Probablement le meilleur article que j’ai vu sur le fonctionnement d’un navigateur moderne avec les différentes étapes et l’utilisation du GPU, par Lin Clark. À lire.
Catégorie : Technique
-
[Lecture] Optical Effects in User Interfaces (for True Nerds)
Une bonne illustration vaut mieux qu’un long discours mais ce n’est qu’un petit exemple au milieu d’un océan de discussions autour des alignements et des effets visuels.Ça se trouve sur Optical Effects in User Interfaces (for True Nerds), Slava Shestopalov, Muzli. (via)
-
Que se passe-t-il le jour où je ne suis plus là ? (bis)
J’avais écrit quelques lignes par le passé mais le sujet se fait de plus en plus présent avec quelques conversations et les histoires autour de moi.
Je n’ai pas de croyance spirituelle sur la mort, ni de dernières volontés. J’ai toujours trouvé ça égoïste et présomptueux. Si je ne suis plus là, ce n’est plus moi qui compte. D’autres décideront, en fonction de leurs besoins et de leurs croyances à eux. Mon problème est ailleurs.
Pour les biens matériels, c’est plus compliqué
Marié en communauté de biens j’imaginais une continuité assez simple, ma femme récupérant à son seul nom le patrimoine autrefois commun. Malheureusement, je me trompais lourdement.
Le patrimoine n’est pas réellement commun, il est juste partagé. Me revient ce qui est acquis avant mariage ou par héritage, plus la moitié de ce qui reste. Cette somme sera divisé pour l’héritage puis taxée.
Aujourd’hui je me rends compte que la taxe peut impliquer de devoir revendre la maison commune. Je me rends compte que les revenus communs viennent essentiellement de mon salaire. Légalement mon fils obtiendra au moins la moitié de mon héritage et l’usage de ces fonds avant sa majorité est très règlementé.
Comment vivront ma femme et mon fils après moi ? Je n’ai pas encore la réponse à cette question et c’est en soi assez terrifiant.
L’espérance de vie est un chiffre traitre. J’ai déjà perdu des amis plus jeunes que moi. Je peux vivre encore 50 ans comme avoir un accident dès demain. Il devient important pour moi de me préoccuper d’assurance vie et de prévoyance. Urgent même.
L’enfer administratif
Parfois il suffit d’une anecdote. Mon père à l’hôpital. Un paiement d’impôt qui tombe et qui doit être fait sans attendre. Chercher les papiers de la banque, des impôts, comment faire… Un peu de stress à une période où on souhaite tout sauf ça.
À la maison l’administratif n’est pas partagé ; il est réparti. Oups. Chercher la mutuelle, les impôts. Ma conjointe saura-t-elle que j’ai la portabilité de mon ancienne prévoyance professionnelle et comment la contacter ? Pensera-t-elle à l’assurance du crédit ? Et les actions de la startup que j’avais fondé ?
Au delà des simples papiers, c’est aussi moi qui ait la clef de tout ce qui est numérique. Une amie a perdu son mari informaticien il y a un an. Tout n’est pas simple. Je vois encore la messagerie gmail du disparu passer au vert à chaque fois qu’elle se sert de leur boite email commune.
Quid du NAS avec toute la mémoire familiale quand il tombe en panne ? Je me rends compte que l’accès aux fichiers ne se relance même pas tout seul après une coupure électrique. Ce sont les 5 premières années de mon fils que je lui dénierais.
Il faudrait une documentation à jour, et que je ne laisse pas les choses à moitié finalisées. Je peux faire semblant de croire que je m’y tiendrais mais je nage là en plein instant théorique. Une option plus crédible est de ne pas avoir trop de sécurité (genre un mot de passe unique partagé simple et connu, ou au moins ne pas chiffrer les disques) et qu’un ami informaticien fasse le relai à ma disparition – Stéphane, Corinne, Delphine, je compte sur vous. Très insatisfaisant.
Les mots de passe
Le conjoint en soins intensifs, vous vous voyez devoir à la fois lui dire que ça va s’arranger – et le croire vous-même – et essayer de lui dire que ça serait bien qu’il vous dicte tous ses mots de passe, juste au cas où ? Moi non. En tout cas je ne veux pas l’imposer à ma femme. Sérieusement, ça me semble une vraie torture. Et encore, ça c’est le scénario optimiste où il est encore temps de demander les mots de passe.
