"Privacy First" sur lokan.jp en 2022
Publié le vendredi 29 avril 2022 dans la catégorie DayByDayCet article et la vidéo qui l'accompagne sont dédiés au site internet car beaucoup de changements important y ont eu lieu : "privacy first" pour donner à nouveau l'exemple.
Optimisation du site
Comme vous l'avez peut-être vu sur Instagram, le site a été optimisé pour passer d'un Grade C à un Grade A+ en terme de performances. Ça veut dire qu'il se chargera beaucoup plus vite mais aussi et surtout, qu'il est "bien fait" - et ça, c'est très important ! Il respecte les standards attendus par un site moderne et reste parmi les sites les plus efficaces.
C'est une très grosse fierté de vous proposer ce niveau de performances et ce ne serait pas possible sans Florian, qui a fait - et continue de faire - un travail incroyable. Merci mec !
La fin des publicités sur le site
En optimisant le site,on s'est aussi rendu compte d'un truc : la publicité dégrade énormément l'expérience utilisateur, pour deux raisons :
- C'est très moche et le mode automatique de Google est "violent"
- Ça rajoute du contenu à télécharger qui ne sert à rien, ou est bloqué par votre bloqueur de publicité
J'ai donc regardé ce que rapportaient les publicités sur le site et après une discussion avec les membres du Discord (oui, une de plus, ce sont eux qui décident) on a supprimé les publicités sur le site.
Double victoire puisque :
- Le site est effectivement plus rapide à charger
- On gagne également en vie privée, puisque ça fait un tracker en moins
L'effet pelote de laine continue, puisque la suppression de ce tracker m'a fait prendre conscience de l'impact d'un autre : Google Analytics.
Suppression de Google Analytics
Depuis dimanche, le tracking Google Analytics est supprimé et remplacé par Matomo. J'ai la sensation de gagner au change car l'utilisation de ce dernier est réellement plus simple. Je retrouver facilement les métriques qui m'intéressent et l'affichage est conventionnel et attendu : pas de variables dans tous les sens, juste des métriques.
Ce qui est très agréable ici, c'est que toutes les données restent sur mon serveur et n'alimentent plus Google en contribuant à votre tracking.
Suppression de Disqus
Durant la période d'optimisation, j'ai également voulu revoir le système de commentaires, qui était précédemment sous-traité à Disqus. Le problème, c'est que là non plus, on ne maitrise pas ce qui est fait avec les données, ni la propreté du code déployé par la solution Disqus.
Ça me grattait depuis quelques temps, donc hop! Disqus a viré au profit des commentaires natifs de WordPress (et ça fonctionne mieux). Moins de tracking pour vous, c'est toujours bon à prendre.
Amélioration de la sécurité du site
Dans le même état d'esprit, on a supprimé Cloudflare pour se reposer sur de la sécurité qu'on maitrise. De ce fait, on passe d'un grade B à un A+ sur les tests SSL de Qualys.
Implémentation du GPC
La Global Privacy Control est ce qu'aurait du être la RGPD et sa gestion désastreuse des cookies. Dîtes une fois à votre navigateur que vous ne voulez pas être suivi et c'est fini. Au lieu de devoir accepter/refuser des cookies sur chacune des pages que vous visitez : beaucoup plus simple, beaucoup plus efficace.
C'est actuellement géré par défaut dans Brave et DuckDuckGo, il faut l'activer dans Firefox (ou installer l'extension DuckDuckGo), et d'autres navigateurs suivront.
Création des règles sur la vie privée
L'arrivée du navigateur DuckDuckGo et la découverte de son extension de navigateur m'a permis d'améliorer d'autres choses. Par exemple, lokan.jp ne possède pas de Privacy Practices. Si j'essaye de faire au mieux, tant que cet élément n'est pas présent, vous n'avez aucun moyen de savoir ce qu'il se passe réellement (un peu comme des conditions générales d'utilisation).
Là aussi, ce simple élément nous permettra de passer d'un grade C à un grade A+. L'enregistrement est cours auprès de l'instance ToS;DR.
Conclusion
Pour ne rien vous cacher, je suis très fier de ces modifications et de ce qu'elles représentent. Il est important de donner l'exemple et d'expliquer que ça ne veut pas dire "perdre en contrôle" ou "proposer un service de moins bonne qualité". Dans le même temps, j'ai migré mon mail perso de Gmail vers Protonmail, en utilisant un nom de domaine très sexy que je gardais au chaud depuis des années.
La sécurité est très importante, mais hélas, il faut encore expliquer "pourquoi". Ce n'était pas l'objet de cet article. C'est un autre débat. En revanche, ceux que ça intéresse savent qu'ici, ils sont les bienvenus.
Tu peux partager le lien de ton site ?
Stp… c’est pour un pote 😁
Salut,
C’est bonne nouvelle tout ça. Espérons que de plus en plus de site y passe.
Par contre, je remarque dans mon rapport de confidentialité Safari iOS pour ton site que j’ai toujours cloudfare.com, doubleclick.net et Google.com. Est-ce normal?
