Catégorie : Développement web

Nouveau tour dans les CSS-in-JS

L’histoire

J’ai abandonné mes premiers amours qu’étaient les feuilles de style séparées avec des nommages bien sémantiques. Je travaille par les applications front-end par composants, j’ai besoin que les styles fonctionnent de façon similaire.

BEM était une bonne idée mais impraticable. Le nommage est pénible et il fallait encore garder une synchronisation entre la feuille de style et les composants. J’ai eu plaisir à trouver CSS Modules mais on continue à jongler sur deux fichiers distincts avec des imports de l’un à l’autre. Il fallait faire mieux.

J’ai besoin que les styles soient édités au même endroit que les composants, toujours synchronisés, mis à jour en même temps, limités chacun au composant ciblé.

Tailwind a trouvé une solution à tout ça en générant statiquement la feuille de style à partir des composants eux-mêmes. Je comprends pourquoi ça plaît mais je n’arrive pas à considérer que redéfinir tout un pseudo-langage parallèle puisse être une bonne idée. On finit toujours par devoir apprendre CSS, que ce soit pour exprimer quelque chose que le pseudo-langage ne permet pas, ou simplement pour comprendre pourquoi le rendu n’est pas celui qu’on imagine.

Je suis parti vers les solutions CSS-in-JS quand je code du React. Faire télécharger et exécuter toute une bibliothèque comme Emotion est loin d’être idéal mais ça reste finalement assez négligeable sur une application front-end moderne.

Entre temps j’ai quand même découvert Goober, qui implémente le principal en tout juste 1 ko. L’élimination des styles morts contrebalance probablement largement ce 1 ko de Javascript. On aurait pu en rester là.

La mise à jour

Je suis quand même gêné de devoir embarquer une bibliothèque Javascript. J’ai fouillé voir si rien de mieux que Goober et Emotion n’avait pointé le bout de son nez depuis la dernière fois que j’ai tout remis en cause. Il se trouve que le paysage a sacrément évolué en cinq ans.

D’autres que moi ont eu envie d’aller vers du plus simple. On parle de zero-runtime. Les styles de chaque composant sont extraits à la compilation pour créer une feuille de style dédiée. Les parties dynamiques sont faites soit avec des variantes prédéfinies, soit avec des variables CSS qui sont ensuite manipulée par Javascript via les attributs `style`.

Le vénérable c’est Vanilla-extract mais on a juste une version plus complexe et entièrement Javascript des CSS-Modules. C’est d’ailleurs le même auteur, et le même problème fondamental : deux fichiers distincts à manipuler et à synchroniser.

Vient ensuite Linaria qui semble une vraie merveille. Il a l’essentiel de ce que proposent les CSS-in-JS avec de l’extraction statique avec tout ce qu’on attend au niveau de l’outillage : typescript, source maps, préprocesseur et vérification de syntaxe, ainsi que l’intégration avec tous les cadres de travail classiques.

Linaria c’est aussi WyW-in-JS, qui opère toute la partie extraction et transformation, au point de permettre à qui veut de créer son propre outil concurrent à Linaria. Je trouve même cette réalisation bien plus significative que Linaria lui-même.

L’équipe de MUI en a d’ailleurs profité pour faire Pigment-CSS et convertir tout MUI. Pigment reprend tout le principe de Linaria avec la gestion des thèmes, la gestion des variantes, et quelques raccourcis syntaxiques pour ceux qui aiment l’approche de Tailwind. En échange, ces fonctionnalités ne sont possibles qu’en écrivant les CSS sous forme d’objets Javascript plutôt que sous forme de texte CSS directement. La bibliothèque est aussi plus jeune et la compatibilité avec tous les cadres de travail ne semble pas assurée.

J’ai aussi traversé Panda-CSS mais sans être convaincu. Panda génère tout en statique mais il génère tout une série d’utilitaires et de variables par défaut, et injecte beaucoup d’utilitaires dans le Javascript qui sera exécuté avec l’application. C’est un croisement entre Emotion, Tailwind et Linaria, mais qui du coup me semble un peu Frankenstein. À vouloir tout à la fois, on finit par ne rien avoir de franc.

Si c’est pour utiliser avec MUI, le choix se fait tout seul. Dans le cas contraire, au moins pour quelques mois le temps que Pigment-CSS se développe un peu plus, Linaria me semble un choix plus sage. S’il y a quoi que ce soit qui coince, Goober reste une solution pragmatique et tout à fait acceptable.

