Catégorie : javascript

Nouveau tour dans les CSS-in-JS

L’histoire

J’ai abandonné mes premiers amours qu’étaient les feuilles de style séparées avec des nommages bien sémantiques. Je travaille par les applications front-end par composants, j’ai besoin que les styles fonctionnent de façon similaire.

BEM était une bonne idée mais impraticable. Le nommage est pénible et il fallait encore garder une synchronisation entre la feuille de style et les composants. J’ai eu plaisir à trouver CSS Modules mais on continue à jongler sur deux fichiers distincts avec des imports de l’un à l’autre. Il fallait faire mieux.

J’ai besoin que les styles soient édités au même endroit que les composants, toujours synchronisés, mis à jour en même temps, limités chacun au composant ciblé.

Tailwind a trouvé une solution à tout ça en générant statiquement la feuille de style à partir des composants eux-mêmes. Je comprends pourquoi ça plaît mais je n’arrive pas à considérer que redéfinir tout un pseudo-langage parallèle puisse être une bonne idée. On finit toujours par devoir apprendre CSS, que ce soit pour exprimer quelque chose que le pseudo-langage ne permet pas, ou simplement pour comprendre pourquoi le rendu n’est pas celui qu’on imagine.

Je suis parti vers les solutions CSS-in-JS quand je code du React. Faire télécharger et exécuter toute une bibliothèque comme Emotion est loin d’être idéal mais ça reste finalement assez négligeable sur une application front-end moderne.

Entre temps j’ai quand même découvert Goober, qui implémente le principal en tout juste 1 ko. L’élimination des styles morts contrebalance probablement largement ce 1 ko de Javascript. On aurait pu en rester là.

La mise à jour

Je suis quand même gêné de devoir embarquer une bibliothèque Javascript. J’ai fouillé voir si rien de mieux que Goober et Emotion n’avait pointé le bout de son nez depuis la dernière fois que j’ai tout remis en cause. Il se trouve que le paysage a sacrément évolué en cinq ans.

D’autres que moi ont eu envie d’aller vers du plus simple. On parle de zero-runtime. Les styles de chaque composant sont extraits à la compilation pour créer une feuille de style dédiée. Les parties dynamiques sont faites soit avec des variantes prédéfinies, soit avec des variables CSS qui sont ensuite manipulée par Javascript via les attributs `style`.

Le vénérable c’est Vanilla-extract mais on a juste une version plus complexe et entièrement Javascript des CSS-Modules. C’est d’ailleurs le même auteur, et le même problème fondamental : deux fichiers distincts à manipuler et à synchroniser.

Vient ensuite Linaria qui semble une vraie merveille. Il a l’essentiel de ce que proposent les CSS-in-JS avec de l’extraction statique avec tout ce qu’on attend au niveau de l’outillage : typescript, source maps, préprocesseur et vérification de syntaxe, ainsi que l’intégration avec tous les cadres de travail classiques.

Linaria c’est aussi WyW-in-JS, qui opère toute la partie extraction et transformation, au point de permettre à qui veut de créer son propre outil concurrent à Linaria. Je trouve même cette réalisation bien plus significative que Linaria lui-même.

L’équipe de MUI en a d’ailleurs profité pour faire Pigment-CSS et convertir tout MUI. Pigment reprend tout le principe de Linaria avec la gestion des thèmes, la gestion des variantes, et quelques raccourcis syntaxiques pour ceux qui aiment l’approche de Tailwind. En échange, ces fonctionnalités ne sont possibles qu’en écrivant les CSS sous forme d’objets Javascript plutôt que sous forme de texte CSS directement. La bibliothèque est aussi plus jeune et la compatibilité avec tous les cadres de travail ne semble pas assurée.

J’ai aussi traversé Panda-CSS mais sans être convaincu. Panda génère tout en statique mais il génère tout une série d’utilitaires et de variables par défaut, et injecte beaucoup d’utilitaires dans le Javascript qui sera exécuté avec l’application. C’est un croisement entre Emotion, Tailwind et Linaria, mais qui du coup me semble un peu Frankenstein. À vouloir tout à la fois, on finit par ne rien avoir de franc.

Si c’est pour utiliser avec MUI, le choix se fait tout seul. Dans le cas contraire, au moins pour quelques mois le temps que Pigment-CSS se développe un peu plus, Linaria me semble un choix plus sage. S’il y a quoi que ce soit qui coince, Goober reste une solution pragmatique et tout à fait acceptable.

13 août 2024
Promise Maps

J’aime beaucoup Simon Willison depuis des années. Il tient un carnet de notes en guise de blog, comme j’aurais longtemps voulu avoir le courage de faire.

Il relaie là un commentaire ycombinator :

When caching the result of an expensive computation or a network call, don’t actually cache the result, but cache the promise that awaits the result.
This way, if a new, uncached key gets requested twice in rapid succession, ie faster than the computation takes, you avoid computing/fetching the same value twice. […] In other words, the promise acts as a mutex around the computation, and the resulting code is understandable even by people unfamiliar with mutexes, locks and so on.

