Histoire de rire un peu (jaune) :
- To get a guaranteed, mediocre, but well paying job writing financial applications in a cubicle under fluorescent lights: Java.
- To do the same thing with certifications and letters after your name: C#
Which programming language should I learn first? Et vous, quel langage apprenez-vous ?
Je n’ai jamais envisagé ça ainsi, mais ça prend vite du sens : Le problème avec le Porno c’est qu’on essaye de réguler le réseau au lieu de réguler les enfants voire les parents.
Franchement, est-il sain de brider, surveiller, et modifier la nature même du réseau et de ce qu’il peut apporter uniquement pour permettre à des parents d’abandonner leur surveillance et de laisser l’outil dans les mains de leurs enfants sans avoir à opérer leur rôle ?
Worried about online porn? Don’t regulate the net – regulate your kids
Jusqu’à présent j’ai toujours considéré que le risque était celui d’une domination de l’ordre moral mais cela pourrait être encore plus idiot : Sommes-nous en train de casser ces superbes outils que sont Internet et le web juste pour donner un peu plus de confort à quelques uns ?
Quand on trouve un article annonçant 55 000 mots de passe de comptes révélés au grand jour, je ne me plains pas de la sécurité des mots de passe ou de celle du service. Dans la liste on trouve des mots de passe complexes, et rien ne permet d’affirmer qu’il y a eu une négligence coupable de la part de twitter.
More Than 55,000 Twitter Account Usernames & Passwords Are Hacked And Leaked
C’est bien joli d’inciter les gens à utiliser un mot de passe différent par service, à ne pas les sauvegarder, d’en utiliser des complexes et en plus de les changer souvent, mais c’est proprement irréaliste
La solution on la trouve dans WebID, dans BrowserID, ou même pourquoi pas dans OpenID, malgré tout les défauts liés à ce dernier. Et si on s’y mettait ?
Ce n’est pas si complexe que ça. Il suffirait d’un mouvement de la part de la communauté pour avoir des outils simples, ergonomiques et utilisables. La base technique est là.
L’article de Slate ne va pas loin (oui, je sais, cette phrase est un lieu commun) mais le fond me semble des plus importants. Apprendre à programmer, sera aussi essentiel pour l’autonomie et pour progresser demain que ça ne l’écriture, la lecture et les mathématiques de base pour nos parents ou grands parents.
Ceux qui savent programmer seront indépendants pour réaliser toutes leurs tâches quotidiennes. Tout ce qu’ils feront, personnellement et professionnellement sera numérique. Les feuilles de calcul, les tableaux de données et les fichiers texte seront leur lot quotidien. Pouvoir faire quelques lignes de code pour extraire leurs informations, automatiser des traitements, ou simplement manier comme ils souhaitent la profusion de données auxquelles ils doivent faire fasse, c’est essentiel.
Nous n’en sommes qu’aux prémisses et pourtant, comme beaucoup d’informaticiens, je me demande régulièrement comment font les gens « normaux » pour être autonomes sur leurs petites tâches quotidiennes. Certaines choses sont simplement faites en plus de temps, d’autres sont laissées pour compte. Aujourd’hui ces échecs quotidiens ne provoque pas encore de frustration car l’usage de la programmation n’est même pas envisagé ; l’aide d’un informaticien est vue comme une baguette magique. Demain, avec le tout numérique, personne ne sera dupe.
Mieux, la programmation leur permettra aussi de créer, de ne pas se satisfaire de ce qui existe déjà, de participer à l’innovation, et de simplement n’être limités que par eux-même. N’est-ce pas ce qu’on souhaite pour nos générations futures ?
Apprendre les rudiments de la programmation aux enfants peut paraitre exagéré mais l’objectif n’est pas d’en faire des développeurs de métier, pas plus que mes parents n’ont souhaités me faire écrivain ou mathématicien.
À quel âge faut-il commencer ? dans quel cadre ? ce qui est certain c’est que l’approche d’aujourd’hui, apprendre à se servir de l’outil via des logiciels tout faits, ne peut que mener à une impasse.
Je me rappelle que j’étais un privilégié à avoir gouté aux MO5 ou TO7, avec l’utilisation de Logo pour faire bouger une petite tortue à l’écran, en primaire, à l’école publique. J’ai l’impression que ces initiatives n’existent plus. On préfère faire des mises en gardes concernant Facebook, la propriété intellectuelle ou montrer comment se servir de MS Word à des élèves qui en maitrisent bien plus l’usage d’une façon que réprouverait n’importe quel informaticien.