13 août 2024
Comment développera-t-on demain ?

Les développeurs de mes équipes demandent depuis un moment des licences Github Copilot. J’ai vu quelques personnes parler de l’éditeur Cursor.sh.

J’avoue que j’ai eu envie de tester un peu. Sur un projet perso j’ai tenté l’approche « allons-y totalement ». Je suis bluffé.

Bon, j’ai encore le réflexe de chercher tout ce que je ne sais pas dans les docs. Ça veut dire que je demande principalement des choses que je saurais déjà faire, et potentiellement aussi rapidement seul qu’en saisissant ma demande dans l’interface. Je ne sais pas si je gagne vraiment du temps mais, même ainsi, l’investissement de 2x 20$ par mois me semble une évidence.

Avec le temps je risque de me reposer vraiment dessus et là ça fera certainement une énorme différence. Pour un débutant qui apprend à coder directement avec ces outils, ça doit être juste une révolution.

Le métier de déveveloppeur est en train de changer radicalement. Je ne sais pas s’il sera le même dans 10 ans. Je ne sais même pas si ça a du sens d’enseigner le code à mon fils de 11 ans.

⁂

On est en train de tester ça au boulot, plus Code rabbit pour les revues de code. Si je trouve d’autres choses pertinentes j’ai une propension assez forte à ajouter aussi. Même sur un budget total de 100 ou 150 $ par mois et par développeur, ce serait assez mal avisé de rejeter la chose.

Reste l’énergie nécessaire à tout ça, et là on touche vite la limite du modèle :

« OpenAI’s CEO Sam Altman on Tuesday said an energy breakthrough is necessary for future artificial intelligence, which will consume vastly more power than people have expected.
Reuters, 16 janvier 2024

Je n’ai pas de conclusion. L’aspect productivité ne fait aucun doute. La limite énergétique aussi. Malheureusement les deux ne vont pas du tout dans le même sens.

15 février 2024
Promise Maps

J’aime beaucoup Simon Willison depuis des années. Il tient un carnet de notes en guise de blog, comme j’aurais longtemps voulu avoir le courage de faire.

Il relaie là un commentaire ycombinator :

When caching the result of an expensive computation or a network call, don’t actually cache the result, but cache the promise that awaits the result.
This way, if a new, uncached key gets requested twice in rapid succession, ie faster than the computation takes, you avoid computing/fetching the same value twice. […] In other words, the promise acts as a mutex around the computation, and the resulting code is understandable even by people unfamiliar with mutexes, locks and so on.

22 juillet 2022
Today I learned : font-variant-numeric

Conseil CSS : utilisez `font-variant-numeric: tabular-nums;` pour aligner soigneusement les nombres dans un tableau, des compteurs de progression, etc.
https://twitter.com/javan/status/1486059026064584711

26 janvier 2022
Développeurs, vous devriez avoir honte — Règles de mots de passe
Je rage à chaque fois que je saisis un mot de passe fort et que le site m’envoie bouler parce que je n’ai pas de caractère autre qu’alphanumérique.

Essayons quelque chose d’un peu plus smart pour évaluer la robustesse d’un mot de passe

Développeurs, vous savez probablement tout ça, mais continuez à lire parce que la fin vous est adressée

Si j’en crois Hackernoon on peut calculer environ 800 millions de SHA256 par seconde sur un matériel qui coûte 0,82 € par heure sur AWS. Ça fait 3,5 10^12 combinaisons par euro.

Traduit autrement, voici le nombre de combinaisons qu’on peut tester, et le même chiffre écrit en puissance de deux (arrondi à la décimale inférieure) :

1 € 3,5 × 10^12 2^41,6
10 € 3,5 × 10^13 2^44,9
100 € 3,5 × 10^14 2^48,3
1 000 € 3,5 × 10^15 2^51,6
10 000 € 3,5 × 10^16 2^54,9
100 000 € 3,5 × 10^17 2^58,2

Quand on vous parle ailleurs de bits d’entropie, ça correspond à ces puissances de 2. Avec 1 000 € on peut tester toutes les combinaisons de SHA 256 d’une chaîne aléatoire de 51 bits.

Ok, mais ça me dit quoi ? Une lettre c’est 26 combinaisons, environ 4,7 bits. Si vous ajoutez les majuscules vous doublez le nombre de combinaisons et vous ajoutez 1 bit. Si vous ajoutez les chiffres et quelques caractères spéciaux on arrive à à peine plus de 6 bits.

