Carnet de notes

Catégorie : Technique

  • Pas de moteur DOM en ruby ? vrai­ment ?

    Je trouve ça telle­ment étrange qu’à mon avis j’ai simple­ment des oeillères qui me masquent la bonne librai­rie de code.

    Je cherche un moteur DOM XML utili­sable en program­ma­tion ruby. J’ai trouvé des moteurs dits DOM-like, c’est à dire des TreeBuil­der avec des API plus ou moins heureuses, et dont le parcours est géné­ra­le­ment fran­che­ment pénible si on n’uti­lise pas XPath ou qu’on ne recherche pas quelques éléments parti­cu­lier via leur chemin. Hpri­cot, Noko­giri, REXML et même libxml font partie de cette caté­go­rie.

    Par contre je n’ai trouvé aucun moteur DOM qui cherche vrai­ment l’im­plé­men­ta­tion de la spéci­fi­ca­tion DOM. J’at­tends par exemple un attri­but docu­mentE­le­ment sur la classe DOMDo­cu­ment. J’au­rai compris sur Ruby avoir un attri­but docu­ment_element au lieu de docu­mentE­le­ment mais là c’est géné­ra­le­ment un root que je retrouve. Sur les inter­faces pour parcou­rir le XML les diffé­rences sont bien plus profondes et je me retrouve avec des APIs qui sont géné­ra­le­ment très diffé­rentes.

    Certes, je peux me passer de DOM mais ce serait quand même étrange que personne n’ait implé­menté en ruby ce stan­dard extrê­me­ment courant. Qu’ai-je manqué ?

  • Signa­ture des appli­ca­tions Android sur Google Play

    Je trouve très peu de conseil ou bonnes pratiques. Déve­lop­peurs Android qui avez de l’ex­pé­rience là dedans, j’ai besoin de vos lumières.

    Pour l’ins­tant j’ai lu Signing you appli­ca­tions. J’ai retenu que toutes les appli­ca­tions doivent être signées, et que pour pouvoir les mettre à jour il faut utili­ser exac­te­ment le même certi­fi­cat que l’ap­pli­ca­tion d’ori­gine. Pour signer on créé un keys­tore et un alias.

    Une ou plusieurs clefs

    La bonne pratique habi­tuelle côté sécu­rité c’est une clef par desti­na­tion, appli­ca­tion ou usage. Éven­tuel­le­ment une clef globale pour certi­fier les premières si on a besoin de s’as­su­rer de la pater­nité de toutes les clefs. Ça mili­te­rait pour signer chaque appli­ca­tion avec une clef diffé­rente et ça permet­trait de délé­guer la produc­tion d’une ou plusieurs appli­ca­tions à un tiers sans devoir lui donner la clef globale.

    Le problème c’est que le docu­ment sur la doc Android, ainsi que les quelques docu­ments trou­vés sur le web à propos de Google Play, conseillent plutôt d’uti­li­ser une clef globale. Le seul gain que j’y vois c’est que les appli­ca­tions pour­ront commu­niquer entre elles. Je n’en ai pas besoin pour l’ins­tant mais il est vrai que je ne connais pas le futur.

    Alors, une clef par appli­ca­tion ou une clef globale ?

    Notion de keys­tore et alias

    Tel que je le comprends le keys­tore n’est qu’un simple entre­pôt pour stocker des clefs. Mis à part que lui même peut être protégé par un mot de passe pour éviter de donner trop faci­le­ment accès aux clefs privées. Les clefs privés sont en fait ce qui est pointé par les « alias » dans la docu­men­ta­tion. On peut donc avoir plusieurs clefs par keys­tore.

    J’en déduis que la notion de keys­tore n’in­flue pas du tout sur Google Play. Je peux sortir ma clef d’un keys­tore, la mettre dans un autre keys­tore et signer une mise à jour avec. Tant que c’est la même clef, on se moque du keys­tore. Ai-je bon ?

    J’en déduis donc aussi que Google n’a aucune notion de mon keys­tore et que je peux y ajou­ter de nouvelles clefs quand je le souhaite pour de nouvelles appli­ca­tions. Je n’ai pas besoin de prépa­rer un keys­tore avec un jeu de clef qui ne bougera pas et que je ne pour­rai pas mettre à jour. Ai-je bon ?