Je n’ai pas encore de réponse à ça. Je ne peux pas écrire mes mots de passe en clair ou prétendre qu’ils ne changeront pas avant ma mort.
Je vois par contre aussi que chiffrer le trousseau n’est pas si évident que ça. Aujourd’hui je n’imagine même pas que l’emplacement et le moyen d’accès au trousseau seront retenus des années. Une clef d’accès complexe relève de la science fiction.
« retiens cette clef d’accès bien complexe qui donne accès à mon trousseau de mots de passe au cas où ; tu ne dois pas l’écrire et tu ne t’en serviras peut-être pas pendant 10 ans mais il te sera indispensable à ce moment là… enfin si je n’ai pas oublié de te donner la nouvelle quand je la mettrai à jour »
Dashlane propose quelque chose mais je crains que ça ne veuille dire qu’ils stockent mes mots de passe de façon déchiffrable sur leurs serveurs, ce qui me gêne énormément (pour ne pas dire plus).
Pour l’instant mon option la plus réaliste est d’utiliser le mécanisme d’inactivité de Gmail. Ils savent alerter et donner accès à ma boite email à un tiers désigné si je suis inactif pendant un certain temps. Comme c’est ma boite email principale, ma femme pourrait en théorie récupérer n’importe quel compte en ligne à partir de là.
Je me vois cependant mal proposer un déclencheur après juste une semaine, et si je mets un mois la plupart des informations arriveront trop tard. La balance entre l’intimité et la sécurité du conjoint me parait difficile à trouver, sans compter que rester sur Gmail n’est pas forcément mon plan long terme.
Je crains même que le nom de domaine perso ne puisse être un problème à ma disparition. S’il expire au mauvais moment et est acheté par un tiers, c’est toute une série d’identifiants qui seront perdus… et potentiellement des comptes en ligne inaccessibles pour la même raison. Je ne pense pas que Google donnerait accès à ma boite email si le nom de domaine a été racheté par un tiers et si la personne qui me survit ne connait même pas le mot de passe. Il faudrait que je note ça aussi dans les quelques lignes à transmettre après ma disparition.
-
Chacun ses comptes
C’était en 2010. Une collègue et amie divorce. C’est malheureux. Ça arrive.
Le compagnon de l’époque est informaticien et là, les questions… Puis-je contacter mon avocate sans qu’il sache ce que je lui dis ? Il a le mot de passe du laptop, je déclare un peu la guerre si je les change, non ? Et comment faire pour savoir s’il n’y a pas un malware qui m’espionne ? Et le WIFI, peut-il intercepter ce que j’y fais ? Va-t-il fouiller ma boite email personnelle pour chercher des anecdotes qui lui permettrait de contester la garde de mes enfants ? il a peut-être le mot de passe, ou peut-être a-t-il une sauvegarde. Et mon téléphone ? à l’époque le verrouillage n’était pas si commun. Et les photos de mes enfants ?
À l’époque j’avais déclaré forfait : Je suis incapable d’assurer que son conjoint n’écoute pas les conversations, n’a pas implanté de malware, ou de l’assurer qu’il n’y arrivera pas à l’avenir. Aujourd’hui je me dis que j’aurais pu lui proposer un live-cd ou une clef USB bootable. Je n’y avais pas pensé à l’époque.
On lui a conseillé de créer des comptes emails et stockage en ligne dédiés qu’elle n’utiliserait jamais depuis la maison ou depuis un appareil du foyer, de téléphoner et de se connecter depuis le travail ou de chez des amis.
Guérilla à domicile. Elle était informaticienne. Pour d’autres ça peut être encore plus difficile.
Je ne sais pas si ses craintes étaient réalistes. Probablement qu’elle non plus. Peu importe. Le stress du contexte sur le moment et la situation de conflit font qu’on n’a pas besoin de laisser ce type de préoccupations en tête en plus du reste.
Des comptes partagés
Cette histoire me revient après des échanges entendus à Paris Web à propos de l’auto-hébergement numérique.
