L'uso della query string, la privacy e lo spargimento improprio di informazioni!

L'uso della query string è spesso travisato... molti non ne capiscono senso/significato. La query string è spesso vista solo come un semplice problema di passaggio di parametri ad una pagina... per questi  l'importante che i parametri siano pochi e brevi. La query string invece - a mio avviso - è un vero e proprio identificativo di una pagina... da qui a volte l'esigenza - ben descritta da Andrea, "Url rewriting e sitemap provider, un sodalizio inatteso" - di traformare tali parametri in parti dell'url per avere una migliore indicizzazione su quei motori di ricerca che stanno restringendone/esludendone l'uso.

Poichè la query string è identificativo di una pagina essa fa si che la stessa pagina con parametro in query string diverso (e titolo diveso) sia identificato come 2 pagine distinte nei motori di ricerca (esempio "http://www.mydomain.org/photos.aspx?y=2006" è diversa da "http://www.mydomain.org/photos.aspx?y=2005". La pagina e query string non è solo identificativo dei motori di ricerca ma è anche identificativo nei refereer che vengono inviati... Un classico report di gestione statistiche mostrata nei refereer l'Url completo e IP di provenienza. Questo non è in violazione della privacy perchè la persona che è entrata nel mio sito non è comuqnue identificabile (a meno di fare esplicita richiesta al provider etc... etc..  ). Ma cosa succede se qualcuno con leggerezza mette dati dell'utente in query string che - sostanzialmente e ironicamente - è solo un luogo come un'altro per passare i dati?!

Questo che ho postato è lo screenshot - censurato per correttezza - di una parte del report di statistiche di un sito che seguo. Qualcuno ha ricevuto per mail un link al sito (potrebbe essere anche una banale newsletter); quel qualcuno ha letto la mail da un webclient e ha usato il link... nella registrazione della richiesta è finito ovviamente anche il link del chiamante come refereer che includeva in query string anche nome utente (nome.cognome) e user identifier... ovviamente solo usando l'url che ho trovato non è possibile leggere la posta del malcapitato... ma questo non è un bell'esempio di spargimento improprio di informazioni dovuto ad un uso improprio della query string, no!?

posted @ giovedì 9 marzo 2006 14:44

Print
Comments have been closed on this topic.
«dicembre»
domlunmarmergiovensab
24252627282930
1234567
891011121314
15161718192021
22232425262728
2930311234