Par curiosité nous voulions savoir combien de personnes allaient sur 0bin. C’était une mauvaise idée.
On ne pouvait pas utiliser Google Analytics car ça aurait émoussé la confiance des utilisateurs, alors on a installé notre propre instance de Piwik: une solution open source sur laquelle du coup nous avions la main du code en passant par le serveur.
Malheureusement, en regardant les stats détaillées, j’ai remarqué que Piwik sauvegardait chaque URL avec l’ancre, donc avec la clé de chiffrement. J’avais dans ma base de données une liste d’URLs menant à des pastes dont je pouvais lire le contenu.
Cela pose plusieurs problèmes:
- si vous êtes hébergeurs de 0bin, vous voulez éviter ça à tout prix. Le but est justement ne pas pouvoir faire ça, car on parie sur le fait que ce qu’on ne peut pas être légalement tenu de modérer ce qu’on ne peut pas lire.
- si vous êtes utilisateurs, tout l’intérêt de ce qui fait 0bin autre chose qu’un simple pastebin s’écroule
J’ai tout supprimé, mais c’est vraiment un coup de bol que je m’en sois aperçu, car je n’avais même pas imaginé que juste pour des stats on pourrait enregistrer jusqu’à l’ancre d’une URL. Et je n’ai certainement pas cherché ces URLs, qui n’étaient pas mises en avant dans ma configuration du tableau de bord.
Moralité:
- si vous êtes hébergeurs, n’installez rien sur 0bin. Rien du tout. On ne peut jamais être parfaitement certain de ce que fait un outil tierce partie, fut-il open source. Si je n’avais pas ouvert par hasard ce sous-sous-sous-menu, je n’aurais pas vu le problème, et aurait pu accumuler ces URLs pendant des mois.
- si vous êtes utilisateurs, faites bien attention à ce que l’outil ne comporte rien en plus. Un petit view source est de rigueur. Si quelqu’un peut nous pondre une extension pour vérifier le JS, encore mieux…
typo-police : vérigier -> vérifier…
@soli
non, non on dit bien Vérigier dans le Bouchonois. Du verbe vérigier.
je vérigie
tu vérigies
il vérigie
…
Il y a déjà cette extension (à améliorer ?) :
https://sizeonedev.wordpress.com/2012/04/22/zerocheck/
De toutes manières ne JAMAIS faire confiance à un tiers, c’est une regle absolue quoiqu’il arrive.
Ghostery (extenstion Firefox) permet de voir tous ces traqueurs à la Piwik, Google Analytics & consorts. Cela permet de savoir ce qu’installent les webmasters sur leur site.
Typiquement chez vous, il y a du monde ;)
@Soli: merci.
@Baronsed: c’est une extension qui vise zerobin, le projet initial de sebsauvage dont s’inspire 0bin. On pourrait effectivement s’en servir comme base. Pas tel quel par contre.
@r4is3: vivre dans l’absence de confiance permanente, c’est étouffant.
@H3: j’utilise cette extension moi-même (http://sametmax.com/les-10-meilleures-extensions-firefox-chrome/). C’est vraiment génial.
Et dans les logs d’accès au serveur, vous n’avez pas aussi les données avec les ancres ?
Si oui, j’imagine que c’est un problème.
Si non, il doit bien exister un parseur de log pour faire des stats.
On désactive systématiquement les logs serveurs pour 2 raisons bien distinctes:
1. ça bouffe de la place
2. ça bouffe de la place
Non, il n’y a pas les ancres dans les logs des serveurs.
Et oui, il existe des parseurs de log pour faire les stats, mais comme dit max, on désactive les fichiers de log sauf en cas de debug car ça montre très, mais alors vraiment très vite en espace disque. On s’est fait couillé plusieurs fois.
Un peu de lecture ici, et le problème disparaît.
discardHashTag( bool ) – Set to true to not record the hash tag (anchor) portion of URLs
En fait, il suffit de lire la notice…
Ah, ben si il suffit de lire des centaines de pages de doc, tout va bien ! ;)
même en rotationnant les logs et en compressant tout dans un même fichier ça monte si vite ? avec une bonne compression, sauf ddos, ça devrait augmenter logarithmiquement au max nan ?
btw c’pas possible de supprimer les logs au fur et à mesure qu’ils sont analysés et que les stats sont produites ?