Je ne me fais pas héberger par mon conjoint. Ça m’est déjà arrivé, c’est un nid à emmerdes.
Ce ne sont pas les mots d’origine, mais ce que j’ai retenu du fond de l’intervention.
Combien de couples sont partis pour toute la vie et finissent par se séparer ? Les moyens de pression, d’espionnage ou de menaces implicites sont gigantesques. « Surtout ne pas se fâcher avec lui-elle parce que sinon il n’est pas impossible que… »
Même quand ça se passe relativement bien, j’imagine la difficulté de savoir qu’on est pieds et poings liés à son conjoint, dépendant de celui-ci ou à la merci de sa moralité. En cas de séparation c’est une belle galère.
Bref : Chacun ses comptes email, ses stockages, ses droits d’accès, même pour un couple fusionnel qui prévoit de rester côte à côte y compris au cimetière.
C’est plus compliqué qu’un seul compte partagé, ce peut être difficile à aborder comme question, mais mieux vaut le faire quand ça se passe bien. Verrouiller son téléphone uniquement lors de la séparation c’est déclarer la guerre alors que ça aurait pu bien se passer. Ne pas le faire c’est prendre du stress et se mettre soi-même à risque, ainsi que s refuser une intimité protectrice au moment le plus critique.
Séparer les comptes numériques c’est finalement une question de respect, une façon de dire « J’ai confiance en toi, je sais que justement tu fais tout pour éviter de me mettre un jour dans une situation délicate si quelque chose devait arriver, et je vais faire pareil pour toi. »
Et si ça vous arrive ?
Je n’ai pas su le dire à l’époque mais si jamais vous vous séparez d’un informaticien : Il n’y a pas d’autres choix que de devenir paranoïaque.
Ce n’est pas tant pré-juger que le conjoint fera quoi que ce soit de malvenu, mais simplement vous assurer votre sérénité sur ces questions et éviter tout le stress qui peut l’être. Et puis personne ne peut prédire l’avenir (la preuve, vous vous séparez et ce n’était pas forcément prévu au début de la relation).
1/ (faire) Réinstallez de zéro téléphone et ordinateur, à partir de CD, clef USB et ordinateurs qui ne viennent pas de la maison. Chiffrer les disques (téléphone et ordinateur).
Mettez un mot de passe fort et dédié à cet usage (non, pas le même que d’habitude avec juste une variation). Activez les verrouillages automatiques après une période courte d’inactivité.
Autre possibilité : Démarrer depuis un Live-CD non réinscriptible préparé par un ami et écrivez sur le CD pour qu’on ne puisse pas le changer par un autre. Stockez tout en ligne, rien en local. Ce peut aussi être fait à partir d’une clef USB mais dans ce cas il faut réussir à la garder avec vous jour et nuit pour que personne ne puisse en modifier le contenu. Ça me parait plus difficile.
À défaut il y a le PC du boulot, les amis. Des smartphones android à 50 € avec cartes data prépayées qui peuvent aussi faire parfaitement l’affaire. Bonus : Ça peut éviter de montrer publiquement une défiance, et permettre de rester sur une séparation amicale.
2/ Créez-vous une boite email dédiée, sur un espace que le conjoint ne contrôlera pas. Recréez-vous de nouveaux comptes à partir de cet email ou déplacez les anciens comptes personnels vers cet email de contact (celui qui contrôle l’email principal peut récupérer les mots de passe de tous les comptes qui y sont liés).
Mettre un mot de passe fort et dédié à cet usage (non, pas le même que d’habitude avec juste une variation). Ne pas vous y connecter depuis la maison ou avec un matériel qui n’a pas été sécurisé.
3/ Faire une copie dès maintenant des photos, des archives, des documents administratifs. Stocker chez un ami, un collègue ou au boulot.
4/ Demandez accès aux comptes sur lesquels vous n’avez pas le mot de passe ou les identifiants : Assurances, impôts, banque, sécurité sociale, mutuelle, …
5/ Signalez à l’école que vous êtes en séparation. Ils savent gérer et s’assureront au minimum que l’un des deux ne retienne pas des informations.
