Carnet de notes

Auteur/autrice : Éric

Phan – Static analyzer for PHP
- Checks for calls and instantiations of undeclared functions, methods, closures and classes
- Checks types of all arguments and return values to/from functions, closures and methods
- Supports @param, @return, @var and @deprecated phpdoc comments including union and void/null types
- Checks for Uniform Variable Syntax PHP 5 -> PHP 7 BC breaks
- Undefined variable tracking
- Supports namespaces, traits and variadics
- Generics (from phpdoc hints – int[], string[], UserObject[], etc.)
- Experimental dead code detection
Je me rappelle les bidouilles sur PHP_Code_Sniffer à SQLi à partir du tokenizer, et les essais d’analyse statique de Pascal sur les montées en version de PHP à TEA.

Là Phan semble un vrai outil, basé sur un AST natif au langage. Je suis certain qu’on n’en est qu’au début des possibilités offertes par l’AST de PHP 7. Rien que l’aide à la migration ne va pas être inutile.

J’ai un peu peur qu’on entre dans le monde Java, d’autant plus que les type hints sont maintenant la norme et que le langage se complexifie, mais pas mal de portes s’ouvrent en ce moment pour PHP, et c’est sacrément cool.
19 janvier 2016
[Photo] Lotfi Dakhli

Quelqu’un de bon en portrait et en paysage urbain… ça ne se refuse pas :
Lotfi Dakhli, son site et son flux Flickr

18 janvier 2016
The five big lies of the encryption debate

There’s just no reason to think that the FBI is having a harder time tracking criminal activity than it did 15 years ago.

[…] Fifteen years ago, it would have been unthinkable to order Microsoft to turn over a private file from a personal computer, or ask Verizon for a transcript of an unflagged phone call from three months earlier. But the shift to mobile has made those records seem much more accessible. Files are all in the cloud anyway, and texts are a lot easier to store than audio.

[…] Maybe you think the FBI should have access to all that data. […] If they have a warrant, it’s perfectly constitutional […] But the fact is, you’d be fighting for a massive expansion of surveillance power. Saying otherwise just starts the entire conversation out on a lie.

— The Verge

Histoire de remettre les choses d’aplomb pour ceux qui pensent que les nouvelles technologies rendent la vie plus difficile à la police et aux services de renseignement. Soyons sérieux de minutes, même sans penser à la NSA, il est évident que c’est tout le contraire qui se passe.

Tiens, Apple a même répondu récemment que non ils ne feraient rien pour affaiblir le chiffrement des iPhones, mais qu’ils étaient ouverts à divulguer ce qui est synchronisé sur leurs serveurs, c’est à dire par défaut à peu près tout ce dont on peut avoir besoin et même un peu plus.

Nous entrons dans un monde de surveillance non seulement parce que désormais tout est facilement accessible, mais aussi parce que l’État commence à trouver scandaleux que la moindre parcelle d’information lui échappe ou lui soit compliquée à recueillir.

J’ai regardé la série Narcos récemment, qui romance la lutte anti-drogue en Colombie dans les années 80. Intéressant de voir que pour tracer des communications il fallait un avion en survol qui intercepte les communications satellites et des équipes au sol pour trianguler. Même avec ça on n’avait pas l’identité du téléphone. Bien évidemment les carnets de notes étaient codés pour être indéchiffrables.

Aujourd’hui tout est identifié et la police peut intervenir directement sur la compagnie qui gère le flux satellite, ne parlons même pas des interceptions et géolocalisations en temps réel sur les réseaux mobiles terrestres. Le simple fait de pouvoir chiffrer ses données sur son smartphone devient illégitime pour l’État. Tout a bien changé.

There are real problems at the heart of this debate, fundamental questions of liberty and security and how technological progress can change that balance. There are questions about the deep state and how institutions like the FBI or NSA can be held accountable to the people they nominally serve. We have to come up with some sort of answer for these questions, and to do that, we need to be able to talk about what’s actually at stake. So far, we haven’t been able to.

18 janvier 2016
So You Think You Can Program An Elevator

Many of us ride elevators every day. We feel like we understand how they work, how they decide where to go. If you were asked to put it into words, you might say that an elevator goes wherever it’s told, and in doing so goes as far in one direction as it can before turning around. Sounds simple, right? Can you put it into code?

J’adore l’idée : Le défi de programmer un ascenseur, avec une explication initiale, quelques tests, et le défi de tout faire… pour se rendre compte que c’est quand même bien plus complexe que ça ne semble à-priori.

C’est du python mais la syntaxe ne représente très clairement qu’une très faible part de l’exercice. Avec la doc en ligne ça doit être faisable sans être limité par l’utilisation d’un langage qu’on ne connait pas vraiment.