Petit calcul, en utilisant juste les 26 lettres de l’alphabet, on peut tester toutes les combinaisons de 8 caractères pour moins de 1 €. Vu qu’on aura de bonnes chances de tomber dessus avant d’avoir testé toutes les combinaisons, autant dire que même avec 9 caractères, votre mot de passe ne vaut pas plus de 1 €.

Combien faut-il de caractères pour se trouver relativement à l’abri (c’est à dire que la somme investie ne peut pas tester plus de 1% des combinaisons) ? Ça va dépendre de ce que vous y mettez comme types de caractères. J’ai fait les calculs pour vous :

a-z a-z
A-Z a-z
A-Z
0–9 a-z
A-Z
0–9
+-%
1 € 11 9 9 8
10 € 11 10 9 9
100 € 12 10 10 10
1 000 € 13 11 10 10
10 000 € 14 11 11 11
100 000 € 14 12 11 11

Et là magie : 8 caractères, même avec des chiffres, des majuscules et des symboles, ça résiste tout juste à 1 €. Et encore, là c’est en partant du principe que vous choisissez réellement les caractères de façon aléatoire, pas que vous ajoutez juste un symbole à la fin ou que vous transformez un E en 3.

Vous voulez que votre mot de passe résiste à un voisin malveillant prêt à mettre plus de 10 € sur la table ? Prévoyez au moins 10 caractères.

Et là, seconde magie : Si vous mettez 10 caractères on se moque de savoir si vous y avez mis des chiffres ou symboles. La longueur a bien plus d’importance que l’éventail de caractères utilisé.

Maintenant que vous savez ça, tous les sites qui vous imposent au moins une majuscule et un symbole mais qui vous laissent ne mettre que 8 caractères : Poubelle.

Je ne suis pas en train de vous apprendre à faire un mot de passe fort. Vous devriez utiliser un gestionnaire de mots de passe et le générateur automatique qui y est inclus.

Je suis en train d’essayer de rendre honteux tous les développeurs qui acceptent de mettre ces règles à la con sur les sites web dont ils ont la charge : Vous imposez des mots de passe qui sont à la fois imbitables et peu robustes.

Vous voulez faire mieux ?

Regardez dans quelle colonne est l’utilisateur en fonction des caractères qu’il a déjà tapé et donnez-lui un indicateur en fonction de la longueur de son mot de passe.
- Mot de passe refusé s’il est sur « Have I Been Pwned? »
- Moins de 10 € ? mot de passe insuffisant, refusé
- Moins de 100 € ? mot de passe faible, couleur rouge
- Moins de 1 000 € ? mot de passe moyen, couleur orange
- Mot de passe sûr, couleur verte, à partir de 10 000 €
Si vous gérez un site central, par exemple un réseau social public, vous pouvez probablement relever tout ça d’un cran.

Si ça donne accès à des données sensibles, à des possibilités d’achat, à la boite e-mail ou à l’opérateur téléphonique, mieux vaux relever tout ça de deux crans.

Le tout prend probablement moins de 10 lignes en javascript. C’est une honte que vous acceptiez encore d’implémenter des règles à la con « au moins une majuscule, un chiffre et un symbole, voici les symboles autorisés […] ».

Développeurs, vous devriez avoir honte.
24 septembre 2019
Où je dis du bien du CSS-in-JS
Il n’y a que les imbéciles qui ne changent pas d’avis et c’est mon avis depuis toujours
Coluche

J’ai toujours regardé avec dédain les tentatives des dev JS pour contourner l’écriture de CSS mais je commence à considérer que les outils de CSS-in-JS type Emotion sont la bonne solution pour les webapp React.

J’ai été intégrateur, à faire de la belle CSS séparée du code HTML. On finit quand même vite par construire des monstres ou se prendre les pieds dans le tapis dès qu’on fait plus de quelques pages types.

Pour résoudre le problème, éliminons le. C’est ce que proposent les conventions comme BEM. Si je caricature, il s’agit principalement de retirer les sélecteurs CSS un attribuant une ou plusieurs classes spécifiques à chaque contexte. C’est franchement moche mais ça fonctionne.

CSS-Modules va un peu plus loin. Le principe est le même mais on permet au développeur d’utiliser un nommage plus agréable. C’est l’outil de génération qui gère la complexité au lieu du développeur.

J’avoue que j’aime bien CSS-modules. C’était mon favori jusqu’à présent.

