Carnet de notes

Catégorie : Technique

Date dans les API : Préciser l’heure et le décalage horaire

– Cette méthode donne la date et l’heure de publication
– L’heure dans quel référentiel ? c’est l’heure UTC ?
– Non, nous avons des contenus français, c’est l’heure française
– OK, je suppose qu’on parle de la métropole et de l’heure de Paris donc. Comment gérez-vous les changements d’heure légale ? Si je prends comme référence 2h30 du matin le 26 octobre 2014, je risque d’opérer certains traitements deux fois, ou dans le désordre.
– Pas de problème, nous livrons en réalité à des heures programmées et il n’y a normalement pas de livraison entre 1h et 3h du matin, donc le cas n’arrivera pas.

Je brode un peu mais la conversation a déjà eu lieu, plus d’une fois dans ma vie professionnelle. Je passe sur ceux qui ne comprenaient pas qu’une date devait être soumise aux fuseaux horaires, parce que c’est en réalité toujours une heure (minuit précises) et que le 26 octobre n’est pas le 26 octobre partout en même temps.

Règle simple :
Toujours préciser l’heure et le fuseau horaire quand on donne une date dans un échange informatique.

On peut argumenter que transmettre toutes les heures en UTC pourrait suffire, et que le fuseau horaire est superflu. En pratique ce serait oublier une autre règle essentielle : « tout ce qui peut être mal interprété le sera ». Un jour, quelqu’un prendra votre date et l’utilisera comme une date locale et pas une date UTC. Promis, garanti. OK, ça ne sera pas de votre faute, mais si vous voulez que ça fonctionne et pas simplement renvoyer les responsabilités, il va falloir préciser.

Seule solution : Préciser le fuseau horaire ou le décalage horaire. J’irai même plus loin : Le préciser directement dans la date elle-même, pour qu’il ne puisse pas être ignoré à la lecture et qu’il ne puisse pas être un simple paramètre par défaut à l’envoi qu’on recopie sans y penser. La convention de base sur les échanges Internet c’est la section 5.6 de la RFC 3339.

Exemples simples :
2014–10–26T02:30:59+01:00 et 2014–10–26T01:30:59Z

L’avantage de cette syntaxe est qu’il existe des solutions pour la lire dans tous les langages de programmation, et que toutes ou presque sauront gérer le décalage horaire correctement. Il faut être sacrément tordu pour tenter de l’analyser soi-même et donc risquer d’ignorer la partie liée au décalage horaire.

Même à l’écriture, préciser explicitement le décalage horaire va grandement limiter les erreurs d’inattention ou d’incompréhension liées aux questions de fuseaux horaires.

De toutes façons il faut utiliser UTC

Rien ne vous impose pour autant d’accepter des heures avec n’importe quel décalage horaire. L’idée est uniquement d’avoir une syntaxe explicite sur le référentiel utilisé.

Si vous souhaitez imposer des heures UTC, faites-le. Tout ce que je vous demande c’est d’utiliser une syntaxe explicite à ce niveau, et de rejeter en entrée les dates qui ne seraient pas elles aussi explicite quant au décalage horaire.

Photo d’entête sous licence CC BY-NC-SA par John Britt

25 novembre 2014
Usure mentale de la non-qualité

Vous pouvez argumenter à propos du retour sur investissement de hausser un peu le niveau de qualité – je l’ai fait aussi – mais il faut avouer que sauf à connaitre le futur, ces chiffres auront la même fiabilité et la même précision que l’horoscope de l’année dernière.

Tout au plus peut-on tracer une ligne en dessous de laquelle le manque de qualité rend vraiment le travail difficile, mais en réalité nous cherchons tous à mettre la barre bien plus haut.

Le coût de non-qualité est en fait bien plus basique. Il se cache dans la fatigue mentale, l’épuisement, mais aussi la baisse d’envie, de motivation, de résistance à la frustration ou de celle aux petits accrocs trop fréquents du quotidiens…

Le terme anglais est burn-out, et c’est bien plus une question de qualité et de bien-être que de temps de travail ou de pression.

C’est Nicolas qui le formalise le mieux :

Ces petites erreurs aux grandes conséquences font de plus en plus mal. Autant sur les personnes (le moral, l’estime de soi, la frustration) que sur le business (image, etc.). […] Je crois que ces galères de coûts de non-qualité et l’usure sur nos corps et nos esprits sont trop souvent sous-estimées.