22 juillet 2022
Où je dis du bien du CSS-in-JS
Il n’y a que les imbéciles qui ne changent pas d’avis et c’est mon avis depuis toujours
Coluche

J’ai toujours regardé avec dédain les tentatives des dev JS pour contourner l’écriture de CSS mais je commence à considérer que les outils de CSS-in-JS type Emotion sont la bonne solution pour les webapp React.

J’ai été intégrateur, à faire de la belle CSS séparée du code HTML. On finit quand même vite par construire des monstres ou se prendre les pieds dans le tapis dès qu’on fait plus de quelques pages types.

Pour résoudre le problème, éliminons le. C’est ce que proposent les conventions comme BEM. Si je caricature, il s’agit principalement de retirer les sélecteurs CSS un attribuant une ou plusieurs classes spécifiques à chaque contexte. C’est franchement moche mais ça fonctionne.

CSS-Modules va un peu plus loin. Le principe est le même mais on permet au développeur d’utiliser un nommage plus agréable. C’est l’outil de génération qui gère la complexité au lieu du développeur.

J’avoue que j’aime bien CSS-modules. C’était mon favori jusqu’à présent.

Ça revient à juste gérer un fichier par composant en se limitant à des sélecteurs très simples pour ne pas créer de conflits de spécificité. On reste sur du CSS standard et sur une approche proche de mes habitudes historiques. Mieux : L’intégration peut se faire indépendamment du langage de développement de l’applicatif.

C’est top mais ça se base sur des composants qui ne bougent pas beaucoup, dont on connait à l’avance tous les états.

Dès qu’il s’agit de cumuler plusieurs états, le résultat dépend de l’ordre d’écriture dans la CSS. Parfois c’est bien prévu, parfois non.

Dès qu’il s’agit de rendre des choses très dynamiques, il faut de toutes façons sortir des CSS modules. Vous voulez que dans la vue large les items de navigation se colorent au survol en fonction de la catégorie destination déterminée dynamiquement mais qu’ils utilisent la couleur neutre dans la vue réduite destinée aux mobiles ? Vous êtes à poil et il va falloir composer avec d’autres façons d’injecter des CSS, peut-être même tâtonner sur les priorités entre classes.

Les classes utilitaires et CSS atomiques à la Tachyon sont là pour industrialiser en poussant encore plus loin.

J’ai une classe par valeur à appliquer : .ms7-ns applique la septième valeur du catalogue (7) comme taille horizontale maximum (ms pour max-width) si la fenêtre a une taille supérieure au point de rupture « small » (ns pour non-small).

Ça n’offre quasiment aucune abstraction utile (uniformiser les valeurs on a déjà plein d’outils plus efficaces). C’est vite cryptique, lourd, et monstrueux dès qu’on multiplie les valeurs et les points de rupture possibles.

Le seul intérêt par rapport à écrire directement les attributs style c’est que ça permet d’accéder aux media query et aux pseudo-sélecteurs.

Malheureusement non seulement ça ne résout pas les conflits de priorités mais ça les empire. Si je spécialise un composant existant en y ajoutant une classe liée à une directive déjà présente, je joue à la roulette russe. Il faut absolument que mon composant initial prévoit lui-même tous les cas possibles pour savoir quelle classe injecter et ou ne pas injecter. Pas d’alternative.

J’ai vraiment l’impression d’un retour en arrière monstrueux avec ces CSS atomiques, cumuler les défauts sans aucun avantage, et c’est probablement ce qui m’a fait rejeter par principe les CSS-in-JS jusqu’alors.

Les CSS-in-JS c’est finalement pousser la logique de Tachyons un cran plus loin. Quitte à décider de tout dans le code HTML, autant écrire directement les styles à cet endroit là en utilisant la vraie syntaxe CSS et en y ajoutant la possibilité d’accéder aux media query et aux pseudo-sélecteurs.

Emotion c’est ça. On est à la croisée entre le « j’écris tout dans un attribut style » et le « j’attache un module CSS ».

En fonctionnement basique c’est comme un CSS module sans le sélecteur. Je donne les directives en CSS on ne peut plus classiques et j’ai accès aux media query, aux pseudo-sélecteurs et aux animations avec une syntaxe proche de ce que font les préprocesseurs habituels (et en phase avec la direction que prend la syntaxe CSS elle-même).
```
const style = css`
  padding: 32px;
  background-color: hotpink;
  font-size: 24px;
  border-radius: 4px;
  &:hover {
    color: blue;
  }
`
```
Je peux directement ajouter le résultat aux classes CSS de mon composant. Il se chargera de générer un nom de classe, de créer la CSS correspondante dans le document, et de lier les deux, comme avec CSS-Modules.

L’exemple est peu parlant. On a juste l’impression d’un CSS-Modules écrit dans le fichier JS.

L’avantage c’est que je ne suis pas limité aux valeurs en dur. Je peux avoir des valeurs dynamiques venant de mon Javascript ou de mon thème, et je n’en limite pas les effets à ce que me permettent les variables CSS.

Je peux aussi réutiliser, composer ou surcharger un élément ou un bloc de styles avec un autre sans risque de conflit de priorité.

Tachyons me donnait l’impression de cumuler les inconvénients, ici j’ai vraiment l’impression de cumuler les avantages.

La seule contrainte c’est que mon code CSS se retrouve dans mes fichiers JS. C’est moche quand c’est dit ainsi mais pour une app en React, on a de toutes façons un fichier par composant HTML et ça a du sens de grouper HTML, JS et CSS lié au composant ensemble quand ils sont fortement liés. C’est d’ailleurs le choix de VueJS.

Ce n’est forcément pas adapté à tout, et si vous voulez rester génériques les CSS-Modules sont à mon avis l’option la plus saine, mais pour un code React je crois que c’est là que je commencerai par défaut désormais.
1 avril 2019
Une histoire de dépendances

Le mainteneur d’un paquet NPM n’a plus eu envie et a donné la main à un tiers. Ce tiers a injecté un code malicieux dans une version publique et potentiellement infecté pas mal de monde. Ça n’a été détecté qu’au bout de deux mois et demi alors que le paquet est utilisé un peu partout.

J’en vois qui lancent des blâmes ou qui se moquent sur l’actualité du paquet NPM malicieux. Ça défoule mais : Faites-vous mieux ? Permettez-moi d’en douter très très fortement.

Le moindre projet React, Symfony ou Rails, c’est une centaine de dépendances directes et indirectes, certaines proviennent de sources dont vous n’avez jamais entendu parler. J’ai listé trois frameworks mais c’est bien la même chose sur les autres langages/technos.

C’est bien le sujet : Sauf si vous avez la taille d’un Facebook/Google ou la criticité d’un Thalès ou d’un état, vous n’avez ni les moyens de passer des années-homme à tout recoder en interne, ni les moyens d’auditer chaque source à chaque mise à jour (si tant est que ça suffise).

Même ceux que j’ai nommé, je ne suis pas certains qu’ils le fassent toujours, sur tous les types de projet. Je suis même assez convaincu du contraire. Le ratio bénéfice/risque n’est juste pas assez important pour ça. Les moyens et les délais ne sont pas dimensionnés pour.

Alors moquez-vous, de ceux qui utilisent NPM, de ceux qui ne contrôlent pas l’ensemble des dépendances, mais vous ne faites probablement pas mieux. Il y a pas mal d’hypocrisie dans les réactions que je vois passer.

Ne blâmez pas non plus le mainteneur d’origine. Lui ne vous a jamais rien promis. C’est même dit explicitement dans la licence « aucune garantie d’aucune sorte ». Ce n’est pas parce que d’autres utilisent son code gratuitement qu’il aurait magiquement des comptes à rendre. En fait avoir passé la main est plutôt quelque chose d’encouragé dans l’open source. S’il n’y avait pas eu cette issue, il aurait plutôt fallu le remercier.

Alors quoi ? Alors rien.

Le problème a été résolu. Si ça arrive trop souvent alors ça changera le ratio bénéfice/risque et la communauté évaluera le fait d’avoir trop de dépendances tierces un (tout petit) peu plus négativement, et ainsi de suite.

La question intéressante que personne ne semble poser c’est celle de l’honnêteté du mainteneur d’origine. A-t-il vraiment passé la main ? et s’il l’a fait, est-ce qu’il en a tiré un bénéfice tout en soupçonnant ce qui pouvait se passer ? C’est à peu près la seule chose qui pourrait à mon sens lui faire porter une quelconque responsabilité.

27 novembre 2018
Comment on fait de la crypto dans le navigateur ?
Faire de la cryptographie dans le navigateur se révèle bien plus simple que prévu.

Laissez tomber les portages de libsodium & co. Quasiment tous les navigateurs supportent désormais une API native dédiée. Seul IE11 ne le fait pas totalement mais il a au moins le minimum qu’est la génération de nombres réellement aléatoires. Ceux qui veulent vraiment pourront compléter l’implémentation d’IE11 avec un polyfill sans risquer de problème de sécurité.

Il y a plein de jolis exemples sur qnimate mais certaines choses datent un peu. J’ai tenté de résumer ici pour ceux que ça intéresse. Ici pour du déchiffrement à partir d’une clef secrète.

Avant-propos

Je ne suis pas un expert en chiffrement et ce genre de choses est toujours à manier avec précaution. Si vous faites quelque chose de sérieux, ne vous contentez pas d’exemples et embauchez quelqu’un qui sait.

Rien que choisir l’algorithme pertinent demande de savoir ce qu’on fait. AES-CTR semble pertinent pour mon cas d’usage où n’ai pas besoin de vérifier l’authenticité du message, où je n’ai pas envie de me coltiner les questions de padding, et où je serai heureux de profiter des multiples cœurs des smartphones.

Si l’algorithme choisi ou autre chose vous dérange et que vous en savez plus que moi, n’hésitez pas à commenter.

Récupérer une clef

Le plus simple est de récupérer directement une clef au format JSON Web Key (en gros la clef en base64url plus un peu de métadonnées). Dans ce cas il suffit de passer par importKey :
```
const crypto = window.crypto.subtle;

const jwk = {
  "kty": "oct",
  "use": "enc",
  "k": "SDRSTgdOpUGfgn3iAwiC1cpzsevLM98r_6ehMXlK1Gk",
  "alg": "A256CTR"
};
const algo = {name: "AES-CTR"};
const exportable = false;
const usage = ["decrypt"];

const key = await crypto.importKey("jwk", jwk, algo, exportable, usage);
```
Dériver une clef

Si on veut partir d’une phrase secrète mémorisable et non d’une clef complète, on commence par créer une clef temporaire et on utilise un algorithme de dérivation comme PBKDF2.

Malheureusement pour créer cette première clef il faut passer par un TextEncoder et ArrayBuffer. peut toujours dériver la clef à partir de là. TextEncoder n’existe pas sous Edge et IE11, il vous faudra utiliser une fonction comme unibabel qui fait ça pour vous.
```
const crypto = window.crypto.subtle;
const encoder = TextEncoder();

const passphrase = "l'eau ça mouille, le feu ça brûle";
const buffer = encoder.encode( passphrase );
const d_algo =  {name: 'PBKDF2'};
const d_exportable = false;
const d_usage = ['deriveBits', 'deriveKey'];
const d_key = await crypto.importKey('raw', buffer, d_algo, d_exportable, d_usage);

const deriv = { 
  name: 'PBKDF2',
  salt: encoder.encode( "c'est le week-end !" ),
  iterations = 25,
  hash: 'SHA-256',
};
const algo = {name: "AES-CTR", length: 256}; 
const exportable = false; 
const usage = ["decrypt"];

const key = await crypto.deriveKey(deriv, d_key, algo, exportable, usage);
```
La sécurité de tout ça dépend de la longueur et de l’unicité de votre phrase secrète initiale. À vous de trouver le bon compromis entre la sécurité et la puissance des smartphones qui risquent d’utiliser votre code. Le 25 ici est purement arbitraire et le temps de calcul nécessaire est proportionnel.

Déchiffrer

Déchiffrer n’est pas plus difficile.

Le vecteur d’initialisation (iv) et la donnée chiffrée (encrypted) sont attendus sous forme d’ArrayBuffer. Il faudra de nouveau passer par unibabel ou une autre solution si vous avez ça sous forme de chaîne binaire ou codé en base64.

Le résultat de decrypt() vous est retourné sous la même forme. S’il est petit le plus simple est d’utiliser TextDecoder ou unibabel. Si vous avez quelque chose de plus volumineux vous pouvez aussi passer par un Blob et un FileReader.
```
const crypto = window.crypto.subtle;
const decoder = TextDecoder

const key = ...
const iv = ...
const encrypted = ...

const algo = { name: 'AES-CTR', iv: iv }
const buffer = await crypto.decrypt(alg, key, encryted);
```
14 avril 2018
Donnée confidentielle dans une session de navigation.

Je partage, ça peut servir à d’autres. Je cherchais à garder confidentiel une information confidentielle le temps d’une session de navigation. En gros je cherchais un genre de cookie de session mais qui reste côté client sans jamais transiter sur le réseau.

Le localStorage est top mais il persiste au delà de la session de navigation. Le sessionStorage est top mais il n’est pas partagé entre les onglets.

Visiblement certains se sont penchés sur la question il y a quelques années et sont revenus avec une solution toute bête mais efficace : Faire dialoguer les différents sessionStorage en surveillant les écritures dans le localStorage.

C’est tout con, ça prend juste 20 lignes, mais il fallait y penser.

Merci Rik

12 avril 2018
[Aide] Communication entre une page et une extension navigateur

J’ai une page qui fait des traitements javascripts basés sur des appels XHR authentifiés vers son origine et sur des communications en window.postMessage avec des <iframe>. Elle n’a besoin d’aucune permission privilégiée, c’est juste une page web avec une origine normale.

J’aimerais pouvoir interroger cette page depuis une extension Firefox et qu’elle me communique le résultat de ses traitements, mais sans que ça n’affiche la page à l’utilisateur.

Au départ j’imaginais que l’extension pouvait lancer une <iframe> cachée et discuter avec elle en postMessage. On me dit que ce n’est pas possible.

Embarquer directement le code de la page dans l’extension n’est pas envisageable pour des raisons de sécurité (et on ne ferait que reporter le problème vu que cette page lance elle-même des iframes pour communiquer avec elles).

Dis, public, est-ce que tu aurais une suggestion ou une piste à explorer ?

4 avril 2018
Variables et constantes — Javascript 103
Travailler avec ES2015 c’est quelques changements sur les déclarations des variables.

Premier changement : Les modules ES2015 sont implicitement en mode strict. Y utiliser une variable non déclarée provoque une erreur. Ce seul changement est une bénédiction vu l’ubuesque comportement par défaut de Javascript. Il reste que ça ne changera pas grand chose pour qui utilisait déjà un outil d’analyse de code (linter).

