Catégorie : Technique

X-UA-Compatible : IE=Edge
Je rage devant tous ces afficionados qui veulent être à la pointe et qui tout en crachant sur les mode de compatibilité et doctype switching, forcent les futurs navigateurs à reproduire les mêmes problèmes.

N’utilisez pas « X-UA-Compatible : IE=Edge ». C’est inutile et contre-productif.

Un pari risqué sur l’avenir

Avec cette entête, on déclare explicitement une compatibilité avec tout moteur Internet Explorer futur. Celui de dans deux ans ou celui de dans cinq ans.

Avec le passé des navigateurs, l’histoire du doctype switching, les modes de compatibilité et les ruptures de compatibilité diverses, c’est quand même un pari qui semble perdu d’avance.

La question n’est pas tellement de savoir si vous codez « standard », mais que le standard peut évoluer ou se préciser, que certaines fonctionnalités peuvent être abandonnées, ou que certains bugs peuvent être corrigés en introduisant des effets de bords sur vos pages. Même ceux qui codent « standard » jusqu’au bout des ongles choisissent en général tel ou tel montage pour contourner les manques ou différences des navigateurs et que ces manques et différences évoluent avec le temps.

Le problème n’est pas vos pages ou votre code, c’est l’environnement autour.

Et encore, je laisse de côté ceux qui s’attachent tellement fort aux standards qu’ils finissent pas n’utiliser que des fonctionnalités avant leur stabilisation voire avec préfixées dans des versions de test. Eux *vont* des problèmes, mais ils le méritent.

… (le plus souvent) inutile

Le système est fait pour trois cas :
- Permettre à un site codé pour une ancienne version d’Internet Explorer et non compatible avec les suivantes, de bloquer le moteur de rendu à cette version précise.
- Permettre à un intranet ou à un site autrefois liste noire pour incompatibilité historique, après une refonte et en attendant d’être retiré des listes noires, de déclarer pouvoir/vouloir désormais utiliser les versions récentes du moteur d’Internet Explorer.
- Permettre à un site incompatible avec les anciennes versions d’Internet Explorer d’être embarqué via une iframe dans un site non compatible (soit sur liste noire, soit qui demande explicitement une ancienne version du moteur)
Si vous n’êtes pas dans un de ces trois cas, il est très probable que vous n’ayez pas besoin d’une entête X-UA-Compatible. Pour utiliser la dernière version respectueuse des normes du moteur d’Internet Explorer, il vous suffit de coder des pages valides avec un doctype correct et sans prologue XML.

Sauf à être dans un des cas précédents, le X-UA-Compatible n’apportera rien de plus à part les effets négatifs qui seront décrits plus haut.

Mais si vous souhaitez quand même un opt-in

Même si vous vous retrouvez dans un des trois cas décrits plus haut, ou si vous souhaitez quand même être explicite, se déclarer explicitement compatible avec de futures versions qui n’ont même pas commencé à voir le jour est toujours aussi risqué.

Vous avez testé avec IE10 ? alors déclarez IE=10. Vous n’aurez rien de moins que prévu, même si un IE11 ou un IE12 sortent. Si ces prochains n’introduisent pas de problème de compatibilité, il est probable que vous bénéficierez de toutes façons du nouveau moteur. À l’inverse, s’il y a rupture de compatibilité majeure, vous aurez probablement moins de problèmes avec un mode de compatibilité « IE=10 » qu’avec un nouveau moteur incompatible « IE=Edge ».

Vous avez tout à gagner à être honnête et à déclarer la compatibilité réelle de vos pages. Au pire le site développé pour IE10 continuera d’être vu avec un moteur compatible avec ce que proposait IE10. Est-ce vraiment si peu souhaitable ?

