Catégorie : Technique

Perplexité, complexité, vélocité … une autre vue

Auteur de l’article Par Éric
Date de l’article 21 mai 2011
11 commentaires sur Perplexité, complexité, vélocité … une autre vue

J’ai lu « Perplexité, complexité, vélocité » sur le blog d’OCTO. L’article est bien tourné et on sort complètement convaincu. Mon problème c’est que quelques heures après j’ai commencé à avoir des doutes et plus les jours avancent plus mes doutes se transforment en avis contraire. Je vous encourage à lire d’abord le billet d’OCTO, le mien n’aura de sens qu’en réponse.

À quoi sert la vélocité ?

1. Estimer ce qui sera réalisé ou non dans le sprint

2. Mesurer la productivité de l’équipe

3. Mesurer le réalisé pour le projet, le produit

Ma divergence avec l’article source vient d’un constat simple : Nous n’utilisons pas cet indicateur dans le même objectif. Lui l’utilise pour mesurer la productivité, moi pour améliorer les estimations.

Améliorer les estimations

Améliorer les estimations c’est faire en sorte de mieux évaluer ce qui sera livré dans chaque sprint et aider à la priorisation. Bref, gérer le projet.

Pour améliorer nos estimations on tente de se baser sur les tâches similaires précédentes et on en réutilise l’estimation sans tenir compte de la productivité de l’équipe. On utilise pour cela une unité virtuelle qui nous détache des jours/hommes : le point. Réaliser une estimation ainsi est de plus en plus simple, rapide et fiable.

Pour prendre en compte les évolutions de productivité (équipe plus efficace ou dette technique grandissante) c’est le nombre de points réalisable dans un sprint qu’on fait varier. Afin de ne pas sortir le dé pour évaluer ce nombre de points, on se base sur ce qui a été réalisé dans les quelques sprints passés et on tente de rester sur une courbe la plus stable possible.

Nos références d’estimation sont stables, nos estimations se fiabilisent avec le temps. Le nombre magique de points qu’on peut mettre dans un sprint, c’est pour moi ce qu’est la vélocité de l’équipe.

En prenant en compte la technique

Si on calcule en points et pas en heures ou en jours, ce n’est pas parce qu’on compte en complexité fonctionne, c’est pour s’autoriser à faire varier la somme totale plutôt que chaque estimation.

Il ne faut pas perdre de vue que notre objectif reste bien d’évaluer une charge de développement. Il faut donc tenir compte dans nos estimations de tout ce qui est nécessaire à évaluer le temps de développement et livrer la fonctionnalité : Ça va des besoins fonctionnels à la complexité technique en passant par les contraintes organisationnelles spécifiques.

Si je ne prends en compte que la complexité fonctionnelle, l’estimation n’aura plus aucun lien avec le temps de développement. Pour savoir ce qui tient ou pas dans le sprint, on en viendra à faire une estimation globale, au jugé, sans références similaires : tout l’inverse de l’objectif.

Outil privé versus indicateur public

À mon humble avis l’erreur de l’article n’est pas seulement de faire de la vélocité une mesure de productivité, c’est en plus de l’avoir communiquée à l’extérieur de l’équipe.

Du coup, forcément, la vélocité devient un enjeu politique. L’équipe, son manager, son coach commencent à avoir intérêt à améliorer l’indicateur au lieu de se concentrer sur ce qui devrait être leur seul objectif : apporter de la valeur au produit.

Que la vélocité augmente, diminue, c’est quelque chose propre à l’équipe. S’il faut un indicateur de productivité et de perturbation, il faut publier la seule chose importante : la progression de la valeur du produit (si ça ressemble au paragraphe précédent, ce n’est pas une coïncidence).

Cette vélocité doit être prise pour ce qu’elle est : un outil d’estimation, de planification et de priorisation. Comme tous les outils, il a vocation à être utilisé en interne, par l’équipe, et nulle part ailleurs.

Et la complexité fonctionnelle ?

Mon second problème est là : Selon moi la complexité fonctionnelle n’indique rien de valable. Ce n’est pas une mesure de ce que coûte la fonctionnalité, ce n’est pas une mesure de ce qu’apporte la fonctionnalité, et incidemment ce n’est pas une mesure de l’implication ou de la productivité de l’équipe.

Tout au plus la complexité fonctionnelle permet de faire une première estimation des histoires utilisateurs qui ne sont pas prévues pour tout de suite ou dont on ne connaît pas la complexité technique.

Étiquettes estimation

Développement web

Résolutions d’écran – mai 2011

Auteur de l’article Par Éric
Date de l’article 13 mai 2011
Un commentaire sur Résolutions d’écran – mai 2011

Petite statistiques absolument pas représentative mais intéressante quand même : les résolutions d’écran des gens qui sont passés sur ce site du 1 au 12 mai 2011.

Petite interprétation perso :

J’ai moins de 10% de visites de mobile (résolution inférieure à 1024px)
Je dois avoir environ 3% de netbook et tablettes (résolution de 1024px mais pas plus)
Les desktop supportent tous ou presque au moins 1280px (87% de support, mobiles inclus)
Les mobiles sont tous différents et il est difficile d’acter d’une résolution minimale standard sauf à la prendre vraiment très petite

Avec comme conséquence sur le design, si on doit faire plusieurs versions:

Une version minimale à 240 ou 280px, quitte à ce qu’elle soit très dégradée
Une version à 800 (android récent en paysage), qui servira aussi pour les iphone avec une meilleure résolution, les tablettes et les netbooks
Une version desktop à 1280, qui sera la version « standard »
Une à 1400 ou 1600 pour récupérer les écrans larges
Et si je suis bien luné une version à 1900 parce que ça concerne quand même encore un quart des visites

Attention, ces chiffres ne prétendent pas être représentatifs de quoi que ce soit, et ne représentent que des résolutions d’écran, pas des tailles de fenêtre, ce qui est nettement différent.