Ça revient à juste gérer un fichier par composant en se limitant à des sélecteurs très simples pour ne pas créer de conflits de spécificité. On reste sur du CSS standard et sur une approche proche de mes habitudes historiques. Mieux : L’intégration peut se faire indépendamment du langage de développement de l’applicatif.

C’est top mais ça se base sur des composants qui ne bougent pas beaucoup, dont on connait à l’avance tous les états.

Dès qu’il s’agit de cumuler plusieurs états, le résultat dépend de l’ordre d’écriture dans la CSS. Parfois c’est bien prévu, parfois non.

Dès qu’il s’agit de rendre des choses très dynamiques, il faut de toutes façons sortir des CSS modules. Vous voulez que dans la vue large les items de navigation se colorent au survol en fonction de la catégorie destination déterminée dynamiquement mais qu’ils utilisent la couleur neutre dans la vue réduite destinée aux mobiles ? Vous êtes à poil et il va falloir composer avec d’autres façons d’injecter des CSS, peut-être même tâtonner sur les priorités entre classes.

Les classes utilitaires et CSS atomiques à la Tachyon sont là pour industrialiser en poussant encore plus loin.

J’ai une classe par valeur à appliquer : .ms7-ns applique la septième valeur du catalogue (7) comme taille horizontale maximum (ms pour max-width) si la fenêtre a une taille supérieure au point de rupture « small » (ns pour non-small).

Ça n’offre quasiment aucune abstraction utile (uniformiser les valeurs on a déjà plein d’outils plus efficaces). C’est vite cryptique, lourd, et monstrueux dès qu’on multiplie les valeurs et les points de rupture possibles.

Le seul intérêt par rapport à écrire directement les attributs style c’est que ça permet d’accéder aux media query et aux pseudo-sélecteurs.

Malheureusement non seulement ça ne résout pas les conflits de priorités mais ça les empire. Si je spécialise un composant existant en y ajoutant une classe liée à une directive déjà présente, je joue à la roulette russe. Il faut absolument que mon composant initial prévoit lui-même tous les cas possibles pour savoir quelle classe injecter et ou ne pas injecter. Pas d’alternative.

J’ai vraiment l’impression d’un retour en arrière monstrueux avec ces CSS atomiques, cumuler les défauts sans aucun avantage, et c’est probablement ce qui m’a fait rejeter par principe les CSS-in-JS jusqu’alors.

Les CSS-in-JS c’est finalement pousser la logique de Tachyons un cran plus loin. Quitte à décider de tout dans le code HTML, autant écrire directement les styles à cet endroit là en utilisant la vraie syntaxe CSS et en y ajoutant la possibilité d’accéder aux media query et aux pseudo-sélecteurs.

Emotion c’est ça. On est à la croisée entre le « j’écris tout dans un attribut style » et le « j’attache un module CSS ».

En fonctionnement basique c’est comme un CSS module sans le sélecteur. Je donne les directives en CSS on ne peut plus classiques et j’ai accès aux media query, aux pseudo-sélecteurs et aux animations avec une syntaxe proche de ce que font les préprocesseurs habituels (et en phase avec la direction que prend la syntaxe CSS elle-même).
```
const style = css`
  padding: 32px;
  background-color: hotpink;
  font-size: 24px;
  border-radius: 4px;
  &:hover {
    color: blue;
  }
`
```
Je peux directement ajouter le résultat aux classes CSS de mon composant. Il se chargera de générer un nom de classe, de créer la CSS correspondante dans le document, et de lier les deux, comme avec CSS-Modules.

L’exemple est peu parlant. On a juste l’impression d’un CSS-Modules écrit dans le fichier JS.

L’avantage c’est que je ne suis pas limité aux valeurs en dur. Je peux avoir des valeurs dynamiques venant de mon Javascript ou de mon thème, et je n’en limite pas les effets à ce que me permettent les variables CSS.

Je peux aussi réutiliser, composer ou surcharger un élément ou un bloc de styles avec un autre sans risque de conflit de priorité.

Tachyons me donnait l’impression de cumuler les inconvénients, ici j’ai vraiment l’impression de cumuler les avantages.

La seule contrainte c’est que mon code CSS se retrouve dans mes fichiers JS. C’est moche quand c’est dit ainsi mais pour une app en React, on a de toutes façons un fichier par composant HTML et ça a du sens de grouper HTML, JS et CSS lié au composant ensemble quand ils sont fortement liés. C’est d’ailleurs le choix de VueJS.

