Bienvenue sur les archives forum du Parti Pirate


Le Parti Pirate refond complètement son forum et a migré vers un outil plus moderne et performant, Discourse !
Retrouvez nous ici : https://discourse.partipirate.org

[korben.info] Cookies – Comment vraiment respecter la loi ?

Avatar de l’utilisateur
yadlajoie
Loup de mer
Messages : 977
Inscription : mer. 16 oct. 2013, 02:11
Clé Publique GPG/PGP : https://pgp.mit.edu/pks/lookup?op=get&s ... 0AB70809DF

[korben.info] Cookies – Comment vraiment respecter la loi ?

Messagepar yadlajoie » mer. 29 juil. 2015, 05:39

Source : https://korben.info/respecter-loi-cookies-site.html

Vous n'êtes pas sans savoir que la loi impose maintenant à tous ceux qui font le Net, d'informer les internautes de la présence de cookies sur leur site ou leur application. Et c'est pour cela, que vous voyez maintenant partout, des barres d'information toutes moches, destinées à recueillir le consentement des internautes.

En tant qu'éditeur de site, votre rôle est donc d'informer les internautes de la raison d'être de vos cookies, d'obtenir leur consentement et de leur fournir un moyen de les refuser. Ça, c'est ce qu'explique la CNIL sur son site.

Et une fois ce consentement obtenu, vous l'avez pour une durée de 13 mois maximum. Après cela, il faudra le re-demander à l'internaute.

Les cookies qui nécessitent le consentement de l'internaute sont :


  • Les cookies liés aux opérations publicitaires
  • Les cookies des réseaux sociaux générés par les boutons de partage de réseaux sociaux
  • Les cookies de mesure d'audience (enfin, pas tous. Piwik en est exempté par exemple)

Les cookies qui ne nécessitent pas le consentement de l'internaute sont :


  • Les cookies de "panier d'achats" pour les sites marchands
  • Les cookies " identifiants de session ", pour la durée d'une session, ou les cookies persistants limités à quelques heures dans certains cas
  • Les cookies d'authentification
  • Les cookies de session créés par un lecteur multimédia
  • Les cookies de session d'équilibrage de charge ("load balancing")
  • Certains cookies de mesure d'audience exemptés comme Piwik ou Xiti (AT Internet)
  • Les cookies persistants de personnalisation de l'interface utilisateur.

La seule chose à retenir, c'est que tant que l'internaute n'a pas donné son consentement, vous n'avez pas le droit de lui déposer un cookie ou de lire un cookie existant (hormis ceux autorisés par la réglementation).

Ça part d'un bon sentiment, seulement, voilà... Ça a été pensé à l'arrache et c'est le bordel à appliquer.

Personne n'y comprend rien et techniquement, pas grand monde ne sait clairement comment bloquer un cookie avant qu'il n'arrive chez l'internaute. Que ce soit la CNIL, ou les initiatives privées comme celle de Google, ça reste très vague techniquement. La plupart des "webmasters" ne savent pas trop comment faire et ne comprennent pas forcément l'intégralité du périmètre de cette loi.

Beaucoup d'articles techniques sur le sujet sont à côté de la plaque et les internautes sensibilisés par TF1 sur la thématique, ne se rendent pas forcement compte des difficultés techniques qu'il y a à respecter cette loi sur les Cookies. J'en ai encore eu un beau spécimen la semaine dernière qui répétait bêtement sans vraiment tout comprendre que "les trackers c'est mal", et peu importe les arguments qu'on peut avancer en tant qu'éditeur de site, on passe forcement pour un gros enfoiré de la World Company qui veut sucer les données personnelles des visiteurs de son site.

Bref, tout ça pour dire que ce n’est pas simple et c'est pourquoi la plupart des sites se contentent d'un message d'information simple, avec des boutons Oui / Non. Mais ce message ne bloque en aucun cas les cookies en amont.

Ce que je vous propose donc, aujourd'hui, vu qu'aucun organisme officiel n'est foutu de faire son boulot correctement pour nous expliquer clairement le truc, c'est de vous détailler comment VRAIMENT bloquer les cookies sur un site WordPress (mais ça peut aussi le faire sur n'importe quel site / CMS) pour être VRAIMENT raccord avec la loi.

