Nouveaux contrôles qualité dans vos rapports d’analyse

Edit : Comme annoncé 2 semaines auparavant, la mise a jour évoquée dans ce billet a bien eu lieu le 12 décembre !

Sortez vos agendas ! Le 12 décembre prochain, de nouveaux points de contrôle viendront enrichir notre outil d’analyse de sites web.
Nous présentons dans ce billet les nouveaux tests qualité à venir mis en place sur Dareboost, avec de nombreux contrôles supplémentaires mais aussi des améliorations concernant les bonnes pratiques existantes. Attendez-vous à ce que vos scores Dareboost changent le 12 décembre ! Partons sans tarder à la découverte de ces évolutions : une opportunité pour vous de procéder à certaines corrections et optimisations en amont.

Vérifications sur les certificats SSL

Différentes autorités de certification s’appuient sur l’infrastructure de gestion de clés de Symantec (par exemple Thawte, VeriSign, Equifax, GeoTrust, et RapidSSL).
Il s’est avéré que cette infrastructure et les certificats émis ne correspondaient pas aux standards de sécurité. Symantec va stopper ses activités en lien avec son infrastructure de gestion de clés dès le 1er Décembre 2017.

À partir d’avril 2018, Chrome considérera comme invalide tout certificat Symantec émis avant le 1er juin 2016. C’est pourquoi Dareboost vous avertira en appliquant une pénalité importante à votre score qualité – si vous utilisez toujours un de ces certificats moins d’un 1 mois avant la deadline.

Quel que soit le fournisseur du certificat, Dareboost vous avertira si ce dernier est sur le point d’expirer (moins de 3 semaines pour les certificats avec une durée de validité de plus de 3 mois). Avec cet avertissement, fini le risque d’oubli de renouvellement et vous ne raterez pas d’éventuels incidents sur les procédures de renouvellement automatiques.

Nous encourageons l’utilisation du HTTPS depuis longtemps. Avec cette prochaine mise à jour de notre référentiel d’analyse qualité, nous allons doubler la pénalisation pour les sites utilisant encore le HTTP non sécurisé.

Code source HTML : restez léger !

Lors du chargement d’une page web, la première étape consiste pour le navigateur à récupérer le code HTML, l’interpréter et en construire un modèle (le DOM). Une quantité importante de HTML ralentit ces étapes critiques, et donc retarde l’affichage de la page.

Avec notre prochaine mise à jour, nous allons commencer à nous intéresser aux poids du HTML. « Aux poids » est au pluriel, car nous allons contrôler le poids compressé (ex. : gzip) aussi bien que le poids décompressé.

Toute page HTML dont le poids compressé dépassera 200 ko sera fortement pénalisée. Ce sera également le cas pour un poids supérieur à 1 Mo une fois la page décompressée.

Versions dépréciées de jQuery

Les versions 1.x de jQuery ne sont plus maintenues. Pour les sites web utilisant l’une de ces versions, nous recommanderons – a minima – de passer à la dernière version disponible sur la branche 1.x, à savoir jQuery 1.12.

Bien que cette version ne soit pas davantage maintenue, elle apporte de nombreux correctifs, y compris de sécurité. Idéalement, il restera nécessaire de passer sur la toute dernière version majeure de jQuery (ou d’utiliser un autre framework à jour).

Sécuriser les liens relatifs avec l’élément base et la directive CSP base-uri

Nous avons beaucoup parlé sur ce blog de Content Security Policy, une technique permettant de protéger vos visiteurs des effets d’une attaque XSS.
Les liens relatifs d’une page web peuvent être détournés dans le cas d’une telle attaque. C’est pourquoi Dareboost vous recommandera d’utiliser l’élément <base> pour les pages utilisant des liens relatifs. Ce n’est qu’une première étape, car en cas de faille XSS, un attaquant pourrait toujours changer la valeur de l’élément <base> (ou ajouter un nouvel élément <base>). Pour éviter cela, vous pouvez restreindre les valeurs possibles de l’attribut href de l’élément <base> en utilisant une directive CSP : base-uri.

Avec notre prochaine mise à jour, Dareboost s’assurera que vous utilisez toutes les protections nécessaires sur les pages utilisant des liens relatifs.

Rendez vos pages accessibles aux outils de synthèse vocale

Avoir une page accessible est une question de bon sens. C’est aussi une obligation légale dans un nombre grandissant de pays.

Lorsqu’ils font face à des éléments HTML vides, la plupart des outils de synthèse vocale rencontrent des problèmes d’interprétation. Nous allons ajouter des contrôles qualité pour détecter les balises HTML problématiques.

Les fichiers GIF, à utiliser avec parcimonie

Vous avez peut-être déjà aperçu notre recommandation d’utiliser les formats PNG ou JPEG pour les fichiers GIF non animés. Nous allons ajouter un nouveau test, cette fois pour les GIF animés.

En effet, le support du format MP4 et presque universel aujourd’hui. Dareboost encouragera l’utilisation du format vidéo plutôt que le GIF pour les fichiers dont la taille dépasse les 100 ko.

Des dizaines d’améliorations sur les points de contrôle qualité existants

Nous avons amélioré et ajouté des détails sur plusieurs bonnes pratiques (merci à tous les utilisateurs et utilisatrices nous ayant fait part de leurs retours). Nous avons également ajusté les pénalités appliquées pour certains points de contrôle, et ainsi rendues plus pertinentes encore les priorités d’optimisation données dans nos rapports.

Le périmètre de plusieurs tests qualité va également être étendu : redirection côté client, lazy loading des images, pénalisation de Flash, utilisation du meta viewport, etc.

Nous détecterons davantage de SPOF. Ces fournisseurs externes de contenus seront dès lors concernés :

  • ajax.aspnetcdn.com
  • ajax.microsoft.com
  • cdn.cleverbot.io
  • cdn.gruntjs.com
  • cdnjs.cloudflare.com
  • fb.me
  • jsdelivr.net
  • vjs.zencdn.net
  • maxcdn.fontfamous.com
  • perfbar.khalidlafi.com.global.prod.fastly.net
  • twemoji.maxcdn.com

Nous avons également corrigé le contrôle qualité recommandant l’utilisation de x-content-type-options. Il va maintenant ignorer les images, pour prendre en compte les dernières évolutions de la spécification de cet en-tête. Merci à @nhoizey et @etportis de nous l’avoir signalé.

Lorsque Dareboost mesure un délai de traitement serveur supérieur à 3 secondes, nous recommandons aujourd’hui l’utilisation d’un système de cache si le CMS détecté est WordPress ou Prestashop. Cette recommandation va être étendue quelle que soit la technologie sous-jacente.

Enfin, tous les tests d’accessibilité seront maintenant basés sur le DOM plutôt que le HTML. En effet, la plupart des logiciels et périphériques supportent aujourd’hui le JavaScript.

Mise à jour déployée le 12 décembre

Tous ces changements seront effectifs le 12 décembre et nous préviendrons tous les utilisateurs de Dareboost par email.

Votre score Dareboost sera probablement affecté. Ne vous inquiétez pas : un événement sera ajouté automatiquement sur l’historique de vos surveillances, vous permettant ainsi de garder une trace de la mise à jour. Les emails d’alerte en lien avec une régression du score mentionneront également la mise à jour de notre référentiel qualité.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*