Pour déclarer les variables nous avons aussi le nouveau mot clef let en complément de l’ancien var. La portée est alors limitée au bloc de code parent le plus proche (if, while, function, for…) au lieu d’être étendue à toute la fonction parente.
```
let a = 2;
for(let b=1; b<3; b++) {
  let a = 3;
  a = 4;
}
console.log(a); // 2 et non 4
```
Au début j’étais enthousiasmé. J’ai trouvé exceptionnel de pouvoir travailler avec des variables jetables le temps de quelques lignes et j’ai pensé éviter de nombreuses réutilisations par erreur.

À l’usage c’est un ajout sympa mais pas si révolutionnaire. Si c’est pratique c’est surtout pour gérer les fermetures syntaxiques (closure) au sein des boucles. Le reste du temps ça n’a que peu d’influence quand on a des fonctions de taille et de niveau d’imbrication raisonnables.
```
var fns = [ ];
for(var i=1; i<3; i++) {
  fns.push( function () { console.log(i); } );
}
var fn = fns[0];
fn(); // affichera 3 et non 1

//----

fns = [ ];
for(let j=1; j<3; j++) {
  fns.push( function () { console.log(j); } );
}
fn = fns[0];
fn(); // affichera 1
```
Je me demande si ça pourrait être la portée par défaut dans un langage. Visiblement certains pensent que non mais je n’ai pas été convaincu par l’argumentaire.

L’autre nouvel arrivé c’est const. Déclarée ainsi la variable a la même portée qu’un let mais on ne peut pas y affecter une valeur différente.

Là aussi c’est pas mal d’enthousiasme. Une variable qui est modifiée sans avertissement par une fermeture lexicale ou un module tiers, ça fait parfois des dégâts.

Le problème c’est que ça ne protège pas vraiment de ça. Si on ne peut pas affecter de nouvelle valeur au même nom de variable, la valeur elle même n’est pas immuable. On peut toujours faire changer d’état un objet ou modifier les éléments d’un tableau. Dommage…
```
const tab = [ ];
tab[3] = 4; // ne provoque pas d'erreur mais change `tab`

const obj = { 
  var priv = 2; 
  this.chg = function() { priv = 3; };
};
obj.chg(); // `obj` vient de changer d'état silencieusement

tab = [1, 2, 3]; // là par contre on génère une erreur.
```
Pour obtenir une vraie sûreté il faut utiliser des des structures de données explicitement prévues pour. On ne peut plus utiliser les raccourcis habituels { } ou [ ] et l’instanciation devient bien plus verbeuse. Facile d’oublier par inattention et par habitude.
```
import immutable from "immutable";
const map = Immutable.Map({a:1, b:2, c:3});
// map ne changera plus jamais de valeur
```
Le problème c’est que tous les modules tiers continuent à utiliser les structures de données variables habituelles. Malheureusement des modules tiers, vue la pauvreté de la bibliothèque standard de Nodejs, on en utilise des tonnes, y compris pour des fonctions de base.

Pour se protéger vraiment des changements d’état il faudra non seulement utiliser explicitement nos structures de données immuables (aie), mais en plus faire régulièrement des conversions quand on communique avec des modules tiers (ouch).

Il y a tout lieu de penser qu’on finira par avoir des données variables et d’autres immuables, suivant d’où elles viennent et comment elles sont déclarées. Il faudra réfléchir à chaque utilisation, parfois remonter à la création de la donnée. Possible même que le comportement de const avec les structures de données natives nous incite plus d’une fois à nous croire en sécurité alors que ce ne sera pas le cas.

Pour moi c’est le scénario du pire. Non seulement on complexifie le code (plus verbeux) et la charge cognitive (savoir à chaque fois quel est le type de variable et le type de données), mais en plus on garde des risques.

Pour jouer à ça il aurait fallu que le langage s’assure que ce qu’on déclare comme tel soit réellement immuable, jusqu’en profondeur. Je comprends très bien pourquoi ça aurait été difficile voire impossible, mais du coup ce const m’a l’air d’une vraie fausse bonne idée. Dommage…

Pour autant je me prends quand même à utiliser const pour les littéraux. Ça ne coûte pas grand chose et ça fixe par écrit l’intention que j’ai en tête. Même si je n’y suis pas obligé, je fais tout de même attention à garder let quand j’utilise un tableau ou un objet natif. J’ai trop peur d’induire en erreur le prochain développeur qui passe (d’autant que ce sera probablement moi).

Je jetterai peut-être de nouveau un œil à immutable.js si une partie significative des modules s’y convertit. Entre temps le ratio bénéfices/(risques+défauts) me parait assez faible.