Si ces pages sont toujours en maintenance active lors d’une nouvelle version du moteur IE *et* que ce moteur est compatible avec la version précédente *et* pourtant qu’il décide de passer en compatibilité quand vous précisez IE=[la_version_précedente] (vous remarquerez que les deux dernières conditions sont assez incohérentes entre elles), alors il vous sera facile de mettre à jour la déclaration. L’avantage c’est que si une de ces hypothèses devient invalide à l’insu de votre plein gré, au moins ça continuera à fonctionner comme avant et comme prévu.

À quoi ça sert alors ?

Le mode IE=Edge est utile à condition que vous testiez toutes les pages différentes à chaque nouvelle beta d’Internet Explorer, et ce tant qu’au moins une de vos pages est en ligne (chez vous ou chez un tiers).

Ça peut être votre cas si vous avez un petit site et que vous avez du temps à y passer. C’est toutefois un pari sur le fait que vous restiez en maintenance active et que vous aurez du temps à perdre à l’avenir. Je ne compte pas le nombre d’applications ou de sites abandonnés qui sont en théorie en maintenance ou dont on pensait qu’ils seraient encore en maintenance.

Le plus souvent IE=Edge c’est surtout pour les sites en développement, et ça devrait y rester cantonné.

Mon problème n’est pas tant que vous choisissiez d’utiliser une déclaration IE=Edge, à vrai dire vous faites ce que bon vous semble et comme je n’utilise pas IE je n’aurai pas à en souffrir. Mon problème c’est quand ça arrive en recommandation ou en bonne pratique à destination des développeurs. Là désolé de vous le dire, mais vous avez fauté. Vous engagez fortement un tiers à quelque chose dont je doute qu’il ait saisi toutes les implications, et ce pour un bénéfice qui reste franchement à démontrer.

Petite pensée pour l’avenir

Si trop de gens utilisent IE=Edge, et qu’Internet Explorer se sent obligé d’introduire une rupture de compatibilité significative, quelle(s) solution(s) leur restera-t-il ?
- Casser la compatibilité, mais ils ont prouvé que dans leur cas spécifique, sachant que leur moteur était fortement utilisé aussi pour les applications natives et pas que le Web, c’était franchement nocif
- Introduire un nouveau mécanisme d’auto-détection bancal comme le doctype switching et complexifier encore plus le développement web qui est déjà bien tordu à ce niveau si on prend en compte tous les modes de compatibilité
- Considérer que IE=Edge correspond en fait à IE=13 (par exemple) et créer un nouveau mot clef pour le remplacer, ou ajouter un suffixe explicite ; ceux qui ont joué avec les User-Agent savent combien ce mode de fonctionnement a ses limites
Même du point de vue du web, en trichant à ce niveau vous n’aidez pas le web à rester à jour, vous risquez surtout de le casser ou de le complexifier. À bon entendeur…
17 août 2012
Pas de moteur DOM en ruby ? vraiment ?

Je trouve ça tellement étrange qu’à mon avis j’ai simplement des oeillères qui me masquent la bonne librairie de code.

Je cherche un moteur DOM XML utilisable en programmation ruby. J’ai trouvé des moteurs dits DOM-like, c’est à dire des TreeBuilder avec des API plus ou moins heureuses, et dont le parcours est généralement franchement pénible si on n’utilise pas XPath ou qu’on ne recherche pas quelques éléments particulier via leur chemin. Hpricot, Nokogiri, REXML et même libxml font partie de cette catégorie.

Par contre je n’ai trouvé aucun moteur DOM qui cherche vraiment l’implémentation de la spécification DOM. J’attends par exemple un attribut documentElement sur la classe DOMDocument. J’aurai compris sur Ruby avoir un attribut document_element au lieu de documentElement mais là c’est généralement un root que je retrouve. Sur les interfaces pour parcourir le XML les différences sont bien plus profondes et je me retrouve avec des APIs qui sont généralement très différentes.

Certes, je peux me passer de DOM mais ce serait quand même étrange que personne n’ait implémenté en ruby ce standard extrêmement courant. Qu’ai-je manqué ?

