Carnet de notes

Catégorie : Technique

Logiciel de mot de passe

Ça faisait longtemps que je voulais passer à un gestionnaire de mot de passe un peu évolué.

J’ai tenté par deux fois de me mettre à Lastpass. Je ne saurais dire pourquoi mais les deux fois j’ai fini par peu l’utiliser, le laisser dans un coin et revenir à mes habitudes.

Depuis peu de temps j’ai tenté avec Dashlane. Il n’y a pas de client Linux, l’interface web et en lecture seule mais son gros avantage est de pouvoir fonctionner totalement offline. Mieux : C’est une entreprise française. Même si le chiffrement fait que mes données sont théoriquement illisibles par le prestataire, j’ai un peu plus confiance que dans une société US.

Peut-être est-ce l’ergonomie mais cette fois la sauce a pris. J’apprécie le login automatique sur le navigateur. J’aime le fonctionnement de l’app mobile qui se contente de l’empreinte digitale si l’app a déjà été déverrouillée récemment par le mot de passe maître.

Pour le même prix il m’a signalé les sites où mon mot de passe était trop faible ou obsolète (genre le mot de passe Yahoo qui n’a pas changé depuis les failles) et a su le changer d’un simple bouton sans me demander d’aller faire les manipulations moi-même sur les différents sites.

Il me reste la fonctionnalité de partage que je n’ai pas testée mais j’ai bon espoir que ça résolve nos difficultés de comptes commun avec ma femme.

Enfin la bonne surprise c’est le mode urgence : Permettre à un tiers identifié de récupérer ma base de mots de passe si je ne décline pas sa requête après un certain nombre de jours. Quelque part ça peut faire office de testament numérique, même si ça n’est pas parfait.

Depuis on m’a pointé vers le récent Enpass, qui ne demande que 10 € pour l’achat à vie de l’app mobile (contre 40 € par an pour le premium Dashlane). Il a le support Linux, le offline, sa synchronisation se fait par des prestataires de cloud habituels, mais il n’y a pour l’instant pas de partage possible. Ça vaut peut-être le coup de commencer par Enpass si vous n’avez pas besoin de cette dernière fonctionnalité.

11 février 2017
Empreinte digitale et sécurité

Nouveau téléphone avec un capteur d’empreinte digitale. Il n’y a pas à dire, c’est super pratique et le compromis de sécurité est plutôt bien adapté au cas d’usage.

Compromis ? C’est évident pour les geeks sécurité alors je m’adresse aux autres. Tout est histoire de compromis entre la facilité d’utilisation et le niveau de sécurité recherché.

L’empreinte digitale est facile à utiliser mais assure un assez mauvais niveau de sécurité.

Security – xkcd 538

Donc, qu’est prêt à faire celui qui veut accéder à vos données ?

Si vous ne vous cachez pas sérieusement à chaque fois que vous déverrouillez votre téléphone, le code PIN ou le schéma à la Android ne sécurisent que contre le vol à l’arrachée, quand le voleur ne vous connait pas et ne peut rien obtenir de vous.

Si votre voleur est prêt à fouiller votre téléphone sans votre accord, il est certainement prêt à loucher par dessus votre épaule pour voir votre PIN ou votre schéma quand vous le tracez. Pour un schéma il peut même parfois se contenter des traces de doigts sur l’écran pour peu que vous ayez oublié de les effacer.

C’est *là* que l’empreinte digitale est intéressante. Elle est est simple à utiliser mais ne peut pas être reproduite sans un minimum d’efforts.

* * *

Si par contre votre attaquant est prêt à être… méchant, alors l’empreinte digitale est la pire des solutions.

Le plus simple : Même un gringalet peut vous prendre par surprise et retourner votre poignet dans votre dos pour vous faire déverrouiller le téléphone par la contrainte.

Le plus discret : Récupérer une de vos empreintes quelque part où vous la laissez – c’est à dire partout, tout au long de la journée – et créer une fausse empreinte propre à leurrer le capteur permissif du téléphone. N’importe qui en est capable avec assez de volonté.

Contre quelqu’un prêt à faire un minimum d’efforts il ne reste qu’un mot de passe ou un schéma suffisamment complexe que vous gardez confidentiel. Rien ne battra même un bête code PIN si l’appareil limite le nombre de tentatives.

Le problème c’est que tourner le dos à vos proches à chaque déverrouillage de téléphone puis s’assurer de ne pas laisser de traces sur l’écran, ce n’est pas neutre au jour le jour. Bien entendu, si vous allez dans cette direction, il faut que le disque du téléphone soit chiffré, que le téléphone se verrouille immédiatement quand vous le laissez sur une table, et que l’éventuel schéma à tracer soit très complexe. Sinon autant revenir à l’empreinte digitale.