    Voilà voilà, j’ai besoin de vos lumières et ayant peu d’édi­teurs d’ap­pli­ca­tions dans mon réseau, j’ap­pré­cie­rai beau­coup que vous fassiez suivre mes inter­ro­ga­tions à vos propres connais­sances.

    Comme j’ai eu quelques conseils de gens qui réflé­chissent à haute voix mais n’ont eux-même pas essayé ou pas d’ex­pé­rience dans tout ça : Si vous vous retrou­vez dans cette situa­tion, merci de le préci­ser pour que je fasse le tri entre les retours d’ex­pé­rience réels et les autres.

  • One Race, Every Meda­list Ever

    À part owni, j’ai l’im­pres­sion que nos sites de presse sont très loin de ce qu’il se fait chez nos voisins améri­cains en termes de présen­ta­tion des données.

    One Race, Every Meda­list Ever c’est la mise en pers­pec­tive des diffé­rents médaillés du 100 mètres année après année, placés sur une même ligne. On y voit l’évo­lu­tion des perfor­mances et ceux qui étaient vrai­ment au dessus de leur époque.

    Atten­tion toute­fois, le graphique est trom­peur car il zoome sur les derniers mètres. La diffé­rence entre Usain Bolt 2012 et Carl Lewis 1988 n’est que de 3 %.

    Deux notes person­nelles :

    • Avoir un accès ouvert aux données brutes permet­trait de vrai­ment faire fleu­rir ce genre d’uti­li­sa­tion. La réali­sa­tion ne demande pas vrai­ment d’in­ves­tis­se­ment, c’est unique­ment une ques­tion d’idée et de moti­va­tion.
    • Consi­dé­rant que les gagnants passés (ou une bonne partie d’entre eux) étaient dopés jusqu’à la moelle, le fait qu’on s’amé­liore autant avec le temps laisse songeur et fait un peu peur sur ce qu’on saura ou trou­vera dans dix ans

  • Un peu de courage sur les formu­laires

    La fainéan­tise est une superbe qualité pour un infor­ma­ti­cien. C’est ce qui fait que l’in­for­ma­ti­cien est capable de coder 20 minutes un script pour lui auto­ma­ti­ser une tâche qui prend 5 minutes de boulot tous les mois.

    Main­te­nant parfois c’est abusé, et c’est trop souvent le cas sur les formu­laires.

    [saisir le ] nom utilisé lors de votre commande en majuscule et sans accent [et] le téléphone fixe actuel

    Sans rire, préci­ser « en majus­cules et sans accents » en gras c’est que le problème a été repéré lors de la concep­tion du formu­laire, ou que les retours clients en assis­tance télé­pho­nique ont été assez impor­tants pour justi­fier la modi­fi­ca­tion du texte.

    Dans ce cas, vous ne croyez pas que la saisie devrait être libre ? À votre appli­ca­tion de mettre en majus­cules et de reti­rer les accents si ça lui chante, mais ne faites pas faire votre boulot à l’uti­li­sa­teur.

    Le pire c’est pour le numéro de télé­phone parce que je l’ai vu dans *tous* les formu­laires d’opé­ra­teurs télé­pho­nie et inter­net. Le champ est bloqué à dix carac­tères, donc un numéro de télé­phone sans espaces.

    Bon, c’est juste agaçant à la saisie, mais c’est surtout inuti­li­sable au copier-coller car quasi­ment tout le reste de la France utilise des espaces comme sépa­ra­teur. C’est donc à l’uti­li­sa­teur d’al­ler copier-coller le numéro dans un éditeur de texte pour reti­rer les espace et le copier-coller à nouveau dans le formu­laire.

    Fran­che­ment, le déve­lop­peur n’avait pas la capa­cité de reti­rer lui même espaces et ponc­tua­tion côté serveur ? Ça coutait vrai­ment trop cher ?

    Déve­lop­peurs : Soyez fainéants, mais ne faites pas faire votre boulot par vos utili­sa­teurs !

  • CGV Fibre SFR

    Je dois être un des seuls idiots à lire en détail toutes les CGV et tous les contrats sous­crits. On voit d’ailleurs que ce n’est pas fait pour parce que quand je prends le temps de les lire, ma session expire inévi­ta­ble­ment et je dois recom­men­cer la commande de zéro à chaque fois (mais bien entendu le lien vers les CGV n’est visible qu’à la dernière étape).

