lent.





sur une connection en Edge éventuellement, or SFR ne le précise nulle part.

pas sur une connection H+ ou LTE.





Opera Mobile contient aussi un système pour optimiser l’affichage des pages par exemple.



effectivement. sauf que c’est toi qui choisis d’utiliser Opera mini, en connaissance de cause.


votre avatar







manu0086 a écrit :



Free est le seul à ne pas modifier les pages, il ne transmet aucun contenu <img data-src=" />





Mékilékon !!! <img data-src=" />

Venant de toi c’est pas surprenant ce genre de blagues, mais elle est bonne j’avoue !

Allez : <img data-src=" />


votre avatar







Khalev a écrit :



Oui c’est possible. Mais pour le XSS, c’est pas avec le type de modification que fait SFR que ça sera possible.



Pour les XSS il faut quand même intentionnellement enlever les protections mise en place. Là on est dans l’acte malveillant pur. Et j’aurais du mal à voir leur intérêt à permettre à des tiers de faire des exploits XSS.



S’il veulent récupérer des infos sur leur clients pas besoin de XSS puisqu’ils peuvent directement insérer leur JavaScript dans les pages.







Nous sommes bien d’accord. Ceci étant, une erreur humaine est vite venue et une code à la base bienveillant, pourrait se transformer en code malveillant.


votre avatar

Bah le problème aussi c’est qu’en compressant le JS agressivement, ben la page pourrais tout simplement plus marcher du tout…

Avec la compression, des nouveaux problèmes peuvent survenir. (je parle du packing JS là)

C’est pour ça que c’est normalement géré coté webmaster ce genre de choses…. Si tout le monde commence a faire de la bidouille dans son coin comme sfr, on est pas sorti…

votre avatar







hellmut a écrit :



les opérateurs ont-ils les mêmes pratiques sur les lignes fixes?

si c’est effectivement pour le bien du client, j’imagine qu’ils opèrent les mêmes modifications pour les zones peu denses où le débit est réduit?

J’imagine qu’ils opéraient aussi les mêmes modifications quand on en était encore au 56K?



d’autre part, l’intérêt pour SFR n’est-il pas de pousser ses clients qui surfent en 2G (une énorme envie d’éclater de rire me prend soudainement) à passer au minimum à la 3G?

non?



ah mais non, tout ça est dans l’intérêt du client.

comme le mec surfe en 2G, SFR l’aide à continuer à surfer en 2G en modifiant la compression des images.



c’est vrai qu’SFR a tout intérêt à garder des gens qui surfent en 2G: ça rapporte moins et ça fait plus de monde sur la bande des 1800MHz, histoire de pas l’utiliser pour la 4G.



tout ça est parfaitement logique. <img data-src=" />







Non étant webmaster je peut te dire que mon site web sur mon internet fixe est identique coté code source a ce que j’ai écrit


votre avatar







Khalev a écrit :



J’y ai réfléchi et je ne vois toujours pas.



En fait je ne vois pas comment ça pourrait mettre en péril la sécurité d’un site.



Par contre je vois très bien comment ça peut mettre en péril la sécurité côté client, mais seulement vis-à-vis de SFR et pour tous les sites.



Tu parles dans quel cas toi?







Si leur code est pas suffisamment sécurisé ça peut allé jusqu’au bon vieux SQL injection code



Autant de te dire que les webmaster qui sécurise leur site web adore quand on leur salope le travail


votre avatar

Perso, je pense qu’il n’y a pas de vieux système pour profiter de l’optimisation sur le net. Tout procédé permettant de donner satisfaction à la majorité des internautes est bon à prendre et ne pensez pas qu’a votre nombril, beaucoup d’internautes n’ont pas la 3 G voir même le 512 ADSL.

Perso avec mes 2 mo ADSL et ma 3G+ qui la plupart du temps passe en EDGE, si un site est trop long à charger, je zap.

