ProZac> paru sur linuxfrench.net par aegir: Utilisateurs d'EXCHANGE, attention ! En jetant un oeil aux logs de connexion de LinuxFrench.NET je me le suis frotté (l'oeil), puis j'ai cru à une blague, mais non ça se reproduit de différentes provenances. Les serveurs web enregistrent toujours les connexions, c'est ce qu'on appelle le log (le journal). Chaque ligne écrite dans le log correspond à une connexion, aussi appelée un hit. Un log « standard » comporte les éléments suivants : Adresse IP de l'utilisateur. Login de l'utilisateur si celui-ci accède à une partie privée du site nécéssitant une identification. La date de la connexion L'opération HTTP effectuée, et sur quelle URL. Le code résultat de l'opération La taille en octets de la réponse du serveur Le referer, c'est à dire l'URL à partir de laquelle l'opération à été effectuée. Le user agent, c'est à dire le type de navigateur utilisé. Typiquement, voici les éléments d'une ligne de log : x.x.x.x L'IP du poste client aegir L'utilisateur (moi-même) [31/Oct/2001:19:12:45 +0100] La date de la requête GET /ecrire/controle_forum.php3 HTTP/1.0 L'opération effectuée, (une URL demandée) 200 Status OK 29429 Taille en octets de la page controle_forum.php3 http://www.linuxfrench.net/ecrire/ La page sur laquelle j'ai cliqué sur un lien m'amenant à l'URL ci dessus Mozilla/5.0 (compatible; Konqueror/2.2; Linux) L'identification de mon navigateur Mais quand un utilisateur de Microsoft-exchange consulte son email via une interface web, par un intranet ou un extranet, qu'un des emails contient un lien et qu'il clique dessus, voici ce que le webmaster du site pourra voir dans la partie « referer » du log : http://mail.societe.com/exchange/jean.dupont/Boite de réception/Re :voici le lien.EML ?cmd=preview (j'ai décodé les caractères accentués et les espaces pour plus de lisibilité). Non, vous ne rêvez pas. Nous pouvons récupérer ainsi le nom de l'utilisateur ainsi que le nom de sa société (et donc son adresse email complète), ainsi que le sujet de l'email ! C'est abhérrant ! Pourquoi pas émettre son numéro de téléphone portable tant qu'on y est ? Bien sûr dans la plupart des cas, le webmaster se moque complètement de savoir qui se connecte. Mais imaginez que je sois un éditeur de logiciel, et que dans les accès à la page qui présente la nouvelle version de mon produit je trouve un referer avec « Regarde ça, arriverons nous à sortir notre produit avant eux ? »... Je ne sais pas à comment fonctionne exactement exchange (ça ne marche pas sous Linux et c'est trop cher), mais je m'interroge sur le cmd=preview qui se trouve à la fin de l'URL du referer, serait-ce sans même avoir à cliquer sur le lien qu'il charge la page ? Je signale aux responsables informatiques qu'il existe des logiciels libres, tels que IMP qui est un excellent serveur permettant de consulter son email par le web, et qui n'envoie pas ce genre d'informations à l'insu de l'utilisateur. Enfin je remercie quand même microsoft, cela nous a permis de savoir que nous étions lus dans de grandes entreprises, par exemple j'adresse mes cordiales salutations à "charlie", employé d'une grande radio privée (charlie, si tu nous lis...) ;-) Signalons au lecteur que s'il clique sur un lien en choisissant « ouvrir dans une nouvelle fenêtre » le referer n'est théoriquement pas transmis.