À côté de ça le projet OLPC pour l’Afrique promeut l’usage de Python. Ça n’a l’air de rien, mais si cette tendance se confirme, nous vivrons au crochet de l’Afrique dans quelques générations, à moins qu’on ne continue à les assujettir à l’aide des dettes et autres produits financiers (et qu’on reste donc dans du perdant-perdant)
Le pire c’est que les lycéens voire collégiens qui apprennent d’eux même à faire du PHP ce n’est pas rare. L’école les freine au lieu de les y inciter.
C’est d’un vrai plan numérique dont nous avons besoin, un plan qui ne soit pas basé sur de l’équipement en tablettes, sur l’usage de logiciels en tant qu’outils bloqués, et à partir de professeurs qui ne gèrent aucunement ces outils.
Voilà quelques pistes :
S’il fallait encore des exemples des dangers des filtrages et autres interruptions administratives de sites Internet, malgré la débacle australienne, en voici un nouveau : Feds Seized Hip-Hop Site for a Year, Waiting for Proof of Infringement
Un site mis hors ligne par décision administrative sans mise en accusation ni procès, pendant plus d’un an, sur demande non motivée d’entreprises privées, puis retourné à son propriétaire sans explication autre que l’absence de charges.
Sur un tout autre plan, le désormais célèbre megaupload ne sera finalement pas mis en accusation. Le site a été mis hors ligne, la boite a été tuée, les données légales et payées probablement perdues, tout ça sur ordre des autorités US et au final des juges américains avouent qu’il n’y aura certainement pas de procès car rien dans toute cette histoire n’est soumis à la loi US. Quoi qu’on pense du site en question, la possibilité de tels actes unilatéraux et sans motivation judiciaire fait froid dans le dos.
Les ePubs ont déjà pas mal d’historique et d’implémentations divergentes. Je fouillais ces jours ci les différentes méthodes pour trouver l’image de couverture. J’ai probablement du louper des choses, mais ça servira probablement à d’autres.
Avant toute chose, il faut ouvrir l’ePub à l’aide de unzip
unzip exemple.epub
Puis repérer l’adresse de l’OPF dans le fichier META-INF/container.xml. Attention à ne pas rechercher manuellement un fichier content.opf à la racine de l’ePub. Si c’est souvent là qu’il se trouve, ce n’est pas toujours le cas.
L’adresse de l’OPF est dans l’attribut @full-path de la balise <rootfile> avec le media-type « application/oebps-package+xml ». S’il existe plusieurs correspondances, c’est la première qui doit être utilisée.
<?xml version="1.0"?> <container version="1.0" xmlns="urn:oasis:names:tc:opendocument:xmlns:container"> <rootfiles> <rootfile full-path="Ops/content.opf" media-type="application/oebps-package+xml"/> </rootfiles> </container>
C’est dans ce fichier OPF que tout va se passer. Voici mes quatre méthodes pour trouver les couvertures, à essayer par ordre de priorité :
1– Rechercher une balise <meta> avec pour nom « cover ». Si elle existe, son contenu référence la balise <item> qui contient la couverture.
En XPath, le chemin de la couverture donnerait quelque chose comme //item[id=//meta[name='cover']/@content]/@href
<?xml version="1.0" encoding="UTF-8"?> <package xmlns="http://www.idpf.org/2007/opf" version="2.0" unique-identifier="BookId"> <metadata xmlns:opf="http://www.idpf.org/2007/opf"> <meta name="cover" content="img1"/> </metadata> <manifest> <item id="ncx" href="toc.ncx" media-type="application/x-dtbncx+xml"/> <item id="style" href="style.css" media-type="text/css"/> <item id="id1" href="1.html" media-type="application/xhtml+xml"/> <item id="id2" href="2.html" media-type="application/xhtml+xml"/> <!-- ... --> <item id="id13" href="13.html" media-type="application/xhtml+xml"/> <item id="img1" href="images/img1.jpg" media-type="image/jpeg"/> <item id="img2" href="images/img2.jpg" media-type="image/jpeg"/> </manifest> </package>
2– Rechercher, dans la liste des <item> celui qui a « cover-image » dans son attribut @properties. Il faut regarder l’ensemble de l’attribut. Ce dernier peut contenir plusieurs valeurs séparées par des espaces.