Tous l’historique, le cache, etc ont été effacés.
Manifestement tu es loin d'avoir vidé ton cache…
Comme je souhaits le sous entendre dans la question « Est-ce normal? », il se fait en réalité que le rapport de confidentialité est indépendant de la suppression des données sur Safari (je pensais que ça l’aurait aussi réinitialisé).
Il reprend les 7 derniers jours et ça explique pourquoi les sites précédemment cités apparaissent toujours.
En dehors de la blague, encore bravo à toi pour tous ces efforts que tu fais pour ton site Internet.
C’est extrêmement rare de voir ça, c’est pourquoi je veux le souligner de nouveau .
Pour moi, la vie privée ( Numérique/ IRL ) est extrêmement importante à mes yeux.
Donc merci à Florian qui a fait ce superbe site, et merci encore Lokan pour ce contenu !
( je ne fais que commenter sur ton site car je n’ai pas trop confiance en YouTube en terme de collecte de données.
Et pour ceux qui me lises, sachez que YouTube appartient à Google )
Le site qu'il a utilisé pour voir comment optimiser ses métriques : https://gtmetrix.com/
Hello Lokan,
La suppression de toutes ces ressources externes impliquent donc la suppression de Recaptcha potentiellement ? Qu’utilises-tu désormais pour protéger ton formulaire de contact ?
Mmm, bien vu ! Je l'ai tout bonnement oublié.
Que conseilles-tu ?
Bonjour,
Bravo et merci pour tous ces changements !
Pour les capchtas, j'en ai trouvé 2 qui semblent intéressants, simples et libres :
Un qui au lieu de détecter si l'on est bien humain, va détecter si l'on est un robot : https://github.com/subwindow/negative-captcha
L'autre, plus classique, en cliquant sur l'image qui correspond: https://captcheck.netsyms.com/
À+
Salut mec,
Merci beaucoup pour ton retour. On va regarder ça de près 😇
Hello, bravo pour les optimisations, c'est super cool de faire ça.
Par rapport à l'utilisation de Matomo, aux dernières nouvelles Google Analytics n'était pas conforme avec le RGPD alors que Matomo l'est déjà, c'est une très bonne chose ! (Ça a peut être changé depuis pour GA mais j'ai rien vu là-dessus)
Tu as déjà pensé à regarder les scores d'accessibilité de ton site aussi (RGAA) ? Je ne sais pas si des personnes malvoyantes / malentendantes regardent ton blog mais ça pourrait être intéressant de voir ce qu'il en est sur tu ne t'es pas encore penché sur la question.
Bonne journée !
Salut Maxime,
Eh bien ça ne m'est jamais venu à l'idée, non. On va regarder ça…
Salut Lokan,
Très bon sujet !
Pour aller un peu plus loin dans l'optimisation du site, tu as https://www.dareboost.com/fr (Sté FR) qui propose de te montrer ce qui pourrait être amélioré, dans la même lignée que GTmetrics.
L'ennemie de la vitesse étant le poids, tu as l'outil Imagify qui permet de repasser sur tes images pour les redimensionner, sans perdre en qualité (tu peux choisir le niveau de compression). Ce sont les Français de WP Média (WP Rocket) qui développent l’outil.
Bon choix pour Matomo, je l’utilise sur la grande majorité de mes sites depuis +4 ans et c’est clairement plus simple à utiliser qu’Analytics. Les plugins de Matomo permettent d’aller plus loin avec l’outil.
Du côté de Google, tu as la Search Console (https://search.google.com/search-console/about) qui permet d’avoir des informations précieuses sur son site, avec des axes d’optimisations (Expérience sur la page ; Signaux web essentiels ; ergonomie mobile) , côté Bing aussi https://www.bing.com/webmasters/about (moins de recherches sur Bing mais de très bonnes infos sur son site à récupérer).
Pour les traqueurs, il me semble que Google arrive à poser un cookie via le code Embed Youtube sur son site, à confirmer si c'est toujours le cas.
Bonne optimisation 👋
Salut Jonathan,
Merci pour tous ces inputs. On va regarder ça 😎
Salut Lokan,
autant le dire direct je comprend rien à l’informatique de ce côté là.
Mais en tout cas savoir que la vie privée est primordial ici ça fait plaisir à lire.
Et le fait de revenir sur l’ancienne façon de commenter tes articles me satisfait encore d’avantage.
Un sacré taf que vous avez réalisé.
Bonne soirée
Oh Remi !!!! Longtemps que je ne t'ai vu ! Ravi que tu repasses par ici et que tout ça te plaise 😇
Hello,
Effectivement, beaucoup de changements qui apportent une meilleur vie privé sur Lokan.jp, on ne peut que vous en féliciter.
Une question qui me trotte dans la tête du coup, c'est, quel est l'intérêt d'un WordPress à ce niveau là ? Ce que je veux dire, c'est que Lokan.jp, reste un blog très basique dans son fonctionnement, et doit à peine utiliser 15% à 20% des fonctionnalités offertes par WordPress.