Développement web

JSON c’est hype

Auteur de l’article Par Éric
Date de l’article 12 mai 2011
15 commentaires sur JSON c’est hype

J’en ai marre de voir du JSON partout. J’ai même vu des gens proposer de remplacer du XML par du JSON juste parce que c’est plus moderne, plus léger et plus compatible. « JSON is the new XML » est un effet de mode, un mauvais effet de mode. On va se retrouver comme avant avec des gens qui vont se réveiller dans quelques mois/années avec des formats de données pas du tout adaptés à leur usage.

Coupons un peu dans le tas :

JSON n’est pas vraiment plus simple à lire par un humain

Pour un petit fichier en volume comme en hiérarchie, le JSON a un léger avantage sur le XML mais ce n’est pas franchement significatif.

Pour un gros fichier ou avec beaucoup de hiérarchie, le JSON devient complètement illisible à suivre au niveau des imbrications.

JSON n’est pas plus simple à écrire par un humain

JSON est un peu moins verbeux mais plus propice aux erreurs : facile d’oublier une virgule en fin de ligne, ou d’en mettre une par erreur à la dernière ligne. Sur les gros fichiers les niveaux d’imbrication seront eux aussi un écueil à l’écriture.

En comparaison la verbosité d’XML rend difficile les erreurs et le disponibilité de fichiers grammaire permettent de faire de l’aide à la saisie voire de valider en tems réel le contenu.

La différence de poids n’est pas significative

JSON est plus léger que le XML d’environ un tiers (pour des fichiers fortement structurés, beaucoup moins pour les autres). À moins de 1,5 Ko une fois compressé en gzip (donc 6 Ko non compressé) ça tient dans un paquet TCP/IP et 500 octets de moins ne changent strictement rien. Sur disque on compte de toutes façons au moins par paquets de 4K.

Pour faire une différence significative de 10 Ko sur le réseau il faut une donnée de 160 Ko avant compression. Ça concerne d’autant moins de monde qu’à ce volume le JSON n’est plus du tout lisible.

JSON n’est pas plus natif que XML

XML est natif sur tous les outils, langages et navigateurs depuis des années là où JSON n’a d’API native que sur les navigateurs récents, certains langages et quelques outils.

JSON est en fait natif en javascript via eval(), mais ça n’est pas plus performant. Pour une même donnée, lire du XML via DOM est 30% plus rapide que lire du JSON avec eval(). Pour avoir sécurité et fiabilité en lecture, ou pour faire de l’écriture JSON, il faudra une biblothèque pas native du tout sur IE7 ou Safari pour iPhone 3.2. Elle fera au moins 5 Ko et ne sera donc rentabilisée par rapport au XML natif que si on transfert au moins 15 Ko de JSON.

JSON n’est pas vraiment extensible ou évolutif

JSON permet souvent d’ajouter de nouvelles clefs sans modifier casser la compatibilité. Si on souhaite ajouter une date de mise à jour à une liste de chaînes de caractères, il faudra toutefois modifier le format, mettre à jour tous les outils concernés. Si on souhaite mixer des formats différents là ça devient vite un casse-tête et des solutions bidouille.

En XML on a la possibilité d’insérer des méta-données dans des attributs, ainsi que de mixer différents concepts ou formats à l’aide d’espaces de noms. Ce sont des fonctionnalités qui ont leurs limites, mais qui ont prouvé apporter un peu de souplesse et d’évolutivité aux formats créés.

Compatible avec l’existant

Outre le concept de « natif », beaucoup d’outils, d’applications, de progiciels ou de chaînes de traitement sont adaptés à l’exploitation ou à l’exportation de données XML. Côté JSON les plus récents savent faire de l’export, tout le reste est à traiter en spécifique.

Sur l’existant XML j’ai des concepts de signature, des mapping XML-Objet en Java, des outils qui font du filtre ou du routage, de la validation, des compositions entre données XML.. tout ça n’existe simplement pas en JSON. Quand (si) j’en aurai besoin, il faudra réinventer la roue.

Hype, mode et trucs de jeunes développeurs innovants

JSON était simple au départ parce qu’on utilisait eval(), que ça renvoyait immédiatement sur un objet javascript sans demander au développeur client de faire des manipulations complexes ou de charger une bibliothèque de plus. Ça a permis d’ouvrir quelques API à des gens qui auraient eu du mal autrement. C’est indéniablement positif sur ce point là.

Ensuite s’est rendu compte que pour la fiabilité et la sécurité il fallait du code en plus. Faire des petites fonctions qui lisent du XML simple pour créer des objets javascript natifs aurait été plus simple, plus performant et moins lourd mais c’était trop tard : c’était « hype ». Du coup on a utilisé des bibliothèques d’analyse de 10 Ko de pur javascript pour lire des JSON de moins de 1 Ko et annoncer que ces derniers étaient moins lourds que le XML correspondant. Allez comprendre.

Depuis on a des fonctions natives dans les navigateurs récents et un peu plus de support dans les outils récents (c’est la mode, il a bien fallu faire avec et supporter le nouvel usage) donc ça a du sens pour quelques usages (échange de petites données structurées avec un navigateur récent) mais la mode prend encore trop le pas sur des grilles de comparaison argumentées et factuelles et même dans les usages les plus adaptés, le bénéfice sur le XML est rarement très significatif.

Réseaux et Internet

Ce que j’attends comme changement dans les offres mobiles

Auteur de l’article Par Éric
Date de l’article 8 mai 2011
7 commentaires sur Ce que j’attends comme changement dans les offres mobiles

Ça buzz en ce moment sur des « révolutions » dans les offres mobiles. On parle d’illimité accessible, dans les 40 € par mois. Il faut dire que quand on regarde chez certains de nos voisins on a l’impression de payer la minute de communication à prix d’or. Mais en même temps je ne connais personne qui téléphone en illimité. Un gros forfait pas cher, voilà simplement ce qui arrive.

J’attends de voir l’offre pour juger mais entre temps voilà ce qui selon moi constituerait une réelle révolution dans le milieu :

J’achète un forfait, pas un mobile

Ne plus intégrer le prix d’un nouvel appareil dans les forfaits téléphoniques. Cela n’empêche pas l’opérateur de proposer d’aider au financement d’un nouveau mobile en en lissant le prix sur une année, mais en tant qu’option, clairement distincte du forfait.

