Carnet de notes

Catégorie : Technique

Pagination sans limit ni offset
TL;DR: La pagination c’est bien™, le faire avec des paramètres limit/offset c’est mal™.

C’est très simple à expliquer : Si les données sont mises à jour entre deux requêtes d’une même pagination, au mieux vous manquez des données et en visualisez d’autres en double, au pire vous corrompez tous vos calculs.

Hypermedia

La solution magique c’est que vos API retournent un nombre limité de résultats avec des liens dans les entêtes, probablement un rel=next pour les données suivantes et/ou un rel=prev pour les données précédentes. Le client n’a qu’à suivre les liens.

En pratique

OK, je triche parce que je n’explique rien, alors je vais prendre un exemple : Un hypothétique client Twitter sur une hypothétique API Twitter (je m’autorise donc à ne pas préciser ce qui se fait sur les API actuelles).

Lorsque Twitter vous retourne les 100 derniers tweets de votre timeline avec les identifiants 3245 à 3566, il peut vous renvoyer deux liens dans les entêtes :
- Un rel=last qui mène en fait vers l’exacte requête que vous avez faite mais avec en plus un paramètre since_id=3566. Quand vous voudrez rafraichir votre timeline, il vous suffira de suivre le lien. Il vous retournera les nouveaux messages jusqu’au 3566 non compris, mais jamais ceux que vous avez déjà reçu.
- Un rel=prev qui mène vers l’exacte même requête que vous avez faite, mais avec en plus un paramètre max_id=3245. Quand vous voudrez aller chercher les messages plus anciens, il vous suffira de suivre le lien.
Si vous suivez un rel=prev après avoir suivi un rel=last vous finirez avec un lien qui contient et un since_id et un max_id, vous assurant de combler les trous que vous avez dans votre timeline, sans jamais renvoyer un message en double ni en oublier.

Si vous souhaitez faire une synchronisation complète, il suffit de stocker tous les liens rel=prev que vous recevez dans une liste, et d’aller les suivre un à un à la fréquence que vous souhaitez. Vous pouvez avoir un autre fil d’exécution en parallèle qui suit le rel=last de temps en temps (il n’y en aura qu’un seul à la fois, vous en aurez un nouveau à chaque fois que vous suivez le précédent).

Bon, dans la vraie vie vous aurez généralement un rel=next (messages juste suivants) plutôt qu’un rel=last (derniers messages), mais Twitter est particuliers : Ça va si vite qu’en général la priorité est d’avoir les derniers messages à date, quitte à générer des trous dans la timeline qui seront comblés plus tard.

Twitter est aussi facile parce qu’on trie toujours pas date, et que l’identifiant unique de chaque message est toujours ordonné lui aussi. Ailleurs on utilisera peut être la date de dernière modification comme pivot pour gérer la pagination. L’important est que le critère de tri soit cohérent avec la donnée utilisée comme pivot
17 février 2015
Front-end designer ou intégrateur web ?

On m’a toujours séparé la notion de graphiste web en deux : D’un côté la création, l’illustration. De l’autre le maquettage, l’agencement, l’ergonomie et les interfaces.

Côté développeur web il y a les back-end pour le code métier et le code serveur, ainsi que les front-end pour le code interface.

Intégrateur

Faire du pur HTML/CSS, c’est parfois pris par des développeurs front-end, parfois par des graphistes d’interface. C’est typiquement ce qu’est l’intégrateur web. Le métier a pris une forte spécialisation depuis 10 ans. Il faut bosser dans un environnement très hétérogène, avoir des notions d’ergonomie, beaucoup de connaissances sur les navigateurs, y compris technique, faire face à des technologies en pleine évolution, considérer les performances, etc.

Je lis les tentatives de nommage de designer front-end suite aux interrogations de STPo. J’avoue avoir un peu de mal parce que ce que j’en lis ressemble quasiment parfaitement à ce que j’aurais nommé intégrateur.

Has-been ?

Si je devais envoyer une pique, j’ai l’impression qu’il y a un petit complexe face aux nouveaux front-end developer, c’est à dire ceux qui font de l’applicatif JS avec une compétence HTML/CSS/HTTP (et déjà, vous notez qu’on manque d’un terme vu que le développeur PHP on l’appelait déjà front-end developer dans pas mal de boites, par opposition à celui qui gère le code métier dans des serveurs dans interface client).

Oui il y a une demande de ces nouveaux front-end developer, et ça fait perdre un peu de contrats aux intégrateurs qui ne couvrent pas cet aspect. Mais si vous acceptez de délaisser ce terme en le qualifiant de has-been, c’est vous-même qui retirez de la valeur au métier. Il faudrait le renforcer, communiquer dessus, montrer la valeur… D’autant que trop de front-end developer sont justement du coup plus faibles en intégration, à connaitre le support de tous les navigateurs, les bugs louches de CSS, la compatibilité qui ne se résume pas à la dernière version de Chrome, etc.

N’oubliez pas que c’est comme ça qu’on a créé ce terme dans le web il y a moins de 10 ans. Avant il y avait les webmaster d’un côté, et les développeurs de l’autre. Le terme d’intégrateur on l’a justement à l’époque imposé comme l’expert qui savait faire ce code HTML/CSS avec un peu de javascript si besoin, et soit une tendance graphiste soit une tendance avec un peu de PHP, souvent les deux.

Tenter un nouveau terme juste pour rajeunir l’image, c’est pour moi une vision non seulement très court terme, mais aussi défensive en abandonnant la valeur au lieu de la renforcer à valoriser le métier.

Designer

Reste la question de l’anglais, où le terme d’intégrateur web ne semble pas exister. Proposer un terme autre que front-end developer peut avoir du sens, mais je ne suis pas convaincu qu’il faille chercher dans une spécialisation de designer.

Je sais que les gens qui participent à la discussion en lien sont quasiment tous graphistes *et* intégrateurs. Pour autant, quitte à parler spécialisation des métiers et valorisation de celui d’intégrateur, j’aurais aimé un terme qui regroupe tous les intégrateurs plutôt que de mettre ceux qui débordent côté graphisme dans la case maitresse designer et ceux qui débordent côté programmation dans la case maitresse developer.

C’est oublier ceux qui sont au milieu et croire que finalement le métier intermédiaire n’existe pas en soi. Bref, aller là aussi à l’encontre de la valorisation du métier spécifique d’intégrateur, en le reléguant comme une cartouche secondaire d’un graphiste ou d’un développeur.

S’il est sain de créer des termes pour des spécialisations, ne créons pas des termes pour décrire ceux qui sont à la fois sur deux ou trois spécialisations précises, sinon on ne s’en sortira jamais et on ne fera que diviser. Si vous couvrez plusieurs cases – ce qui est non seulement très bien mais carrément souhaité – dites simplement que vous êtes intégrateur et graphiste d’interfaces, ou intégrateur et développeur front, ou encore autre chose. Cumulez, ne divisez pas.

front-end

Indépendamment de tout ça, même si on veut classer les intégrateur dans les designer (qui en anglais ne recoupe pas que la notion de graphisme au sens français, je le conçois), je ne comprends pas le qualificatif de front-end ici. Pour le développement il y a du back et du front, mais sauf erreur de ma part le designer s’occupe toujours du front – et ce qu’il fasse de l’intégration technique, de la conception d’interface ou de l’illustration/création.

Interface designer m’aurait déjà moins choqué mais je crois que c’est déjà occupé par un poste moins technique. Je n’ai pas mieux à proposer mais front-end designer ne me semble rien vouloir dire.

Je m’amuse de voir que pour une fois, nous avons foison de termes spécialisés en français alors que les anglais n’ont qu’une poignée de termes très génériques.

Et moi ?

J’ai toujours eu du mal à me mettre dans une seule case, et j’espère qu’il en va de même pour beaucoup de gens dans le web. Même quand je ne faisais que de la technique, je n’ai jamais su si j’étais développeur ou intégrateur.

J’étais les deux. Certainement pas « simplement front-end developer » dans le sens « intégrateur qui développe », parce que j’ai toujours vu intégrateur comme une casquette à part entière, qui demande une expertise gigantesque qui éclipse largement le côté « qui développe ».

Bref, je ne me retrouve certainement pas dans cette séparation des graphistes d’un côté et des développeurs de l’autre, en éclipsant les intégrateurs au milieu. Très dommage.

4 février 2015
Google Drops Support for Security Questions

…et franchement il était temps. Ces systèmes de questions personnelles sont totalement aberrants. Bref, merci.

Il s’agit généralement de questions dont on peut trouver la réponse avec un minimum de recherches sur le net. Les amis et les proches connaissent déjà toutes les réponses ou peuvent les obtenir relativement facilement à force de discussion.

À l’inverse, mon professeur préféré ? La rue de là où j’ai habité petit ? J’aurais plusieurs réponses possibles. J’hésite à chaque fois. Il est même possible que certains de mes proches répondent plus rapidement que moi-même à ces questions – tout en donnant la bonne réponse.

Un ou plusieurs numéros de téléphone, un ou plusieurs emails, une liste de codes de secours à usage unique… Google fait très bien tout ça. L’avantage de ces solutions c’est que même si quelqu’un usurpe le compte, le service client peut les réutiliser pour authentifier le vrai propriétaire des données.

Tout au plus on pourrait imaginer de demander au service de confirmer cumulativement par plusieurs moyens, du genre mon téléphone de bureau, plus le numéro personnel de mes parents, plus l’email de ma femme. Peu probable que quelqu’un réussisse à avoir accès aux trois simultanément sans que je n’en ai connaissance. Si je perds vraiment tous mes accès, cette difficultés sera surmontable.

Visiblement des gens se permettent de remettre en question les pratiques dont le coût est supérieur au bénéfice : Je vois des banques désormais sans ces claviers virtuels inutiles et je me rappelle Mozilla qui avait arrêté de demander le renouvellement régulier des mots de passe.

Bon, tout n’est pas gagné partout : Linkedin ne vérifie pas les emails des nouveaux comptes, et ça ouvre de jolies failles chez tous ceux qui ont un « authentifie-moi avec Linkedin ».

Photo d’entête sous licence CC BY par Zuerichs Strassen

12 décembre 2014
Working with designers

J’ai lu récemment le Working with designers, et ça me donne l’occasion de publier une réflexion qui me trotte dans la tête depuis longtemps :

Vous avez besoin d’un graphiste dans votre équipe.
En interne, à demeure.

Oui, on peut très bien faire un peu tout sans graphisme, et trouver un prestataire quand il s’agit quelques fois dans l’année de faire une charte, un design ou une illustration. Vous manquez juste 80% de la valeur ajoutée.

En fait c’est plus large que ça. On peut techniquement avoir juste un CEO, qui achète des prestations de développement informatique à une SSII, délègue le cahier des charges à un cabinet d’assistance MOA, fait distribuer la solution par des vendeurs multicartes.

Ça peut même fonctionner, dans de rares cas. Vous manquez juste la valeur qui est de réfléchir au produit, de faire des évolutions permanentes et progressives, de laisser les gens s’exprimer, collaborer, avoir des initiatives, apporter de la valeur, de l’émulation… On ne parle pas que de production sur le projet, mais de participer et enrichir la vie de l’entreprise à tous les niveaux.

* * *

En régime de croisière, pour une boite techno web, vous aurez besoin d’un développeur back, d’un développeur front, d’un expert produit/métier, d’un graphiste, d’un commercial/marketing, d’une personne pour le support client, et d’une personne pour gérer l’administratif.

On peut bien entendu parler aussi d’un directeur des opérations ou d’un sys admin, mais ils ne font pas autant parti du même coeur minimum pour moi.

Chacune de ces sept personnes vous apportera quelque chose dans l’entreprise,mettra de l’huile dans les rouages, même en dehors du projet lui-même.

*

Au départ il n’y a pas le choix, il faut porter plusieurs casquettes et faire quelques impasses. Par la suite vous avez tout intérêt à ce que les rôles soient poreux, que chacun soit incité à travaillé sur plus que sa petite case.

Si par contre vous êtes une dizaine et que vous n’avez pas une personne différente qui joue le guide pour chacun des rôles, vous ne faites pas une économie, vous vous amputez d’une grosse valeur ajoutée.

*

Votre boite n’est pas une boite techno web ? Dans ce cas vous pouvez peut être éviter d’avoir deux développeurs distincts, mais il faudra au minimum les remplacer par un bidouilleur informatique à tout faire (au sens noble, si vous croisez le terme anglais hacker, c’est de ça qu’on parle), qui deviendra vite indispensable.

Dans ce cadre, j’aime beaucoup la notion « hacker in residence » et « designer in residence » de eFounders. C’est la compréhension que même partagés entre plusieurs projets, pour faire émerger de la valeur il faut des gens impliqués à demeure, au milieu des équipes.

Photo d’entête sous licence CC BY-SA par Axel Hartmann

27 novembre 2014
Date dans les API : Préciser l’heure et le décalage horaire

– Cette méthode donne la date et l’heure de publication
– L’heure dans quel référentiel ? c’est l’heure UTC ?
– Non, nous avons des contenus français, c’est l’heure française
– OK, je suppose qu’on parle de la métropole et de l’heure de Paris donc. Comment gérez-vous les changements d’heure légale ? Si je prends comme référence 2h30 du matin le 26 octobre 2014, je risque d’opérer certains traitements deux fois, ou dans le désordre.
– Pas de problème, nous livrons en réalité à des heures programmées et il n’y a normalement pas de livraison entre 1h et 3h du matin, donc le cas n’arrivera pas.

Je brode un peu mais la conversation a déjà eu lieu, plus d’une fois dans ma vie professionnelle. Je passe sur ceux qui ne comprenaient pas qu’une date devait être soumise aux fuseaux horaires, parce que c’est en réalité toujours une heure (minuit précises) et que le 26 octobre n’est pas le 26 octobre partout en même temps.

Règle simple :
Toujours préciser l’heure et le fuseau horaire quand on donne une date dans un échange informatique.

On peut argumenter que transmettre toutes les heures en UTC pourrait suffire, et que le fuseau horaire est superflu. En pratique ce serait oublier une autre règle essentielle : « tout ce qui peut être mal interprété le sera ». Un jour, quelqu’un prendra votre date et l’utilisera comme une date locale et pas une date UTC. Promis, garanti. OK, ça ne sera pas de votre faute, mais si vous voulez que ça fonctionne et pas simplement renvoyer les responsabilités, il va falloir préciser.

Seule solution : Préciser le fuseau horaire ou le décalage horaire. J’irai même plus loin : Le préciser directement dans la date elle-même, pour qu’il ne puisse pas être ignoré à la lecture et qu’il ne puisse pas être un simple paramètre par défaut à l’envoi qu’on recopie sans y penser. La convention de base sur les échanges Internet c’est la section 5.6 de la RFC 3339.

Exemples simples :
2014–10–26T02:30:59+01:00 et 2014–10–26T01:30:59Z

L’avantage de cette syntaxe est qu’il existe des solutions pour la lire dans tous les langages de programmation, et que toutes ou presque sauront gérer le décalage horaire correctement. Il faut être sacrément tordu pour tenter de l’analyser soi-même et donc risquer d’ignorer la partie liée au décalage horaire.

Même à l’écriture, préciser explicitement le décalage horaire va grandement limiter les erreurs d’inattention ou d’incompréhension liées aux questions de fuseaux horaires.

De toutes façons il faut utiliser UTC

Rien ne vous impose pour autant d’accepter des heures avec n’importe quel décalage horaire. L’idée est uniquement d’avoir une syntaxe explicite sur le référentiel utilisé.

Si vous souhaitez imposer des heures UTC, faites-le. Tout ce que je vous demande c’est d’utiliser une syntaxe explicite à ce niveau, et de rejeter en entrée les dates qui ne seraient pas elles aussi explicite quant au décalage horaire.

Photo d’entête sous licence CC BY-NC-SA par John Britt

25 novembre 2014
Usure mentale de la non-qualité

Vous pouvez argumenter à propos du retour sur investissement de hausser un peu le niveau de qualité – je l’ai fait aussi – mais il faut avouer que sauf à connaitre le futur, ces chiffres auront la même fiabilité et la même précision que l’horoscope de l’année dernière.