-
Chez Free c’est tout compris – ou pas
Encore une pub que vous ne verrez jamais ! #boxgate #ChezFreeCestToutCompris
— Free (@LALIGNEDEFREE) 18 septembre 2017Oh ? moi ça me rappelle au contraire *exactement* une offre de Free.fr
C’est bien de se moquer mais pour ça il faudrait nettoyer un peu devant sa propre porte. Faire payer une option obligatoire pour l’accès à la boucle locale dédiée (c’est à dire les mètres de câble/fibre dans le trottoir entre la box de l’abonné et le réseau interne de Free) c’est largement aussi ridicule que de faire payer les aiguilles d’une montre ou les clefs d’une voiture.
Ok, c’est moins mis en avant aujourd’hui qu’à l’époque. Ça permet au département marketing de se moquer des autres en cachant tout sous le tapis, mais la fiche d’informations standardisée montre que c’est en réalité toujours ainsi aujourd’hui.
Moi je serais eux, j’arrêterais de la ramener.
* * *
Faire payer la location de la boucle locale n’a bien entendu aucun sens. Free fait comme les autres opérateurs : Il fait payer la location de sa box.
C’est d’autant plus évident en comparant avec l’offre mini 4K, qui ne diffère quasiment que par la box disponible mais qui n’a pas cette option à 5,99 € par mois alors qu’elle utilise évidemment tout autant la boucle locale dédiée (on voit mal comment elle ferait autrement).
Bref, non seulement Free fait louer sa box en option obligatoire comme les autres, mais il le fait plus cher, et en le maquillant sous couvert d’une option technique. Pas de quoi pavoiser.
* * *
On ne peut même pas argumenter qu’il s’agit de rembourser la location que fait Free de la boucle cuivre de l’opérateur historique, puisque l’option est aussi obligatoire s’il s’agit d’un accès Fibre sur une infrastructure Free de A à Z, horizontal et vertical.
-
Les petits utilitaires : 1– Le gestionnaire de mots de passe
Il y a toute une série de petits utilitaires indispensables avec lesquels je ne suis pas satisfait. Je me dis qu’en mettant ici mon usage, peut-être que ça ouvrira des portes.
Bref, j’aimerais un logiciel pour gérer mes mots de passe et les stocker de façon sécurisée.
- Je veux y avoir accès aussi bien sur Mac, que sur Linux et sur mon mobile Android, y compris hors-ligne. Ce serait top s’il y avait un client web mais ce n’est pas indispensable.
- Le stockage et l’accès doivent être sécurisées. Rien ne doit être accessible sans mot de passe maître, et ce dernier ne doit être stocké nul part.
- L’app mobile doit pouvoir avoir un verrouillage soft (via un pin, un schéma ou une empreinte digitale) quand le téléphone passe en veille (ou à défaut quand je bascule sur une autre app).
- Tous les clients (app mobile, desktop, navigateur) doivent de reverrouiller au bout d’un certain temps d’activité et nécessiter la saisie du mot de passe maître pour être réouverts.
- Je dois avoir une extension du navigateur pour auto-compléter les formulaires de login, autant sur desktop que sur mobile. Idéalement l’auto-complétion n’injecte pas plein de trucs automatiquement dans chaque page web et n’agit que sur ma demande via un bouton dans la barre d’outil.
- La même extension du navigateur doit savoir créer une entrée dans les mots de passe enregistrés à partir d’un formulaire de login sur une page web.
- Il existe un moyen simple et rapide de faire une recherche dans la base de mots de passe.
- L’outil embarque un générateur de mots de passe.
- Ça serait top de pouvoir partager des mots de passe, en lecture et/ou en écriture, à une personne ou à un groupe.
Parce que je suis geek :
- Il existe un accès en ligne de commande ou un moyen de bidouiller l’ensemble
- Il est possible de sauvegarder facilement et automatiquement ma base de mots de passe quelque part (que tout ne repose pas sur un prestataire)
- Le fonctionnement (API, chiffrement) est documenté, idéalement open source
- Ça serait top que ça gère aussi directement l’agent pour mes clefs SSH
Dashlane
J’ai exploré par mal de choses. Pour l’instant Dashlane coche la plupart des cases mais l’extension navigateur me gêne. Il s’agit d’une coquille vide qui s’occupe des auto-completion et qui interagit avec l’application Dashlane native sur le système.