10 août 2012
Signature des applications Android sur Google Play

Je trouve très peu de conseil ou bonnes pratiques. Développeurs Android qui avez de l’expérience là dedans, j’ai besoin de vos lumières.

Pour l’instant j’ai lu Signing you applications. J’ai retenu que toutes les applications doivent être signées, et que pour pouvoir les mettre à jour il faut utiliser exactement le même certificat que l’application d’origine. Pour signer on créé un keystore et un alias.

Une ou plusieurs clefs

La bonne pratique habituelle côté sécurité c’est une clef par destination, application ou usage. Éventuellement une clef globale pour certifier les premières si on a besoin de s’assurer de la paternité de toutes les clefs. Ça militerait pour signer chaque application avec une clef différente et ça permettrait de déléguer la production d’une ou plusieurs applications à un tiers sans devoir lui donner la clef globale.

Le problème c’est que le document sur la doc Android, ainsi que les quelques documents trouvés sur le web à propos de Google Play, conseillent plutôt d’utiliser une clef globale. Le seul gain que j’y vois c’est que les applications pourront communiquer entre elles. Je n’en ai pas besoin pour l’instant mais il est vrai que je ne connais pas le futur.

Alors, une clef par application ou une clef globale ?

Notion de keystore et alias

Tel que je le comprends le keystore n’est qu’un simple entrepôt pour stocker des clefs. Mis à part que lui même peut être protégé par un mot de passe pour éviter de donner trop facilement accès aux clefs privées. Les clefs privés sont en fait ce qui est pointé par les « alias » dans la documentation. On peut donc avoir plusieurs clefs par keystore.

J’en déduis que la notion de keystore n’influe pas du tout sur Google Play. Je peux sortir ma clef d’un keystore, la mettre dans un autre keystore et signer une mise à jour avec. Tant que c’est la même clef, on se moque du keystore. Ai-je bon ?

J’en déduis donc aussi que Google n’a aucune notion de mon keystore et que je peux y ajouter de nouvelles clefs quand je le souhaite pour de nouvelles applications. Je n’ai pas besoin de préparer un keystore avec un jeu de clef qui ne bougera pas et que je ne pourrai pas mettre à jour. Ai-je bon ?

Voilà voilà, j’ai besoin de vos lumières et ayant peu d’éditeurs d’applications dans mon réseau, j’apprécierai beaucoup que vous fassiez suivre mes interrogations à vos propres connaissances.

Comme j’ai eu quelques conseils de gens qui réfléchissent à haute voix mais n’ont eux-même pas essayé ou pas d’expérience dans tout ça : Si vous vous retrouvez dans cette situation, merci de le préciser pour que je fasse le tri entre les retours d’expérience réels et les autres.

7 août 2012
One Race, Every Medalist Ever
À part owni, j’ai l’impression que nos sites de presse sont très loin de ce qu’il se fait chez nos voisins américains en termes de présentation des données.

One Race, Every Medalist Ever c’est la mise en perspective des différents médaillés du 100 mètres année après année, placés sur une même ligne. On y voit l’évolution des performances et ceux qui étaient vraiment au dessus de leur époque.

Attention toutefois, le graphique est trompeur car il zoome sur les derniers mètres. La différence entre Usain Bolt 2012 et Carl Lewis 1988 n’est que de 3 %.

Deux notes personnelles :
- Avoir un accès ouvert aux données brutes permettrait de vraiment faire fleurir ce genre d’utilisation. La réalisation ne demande pas vraiment d’investissement, c’est uniquement une question d’idée et de motivation.
- Considérant que les gagnants passés (ou une bonne partie d’entre eux) étaient dopés jusqu’à la moelle, le fait qu’on s’améliore autant avec le temps laisse songeur et fait un peu peur sur ce qu’on saura ou trouvera dans dix ans
7 août 2012
Un peu de courage sur les formulaires

La fainéantise est une superbe qualité pour un informaticien. C’est ce qui fait que l’informaticien est capable de coder 20 minutes un script pour lui automatiser une tâche qui prend 5 minutes de boulot tous les mois.