Ce n’est forcément pas adapté à tout, et si vous voulez rester génériques les CSS-Modules sont à mon avis l’option la plus saine, mais pour un code React je crois que c’est là que je commencerai par défaut désormais.
1 avril 2019
Une histoire de dépendances

Le mainteneur d’un paquet NPM n’a plus eu envie et a donné la main à un tiers. Ce tiers a injecté un code malicieux dans une version publique et potentiellement infecté pas mal de monde. Ça n’a été détecté qu’au bout de deux mois et demi alors que le paquet est utilisé un peu partout.

J’en vois qui lancent des blâmes ou qui se moquent sur l’actualité du paquet NPM malicieux. Ça défoule mais : Faites-vous mieux ? Permettez-moi d’en douter très très fortement.

Le moindre projet React, Symfony ou Rails, c’est une centaine de dépendances directes et indirectes, certaines proviennent de sources dont vous n’avez jamais entendu parler. J’ai listé trois frameworks mais c’est bien la même chose sur les autres langages/technos.

C’est bien le sujet : Sauf si vous avez la taille d’un Facebook/Google ou la criticité d’un Thalès ou d’un état, vous n’avez ni les moyens de passer des années-homme à tout recoder en interne, ni les moyens d’auditer chaque source à chaque mise à jour (si tant est que ça suffise).

Même ceux que j’ai nommé, je ne suis pas certains qu’ils le fassent toujours, sur tous les types de projet. Je suis même assez convaincu du contraire. Le ratio bénéfice/risque n’est juste pas assez important pour ça. Les moyens et les délais ne sont pas dimensionnés pour.

Alors moquez-vous, de ceux qui utilisent NPM, de ceux qui ne contrôlent pas l’ensemble des dépendances, mais vous ne faites probablement pas mieux. Il y a pas mal d’hypocrisie dans les réactions que je vois passer.

Ne blâmez pas non plus le mainteneur d’origine. Lui ne vous a jamais rien promis. C’est même dit explicitement dans la licence « aucune garantie d’aucune sorte ». Ce n’est pas parce que d’autres utilisent son code gratuitement qu’il aurait magiquement des comptes à rendre. En fait avoir passé la main est plutôt quelque chose d’encouragé dans l’open source. S’il n’y avait pas eu cette issue, il aurait plutôt fallu le remercier.

Alors quoi ? Alors rien.

Le problème a été résolu. Si ça arrive trop souvent alors ça changera le ratio bénéfice/risque et la communauté évaluera le fait d’avoir trop de dépendances tierces un (tout petit) peu plus négativement, et ainsi de suite.

La question intéressante que personne ne semble poser c’est celle de l’honnêteté du mainteneur d’origine. A-t-il vraiment passé la main ? et s’il l’a fait, est-ce qu’il en a tiré un bénéfice tout en soupçonnant ce qui pouvait se passer ? C’est à peu près la seule chose qui pourrait à mon sens lui faire porter une quelconque responsabilité.

27 novembre 2018
« PHP 5 avancé » en chiffres

Je vois les auteurs raconter leur histoire, leurs rémunérations. Je n’ai pas trop envie de m’y mélanger vu que je n’ai jamais été auteur professionnel ni n’ai jamais cherché à l’être. Mes enjeux d’auteur du dimanche sont bien différents. Ajoutez y que j’ai écrit dans à propos de technique informatique, très loin des auteurs de romans et de bande dessinée.

Pour autant, c’est aussi l’occasion parce que je ne crois pas avoir déjà fait un tel bilan. Peut-être que ça intéressera certain d’entre vous. Dites-moi s’il y a des questions auxquelles je ne réponds pas.

Attention, ce n’est représentatif de rien d’autre que de mon cas personnel. J’ai même tendance à penser que mon histoire entre dans l’exception à plus d’un titre. Le fait qu’il y ait des gros chiffres dans la suite ne doit certainement pas vous amener à penser que les auteurs roulent habituellement sur l’or.

Six éditions et quatre collaborateurs

Travail à quatre mains avec Cyril Pierre de Geyer. Le premier chapitre a été fait en février 2003 pour une publication de 700 pages en juin 2004.

PHP a pas mal évolué et le livre serait rapidement devenu obsolète. Nous avons du mettre à jour le livre régulièrement. Il y a eu une édition par an jusqu’en 2008 puis une sixième de 870 pages en 2012.