Je trouvais le système assez smart mais en réalité non seulement je ne vois pas ce que ça m’apporte mais je vois même en quoi ça peut diminuer légèrement la sécurité.
Dans tous les cas, l’injection de scripts dans toutes les pages à formulaire est franchement gênante. Firefox me signalait régulièrement des ralentissement dû à Dashlane mais en plus l’UX de gestion de l’auto-completion me gêne plus souvent qu’elle me facilite la vie, surtout sur un petit écran mobile (sans compter que sur mobile ça m’oblige à utiliser Chrome plutôt que Firefox).
Enfin, ça veut dire faire confiance. J’ai confiance dans la crypto de base mais quand j’ai posé des questions sur les interactions entre le navigateur et l’application native j’ai eu des demies réponses sans détails techniques. J’ai l’impression que cette partie de l’architecture repose plutôt sur l’obscurité. Non seulement ça me gêne, mais je doute encore plus de voir arriver autre chose que ce que l’équipe a prévu et a le temps de faire.
Bref, beaucoup de bons points mais j’ai peur que ça ne coche jamais les cases restantes.
Enpass
Ça couvre beaucoup moins de choses mais j’aime bien l’idée de fichiers qu’on peut synchroniser sans serveur via un disque en ligne quelconque genre Dropbox ou Google Drive. Ça me permet aussi de gérer les sauvegardes tout en me rassurant sur la pérennité.
Passbolt
J’en ai encore moins de cases cochées mais là j’ai de l’opensource, donc quitte à bidouiller ça peut être que ça peut faire une base de départ ?
Là où je suis étonné c’est de ne pas voir plus de projets open source que ça, et pas plus aboutis. Le cœur logiciel est pourtant assez facilement accessible pour deux ou trois dev motivés et le besoin est général au moins au niveau des geeks.
-
J’efface mes traces
Il y a désormais 5 ans que j’efface mes traces.
J’avais fait un petit billet pour expliquer que j’effaçais mes tweets après 48h. Je l’ai fait un temps mais via des scripts lancés à la main, pour garder le contrôle. Je l’ai fait de façon irrégulière, puis plus du tout pendant un temps.
La motivation n’a toutefois pas changée.
Je m’y remets avec un script un peu plus évolué qui devrait à terme pouvoir être lancé en automatique (quand j’aurais un peu plus confiance). Désormais la plupart de mes tweets pourront être supprimés au bout d’une dizaine de jours.
Si j’ai le courage j’étendrai ça à Mastodon et aux autres réseaux. Plus généralement, tout ce qui n’est pas dans un espace que je contrôle personnellement est potentiellement amené à disparaitre. Ce qui m’importe est généralement retranscrit sur le site que vous êtes en train de lire.
-
Mon problème avec Mastodon
Certains ont très bien expliqué ce que c’est. Bref, c’est décentralisé. Youpi !
Sauf que bon, je réserve mon jugement définitif pour plus tard mais à vue de nez c’est encore une réponse purement technique qui passe à côté des enjeux.
* * *
Si je veux jouer avec Mastodon il y a toutes les chances que je me retrouve sur mastodon.social et que je créé un compte là bas. Je me retrouve avec un outil similaire à Twitter, quelques bonnes idées en plus, la stabilité et les 150 clients et robots compatibles en moins mais surtout… sans tous les gens qui me suivent ni ceux que je suis.
Comment est-ce que je transitionne si je ne peux pas forcer mes camarades de jeu ? Jabber a échoué face à MSN pour ça. Status.net a échoué face à Twitter pour ça. Je pourrais parler aussi de Google+ et 50 autres.
Status.net avait tenté la synchronisation avec Twitter. Les clients pouvaient se connecter aux deux réseaux, y publier la même chose et interagir avec les résidents des deux côtés. Jabber avait le soutien de poids lourds comme Google, Facebook et des acteurs locaux comme Orange. Google+ a tenté de se rendre essentiel dans l’incontournable Google.