8 février 2017
Les meilleurs commentaires ne s’écrivent pas
Les meilleurs commentaires sont ceux que l’on n’a pas besoin d’écrire.

Lorsque l’on a besoin d’écrire un commentaire, le plus souvent, c’est que notre code n’est pas aussi clair et propre qu’il devrait l’être.

Je suis bien d’accord avec la citation du dessus, mais elle n’implique aucunement ce qui suit.

Damned, un développeur faisant une telle faute logique ? On devrait savoir que les relations de cause et conséquence ne s’inversent pas. Si les meilleurs commentaires sont ceux qu’on n’a pas besoin d’écrire, personne n’a dit qu’on ne devrait pas écrire les commentaires !
```
function main() {  
  let imageName = 'test.png'

  // Get the extension off the image filename  
  let pieces = imageName.split('.')
  let extension = pieces.pop()
}
```
[…] ça ressemble beaucoup trop à une excuse : « Mon code est moche / compliqué mais c’est pas grave je vais l’expliquer dans un commentaire » au lieu de le nettoyer.
Donc oui, ce commentaire est à peu près inutile. S’il le devient c’est que le code est probablement inutilement complexe et pourrait être améliorer avec l’utilisation de fonctions tierces bien nommées.

Si effectivement vous commentez ainsi (pas de honte, ça arrive à tous), ça ne sert à rien.

Par contre, un commentaire qui dit pourquoi vous avez besoin de l’extension ça ne serait pas forcément du luxe. Peut-être que ce commentaire manquant me permettrait de savoir si le comportement face à un fichier « .test.png » est une anomalie ou est volontaire. Là je suis bien à mal de savoir sans lire tout le code source en détail pour chercher l’intention du développeur.

Bref, si vous croyez qu’un code source clair remplace les commentaires, c’est que vous n’avez pas encore compris ce qu’il faut écrire dans les commentaires.
```
/**
 * Get the extension of the file
 * 
 * @param {string} filename - The filename
 * @return {string} the extension of the file  
 */
function getFileExtension(filename) {  
  let pieces = imageName.split('.')
  return pieces.pop()
}
```
Dites moi qu’il y a une information dans ce commentaire que vous n’aviez pas en lisant le code !
Non. Par contre dans un IDE évolué, ce type de code me permet d’avoir confirmation du rôle de la fonction quand je la tape ou quand je la lis plutôt que de devoir m’interrompre pour aller ouvrir le fichier correspondant et lire tout le code source. D’autant que là ce sont deux lignes mais parfois, même si c’est clair, c’est quand même plus long à lire.

C’est aussi avec les commentaires de @ que l’IDE me donnera le rôle des différents paramètres. Oui, le plus souvent ils devraient être évident mais est-ce toujours le cas ? Grâce à ce jsdoc je saurais sans ouvrir la fonction que je dois y renseigner un nom de fichier et pas un chemin complet. Bien m’en a pris parce que « ./test.png » aurait provoqué de jolies erreurs à l’exécution de mon programme. Je saurai aussi si j’ai ou pas un argument optionnel et pourquoi.

Toujours avec un outillage évolué, la mention du string permettra d’identifier des erreurs de typage malencontreuses. Ça pourrait être dans le prototype de la fonction avec flow ou ici dans le commentaire, peu importe, seule la syntaxe diffère.

Maintenant même ici, le problème n’est pas avec le commentaire mais avec ce qu’il dit. Ça n’aurait pas été du luxe que la fonction décrive que ce qu’elle considère être une extension dans le cas d’un « test.tar.gz ».

Là où le code est propre le commentaires ne sera qu’une redondance sans grand intérêt que le cerveau apprendra vite à ignorer.

Et si c’était le contenu des commentaires qu’il fallait remettre en cause et pas leur présence ?

Sinon oui, je règle mes outils pour que les commentaires s’affichent en gris clair. Pas qu’ils soient sans intérêt mais parce que j’ai deux niveaux de lecture suivant que je travaille le corps de la fonction (et là je veux ignorer les commentaires) ou que je l’étudie la première fois.

Le seul problème que je rencontre aujourd’hui se produit dans le cadre de project avec une documentation publique auto-générée. Comment éviter la redondance tout en faisant en sorte que la documentation générée à partir de mes commentaires soit complète.

