J’ai découvert par hasard aujourd’hui qu’on pouvait surfer avec une IP de Google en 66.249.x.x, chose que je considérais comme impossible jusqu’à présent (même si la technique en question existe depuis un moment déjà).
Mon rythme cardiaque c’est emballé en imaginant tout ce que ça pouvait impliquer, jusqu’à revenir à la normale quelques minutes plus tard en découvrant les limites.
Nous allons rapidement voir comment faire et pourquoi c’est limité.
1/ Comment « récupérer » une IP de Google
Google propose un plugin Chrome qui s’intitule Economiseur de données. Une fonctionnalité similaire, native, est disponible sur la version Android de Google Chrome.
Ce plugin fonctionne comme un proxy : lorsque vous appelez une page, c’est un serveur de Google qui récupère la page puis la compresse avant de vous la retourner pour vous faire économiser un peu de data.
Vous avez sûrement compris : en activant cette extension, vous utilisez une adresse IP de Google !
2/ Les limites
J’ai sur le moment cru que c’était la fin du cloacking et qu’on allait pouvoir tracer les réseaux de liens de tous nos concurrents, malheureusement (ou heureusement en fonction du contexte) ce ne sera pas le cas (si le cloacking est bien fait).
Première limite, le reverse DNS
Lorsqu’on fait un reverse DNS sur une adresse IP de Googlebot, lon obtient ça, le nom de domaine mentionne le terme « Googlebot ».
On fait la même chose sur une adresse IP qu’on obtient grâce au plugin, le terme Googlebot n’est pas mentionné dans le nom de domaine.
Du coup, si les scripts de cloacking pouvaient jusqu’à présent se limiter à un check de l’adresse IP (vérifier si l’adresse IP commence par 66.249), il est désormais indispensable de faire un reverse DNS et de vérifier que le nom de domaine termine par googlebot.com.
Mettez à jour vos scripts si ce n’est pas le cas.
Deuxième limite, le proxy n’est pas anonyme
Google n’est pas complètement fou, lorsque vous utilisez son plugin qui fait office de proxy, votre adresse IP réelle est tout de même transmise dans l’entête HTTP de la requête via le « X-Forwarded-For ».
Donc ne faîtes pas n’importe quoi, vous n’êtes pas anonyme.
Hello Jean-Benoit, je ne l’avais pas vu passer, merci pour la découverte.
Une astuce pratique pour s’amuser sans sortir l’artillerie. ;)
Salut Jean-Benoit et merci pour la découverte, je dois justement tester un script de cloaking ;)
Testé sur des jeux de cloaking SEO, cela ne semble pas fonctionner 100% du temps, peut être un autre paramètre en jeu ?
C’est un moyen simple de contourner les ‘this video is not available in your region’.
C’est quelque chose que je peux expliquer à mes parents.