Petites choses agaçantes et une inquiétante

A l’occasion de la lecture des flux RSS dans le cadre de la préparation des brèves, je tombe toujours, immanquablement, sur quelques liens agaçants. Non pas par leurs contenus, bien que cela arrive plus que fréquemment, mais par la forme et la structure des sites. Rien de plus agaçant que de ne pas avoir un titre valable dans le lecteur, de ne pas avoir ne serait-ce qu’un chapeau pour introduire l’article (son absence obligeant à aller consulter la page, bien souvent bourrée de publicités),  d’avoir un article tronqué dans le lecteur et de devoir poursuivre sur le site d’origine, ou de tomber sur une page à clic pour pouvoir accéder au contenu… Rhaaa que ça m’agace ! Florilège à chaud, non succinct, dans un petit billet rapide et pas très argumenté.

Je me protège de la publicité et des flux malicieux avec divers plugins, dont Noscript. Voici ce que Silicon affiche à la lecture de ses liens via un clic à partir du lecteur de ‘News’. Merci Silicon.

ElectronLibre n’est pas en reste, obligeant à activer le javascript pour consulter ses brèves. Merci ElectronLibre.

 

Reseaux-telecom avec son inscription handicapante pleine page à sa Newsletter… Merci Reseaux-telecom.

 

Et le dernier qui m’agace, et qui m’inquiète, que l’on peut parfois retrouver à l’occasion de surfs sur PcInpact (cf), Zataz (cf), Korben (cf) -des sites très populaires donc- et sûrement beaucoup d’autres (j’essaerais de faire un point à l’occasion), CloudFare, qui soit mouline et patine, soit vous prend pour un vilain et vous met en stand-by parceque vous vous avez ouvert 10 onglets d’un coup. Merci CloudFare…

CloudFare m’inquiète un peu (je vous invite à consulter ce lien provenant du blog officiel, et celui-ci de façon plus généraliste, expliquant un petit peu de quoi il s’agit). Ce n’est pas qu’un CDN à la Akamai, c’est plus que ça. C’est suite à une conversation en IRC hier que j’en ai pris conscience. A l’occasion de la fermeture de Megaupload (pleine actualité), je lis un peu partout que la centralisation c’est mal, que cette fermeture est l’occasion de revenir à de bonnes pratiques respectueuses du réseau et des échanges, de façon décentralisée. Or CloudFare, de par les avantages induits à court et moyen terme (protection contre les surcharges attaques, spams, optimisation du chargement des pages, disponibilité maximale des accès, etc.), centralise toutes sortes de sites petit à petit. Hasard du timing, Sebsauvage a fait un commentaire tout récent à ce sujet à propos de cette actualité.

Le projet ne survivrait sans doute pas un abus et changement de clauses d’utilisation. Néanmoins, c’est inquiétant. En tant que propriétaire de vos contenus, vous leur donnez le pouvoir de les modifier à la volée, d’insérer ou retirer n’importe quoi, de bloquer vos accès, de les rediriger. En tant que visiteur, vous leur offrez vos surfs, lectures, écritures, mots de passe, clics et compagnie. Un formidable bigbrother américain soumis à la législation américaine. Pour l’instant tout va bien, mais si… ? Même si l’un  des fondateurs est à l’origine du Projet HoneyPot et devrait -je suppose- induire un capital-confiance de fait, cela reste diablement inquiétant de donner consciemment un tel pouvoir à une boîte privée.

 

J’espère m’inquiéter pour rien et merci à mon interlocuteur IRC de m’éclairer de certains enjeux ;)

 

Crédit Photo originale Flickr sous CC.

 

Edition au 24/01/2012 : Sebsauvage a précisé et développé son point de vue dans un billet, intitulé CloudFare : le syndrôme Askimet ?

Certains développeurs sont très forts. Ils savent développer une application techniquement performante et la rendre simple à utiliser. Ajoutez à cela la gratuité, et quel webmaster oserait résister ? C’est ainsi que Google Analytics est présent sur 86% des sites web. C’est ainsi qu’Akismet filtre le spam sur une incroyable quantité de blogs et forums de la planète. Et c’est ainsi que CloudFlare protège des millions de sites… [Lire la suite].

Edition2 : J’ai fini par ôter le clown en image de billet, il me dérangeait à me regarder comme ça ^^. Pour les nostalgiques, il est toujours ici sur la page Flickr de son auteur. Il est vrai qu’un nuage est plus adapté pour évoquer Cloudfare. J’avais pensé au clown pour les cas qui m’agaçaient en amont de billet.

Edition3 : Je n’en finis pas d’éditer. Je rajoute la mention d’un mot public de Korben évoquant le billet de Sebsauvage (cf édition 1), et le commentant.

