Carnet de notes

Catégorie : Technique

  • Sécu­rité sur le web avec HTTPS ? des clous !

    Le problème commence à être connu et il est malheu­reu­se­ment non résolu : Tout le modèle de sécu­ri­sa­tion des sites web par HTTPS (chif­frage SSL/TLS) est à revoir.

    Il était déjà bancal dès le départ en instau­rant des auto­ri­tés de confiance qui n’ont qu’un rôle de rentier et qui taxent tous les utili­sa­teurs, mais leur multi­pli­ca­tion et leur manque de sécu­ri­sa­tion rend tota­le­ment vide de sens la sécu­rité du système.

    En fait c’est assez simple :

    • Nous avons au grand mini­mum une compro­mis­sion d’au­to­rité de certi­fi­ca­tion par mois, et chacune permet d’usur­per n’im­porte quel site auprès de n’im­porte quel navi­ga­teur.
    • Certaines auto­ri­tés sont contrô­lées par ou en colla­bo­ra­tion avec des états, y compris auto­ri­taires ou non démo­cra­tiques, ces états ayant alors la capa­cité d’es­pion­ner ou d’in­ter­cep­ter les commu­ni­ca­tions chif­frées vers n’im­porte quel site sans que cela ne se voit.
    • L’opa­cité totale des auto­ri­tés de certi­fi­ca­tion rend impos­sible de connaître la plupart des dégâts ou des risques en jeu.

    Il est d’ailleurs impor­tant de noter qu’on ne parle pas de ques­tions théo­riques mais de procé­dés concrets qui ont été mis en jeu. On parle de certi­fi­cats illé­gi­times au nom de Google, de Yahoo ou de banques qui ont été émis pour trom­per les navi­ga­teurs, et de maté­riels qui sont réali­sés pour inter­cep­ter et espion­ner les commu­ni­ca­tions TLS pour qui (états) a des certi­fi­cats maitres à sa dispo­si­tion.

    Le fait même d’avoir mis en place un système centra­lisé me semble avoir été une erreur énorme, mais il est temps d’ar­rê­ter les frais. Il est plus que temps de passer à un modèle décen­tra­lisé qui n’aura pas toutes les quali­tés théo­riques du modèle actuel, mais qui ne sera pas autant troué. Cela demande toute­fois que les états acceptent de ne plus être en capa­cité de contrô­ler ce qu’il se passe, même indi­rec­te­ment. Mon côté para­noïaque m’en fait douter.

    Entre temps, sur Mozilla Fire­fox vous permet d’ini­tier le mouve­ment à l’aide de quelques exten­sions.

  • Ortho­graphe et acces­si­bi­lité

    Je ne suis certai­ne­ment par meilleur qu’un autre sur ce sujet, et mon niveau d’écrit a baissé consi­dé­ra­ble­ment depuis que je travaille sur le web. Toute­fois, si d’au­cuns doutaient de l’im­por­tance de l’or­tho­graphe, voici une raison concrète d’y faire atten­tion : Stéphane Deschamps nous parle de l’im­pact de l’or­tho­graphe sur l’ac­ces­si­bi­lité des conte­nus élec­tro­niques.

  • Google est-il devenu tota­le­ment irres­pon­sable ?

    Google est un acteur dange­reux car sur une simple volonté il peut chan­ger l’ac­cès à l’in­for­ma­tion de milliards de personnes, poten­tiel­le­ment sans que ça se voit. Il peut faire de même sur des sites commer­ciaux, pour ses propres inté­rêts.

    Pour autant, je déteste ces appels au loup (parfois indi­rects) des pres­ta­taires de réfé­ren­ce­ment et des boutiques qui se retrouvent moins bien posi­tion­nées que la veille. (suite…)

  • API HTML 5 suppor­tées par les mobiles

    Vous connais­siez proba­ble­ment can i use, voici mobile html 5, dont la présen­ta­tion est un peu plus claire et simple. Passer du natif au pur web est une évolu­tion impos­sible à arrê­ter désor­mais. Si vous voulez être plus en avance qu’en retard, c’est le point de départ de vos réflexions.

