wallabagger icon indicating copy to clipboard operation
wallabagger copied to clipboard

Published 20 hours ago verified publisher icon wallabag

Wallabagger 1.4.1 trop indiscret

Open prolibre opened this issue 7 years ago • 5 comments

En français désolé.

Wallabagger version 1.4.1

Je me rend compte que chacune de mes pages visitées est envoyée au serveur wallabag sous la forme

"GET /wallabag/api/entries/exists.json?url=https://github.com/wallabag/wallabagger/issues/new HTTP/1.1" 200 423 "-" "Mozilla/5.0 (***) Gecko/*** Firefox/54.0"

ce qui se retrouve dans les logs

Indicate if page already saved (this sends URL of each tab to wallabag, use HTTPS protocol for better security!) est OFF ( j'avais testé en activant puis j'ai désactivé mais la transmission se fait toujours)

prolibre avatar May 18 '17 10:05 prolibre

Translation : The server is called for each page visited even if the option is set OFF in the extension settings (it has been set to ON before).

tcitworld avatar May 18 '17 10:05 tcitworld

@tcitworld

j'ai davantage testé : en passant sur ON puis en re-basculant sur OFF les infos sont toujours transmises jusqu'au redémarrage du navigateur. Donc c'est moins grave que ce que j'imaginais.

Par contre le fait que les infos soit transmises directement en GET rend le module beaucoup trop indiscret ! (et ce malgré le SSL). Un simple accès au logs apaches donne toutes les visites des utilisateurs.

prolibre avatar May 18 '17 10:05 prolibre

So you need to reset your browser to apply the new settings, ok.

Par contre le fait que les infos soit transmises directement en GET rend le module beaucoup trop indiscret ! (et ce malgré le SSL). Un simple accès au logs apaches donne toutes les visites des utilisateurs.

C'est pour cela que l'option n'est pas activée par défaut. On pourrait peut-être mettre plus en avant l'avertissement. Je ne vois pas de possibilité de garder cette fonctionnalité tout en améliorant la vie privée. Cette option devrait surtout être utilisée pour de l'autohébergement.

tcitworld avatar May 18 '17 11:05 tcitworld

Il faudrait que je regarde pour permettre à Firefox de prendre en compte les modifications directement (sans avoir à le relancer). Sinon, le sujet de ce soucis est débattu du côté de wallabag : wallabag/wallabag#3157

Simounet avatar Jun 01 '17 12:06 Simounet

As suggested here (https://github.com/wallabag/wallabag/issues/3157#issuecomment-462320393), using the POST verb, instead of the GET could be a temporary solution. Still not perfect, as POST can still be logged by the server, but it is a very uncommon practice. Moreover, it is maybe a bad usage of POST...

I just tried to look at how this parameter was fetched in the code, but I too unfamiliar with Symfony to tell if it cares or not of the verb POST/GET.

From : https://github.com/wallabag/wallabag/blob/master/src/Wallabag/ApiBundle/Controller/EntryRestController.php#L61

$url = $request->query->get('url', '');

buzuck avatar Feb 12 '19 15:02 buzuck