    En vue d’une sous­crip­tion à l’offre de fibre SFR j’ai parti­cu­liè­re­ment cher­ché dans leurs CGV quel était l’en­ga­ge­ment en terme de bande passante. Le résul­tat est surpre­nant : Il y a plein de clauses spéci­fiques à l’ADSL pour se déga­ger des faibles débits mais côté fibre il y a juste un para­graphe qui rappelle que les débits réseau ne peuvent être garan­tis vis à vis de tiers sur Inter­net. Il n’y a même pas de para­graphe parlant d’obli­ga­tion de moyen ou de raisons poten­tielles pour un débit plus faible qu’an­noncé. Sauf si j’ai loupé un épisode, ils sont bel et bien contrac­tuel­le­ment tenus de four­nir le débit annoncé et pas 1 Mb/s de moins, au moins jusqu’à leur coeur réseau.

    Mais j’ai trouvé aussi des passages surpre­nants ou agaçants :

    L’opé­ra­teur pourra être contraint d’in­ter­rompre de façon excep­tion­nelle le Service pour effec­tuer des travaux de main­te­nance, d’amé­lio­ra­tion, d’en­tre­tien, de renfor­ce­ment, de réamé­na­ge­ment ou d’ex­ten­sion des instal­la­tions de son réseau. Ces inter­rup­tions seront notifiées via www. sfr.fr au mini­mum 24 heures avant qu’elles n’in­ter­viennent sauf lorsqu’elles auront un carac­tère d’ur­gence.

    Si jamais SFR fait des opéra­tions de main­te­nance ou d’évo­lu­tion du réseau sans vous préve­nir 24 heures avant, sauf carac­tère d’ur­gence, ils sont hors contrat. Personne ne leur en deman­dait autant, et je doute qu’ils aient jamais prévenu quiconque de leurs opéra­tions réseaux.

    Le Client s’en­gage à utili­ser le Service en bon père de famille

    Fran­che­ment, je croyais qu’on en avait fini avec ces idio­ties de bon père de famille ? Et puis fran­che­ment, en plus d’être super floue et de ne rien auto­ri­ser ou inter­dire préci­sé­ment, pour la formu­la­tion très patriar­cale (ou sexiste, comme vous voulez).

    [ne pas utili­ser le service d’une manière] qui contre­vienne à l’ordre public et aux bonnes mœurs, notam­ment par l’in­clu­sion d’élé­ments tels que, sans que cette liste ne soit exhaus­tive ou limi­ta­tive, des éléments à carac­tère porno­gra­phique, de proxé­né­tisme ou de pédo­phi­lie, ou encore à carac­tère violent, le contenu étant suscep­tible d’être vu par des mineurs ;

    La phrase est trop complexe mais si vous lisez bien, au milieu du proxé­né­tisme et de la pédo­phi­lie, on vous inter­dit d’uti­li­ser la connexion Inter­net pour du contenu porno­gra­phique (aie ma liberté) ou à carac­tère violent (là il y a du boulot). Ça devient exagé­ré­ment abusif, en plus de ne proba­ble­ment pas tenir une seconde devant un juge. Et puis, c’est oublier que The Inter­net is for Porn.

    Si le Client est une personne physique, agis­sant à des fins privées, il s’en­gage à utili­ser le Service pour ses besoins propres dans le cadre d’un usage stric­te­ment privé et person­nel. Il s’en­gage en parti­cu­lier à n’uti­li­ser les Maté­riels qu’à desti­na­tion de ses propres équi­pe­ments, les Maté­riels ne pouvant en aucun cas être utili­sés, direc­te­ment ou indi­rec­te­ment, pour permettre à un tiers de bénéfi­cier du Service.

    Pas d’amis sur votre wifi sinon gare ! Je comprends la volonté d’évi­ter qu’une connexion Inter­net de parti­cu­lier devienne une borne d’ac­cès publique (en terme de consom­ma­tion ce n’est pas la même chose) mais là c’est du délire d’avo­cat. La restric­tion est d’au­tant trop forte que de l’autre côté ils acceptent que ces mêmes connexions soient utili­sées à des fins profes­sion­nelles et parta­gées aux diffé­rents sala­riés.

    Et pour finir, même si ce n’est pas une surprise, je suis dégouté par le poli­tique­ment correct qui fait que le FAI doive insé­rer à plusieurs endroits dans ses propres contrats que parta­ger des conte­nus sous droit d’au­teur c’est mal.