  • Sauve­garde de l’his­to­rique de lecture

    Je cherche à orga­ni­ser mes archives de lectures, en sauve­gar­dant les pages consul­tées ou parta­gées dans leur version de lecture pour une consul­ta­tion plus tard (si le contenu change ou dispa­raît) et pourquoi pas une indexa­tion parti­cu­lière. (suite…)

  • Dispa­ri­tion du temps en HTML 5

    Il semble qu’on tende à rempla­cer le projet de balise <time> par une balise géné­rique <data> en HTML 5. L’idée est de pouvoir accro­cher des micro­for­mats sur autre chose qu’une date, et leur donner une balise moins spécia­li­sée.

    Sauf que, derrière, mon <time> dispa­raît, alors qu’il a un rôle bien plus natu­rel dans HTML. (suite…)

  • Réen­ga­gez-vous, vite, Free Mobile arrive

    On le sait, les opéra­teurs télé­pho­niques n’ont pas toujours été très clairs vis à vis des durées d’en­ga­ge­ment. Sous prétexte de vous offrir un cadeau fidé­lité, voilà qu’on vous réen­gage pour douze mois. Bien entendu on ne vous offre pas de nouveau mobile et si vous faites les comptes ça veut dire que votre cadeau vous fait payer encore plus cher vos minutes de commu­ni­ca­tions qu’a­vant.

    Tout ça s’est accé­léré avec les annonces de Free Mobile. On ne sait pas encore ce que ça sera, mais on nous promet du peu cher (ce qui n’est pas très diffi­cile si on ne finance pas le mobile, mais qui est inté­res­sant quand même). (suite…)

  • Bon déve­lop­peur, ques­tion d’at­ti­tudes

    Je viens de lire « Être un bon déve­lop­peur c’est aussi une ques­tion d’at­ti­tude person­nelle » chez Thomas. Ceux qui me connaissent le savent, le titre a forcé­ment un écho chez moi et je m’at­ten­dais à dire « encore un qui a tout compris, prenez-en de la graine ». Sauf qu’en fait, sans rire, le prochain qui écrit un truc pareil se retrou­vera avec une malé­dic­tion sur 15 géné­ra­tions.

    Le texte de Thomas prend fonde­ment dans le fait que l’évo­lu­tion tech­no­lo­gique du sala­rié n’est pas le problème de l’em­ployeur, et pour moi ça rend caduque toute l’ar­gu­men­ta­tion.

    (Atten­tion c’est long) (suite…)

  • Sauve­gardes d’en­tre­prise

    Les données c’est impor­tant.

    J’ai les données des postes de travail, où perdre des fichiers peut être non seule­ment agaçant mais faire perdre beau­coup de temps. J’ai les codes sources, ou si le risque de perte totale est faible, l’in­ves­tis­se­ment se chiffre faci­le­ment en centaines de milliers d’eu­ros. Enfin j’ai les données coeur métier : les jour­naux de vente, les bases de commandes client, les factures, etc. Là même huit ans après, inter­dit de risquer la perte des backups.

    Il faut assu­rer la péren­nité de tout ça, sans pour autant dépen­ser n’im­porte quoi.

    Je note ici ce que j’ai en tête pour l’ins­tant, adapté à une start-up ayant une acti­vité e-commerce, avec pour objec­tif que vous me remon­tiez vos propres choix et expé­riences : (suite…)

  • Merise, avec plein de toiles d’arai­gnée tout autour

    J’ai invo­lon­tai­re­ment lancé un pavé dans la mare en deman­dant en public pourquoi les écoles conti­nuent d’en­sei­gner Merise, et pourquoi les jeunes diplô­més persistent à appo­ser le terme en bonne place sur leur CV. (suite…)