Je m’engage sur un à trois mois seulement

Le second effet Kiss-Cool de la séparation du forfait et du mobile c’est que du coup il n’y a plus de justification à demander un engagement de plus de 3 mois. Fini le boulet au pied pendant un à deux ans, maintenant je veux pouvoir partir quand je veux.

J’utilise mon accès comme je le veux

Je paye un forfait avec de la voix, des données. Je veux pouvoir utiliser cette voix et ces données comme je le souhaite : sur mon téléphone, sur une tablette, ou même via un micro-ordinateur. Je ne veux pas de bridage de débit, de bridage de port. Je ne veux pas une facturation hors forfait pour un usage en mode modem.

À dire vrai je n’ai pas toujours été de ce dernier avis mais ce mode de facturation est jugé illégitime et anormal par tous les clients visés. Il doit être changé en conséquence.

J’ai un téléphone non bidouillé

Enfin, pour ceux qui utilisent des smartphones, je veux un téléphone non bidouillé, sans surcouche opérateur, sans personnalisation, sans logiciel en version démo. Si l’opérateur veut fournir des applications, des thèmes, des fonds d’écrans, qu’il le fasse, mais par les canaux prévus pour, pas via des surcharges non désinstallables qui en plus empêchent d’installer les mises à jour du constructeur.

Voilà ma révolution mobile, le prix dans tout ça c’est juste une variable, qui finira toute seule par descendre quand les utilisateurs auront plus de liberté et plus de clarté sur ce qu’ils achètent.

Réseaux et Internet

La facturation est une science complexe

Auteur de l’article Par Éric
Date de l’article 3 mai 2011
16 commentaires sur La facturation est une science complexe

Choisir comment facturer un service est une chose complexe et vous avez intérêt à y réfléchir deux fois. Trois ou quatre serait même une bonne idée.

Au restaurant on paye le plat

Imaginons que vous lanciez un restaurant. Vous pouvez faire comme tout le monde et facturer les mets à la carte. Pourtant ce qui vous coûte cher c’est aussi le restaurant lui-même, le service et le couvert. En facturant au plat vous répartissez tous ces coûts annexes sur chaque plat. C’est ce qui fait qu’un simple plat semble toujours couter cher quand il est pris indépendamment.

Pour peu que votre cuisine soit une réussite c’est la place qui deviendra votre ressource la plus limitée. Le couple de jeunes qui prend juste une salade et fait des mamours pendant longtemps deviendra votre bête noire. S’ils partagent une salade ou un dessert, c’est la misère : Vous économisez le coût de quelques feuilles de salade mais en échange vous n’en facturez qu’une et ils bloqueront la table en vous empêchant de faire un second ou un troisième service avec des gens qui prendront deux bons gros plats.

Il faut dire que c’est un peu de votre faute : En répartissant les coûts ainsi ceux qui prennent entrée – plat – dessert payent une partie des coûts annexes de ceux qui ne prennent qu’une salade. Vous devenez attractif pour ce qui est votre pire clientèle et peu intéressant pour ceux qui vous rapportent le plus. Pas très malin.

Sur Internet on paye l’accès au réseau interne

Cette problématique se retrouve bien évidemment dans notre petit monde de Internet :

Votre fournisseur d’accès Internet paye deux choses : Un coût à peu près fixe pour vous connecter à son réseau, et un coût dépendant des usages (ou de leur augmentation) pour connecter son propre réseau à tous les sites que vous visitez.

Nos FAI français ont choisit le modèle inverse des restaurateurs français : Ils proposent des forfaits, faisant donc payer principalement l’accès à leur réseau interne. Les autres coûts sont réintégrés sur ce forfait en faisant une moyenne des usages prévus.

Comme un gros utilisateur continue à coûter plus cher qu’un autre, on entre dans la quatrième dimension : Votre FAI a donc intérêt à ce que vous utilisiez le moins possible ce pour quoi vous faites appel à lui : accéder à Internet.

Le modèle de facturation va à l’encontre des intérêts du fournisseur de service. Il n’est pertinent que pour des raisons marketing.

La stratégie du pourrissement

Le résultat premier c’est que forcément les FAI sont plus intéressés à offrir des services additionnels (TV, VOD, lecteurs bluray et autres bonus liés aux « box ») qu’à corriger vos problèmes d’accès ou vous offrir de bons accès Internet. Regardez la communication : On vous parle plus de téléphone, télévision, et box que d’accès Internet. Vous savez désormais pourquoi. Si vous cherchez une explication à une majorité de vos problèmes ou de leur non résolution, vous l’avez aussi maintenant. Ce n’est pas qu’ils ne s’en (pré)occupent pas, c’est juste que leurs priorités sont ailleurs.

Le résultat second c’est que nos FAI qui doivent quand même faire face aux usages grandissants. L’ennemi apparaît vite : Les éditeurs de site web ont un modèle économique opposé à celui des FAI. Ces méchants éditeurs ont intérêt et encourage à utiliser de plus en plus le réseau (et ça ce n’est pas bon pour nos FAI qui facturent au forfait). Il faut les faire payer, soit par une taxe (ça parle à quelqu’un la « taxe Google » ?) soit par la force dans les quelques projets que les deux ont en commun (hébergement des serveurs de cache, liens de peering, etc.)

Au lieu de partenariats gagnants-gagnants, le modèle de nos FAI impose de gérer une relation d’ennemis avec les éditeurs et de faire de l’utilisateur la cinquième roue du carrosse. Maintenant vous pouvez relire le billet de Korben, ou vous souvenir des fameuses « QoS » mises en place sur certains ports par vos FAI. Si bien entendu la situation est plus complexe et plus complète que ce que vous avez lu ici ou chez lui, cela vous donne déjà une bonne base d’analyse.