J'ai longtemps cherché un plugin WordPress qui respecte cette loi et voici ce que j'ai trouvé. Ça s'appelle CookieCuttr, et c'est dispo gratuitement pour ceux qui n'ont pas peur de mettre les mains dans le cambouis (fichiers bruts), ou pour 11 $ sous la forme d'un plugin WordPress qui permet une intégration automatique et une personnalisation des messages.

Le principe de ce plugin est simple. Il utilise jQuery.cookie pour récupérer la valeur du cookie cc_cookie_accepted ou cc_cookie_declined afin de déterminer si oui ou non l'internaute a accepté les cookies. Attention, si vous rencontrez des problèmes d'intégration, vérifiez bien que jquery.js et jquery.cookie.js ne sont appelés qu'une seule fois, et sont bien appelés AVANT le code ci-dessous ($.cookieCuttr.accepted). J'ai galéré un peu de mon côté, car mon WordPress chargeait tout ce qui était jQuery dans le footer automatiquement. J'ai donc du tout remonter dans le header pour que ça se passe bien.

Revenons à nos moutons. Votre mission, ça va être de filtrer tous les scripts (internes ou externes) sur vos pages qui créent ou consultent des cookies, grâce au code suivant :

Code : Tout sélectionner

   
    if($.cookieCuttr.accepted) {
    // Et ici c'est votre code qui créé des cookies.
    }


Notez que si vous utilisez le plugin WordPress Cookie Notice, vous pourrez aussi faire cette vérification de cookies avec le code suivant :

Code : Tout sélectionner

 
       if( function_exists('cn_cookies_accepted') && cn_cookies_accepted() ) {
       // Et ici c'est votre code qui créé des cookies.
       }


Dès que CookieCuttr est en place, vous devriez voir un message comme ceci avec un beau bouton Oui / Non :

Image

Si vous avez acheté le plugin WordPress, vous pouvez personnaliser tout ça :

Image

Bon, ça c'est la théorie. Maintenant, en pratique, quand on est sous WordPress, et qu'on a une blinde de plugins et plusieurs scripts externes appelés (publicitaires ou non), il faut partir à la chasse aux cookies et ce n’est pas simple !

Première étape donc, l'état des lieux. Je vous recommande de commencer par votre home, mais vous ne devrez pas oublier les articles (single-*.php) ou les pages (page-*.php) ou tout autre type de contenu susceptible d'appeler des scripts différents. Pensez aussi aux widgets et à la version mobile de votre site.

Pour cet inventaire, j'ai utilisé Chrome, mais vous pouvez aussi faire ça avec Firefox. Vous pouvez voir les cookies ici (dans les outils développeur du navigateur) et si vous faites un clic droit sur chaque élément, vous pouvez les supprimer (Clear) pour recommencer vos tests :

Image

Ou alors, installez carrément le plugin Edit This Cookie (Sous firefox, il y a Cookie Manager+).

Le cas le plus courant est celui de Google Analytics. je vais donc prendre ça comme premier exemple. Petite parenthèse, pour tous ceux qui vont me parler de Piwik, sachez que j'ai déjà testé sur plusieurs mois et malheureusement, ça ne fait pas la moitié de l'outil de Google pour le moment. Le jour où Piwik proposera les mêmes fonctionnalités que Analytics, il est évidemment je switcherai immédiatement.

Voici donc mon code Google Analytics. C'est ce code qui plante les cookies _ga et _gat dans les browsers :

Code : Tout sélectionner

    <script>

    (function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
    (i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
    m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
    })(window,document,'script','//www.google-analytics.com/analytics.js','ga');
    ga('create', 'UA-94076-1', 'auto');
    ga('send', 'pageview');

    </script>


Pour bloquer le chargement de ce code, tant que l'internaute n'a pas accepté les cookies, il faut l'encadrer avec ce "if" :

Code : Tout sélectionner

    <script>
    [b]if(jQuery.cookieCuttr.accepted){[/b]

    (function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
    (i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
    m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
    })(window,document,'script','//www.google-analytics.com/analytics.js','ga');
    ga('create', 'UA-94076-1', 'auto');
    ga('send', 'pageview');

    }
    </script>


Vous pouvez maintenant faire le test. Pas de cookie _ga et _gat au chargement de votre site et si vous acceptez le chargement des cookies, hop, ils apparaitront dans la liste des cookies de votre navigateur :

Image

Voilà c'est pas plus compliqué que ça. Notez que le plugin CookieCuttr propose un support direct d'Analytics via son interface de gestion pour ceux qui veulent.