Edition4 : Un billet de Korben ces jours derniers, exprimant sa fatigue des extrémistes technologiques, où il reprend des éléments qu’il avait introduit notamment dans son premier commentaire. Comme évoqué dans le commentaire, il ne s’agit pas de diaboliser, ce n’est pas constructif. En cela, je partage cet avis de bon sens. Mais il s’agit de s’interroger : les réponses appartenant ensuite à chacun suivant ses moyens et possibilités. Lorsque l’on peut choisir en connaissance de cause, les choix personnels ne se discutent pas, mais c’est le en connaissance de cause qui me chagrine, car que cela soit pour Cloudfare ou d’autres services, les gens ne cherchent pas à s’informer ou n’en ont pas les moyens. (parce que « trop compliqué », alternatives pas faciles ou inexistantes, etc.). Ce billet de Korben me semble couper court à toute réflexion sur ces questions, estimant que tous les éléments sont connus de chacun. Ce qui ne me semble pas le cas.

Edition 5 : un billet à lire absolument, pour voir la tournure que prend la chose : Patching the internet. Certains s’en réjouissent, moi ça m’inquiète. (merci Lord du lien).

Vous pourriez aussi aimer...

26 réponses

  1. Korben dit :

    « En tant que propriétaire de vos contenus, vous leur donnez le pouvoir de les modifier à la volée, d’insérer ou retirer n’importe quoi, de bloquer vos accès, de les rediriger. En tant que visiteur, vous leur offrez vos surfs, lectures, écritures, mots de passe, clics et compagnie. Un formidable bigbrother américain soumis à la législation américaine. »

    Techniquement, ils ne sont pas propriétaire de mes données.. Ni du côté serveur, ni du côté utilisateur. Ils ont juste une copie cache comme le ferait n’importe quel CDN. Après, c’est vrai qu’ils pourraient faire à la volée une modification comme insérer une pub ou un javascript étrange. Mais ce n’est pas dans leur intérêt car c’est quand même un service pour les professionnels qui tient à sa crédibilité. On a le même cas de figure avec n’importe quel CDN ou Amazon S3, ou n’importe quel FAI ou encore n’importe quel hébergeur. Un OVH ou un Dedibox pourrait très bien aller voir les fichiers qui se trouvent sur votre machine et par exemple vous voler votre code…etc. Ils ne le font pas car ce sont des gens sérieux et que cela est illégal. Même chose avec Cloudflare… Modifier les requêtes serait dramatique pour eux car cela se verrait et ils perdraient alors tout confiance.
    De plus, je ne suis pas coincé avec eux, le jour où y’a un problème, je fais une simple modif dans les DNS et je repasse en direct ou sur un autre CDN.
    C’est toujours le même souci avec ce genre d’intermédiaires. Ils rendent de grands services mais peuvent effectivement faire des choses pas bien… La Poste c’est pareil, ils pourraient ouvrir nos enveloppes et y mettre de la pub. Ils ne le font pas. Les FAI pourraient mettre des pubs dans toutes les pages web qu’on consulte et ils ne le font pas. Orange par exemple pourrait aussi très bien détourner nos appels ou mettre de la pub dans les MMS mais ils ne le font pas.

    Après pour les stats de lectures, click…Etc c’est pareil qu’avec Analytics (quoique je crois que Cloudflare ne collecte pas ces données). Et pour ce qui est de la capture des mots de passe, c’est faux, ils ne peuvent pas faire ça. En plus sur mon site, y’a pas d’interface user et pas de mot de passe à saisir, donc aucun risque là dessus.

    Y’a un moment, faut apprendre à faire un peu confiance mais sans effectivement donner toute son âme à un seul service. Il faut savoir faire rapidement un retour en arrière si besoin, et de ce côté là, il n’y a aucun blocage avec Cloudflare. Après, le grand méchant loup n’est pas partout et heureusement… mais le jour où il arrive, il faut être capable de changer de crêmerie. On rencontre le même souci de conscience avec Amazon par exemple.

    Au niveau service pro Cloudflare, je suis très satisfait. ça donne un coup de boost au site, ça me fait économiser de la bande passante et surtout, ça me protège des Ddos qui étaient vraiment une plaie pour moi jusqu’à temps que je switch. En fait, sans Cloudflare, mon serveur serait indispo beaucoup plus souvent.

    Mon site, ma base de données…Etc sont bien au chaud sur mon serveur et pas chez Cloudflare :-) heureusement.