Facturer au volume

Note: Je vois que les commentaires se fixent sur cette section. Je voulais poser un problème, je me suis aventuré un peu sur une solution. Peut-être n’aurais-je pas du le faire avant d’avoir une réflexion plus complète, peut être aurais-je du faire un billet dédié séparé. Je ne sais pas. Ne vous focalisez pas sur la question de la facturation au volume. Le coeur de mon propos est plus d’expliquer le problème, pas d’affirmer avoir « la » solution. Gardez-le juste à l’esprit dans vos réactions.

Côté Internet on dépeint une facturation au volume consommé comme la pire des évolutions possibles. Pourtant cela résoudrait pas mal de problématiques :

Les éditeurs de sites web seraient désormais des partenaires, puisqu’ils encouragent l’usage du service
Les éditeurs auraient une pression des utilisateurs pour ne pas encombrer inutilement le réseau, puisque cela leur couterait plus cher
On peut proposer un accès minimal peu cher car les petits utilisateurs ne payent pas pour les gros
Les offres de contenu légales deviendraient de fait (un peu) plus attirantes vu que le téléchargement Internet ne serait plus gratuit
On favoriserait enfin l’émergence de plateformes décentralisées (les services locaux au FAI ou au pays coûtent peu par rapport aux sites distants)

Bien entendu si certains finissent par payer moins cher, d’autres paieront plus cher mais n’est-ce pas légitime au final ?

Les craintes viennent d’anciens modèles économiques qui fonctionnaient au quota, avec éventuellement une facturation du hors forfait à des tarifs disproportionnés, mais ce n’est pas du tout un passage obligé. Ce que change la facturation au volume c’est la façon de facturer, pas forcément le montant de la facture moyenne.

De toutes façons on y viendra. Malgré la mauvaise volonté de nos FAI les usages augmentent régulièrement. Il y a un moment où le différentiel entre les petits usagers et les gros ne sera plus tenable. Plus tôt on y passera plus tôt on aura enfin un réseau que tout le monde aura intérêt à gérer et à améliorer au lieu de traîner les pieds.

Réfléchir à sa facturation

Ces questions ne sont pas retreintes aux restaurants et aux fournisseurs d’accès Internet. Si l’actualité est un bon prétexte pour aborder le sujet, c’est à propos de plusieurs projets en élaboration que j’ai eu cette discussion récemment :

Faites attention à ce que vous facturez. Votre facturation doit inciter vos clients et vos partenaires à augmenter leur usage de vos services et établir une évolution gagnant-gagnant.

Deux signes négatifs qui ne trompent pas :

Si vous aviez un bouton magique qui améliorerait votre service, vous n’auriez pas intérêt à appuyer dessus
Vous attirez principalement les clients qui vous intéressent le moins, et inversement.

Les restaurants n’ont qu’un seul de ces signes négatifs. Les FAI français cumulent malheureusement les deux et ça finira forcément par éclater.

Développement web

Sud Web : La conférence des métiers du web dans le sud

Auteur de l’article Par Éric
Date de l’article 22 avril 2011
Un commentaire sur Sud Web : La conférence des métiers du web dans le sud

Nous avons monté Paris Web il y a maintenant quelques années pour parler du web, de ses métiers, de retours d’expériences de professionnels sur la qualité, l’accessibilité et la publication sur le réseau. Depuis lors on nous a demandé « et pour les gens du sud alors ? ».

Cette année quelques uns ont pris leur courage à deux mains pour créer Sud Web, un événement avec une des meilleurs tagline qu’on puisse imaginer : savoir-faire et faire-savoir. Avec le soutien de partenaires locaux comme la recommandation de noms prestigieux comme le W3C, le programme qui s’annonce peut mettre au défi une grande majorité des événements web français du domaine.

Si c’est incontournable pour les passionnés et les amoureux du web, c’est aussi une étape de formation continue et d’exploration de l’état de l’art avec un recul que vous ne pourrez pas compenser par quelques lectures en ligne ou par une session de formation entre quatre murs.

Tout ça c’est à Nîmes, fin mai, le 27 exactement. Pour ceux qui veulent rentabiliser leur déplacement c’est précédé le 26 par une journée centrée autour de l’expérience utilisateur : Web UX. Alors ce n’est pas à Paris, mais entre le soleil et l’hébergement moins coûteux qu’à la capitale, on s’y retrouve rapidement ; et puis ça vaut largement le billet de train, tout simplement.

Il reste des places, prenez votre courage à deux mains et jouez des pieds pour bouger votre employeur afin de vous inscrire.

Performance des sites web

Ce qui me fait abandonner vos pages

Auteur de l’article Par Éric
Date de l’article 18 avril 2011
27 commentaires sur Ce qui me fait abandonner vos pages

Je suis un boulimique du web, je ne consomme pas que ça mais j’en consomme énormément. Politique, technique, travail, divertissement : tous les sujets y passent.

Je me plains régulièrement que certains n’ont rien compris au web et me font fuir. Ça reste souvent instantané, je m’en vais, je râle, et j’oublie. Afin que ça serve, à moi-même ou à d’autres, voilà quelques unes des difficultés régulières qui font que je fuis immédiatement certains sites :

Contenu vidéo

Si le contenu est en vidéo ou en audio, sans transcription, je suis incapable de le scanner rapidement pour savoir s’il m’intéresse vraiment, et quand bien même il m’intéresse il a toute les chances de me demander bien plus de temps qu’un contenu texte (et le temps est ma ressource la plus chère). Même quand je suis convaincu d’être intéressé au point d’avoir envie d’y passer du temps, je ne suis pas toujours en contexte où je peux lire une vidéo (bande passante disponible en mobile) ou où je peux l’écouter (pas de son au boulot). Au final soit je quitte soit je stocke le lien pour plus tard et je n’y reviens finalement pas.

Redirection vers la page d’accueil du site mobile

Je pense à LCI mais pas uniquement à eux. Si je suis un lien d’article à partir de mon téléphone mobile je suis redirigé vers la page d’accueil du site mobile. Impossible de retrouver l’article souhaité et de suivre les liens : c’est un départ immédiat. C’est plus rare mais l’expérience inverse est aussi problématique. Au final vous avez une chance sur deux de mal tomber et que le lien parte immédiatement à la poubelle.

