L'uso della query string è spesso travisato... molti non ne capiscono senso/significato. La query string è spesso vista solo come un semplice problema di passaggio di parametri ad una pagina... per questi l'importante che i parametri siano pochi e brevi. La query string invece - a mio avviso - è un vero e proprio identificativo di una pagina... da qui a volte l'esigenza - ben descritta da Andrea, "Url rewriting e sitemap provider, un sodalizio inatteso" - di traformare tali parametri in parti dell'url per avere una migliore indicizzazione su quei motori di ricerca che stanno restringendone/esludendone l'uso.
Poichè la query string è identificativo di una pagina essa fa si che la stessa pagina con parametro in query string diverso (e titolo diveso) sia identificato come 2 pagine distinte nei motori di ricerca (esempio "http://www.mydomain.org/photos.aspx?y=2006" è diversa da "http://www.mydomain.org/photos.aspx?y=2005". La pagina e query string non è solo identificativo dei motori di ricerca ma è anche identificativo nei refereer che vengono inviati... Un classico report di gestione statistiche mostrata nei refereer l'Url completo e IP di provenienza. Questo non è in violazione della privacy perchè la persona che è entrata nel mio sito non è comuqnue identificabile (a meno di fare esplicita richiesta al provider etc... etc.. ). Ma cosa succede se qualcuno con leggerezza mette dati dell'utente in query string che - sostanzialmente e ironicamente - è solo un luogo come un'altro per passare i dati?!
Questo che ho postato è lo screenshot - censurato per correttezza - di una parte del report di statistiche di un sito che seguo. Qualcuno ha ricevuto per mail un link al sito (potrebbe essere anche una banale newsletter); quel qualcuno ha letto la mail da un webclient e ha usato il link... nella registrazione della richiesta è finito ovviamente anche il link del chiamante come refereer che includeva in query string anche nome utente (nome.cognome) e user identifier... ovviamente solo usando l'url che ho trovato non è possibile leggere la posta del malcapitato... ma questo non è un bell'esempio di spargimento improprio di informazioni dovuto ad un uso improprio della query string, no!?
posted @ giovedì 9 marzo 2006 14:44