Un bon développeur Web doit toujours avoir le refflexe de l’optimisation. on est pas des bourrins de chez MS

votre avatar







jpriton a écrit :



….. Tout procédé permettant de donner satisfaction à la majorité des internautes est bon à prendre et ne pensez pas qu’a votre nombril,…..





La tyrannie du nombre, en quelque sorte.

Seulement, le diable se cache souvent dans le détail, que par définition le nombre ne voit pas.


votre avatar

De toute façon, l’optimisation du site DOIT être faite par le développeur, ça passe aussi bien par un format bien défini pour les images ainsi qu’une compression (JS et CSS entre autre) de ce qui est possible dans le code (Google a un style de HTML très particulier qui fait que les pages restent légères au niveau du HTML et puis niveau JS ça semble bien opti quand même). Et puis, le surchargement à cause de choses en Flash ou en JS très poussif ça aide pas à améliorer la vitesse d’affichage.



Vaut mieux qu’un site soit un peu plus long à s’afficher sans qu’il soit altéré qu’avec des altérations volontaires (question de principe), AMHA bien sur. Pour l’instant, l’information n’est pas changée… pour l’instant…

votre avatar







Laskov a écrit :



Non étant webmaster je peut te dire que mon site web sur mon internet fixe est identique coté code source a ce que j’ai écrit





bien sûr, sinon ça fait longtemps que ça aurait été détecté.

d’ailleurs quelques cas de manipulations l’ont été, je crois qu’orange ou sfr avait (le fait peut-être toujours) remplacé les messages d’erreur renvoyés par le serveur cible par une de leurs pages.



la question est: mon FAI peut-il modifier le code source de la page que je visite?

réponse du FAI: oui, puisque c’est pour votre bien.

réponse du CNN: oui s’il le fait de façon non discriminatoire, équitable et transparente (ce qui serait le cas ici si SFR prévenait l’utilisateur).

réponse de Hellmut: non, en aucun cas, bordel.


votre avatar







Laskov a écrit :



Si leur code est pas suffisamment sécurisé ça peut allé jusqu’au bon vieux SQL injection code



Autant de te dire que les webmaster qui sécurise leur site web adore quand on leur salope le travail





Mais qu’est-ce que t’as fumé toi ? <img data-src=" />



En quoi SFR optimisant l’affichage du contenu met en péril ton site ???



Saloper un travail de merde, y’a rien de grave à mon avis <img data-src=" />


votre avatar







manu0086 a écrit :



Mais qu’est-ce que t’as fumé toi ? <img data-src=" />



En quoi SFR optimisant l’affichage du contenu met en péril ton site ???



Saloper un travail de merde, y’a rien de grave à mon avis <img data-src=" />





pas ton site, le leur

comme les mecs qui collaient des injections sql sur leur plaques d’immatriculations pour wiper les radars :)



saloper le travail du webmaster / responsable secu bah si c’est grave, ya pas que leur proxy web derriere et qui sait sur quoi tu peux remonter apres :)



cela dit saloper un proxy web, c’est suffisant deja pour faire suffisament de merde pour recuperer tout un tas de choses bien sales sans ssl (et voir avec ssl si on est bien salaud et qu’on tombe par hasard sur une cle pour creer des certificats <img data-src=" />)


votre avatar

Le problème qui peut avoir ce système c’est les injections XSS. Comme le proxy remplace les url type http://www.truc.com/blabla part http://1.2.3.4//www.truc.com/blabla tu pourrais essayer d’injecter le script d’un site style http://www.pirate.com/abc. Normalement ton browser n’autorise pas l’accès d’un script d’un site A vers un site B. Mais avec le système de SFR, ils se retrouvent tous sur le site C. Donc ton browser dira rien quand ton site inclura le script http://1.2.3.4//www.pirate.com/abc dans http://1.2.3.4//www.truc.com/blabla.