La question est : Où avez-vous envie de travailler ? Où vos collaborateurs ont-ils envie de travailler ? Combien de temps tiendront-ils avant d’être usés et résignés, sans motivation ni initiative ? Qui voulez-vous attirer ?

Cet aspect est trop souvent oublié dans la logique productiviste du retour sur investissement, pourtant ce sont les questions essentielles : À côté de l’importance du dynamisme de l’équipe, tout gain de productivité lié à une baisse des exigences revient à travailler à la bougie pour économiser l’électricité.

Photo d’entête sous licence CC BY par IntangibleArts

13 novembre 2014
Archiver le web

J’adore le principe de la wayback machine de l’initiative Internet Archive. Ils indexent le web et gardent une archive des versions rencontrées. On peut revoir les contenus qui ont disparu du web, ou consulter des anciennes versions de contenus qui ont changé entre temps.

Et si on réutilisait l’initiative à titre personnel ? Pouvoir retrouver les contenus déjà visités, même s’ils ont été retirés ou ont été amendés. Avec un peu de bidouille on pourrait même rechercher à travers nos archives.

C’est ce que propose l’IIPC avec le projet openwayback. Pour ceux qui ne veulent pas utiliser pywb.

Je pense de plus en plus à me constituer mon archive : Au moins avec les pages que je mets en favori, celles que je lie à partir de mon blog, les liens que j’enregistre dans Pocket, que je lis dans mon flux Twitter ou que j’y pose moi-même. Peut-être même que ça vaudrait le coup d’enregistrer tout ce qui passe dans mon historique de navigation.

Pour l’instant je n’ai jamais sauté le pas, mais est-ce si complexe ? pas certain. Il suffirait d’un peu de temps, d’un peu de code et de stockage en assez grande quantité. Rien d’infaisable.

Entre temps, d’autres se mettent en tête d’archiver le web, tout le web. Rien que ça. L’Internet Archive n’est qu’une composante parmi d’autres reliées grâce à Memento. L’Archive Team fait un travail parallèle : Eux réussisent à archiver les contenus de quelques services en vue avant qu’ils ferment, les contenus des redirecteurs d’URL, et même les contenus FTP.

Le web grossit à une vitesse formidable mais les possibilités de stockage restent suffisamment importantes pour qu’archiver le web soit du domaine du possible.

Photo d’entête sous licence CC BY-NC-ND par Pietromassimo Pasqui

23 octobre 2014
We’ve strengthened our passsword complexity requirements
1. We’ve strengthened our passsword complexity requirements. We’ve noticed that the recurring password expiration often results in the use a poor or weak passwords. The new password requirements are:
- Minimum length for 16 characters
- Minimum of 4 words when using a passphrase (a sequence of unrelated words)
- Maximum length of 100 characters
- No passwords that reuse the same words too many times, contain a birthdate suffix/prefix, etc.
We strongly encourage the use of passphrases, instead of a traditional password with multiple character classes. Example passphrases are displayed on the password reset site.
2. We’re removing password expiration entirely. After changing your LDAP password one last time, it will no longer expire. The only reason you will need to change your change your LDAP password in the future is if it has been accidentally leaked, or if one of your computers/mobile device were lost, stolen, or compromised.

Je ne saurais trop remercier Mozilla d’avoir sauté ce pas, quand bien même je ne suis pas concerné. Les politiques de mots de passe n’ont généralement ni queue ni tête, et l’obligation de changer régulièrement de mot de passe est probablement la superbe mauvaise idée du siècle en termes de sécurité.

Je râle encore contre tous ces sites qui ont une procédure de réinitialisation mais qui t’empêchent de saisir de nouveau un mot de passe que tu avais oublié préalablement.

Juste un point pour Mozilla : Pour les appareils perdus ou volés, la solution est plus la possibilité d’avoir des mots de passe unique dédiés. Le mot de passe générique n’est utile que là où il est tapé régulièrement.

Partout où le mot de passe est à demeure (par exemple la configuration du client email), le système devrait permettre d’utiliser un mot de passe unique, dédié. Si l’appareil est compromis on ne change pas le mot de passe générique, on se contente de « griller » le mot de passe dédié dans la liste des autorisations.

Google le fait très bien pour ceux qui ont activé l’authentification en deux étapes.
4 octobre 2014
Tomber en marche
Celle ci je ne peux me retenir de la copier car elle est magnifique :
```
$override = null;
if ($notify_admin and $conf['browser_language'])
{
  if (!get_browser_language($override['language']))
  {
    $override=null;
  }
}
```
À première vue, le code ne fait rien. À la seconde lecture non plus, je vous rassure.

Après explication, la méthode get_browser_language utilise un passage par référence (oui, avec ce nom là…), c’est à dire que la variable qui est passée en argument pourra voir sa valeur modifiée.

Eureka! En sortie de code on pourrait bien avoir une variable $override qui contient quelque chose. On a au passage fait une création de tableau implicite en utilisant la syntaxe avec crochets sur une valeur nulle (conseil : ne jamais faire ça si vous souhaitez rester lisible).

La seconde affectation $override=null sert si jamais get_browser_language a bien modifié $override['language'] mais a renvoyé une valeur évaluée à false.

Mais pourquoi cette seconde affectation à null ? Et bien il se trouve que la fonction get_browser_language renvoie false si elle ne modifie pas la variable passée par référence. Dans ce cas le code d’appel aurait quand même créé un tableau dans $override à cause de override['language'], il faut donc revenir en arrière et écraser ce tableau créé implicitement.

À retenir :
1. Ne jamais créer de tableau implictement avec l’opérateur crochet sur une valeur null.
2. Ne jamais attendre un retour par référence sur une fonction qui s’appelle « get_* »
3. Globalement, ne quasiment jamais utiliser le passage par référence pour récupérer une simple valeur.
Ici en plus vu qu’on utilise déjà l’évaluation à true ou false du retour de get_browser_language, autant lui faire retourner directement la langue, ou null si aucune n’est trouvée.
30 septembre 2014
Deadline

La plupart du temps la deadline est une manif d’une fausse urgence créée par une absence de décision
— Raphaël

Je ne saurais mieux dire. Estimer puis mesurer le niveau d’effort est important pour piloter la décision. Parfois la date de livraison est un élément nécessaire, mais le plus souvent il ne s’agit que d’un élément artificiel qui se veut motivant et qui ne vient que d’une incapacité à piloter l’effort en continu, à s’adapter aux situations qui se présentent.

Qu’importe quelle était l’estimation précédente, la date qu’on a pu maladroitement en déduire. L’important est quelle est la décision la plus pertinente à prendre aujourd’hui, en fonction de la valeur produite, et du niveau d’effort encore à fournir pour ce qu’on envisage.

Le reste est simplement hors sujet, y compris savoir si on est « en avance », « en retard » ou même « parfaitement dans le planning » par rapport à la date prévue en direction. Le pilotage par la date est juste une incapacité à prendre ce recul et à s’adapter au présent plutôt qu’aux plans passés. Tout envisager en un bloc et sous forme de retard ou d’avance est juste tellement plus rassurant, plus simple… Ça n’apporte malheureusement aucune valeur.

Photo d’entête sous licence CC BY-NC-SA par João Almeida

18 septembre 2014
Terminaison d’appel et débit asymétrique

Je ne sais pas où ça a commencé mais il y en a un qui mérite des baffes. Fiction.

Hier le rapport de force a pris un tournant inattendu. Youtube a coupé l’accès aux abonnés SFR, ou plutôt a tellement ralenti les débits qu’il est impossible de regarder une vidéo.

Le distributeur de vidéo se plaint d’un nombre grandissant de requêtes venant de SFR, nombre qui dépasserait le raisonnable. La tension est montée à un niveau insoutenable il y a plusieurs mois, date à laquelle les abonnés fibre SFR ont pu télécharger à 1 Gb/s.

Décryptage : Quand vous regardez une vidéo sur Youtube, SFR demande la vidéo à Google et la transmet directement à l’abonné – actuellement sans rien payer pour l’accès à la vidéo.

Non seulement le nombre de requêtes augmente mais en plus avec la fibre ce sont des vidéos très haute qualité qui sont demandées, très goinfres en bande passante. Le cas des mobiles avec une connexion intermittente et de faible qualité pose aussi problème.

Youtube rappelle qu’il gère un service gratuit, déjà déficitaire, avec « un réseau que SFR continue à surcharger sans y contribuer financièrement ».

