1

Ce matin j'ai eu l'agréable surprise de voir que Zeph, toujours a la pointe de la technologie, avait apporté une nouvelle fonctionnalité du tonnerre au forum :
pGpR

Après un moment de joie intense où j'imaginais tout ce que la VR allait pouvoir apporter à l'expérience du yAronaute, je me suis rendu a l'évidence : cela vient juste d'un des contenus vidéo intégrés en provenance d'un site tiers qui souhaite récupérer les infos de configuration des casques VR pour mieux nous traquer fournir une expérience publicitaire optimale.

Ce qui me chagrine particulièrement, c'est que le message indique que la demande vient de "yaronet.com". Est-ce que ça veux dire que l’intégration de contenu tiers n'est pas sandboxé dans un mécanisme comme une iframe et que ça peut injecter du code directement sur yAronet ? Ça me parait problématique d'un point de vue sécurité.
avatar

2

A priori le coupable est vimeo, et il est bien chargé via une iframe. Donc il semblerait que c'est Firefox qui décide d'afficher que la demande vient du site général et non celui de l'iframe. Je suis pas sur si c'est une bonne idée ou pas.
avatar

3

Ptet qu'ils font ça pour identifier l'onglet. Si t'es sur yn et qu'on te dit que vimeo tente de faire ceci ou cela, l'utilisateur lambda va se dire "il a fumé ou quoi ? je suis pas sur viméo là".

Cela dit "Voulez-vous autoriser viméo affiché sur le site yaronet.com à accéder..." serait plus factuel...

(mais ptet qu'il ne sait pas faire la différence)
avatar
Webmaster du site Ti-FRv3 (et aussi de DevLynx)
Si moins de monde enculait le système, alors celui ci aurait plus de mal à nous sortir de si grosses merdes !
"L'erreur humaine est humaine"©Nil (2006) // topics/6238-moved-jamais-jaurais-pense-faire-ca

4

En effet l'intégration est unsafe, comme c'est malheureusement le cas avec pas mal de fournisseurs disponibles via la balise [media] (également implicitement utilisée sur les URL nues). C'est pour ça d'ailleurs que cette balise n'accepte qu'une whitelist et pas n'importe quel site, et je n'ai pas trop d'autre choix que de faire confiance à ceux qui sont disponibles puisqu'ils demandent souvent de pouvoir exécuter du code directement sur la page. C'est légitime quand ça sert à ce que affichage se fasse bien (ce qu'une iframe ne permet pas simplement, à ma connaissance), ça l'est bien sûr moins quand ça sert à injecter tout un tas de scripts dans la page.

La seule chose que je peux proposer, c'est de virer les fournisseurs qui "trichent" comme vimeo.
avatar
All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)

5

Zeph (./4) :
La seule chose que je peux proposer, c'est de virer les fournisseurs qui "trichent" comme vimeo.
Il va rester quoi ? peertube ?
avatar
Webmaster du site Ti-FRv3 (et aussi de DevLynx)
Si moins de monde enculait le système, alors celui ci aurait plus de mal à nous sortir de si grosses merdes !
"L'erreur humaine est humaine"©Nil (2006) // topics/6238-moved-jamais-jaurais-pense-faire-ca

6

Déso Uther c'est effectivement dû au lien Viemo que j'ai posté sur Thalassa. Et malheureusement il n'existe pas encore de moyen de se plonger en VR dans ce chef d’œuvre d'animation datant des 70s (et dont la refonte en 2000 avait été animée sous Amiga !)
avatar
"If you see strict DRM and copy protection that threatens the preservation of history, fight it: copy the work, keep it safe, and eventually share it so it never disappears. [...] no one living 500 years from now will judge your infringing deeds harshly when they can load up an ancient program and see it for themselves."

Benj Edwards - Why History Needs Software Piracy

- - -
Achat ou échange: topic de mes recherches / Meilleur smiley = #helico#