    • Gof dit :

      Bonjour Korben, et merci d’avoir pris le temps d’apposer ton point de vue à mes inquiétudes, peut-être un peu fantasmées. :)

      Ces dernières sont un peu floues et pas techniquement argumentées, juste un sentiment pas très agréable par rapport à tout ça. Je dois trop penser à mal sans doute.

  2. Mik dit :

    D’accord avec vous deux… Sauf peut être pour orange et les SMS…

  3. sebsauvage dit :

    D’après ce que j’en ai compris, toute requête HTTP destiné à ton serveur passe d’abord par leur serveur. Ils l’analyse et éventuellement la bloquent (justement pour contrer les attaques).

    Ce qui veut dire qu’ils se retrouvent bien avec le même pouvoir qu’Askismet… et la même problématique: Moi (et bien d’autres) s’étaient retrouvé à ne plus pouvoir poster de commentaires sur pratiquement tous les blogs de la planète (tu m’avais toi-même confirmé, Korben, qu’Askismet m’avait classé comme spammeur).

    CloudFlare reproduit le même genre de problème.

    Enfin, agissant comme reverse-proxy, il récupèrent donc bien toute requête HTTP, et donc tout formulaire de login/mot de passe soumis à ton site (wiki, forums… voir ton interface d’admin perso ?)

    Certes, ça se résume à une question de confiance.

    Je fais confiance à Google Analytics pour ne pas injecter du javascript malicieux ou qui violerait la vie privée de mes visiteurs ?
    Je fais confiance à Facebook pour son js pour le bouton « J’aime » ?
    Je fais confiance à CloudFlare ?
    Je fais confiance à SiteMeter ?
    etc.

    C’est un choix, mais c’est aussi un risque.
    Le jour où CloudFlare se fera pirater (j’ai bien dit « où », pas « si »), ça risque d’être assez catastrophique, à l’image de certaines régies de pub (DoubleClick et qq autres) qui ont gentiment diffusé des malwares d’un coup sur des milliers de sites, jusque sur le site du NewYork-Times.

    Multipliez les dépendances, vous multipliez les risques et le nombre d’entreprises qui peuvent avoir un contrôle sur le trafic de votre site (CloudFlare, Akismet…).

    Autre question: Ai-je envie d’imposer ça à mes visiteurs ?
    Leur imposer qu’ils soient suivis à la trace par X entreprises ?

    Question de choix.

    Je suis peut-être un peu jusqu’au-boutiste, mais comme Timo (Le Hollandais Volant) et Mitsukarenai (Fansub-streaming), j’ai plutôt envie de réduire les dépendances.

    • Gof dit :

      Bonjour Sebsauvage, merci d’avoir pris le temps de glisser un commentaire. Tu traduis en effet plus pertinemment mon malaise que je ne l’avais fait (qui n’était que de l’ordre du ressenti, de l’intuition).

    • Baronsed dit :

      On va dire que, dans l’idéal, ça pourrait être envisageable, mais que, vu le contexte actuel (ce n’est pas moi qui vais le faire découvrir…), ça sent quand même bien mauvais.

  4. Lysander Lear dit :

    Raison de plus d’avoir un navigateur qui est en mode parano qui laisse le peu de trace possible. C’est quand même affligeant de voir ce qu’un outil comme internet est devenu.

  5. JoK dit :

    Salut Gof !

    Surfant souvent à partir de Phoenixjp, je rencontre encore de temps à autre cette interface intermédiaire (telle que la première capture que tu donnes).
    Si au début ça m’agaçait au plus haut point, tout comme toi donc, maintenant ça m’embête quand même moins. Si je suis pressé, je clique pour passer le plus rapidement possible ce « truc ». Lorsque je le suis moins, je laisse affiché et je patiente. Par la suite et durant toute la journée, je ne suis plus emmerdé avec ça.

    J’utilise Firefox avec adblock plus et son addon de blocage popup. Je n’arrive pas à m’y faire avec les publicités vraiment intrusives et très souvent mal choisies.
    Pour d’éventuelles crasses, tu sais bien que je ne risque pas grand-chose. Mon Windows tourne environ 1 heure / mois en ce moment, et ceci le lendemain des MAJ Microsoft. C’est en cela que Fedora me semble préférable et fort utile. Tu devrais essayer… Tu ne crois pas ?

  6. ZK456 dit :

    Pour l’illustration ‘cliquer ici pour lire l’article’, le Nouvel Obs fait la même chose. Je suppose qu’en lieu et place d’un fond blanc, on est censés avoir de la pub, mais AdBlock fait le ménage ^^

    Mais effectivement, je ne supporte plus tous ce javascript utilisé pour tout et (surtout) n’importe quoi. Du coup, pour certains sites particulièrement pénibles, c’est boycott pur et simple. Et pareil pour la newsletter en full pop-up, en général j’arrive à créer la règle qui va bien, mais je trouve ça de plus en plus pénible. Seb Sauvage a d’ailleurs passé plusieurs coups de gueule sur le sujet.