Si la documentation générée pour les développeurs a besoin des commentaires, c’est que peut-être l’assertion comme quoi le code est aussi simple et efficace à lire que les commentaires… est peut-être fausse. Je dis ça je dis rien.
13 janvier 2017
[Lecture] The Real Name Fallacy

Not only would removing anonymity fail to consistently improve online community behavior – forcing real names in online communities could also increase discrimination and worsen harassment.

The Coral Project (Mozilla)

9 janvier 2017
Attribuer une citation en HTML
On parle de HTML 5, le web n’est qu’une multitude de liens, et on ne sait toujours pas attribuer une citation. Comment est-ce que je source le Au-revoir de Valéry Giscard d’Estaing ?
```
<blockquote>Au revoir.</blockquote>
```
Il y a bien un attribut cite dans <blockquote>. Je peux y mettre un lien mais ce lien ne sera ni affiché ni actionnable dans les navigateurs.

Je peux aussi mettre un texte dans un attribut data-source et l’afficher avec le lien via quelques geekeries CSS. C’est un peu mieux mais le lien n’est ni cliquable ni sélectionnable pour un copier-coller : Plus frustrant du meurs.

Je ne parle même pas d’aller indiquer la date dans la citation avec la balise <time>, là on entrerait dans la science fiction.
```
<style>
blockquote::after { content: "-- " attr(data-source) ", " attr(cite);
</style>
```
La solution du pauvre – celle que j’utilise sur ce blog – c’est de mettre la source directement dans le <blockquote>. Il s’agit toutefois d’un détournement du sens des balises, parce que l’attribution ne fait pas partie du bloc cité.

D’autres proposent de mettre ça dans un <footer> du <blockquote>, éventuellement avec un <cite>. C’est un peu mieux – le <footer> est officiellement fait pour être de la métadonnée à propos du bloc parent – mais ça reste bancal : Le code ne permet pas de séparer ce qu’on cite de l’attribution elle-même.
```
<blockquote>
  Au revoir.
  <footer>
    -- Valéry Giscard d'Estaing, 
    <cite>
      <a href="http://www.ina.fr/video/I08358793">
        dans son discours du 
        <time datetime="1981-05-19">le 19 mai 1981</time> 
        avant la passation de pouvoir à François Mitterrand
      </a>
    </cite>
  </footer>
</blockquote>
```
La balise <figure> peut venir à notre rescousse. On englobe le <blockquote> dans la <figure> et on ajoute un <figcaption> pour l’attribution, avec éventuellement un <cite> correctement placé.
```
<figure>
  <blockquote>Au revoir.</blockquote>
  <figcaption>
    -- Valéry Giscard d'Estaing, 
    <cite>
      <a href="http://www.ina.fr/video/I08358793">
        dans son discours du 
        <time datetime="1981-05-19">le 19 mai 1981</time> 
        avant la passation de pouvoir à François Mitterrand
      </a>
    </cite>
  </figcaption>
</figure>
```
Quelque part j’ai encore mal parce qu’un robot ne reliera pas l’attribution et la citation.

Reste aussi que la définition de <figure> indique que l’emplacement de son contenu dans le texte environnant n’a pas d’importance, ce qui ne me parait pas forcément vrai pour une citation.

On sait exprimer tout ça à destination des moteurs de recherche en rdfa, en micro data ou en json-ld, le tout avec un vocabulaire normé, mais on n’a toujours rien pour les données visibles de l’utilisateur. Que la spécification HTML 5 ait été dirigée par un éditeur de Google ne peut être qu’une coïncidence.
10 décembre 2016
Je cherche des équipes construisant une progressive web app

Idéalement en France ou avec un télétravailleur en France, mais n’hésitez pas à en proposer des étrangères qui font des choses bien

Idéalement une équipe chez un éditeur produit et pas des prestataires de service, mais ça peut aussi être une équipe de presta dédiée et constituée qui en fait sa spécialité (donc pas juste une SSII qui a travaillé sur un projet)

Idéalement une équipe, mais si vous n’avez que de très bon exemples de sites, je suis preneur aussi

Vous avez des noms ?

18 novembre 2016
Un nouveau langage

De temps en temps j’aime bien explorer quelque chose de nouveau côté programmation.

J’ai tenté de faire une petite remise à zéro en Javascript il y a peu. J’y trouve plein de points positifs objectifs mais je ne vois pas la motivation pour mes projets perso. Je n’ai pas d’atomes crochus avec la syntaxe, le langage lui-même ne m’apporte pas suffisamment de nouveau pour que la découverte me motive, et il y a plein de trucs qui me fatiguent dans l’environnement.