Rien de tout cela ici et je ne vois aucune stratégie qui me permette d’y croire : pas de marketing agressif (on parlerait en dizaines de millions d’euros pour envisager battre twitter), aucun acteur de poids, pas de partenariat important avec des sources incontournables, pas de fonctionnalité importante au point de me faire abandonner le réseau existant… rien.
* * *
Mais « c’est décentralisé ! » vous allez me dire. Outre que c’est un argument qui ne convaincra que les geeks, ma réponse sera surtout « ah bon ? ».
90% des utilisateurs ont créé un compte sur l’instance principale mastodon.social. Autant dire que côté décentralisation… Le pire c’est que leur identifiant est lié à la plateforme donc ils devront abandonner tous leurs contacts et leur historique si d’aventure ils devaient changer d’instance.
Vous pouvez aller voir ailleurs, mais déjà que le réseau est petit, il est bien difficile de se dire qu’une petite instance sera là dans la durée. Si pour migrer je dois tout perdre, même moi je risque d’aller sur l’instance principale et jeter l’idée de décentralisation.
Pour jouer à ce jeu, il faut non seulement un système de délégation ou d’indirection au niveau des identifiants mais aussi aider les 90% des utilisateurs à effectivement l’utiliser (non, implémenter webfinger ne suffit pas).
À défaut il faut prévoir dans le protocole un moyen d’annoncer aux clients qu’un utilisateur a changé d’instance, que les clients se mettent à jour à partir de là et que les serveurs sachent réimporter l’historique d’un utilisateur en migration. C’est toujours possible de l’ajouter après coup mais qu’ils n’y aient pas pensé ne me rend pas optimiste sur la compréhension des enjeux.
* * *
Bref, pour que j’y crois il aurait fallu une stratégie pour faire migrer une masse critique d’utilisateurs, plus une mise en œuvre autrement que théorique de la décentralisation.
Je n’ai aucun des deux aujourd’hui et ce n’est pas faute de l’espérer mais je ne crois pas une seconde que les quelques petites fonctionnalités techniques fassent la différence vis à vis d’un réseau qui est quasiment passé dans le langage courant, soutenu par une entreprise qui peut mettre des dizaines millions sur la table du jour au lendemain.
Il est temps d’arrêter de croire que tous les problèmes sont techniques et peuvent se résoudre avec des lignes de code. Faire un système de publication décentralisé c’est (relativement) simple. D’autres l’ont déjà fait et ce n’est pas ça qui bloque. L’enjeu pour sortir de la centralisation de Twitter se situe ailleurs.
-
Et si on agençait des photos sur une page web mobile ?
J’ai commencé à vouloir mettre en pratique mes études sur l’agencement de photos dans une page web et… j’ai tout repris à zéro.
Quand je donne un lien vers mes photos, il est quasiment toujours ouvert en premier sur mobile. Sauf à y faire des miniatures illisibles, on peut y mettre une ou deux photos maximum en largeur. La vue à la Flickr n’a aucun sens.
Du coup je suis reparti d’une vue mobile, avec des agencements prédéterminés. J’ai en trouvé quatre, même si bien évidemment certains peuvent s’inverser :
Techniquement les calculs pour que les agencements avec plusieurs images tombent « juste » sont les mêmes que dans la vue Flickr décrite au précédent billet.
* * *
La vraie question c’est le choix de l’agencement en fonction du format des différentes photos et de leur ordre d’apparition.
La mauvaise idée de départ c’était tenter de faire des règles complexes pour choisir l’agencement en fonction des prochaines images et de leur format. L’approche naïve était simple mais le résultat assez mauvais visuellement. Il aurait fallu faire plus complexe que vertical / carré / horizontal mais si je commence à distinguer sept catégories, les combinaisons explosent.
Autant calculer les quatre agencements possibles et voir lequel est le plus pertinent. J’ai pris deux axiomes :
1– L’important visuellement c’est la surface affichée de chaque image plutôt que sa taille en largeur ou hauteur. Trop gros est aussi mauvais que trop petit. Je compare donc la surface de l’image à évaluer à celle d’une image de référence (une horizontale au format 3/2 affichée en pleine largeur).
2– Il suffit d’une seule image illisible pour tout gâcher. Je calcule donc le score de chaque image individuellement et le score d’un agencement de plusieurs images correspond au plus mauvais score des images concernées.