Maintenant, là où ça va se compliquer c'est pour le reste. Il n'y a que vous qui puissiez savoir ce que vous appelez comme script à cookie. Logiquement, vous devriez les reconnaitre, mais en cas de doute, faites une petite recherche sur le net avec son nom pour trouver à quoi ça correspond.

En général, il suffit donc de localiser tous les <script></script> et de les passer dans le if(jQuery.cookieCuttr.accepted){}.

Voici quand même 2 cas particuliers que j'ai isolés.

Tout d'abord, les appels JS externes en SRC comme ceci :

Code : Tout sélectionner

<script src="//cdn.domain.com/xxxxx/script.js" type="text/javascript"></script>


Comme le script est externe à vos pages, vous allez devoir le reconstruire en JS comme ceci et en profiter pour ajouter le if dont on parle depuis le début :

Code : Tout sélectionner

    <script>
    [b]if(jQuery.cookieCuttr.accepted){[/b] 
        var script = document.createElement('script');
        script.src = "//cdn.domain.com/xxxxx/script.js";
        document.getElementsByTagName('head')[0].appendChild(script);
    }
    </script>


Second cas particulier, les appels en iframe de pages externes qui contiennent des cookies comme ceci :

Code : Tout sélectionner

    <iframe name="maframe" id="maframe" src="https://domain.com/
    mapagepleinedecookies.html" scrolling="no" height="640" width="200" frameborder="no"></iframe>


Vous allez devoir vider l'iframe et la recharger en JS avec la bonne URL comme ceci :

Code : Tout sélectionner

    <iframe name="maframe" id="maframe" src="" scrolling="no" height="430" width="320"
    frameborder="no"></iframe>
    <script>
    [b]if(jQuery.cookieCuttr.accepted){[/b]
        function replaceIframeURL(nm, url) {
        window.frames[nm].location.replace(url);
        }
       replaceIframeURL('maframe', 'https://domain.com/mapagepleinedecookies.html');
    }
    </script>


En faisant comme ça, votre frame ne se chargera pas tant que les cookies n'auront pas été acceptés.

Bon voilà... je vous ai présenté là, l'essentiel du filtrage des cookies et les 3 cas de figure les plus communs. Dans certains cas, vous devrez même aller modifier directement le code source de certains plugins. Tout ça, c'est très relou à faire, mais faut le faire, car c'est la loi.

Mais attendez, ce n'est pas fini. Vous devez aussi expliquer clairement à vos internautes, ce que sont vos cookies et quelle est leur finalité. Par conséquent, vous devez prévoir un premier message clair pour demander s'ils acceptent ou non les cookies...

Image

... mais aussi une page comme celle-ci pour leur donner plus d'info sur chacun des cookies que vous utilisez, à quelle fin et comment s'en débarrasser.

À vous de voir pour le détail du texte, mais sachez que cela doit être clair et compréhensible avec ce qu'il faut comme liens pour que M. et Mme Michue puisse enlever vos cookies simplement.

Conclusion :

J'en ai chié grave. Ça m'a pris du temps, mais maintenant je suis réglo. Enfin, je pense être réglo, car quand on a un site comme le mien qui a 11 ans d'âge et des tonnes de pages spécifiques dans tous les sens, il est toujours possible que quelques trucs soient passés à la trappe. Je vais donc continuer mes tests et voir ce que ça donne.

Après au niveau du message d'avertissement en lui-même, je me tâte... Pour le moment, je l'ai fait aussi discret que possible, mais je pense que ce serait plus intéressant de l'afficher en énorme... Voire même en mode bloquant comme ils le font sur Slashdot. Soit l'internaute accepte les cookies et peut surfer sur le site, soit il ne les accepte pas et se fait rediriger ailleurs. Une autre solution serait de considérer (sous réserve d'expliquer tout ça à l'internaute) que le premier clic page+1 sur le site fait office d'acceptation des cookies.