Un article en plusieurs sous-pages

Je ne suis pas sur le web pour mimer les contraintes que j’ai sur papier. Je ne suis pas sur le web pour m’amuser à tourner les pages. C’est agaçant, j’ai réellement fuit des sites pour ça. Laissez-moi utiliser l’ascenseur de mon navigateur.

Un site vraiment lent

Ceux qui me connaissent doivent s’y attendre, pourtant c’est à dessein que je ne le mets pas dans les premiers critères : Si vos pages sont lentes, je risque bel et bien de repartir agacé avant même d’avoir eu l’occasion de lire quoi que ce soit. Sur téléphone portable, même dans le métro avec une mauvaise réception, il est hors de question d’attendre plus de 10 secondes. Sur un poste bureautique ne me faites pas attendre la moitié de ça.

La grosse pop-in

Si votre contenu commence par être masqué par un gros pop-in, je ne passerai jamais à la suite, c’est abandon immédiat. Je me fiche que ce soit de la publicité, un formulaire de feedback ou un message de bienvenue. En fait les deux derniers cas sont presque ceux qui m’agacent le plus de part leur imbécillité. Je ne fermerai pas la pop-in, je partirai. C’est encore plus vrai sur mobile où réussir à fermer le pop-in est souvent mission impossible de toutes façons.

Des lignes trop longues

Si vos lignes font plus d’une quinzaine de mots, elles deviendront rapidement pénibles à lire pour moi. Pire, j’aurai beaucoup de mal à scanner la page rapidement en diagonale. Si ça semble futile comme critère, je vous assure que c’est un abandon systématique pour tous les sites qui ont des lignes trop longues. Si vous voulez une mesure, comptez une longueur maximum de 45 fois la taille de votre police de caractères. Sur mobile c’est encore pire, si votre mise en page m’empêche de zoomer sur le texte de façon à ce qu’il tienne dans la largeur de mon téléphone portable quand je double clique dessus, ça sera tellement pénible à lire que je n’essaierai même pas.

Ça bouge partout

Vous tenez à la publicité et je le comprends, mais si ça bouge, si ça flash, si ça clignote, vous me verrez partir immédiatement. Je serai simplement incapable de fixer mes yeux au bon endroit sans que ce ne soit pénible. Mon œil peut se laisser attirer hors du contenu une fois, mais la seconde fois je ferme la page. Notez que ça vaut aussi si c’est votre propre contenu promotionnel ou carrousel qui attire l’œil et non de la publicité. Je ne fais pas de différence à ce stade là.

On mélange tout

Vous avez des publicités ou des pavés promotionnels au milieu du contenu, je sais, ça encourage les clics. Mais je sais aussi que ça me fera fuir immédiatement là aussi. C’est encore plus vrai si j’ai un doute sur la séparation entre promotionnel et rédactionnel. Encore une fois, si je ne suis pas capable de filtrer et repérer l’information utile au premier coup d’œil, je repars immédiatement. Même sans publicité, le trop plein d’illustrations hors contexte (même avec des légendes humoristiques ou sarcastiques) donne le même effet.

Texte rikiki

Votre graphiste vous l’a montré, la maquette est quand même bien plus jolie quand c’est écrit petit … sauf que c’est illisible, et ça aussi c’est un bloqueur pour moi. Non, 10 pixels de hauteur pour une police ce n’est pas suffisant pour moi. Notez qu’à l’inverse je ne me souviens pas avoir jamais abandonné un site parce que le texte était trop gros.

Et si je lis ?

Si vous avez passé le texte jusque là, bravo, il y a des chances que je lise votre contenu. Un autre jour je vous expliquerai ce qui peut faire qu’après la première lecture je ne revienne jamais chez vous.

Allez, pour la forme j’ajoute ce qui d’après la légende est gênant mais qui pour ma part ne m’a jamais freiné (ou en tout cas pas consciemment) : les textes trop longs, le manque d’illustration, le trop plein de liens, le tutoiement ou le vouvoiement, la prise d’opinion subjective, les propos « indécents », ou les sites personnels sans réputation. Rien de tout ça ne me gêne a priori.

Sécurité informatique

Authentification forte

Auteur de l’article Par Éric
Date de l’article 6 avril 2011
15 commentaires sur Authentification forte

Une authentification par mot de passe sur le web est vite problématique. Avec la multiplication des sites web, chacun avec son compte, on a vite fait d’utiliser le même mot de passe pour un même type de site, voire le même mot de passe partout. Tôt où tard on finit par s’authentifier sur une machine publique, chez un voisin, sur un wifi public, ou alors un des services finit par avoir une faille de sécurité, voire quelqu’un a posé un spyware sur notre machine habituelle.

Problématique simple : Je veux que personne ne puisse s’authentifier sur mes comptes frauduleusement, et le mot de passe n’est pas la solution.

Mots de passes uniques

Palliatif simple : Je génère un mot de passe par site. Je l’ai fait un temps, mais on atteint vite les limite de ce qu’on peut retenir de tête, même en utilisant une astuce pour déterminer le mot de passe en fonction du site (genre faire changer une partie du mot de passe en fonction du site). Au final la facilité reprend le dessus et on utilise trop souvent le même, ou des trop proches.

C’est encore plus vrai pour les mots de passe « sensibles » (comptes mails principaux, machines perso, machine pro) où le mot de passe devrait être complexe, différent à chaque fois, et renouvelé au minimum à chaque changement de société ou de prestataire. Jusqu’à quatre mots de passe forts c’est encore gérable, après ça devient ingérable, surtout si certains sont peu utilisés (donc vite oubliés).

Générateurs automatiques de mots de passe

Dans la même lignée on peut utiliser un système automatique pour générer un mot de passe à partir du nom ou de l’URL du service, ou aléatoirement en tenant à jour une liste de mots de passe. C’est mieux, mais on reste dépendant de cet algorithme. Si je suis à l’extérieur, je risque de ne plus y avoir accès. Ensuite ça ne pallie qu’une partie du problème : ça n’empêche pas le mot de passe de se diffuser, et d’être utilisé frauduleusement par un tiers. Ça limite juste les dégâts si c’est le service tiers qui a un problème de sécurité.

