<p>Laurent: C'est vraiment pas mal (je pense à voix haute)... à mon sens, on a "Les en-têtes envoyés par le serveur spécifient la politique" qui est très explicite et clair. Le début est bon !<br />
<br />
La fin est moins immédiate ("communication d'infos sensible" est trop large et imprécis àmha, ce n'est pas dit qu'il n'arrive pas un en-tête différent qui ne tombe pas sur cette BP = dans l'absolu, HPKP pouvait tomber sur le coup de cette définition, je préfère reste sur des BP unitaires et facilement vérifiables, sinon personne ne s'en empare).<br />
<br />
{Les en-têtes envoyés par le serveur spécifient la politique de communication des referrers}?</p>
Bien vu. Pong : {Les en-têtes envoyés par le serveur spécifient la politique de communication d'informations sensibles} ?
C'est déjà un énorme progrès. En revanche, si un site décide de communiquer ses refferers, c'est son choix et je ne peux pas le critiquer. Donc je fais un mix :
{Les en-têtes envoyés par le serveur spécifient la communication d'informations sensibles} ?
je tente, d'après d'autres BP sécurité (cf la 194 sur l'auto-détection des types MIME) : {Les en-têtes envoyés par le serveur désactivent la communication d'informations sensibles} ?
J'insiste : pas de doute sur le fait que ça soit important, il faut juste une formulation correcte. Il faut aussi se demander si ça fait partie des choses que tout le monde doit connaître dans le Web. Si l'on considère que le terme referrer est important dans le SEO et dans la sécu, ça fait deux sujets majeurs, et donc c'est quand même à considérer. Déjà, pour simplifier, on peut garder le explicitement dans la mise en œuvre.
{La politique du site en matière de referrers est spécifiée}.
<p>+1 pour l'anglicisme... mais le seul souci, c'est que "référent" n'est pas très explicite (un des cas où la francisation fait perdre un peu la notion).<br />
<br />
Par contre, ça concerne beaucoup plus de site que ce que l'on croit : typiquement un paquet de sites envoient cette info complète, et ça révèle des infos sur l'admin (tiens un WP/etc.) ou des pages sensibles.<br />
Je ne compte plus le nombre de fois que j'ai vu des infos auxquelles je n'aurais pas dû avoir accès avec les gens qui partagent "est-ce qu'on met en prod" sur leur Confluence en interne, sur l'admin d'un site, sur des outils que je ne devrais pas connaitre, etc.<br />
<br />
Point idiot : je ne suis pas méchant avec "Est-ce qu'on met en prod", mais imagine que tu discutes en interne de tes concurrents, et que ces derniers apprennent que "sur la page du nouveau produit qui va les tuer avec l'URL qui va bien", on parle d'eux.<br />
<br />
Sur du site statique sans URL sensible, aucun souci, mais dès qu'il y a de l'admin ou des trucs en interne, l'URL ou même le nom de domaine envoyé en referrer est une info sensible. Pas pour rien que Mozilla Observatory recommande de s'y gaffer.</p>
Je sais que ça peut être important dans certains cas. J'ai deux problèmes :
1 La terminologie referrer qui est complexe, anglophone et peu explicite
2 la valeur ajoutée qui concerne finalement très peu de sites
<p>Amha, cela induirait en erreur, "identification des liens externes" peut être mal compris (compris comme les liens externes sont signalés, alors que le coeur de la BP est l'info envoyée par referrer).<br />
<br />
Là l'objectif est plus de définir une politique pour l'envoi de l'information en Referrer sur les liens externes (et cela a aussi des impacts sur des APIs comme CSP), cf https://openweb.eu.org/articles/referrer-policy<br />
Grosso modo, la question sous-jacente : est-ce que cette info peut être considérée comme sensible ou relatant de la vie privée?</p>
{La politique du site en matière d'identification des liens externes est spécifiée}. ?