Sans prévenir WordPress impose (encore) un script tiers dans sa mise à jour 4.2

Mister Poop !

Un bel Emoji pour votre blog ?

Attention, depuis la mise à jour 4.2 de WordPress, un script tiers en provenance des serveurs de chez WordPress vient automatiquement s’immiscer dans vos billets. Retardataire pour effectuer cette MAJ, je me suis rapidement remémoré l‘avertissement posté samedi par les amis de chez reflets, leur billet m’a immédiatement mis la puce à l’oreille.

Ce script, cet appel vers le domaine w.org, ou plutôt son sous-domaine s.w.org doit vous permettre de « bénéficier » d’Emojis, des smileys. Bordel, si j’héberge moi-même le CMS ce n’est pas pour que WordPress s’accapare des statistiques sur mes visiteurs, surtout avec un putain de pack d’icônes pour kikoulols !

Ce script tiers pose à nouveau la question essentielle de la sécurité et de la confidentialité de nos blogs. Gravatar pour les avatars des commentateurs est désactivable, ce n’est pas le cas du petit nouveau.

WordPress n’en est pas à son premier coup d’essai :
– L’extension « Jetpack for WordPress » qui apporte un tas de fonctions hyper-cools pour ton blog pour faire appel à ses serveurs dans le cloud.
– Il y a 1 an, j’alertais sur un problème similaire qui impliquait l’ajout des Google Fonts, même si cela ne touchait « que » les thèmes officiels, proposés par défaut…

Plusieurs solutions pour contrer ce nouveau script :
– Ma préférée : le plugin Disable Emojis qui résistera aux mises à jour de WordPress puisque vous n’aurez aucune ligne de code à modifier. Si vous n’êtes pas fâchés avec la langue Shakespearienne, je vous invite à lire le billet de blog de son auteur, également exaspéré par ces pratiques.
Celle des bidouilleurs qui n’aiment pas les plugins, l’édition des fichiers, mais attention aux MAJ.

Si vous souhaitez plus de détails sur les risques de ce script, plus particulièrement pour les utilisateurs de TOR, reflet donne quelques informations techniques.

Fichiers statiques ou non, des logs Apache ça reste bavard, amis blogueurs, webmasters, soyez vigilants, dans une époque de tracking généralisé par les entreprises et les États, accepter ce type de pratique revient à faciliter un peu plus encore la fuite de leurs données personnelles.

Partager :

Flattr !

12 réflexions au sujet de « Sans prévenir WordPress impose (encore) un script tiers dans sa mise à jour 4.2 »

    • Je vais bientôt finir par y penser sérieusement, mais il faut aussi se dire que WordPress n’est pas qu’un moteur de blog, on peut tout faire ou presque avec, ce qui n’est pas le cas de Pluxml qui est bien moins fonctionnel.

      J’ai contacté la communauté francophone de WordPress sur Twitter, en l’absence de réponse, malgré des messages directs à d’autres Twittos, je vais passer à la vitesse supérieure…

      Que WordPress colle ses merdes sur les blogs hébergés dans son cloud pourquoi pas, ils ont déjà les données, mais qu’ils imposent leurs merdes aux blogs auto-hébergés, la pilule est difficile à avaler.

      Ce qui est d’autant plus grave comme le révèle Reflet, c’est que ce script est facilement utilisable pour taguer un utilisateur et le suivre efficacement, plus d’infos sur la technique ici : https://fr.wikipedia.org/wiki/Canvas_fingerprinting

  1. Et sinon y a SPIP, français aussi, bonne communauté, peu de faille de sécurité, multi-fonction, et pour peu qu’on mette un peu les mains dedans on peu faire des trucs fabuleux avec.

    Fait un tour sur l’herbier de SPIP on y trouve des trucs sympa.

    • Hélas, pour spip, le responsive design est à la traine et vu l’importance que prend l’usage des smartphones pour surfer, c’est pénalisant

  2. Bonjour,

    Je suis Xavier, traducteur fr_Fr de WP et membre de l’association WPFR. Nous ne sommes pas en charge du développement, mais de la traduction, du maintien d’un forum d’entraide en français, et de la promotion française de WP.