L’abonnement internet SFR classique coûte 29,90 € par mois et monte jusqu’à 45 € par an. Aucun reversement n’est fait aux différents fournisseurs de services et contenus qui enrichissent la plateforme, laissant ces derniers financer seuls redevables des coûts d’infrastructure et de bande passante nécessaires.

Rien que pour Youtube – principal apporteur de contenu des FAI – on a estimé le coût de bande passante à 400 millions en 2010. Ce coût a augmenté exponentiellement depuis.

Faut-il imposer aux FAI une contribution aux gros fournisseurs de services pour payer la bande passante et les contenus ? Le modèle de la contribution des chaînes de télévision aux studios de cinéma a déjà été évoqué.

Les FAI qui veulent faire payer les gros fournisseurs de contenu à cause du trafic injecté dans leur réseau se tirent une balle dans le pied. Ils oublient que le rapport de force n’est pas forcément à leur avantage sur le long terme, et que la situation peut tout à fait s’inverser à l’avenir.

En fait ça commence déjà : Les ayants-droits cherchent déjà à imposer une contribution obligatoire aux FAI pour « participer à la création des contenus qui enrichissent leurs offres »

Ne pas oublier que quand Youtube « injecte » du trafic dans le réseau du FAI, c’est en fait qu’il répond à une requête du réseau du FAI. S’il y en a un des deux de responsable…

Photo d’entête sous licence CC BY-NC-SA par Hendrik Terbeck

9 septembre 2014
Hygiène de sécurité
Aujourd’hui on vérifie la sécurité.

Les services en ligne « sensibles »

Même en ne gardant que le principal, il faut penser à :
- votre boite email (qui sert à la récupération des mots de passe de tous les autres comptes),
- votre service de nom de domaine,
- celle de secours (qui sert à la récupération du mot de passe de la boite principale),
- votre service de backup,
- vos services de stockage ou synchronisation en ligne,
- votre hébergeur de serveur en ligne si vous en avez.
[ ] La première étape c’est s’assurer d’avoir des mots de passe « sûrs ». Ça veut dire suffisamment longs et complexes.

Suivant les préférences c’est au moins huit caractères aléatoires entre chiffres lettres et symboles, au moins 12 caractères avec des lettres relativement aléatoires, ou au moins 15 caractères minimum si vous avez des suites de mots communs.

Le l34t sp33k, l’inversion des caractères, l’ajout d’une année, et globalement la plupart des variations auxquelles vous pourriez penser sont testables en moins de quelques minutes donc n’ajoutent pas de complexité significative.

[ ] Seconde étape, s’assurer que ces mots de passe sont uniques et vraiment différents (pas de simples variations du même).

Au grand minimum, s’assurer d’avoir un mot de passe pour les services très sensibles différent du mot de passe que vous tapez tous les jours pour les services moins importants. Ce mot de passe sensible ne devra être tapé que dans des espaces correctement sécurisés.

[ ] Quand vous le pouvez, activez l’ »authentification en deux étapes ». C’est possible au moins pour Google, Gandi, Dropbox, iCloud. C’est franchement peu gênant vu la sécurité que ça apporte, ne pas le faire est limite une faute.

[ ] Les « questions secrètes » pour récupérer des comptes dont vous avez oublié les mots de passe sont de vraies plaies pour la sécurité. En général il est très facile d’en trouver la réponse.

À vous de voir si vous préférez tricher et mettre de fausses réponses (au risque de ne pas vous en souvenir) ou si vous avez une grosse faille à cet endroit là. C’est le moyen d’accès de la plupart des usurpations courantes.

L’accès depuis vos postes

Tablette, téléphone (même les « pas smart »), micro-ordinateur, NAS de la maison…

[ ] Tous doivent avoir un mot de passe à l’allumage et à la sortie de veille. Tous, pas d’exception.

Sur les smartphones et tablettes vous avez parfois la possibilité de mettre un « schema ». Ça fonctionne assez bien et c’est plutôt simple à déverrouiller. Si vous n’avez pas d’autre choix, utilisez le code PIN.

Pour les autres les mots de passe doivent respecter les mêmes règles que pour les services en ligne.