J’ai vu Elm et j’aime bien plusieurs idées mais je cherche quelque chose qui tourne aussi en ligne de commande.

J’ai tenté Crystal. Le langage est sympa : inspiré de ruby, inférence de types, compilé et performant, liaisons simples avec toutes les libs en C. J’ai quelques reproches (genre l’absence d’un type « Numeric » qui m’abstrait des types bas niveau) mais je me suis surtout dit « à quoi bon » quand j’ai eu une exception à l’exécution lors de ma première journée. À quoi bon s’imposer un typage statique si c’est pour que les problèmes les plus courants soient encore gérés à l’exécution sans même un avertissement à la compilation ?

Dans l’idéal j’aimerais tester un environnement où quasiment tout est détecté en statique et qui ne soit pas aussi verbeux qu’un Java ou aussi bas niveau qu’un C. Vous avez quelque chose à me conseiller ?

3 novembre 2016
Dis tonton, c’est quoi un développeur ?
C’est quelqu’un qui rédige les spécifications détaillées en langage machine d’une solution à un problème. (*)

* * *

Corolaires :
- Prétendre faire coder un développeur sans lui permettre de comprendre ce qu’il fait n’a aucun sens
- Un cycle de travail ou un chef de projet prétend concevoir les spécifications détaillées en amont du développeur est au mieux dramatiquement inefficace
- Quand on étudie tous les détails de tous les cas, on rencontre de nouveaux problèmes et de nouvelles solutions, ne pas s’autoriser à changer les décisions pendant la phase de développement c’est être perdant à tous les coups
(*) Merci à celui qui m’a distillé cette définition, je ne sais plus d’où elle vient mais elle remplacera agréablement ma précédente.
23 septembre 2016
Encore un projet perso

Oui, comme si je n’en avais pas assez…

Il reste que j’ai envie de présenter ce que je fais en photo autrement que par Flickr. La cible n’est pas précise. Comme les photos elles-mêmes, je le fais d’abord pour moi. Peut-être est-ce simplement donner corps à quelque chose qui commence à prendre de l’importance.

Bref, je pose là pour moi-même – et un peu pour les curieux – ce que j’ai en tête.

Un menu principal à trois entrées : des textes, des photos et des albums. J’ai commencé à écrire un peu autour des photos quand je les publie ici, et c’est finalement intéressant de m’obliger à cette introspection. Les deux autres permettent de séparer le flux de photo chronologique en vrac de la séparation par albums bien pensée.

J’ai tenté un premier jet de la page d’accueil. On y met deux textes et deux albums en avant, à chaque fois un récent et un plus coup de cœur. Plus bas vient un mur d’images, avec les plus récentes et celles que j’aime le mieux (comme je suis un geek fini, j’ai déjà en tête une simili formule pour savoir ce que j’affiche en fonction de la date de publication et de mes favoris).

Travail en cours, le code CSS est certainement bien moche.

5 septembre 2016
Remplacer du texte par une image en CSS
Dans les années 2007 à 2009 on avait une collection d’horribles bidouilles CSS pour insérer des images à la place de certains textes via CSS. L’idée c’est que certaines images ne sont pas du contenu mais bien de la présentation, potentiellement dépendantes du contexte.

Le besoin était tel que c’était un des sujets les plus en vue en CSS pendant des années avec « comment centrer un contenu verticalement ».
```
h3.nir {
   height: 75px;
   width: 300px;
   overflow: hidden;
   margin: 0;
   padding: 0;
 }
 h3.nir:before {
   content: url(http://…/test.png);
   display: inline-block;
   font-size: 0;
   line-height: 0;
 }
```
Franchement c’était de la bidouille de haut vol, avec plein de défauts. On rêvait d’un truc plus simple, qui fonctionne correctement quand l’image ne se charge pas et sur les lecteurs d’écran, sans flash de contenu non stylé. Je me demande même ce qui suit n’a fonctionné sur certains navigateurs, mais on n’y est visiblement pas encore :
```
h3 { content: url(http://…/test.png); }
```
CSS a beaucoup évolué, les navigateurs aussi. J’espérais qu’on avait enfin résolu ce problème ultra bateau. Visiblement non. La seule solution passe par des polices de caractères d’icônes et des reconnaissances de ligature. Le reste n’a que peu changé en 10 ans, on a juste enlevé les besoins de compatibilité sur les vieux navigateurs.

J’avoue que je ne comprends pas. On ajoute des fonctionnalités de folie et on ne gère toujours pas la base qui a généré des milliers de pages en bidouilles de contournement. Qu’on m’explique…
5 septembre 2016