Maintenant parfois c’est abusé, et c’est trop souvent le cas sur les formulaires.

Sans rire, préciser « en majuscules et sans accents » en gras c’est que le problème a été repéré lors de la conception du formulaire, ou que les retours clients en assistance téléphonique ont été assez importants pour justifier la modification du texte.

Dans ce cas, vous ne croyez pas que la saisie devrait être libre ? À votre application de mettre en majuscules et de retirer les accents si ça lui chante, mais ne faites pas faire votre boulot à l’utilisateur.

Le pire c’est pour le numéro de téléphone parce que je l’ai vu dans *tous* les formulaires d’opérateurs téléphonie et internet. Le champ est bloqué à dix caractères, donc un numéro de téléphone sans espaces.

Bon, c’est juste agaçant à la saisie, mais c’est surtout inutilisable au copier-coller car quasiment tout le reste de la France utilise des espaces comme séparateur. C’est donc à l’utilisateur d’aller copier-coller le numéro dans un éditeur de texte pour retirer les espace et le copier-coller à nouveau dans le formulaire.

Franchement, le développeur n’avait pas la capacité de retirer lui même espaces et ponctuation côté serveur ? Ça coutait vraiment trop cher ?

Développeurs : Soyez fainéants, mais ne faites pas faire votre boulot par vos utilisateurs !

4 août 2012
CGV Fibre SFR

Je dois être un des seuls idiots à lire en détail toutes les CGV et tous les contrats souscrits. On voit d’ailleurs que ce n’est pas fait pour parce que quand je prends le temps de les lire, ma session expire inévitablement et je dois recommencer la commande de zéro à chaque fois (mais bien entendu le lien vers les CGV n’est visible qu’à la dernière étape).

En vue d’une souscription à l’offre de fibre SFR j’ai particulièrement cherché dans leurs CGV quel était l’engagement en terme de bande passante. Le résultat est surprenant : Il y a plein de clauses spécifiques à l’ADSL pour se dégager des faibles débits mais côté fibre il y a juste un paragraphe qui rappelle que les débits réseau ne peuvent être garantis vis à vis de tiers sur Internet. Il n’y a même pas de paragraphe parlant d’obligation de moyen ou de raisons potentielles pour un débit plus faible qu’annoncé. Sauf si j’ai loupé un épisode, ils sont bel et bien contractuellement tenus de fournir le débit annoncé et pas 1 Mb/s de moins, au moins jusqu’à leur coeur réseau.

Mais j’ai trouvé aussi des passages surprenants ou agaçants :

L’opérateur pourra être contraint d’interrompre de façon exceptionnelle le Service pour effectuer des travaux de maintenance, d’amélioration, d’entretien, de renforcement, de réaménagement ou d’extension des installations de son réseau. Ces interruptions seront notiﬁées via www. sfr.fr au minimum 24 heures avant qu’elles n’interviennent sauf lorsqu’elles auront un caractère d’urgence.

Si jamais SFR fait des opérations de maintenance ou d’évolution du réseau sans vous prévenir 24 heures avant, sauf caractère d’urgence, ils sont hors contrat. Personne ne leur en demandait autant, et je doute qu’ils aient jamais prévenu quiconque de leurs opérations réseaux.

Le Client s’engage à utiliser le Service en bon père de famille

Franchement, je croyais qu’on en avait fini avec ces idioties de bon père de famille ? Et puis franchement, en plus d’être super floue et de ne rien autoriser ou interdire précisément, pour la formulation très patriarcale (ou sexiste, comme vous voulez).