  • Pourquoi du très haut débit

    Je pour­rai sortir l’usage du futur, l’ex­plo­sion vidéo haute défi­ni­tion, le stockage en ligne de tous ses fichiers mais ce serait viser à côté.  Le très haut débit c’est beau­coup plus simple et ça ne demande pas d’ima­gi­ner le futur.

    Le très haut débit c’est pouvoir parta­ger 5 photos prises avec son appa­reil récent en appuyant juste sur « envoyer ». Actuel­le­ment il faut soit attendre une dizaine de minutes devant le PC soit utili­ser un logi­ciel de trai­te­ment d’images pour les redi­men­sion­ner et bais­ser le poids avant d’en­voyer. Bref, « faire de l’in­for­ma­tique ».

    Le très haut débit c’est pouvoir rece­voir un PDF en pièce jointe instan­ta­né­ment sans avoir à attendre qu’il se charge pendant une à deux minutes. C’est avoir une occu­pa­tion qui est « lire le compte rendu du syndic » plutôt que « gérer ses mails ».

    Le très haut débit c’est lais­ser Windows se mettre à jour auto­ma­tique­ment au lieu de devoir subir la mise à jour en voyant tout ralen­tir pendant deux heures, voir en devant attendre le soir que tout finisse de télé­char­ger avant d’éteindre le PC.

    Le très haut débit c’est lais­ser son iPad se synchro­ni­ser avec iCloud sans surprise « oups, cette chan­son là n’était pas encore synchro­ni­sée, je l’ai sur le mac mais pas sur l’iPad ».

    Les geeks n’ont pas tant besoin de très haut débit, ils sont de toutes façons en perma­nence connec­tés et ont l’ha­bi­tude des trai­te­ments en tâche de fond. Le très haut débit c’est pour tous les autres, qui n’ont pas envie de « faire de l’in­for­ma­tique », ceux qui n’y comprennent rien et qui sont perdus dès qu’il faut penser à la synchro­ni­sa­tion, réflé­chir au poids des fichiers à trans­fé­rer ou attendre l’or­di­na­teur pendant qu’il fait ce qu’on attend de lui. Le propre du très haut débit c’est juste­ment de ne pas avoir à savoir quel débit on a, à quoi ça sert.

    Si quelqu’un vous dit qu’il n’aime pas l’in­for­ma­tique et n’a pas besoin de très haut débit car il ne consomme quasi­ment rien, c’est proba­ble­ment lui qui en béné­fi­ciera le plus.

    Un jour je vous parle­rai aussi des PME, pour qui du très haut débit pas cher est une source d’in­no­va­tion et une révo­lu­tion dans les portes qui s’ouvrent, mais ça c’est pour un autre jour.

  • La fibre en France, cette blague

    La fibre fait parler en France, mais aussi à l’étran­ger. Ici la fibre on consi­dère que c’est 100 Mb/s en descen­dant (ce que vous télé­char­gez depuis Inter­net) mais des débits ridi­cules en montant (ce que vous envoyez vers Inter­net).

    Débits montants ridi­cules

    Numé­ri­cable et la multi­tude de FAI qui ne font que repro­po­ser l’offre Nume­ri­cable avec un autre bran­ding offrent (atten­tion les yeux) 5 Mb/s en montant. Là où ça devient marrant c’est que 5 Mb/s c’est le strict mini­mum pour avoir réel­le­ment 100 Mb/s dans l’autre sens. Pour peu que vous fassiez plein de petits télé­char­ge­ments plutôt qu’un gros, ce sont les 5 Mb/s qui vont vous limi­ter, par les 100 Mb/s.

    Oubliez l’idée d’avoir des vrais usages décen­tra­li­sés ou de trans­fé­rer le contenu de votre carte mémoire d’ap­pa­reil photo à votre famille : Il faudra sélec­tion­ner les photos et poten­tiel­le­ment les réduire un peu avant envoi. S’il s’agit de trans­fé­rer votre film de vacances, il s’en­verra à vitesse réelle (une heure d’en­re­gis­tre­ment = une heure d’en­voi).

    Débit montant: Orange:10Mb/s, SFR:50Mb/s, Bouygues:5Mb/s, Numericable:5Mb/s, Free:50Mb/s

    Orange et SFR dans leur offre stan­dard font à peine mieux avec 10 Mb/s (il faut prendre l’offre « evolu­tion » pour avoir droit aux 50 Mb/s présen­tés au dessus).