    Toujours est-il que je suis allé poser la question directement aux Core devs sur le Slack du projet, et deux membres de l’équipe (dont le lead dev de la fonctionnalité Emoji, Gary Pendergast) m’ont répondu ceci :

    « It doesn’t load a script from the w.org CDN, it’s just for the images. And there is a filter so you can use your own CDN. »

    « The images are used as a fallback if the browser can’t render emoji by itself. [They cannot be included in the WordPress archive because] The size of all images is 15M. »

    « It’s worth noting that, while they’re loaded every time they’re displayed, they’re not necessarily loaded from s.w.org, they can be loaded from the reader’s browser cache. We have a long browser cache life for this purpose. :)  »

    « If someone wants to host them locally for whatever reasons, the images are public: https://github.com/twitter/twemoji  »

    J’ai évoqué la notification Canvas Provacy de Tor Browser. Réponse de Gary :

    « Yeah, that’s necessary to determine if the browser can support emoji – it draws the emoji on a canvas, then exports them and analyses the result. This is better than maintaining a list of browsers that do/don’t support emoji, as the emoji compatibility JS will automatically stop loading itself as soon as the browser updates with emoji support. »

    « There are plugins to disable emoji for sites that want to avoid causing this warning in the Tor Browser. »

    « I’m not very familiar with the Tor Browser, so I’m happy to make changes to remove that warning, provided we can maintain the same functionality. »

    Voilà les infos que j’ai pu récupérer — avec quelques jours de délai pour raisons personnelles, mais obtenues en quelques minutes via le canal Slack, que je vous enjoins à rejoindre pour discuter directement avec les développeurs.

    Et, comme je l’ai écrit dans le tweet de réponse d’hier, il ne faut pas hésiter à faire remonter les problèmes comme celui-ci sur le bugtracker de WordPress.

    Bonne journée !

    -xb / wpfr

    • Bonjour Xavier, merci pour ton retour et désolé si ton commentaire n’est pas immédiatement apparu, il a été bloqué par l’ogre Askimet…

      Je sais bien que WordPress France est une association qui n’est pas directement affiliée à WordPress (comme tu l’as rappelé sur Twitter), mais j’ai préféré solliciter la communauté Francophone en premier lieu, de sortes à avoir un premier avis/retour avant d’aller éventuellement vers les développeurs.

      A mon sens l’ajout de ce gadget non-désactivable, donc par définition imposée à tous ne fera pas de WordPress un meilleur CMS, au contraire il ravira les kikous et poussera certainement, un peu plus encore, les blogueurs sérieux à se tourner vers une d’autres communautés.

      Lorsque l’on propose ce genre de chose, cela devrait être une option désactivée par défaut, c’est un principe de base.

      Les logs apache sont bavards, le Canva HTML5 est exploitable pour réaliser du Fingerprinting, même avec toutes les meilleures intentions du monde les développeurs de WordPress ont fait une (nouvelle) erreur.

      As-tu le lien précis du ticket ?

      Si tout cela peu aider à établir une réflexion (pour les Dev, comme pour les Webmasters et visiteurs) sur cette thématique, ce sera déjà une petite victoire.

  3. Merci de ce billet, je crois que je n’aurais rien vu pendant longtemps, sauf que les smileys sont devenus tout moches, même après l’installation du plugin Disable Emojis.

    Mais c’est amusant de voir que tu utilises Akismet qui n’est pas neutre du tout. Est-ce que WP-SpamShield ne convient pas?

    • Effectivement j’utilise Akismet, pour le moment je n’ai pas trouvé d’alternative crédible, mais je dois avouer que je ne m’était pas trop penché sur le projet Honeypot.

      Par contre je ne connaissait pas WP-SpamShield, tu me le recommande davantage à Honeypot ? Si j’ai bien compris il a l’avantage de ne pas laisser sortir de données du site, mais j’ai du mal à croire à une fiabilité à 100% de leur solution.

      Du coup je viens également de découvrir Zero Spam, plutôt bien noté, mais sans info sur son mode de fonctionnement.

      Je vais tenter, quoiqu’il en soit merci à toi ! :-)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *