33 private links
Selon La Poste, si la fenêtre du navigateur est trop petite, alors il s'agit forcément d'un appareil mobile... facepalm
Chers développeurs, ne connaissez-vous donc pas les user agent et consorts ?
J'ai tenté de débusquer et comprendre le code JS fautif, mais je jette l'éponge : c'est indigeste, même en dé-minifiant 🤢
Tout ce que je peux dire, c'est que ça se trouve dans ce fichier : https://www.post.ch/api/headerjs?serviceid=ttb
On dirait du Brainfuck. Je n'ai même pas envie de comprendre comment cela fonctionne, je tiens à ma santé mentale.
Mon Dieu... Je regardais le code source de la page de login d'un site (dont l'absence de design en disait long) et je suis tombé sur une perle...
Déjà, je trouvais bizarre qu'il y ait une réimplémentation de MD5 en JS (seul code présent, d'ailleurs). Enfin soit, pourquoi pas, ça peut se justifier !
Je présentais un truc horrible et, malheureusement, mes craintes se sont trouvées fondées lorsque je suis tombé sur cette ligne (un peu modifiée pour des raisons de confidentialité et pour mieux y voir) :
<input name="login" type="submit" value="ENTRER" onClick="password.value = md5(md5(password.value) + 35755);">
Oui, regardez bien le code JS implémenté dans l'événement onClick : password.value = md5(md5(password.value) + 35755);
Visiblement, quelqu'un s'est renseigné sur comment sécuriser ses mots de passe, mais sans rien y comprendre au final oO
Ici, il fait un double hash MD5 du mot de passe (avec un sel)... c'est bien... mais du côté client !
Au final, ce hash sera envoyé au serveur et comparé tel quel avec celui stocké en BDD. Il est où l'intérêt ? Autant envoyer le mot de passe directement et le stocker en clair dans la BDD !
Évidemment, la connexion n'est pas sécurisée...
Et voilà : quelqu'un a codé Windows 3.11... en Javascript !
Rajouter WoT dans vos pages, c'est HYPER-SIMPLE : ajouter la ligne suivante n'importe où dans votre page et chaque lien sera vérifié par WoT avec le symbole à côté !
<script type="text/javascript" src="http://api.mywot.com/widgets/ratings.js"></script>
Si vous souhaitez exclure les liens internes de votre site, pour ne vérifier que les URL externes, ajoutez ceci :
<script type="text/javascript"
var wot_rating_options = {
exclude: /^(.+.)*votresite.com$/i
};
</script>
Et il y a plein d'autres moyens de personnaliser !
Pas d'API lourdingue ou de trucs compliqués à faire, bravo WoT ;)
On peut voir un exemple fonctionnel ici : http://googlof.com
Pratique, mais peu connue et utilisée : la balise defer !
S'utilise dans le tag <script> pour spécifier que le chargement du script externe doit se faire une fois que la page a fini de charger !
Par défaut, les scripts (JavaScript) sont chargés et exécutés au fur et à mesure du chargement de la page, ce qui ralentit passablement son affichage (d'autant plus que les scripts sont souvent placés en début de fichier et ne peuvent être téléchargés en parallèle, contrairement aux CSS).
Avec cet attribut, vous optimisez la rapidité d'affichage de vos pages ;)
Cerise sur le gâteau : ça existe depuis HTML 4.01 et il fonctionne même sur IE !