[ne pas utiliser le service d’une manière] qui contrevienne à l’ordre public et aux bonnes mœurs, notamment par l’inclusion d’éléments tels que, sans que cette liste ne soit exhaustive ou limitative, des éléments à caractère pornographique, de proxénétisme ou de pédophilie, ou encore à caractère violent, le contenu étant susceptible d’être vu par des mineurs ;

La phrase est trop complexe mais si vous lisez bien, au milieu du proxénétisme et de la pédophilie, on vous interdit d’utiliser la connexion Internet pour du contenu pornographique (aie ma liberté) ou à caractère violent (là il y a du boulot). Ça devient exagérément abusif, en plus de ne probablement pas tenir une seconde devant un juge. Et puis, c’est oublier que The Internet is for Porn.

Si le Client est une personne physique, agissant à des ﬁns privées, il s’engage à utiliser le Service pour ses besoins propres dans le cadre d’un usage strictement privé et personnel. Il s’engage en particulier à n’utiliser les Matériels qu’à destination de ses propres équipements, les Matériels ne pouvant en aucun cas être utilisés, directement ou indirectement, pour permettre à un tiers de bénéﬁcier du Service.

Pas d’amis sur votre wifi sinon gare ! Je comprends la volonté d’éviter qu’une connexion Internet de particulier devienne une borne d’accès publique (en terme de consommation ce n’est pas la même chose) mais là c’est du délire d’avocat. La restriction est d’autant trop forte que de l’autre côté ils acceptent que ces mêmes connexions soient utilisées à des fins professionnelles et partagées aux différents salariés.

Et pour finir, même si ce n’est pas une surprise, je suis dégouté par le politiquement correct qui fait que le FAI doive insérer à plusieurs endroits dans ses propres contrats que partager des contenus sous droit d’auteur c’est mal.

3 août 2012
Pourquoi du très haut débit

Je pourrai sortir l’usage du futur, l’explosion vidéo haute définition, le stockage en ligne de tous ses fichiers mais ce serait viser à côté. Le très haut débit c’est beaucoup plus simple et ça ne demande pas d’imaginer le futur.

Le très haut débit c’est pouvoir partager 5 photos prises avec son appareil récent en appuyant juste sur « envoyer ». Actuellement il faut soit attendre une dizaine de minutes devant le PC soit utiliser un logiciel de traitement d’images pour les redimensionner et baisser le poids avant d’envoyer. Bref, « faire de l’informatique ».

Le très haut débit c’est pouvoir recevoir un PDF en pièce jointe instantanément sans avoir à attendre qu’il se charge pendant une à deux minutes. C’est avoir une occupation qui est « lire le compte rendu du syndic » plutôt que « gérer ses mails ».

Le très haut débit c’est laisser Windows se mettre à jour automatiquement au lieu de devoir subir la mise à jour en voyant tout ralentir pendant deux heures, voir en devant attendre le soir que tout finisse de télécharger avant d’éteindre le PC.

Le très haut débit c’est laisser son iPad se synchroniser avec iCloud sans surprise « oups, cette chanson là n’était pas encore synchronisée, je l’ai sur le mac mais pas sur l’iPad ».

Les geeks n’ont pas tant besoin de très haut débit, ils sont de toutes façons en permanence connectés et ont l’habitude des traitements en tâche de fond. Le très haut débit c’est pour tous les autres, qui n’ont pas envie de « faire de l’informatique », ceux qui n’y comprennent rien et qui sont perdus dès qu’il faut penser à la synchronisation, réfléchir au poids des fichiers à transférer ou attendre l’ordinateur pendant qu’il fait ce qu’on attend de lui. Le propre du très haut débit c’est justement de ne pas avoir à savoir quel débit on a, à quoi ça sert.

Si quelqu’un vous dit qu’il n’aime pas l’informatique et n’a pas besoin de très haut débit car il ne consomme quasiment rien, c’est probablement lui qui en bénéficiera le plus.

Un jour je vous parlerai aussi des PME, pour qui du très haut débit pas cher est une source d’innovation et une révolution dans les portes qui s’ouvrent, mais ça c’est pour un autre jour.