[ ] Tous ceux qui le peuvent doivent avoir un disque chiffré. Micro-ordinateurs, tablettes et smartphones le permettent quasiment tous.

Le coût en performance ou en batterie est quasiment nul sur les processeurs des 5 dernières années qui ont des circuits dédiés pour ces calculs.

Sans ça n’importe qui avec très peu de connaissances informatiques peut passer outre votre mot de passe.

Parfois il existe une procédure de récupération si jamais vous oubliez vos mots de passe, de façon à déverrouiller le disque. Sur Apple par exemple ça utilise le compte iCloud. Dans ces cas, le compte utilisé pour la procédure de récupération doit être considéré comme sensible avec les mêmes règles que plus haut.

[ ] Les mises à jour sont configurées pour être téléchargées automatiquement, et installées dès qu’elles sont disponibles.

[ ] Si vous enregistrez vos mots de passe dans votre navigateur pour ne pas les ressaisir à chaque fois, ce dernier doit avoir un « mot de passe maître ».

Si en plus ces données sont synchronisées en ligne, le mot de passe qui gère le compte de synchronisation doit être considéré comme sensible avec les mêmes règles que plus haut.

[ ] Vous avez une politique de backup automatisé et testé pour toutes vos données importantes. Bien entendu le compte qui permet d’accéder aux données de backup est à considérer comme sensible.

La machine qui reçoit les backup doit avoir un disque chiffré et si vous faites appel à un service tiers le chiffrement des données doit se faire côté client pour que le prestataire ne puisse pas décoder les données.

Tout ça est un minimum, maintenant imaginez quelqu’un qui connait la réponse à la question secrète de votre opérateur téléphonique. À partir de ça il peut réinitialiser le mot de passe pour accéder à votre compte. Là il a une interface pour lire et écrire des SMS. Il demande alors la réinitialisation du mot de passe de votre boite email principale, qui se fait via SMS. À partir de là il réinitialise le mot de passe de votre service de stockage en ligne, de backup, et de votre banque. Le voilà avec de quoi récupérer vos photos, même si vous les avez effacé, et peut être même de quoi faire des virements. Situation fictive mais on a vu des attaques bien plus inventives.

Si vous avez lu jusqu’au bout (sérieusement ?) je suis curieux de savoir quelle proportion de ces bonnes pratiques vous validez, ou si vous respectez tout en détail pour l’intégralité de vos matériels et comptes sensibles.

Photo d’entête sous licence CC BY-NC-SA par Steve Crane
3 septembre 2014
Justice folle sur le numérique

Notre justice est folle. Bon, celle des US, mais ça aurait pu se passer ici.

No-ip est un service qui permet à des internautes de donner un nom public à leurs machines personnelles pour pouvoir y accéder facilement depuis Internet. On parle de millions d’utilisateurs.

Ce service a été anecdotiquement utilisé par des logiciels malveillants pour infecter des machines sous Microsoft Windows.

Réaction : Microsoft s’adresse à la justice pour faire cesser le problème (plus exactement ici : filtrer les accès malveillants et réussir à en tracer l’origine). La justice lui délègue totalement la gestion des noms de domaine No-ip correspondants.

Bien entendu Microsoft n’a pas eu l’infrastructure suffisante pour gérer le trafic et le service No-ip s’est partiellement écroulé, laissant les utilisateurs dans le noir.

À vrai dire tout se serait bien passé que le scandale serait quand même là. La justice vient de donner à Microsoft, qui n’est pas ciblé par les attaques informatiques mais uniquement concerné indirectement parce que ça exploite des failles de son OS, l’accès aux noms de domaine d’une société tierce à qui on ne reproche rien.

Avec ça Microsoft contrôle (et ici a fait s’écrouler) le business d’un tiers, peut en tracer le volume, les clients, les services utilisés, etc. Sans compensation aucune.

Tout ça sans même avoir contacter No-ip pour tenter de résoudre le problème en collaboration initialement.

Vous avez un .com ? prenez peur.

3 juillet 2014
Autoprefixer

Je note ici autant pour ceux qui ne connaissent pas que pour mon moi de plus tard : Autoprefixer, qui prend une CSS classique et qui ajoute les versions préfixées utiles pour les différents navigateurs.

Ça ne le fait pas bêtement, genre pour flexbox ça sait gérer les différences de syntaxes. Bref : utile.

1 juillet 2014