OpenID

OpenID c’est une manière de résoudre le problème par l’autre bout. On centralise la gestion de l’authentification sur un seul site, et tous peuvent ensuite y faire appel. Du coup je n’ai aucun seul mot de passe à retenir : celui de mon compte openid. Je peux faire en sorte qu’il soit complexe, transmis sur une connexion sécurisée, et je ne crains pas les failles applicatives des services tiers.

Ça résout certaines questions, mais en pose d’autres : Comment est-ce que je m’authentifie sur le serveur OpenId ? si c’est un mot de passe alors j’ai un risque d’autant plus grand s’il est découvert. Tous mes services en dépendent.

RSA SecurID

SecurID c’est le système classique en entreprise. On vous donne une sorte de porte clef personnel qui génère un mot de passe unique toutes les 15 secondes. Naturellement chaque porte clef est initialisé différemment donc seul le votre donne accès à votre compte. Le mot de passe est à usage unique, et totalement sans intérêt passé une minute. Les risques d’accès frauduleux sont donc fortement limités.

Malheureusement ça ne semble pas vraiment convenir à un usage personnel courant. Tout d’abord je n’ai qu’un seul support physique, et aucun accès de secours. Si je perds mon accès, je dois me reposer sur un administrateur tiers qui me redonne un nouveau support et le lie à mon compte.

En vacances, ou simplement si je n’ai pas ma veste avec moi, il peut arriver que je n’ai pas mon support. Sous réserve que je considère mon accès comme « sans risques » je souhaite pouvoir passer sans le jeton d’authentification forte. Là je n’avais pas ce choix.

Ensuite le jeton repose sur un système de clefs et de secrets qui est détenu par Verisign. C’est un point qui est sensible pour moi, d’autant qu’il y a eu une faille chez eux récemment et qu’on se demande si les secrets n’ont pas été divulgués. Un système open source sans serveur tiers me semble indispensable.

Enfin, pour éviter qu’il suffise de voler le porte clef plastique pour avoir accès à mon compte, je devais ajouter un PIN de quatre chiffres. Ce qui m’étonne c’est que ce PIN n’est pas à saisir sur le porte clef, mais à côté du jeton d’authentification, dans le formulaire web. Quiconque regarde mon clavier, écoute sur le réseau, ou a réussi à poser un spyware sur ma machine connaitra ce PIN. Bref, il n’est pas si secret que ça.

Pour ma société, voire pour l’accès à mon compte en banque (et encore), pourquoi pas. Pour le reste, bof bof.

Google 2 steps verification

Le système Google est pour moi un peu plus souple déjà. Il utilise une application sur mon smartphone et pas un porte clef tiers mais le système semble similaire. Ca n’a l’air de rien mais le téléphone a beaucoup plus de chances d’être avec moi. Il intervient après l’authentification par mot de passe (d’où le nom de « deux étapes ») et on peut forcer la seconde étape à ne pas être redemandée à chaque fois pour la même machine qu’on sait « sûre ».

Pour autant je ne suis pas toujours avec mon téléphone, et il peut tomber hors batterie. Dans ces conditions, et si j’ai confiance dans le poste et la connexion sur lesquels je suis, j’aurai aimé pouvoir saisir un mot de passe spécifique qui zappe l’authentification forte. Ça fonctionne tant que c’est exceptionnel mais Google ne me le propose pas. Google me propose par contre de générer une série de mots de passe à usage unique. Malheureusement l’usage unique est potentiellement gênant et surtout ça implique de les noter quelque part, avec le risque de les perdre ou de se les faire voler. Bref, on peut mieux faire même si j’apprécie l’intention.

Pour ne pas risquer de perdre des accès et comme il n’y a pas d’administrateur humain tiers, je peux proposer à Google un second numéro de téléphone qui sert en backup, si jamais je perds le premier. Là aussi c’est positif. Maintenant personnellement j’ai un téléphone perso, un de boulot, je risque parfois d’avoir l’un et pas l’autre. J’aurai aimé autoriser les deux à me servir pour l’authentification forte et ce n’est pas proposé.

Point positif, google garde une compatibilité avec toutes les applications qui continuent à utiliser un simple mot de passe comme interface. Je peux faire générer autant de mot de passe que je veux (ils sont longs et complexes) et les affecter à des applications. J’ai ensuite la liste des applications dans mon interface d’administration et je peux en ajouter ou en retirer à la volée. Le résultat c’est que je peux valider ou refuser chaque application indépendamment, sans secret partagé entre toutes.

Côté sécurité, rien ne m’indique qu’il est impossible de copier le logiciel présent sur mon téléphone portable (ou les mots de passe à usage unique que j’ai en backup) et l’utiliser sans que je ne le sache. Techniquement ça ne prend pas longtemps pour quelqu’un qui a accès à mon téléphone, 10 minutes au plus. J’aurai aimé un système qui détecte que deux téléphones distincts utilisent la même clef et me l’indique. Si c’est présent Google n’en parle pas.

Enfin, tout ça est « google-only ». Je peux certes utiliser google en openid, mais ça reste centralisé. J’aurai aimé quelque chose d’utilisable partout, y compris sur mes serveurs.

Clefs SSH

En rédigeant tout ça je me suis rendu compte que j’utilisais déjà un système assez ressemblant : les clefs SSH. Pour me connecter à mes serveurs j’utilise des clefs privées. J’ai une clef par source, toutes différentes. Je peux autoriser facilement une nouvelle source, ou en griller une existante, sans mettre à jour. J’ai aussi un mot de passe de secours que je peux utiliser quand je suis à l’extérieur.

Malheureusement là c’est uniquement pour ssh, et mes authentifications se font à 90% sur des formulaires web. Ca demande aussi d’avoir ses clefs ssh sur soi, or le scénario d’authentification forte est surtout utile justement quand je suis ailleurs que chez moi, ou avec une machine qui n’est pas une machine de confiance.