2 août 2012
La fibre en France, cette blague

La fibre fait parler en France, mais aussi à l’étranger. Ici la fibre on considère que c’est 100 Mb/s en descendant (ce que vous téléchargez depuis Internet) mais des débits ridicules en montant (ce que vous envoyez vers Internet).

Débits montants ridicules

Numéricable et la multitude de FAI qui ne font que reproposer l’offre Numericable avec un autre branding offrent (attention les yeux) 5 Mb/s en montant. Là où ça devient marrant c’est que 5 Mb/s c’est le strict minimum pour avoir réellement 100 Mb/s dans l’autre sens. Pour peu que vous fassiez plein de petits téléchargements plutôt qu’un gros, ce sont les 5 Mb/s qui vont vous limiter, par les 100 Mb/s.

Oubliez l’idée d’avoir des vrais usages décentralisés ou de transférer le contenu de votre carte mémoire d’appareil photo à votre famille : Il faudra sélectionner les photos et potentiellement les réduire un peu avant envoi. S’il s’agit de transférer votre film de vacances, il s’enverra à vitesse réelle (une heure d’enregistrement = une heure d’envoi).

Orange et SFR dans leur offre standard font à peine mieux avec 10 Mb/s (il faut prendre l’offre « evolution » pour avoir droit aux 50 Mb/s présentés au dessus).

Il est intéressant de noter qu’Orange propose une offre 100 Mb/s symétriques pour 10 € de plus par mois mais qu’il faut bien lire les petites lignes. Déjà ce débit est symétrique mais pas simultané : Il n’est pas possible d’atteindre simultanément la limite en montant et en descendant. Au final c’est du 50 Mb/s symétrique qu’on a. Mais surtout le volume de données est plafonné à 1 To mensuels. Le plafond est élevé, probablement jamais atteint par pas mal de monde, mais il ne représente quand même que 22 heures d’utilisation à plein régime. Difficile de trouver la limitation légitime pour une option payante quand elle est présentée ainsi.

Débits pratiques

Note de mise à jour : J’ai retiré l’analyse des débits médians réels, suite aux remarques (avec raison) sur le fait que les mesures et leur contextes sont beaucoup trop contestables pour en tirer des conclusions, notamment sur les conditions et le matériel côté usager. Les graphiques restent accessibles sur le le baromètre de lafibre.info et même si les contestaires ont raison sur le principe, ces débits médians me semblent quand même suffisamment significatifs pour penser que tout n’est pas pas forcément lié à l’installation de l’usager.

Les débits montants du meilleur décile des offres 50 Mb/s ou plus montent eux aux alentours de 80 Mb/s, sauf Free qui est tellement au dessus que l’outil est peut être la source de la saturation, ce qui veut dire que les opérateurs autorisent plus que ce que prévoient les engagements contractuels.

Sur les offres avec débit contractuellement limité à 10 Mb/s ou moins, par contre, cette limitation est réellement appliquée. Raison de plus pour ne pas adhérer à ces offres.

Que ceux qui profitent de débits supérieurs à l’engagement contractuel ne pavoisent cependant pas trop : Ils sont totalement dépendants de la volonté commerciale de l’opérateur. Ce dernier peut changer d’avis du jour au lendemain. L’offre SFR a par exemple d’un coup été limitées à 10 Mb/s, probablement en prévision d’une valorisation artificielle de l’offre « evolution ». Orange a quand a lui dès le départ choisit de segmenter artificiellement ses offres à l’aide d’une option payante (qui de plus ne fournit pas ce qu’elle promet). S’il ne fait pas de différence de débit, Free segmente aussi ses offres « standard » et « révolution ».

Rien ne permet d’affirmer que la segmentation ne se creusera pas à l’avenir avec la venue d’une nouvelle offre. Ne vous attendez pas à garder ad vitam eternam un débit supérieur à ce que vous avez dans votre contrat.