Bref, je dois encore réfléchir un peu à tout ça, c'est un sujet intéressant et aux conséquences incertaines. On verra bien d'ici quelques jours / semaines, comment ça se passe grâce aux retours des internautes.

En tout cas, j'espère que ce modeste article vous aura aidé à y voir plus clair dans tout ça ! N'hésitez pas à le faire tourner à vos pôtes webmasters, ça leur servira peut-être :)

Bon appétit bien sûr !

Source : https://korben.info/respecter-loi-cookies-site.html
L'activité politique est un jeu rigolo et j'ai grand plaisir avec / Political activism is a kiddy game and i have a lot of fun with :)

Avatar de l’utilisateur
yadlajoie
Loup de mer
Messages : 977
Inscription : mer. 16 oct. 2013, 02:11
Clé Publique GPG/PGP : https://pgp.mit.edu/pks/lookup?op=get&s ... 0AB70809DF

Re: [korben.info] Cookies – Comment vraiment respecter la loi ?

Messagepar yadlajoie » ven. 21 août 2015, 15:06

Image


WordPress est LE CMS le plus populaire au monde, avec plus de 75 millions de sites qui l’utilisent dans le monde, que ce soit pour la création de blogs, de sites vitrines ou encore de sites E-commerce, WordPress est massivement utilisé, mais pas toujours aussi bien qu’il le faudrait. Cette infographie revient sur les 10 principales erreurs à ne plus commettre en 2015 avec WordPress.

Erreur 1- Garder l’identifiant de connexion « Admin » pour le compte administrateur

Toutes les attaques par force brute qui ciblent des installations WordPress seront plus à même de pénétrer votre site internet si ce dernier dispose d’un compte administrateur avec un login inchangé « admin ». En effet, les assaillants commencent toujours par les sites les plus faciles à pirater, ils vont donc dans un premier temps essayer de pénétrer tous les sites avec des identifiants inchangés.

Cette modification d’identifiant doit être faite dès l’installation de WordPress. Si cela n’a pas été fait sur votre site internet et que vous souhaitez le corriger, il vous faudra dans un premier temps créer un second compte administrateur avec l’identifiant de votre choix. Une fois ce second compte créé, il suffira de supprimer l’ancien compte en attribuant l’ensemble des articles publiés par ce compte à votre nouveau compte administrateur. Cette petite modification protégera un peu mieux votre installation WordPress mais attention, c’est loin d’être suffisant !

Erreur 2- Garder les préfixes des tables de votre site sous la forme « wp_ »

Cette seconde erreur fréquente affecte elle aussi la sécurité des installations WordPress. Moins connue, cette erreur n’en reste pas moins problématique. Cette modification a elle aussi lieu dès l’installation de votre CMS WordPress sur votre nom de domaine. Par défaut WordPress utilise le préfixe « wp_ » pour les tables de la base de données, vous pourriez très bien utiliser vos initiales pour éviter de dévoiler trop facilement à un hacker que votre site utilise WordPress comme CMS. Il convient donc, dans la mesure du possible, de modifier ce préfixe dès la création du site internet. Une fois le site créé, cela devient beaucoup plus compliqué…

Erreur 3- Ne pas faire de backups réguliers de son site WordPress


Créer des sauvegardes de son site est primordial pour s’assurer une remise en état sereine en cas de problème technique ou attaque d’un hacker. Dans le cas des blogs, créer des sauvegardes plus ou moins étalées en foction de son rythme de publication est indispensable. Si vous ne vous y connaissez pas trop en sauvegardes de bases de données et site, il existe de nombreux plugins qui pourront vous aider, parmi eux, BackUp Buddy est le meilleur à ma connaissance (mais payant).

Erreur 4- Créer trop de catégories mais peu de tags

Pour optimiser son référencement naturel, il est important de penser à la structure de son site internet dès le début. Pour améliorer la structure de votre site WordPress, il est fortement recommandé de créer peu de catégories mais un nombre plus important de mots-clés (tags) qui regrouperont les contenus sous la forme d’une structure en silo.