C’est plus compliqué à faire qu’à dire mais c’est l’idée.

votre avatar

Bof, Opéra mobile le fait bien : il fait passer les requêtes par un proxy qui recompresse la page.



Le truc, c’est que ce n’est pas tellement le rôle d’un FAI de bricoler ce genre de truc (comme free avec son adblock), parce qu’il y a de sacrées chances pour que ça soit fait avec les pieds.



Leur domaine de compétence, c’est de transmettre des paquets IP, pas de bricoler des moulinettes persos 4 couches OSI plus haut.

votre avatar







FrenchPig a écrit :



et mieux faire payer les gros consommateurs par la suite ?

(segmentation des offres toussa…)



Je m’étonne d’ailleurs que bluetouff n’aie pas cherché à tester les autres opérateurs.







Oh par contre, il y a eu le twittergate #Calque ce weekend <img data-src=" />


votre avatar







batoche a écrit :



Bof, Opéra mobile le fait bien : il fait passer les requêtes par un proxy qui recompresse la page.



Le truc, c’est que ce n’est pas tellement le rôle d’un FAI de bricoler ce genre de truc (comme free avec son adblock), parce qu’il y a de sacrées chances pour que ça soit fait avec les pieds.



Leur domaine de compétence, c’est de transmettre des paquets IP, pas de bricoler des moulinettes persos 4 couches OSI plus haut.







<img data-src=" /><img data-src=" />


votre avatar







atem18 a écrit :



Je parles niveau client. Côté serveur, profiter des failles est bien moins drôles. Donc, pars du principe que tu altères le contenu d’une page. Tu ne crois pas que cela peut introduire des failles du genre XSS ?





Les IP utilisées par SFR sont des adresses privées, je ne vois pas comment du XSS pourrait se produire.


votre avatar







Laskov a écrit :



Si leur code est pas suffisamment sécurisé ça peut allé jusqu’au bon vieux SQL injection code



Autant de te dire que les webmaster qui sécurise leur site web adore quand on leur salope le travail





La sécurisation se fait côté serveur, pas côté client. Namého ! <img data-src=" />


votre avatar







batoche a écrit :



Leur domaine de compétence, c’est de transmettre des paquets IP, pas de bricoler des moulinettes persos 4 couches OSI plus haut.





C’est un cache géant, à la différence près qu’il est visible.

“Tous les programmes qui font le travail pour lequel ils ont été programmés sont invisibles. On ne devinerait jamais leur présence.”


votre avatar







psn00ps a écrit :



Les IP utilisées par SFR sont des adresses privées, je ne vois pas comment du XSS pourrait se produire.







Je vois pas le rapport ? Mon site web est hébergé chez moi. Y’a du nat et je vois pas en quoi cela m’immunise contre le XSS… <img data-src=" />


votre avatar

Et ils optimisent comment ?

Parce que s’il y avait une méthode d’optimisation pas encore connue des sites Web, alors là c’est révolutionnaire ! Tous les sites sont déjà compressés, optimisés à donf, pour s’afficher plus vite sur le Web… Alors si SFR a un truc magique qui garde l’ensemble des données (en ne zappant pas des images par exemple), il faut qu’ils donnent leur truc, ça intéressera des millions de gens !

votre avatar







Yzokras a écrit :



Et ils optimisent comment ?

Parce que s’il y avait une méthode d’optimisation pas encore connue des sites Web, alors là c’est révolutionnaire ! Tous les sites sont déjà compressés, optimisés à donf, pour s’afficher plus vite sur le Web… Alors si SFR a un truc magique qui garde l’ensemble des données (en ne zappant pas des images par exemple), il faut qu’ils donnent leur truc, ça intéressera des millions de gens !





LOL

t’as jamais été sur internet à partir d’un téléphone ou connexion lente ???



80% des sites ne sont pas optimisés, aucun n’optimise ses images pour les mobiles, là c’est fait quasi systématiquement quand l’image est trop lourde et la connexion lente.