N’oubliez pas non plus qu’avoir 100 Mb/s côté FAI ne veut pas dire pouvoir joindre n’importe quel site à cette vitesse. Parfois c’est le serveur en face qui sature, et souvent c’est entre le FAI et le site distant que ça coince. Avoir la fibre ne changera pas la situation désastreuse qu’ont les abonnés Free avec les vidéos Youtube.

Ailleurs dans le monde

Uniquement pour donner un horizon différent, aux États Unis Google propose aussi de la fibre (pour l’instant l’offre est pour Kansas City). C’est 70 $ mensuels pour 1 Gb/s symétriques.

Et si d’aucuns se demandent les usages qui rendent utiles de tels débits, Google propose 1 To de données sauvegardées en ligne. Ici avoir de la vraie sauvegarde en ligne sur plus de quelques Go, c’est mission impossible tellement les débits montants sont limitants. Ces gens pourront partager de larges données, des flux vidéos HD, et simplement créer des usages auxquels on ne pense pas aujourd’hui, de la même manière qu’hier on considérait que « 640 Ko should be enough for everyone ».

En France les raccordements effectifs avancent à la vitesse d’une limace un jour de fort vent de face. On se plaint des investissements mais la densité du centre urbain Kansas City Missouri est deux fois plus faible que celle de l’ensemble de la ville de Lyon. On promet des débits « très très haut débit » mais on n’ose pas réellement débrider les usages par peur que les gens utilisent vraiment leur connexion, et on n’assure de toutes façon même pas le service vendu à la moitié des clients.

Je me doute qu’il y a des coûts importants et que tout le monde ne peut pas faire ce que fait Google sur une ville prototype, mais il y a comme un décalage un peu trop important.

À quand une vraie vision de l’infrastructure réseau en France ? L’innovation c’est ne pas attendre le dernier moment mais proposer avant de voir les usages, pour les créer plutôt que les suivre.

2 août 2012
D’une façon d’aborder la technique

Aujourd’hui j’ai demandé un peu d’expertise extérieure pour savoir quelles étaient les différences de traitements entre un SELECT DISTINCT et un GROUP BY dans Mysql. La question a trouvé sa réponse et pour ceux que ça intéresse, le serveur fait les mêmes optimisations, au moins dans le cas le plus simple.

Ce qui m’a surpris c’est le nombre de gens qui ont fait une réponse basée sur leur simple intuition, souvent très mal conseillère, et parfois présentée comme une explication sûre.

Que les développeurs émettent des hypothèses ou puissent se tromper n’est pas choquant. Par contre se baser sur ses préjugés, ne pas chercher, vérifier, se documenter, ça c’est une vraie faute professionnelle (et ce encore plus quand les préjugés sont dramatiquement faux et injustifiés).

Dans nos métiers il doit y avoir curiosité et envie de chercher la solution, mais surtout cette solution doit être basée sur une compréhension des mécanismes sous-jacents, ou au moins de la documentation fiable, et le tout idéalement recoupé par des tests sérieux.

Peut-être tire-je trop vite aux conclusions mais j’ai l’impression que de plus en plus de développeurs se satisfont de cette façon de faire et oublient que leur travail ne devrait pas se baser sur des informations incomplètes et des pré-jugés. Collègues : Il est temps de vous réveiller.

1 août 2012
Vol de mots de passe

Dropbox a – encore – eu une faille de sécurité. Des mots de passe ont été volés. Visiblement le mien en fait partie.

Hi Eric,

Recently, passwords have been stolen from some Internet services. This is a problem because many people use the same password on multiple services, which is unsafe.

As a precaution, we’ve reset your password and you can create a new one here.

We haven’t detected any suspicious activity in your Dropbox, but we’re proactively taking steps to keep users safe.

We know it’s easy to use a single password across different websites, but this means if any one site is compromised, all your accounts are at risk. If you’ve ever used the same password for more than one website, you should create new unique passwords for each of them. Tools like 1Password do this for you and can help make your accounts safer.