La troisième édition a été retirée sur un format « best-of » en 2007, en parallèle de la vente de la quatrième dans son format d’origine. J’avoue que ça me semble toujours étrange, d’autant que si nous en avons fait une quatrième édition plutôt qu’un retirage c’est que l’évolution de PHP rendait l’ancienne version moins pertinente.

Nous avons été épaulé par Hugo Hamon pour les relectures et l’indexation de la cinquième édition. La sixième édition a été partagée avec un troisième auteur, Frédéric Hardy. Il est en petit sur la couverture, je le regrette aujourd’hui.

Les tirages et les ventes

Le premier tirage était prévu à 3000 exemplaires. Vus les chiffres de vente je suppose qu’il en a plutôt été tiré 3200 (ou alors on a vendu des livres qui n’existaient pas). Les chiffres des éditions suivantes ne tombant même pas proches de multiples de 250, j’imagine qu’on en imprime toujours un peu plus au cas où et que le chiffre final n’est pas totalement maitrisable.

La seconde édition a été tirée à environ 3700 exemplaires, la troisième et la quatrième ont toutes les deux fait entre 3200 et 3300 exemplaires, plus environ 4000 exemplaires pour la best-off. La cinquième a bénéficié de deux tirages, probablement respectivement 3400 et 2000 exemplaires. La dernière a été tirée à quelque chose comme 3800 exemplaires, probablement en deux fois.

Au total j’ai quelque chose comme 26 500 ventes sur les 12 ans de vie du livre.

Le travail d’écriture

Difficile d’estimer le temps passé en écriture tant il était très fractionné, d’autant que ce n’était pas mon activité principale. Sur les 16 mois de travail de l’édition initiale, j’ai quand même du y passer une bonne majorité des soirs et week-end, et quelques mois quasiment à temps plein. À cela il faut bien entendu ajouter le travail de mon co-éditeur.

Chose étonnante pour moi, nous n’avons pas utilisé de logiciel ou de format de fichier spécifique à l’édition, juste du Microsoft Word avec une feuille de styles interne : un fichier par version et par chapitre nommé d’après l’auteur a avoir créé la version, le tout dans un FTP.

Les autres éditions ont été un effort variable, plus fort pour les premières que pour les dernières. On parle quand même généralement de plusieurs mois pendant des soirs et des week-ends.

Je n’ai aucune idée du travail total en équivalent temps plein 35h salarié. Si je devais donner un chiffre je dirais probablement un an équivalent temps plein salarié, mais en réalité ça peut facilement être la moitié moins ou moitié plus.

Malgré la motivation des premiers temps, faire ça en parallèle d’un job très prenant n’est pas aisé, surtout au moment des relectures. La collaboration entre auteurs n’a pas toujours été évidente non plus. Ça parait évident après coup mais écrire à deux quand on ne se connait pas vraiment et qu’on ne se voit jamais en face à face, c’est forcément un peu difficile.

La rémunération

La rémunération est de 10% du hors taxe pour les ventes françaises grand format (4% sur les ventes à l’étranger, 5% sur le format poche — l’éditeur a souhaité en sortir un une année, nous avons refusé), à partager entre les auteurs initiaux, sans aucune avance, sur des livres qui ont varié de 35 à 45 € pour la collection principale, 25 € pour le best-of.

Même en allant chercher dans les archives, je suis encore aujourd’hui incapable de dire combien j’ai gagné que ce soit en net ou en brut. J’ai des comptes de vente, des détails de cotisations, des avis de paiement et des résumés de sommes à déclarer au fisc. Rien ne se recoupe vraiment, quand je n’ai pas deux documents d’un même type totalement différents pour une même année.

Disons que la somme encaissée avant impôts sur le revenu doit être entre 40 et 47 000 euros nets depuis le premier versement en 2005. Précis hein ?

Ramené à un an de travail c’est effectivement très bien payé, surtout par rapport à ce que je lis à propos de auteurs en littérature, en jeunesse ou en bande dessinée. Même dans la fourchette haute, en comptant deux ans de travail en équivalent temps plein, ça reste bien au dessus du SMIC. Cela dit il était loin d’être dit que ça rémunèrerait autant, et ce que ça m’a apporté a largement dépassé le financier. Je ne pensais pas à l’argent. Je ne m’étais en fait même pas fait de prévision quand j’ai dit oui, et je n’aurais pas su dire si je m’attendais à 1 000 ou 10 000 euros.