Tout au plus peut-on tracer une ligne en dessous de laquelle le manque de qualité rend vraiment le travail difficile, mais en réalité nous cherchons tous à mettre la barre bien plus haut.

Le coût de non-qualité est en fait bien plus basique. Il se cache dans la fatigue mentale, l’épuisement, mais aussi la baisse d’envie, de motivation, de résistance à la frustration ou de celle aux petits accrocs trop fréquents du quotidiens…

Le terme anglais est burn-out, et c’est bien plus une question de qualité et de bien-être que de temps de travail ou de pression.

C’est Nicolas qui le formalise le mieux :

Ces petites erreurs aux grandes conséquences font de plus en plus mal. Autant sur les personnes (le moral, l’estime de soi, la frustration) que sur le business (image, etc.). […] Je crois que ces galères de coûts de non-qualité et l’usure sur nos corps et nos esprits sont trop souvent sous-estimées.

La question est : Où avez-vous envie de travailler ? Où vos collaborateurs ont-ils envie de travailler ? Combien de temps tiendront-ils avant d’être usés et résignés, sans motivation ni initiative ? Qui voulez-vous attirer ?

Cet aspect est trop souvent oublié dans la logique productiviste du retour sur investissement, pourtant ce sont les questions essentielles : À côté de l’importance du dynamisme de l’équipe, tout gain de productivité lié à une baisse des exigences revient à travailler à la bougie pour économiser l’électricité.

Photo d’entête sous licence CC BY par IntangibleArts

13 novembre 2014
Archiver le web

J’adore le principe de la wayback machine de l’initiative Internet Archive. Ils indexent le web et gardent une archive des versions rencontrées. On peut revoir les contenus qui ont disparu du web, ou consulter des anciennes versions de contenus qui ont changé entre temps.

Et si on réutilisait l’initiative à titre personnel ? Pouvoir retrouver les contenus déjà visités, même s’ils ont été retirés ou ont été amendés. Avec un peu de bidouille on pourrait même rechercher à travers nos archives.

C’est ce que propose l’IIPC avec le projet openwayback. Pour ceux qui ne veulent pas utiliser pywb.

Je pense de plus en plus à me constituer mon archive : Au moins avec les pages que je mets en favori, celles que je lie à partir de mon blog, les liens que j’enregistre dans Pocket, que je lis dans mon flux Twitter ou que j’y pose moi-même. Peut-être même que ça vaudrait le coup d’enregistrer tout ce qui passe dans mon historique de navigation.

Pour l’instant je n’ai jamais sauté le pas, mais est-ce si complexe ? pas certain. Il suffirait d’un peu de temps, d’un peu de code et de stockage en assez grande quantité. Rien d’infaisable.

Entre temps, d’autres se mettent en tête d’archiver le web, tout le web. Rien que ça. L’Internet Archive n’est qu’une composante parmi d’autres reliées grâce à Memento. L’Archive Team fait un travail parallèle : Eux réussisent à archiver les contenus de quelques services en vue avant qu’ils ferment, les contenus des redirecteurs d’URL, et même les contenus FTP.

Le web grossit à une vitesse formidable mais les possibilités de stockage restent suffisamment importantes pour qu’archiver le web soit du domaine du possible.

Photo d’entête sous licence CC BY-NC-ND par Pietromassimo Pasqui

23 octobre 2014
We’ve strengthened our passsword complexity requirements
1. We’ve strengthened our passsword complexity requirements. We’ve noticed that the recurring password expiration often results in the use a poor or weak passwords. The new password requirements are:
- Minimum length for 16 characters
- Minimum of 4 words when using a passphrase (a sequence of unrelated words)
- Maximum length of 100 characters
- No passwords that reuse the same words too many times, contain a birthdate suffix/prefix, etc.
We strongly encourage the use of passphrases, instead of a traditional password with multiple character classes. Example passphrases are displayed on the password reset site.
2. We’re removing password expiration entirely. After changing your LDAP password one last time, it will no longer expire. The only reason you will need to change your change your LDAP password in the future is if it has been accidentally leaked, or if one of your computers/mobile device were lost, stolen, or compromised.

Je ne saurais trop remercier Mozilla d’avoir sauté ce pas, quand bien même je ne suis pas concerné. Les politiques de mots de passe n’ont généralement ni queue ni tête, et l’obligation de changer régulièrement de mot de passe est probablement la superbe mauvaise idée du siècle en termes de sécurité.

Je râle encore contre tous ces sites qui ont une procédure de réinitialisation mais qui t’empêchent de saisir de nouveau un mot de passe que tu avais oublié préalablement.

Juste un point pour Mozilla : Pour les appareils perdus ou volés, la solution est plus la possibilité d’avoir des mots de passe unique dédiés. Le mot de passe générique n’est utile que là où il est tapé régulièrement.

Partout où le mot de passe est à demeure (par exemple la configuration du client email), le système devrait permettre d’utiliser un mot de passe unique, dédié. Si l’appareil est compromis on ne change pas le mot de passe générique, on se contente de « griller » le mot de passe dédié dans la liste des autorisations.

Google le fait très bien pour ceux qui ont activé l’authentification en deux étapes.
4 octobre 2014
Tomber en marche
Celle ci je ne peux me retenir de la copier car elle est magnifique :
```
$override = null;
if ($notify_admin and $conf['browser_language'])
{
  if (!get_browser_language($override['language']))
  {
    $override=null;
  }
}
```
À première vue, le code ne fait rien. À la seconde lecture non plus, je vous rassure.

Après explication, la méthode get_browser_language utilise un passage par référence (oui, avec ce nom là…), c’est à dire que la variable qui est passée en argument pourra voir sa valeur modifiée.

Eureka! En sortie de code on pourrait bien avoir une variable $override qui contient quelque chose. On a au passage fait une création de tableau implicite en utilisant la syntaxe avec crochets sur une valeur nulle (conseil : ne jamais faire ça si vous souhaitez rester lisible).

La seconde affectation $override=null sert si jamais get_browser_language a bien modifié $override['language'] mais a renvoyé une valeur évaluée à false.

Mais pourquoi cette seconde affectation à null ? Et bien il se trouve que la fonction get_browser_language renvoie false si elle ne modifie pas la variable passée par référence. Dans ce cas le code d’appel aurait quand même créé un tableau dans $override à cause de override['language'], il faut donc revenir en arrière et écraser ce tableau créé implicitement.

À retenir :
1. Ne jamais créer de tableau implictement avec l’opérateur crochet sur une valeur null.
2. Ne jamais attendre un retour par référence sur une fonction qui s’appelle « get_* »
3. Globalement, ne quasiment jamais utiliser le passage par référence pour récupérer une simple valeur.
Ici en plus vu qu’on utilise déjà l’évaluation à true ou false du retour de get_browser_language, autant lui faire retourner directement la langue, ou null si aucune n’est trouvée.
30 septembre 2014
Deadline

La plupart du temps la deadline est une manif d’une fausse urgence créée par une absence de décision
— Raphaël

Je ne saurais mieux dire. Estimer puis mesurer le niveau d’effort est important pour piloter la décision. Parfois la date de livraison est un élément nécessaire, mais le plus souvent il ne s’agit que d’un élément artificiel qui se veut motivant et qui ne vient que d’une incapacité à piloter l’effort en continu, à s’adapter aux situations qui se présentent.

Qu’importe quelle était l’estimation précédente, la date qu’on a pu maladroitement en déduire. L’important est quelle est la décision la plus pertinente à prendre aujourd’hui, en fonction de la valeur produite, et du niveau d’effort encore à fournir pour ce qu’on envisage.

Le reste est simplement hors sujet, y compris savoir si on est « en avance », « en retard » ou même « parfaitement dans le planning » par rapport à la date prévue en direction. Le pilotage par la date est juste une incapacité à prendre ce recul et à s’adapter au présent plutôt qu’aux plans passés. Tout envisager en un bloc et sous forme de retard ou d’avance est juste tellement plus rassurant, plus simple… Ça n’apporte malheureusement aucune valeur.

Photo d’entête sous licence CC BY-NC-SA par João Almeida

18 septembre 2014