    Il est inté­res­sant de noter qu’O­range propose une offre 100 Mb/s symé­triques pour 10 € de plus par mois mais qu’il faut bien lire les petites lignes. Déjà ce débit est symé­trique mais pas simul­tané : Il n’est pas possible d’at­teindre simul­ta­né­ment la limite en montant et en descen­dant. Au final c’est du 50 Mb/s symé­trique qu’on a. Mais surtout le volume de données est plafonné à 1 To mensuels. Le plafond est élevé, proba­ble­ment jamais atteint par pas mal de monde, mais il ne repré­sente quand même que 22 heures d’uti­li­sa­tion à plein régime. Diffi­cile de trou­ver la limi­ta­tion légi­time pour une option payante quand elle est présen­tée ainsi.

    Débits pratiques

    Note de mise à jour : J’ai retiré l’ana­lyse des débits médians réels, suite aux remarques (avec raison) sur le fait que les mesures et leur contextes sont beau­coup trop contes­tables pour en tirer des conclu­sions, notam­ment sur les condi­tions et le maté­riel côté usager. Les graphiques restent acces­sibles sur le le baro­mètre de lafibre.info et même si les contes­taires ont raison sur le prin­cipe, ces débits médians me semblent quand même suffi­sam­ment signi­fi­ca­tifs pour penser que tout n’est pas pas forcé­ment lié à l’ins­tal­la­tion de l’usa­ger.

    Les débits montants du meilleur décile des offres 50 Mb/s ou plus montent eux aux alen­tours de 80 Mb/s, sauf Free qui est telle­ment au dessus que l’ou­til est peut être la source de la satu­ra­tion, ce qui veut dire que les opéra­teurs auto­risent plus que ce que prévoient les enga­ge­ments contrac­tuels.

    Sur les offres avec débit contrac­tuel­le­ment limité à 10 Mb/s ou moins, par contre, cette limi­ta­tion est réel­le­ment appliquée. Raison de plus pour ne pas adhé­rer à ces offres.

    Que ceux qui profitent de débits supé­rieurs à l’en­ga­ge­ment contrac­tuel ne pavoisent cepen­dant pas trop : Ils sont tota­le­ment dépen­dants de la volonté commer­ciale de l’opé­ra­teur. Ce dernier peut chan­ger d’avis du jour au lende­main. L’offre SFR a par exemple d’un coup été limi­tées à 10 Mb/s, proba­ble­ment en prévi­sion d’une valo­ri­sa­tion arti­fi­cielle de l’offre « evolu­tion ». Orange a quand a lui dès le départ choi­sit de segmen­ter arti­fi­ciel­le­ment ses offres à l’aide d’une option payante (qui de plus ne four­nit pas ce qu’elle promet). S’il ne fait pas de diffé­rence de débit, Free segmente aussi ses offres « stan­dard » et « révo­lu­tion ».

    Rien ne permet d’af­fir­mer que la segmen­ta­tion ne se creu­sera pas à l’ave­nir avec la venue d’une nouvelle offre. Ne vous atten­dez pas à garder ad vitam eter­nam un débit supé­rieur à ce que vous avez dans votre contrat.

    N’ou­bliez pas non plus qu’a­voir 100 Mb/s côté FAI ne veut pas dire pouvoir joindre n’im­porte quel site à cette vitesse. Parfois c’est le serveur en face qui sature, et souvent c’est entre le FAI et le site distant que ça coince. Avoir la fibre ne chan­gera pas la situa­tion désas­treuse qu’ont les abon­nés Free avec les vidéos Youtube.

    Ailleurs dans le monde

    Unique­ment pour donner un hori­zon diffé­rent, aux États Unis Google propose aussi de la fibre (pour l’ins­tant l’offre est pour Kansas City). C’est 70 $ mensuels pour 1 Gb/s symé­triques.

    Et si d’au­cuns se demandent les usages qui rendent utiles de tels débits, Google propose 1 To de données sauve­gar­dées en ligne. Ici avoir de la vraie sauve­garde en ligne sur plus de quelques Go, c’est mission impos­sible telle­ment les débits montants sont limi­tants. Ces gens pour­ront parta­ger de larges données, des flux vidéos HD, et simple­ment créer des usages auxquels on ne pense pas aujourd’­hui, de la même manière qu’hier on consi­dé­rait que « 640 Ko should be enough for everyone ».