En XPath ce serait quelque chose de proche de //item[@properties and contains(@properties,'cover-image')]/@href
<?xml version="1.0" encoding="UTF-8"?> <package xmlns="http://www.idpf.org/2007/opf" version="2.0" unique-identifier="BookId"> <metadata xmlns:opf="http://www.idpf.org/2007/opf"></metadata> <manifest> <item id="ncx" href="toc.ncx" media-type="application/x-dtbncx+xml"/> <item id="style" href="style.css" media-type="text/css"/> <item id="id1" href="1.html" media-type="application/xhtml+xml"/> <item id="id2" href="2.html" media-type="application/xhtml+xml"/> <!-- ... --> <item id="id13" href="13.html" media-type="application/xhtml+xml"/> <item properties="cover-image" id="img1" href="images/img1.jpg" media-type="image/jpeg"/> </manifest> </package>
3– Rechercher, dans la liste des <reference> du <guide>, la première avec « cover » comme attribut @type. Le fichier référencé pourra être un fichier XHTML. Dans ce cas je considère comme couverture la première <img> de taille égale ou supérieure à 200×200 pixels (oui, c’est moche, mais je n’ai pas trouvé mieux).
En XPath ce serait quelque chose de proche de //reference[@type='cover']/@href en n’oubliant pas ensuite qu’on obtient un fichier XHTML et non une image.
<?xml version="1.0" encoding="UTF-8"?> <package xmlns="http://www.idpf.org/2007/opf" version="2.0" unique-identifier="BookId"> <metadata xmlns:opf="http://www.idpf.org/2007/opf"></metadata> <manifest> <item id="ncx" href="toc.ncx" media-type="application/x-dtbncx+xml"/> <item id="style" href="style.css" media-type="text/css"/> <item id="id1" href="1.html" media-type="application/xhtml+xml"/> <!-- ... --> <item id="id13" href="13.html" media-type="application/xhtml+xml"/> </manifest> <guide> <reference type="cover" title="Cover image" href="1.html"/> </guide> </package>
4– Enfin, à défaut de mieux, je descend les trois premiers <item> du <manifest> jusqu’à trouver une <img> de taille égale ou supérieure à 200×200 pixels (oui, c’est encore plus moche que précédemment, je sais)
<?xml version="1.0" encoding="UTF-8"?> <package xmlns="http://www.idpf.org/2007/opf" version="2.0" unique-identifier="BookId"> <metadata xmlns:opf="http://www.idpf.org/2007/opf"></metadata> <manifest> <item media-type="application/x-dtbncx+xml"id="ncx" href="toc.ncx" /> <item media-type="text/css" id="style" href="style.css" /> <item media-type="application/xhtml+xml" id="id1" href="1.html" /> <item media-type="application/xhtml+xml" id="id2" href="2.html" /> <item media-type="application/xhtml+xml" id="id3" href="3.html" /> <item media-type="application/xhtml+xml" id="id4" href="4.html" /> <!-- ... --> <item id="id13" href="13.html" media-type="application/xhtml+xml"/> </manifest> </package>
Malgré cela, certains livres n’ont pas de couverture, et d’autres auront une couverture SVG qui ne sera pas récupérable, même si c’est rare. Si vous voulez compléter ou préciser, n’hésitez pas.
Mesurer la performance a toujours été une gageure. On parle de temps de chargement total de la page, de chargement de la page au dessus du pli, de temps de premier rendu, de chargement asynchrone, etc. Bref, nous avons déjà une demi douzaine de mesures, mais toutes qui reflètent un état différent et peu significatif.
Webpagetest semble être enfin arrivé à définir une mesure qui a du sens et qui prend en compte le chargement progressif des pages. Une page qui se charge à 90% immédiatement mais qui a un petit bout qui n’arrive que bien après reste plus intéressante que celle qui se charge globalement plus vite mais où tout arrive d’un coup.
Je reste un peu dubitatif sur comment ça gère les carrousels et autres animations, mais ça m’a l’air assez représentatif du ressenti utilisateur : à tester.
Bon, tout le monde devrait le savoir, même si mon expérience récente me montre qu’un rappel n’est pas inutile :
Croyez moi, j’ai encore découvert il y a peu que non seulement ce n’était pas évident pour tout le monde mais que certains refusent de considérer un simple stockage sous forme md5 sans salage comme une erreur et un problème potentiel de sécurité.
Mais plus que tout ça, pour moi la règle de base c’est « ne jouez pas avec la sécurité ». Si vous n’êtes pas un expert dans la question : ne créez rien et n’implémentez rien vous-même, utilisez des bibliothèques de codes toutes faites.
En jouant sur l’intuition, vous avez toutes les chances d’arriver à un résultat opposé à celui que vous espérez.
Dans le texte du jour à lire, Properly Salting Passwords, The Case Against Pepper, nous avons un superbe exemple que je tente d’expliquer en vain à chaque fois qu’on lève le sujet :
Pour « améliorer » la sécurité, en plus du salage géré par l’algorithme, propre à chaque mot de passe, certains cherchent à ajouter un second salage, global à l’application. L’idée est que le salage présent à côté du mot de passe dans la base de données ne suffit pas, il faudrait en plus connaitre le salage global utilisé par l’applicatif, et donc profiter d’une faille de sécurité plus importante afin d’exploiter quoi que ce soit.