Cette somme est après paiement de la TVA, de la CSG et CRDS, ainsi que d’une cotisation de 1% à l’Agessa. Tout ça est prelevé pour moi en amont par l’éditeur. Pas de retraite, pas de prévoyance, et avec dans les 4000€ par an en moyenne je n’aurais probablement eu aucune couverture sociale si je n’avais pas eu un emploi salarié en parallèle.

Pour l’impôt sur le revenu je déclare ce que l’éditeur me dit en traitements et salaires. C’est peut-être idiot ou anormal, je n’ai jamais su (on m’a donné des réponses différentes à chaque fois que je demandais ce que devait faire un auteur de loisir) mais du coup c’est imposé sur le barème progressif.

Autant Hugo (en relecteur) que Frédéric (en co-auteur sur la dernière mise à jour) ont été rémunérés sur une base fixe, payée par l’éditeur en plus de nos droits d’auteur.

L’éditeur

J’entends beaucoup de choses sur les éditeurs. Personnellement moi j’ai plutôt eu une très bonne expérience d’Eyrolles. Muriel, tu as été vraiment super, Karine aussi, et j’oublie certainement des gens. Je n’ai eu à me plaindre de personne, au contraire.

Si je devais reprocher quelque chose, c’est le refus total de considérer une durée limitée pour la version numérique du livre. Je crains cependant qu’il en soit de même pour l’essentiel des éditeurs et mon co-auteur a de toutes façons refusé toute vente numérique par peur du piratage (qui a tout de même eu lieu, visiblement par des fuites des PDF internes destinés à l’imprimeur, avec les marques de découpe). Oh si, si je devais pinailler, il y a brièvement eu une mise en vente de la quatrième édition sous forme numérique malgré le refus explicite au contrat, mais ils y ont mis un terme quand on l’a fait remarquer.

Je ne m’étendrai pas sur ce point mais on a même eu une difficulté de répartition des droits entre co-auteurs à un moment. Non seulement l’éditeur a aidé à sa résolution mais il a aussi pris le différentiel à sa charge pour solder le passé. Ok, vu les ventes ils pouvaient se le permettre, mais rien ne les y obligeait non plus.

PHP 7 avancé

Aujoud’hui PHP 5 avancé n’existe plus. Il y a eu réécriture partielle pour construire PHP 7 avancé mais considérant les difficultés de collaboration, on a décidé de ne pas forcément le refaire ensemble. Je suis toujours sur la couverture en grisé mais j’ai passé la main aux excellents Pascal Martin et Julien Pauli, au moins pour les deux premières éditions (la seconde arrive parait-il sous peu).

29 juin 2018
Comment on fait de la crypto dans le navigateur ?
Faire de la cryptographie dans le navigateur se révèle bien plus simple que prévu.

Laissez tomber les portages de libsodium & co. Quasiment tous les navigateurs supportent désormais une API native dédiée. Seul IE11 ne le fait pas totalement mais il a au moins le minimum qu’est la génération de nombres réellement aléatoires. Ceux qui veulent vraiment pourront compléter l’implémentation d’IE11 avec un polyfill sans risquer de problème de sécurité.

Il y a plein de jolis exemples sur qnimate mais certaines choses datent un peu. J’ai tenté de résumer ici pour ceux que ça intéresse. Ici pour du déchiffrement à partir d’une clef secrète.

Avant-propos

Je ne suis pas un expert en chiffrement et ce genre de choses est toujours à manier avec précaution. Si vous faites quelque chose de sérieux, ne vous contentez pas d’exemples et embauchez quelqu’un qui sait.

Rien que choisir l’algorithme pertinent demande de savoir ce qu’on fait. AES-CTR semble pertinent pour mon cas d’usage où n’ai pas besoin de vérifier l’authenticité du message, où je n’ai pas envie de me coltiner les questions de padding, et où je serai heureux de profiter des multiples cœurs des smartphones.

Si l’algorithme choisi ou autre chose vous dérange et que vous en savez plus que moi, n’hésitez pas à commenter.

Récupérer une clef

Le plus simple est de récupérer directement une clef au format JSON Web Key (en gros la clef en base64url plus un peu de métadonnées). Dans ce cas il suffit de passer par importKey :
```
const crypto = window.crypto.subtle;

const jwk = {
  "kty": "oct",
  "use": "enc",
  "k": "SDRSTgdOpUGfgn3iAwiC1cpzsevLM98r_6ehMXlK1Gk",
  "alg": "A256CTR"
};
const algo = {name: "AES-CTR"};
const exportable = false;
const usage = ["decrypt"];

const key = await crypto.importKey("jwk", jwk, algo, exportable, usage);
```
Dériver une clef

Si on veut partir d’une phrase secrète mémorisable et non d’une clef complète, on commence par créer une clef temporaire et on utilise un algorithme de dérivation comme PBKDF2.