    En France les raccor­de­ments effec­tifs avancent à la vitesse d’une limace un jour de fort vent de face. On se plaint des inves­tis­se­ments mais la densité du centre urbain Kansas City Missouri est deux fois plus faible que celle de l’en­semble de la ville de Lyon. On promet des débits « très très haut débit » mais on n’ose pas réel­le­ment débri­der les usages par peur que les gens utilisent vrai­ment leur connexion, et on n’as­sure de toutes façon même pas le service vendu à la moitié des clients.

    Je me doute qu’il y a des coûts impor­tants et que tout le monde ne peut pas faire ce que fait Google sur une ville proto­type, mais il y a comme un déca­lage un peu trop impor­tant.

    À quand une vraie vision de l’in­fra­struc­ture réseau en France ? L’in­no­va­tion c’est ne pas attendre le dernier moment mais propo­ser avant de voir les usages, pour les créer plutôt que les suivre.

  • D’une façon d’abor­der la tech­nique

    Aujourd’­hui j’ai demandé un peu d’ex­per­tise exté­rieure pour savoir quelles étaient les diffé­rences de trai­te­ments entre un SELECT DISTINCT et un GROUP BY dans Mysql. La ques­tion a trouvé sa réponse et pour ceux que ça inté­resse, le serveur fait les mêmes opti­mi­sa­tions, au moins dans le cas le plus simple.

    Ce qui m’a surpris c’est le nombre de gens qui ont fait une réponse basée sur leur simple intui­tion, souvent très mal conseillère, et parfois présen­tée comme une expli­ca­tion sûre.

    Que les déve­lop­peurs émettent des hypo­thèses ou puissent se trom­per n’est pas choquant. Par contre se baser sur ses préju­gés, ne pas cher­cher, véri­fier, se docu­men­ter, ça c’est une vraie faute profes­sion­nelle (et ce encore plus quand les préju­gés sont drama­tique­ment faux et injus­ti­fiés).

    Dans nos métiers il doit y avoir curio­sité et envie de cher­cher la solu­tion, mais surtout cette solu­tion doit être basée sur une compré­hen­sion des méca­nismes sous-jacents, ou au moins de la docu­men­ta­tion fiable, et le tout idéa­le­ment recoupé par des tests sérieux.

    Peut-être tire-je trop vite aux conclu­sions mais j’ai l’im­pres­sion que de plus en plus de déve­lop­peurs se satis­font de cette façon de faire et oublient que leur travail ne devrait pas se baser sur des infor­ma­tions incom­plètes et des pré-jugés. Collègues : Il est temps de vous réveiller.

  • Vol de mots de passe

    Drop­box a – encore – eu une faille de sécu­rité. Des mots de passe ont été volés. Visi­ble­ment le mien en fait partie.

    Hi Eric,

    Recently, pass­words have been stolen from some Inter­net services. This is a problem because many people use the same pass­word on multiple services, which is unsafe.

    As a precau­tion, we’ve reset your pass­word and you can create a new one here.

    We haven’t detec­ted any suspi­cious acti­vity in your Drop­box, but we’re proac­ti­vely taking steps to keep users safe.

    We know it’s easy to use a single pass­word across different websites, but this means if any one site is compro­mi­sed, all your accounts are at risk. If you’ve ever used the same pass­word for more than one website, you should create new unique pass­words for each of them. Tools like 1Pass­word do this for you and can help make your accounts safer.

    Best,

    – The Drop­box Team

    Des failles et des échecs ça arrive. Aucun service n’est immu­nisé, pas mal le vôtre super-sécu­risé.

    Point posi­tif : Ils commu­niquent dessus et prennent l’ac­tion la plus sensée à ce niveau en forçant un chan­ge­ment de mot de passe, au risque de bloquer tota­le­ment l’ac­cès à ceux qui ont changé leur email mais utilisent encore l’an­cien compte Drop­box. Ils commu­niquent aussi sur l’im­pact possible si on utilise un seul mot de passe pour plusieurs service, ce qui est très bien­venu.

    Sur les points néga­tifs tout de même : Ils ne précisent pas si le mot de passe a été déli­vré avec un hachage correct ou s’il a été divul­gué en clair. L’ab­sence de préci­sion implique un doute assez peu récon­for­tant.