Le résultat est plutôt réussi. J’ai tenté de bidouiller et ajouter d’autres règles complexes mais ça n’a pas donné des améliorations visuelles significatives.
* * *
Je calcule la galerie au fur et à mesure. Parfois il me reste une image verticale à la fin et je n’ai plus qu’à l’afficher en grand, même si c’est démesuré. Une solution pourrait être de calculer réellement toutes les combinaisons pour toute la galerie avant de faire mon choix. Ça risque d’être un peu lourd pour ce seul défaut, surtout pour des galeries assez longues, donc pour l’instant je ne suis pas allé sur ce chemin.
Aujourd’hui je garde l’ordre des photos. Je pourrais aussi éventuellement identifier les cas où tous les agencements testés sont mauvais, et tenter de modifier un peu l’ordre des images avec celles juste après, pour voir si c’est mieux.
Tant que je ne repère pas de cas vraiment moche, je vais toutefois rester sur du simple.
* * *
Le choix assumé c’est de faire du mobile-first. Si j’ai plus d’espace horizontal je peux tenter de faire deux colonnes avec ce même algorithme.
Si je trouve un point pivot et que je découpe la galerie en deux sections, je pourrai choisir de les enchaîner verticalement ou horizontalement sans avoir besoin de calculer quoi que ce soit en javascript.
Si j’ai vraiment une grande surface en hauteur et en largeur, un mur d’images à la Flickr est peut-être plus pertinent mais je ne m’interdis pas de simplement garder deux colonnes de grande largeur. Je vais attendre de voir ce que ça donne avant de faire mon choix.
-
J’ai un problème (sécurité) avec Dashlane – Vous m’aidez ?
Je vous ai déjà parlé de Dashlane. Franchement c’est le bonheur.
Puis je suis tombé aujourd’hui sur un échange à propos de faiblesses dans le code d’auto-completion de Lastpass. Et là, même si le problème de Lastpass ne se retrouve pas sur Dashlane j’ai eu un malaise… « Merde, mes extensions Chrome et Firefox arrivent à tirer des mots de passe de Dashlane un peu trop facilement »
* * *
Dashlane a une app native très classique. C’est elle qui a les mots de passe (chiffrés), que je déverrouille avec mon mot de passe maître. À partir de la quelle je peux copier les identifiants et mots de passe.
De cette app native, j’ai pu installer les extensions Chrome et Firefox. Je suppose que ça construit une extension qui m’est spécifique, avec des jetons d’accès qui sont différents chez chacun.
Ces extensions peuvent librement ajouter et récupérer les mots de passe depuis l’app native. Rien à faire, rien à déverrouiller. Pour peu que l’app native soit ouverte, ça fonctionne.
* * *
Qu’est-ce qui m’empêche de créer un script ou une application qui ouvre le profil Firefox sur le disque, y trouve les fichiers de l’extension Dashlane, y lit les jetons d’accès et s’adresse à l’app native Dashlane en cours d’exécution pour en extraire tous les mots de passe ?
Ok, il faudrait que mon script ait accès à mon disque dur, ce qui est en soi un problème, mais si j’utilise Dashlane ce n’est pas pour que n’importe quelle application qui a accès à mon disque puisse accéder à mes mots de passe en clair aussi facilement.
En réalité c’est probablement plus complexe. Un petit tour dans les fichiers javascript de Dashlane me fait dire qu’il y a du chiffrement en jeu et qu’il faudrait quelques jours de boulot pour réutiliser le même canal de communication. Rien d’impossible cependant.
En fait je peux même probablement récupérer tout le fichier Javascript et l’utiliser en tapant directement dans l’API interne plutôt que de mimer ce qu’elle sait faire.
Tout au plus il y a peut-être un système qui identifie le nom de l’application source qui s’adresse à l’app native Dashlane. Je doute que ça aussi soit incontournable.
* * *
Bref, c’est moi où j’ai un gros problème avec Dashlane ? Si un techos de Dashlane passe par là, sans forcément révéler tous les mécanismes dans le détail, j’aimerais bien savoir pourquoi je peux faire confiance au système mis en place.
