Hotlinking
Le hotlinking (ou liaison automatique[1] ; aussi connu en anglais sous les noms de inline linking, leeching, piggy-backing, direct linking ou offsite image grabs) est l'emploi d'un lien vers un fichier publié sur un site web, le plus souvent une image, pour l'afficher sur un autre site, sans copie sur le serveur Web du hotlinkeur.
Intérêts
Chaque page d'un site web peut afficher, via des liens hypertextes, plusieurs ressources (images, vidéos, documents divers…) qui peuvent être stockées :
- sur le même site web que la page affichée (ressource locale),
- sur un autre site web pour diverses raisons techniques (ressource externe) :
- nécessité d'avoir des temps de réaction très courts, par exemple pour des sites à très fort trafic (cf. réseau de diffusion de contenu),
- fonctionnalité spécifique (par exemple le support de streaming vidéo), etc.
Dans le premier cas (ressource locale), un seul site est utilisé et tous les frais techniques sont facturés à une seule personne (le propriétaire du site).
Dans le deuxième cas (ressource externe), plusieurs sites sont utilisés. Si tous les frais techniques sont supportés par la même personne (physique ou morale), il n'y a pas de problème particulier. Dans le cas contraire, le hotlinking a plusieurs conséquences s'il n'y a pas eu d'accord explicite préalable, par exemple :
- des risques financiers supplémentaires pour le propriétaire du site externe, ce qui peut être assimilé à du vol (surconsommation de bande passante par exemple),
- un non-respect des droits d'utilisation des ressources, par exemple celles protégées par une licence Creative Commons interdisant leur réutilisation.
Pour éviter ces conséquences, il est possible de mettre en place des protections contre le hotlinking.
Protection
La majorité des logiciels de serveurs web permettent de se protéger contre le hotlinking, en vérifiant quelle page est à l’origine de la requête de téléchargement du client, et, le cas échéant, en refusant l’envoi, ou en remplaçant le fichier par un faux (par exemple, un texte du type « contenu volé depuis le site domaine.tld »). Apache HTTP Server le permet par exemple grâce à la réécriture d'URL, en redirigeant vers une fausse image si et seulement si le référent HTTP n’est pas une page gérée, ni d’une liste blanche de moteurs de recherche (pour permettre par exemple l’affichage des images dans Google Images), et possède une extension caractérisant une image (.png
, .jpg
, .svg
, etc.).