L’idée semble bonne, intuitivement. Malheureusement vous n’êtes probablement pas un expert sur l’algorithme blowfish. Vous ne *savez* pas si ajouter le même salage en début ou en fin du mot de passe avant de l’envoyer à blowfish ne risque pas de réduire la sécurité du résultat. Oh, vous avez probablement l’intuition que ce n’est pas le cas, voire vous en êtes certains, mais aucune documentation de sécurité reconnue comme étant d’autorité ne le précise explicitement.
Vous en êtes à l’intuition et vous avez une chance sur deux de vous planter. Au final, est-ce vraiment un bon pari ? Ça pourrait l’être si l’état de l’art du stockage des mots de passe était franchement insuffisant et s’il n’y avait aucune méthode standard pour l’améliorer. Ici il est probable que vous ne soyez pas encore à l’état de l’art (n’utiliseriez-vous pas sha1 ou md5 ?) et cet état de l’art est probablement suffisant si vous utilisez suffisamment d’itérations.
Mais plus que cette question du double salage, qui est une mauvaise idée pour ce que vous et moi en savons, c’est toute l’implémentation que vous ne devriez pas toucher. Utilisez une bibliothèque de code éprouvée, ou mieux : une fonction prévue pour. En PHP nous avons « crypt », qui avec avec l’algorithme blowfish et suffisamment d’itérations, rendra votre stockage des mots de passe bien plus solide que tout le reste de votre application.
On avance lentement, lentement. Côté informatique cela fait des années que tout devrait être chiffré et décentralisé. On sait faire, il ne reste qu’à passer quelques limitations administratives désuètes et mettre un peu de promotion.
Serval est intéressant mais finalement il y aurait plus efficace à mettre en œuvre à court terme : un chiffrage de bout en bout de la communication.
Mail, messagerie, téléphone… plus rien ne devrait être sans chiffrage. Les risques de dérive on les connait et on les a subit maintes et maintes fois. Les « terroristes » eux, savent déjà faire, ce n’est pas le problème.
Le logiciel de téléphonie mobile qui défie le contrôle des États
N’oubliez pas le danger pour la démocratie que son les ordinateurs de vote. Si les villes françaises semblent s’être calmées, ce n’est que partie remise. Tôt ou tard des politiques voudront montrer combien ils sont modernes et à la page, et les machines à voter diverses refleuriront.
La première action c’est de rendre ces machines inutiles et de renforcer l’aspect citoyen des élections : participez au dépouillement ! Ça prend une à deux heures mais c’est un exercice que tout le monde devrait vivre pour mieux comprendre le principe de transparence de l’élection. Si le dépouillement redevient un moment fort ou qu’au moins on arrête de manquer cruellement de personnes, c’est une des justifications du vote électronique qui disparaît.
La deuxième action, si votre bureau de vote est entaché par cette ignominie, c’est de faire noter au procès verbal sur place tout ce qui est anormal : scellé manquant, machine qui fait des bip sans raison, assesseur qui accompagne un électeur dans l’isoloir au moment du vote pour l’aider à voter (y compris pour des « bonnes » raison comme la présence d’un non voyant ou d’une personne âgée), interventions techniques sur la machine ou remplacement de l’équipement en cours de vote (quelle qu’en soit la raison), heure ou date non incohérence, machine ouverte, qui ferme mal ou qui n’est pas verrouillée, impossibilité de voter blanc/nul, refus de vous laisser assister au dépouillement (vérification des tickets de sortie), affichage incohérent sur la machine, nombre votes et d’émargements différents lors du dépouillement, etc.
Pour les assesseurs on peut ajouter d’autres anomalies potentielles : vote déjà ouvert à l’ouverture du bureau de vote, numéro de série ou de version incohérent avec les numéros attendus ou certifiés (ou impossibilité de le vérifier), urne non vide au démarrage (ou impossibilité de le vérifier), codes confidentiels non secrets, décompte ou procédures non fonctionnels, ou globalement incapacité à réaliser les opérations prévues au code électoral pour garantir le bon déroulement de l’élection.
Il manque cependant cruellement un document fait par quelqu’un qui connaît bien les textes et qui liste les points pertinents à surveiller et à faire noter au procès verbal, avec quelles références et quel formalisme. Les documents qui trainent sur Internet sont soit trop vieux soit rédigés par des non-juristes (et ça se voit).
Qui s’en charge ? ordinateurs de vote semble mort et difficile à utiliser.