Alors oui la différence de chargement peut être énorme ! Le temps peut facilement être divisé par 4 sur les petites connexions.


votre avatar

Ah la merde !



Je me souviens au début de mon abonnement 3G chez Orange en 2005, leur fichu modif empechait de voir les pages eBay. J’avais une suite de caractères incompréhensible à la place des pages.



Je trouve ça assez scandaleux si ce n’est pas désactivable.

votre avatar







Laskov a écrit :



Si leur code est pas suffisamment sécurisé ça peut allé jusqu’au bon vieux SQL injection code



Autant de te dire que les webmaster qui sécurise leur site web adore quand on leur salope le travail





Sauf que dans ce cas la faille SQL existe déjà. SFR n’y est pour rien. Dans le cas d’une injection SQL l’erreur se situe au niveau du serveur qui interprète des valeur de champs comme des bouts de commandes. SFR n’a aucun moyen de modifier ça.


votre avatar







psn00ps a écrit :



C’est un cache géant, à la différence près qu’il est visible.

“Tous les programmes qui font le travail pour lequel ils ont été programmés sont invisibles. On ne devinerait jamais leur présence.”





Il manque un truc à la citation non? Genre préciser un type de programme ou comme ça. Parce que là tu es en train de dire que tous les serveurs, routeurs, programmes avec interaction avec l’utilisateur, OS, Bios,… ne sont pas des programmes.



C’est chaud quand même. <img data-src=" />


votre avatar







Laskov a écrit :



Si leur code est pas suffisamment sécurisé ça peut allé jusqu’au bon vieux SQL injection code



Autant de te dire que les webmaster qui sécurise leur site web adore quand on leur salope le travail





Le webmaster qui laisse la possibilité d’injections SQL n’a pas travaillé la sécurisation de son site sur ce point. Vu comment c’est une attaque connue, il n’a aucune excuse. Et je ne vois absolument pas en quoi la modification des pages reçues par le client via sa ligne mobile SFR a un lien avec des attaques par injection SQL…


votre avatar







batoche a écrit :



Bof, Opéra mobile le fait bien : il fait passer les requêtes par un proxy qui recompresse la page.



Le truc, c’est que ce n’est pas tellement le rôle d’un FAI de bricoler ce genre de truc (comme free avec son adblock), parce qu’il y a de sacrées chances pour que ça soit fait avec les pieds.



Leur domaine de compétence, c’est de transmettre des paquets IP, pas de bricoler des moulinettes persos 4 couches OSI plus haut.







Sauf que pour Opéra c’est une fonctionnalité spéciale, prévue, dont Opéra fait la pub mais surtout dont on est informé!!!!!



Ici le plus gros problème, c’est que SFR fait ca en traître comme des putes, sans même le mentionner dans ses CGV (pour ce que valent des CGV). C’est quand même assez abusé.

Pour ma part, ca devrait être une option, comme le mode turbo d’Opéra, et à chacun de choisir s’il veut l’utiliser ou pas.


votre avatar







Inny a écrit :



À priori non, mais sur le portail SFR, il y a du javascript assez bizarre.

Je recommande la lecture de la ligne 198.





Ligne 196 pour être précis. Ca sent le hack du site ça.



Edit &gt; Impossible de citer du HTML (pas de balise code valide donc c’est interprété/strippé).


votre avatar

Bof, moi ça ne me choque pas, les navigateurs commencent à faire la même chose (ce qu’est capable de faire opéra depuis des années au passage <img data-src=" /> ). L’objectif n’est pas de filtrer mais de réduire la bande passante utilisée pour un affichage sur des téléphones/smartphones dont la résolution n’a rien à voir avec celle d’un ordinateur.

votre avatar







jinge a écrit :



Bof, moi ça ne me choque pas, les navigateurs commencent à faire la même chose (ce qu’est capable de faire opéra depuis des années au passage <img data-src=" /> ). L’objectif n’est pas de filtrer mais de réduire la bande passante utilisée pour un affichage sur des téléphones/smartphones dont la résolution n’a rien à voir avec celle d’un ordinateur.