Pourquoi dans ce cas la, ne pas utiliser un générateur de site static qui permet de n'avoir que du HTML/CSS/JS sur le serveur et donc d'améliorer encore grandement les performances pour les visiteurs ? Il y a le très bon "Hugo" (https://gohugo.io) qui fait ça très bien, et qui prend en charge l'ajout de commentaires sur les articles, ou même de l'analytics avec Matomo aussi :).
Encore une fois, bravo pour le travail réalisé !
Bonne journée.
Salut Quentin,
Je retourne ta question : pourquoi utiliser autre chose qu'un WordPress ? Ne vaut-il pas mieux avoir un système évolutif que quelque chose qui est déjà au maximum de ses capacités ou ne sera pas "scalable" ?
Le site a 16 ans ! 16… ans…! Je ne vais pas m'amuser à tout migrer d'une plateforme à l'autre tous les 6 mois parce qu'un nouveau générateur arrive sur le marché (et n'apporte rien de plus).
Je comprends ton approche, mais elle n'est pas du tout pragmatique.
Hello,
Merci pour le retour.
Je vais répondre points par points du coup pour étayer un peu mes propos.
"pourquoi utiliser autre chose qu'un WordPress ?": Justement avec ce que je propose on va bien plus loin dans l'optimisation et on évite de charger tout un wordpress, et tout ce qui va avec pour uniquement faire du rendu de page HTML "basique" (au sens blog donc pas de besoins extravagants).
"Ne vaut-il pas mieux avoir un système évolutif que quelque chose qui est déjà au maximum de ses capacités ou ne sera pas "scalable" ?": Alors oui WordPress est évolutif, mais quel intérêt de sortir le bulldozer pour tondre la pelouse ? Ne vaut-il pas mieux utiliser justement quelque chose de stable et de plus simple ? Par ailleurs, les générateurs de sites statiques sont loins d'être au maximum de leur capacités et peuvent très bien être scalable, ce n'est pas une excuse au fait de choisir WordPress plutôt que quelque chose de statique.
"Le site a 16 ans ! 16… ans…! Je ne vais pas m'amuser à tout migrer d'une plateforme à l'autre tous les 6 mois parce qu'un nouveau générateur arrive sur le marché (et n'apporte rien de plus).": Si je ne m'abuse, 16 ans sous WordPress du coup, donc avec combien de migration de version ? Combien de mise à jour à serrer les fesses ? Parce que les passages de versions (du moins il y a quelques temps) de WordPress c'était pas ça du tout ... Pourquoi changer tous les 6 mois ? Ce n'est pas du tout ce dont je parlais. Hugo (gohugo) dont je parlait précédemment par exemple, existe depuis 9 ans, et est continuellement mis à jour (dernière release il y a 5 jours), donc c'est très stable et il n'y a pas besoin de changer tous les 6 mois.
Je comprends votre approche de dire, j'ai quelque chose qui fonctionne, et qui tourne depuis 16 ans sans soucis, pourquoi je changerait ? A cela je répondrais uniquement, que si vous voulez avoir de bien meilleurs performances que ce que vous pouvez avoir encore en utilisant WordPress, et une meilleur gestion de la vie privé, vous ne trouverez pas mieux que de passer par un site statique.
Je terminerait juste en faisait la comparaison des performances entre 4 sites (dont lokan.jp), via gtmetrix (https://gtmetrix.com/compare/oSCWPNsg/0wty0sAI/mp6QCA2O/9LJxtSCy):
- https://letsencrypt.org/ qui utilise Hugo
- https://support.1password.com/ qui utilise Hugo
- https://lokan.jp sous WordPress
- https://blog.zwindler.fr/ un blog aléatoire sous Hugo
Le but n'est pas de venir rabaisser qui ou quoi que ce soit, mais uniquement de pousser votre raisonnement plus loin, en vous prouvant qu'il y a d'autres pistes qui peuvent être étudier pour avoir encore de bien meilleurs performances.
Bonne journée.
Hello Lokan,
Tu peux jeter un oeil également sur tes headers HTTP : https://securityheaders.com/?q=https%3A%2F%2Flokan.jp%2F&followRedirects=on
Il faudrait également passer ton server_token à off dans le nginx.conf qui leak la version de ton nginx, qui est d'ailleurs une vieille version qui date du 31/01/2017 et plusieurs vulnérabilités connue : https://www.cybersecurity-help.cz/vdb/nginx/nginx/1.10.3/
De bonnes choses en tout cas pour le site, si tout le monde en faisait autant 🙂
Bonne continuation !
W.
Salut,
Merci pour ton input !
Les headers sont modifiés et on se note le reste pour la prochaine migration.
Merci encore, c'est très cool de contribuer aussi efficacement.
Génial, félicitations, merci ! Ca fait plaisir de retrouver un formulaire de commentaire qui n'est plus rebutant à utiliser 😉
Avec des réponses qui s'utilisent tout aussi facilement 😉