Je n’ai non plus aucun système qui m’assure que ma clef n’a pas été copiée et utilisée par un tiers.

Et vous ? Qu’avez-vous pour vos authentifications fortes ?

En regardant j’aimerai :

Authentification par un système de clefs privée/publique géré par une appli sur mon téléphone portable
- Possibilité de gérer une liste de clefs autorisées (une par téléphone portable) pour ajouter/retirer facilement un accès
- Le jeton renvoyé par le téléphone est obtenu par une combinaison d’un mot de passe ou PIN et de la clef (il faut les deux, et donc le mot de passe n’est pas saisit sur le PC public mais sur mon propre téléphone)
- Un système de numéro incrémental est associé au jeton d’accès afin de repérer si un tiers utilise une de mes clefs après l’avoir copiée (si le numéro est égal ou plus faible que la dernière fois le serveur refuse l’accès, je saurai donc que quelqu’un utilise ma clef ailleurs et je pourrai la supprimer des autorisations)
Authentification alternative par un mot de passe que je choisis moi, pour quand je n’ai pas mes téléphones et que je suis prêt à prendre le risque
Authentification alternative par mot de passe pour les API, logiciels, etc. (mot de passe généré, long/complexe)
- Possibilité de gérer une liste de mots de passe autorisés (un par application/API) pour ajouter/retirer facilement un accès

Métiers du web Vie professionnelle

N’économisez pas sur votre matériel informatique professionnel

Auteur de l’article Par Éric
Date de l’article 12 mars 2011
7 commentaires sur N’économisez pas sur votre matériel informatique professionnel

Choisis ce que tu veux

J’ai intégré une nouvelle société il y a peu. Première surprise, on m’a demandé avant que j’arrive ce que je voulais comme poste informatique. Agréable. Mieux : On m’a simplement dit d’aller prendre ce qui me correspondait sur les sites de Dell ou d’Apple. Pas de choix préétabli ou de guide sur le budget.

Avec un cahier des charges aussi inexistant le moindre DAF risquerait une attaque cardiaque. L’essentiel des effectifs peut facilement se faire coller l’étiquette « geek », c’est un coup à dépenser 3 000 euros par poste ça.

Qu’est-ce qui peut bien pousser une société à lâcher la bride ainsi à ses informaticiens ?

Que ceux qui n’ont jamais pesté devant leur machine qui ne réagit pas assez vite lèvent la main !

À mon arrivée à Yahoo! j’avais eu pendant un moment un vieux Dell qui avait 10 minutes de batterie (montre en main) et 8 minutes pour démarrer. Je n’avais pas le temps de lancer un logiciel qu’il s’arrêtait. Changer la batterie ? ah non, pas avant les trois ans d’amortissement. Résultat : une horreur pendant les réunions.

Plus récemment à mon précédent poste j’ai bénéficié d’un Dell Latitude E5510 tout neuf. Processeur Intel i3 dual core à 2,4 Ghz et 4 Go de mémoire, sur le papier c’est même surdimensionné pour quelqu’un qui fait un peu de code et majoritairement de la bureautique. Pourtant, que ce soit l’anti-virus ou le matériel, il me fallait presque 10 minutes pour démarrer la machine, plus d’une minute pour avoir accès à MS Word ou Firefox après les avoir lancé, et le wifi mettait du temps à accrocher.

Je ne prends même pas en compte toutes les fois où j’ai du noter sur papier et ressaisir à cause d’une mauvaise batterie et d’un manque de prises en salle de réunion, vous ne croiriez pas le temps perdu ainsi cumulé.

La rentabilité comme seul objectif

Depuis une semaine c’est une joie. J’ouvre le portable et je peux commencer à frapper au clavier. Pas de minute d’attente, pas même 30 secondes. Je clique sur l’icône de MS Word et je peux taper immédiatement. Je dis bien immédiatement. J’ai vérifié si c’était une impression ou si c’était objectif. J’ai cliqué et tapé immédiatement. La batterie je n’en parle même pas, je pourrai tenir la journée dessus sans recharger. Quant au wifi, c’est en rédigeant ce billet que je me suis rendu compte que je n’ai jamais fait attention à savoir si le wifi était en recherche ou connecté : j’étais en ligne dès l’ouverture du capot, ou du moins je n’ai jamais ressenti le délai.

En ce moment je fais des entretiens auprès de mes clients. Deux entretiens par jour, c’est un démarrage à froid et trois reprises à chaud. Entre le wifi, la sortie de veille, le lancement des logiciels et la réactivité générale, je gagne un grand minimum de 3 minutes à chaque fois, le double pour le démarrage à froid, soit 15 minutes par jour.

Comptez vous-mêmes, j’ai rentabilisé une journée de travail à peu près tous les deux mois. 15 minutes ça peut sembler exagéré, on ne se rend pas toujours compte de tous ces petits temps d’attente, on met instinctivement en place des contournements (le café après avoir allumé la machine, la présentation avec le client le temps que MS Office se lance) … jusqu’au jour où on n’en n’a plus besoin et qu’on devient vraiment efficace.

N’économisez pas sur l’outil de travail

Le « choisis ce que tu veux » est très difficile pour moi. Ça veut dire que c’est à moi de définir les limites de ce qui est acceptable ou rentable. Mes expériences passées m’incitaient d’un côté à ne surtout pas rogner trop, mais de l’autre à croire que je risquais de me faire remarquer par une facture refusée avant même de faire mon premier jour.

Heureusement un futur collègue m’a incité à ne pas faire l’économie d’un poste de travail et m’a rappelé que le coût était quand même ridicule au final pour du professionnel.

Résultat : Je me suis lâché. Raisonnablement, mais mon poste a probablement coûté quatre fois plus que celui que m’avait alloué mon précédent employeur.

Le montant représente tout de même moins de trois jours de facturation client. La différence avec un poste milieu de gamme sera amortie en moins de six mois sur la base des calculs plus haut. Avec un renouvellement tous les trois ans, mon employeur précédent aurait fait une économie de 15 jours de facturation en faisait le même choix.