J’ai presque envie d’essayer, mais juste peur de commencer, me rendre compte que ça va me prendre des jours, et abandonner. Je sais que c’est un peu l’objet de l’exercice, mais si je commence sans arriver à quelque chose ça ne va pas me mettre dans un état d’esprit très positif.

18 janvier 2016
[Photo] Mejika Setsunaï

Je suis frustré par ces gens qui arrivent à faire des auto-portraits corrects. Les quelques fois où j’ai essayé, non seulement ça prend des heures mais impossible d’arriver à quelque chose d’un minimum pertinent. La technique est ingérable quand on doit courir des deux côtés de l’objectif, et s’il faut en plus tenter de soi-même gérer sa propre émotion… c’est le désert.

Bref, allez voir les galeries de Mejika Setsunaï

17 janvier 2016
The resolution of the Bitcoin experiment
I’ve spent more than 5 years being a Bitcoin developer. The software I’ve written has been used by millions of users, hundreds of developers […]

The fundamentals are broken and whatever happens to the price in the short term, the long term trend should probably be downwards. I will no longer be taking part in Bitcoin development and have sold all my coins.

— Mike Hearn

On y parle un peu de questions techniques mais on se rend compte aussi que finalement les projets sont extrêmement dépendants des humains.

Quel est l’avenir souhaité pour le projet ? Il y a-t-il un consensus ? Quels en sont les impacts ?

the block chain is controlled by Chinese miners, just two of whom control more than 50% of the hash power. At a recent conference over 95% of hashing power was controlled by a handful of guys sitting on a single stage.

[…] Even if a new team was built to replace Bitcoin Core, the problem of mining power being concentrated behind the Great Firewall would remain. Bitcoin has no future whilst it’s controlled by fewer than 10 people. And there’s no solution in sight for this problem: nobody even has any suggestions. For a community that has always worried about the block chain being taken over by an oppressive government, it is a rich irony.

Rien que ça empêche assez bien d’envisager un avenir, mais si vous voulez un résumé plus complet :
Think about it. If you had never heard about Bitcoin before, would you care about a payments network that:
- Couldn’t move your existing money
- Had wildly unpredictable fees that were high and rising fast
- Allowed buyers to take back payments they’d made after walking out of shops, by simply pressing a button (if you aren’t aware of this “feature” that’s because Bitcoin was only just changed to allow it)
- Is suffering large backlogs and flaky payments
- … which is controlled by China
- … and in which the companies and people building it were in open civil war?
I’m going to hazard a guess that the answer is no.
17 janvier 2016
Fluent interface are evil
1. Fluent Interfaces break Encapsulation
2. Fluent Interfaces break Decorators (and sometimes Composition)
3. Fluent Interfaces are harder to Mock
4. Fluent Interfaces make diffs harder to read
5. Fluent Interfaces are less readable (personal feeling)
6. Fluent Interfaces cause BC breaks during early development stages
— Fluent Interface are Evil
J’ai parfois l’impression d’être dans les dino quand je me bats contre cette mode alors je suis heureux de voir ne pas être le seul.

Ce type d’écriture est juste magique pour créer des filtres successifs, essentiellement dans les objets de construction (builder).

Pour tout le reste, c’est juste un faux raccourci d’écriture. On casse beaucoup de choses pour gagner quelques caractères. Le plus souvent on ne les gagne pas vraiment puisqu’il faut bien penser à faire le return $this/self dans la méthode appelée et à gérer correctement l’indentation dans la méthode appelante.
17 janvier 2016
[Photo] Vincent l’Hostis

À découvrir dans sa gallerie

16 janvier 2016
La conférence des premiers présidents estime que le PL de réforme pénale contient des dispositions dangereuses

La France ne saurait sacrifier les valeurs fondamentales de sa justice, au motif qu’un manque cruel et ancien de moyens l’a affaiblie

[…]

Elles constituent un transfert de compétence de l’autorité judiciaire vers l’autorité administrative, dans la dépendance de l’exécutif, incompatible avec le principe de séparation des pouvoirs, fondement de la démocratie.

Bref, la direction prise est assez dangereuse.

La conférence des premiers présidents estime que le PL de réforme pénale « contient des dispositions dangereuses ». pic.twitter.com/7AlyZVdKHF

— Marine Babonneau (@marinebab) 15 Janvier 2016

16 janvier 2016
Extremely Defensive PHP

Comment faire un code qui évite les mauvaises pratiques et reste maintenable en éliminant les risques ? La présentation de Marco Pivetta est à regarder.

Il y a pas mal d’idées. Tout n’est pas forcément à reprendre tel quel à mon avis, mais ça permet au moins d’y penser.

16 janvier 2016