Malheureusement pour créer cette première clef il faut passer par un TextEncoder et ArrayBuffer. peut toujours dériver la clef à partir de là. TextEncoder n’existe pas sous Edge et IE11, il vous faudra utiliser une fonction comme unibabel qui fait ça pour vous.
```
const crypto = window.crypto.subtle;
const encoder = TextEncoder();

const passphrase = "l'eau ça mouille, le feu ça brûle";
const buffer = encoder.encode( passphrase );
const d_algo =  {name: 'PBKDF2'};
const d_exportable = false;
const d_usage = ['deriveBits', 'deriveKey'];
const d_key = await crypto.importKey('raw', buffer, d_algo, d_exportable, d_usage);

const deriv = { 
  name: 'PBKDF2',
  salt: encoder.encode( "c'est le week-end !" ),
  iterations = 25,
  hash: 'SHA-256',
};
const algo = {name: "AES-CTR", length: 256}; 
const exportable = false; 
const usage = ["decrypt"];

const key = await crypto.deriveKey(deriv, d_key, algo, exportable, usage);
```
La sécurité de tout ça dépend de la longueur et de l’unicité de votre phrase secrète initiale. À vous de trouver le bon compromis entre la sécurité et la puissance des smartphones qui risquent d’utiliser votre code. Le 25 ici est purement arbitraire et le temps de calcul nécessaire est proportionnel.

Déchiffrer

Déchiffrer n’est pas plus difficile.

Le vecteur d’initialisation (iv) et la donnée chiffrée (encrypted) sont attendus sous forme d’ArrayBuffer. Il faudra de nouveau passer par unibabel ou une autre solution si vous avez ça sous forme de chaîne binaire ou codé en base64.

Le résultat de decrypt() vous est retourné sous la même forme. S’il est petit le plus simple est d’utiliser TextDecoder ou unibabel. Si vous avez quelque chose de plus volumineux vous pouvez aussi passer par un Blob et un FileReader.
```
const crypto = window.crypto.subtle;
const decoder = TextDecoder

const key = ...
const iv = ...
const encrypted = ...

const algo = { name: 'AES-CTR', iv: iv }
const buffer = await crypto.decrypt(alg, key, encryted);
```
14 avril 2018
Donnée confidentielle dans une session de navigation.

Je partage, ça peut servir à d’autres. Je cherchais à garder confidentiel une information confidentielle le temps d’une session de navigation. En gros je cherchais un genre de cookie de session mais qui reste côté client sans jamais transiter sur le réseau.

Le localStorage est top mais il persiste au delà de la session de navigation. Le sessionStorage est top mais il n’est pas partagé entre les onglets.

Visiblement certains se sont penchés sur la question il y a quelques années et sont revenus avec une solution toute bête mais efficace : Faire dialoguer les différents sessionStorage en surveillant les écritures dans le localStorage.

C’est tout con, ça prend juste 20 lignes, mais il fallait y penser.

Merci Rik

12 avril 2018

1 €	3,5 × 10^12	2^41,6
10 €	3,5 × 10^13	2^44,9
100 €	3,5 × 10^14	2^48,3
1 000 €	3,5 × 10^15	2^51,6
10 000 €	3,5 × 10^16	2^54,9
100 000 €	3,5 × 10^17	2^58,2

	a-z	a-z A-Z	a-z A-Z 0–9	a-z A-Z 0–9 +-%
1 €	11	9	9	8
10 €	11	10	9	9
100 €	12	10	10	10
1 000 €	13	11	10	10
10 000 €	14	11	11	11
100 000 €	14	12	11	11

Catégorie : Développement web

L’his­toire

La mise à jour

Six éditions et quatre colla­bo­ra­teurs

Les tirages et les ventes

Le travail d’écri­ture

La rému­né­ra­tion

L’édi­teur

PHP 7 avancé

Avant-propos

Récu­pé­rer une clef

Déri­ver une clef

Déchif­frer

L’histoire

Six éditions et quatre collaborateurs

Le travail d’écriture

La rémunération

L’éditeur

Récupérer une clef

Dériver une clef

Déchiffrer