Tout n’est pas chiffrable

Mais le gain réel n’est même pas là. Le gain c’est par exemple que j’ai envie de travailler, que j’ai une impression de confiance et d’efficacité indéniable pour commencer dans mes nouvelles affectations. Je commence motivé et non frustré.

Pour savoir combien cette frustration peut tuer toute motivation sur le long terme au fur et à mesure des embêtements et des mauvaises expériences, le retour sur investissement chiffré plus haut est totalement négligeable. La vraie valeur ajoutée elle ne se chiffre pas, mais c’est elle la plus importante : je suis efficace est motivé.

Faites tourner ce retour à votre service informatique le jour où on vous annonce que franchement votre poste coûte déjà assez cher comme ça et que ce que vous demandez n’est pas vraiment indispensable, qu’on peut très bien faire sans.

Photo d’entête sous licence CC BY-NC-ND par Kmeron

Performance des sites web

How media queries slow the mobile web

Auteur de l’article Par Éric
Date de l’article 23 février 2011
Un commentaire sur How media queries slow the mobile web

You probably have been told to design with the graceful degradation paradigm. If you have very smart friends, they may even use the « progressive enhancement » in place of graceful degradation. To enable an optimized access to mobile on a website, you probably use css media queries:

header { background-image: url(head-1280px.png) }
@media screen and (max-device-width: 480px) {
  header { background-image: url(head-480px.png) }
}

If you’re really smart and don’t care about IE, you may design first for narrow mobiles and then optimize all other use cases:

header { background-image: url(head-320px.png) }
@media screen and (min-device-width: 321px) {
  header { background-image: url(head-480px.png) }
}
@media screen and (min-device-width: 481px) {
  header { background-image: url(head-855px.png) }
}
@media screen and (min-device-width: 856px) {
  header { background-image: url(head-1280px.png) }
}

Sorry, what you has been told is bullshit. You are not optimizing anything. Worse, you are degrading all android user experience (and probably some iphone’s ones).

It’s not your fault, webkit has an horrible bug. It downloads all applicable images, not just the final one. This basically means that downloading only the big 1280px image may even be cheaper than these alternatives with media queries.

Yes, it’s sad, but so is the life. The former is true at least up to Android 2.3.2 so the problem won’t disappear this year.

If you ask me, it’s even worse: Browsers based on 2010’s webkit and lower (including mobile ones) don’t need any media query to be slowed down. You just need the following to download two images instead of one.

p { background-image: url(useless.png); }
p { background-image: url(usefull.png); }

There are only three solutions

~~Push the fix on Android (still not there in 2.3.2) and upgrade to the latest firmware (not only on your own mobile, but on everyone’s)~~
Use the same images for all devices and screen widths AND don’t use the cascade to override previous background-image rules in your stylesheets
Wrap every background-image rule in a media query and define min and max constraints for each media query so that a device never read more than one block (this mean you will never support IE without CSS hacks) AND don’t use the cascade to override previous background-image rules in your stylesheets

À quoi sert la vélo­cité ?

Amélio­rer les esti­ma­tions

En prenant en compte la tech­nique

Outil privé versus indi­ca­teur public

Et la complexité fonc­tion­nelle ?

JSON n’est pas vrai­ment plus simple à lire par un humain

JSON n’est pas plus simple à écrire par un humain

La diffé­rence de poids n’est pas signi­fi­ca­tive

JSON n’est pas plus natif que XML

JSON n’est pas vrai­ment exten­sible ou évolu­tif

Compa­tible avec l’exis­tant

Hype, mode et trucs de jeunes déve­lop­peurs inno­vants

J’achète un forfait, pas un mobile

Je m’en­gage sur un à trois mois seule­ment

J’uti­lise mon accès comme je le veux

J’ai un télé­phone non bidouillé

Au restau­rant on paye le plat

Sur Inter­net on paye l’ac­cès au réseau interne

La stra­té­gie du pour­ris­se­ment

Factu­rer au volume

Réflé­chir à sa factu­ra­tion

Contenu vidéo

Redi­rec­tion vers la page d’ac­cueil du site mobile

Un article en plusieurs sous-pages

Un site vrai­ment lent

La grosse pop-in

Des lignes trop longues

Ça bouge partout

On mélange tout

Texte rikiki

Et si je lis ?

Mots de passes uniques

Géné­ra­teurs auto­ma­tiques de mots de passe

OpenID

RSA SecurID

Google 2 steps veri­fi­ca­tion

Clefs SSH

Et vous ? Qu’a­vez-vous pour vos authen­ti­fi­ca­tions fortes ?

Choi­sis ce que tu veux

Que ceux qui n’ont jamais pesté devant leur machine qui ne réagit pas assez vite lèvent la main !

La renta­bi­lité comme seul objec­tif

N’éco­no­mi­sez pas sur l’ou­til de travail

Tout n’est pas chif­frable

À quoi sert la vélocité ?

Améliorer les estimations

En prenant en compte la technique

Outil privé versus indicateur public

Et la complexité fonctionnelle ?

JSON n’est pas vraiment plus simple à lire par un humain

La différence de poids n’est pas significative

JSON n’est pas vraiment extensible ou évolutif

Compatible avec l’existant

Hype, mode et trucs de jeunes développeurs innovants

Je m’engage sur un à trois mois seulement

J’utilise mon accès comme je le veux

J’ai un téléphone non bidouillé

Au restaurant on paye le plat

Sur Internet on paye l’accès au réseau interne

La stratégie du pourrissement

Facturer au volume

Réfléchir à sa facturation

Redirection vers la page d’accueil du site mobile

Un site vraiment lent

Et si je lis ?

Générateurs automatiques de mots de passe

Google 2 steps verification

Et vous ? Qu’avez-vous pour vos authentifications fortes ?

Choisis ce que tu veux

Que ceux qui n’ont jamais pesté devant leur machine qui ne réagit pas assez vite lèvent la main !

La rentabilité comme seul objectif

N’économisez pas sur l’outil de travail

Tout n’est pas chiffrable