À titre d’exemple pour Leptidigital, nous disposons de la catégorie « Réseaux Sociaux » qui dispose ensuite de tags dédiés comme « Facebook », « Twitter » ou encore « Vine » par exemple. Il faut en revanche prendre garde à ne pas créer TROP de tags, ce qui pourrait engendrer du contenu dupliqué sur votre site et des pages inutiles. Par exemple évitez de créer des tags proches les uns des autres comme ceci : référencement, référencement naturel, référencement web. Choisissez le mot clé avec le plus de potentiel et capitaliser ensuite tous vos efforts dessus.

Erreur 5- Garder les plugins inactifs ou désactivés

Une autre erreur fréquente sur WordPress consiste à ne pas supprimer les plugins inactifs ou désactivés. Dans la course aux performances en terme de vitesse de chargement, il est fortement recommandé de limité le volume de plugins installés sur votre site WordPress, garder les plugins inactifs est donc parfaitement inutile voir même néfaste, un petite ménage ne fera pas de mal !

Erreur 6- La validation de commentaires Spammy

Les commentaires de type « Très bon article merci » de « Référencement Lille » sur un article sur Facebook non clairement pas à apparaître sur votre site, cela vous pénalise plus qu’autre chose que de valider des commentaires pauvres en contenu avec des liens externes sur des ancres optimisées sur ce qui est censé être le nom de la personne.

Si vous croisez ce type de commentaire sur votre blog, n’hésitez plus, supprimez.

Pour les commentaires plus aboutis, avec une vraie réflexion en rapport avec l’article, si la personne utilise son prénom ou son nom + prénom dans l’ancre du lien, une validation du commentaire peut être envisagée dans la mesure ou ce dernier est constructif et apporte ainsi du contenu de qualité en complément de votre article.

Erreur 7- Modifier les URLs sans mettre en place de redirections 301

Une URL ne vous convient plus et vous souhaitez la changer ? De nombreux webmasters oublient de mettre en place des redirections 301 après une modification d’URL publiée, or cela affecte particulièrement négativement le référencement des sites. Si vous souhaitez modifier l’URL d’un article ou d’une page déjà publiée sur votre site, il conviendra de mettre en place des redirections 301 de l’ancienne page vers la nouvelle (via le fichier .htaccess notamment ou à l’aide du plugin WordPress SEO by Yoast). Une fois la redirection en place, utilisez un outil de crawl de type Xenu ou Screaming Frog pour détecter l’ensemble des anciens liens qui pointent vers votre ancienne page, même avec la redirection en place, il convient de les modifier pour les rediriger vers votre nouvelle URL.

Erreur 8 – Ne pas tester son site après l’installation d’un nouveau plugin


À chaque installation et activation d’un nouveau plugin, il convient de tester son site internet pour s’assurer qu’il n’affecte pas négativement l’affichage ou les fonctionnalités de ce dernier. Les plugins n’étant pas compatibles avec tous les thèmes, de nombreux problèmes de mise en forme peuvent apparaître à l’activation d’un plugin non compatible avec votre thème WordPress.

Erreur 9 – Avoir index.php dans ses liens internes vers la Home

Faire des liens vers votre page principale en gardant le index.php à la fin risque de pénaliser le référencement de votre site, il convient donc d’éviter cette pratique à tout prix et de préférer des liens traditionnels vers l’url de votre site de ce type : http://www.leptidigital.fr/

Erreur 10 – Révéler publiquement des informations sur la version de son CMS / Thème

À chaque mise à jour de votre CMS WordPress, un fichier read-me est ajouté à la racine de votre installation. Ce fichier contient des informations sur votre version de WordPress, si vous ne mettez pas à jour fréquemment votre CMS avec les dernières versions, les hacker pourraient se servir de ces informations pour utiliser des failles de sécurité connues sur votre version de WordPress.

L’infographie complète sur les erreurs fréquentes à éviter avec WordPress

Image


Si vous aimez WordPress autant que nous, dans le même style d’article, voici 10 astuces pour rendre son site WordPress plus pro (chez WP Marmite) ! Par Vincent Brossas
L'activité politique est un jeu rigolo et j'ai grand plaisir avec / Political activism is a kiddy game and i have a lot of fun with :)


Revenir vers « année 2015 »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 4 invités