Au delà de ces questions de déclarations, j’en tire un avis plutôt négatif sur la propagation des variables en Javascript. On fait des fermetures lexicales de partout et on ne maitrise pas bien les effets de bord. Pas étonnant que les développeurs cherchent à avoir des variables et des structures de données immuables ! Si la propagation des variables était plus saines au départ, ce besoin ne ferait pas surface ainsi.
```
var i = 1;
function hello10times() {
  for(i=1; i<10; i++) {
    console.log("hello ");
  }
}
hello10times();
// oups ! i a changé et vaut désormais 10
```
PHP est plus strict (ouch, dire ça me fait mal) : Les variables ne sont pas déclarées mais ne sont jamais héritées d’un contexte parent sauf à le déclarer explicitement, avec global pour les variables globales, ou use pour les fermetures lexicales. On peut toujours faire des effets de bord assez moche, mais on les voit venir assez facilement.
```
$i = 3;
$hello10times = function () {
  for (i=1; i<10; i++) {
    echo "hello ";
  }
}
// $i vaut toujours 3

$hello10times = function () use ($i) {
 for (i=1; i<10; i++) {
 echo "hello ";
 }
}
// $i vaut 10 mais là c'est forcément intentionnel
```
La visibilité des variables de Python est plus proche de ce que fait Javascript mais, sauf à le déclarer explicitement, si on utilise une variable d’un contexte parent, c’est en lecture seule. On garde des effets de bord, mais c’est déjà plus limité (bon, en échange savoir si la variable utilisée est locale ou héritée n’est pas toujours super explicite).

D’ailleurs, quitte à parler d’explicite, je trouve dommage d’avoir à déclarer mes variables en Javascript. Il n’y a pas vraiment le choix vu l’historique du langage mais ça reste agaçant vue la faible valeur ajoutée de la chose, surtout quand je vois avec Crystal que même un langage à typage statique peut s’en passer.

Si j’avais à créer un langage de zéro je pense que j’apprécierais de ne pas avoir à déclarer mes variables, éventuellement leur donner la portée par défaut de let, mais avec la déclaration explicite de PHP pour les fermetures lexicales (avec peut-être une exception pour les petites fonctions anonymes d’une unique ligne/expression).

L’idée de const me plait beaucoup, mais uniquement si le langage se révèle capable de réellement rendre la donnée totalement immuable, et ça en profondeur. À minima le freeze de Ruby serait une demie-solution (une demie seulement parce qu’il faut penser à faire un freeze récursif sur un clone de tous les objets avant leur affectation par const, ce qui est assez pénible). Celui de Javascript ne me semble pas efficace pour bloquer les changements d’état d’objets qui contiennent des propriétés privées (implémentées via des fermetures syntaxiques).

Tiens, ça pourrait même être intégré au langage : si l’affectation se fait avec := plutôt qu’avec =, alors ni la variable se voit affecter une copie immuable de la donnée, sans possibilité de modification ou ré-affectation.

Si vous développez le nouveau langage de demain, vous avez désormais mon cahier des charges :-)
13 août 2016
Résoudre le callback hell — Javascript 102

Après la mise en place, il est peut-être temps de faire un premier script. J’ai tenté un petit script que j’ai fait la veille en ruby : lister toutes les images dans une hiérarchie de répertoires et faire un gros fichier Json qui récapitule les différentes tailles.

Faire un petit fichier outil CLI à l’aide de commander.js : un callback. Lister les fichiers d’un répertoire : un callback. Lire les exif : un callback. Écrire dans un fichier JSON : un callback.

Bon, lire et écrire peuvent se faire en synchrone sans callback – et dans mon cas précis ça ne changerait probablement rien – mais je suis là aussi pour apprendre comment faire pour plus tard dans cet écosystème.

Une hiérarchie de quatre fonctions de rappel pour ce qui m’a pris 5 à 10 lignes tout mouillé en Ruby, ça me fait mal. J’avoue, je suis presque surpris que la transformation en JSON ne me demande pas un callback.

Me voici en plein callback hell. Le problème est connu. J’ai bêtement pensé qu’on me donnerait une solution rapidement, un outil ou un usage à suivre.

On me pointe vers les promesses ES2015 mais l’API Node et tous les modules en ligne continuent à utiliser des callback. Sérieusement, personne n’a cherché à présenter l’API Node directement en promesses ?

C’est donc à moi de transformer chaque méthode ou chaque module pour qu’il utilise des promesses. Promisify semble être la baguette magique pour ça. À partir de là il suffit de convertir chaque module pour enchaîner des promesses (attention aux écueils).

Franchement ça reste assez moche. Des gens biens me pointent vers les systèmes à base de générateurs (je recommande la lecture de ce lien) et le module co. Le code résultant est déjà bien plus lisible malgré les artifices.

On me rappelle alors les async / await (là aussi, je recommande la lecture). Je crois que c’est seulement maintenant, après cette exploration, que je comprends l’intérêt et le fonctionnement. Parfait, si ce n’est qu’il faut choisir presque au hasard entre trois plugins différents pour ajouter la fonctionnalité à Babel.

Attention, ce n’est pas magique. Il faut se rappeler que ce n’est qu’une surcouche aux promesses, et il y a quelques écueils (lien indispensable si vous comptez utiliser async/await) à bien connaitre là ici aussi, entre autres pour ne pas perdre les exceptions dans un trou noir.

