Vrais tokens et faux jetons

Publié le par Yves-André Samère

J’espère pour vous que non, mais il vous est peut-être arrivé, en voulant déposer un commentaire sous un de mes petits écrits, de vous faire éjecter, votre commentaire étant dès lors refusé, avec la pseudo-justification suivante et très parlante : « Le jeton CSRF est invalide. Veuillez renvoyer le formulaire ». Diaphane, pas vrai ? On manie des jetons, chez ces faux jetons d’Over-Blog ?

Comme cette mésaventure est arrivée à plusieurs lecteurs, qui me l’ont dit en privé, j’ai voulu vérifier par moi-même, et j’ai déposé un commentaire sous un pseudonyme bidon. Aussitôt, je me suis également fait éjecter, ce qui est proprement vexant. Un peu comme si votre chère épouse vous interdisait l’accès à votre propre appartement.

J’ai alors fouillé les entrailles d’Over-Blog, et sa page de gestion. Là, j’ai trouvé une « protection anti-spam » dont je n’avais jamais vu aucune trace, ce qui implique que ce bidule était de création récente, et qu’on l’avait créé sans informer les titulaires des comptes chez Over-Blog. C’est sympathique, le principe de précaution, on vous protège sans vous le dire. Comme si le ministre de l’Intérieur plaçait deux policiers en faction devant chez vous, mais sans vous en parler. Mais, puisque une case à cocher figurait sur la même ligne, j’ai ôté la coche, et, aussitôt, il m’a été possible de mettre tous les commentaires que je voulais. Hosanna (in excelsis Deo).

Ben non ! Quelques semaines plus tard, un autre lecteur m’avertit qu’il est de nouveau interdit de commentaires. Je vérifie, et constate que la coche que j’avais ôtée était revenue subrepticement. Dans mon dos, et toujours contre ma volonté. Cette fois, j’écume de rage, et envoie à Over-Blog un message très à cheval pour les engueuler, au motif que 1. je n’aime pas qu’on dispose de moi, 2. je déteste qu’on trafique ce que je fais (je vous ai raconté ça ICI), et 3. que leur histoire de jeton CSRF était incompréhensible, donc équivalente à du foutage de gueule : qui peut comprendre, sans être ingénieur en informatique, un tel charabia ?

Je n’espérais aucune réponse, mais... j’en ai pourtant reçu une, que je vous livre : « Généralement, un message d’erreur “URL non valide” ou encore “Le jeton CSRF est invalide” indique que votre visiteur est resté connecté à l’article trop longtemps avant de le commenter, ce qui a pour conséquence de faire expirer le jeton/token CSRF. Il est donc nécessaire, avant de poster le commentaire sur le blog, qu’il ou elle actualise ou rafraîchisse d’abord l’affichage de l’article à commenter ». Indice qu’en informatique, c’est comme en politique, on pratique la langue de bois, pour éviter d’être compris par les ploucs que nous sommes.

Alors je traduis : si la même mésaventure vous retombe dessus, évitez de laisser expirer le jeton/token, bande de sadiques, et rechargez la page où vous étiez en appuyant sur la touche F5. Puis prévenez-moi, pour que j’ai le plaisir d’engueuler Over-Blog une fois de plus.

NB : cette protection anti-spam existe sur la plupart des sites de téléchargement illégal que je fréquente quotidiennement, et jamais je n’ai rencontré le moindre incident. Il n’y a que chez Over-Blog. Leurs ingénieurs, à Toulouse, seraient-ils de fieffés charlots ?

Écrire ci-dessous une ânerie quelconque :