    Et je partage son avis sur les dangers de la centralisation des services: c’est sûr que c’est bien pratique d’avoir une solution clé en main. Mais pas au détriment des utilisateurs, et boîte connue ou pas, je n’ai aucune raison d’avoir confiance en une entreprise privée, à plus forte raison si elle est américaine…

    • Gof dit :

      Bonsoir, merci ZK456 du commentaire :)

      J’en profite pour glisser que j’ai rajouté deux liens en édition du billet (à la fin) ; un billet de Sebsauvage développant son point de vue, et un commentaire de Korben.

      • ZK456 dit :

        Mais de rien ;)

        C’est aussi grâce aux blogs comme le tien qu’on prend la mesure des « problématiques 2.0″.

        A un de ces 4, quand tu sortiras ton prochain article…

  7. alliandra dit :

    alors un grand merci à toi et à sebsauvage, cloudflare était devenu un grand mystère que j’étais bien incapable de résoudre du haut de mes maigres connaissances en la matière
    alors ça risque de vous paraitre bien.. on va dire anecdotique comparé aux implications plus générales de cloudflare et aux idées de fonds que vous développez dans vos 2 articles

    je n’avais plus du tout accès à certains débrideurs avec firefox, il y avait juste un bandeau cloudflare en VO du type site en maintenance ou surchargé, alors qu’ au même moment j’obtenais facilement les même sites avec chrome. bon et puis je me doutais bien que maintenance ou même surcharge ne durent pas des semaines d’affilées hein
    bref à mon niveau, un mystère total, qui est devenu super frustrant à la longue, j’ai même fini par poster sur le forum ccm
    ( pour le détail :
    http://www.commentcamarche.net/forum/affich-23026269-firefox-plus-d-acces-a-certains-sites )
    ma question s’est retrouvée illico déplacée dans la catégo « virus/sécurité »…
    là, sueurs froides « OMG je suis infectée », je vous passe la suite à savoir les tas de manip qui ont suivi et qui ont presque fini par zigouillé windows au passage
    et finalement tout ça est resté en suspend puisque mon pc a crashé (une sombre histoire de températures de processeur & carte mère qui tournaient autour des 95/100°)

    alors voilà je sais…, et je « rigole » maintenant avec du recul …

  8. Hyunkel30 dit :

    Bonjour à tous,

    J’ai découvert Cloudflare comme alliandra en venant en aide à un internaute :
    http://www.infos-du-net.com/forum/id-2102181/ordinateur-infecte.html#10909103

    Nos bons vieux réflexes de désinfecteur ont pris le dessus avant que je comprenne d’où venait ce blocage … ^_^

    Et depuis je découvre tous vos articles et comme vous m’inquiète de plus en plus de ce genre de « service » …

    Merci pour les infos.

  9. Gof dit :

    Édition du billet, pour rajouter le lien en direction du billet de Korben de la semaine dernière.

  10. Gof dit :

    Une édition (la 5) à ce billet pour rajouter un lien en lecture, assez instructif : « Patching the internet ». Je vous invite ardemment à le lire. Et merci Lord du lien :)

  11. Gof dit :

    Dire que je m’interrogeais et m’inquiétais du ‘petit’ cloudfare. Zataz vient de soulever un beau lièvre là aussi:

    => Les géants du web sous la même protection. 07/05/2012. «Hotmail, Facebook, MSN, Yahoo, Google ont un point commun, la société MarkMonitor Inc. Nos données sur la toile sont-elles en danger ? (…).» Eh beh. Cette info, cumulée à l’éventuelle législation (en fait modification d’une législation existant déjà) imposant l’accès aux données imposé par le FBI (cf l’actu législative CALEA), pas très rassurant.
    Source : http://www.zataz.com/news/22127/espionnage_-registar_-MarkMonitor.html

  12. AYCABTU dit :

    Post Mortem: Today’s Attack; Apparent Google Apps/Gmail Vulnerability; and How to Protect Yourself – CloudFlare blog

    http://blog.cloudflare.com/post-mortem-todays-attack-apparent-google-app

  13. Gof dit :

    Un petit nouveau : CloudFlare Watch de Daniel Brandt.
    Explications sur cette page Cryptome : CloudFlare Watch.

    Merci de la remontée de l’information :)

  1. 29 octobre 2012

    [...] quelques avis sur cloudflare:l'avis de Gof [...]

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Notifiez-moi les commentaires à venir via email. Vous pouvez aussi vous abonner sans commenter.