Best,

– The Dropbox Team

Des failles et des échecs ça arrive. Aucun service n’est immunisé, pas mal le vôtre super-sécurisé.

Point positif : Ils communiquent dessus et prennent l’action la plus sensée à ce niveau en forçant un changement de mot de passe, au risque de bloquer totalement l’accès à ceux qui ont changé leur email mais utilisent encore l’ancien compte Dropbox. Ils communiquent aussi sur l’impact possible si on utilise un seul mot de passe pour plusieurs service, ce qui est très bienvenu.

Sur les points négatifs tout de même : Ils ne précisent pas si le mot de passe a été délivré avec un hachage correct ou s’il a été divulgué en clair. L’absence de précision implique un doute assez peu réconfortant.

Les solutions

Ce qui me gêne c’est qu’on retourne dans les solutions habituelles qui sont bien en théorie mais pas les plus solides en réalité.

Utiliser un mot de passe unique par service ? C’est un délire pour l’essentiel des utilisateurs et même pour les geeks c’est loin d’être évident. De ce que j’en ai vu même ces derniers utilisent généralement un mot de passe unique pour les deux ou trois services principaux (dont l’adresse email principale) mais après c’est un ou deux mots de passe communs pour l’ensemble des services suivant leur niveau de sécurité.

Le conseil d’utiliser 1password est bon mais il est de peu d’aide en déplacement, et ça reste un service à 50 $ pour le bureautique plus encore 15 $ pour la version iPhone.

Dropbox affirme travailler à une authentification en deux étapes, une par mot de passe et l’autre par un média plus personnel, par SMS par exemple. C’est une très bonne nouvelle, mais c’est aussi agaçant. Je ne veux pas avoir 150 méthodes d’authentifications en deux étapes, une pour chaque service, qui fonctionnent différemment à chaque fois. C’est encore plus vrai si, comme trop souvent, les SMS sont réservés aux résidents des États Unis.

Voir autrement

Il est vraiment temps de voir autrement et de ne pas chercher à réinventer la roue. Il est temps d’utiliser des authentifications centralisées comme Open ID, WebID, BrowserID ou d’autres. L’avantage c’est qu’avec un seul (ou deux, trois) mot(s) de passe à retenir on peut le(s) faire très complexe.

Mieux : On peut activer une authentification plus sûre, à base de certificats SSL ou de relai par téléphone. Ça devient possible parce qu’on ne passe pas par 150 services différents avec leurs méthodes différentes.

J’ai fait le choix de Google parce que son authentification en deux étapes me convenait et que l’authentification déportée sur Google était une des plus répandue. D’autres utiliseront un Open ID qui authentifie sur la base d’un certificat SSL. Certains pourront utiliser les deux ou encore d’autres solutions, suivant le service visé. Il y a le choix, y compris avec des protocoles décentralisés (désolé pour les termes, ça fait une authentification centralisée par un protocole décentralisé, vous pouvez proposer de meilleurs termes en commentaire) si vous ne voulez pas reposer sur un acteur tiers.

L’important c’est d’arrêter de croire que la phase d’authentification doit forcément se faire sur chaque service indépendamment. C’est quelque chose de trop sensible et trop particulier pour croire qu’on a un réel bénéfice à réinventer la roue.

1 août 2012

Catégorie : Technique

Un pari risqué sur l’ave­nir

… (le plus souvent) inutile

Mais si vous souhai­tez quand même un opt-in

À quoi ça sert alors ?

Petite pensée pour l’ave­nir

Une ou plusieurs clefs

Notion de keys­tore et alias

Débits montants ridi­cules

Débits pratiques

Ailleurs dans le monde

Les solu­tions

Voir autre­ment

Un pari risqué sur l’avenir

Mais si vous souhaitez quand même un opt-in

À quoi ça sert alors ?

Petite pensée pour l’avenir

Notion de keystore et alias

Débits montants ridicules

Les solutions

Voir autrement