    Les solu­tions

    Ce qui me gêne c’est qu’on retourne dans les solu­tions habi­tuelles qui sont bien en théo­rie mais pas les plus solides en réalité.

    Utili­ser un mot de passe unique par service ? C’est un délire pour l’es­sen­tiel des utili­sa­teurs et même pour les geeks c’est loin d’être évident. De ce que j’en ai vu même ces derniers utilisent géné­ra­le­ment un mot de passe unique pour les deux ou trois services prin­ci­paux (dont l’adresse email prin­ci­pale) mais après c’est un ou deux mots de passe communs pour l’en­semble des services suivant leur niveau de sécu­rité.

    Le conseil d’uti­li­ser 1pass­word est bon mais il est de peu d’aide en dépla­ce­ment, et ça reste un service à 50 $ pour le bureau­tique plus encore 15 $ pour la version iPhone.

    Drop­box affirme travailler à une authen­ti­fi­ca­tion en deux étapes, une par mot de passe et l’autre par un média plus person­nel, par SMS par exemple. C’est une très bonne nouvelle, mais c’est aussi agaçant. Je ne veux pas avoir 150 méthodes d’au­then­ti­fi­ca­tions en deux étapes, une pour chaque service, qui fonc­tionnent diffé­rem­ment à chaque fois. C’est encore plus vrai si, comme trop souvent, les SMS sont réser­vés aux rési­dents des États Unis.

    Voir autre­ment

    Il est vrai­ment temps de voir autre­ment et de ne pas cher­cher à réin­ven­ter la roue. Il est temps d’uti­li­ser des authen­ti­fi­ca­tions centra­li­sées comme Open ID, WebID, Brow­serID ou d’autres. L’avan­tage c’est qu’a­vec un seul (ou deux, trois) mot(s) de passe à rete­nir on peut le(s) faire très complexe.

    Mieux : On peut acti­ver une authen­ti­fi­ca­tion plus sûre, à base de certi­fi­cats SSL ou de relai par télé­phone. Ça devient possible parce qu’on ne passe pas par 150 services diffé­rents avec leurs méthodes diffé­rentes.

    J’ai fait le choix de Google parce que son authen­ti­fi­ca­tion en deux étapes me conve­nait et que l’au­then­ti­fi­ca­tion dépor­tée sur Google était une des plus répan­due. D’autres utili­se­ront un Open ID qui authen­ti­fie sur la base d’un certi­fi­cat SSL. Certains pour­ront utili­ser les deux ou encore d’autres solu­tions, suivant le service visé. Il y a le choix, y compris avec des proto­coles décen­tra­li­sés (désolé pour les termes, ça fait une authen­ti­fi­ca­tion centra­li­sée par un proto­cole décen­tra­lisé, vous pouvez propo­ser de meilleurs termes en commen­taire) si vous ne voulez pas repo­ser sur un acteur tiers.

    L’im­por­tant c’est d’ar­rê­ter de croire que la phase d’au­then­ti­fi­ca­tion doit forcé­ment se faire sur chaque service indé­pen­dam­ment. C’est quelque chose de trop sensible et trop parti­cu­lier pour croire qu’on a un réel béné­fice à réin­ven­ter la roue.

  • Sites à page unique

    J’ai beau­coup aimé le site de Bayrou, et j’ai décou­vert il y a quelques temps celui de Troll d’idées. Je vous encou­rage à explo­rer au moins le second.

    Il y a un petit mouve­ment vers les sites à page unique avec des ancres et des sépa­ra­teurs visuels pour navi­guer. Je dois avouer que c’est génia­lis­sime quand c’est bien pensé et bien travaillé, mais ça demande à priori un inves­tis­se­ment en concep­tion large­ment supé­rieur au site habi­tuel. Sans cet inves­tis­se­ment, le résul­tat est rare­ment au niveau.

    Mon problème c’est que sur ces deux sites, il manque une version mobile. Est-ce une bonne pratique sur mobile ? Ce genre de design résis­tera-t-il au temps ou restera-t-il un effet de mode comme furent en leur temps les effets de para­laxe (dont Troll d’idées abuse d’ailleurs un peu) ?

    Connais­sez-vous un site qui fait de même avec en plus du respon­sive design ?