Sauf que la 3G peut aussi être utilisé sur un PC, sinon on ferait pas de clé 3G USB…



Ils ont qu’à proposer un proxy qui s’en occupe et proposer aux clients de configurer leur navigateur pour passer par ce proxy pour gagner du temps, et si tu veux pas tu passes par l’autre, mais dans ce cas là ça sera moins rapide.



Ou alors ils ne se vantent pas de proposer une connexion internet, parce que là ce n’est pas le vrai internet.



Tu imagines si La Poste s’amusait à enlever les pages au milieu des magazines/Journaux : “Vous comprenez c’est lourd, alors comme ça on gagne du poids, ça nous revient moins cher (donc à vous aussi), de toute façon personne ne les lit ces pages”, c’est dans l’intérêt du client, oui oui!


votre avatar







jinge a écrit :



Bof, moi ça ne me choque pas, les navigateurs commencent à faire la même chose (ce qu’est capable de faire opéra depuis des années au passage <img data-src=" /> ). L’objectif n’est pas de filtrer mais de réduire la bande passante utilisée pour un affichage sur des téléphones/smartphones dont la résolution n’a rien à voir avec celle d’un ordinateur.







Il y a une différence majeure entre Opéra, fournisseur de logiciels/services et SFR, fournisseur d’accès à internet.



Dans un internet neutre, le FAI n’a pas de droit de regard sur le contenu de ce qu’il transporte. Par contre, le fournisseur de services fait ce qu’il veut.



Si tu trouves normal d’avoir un internet pas neutre, je t’invite à te renseigner sur la question.


votre avatar







Khalev a écrit :



Sauf que la 3G peut aussi être utilisé sur un PC, sinon on ferait pas de clé 3G USB…



Ils ont qu’à proposer un proxy qui s’en occupe et proposer aux clients de configurer leur navigateur pour passer par ce proxy pour gagner du temps, et si tu veux pas tu passes par l’autre, mais dans ce cas là ça sera moins rapide.



Ou alors ils ne se vantent pas de proposer une connexion internet, parce que là ce n’est pas le vrai internet.



Tu imagines si La Poste s’amusait à enlever les pages au milieu des magazines/Journaux : “Vous comprenez c’est lourd, alors comme ça on gagne du poids, ça nous revient moins cher (donc à vous aussi), de toute façon personne ne les lit ces pages”, c’est dans l’intérêt du client, oui oui!





Bien entendu… Va dire à tes parents de configurer un proxy…..

De plus comme ils le disent la fonctionnalité est là depuis des années, et jusqu’il y a quelques mois, l’usage modem était interdit…

Là ils n’enlèvent rien, ils adaptent au monde mobile un contenu fait pour le monde fixe sans déteriorer l’expérience utilisateur… Donc en gros tous les utilisateurs ont plus de bande passante grace à ça, et à part toi et 3 autres pechnos (qui ne s’en étaient même pas rendu compte jusqu’il y a 3 jours) tout le monde est content comme ça.


votre avatar







adrieng a écrit :



Il y a une différence majeure entre Opéra, fournisseur de logiciels/services et SFR, fournisseur d’accès à internet.



Dans un internet neutre, le FAI n’a pas de droit de regard sur le contenu de ce qu’il transporte. Par contre, le fournisseur de services fait ce qu’il veut.



Si tu trouves normal d’avoir un internet pas neutre, je t’invite à te renseigner sur la question.





Faut arrêter avec l’internet neutre. Là il ne s’agit pas de neutralité, mais de qualité et best-effort.

L’objectif étant d’assurer un meilleur service à la majorité des clients, rien à voir avec le fait de bloquer des services.


SFR modifie les pages HTML, pour le bien du client selon l’opérateur mobile

  • « Cette technique existe et fonctionne depuis longtemps »

Fermer