Site "pompé" via ORT

EricB9 · July 19, 2017, 5:39pm

Bonjour,

Le site de mon entreprise a été pompé en redirection ORT par une personne inconnue, c'est-à-dire que cette personne (en anonyme bien sûr…) a créé un nom de domaine et utilisé la redirection OVH transparente pour afficher notre site.

Cela pose des soucis de sécurité et génère du tort en SEO, puisque le domaine est référencé en nous faisant concurrence voire en générant du duplicate content. C'est du squatting quoi… peut-être aurez-vous un autre nom pour ce genre de chose.

Question 1 : comment se fait-il qu'il soit possible d'acheter un domaine chez OVH et de définir une redirection transparente vers un domaine qui n'appartient pas à l'acheteur de ce nouveau domaine?

Question 2 : comment se prémunir de ce genre de "pompage", c'est-à-dire empêcher un domaine d'afficher un autre site en iframe? On peut passer par HTTP_REFERER, sauf que ça peut être assez aléatoire selon les navigateurs. Pour le meta X-Frame, il me semble que cela peut fonctionner aussi, mais a priori pas forcément compatible avec tous les navigateurs non plus. Enfin, la solution javascript n'en est pas une, puisque le code source sera tout de même chargé.

Une idée?

En vous remerciant.

janus57_1 · July 19, 2017, 5:53pm

Bonjour,

Question 1 : comment se fait-il qu'il soit possible d'acheter un domaine chez OVH et de définir une redirection transparente vers un domaine qui n'appartient pas à l'acheteur de ce nouveau domaine?

car c'est possible de le faire sans redirection, alors pourquoi OVH le bloquerais ? Et surtout comment OVH vérifierais les milliers de redirections ?

Question 2 : comment se prémunir de ce genre de "pompage"

avec "X-FRAME-OPTIONS" (Cf : https://developer.mozilla.org/fr/docs/Web/HTTP/Headers/X-Frame-Options) + "frame-ancestors" (https://1policy.compolicy.com) cela doit couvrir une bonne partie des navigateurs (et robots d’indexations logiquement).

Cordialement, janus57

EricB9 · July 19, 2017, 5:58pm

Bonjour Janus57,

Merci de ta réponse rapide.

Il est vrai que c'est possible directement en code sans passer par une redirection.

Je vais donc regarder l'option X-FRAME-OPTIONS + frame-ancestors.

Je te remercie.

Cordialement,
Éric

Buddy · July 19, 2017, 6:01pm

Ceci dans le htaccess devrait régler le problème

Header always append X-Frame-Options SAMEORIGIN