Je me retrouve avec un code qui a l’air relativement élégant mais la réalité me rattrape : Visiblement quasi aucun code en production ne fonctionne ainsi. Une majorité des gens utilisent encore des callbacks, les autres se sont contentés des promesses. Est-ce une bonne idée de déjà viser les async/await ?

Il reste aussi que j’ai l’impression de retrouver le mode multi-tâche coopératif de Microsoft Windows 3.1 en moins bien intégré. Je ne vois aucune raison pour que la bibliothèque standard m’impose des callbacks, des promesses ou des async/await à tout bout de champ plutôt que de gérer ça en interne.

L’OS sait déjà passer à un autre processus quand mon programme est en attente d’une i/o. Si la machine virtuelle du langage veut gérer plusieurs fils d’exécution en interne pour optimiser le processeur, qu’elle le gère elle-même via l’API mise à disposition. C’est à elle d’identifier que je veux ouvrir un fichier et de savoir qu’elle peut favoriser un autre fil d’exécution en attendant que le disque me remonte la donnée. Je trouve ahurissant que ces mécanismes débordent sur mon code et le complexifient ainsi.

Oui, les promesses ne servent pas qu’à gérer la lenteur des i/o et faire coopérer les différents fils d’exécutions de la machine virtuelle V8 mais c’est quand même pour ça qu’on me les impose partout dans l’API de Node.js. Ça en devient même un style de programmation et les modules proposent des callbacks partout et pour tout (à vue de nez, y compris là où ça n’a pas vraiment de sens, à mon humble avis par mimetisme).

Promesses, async, callbacks… J’adore tous ces concepts, mais quand j’en ai besoin moi, pas pour compenser les choix d’architecture du moteur sous-jacent.

Javascript a énormément évolué, dans le bon sens. Côté syntaxe ES2015 et suivant donnent un résultat qui m’attire beaucoup. Le fonctionnement et l’API de Node.js me semblent pour l’instant gâcher tout ce résultat. Un beau langage avec un boulet aux pieds.

8 août 2016
Recommençons à zéro — Javascript 101
PHP a été mon langage favori pendant presque 10 ans. Ruby l’a suivi pour à peu près la même durée. Javascript a été l’outil secondaire pas très attirant pour quand il n’y a pas d’autre choix, c’est à dire sur navigateur.

Avant-hier j’ai eu un petit pincement de frustration en cherchant à déstructurer un dictionnaire lors d’une affectation. Ruby n’a toujours qu’une demie solution pas très élégante. PHP et Javascript ont tous deux énormément évolué entre temps, au point qu’on ne les reconnait qu’à peine.

Si Ruby garde des capacités inégalées pour faire de la méta-programmation, 10 ans c’est peut être le bon moment pour reprendre un autre langage de zéro.

Je fais du web, j’aime beaucoup l’idée de l’isomorphisme, il me faudra donc quelque chose qui sache compiler en Javascript. Elm pourrait me faire du pied vu sa gestion des types mais c’est un pari osé considérant qu’il est encore absent côté serveur.

Ça sera donc Javascript. D’abord pour quelques scripts en ligne de commande, puis peut-être des applications plus sérieuses.

Reprendre de zéro c’est l’occasion de laisser le passé derrière soi et recommencer comme si c’était un nouveau langage. Je ne prends que les dernières versions et outils récents dans la chaîne, voire ce qui n’est pas encore sec mais qui arrivera demain.

Il s’agit aussi de reprendre de zéro, pour apprendre. Exit donc les boiler plate et autres kits de démarrage rapide.

Première étape : installation de npm (3.10.3) et nodejs (6.3.1).
```
# Sur Mac avec Homebrew (http://brew.sh/)
brew install nodejs
```
et initialisation du projet (un peu de doc si besoin pour aider à remplir)
```
mkdir my-js-project
cd my-js-project
npm init
```
Ensuite l’idée c’est d’utiliser le nouveau Javascript moderne et ne chercher aucune compatibilité passée. Installation de Babel pour gérer ES2015 et + :
```
npm install --save-dev babel-cli
```
La plupart des sites recommandent des preset pour ES2015 ou React mais visiblement Nodejs 6.x gère déjà l’essentiel des fonctions nativement. Il existe au moins trois preset spécifiques pour Nodejs 6 mais la seule configuration commune aux trois est le plugin qui transforme les modules ES2015 en modules Commonjs. Je suis donc reparti de là :
```
npm install --save-dev babel-plugin-transform-es2015-modules-commonjs
```
Puis l’édition du .babelrc :
```
{
  "presets": [ ],
  "plugins": [ "transform-es2015-modules-commonjs" ]
}
```
Si quelque chose manque à Nodejs 6, il faudra que j’ajoute le plugin correspondant. Voici les plugins sur lesquels mes trois presets étaient en désaccord :
- transform-es2015-function-name,
- syntax-trailing-function-commas,
- transform-es2015-destructuring,
- transform-es2015-parameters,
- transform-object-rest-spread,
- transform-es2015-sticky-regex,
- transform-es2015-unicode-regex,
- transform-es2015-modules-commonjs,
- et transform-class-properties.
Je n’ai pas pris le temps de les tester un par un pour voir lesquels étaient réellement nécessaires pour pas. Si quelqu’un a le courage de faire le travail…

