Pour ce billet, je me livrerai à une petite expérience suite à la « problématique » de solutions telles que CloudFlare (que Sebsauvage décrie à raison) et autres joyeusetés qui font des requêtes en masse sur d’autres noms de domaine que celui que vous voulez visiter. L’idée d’une mise à l’épreuve de quelques sites m’est venue en discutant avec mitsukarenai (de Fansub Streaming) : quelle gueule auraient les « gros sites » si je les empêchais de charger leur tonne et demie de ressources externes dont ils se rendent complètement dépendants ? J’avais déjà bien ma petite idée, façon about:blank, mais je voulais bien laisser le bénéfice du doute à ceux que je soumettrais à mes tests. Pour les besoins de cette petite expérience, je me sers d’un petit panel d’extensions dans mon Firefox, configuré à la dure – c’est à dire avec des réglages en mode non-permissif. Ces extensions sont : Extension très connue, elle me permettra de bloquer une petite foule de modules sociaux, de traceurs de clics, et autres régies invasives qui n’ont pour fond de commerce que vos données personnelles. J’irai chercher pour ce dernier quelques abonnements sur cette page dont les listes d’Adversity, de Fanboy, et celle répondant au doux nom d’Antisocial. Bloquant le chargement de scripts sur les pages à moins qu’ils ne soient explicitement autorisés, je configurerai cette extension pour qu’elle veuille bien exécuter les scripts du nom de domaine ciblé – c’est quand même la moindre des choses. Parmi les plus cassantes, cette extension bloque le chargement de cross sites à l’affichage d’un page (voir les attaques de type CSRF), c’est à dire les requêtes faites à d’autres noms de domaines que celui visité. En somme, il permet de voir ce qui est réellement hébergé sur la page à laquelle nous voudrions accéder.

Résultats

Appliquer un comportement aussi strict par mon navigateur sans pour autant interdire l’exécution de tout Javascript a eu un impact considérable sur la navigation telle qu’elle peut l’être « tous les jours » : des sites deviennent tout simplement illisibles le temps que je mette à jour la liste de blanche afin d’autoriser des scripts utilisés un peu n’importe où, à tous les niveaux. Ensuite, cela permet de bien se rendre compte à quel point certains de ces sites font appel à des contenus externes : modules sociaux envahissants, commentaires centralisés, la plaie Gravatar qui est vraiment partout ou presque, l’épidémie de Google Analytics, la pandémie de CDN douteux voire tout à fait inexplicites, une flopée hallucinante du nombre de régies publicitaires pouvant cohabiter sur un même site, et les appels en chaîne (un nom de domaine en appelant un autre, et ce plusieurs fois)… Un site comme CommentÇaMarche refuse tout simplement de s’afficher si l’on bloque la moindre donnée venant de leur CDN ou par Javascript : page blanche, tout simplement. Merde, il n’y a même plus de texte qui peut simplement s’afficher sur leur page ? Comme expliqué dans un commentaire plus bas, j’ai aussi testé la chose avec le site TechCrunch : NoScript, RequestPolicy et Ghostery me bloquent en moyenne une quinzaine d’éléments chacun, et il m’a fallu autoriser les requêtes vers aolcdn, wp.com et wordpress.com afin d’obtenir un affichage supportable.

Défaut méthodologique

Hélas, cette investigation ne me permet pas spécifiquement de ne pas me soumettre au détournement de trafic exercé par CloudFlare. Ce service, même si « pratique » pour encaisser la charge, n’est pas moins un choix délibéré de ces sites à soumettre leur lectorat à la monétisation et à la manipulation de leur seule lecture. Finalement, je suis encore sauf derrière mon aggrégateur RSS. Encore que certains emmerdeurs :
  • ne génèrent pas de flux ou
  • passent des flux tronqués.
S’il vous plaît, arrêtez de fracturer la face des Internets.