Reste à enfin permettre d’exécuter un premier script. J’ai tenté de suivre les usages en mettant les sources dans src/ et les fichiers compilés dans lib/ avec un index.js comme fichier principal.
```
mkdir lib
echo "Compiled files will go here." > lib/README.md
echo "Leave these files untouched"  >> lib/README.md
echo "and modify ../src/* instead." >> lib/README.md

mkdir src
echo "Source files will go here." > src/README.md
echo "They should be compiled before any use." >> src/README.md
touch src/index.js
```
Et la configuration du package.json pour lancer tout ça (notez le main qui prend en compte notre nouveau chemin et le scripts qui liste nos deux nouvelles actions) :
```
{
  "name": "my-project",
  "main": "./lib/index.js",
  "scripts": {
    "build": "babel src -d lib --source-maps",
    "watch": "babel src -d lib --watch --source-maps"
  },
  "devDependencies": {
    "babel-cli": "^6.11.4",
    "babel-plugin-transform-es2015-modules-commonjs": "^6.11.5"
  }
}
```
Un npm run build permet de compiler tous les fichiers, un npm run watch permet de surveiller en temps réel les modifications des fichiers sources pour mettre à jour les fichiers destination correspondants.

J’ai ajouté un README, le .gitignore proposé par Github pour un projet Nodejs, une licence, et ‘op, vous trouverez le tout sur Github.

Ça fait déjà pas mal pour toujours aucune ligne de Javascript utile.

Quelques feedback après ce tout petit premier pas :

1– C’est long et complexe

Oui, j’ai cherché les ennuis, il existe des boiler plate tout faits, mais je ne crois pas avoir le même problème avec Python, Ruby, PHP ou d’autres.

Le fait d’avoir une étape de compilation avec Babel n’aide pas mais Java pourrait en dire tout autant. Pourquoi n’existe-t-il pas un babel init qui lit la version courante de Nodejs, m’installe un .babelrc adapté à cette version et me modifie mon package.json pour m’ajouter les raccourcis build et watch ?

Oui, je pourrais faire une pull-request, mais fallait-il m’attendre ?

2– La doc aide peu

Franchement c’est la plaie. Je ne dirais pas qu’il n’y a aucune doc, mais il y en a dans tous les sens. La plupart ne sont pas à jour, toutes semblent incomplètes, et il est bien difficile de savoir si telle ou telle a pris en compte les dernières évolutions.

Peut-être n’ai-je pas trouvé la bonne référence ? Dites-moi.

Rien que le npm init n’était indiqué sur aucune doc que j’ai croisé. Pire : si on l’oublie il n’y a pas de message rouge très explicite pour indiquer que les npm install –save-dev n’auront pas l’effet demandé. Il a fallu comprendre qu’il fallait créer un package.json, puis découvrir qu’il n’était pas nécessaire de le faire à la main.

Ce n’est que le début. Quand il va s’agir de choisir une bibliothèque ou des outils, je sens que ça va être toute une histoire pour d’y retrouver. La doc de setup de Babel en donne un premier aperçu.

J’ai l’impression qu’à chaque étape la roue est en pleine reconstruction, et qu’on en a fait plusieurs versions différentes en parallèle, pour tout.

3– Qui a eu l’idée d’utiliser des fichiers de config JSON ?

Je suis aussi assez peu fana aussi des config dans des fichiers Json. J’ai l’impression de retrouver les fichiers de configuration XML de Java. Je n’ai pas l’impression que ce soit beaucoup plus lisible.

La grosse différence c’est que Java a créé ces configurations avec tout un outillage autour. Le développeur n’avait que rarement besoin d’y plonger manuellement. C’était géré automatiquement par les IDE et les scripts.

J’ai ajouté un plugin au .babelrc décrit plus haut. Ce plugin a une option. Je me retrouve avec un Json de 7 lignes dont 4 qui contiennent autre chose que des crochets et accolades fermantes.… et déjà un dictionnaire dans un tableau dans un tableau dans un dictionnaire. Rien que ça.

Même mon petit package.json me parait délicat à manipuler malgré l’indentation. Heureusement que les dépendances sont ajoutées automatiquement par npm lors de leur installation.

Là, dès qu’on dépasse le simple clef valeur, j’ai l’impression de me retrouver avec une double peine : Un fichier de configuration peu aisé à manipuler, mais pas pour autant d’outil pour le faire à ma place.
7 août 2016

Catégorie : javascript

L’his­toire

La mise à jour

Avant-propos

Récu­pé­rer une clef

Déri­ver une clef

Déchif­frer

1– C’est long et complexe

2– La doc aide peu

3– Qui a eu l’idée d’uti­li­ser des fichiers de config JSON ?

L’histoire

Récupérer une clef

Dériver une clef

Déchiffrer

3– Qui a eu l’idée d’utiliser des fichiers de config JSON ?