Carnet de notes

Auteur/autrice : Éric

Petit guide de typographie française à l’usage de Mac OS X
Pour publier les raccourcis plus ou moins bien connus :
- Les majuscules de É, È, Ç et À se trouvent sur les même touches que les minuscules, il faut juste avoir activé les majuscules (pas avec le shift, qui donnerait des chiffres, mais avec le caps lock). Je ne crois pas qu’il existe d’autres lettres accentuées qui devraient se retrouver en majuscules nativement mais n’hésitez pas à m’en signaler.
- Les guillemets typographiques à la française se trouvent sur le 7 avec option pour l’ouvrant « et shift+option pour le fermant ». Les guillemets de second niveau ‹ et › sont eux sur le w avec les mêmes combinaisons mais ses dernières conflictent parfois avec des raccourcis applicatifs. Si vous citez de l’anglais, les guillemets “ ”et apostrophes anglaises ‘ ’ sont simplement positionnés sur le guillemet et l’apostrophe droits, donc sont plus simples à trouver. J’avoue que j’utilise le guillemet simple anglais fermant pour l’apostrophe typographique française ’ ; je crains que ce ne soit une erreur mais je n’ai pas trouvé de combinaison plus adéquate.
- Les æ et œ se trouvent respectivement sur le a et sur le o en combinaison avec la touche option, vous pouvez ajouter le shift pour la majuscule.
- Les points de suspensions … sont sur la même touche que le point, avec la touche option activée. Le point de puce de liste • est sur la même position avec shift en plus. Il y a aussi un point simple en milieu de ligne · qu’on peut trouver sur option+shift avec la touche f.
- Les quadratins — et demi quadratins – se trouvent sur la touche du trait-d’union – en activant la touche option, cumulée à la touche shift dans le second cas.
- Oh, et l’espace insécable fine est bien entendu sur option + espace. Attention, certains logiciels convertissent tout seuls en espace simple.
Dans l’ensemble c’est assez naturel avec option et shift+option mais j’avoue ne jamais retrouver les guillemets.
19 mars 2013
Distribuons l’aide à la presse directement aux journalistes!

Autant le revenu de base fait écho chez moi sur plusieurs points, autant il repose sur un principe fondamental : S’appliquer à tous, sans condition, sans différence.

En imaginant un revenu minimum en distribuant l’aide à la presse directement aux journalistes, qui décide qui est journaliste ? La question se pose déjà mais avec un enjeu qui n’a aucune mesure avec celui qui pourrait nous attendre. Souhaite-t-on vraiment des journalistes d’État payés par ce dernier ? Le risque me parait énorme, surtout pour une profession qui parle tant d’indépendance et qui est déjà tant sous le jeu de pressions externes.

Et puis pourquoi les journalistes ? Pourquoi pas aussi les taxis ? les ramoneurs ? les agents de sécurité ? les avocats ? Toutes les professions sont utiles et indispensables. Nombreuses sont celles qui peuvent prétendre avoir des difficultés, et souvent avec moins d’aides que n’en ont les journalistes. Ces derniers ont d’ailleurs directement des statuts particuliers, entre autres sur la fiscalité. Sous quel prétexte donnerait-on encore un avantage catégoriel à X ou Y dans une période où tous sont sur le fil et où nous savons avoir déjà trop d’avantages particuliers ?

19 mars 2013
Définir son API : versionnement
Toujours dans la logique de réfléchir son API, parce qu’un jour il faudra la faire évoluer, comment gérer le versionnement ?

Plusieurs solutions ont émergé :
- https://api-v2.example.com/maressource
- https://api.example.com/v2/maressource
- https://api.example.com/maressource-v2
- https://api.example.com/maressource?v=2
- https://api.example.com/maressource avec une entête Version: 2
- https://api.example.com/maressource avec une entête Accept ou/et Content-type: application/monformat;version=2
La solution du sous-domaine n’est à mon sens à réserver que pour les big-bang. Elle n’est pas facilement multipliable à l’infini, mais à l’avantage de permettre aisément d’avoir même deux plateformes totalement séparées pour les deux versions de l’API.

Les deux suivantes se distinguent par le fait de versionner l’API ou la ressource. J’ai tendance à penser que s’il faut versionner la ressource en cassant la compatibilité, alors c’est peut être une nouvelle version de l’API qui est à publier si on ne veut pas finir avec un gros patchwork difficile à maintenir : En gardant tout sous le même espace on s’interdit de facilement rendre obsolète les anciennes versions.

Quitte à parfois devoir versionner au niveau de la ressource, l’idée d’ajouter un paramètre a fini par me sembler plus propre. Il s’agit quasiment toujours de s’adresser à une représentation différente de la ressource, pas de changer son sens fondamental. Le risque est que la plupart des gens continuent à utiliser la version d’origine et ne pas prendre en compte le paramètre. Rendre obsolète des anciennes représentations risque là aussi d’être difficile.

Les possibilités d’ajouter les versions dans les entêtes sont souvent conseillées d’un point de vue théorique. En pratique mon retour est que c’est complexe à utiliser, et d’une valeur ajoutée assez discutable. On oublie trop facilement que le bon usage de l’API tient directement à sa simplicité et sa bonne compréhension. S’il y a besoin d’être expert en architecture web pour comprendre le pourquoi des choses, c’est une mauvaise solution. Le « tout dans l’URL » ajoute une facilité pour tester et échanger entre techniciens qui vaut toutes les positions académiques du monde.

Twilio a aussi une façon intéressante de gérer les versions. Au lieu d’un v2 ou v3, le développeur indique une date et c’est le serveur qui sélectionne la version de l’API à utiliser en fonction de la date. C’est tentant, souple, mais j’ai peur que ce ne soit pas suffisamment explicite sur ce qu’on utilise ou sur comment gérer ce paramètre. Qu’est-ce qui change si je met à jour la date ?

Des lectures et expériences je tire quelques recommandations :
- Prévoir dès le départ un système de versionnement, vous en aurez besoin un jour, ne croyez pas que vos API pourront rester telles quelles ad vitam eternam
- Imposer un versionnement explicite, immédiatement, dès la première version. Vous éviterez les ambiguïtés et une partie des moules qui s’attachent aux adresses « sans version » par défaut
- N’utiliser que des numéros de version simples, pas de notion de mineur/majeur, pas de points ou virgules : Si ça change de façon non compatible c’est une nouvelle version et on incrémente d’une unité. Le reste c’est du marketing et ça n’a rien à faire dans vos URLs.
- Utiliser un versionnement dans l’URL, à la racine du service ; il sera temps d’utiliser un autre sous-domaine si un jour il y a un vrai big bang qui le nécessite
- Documenter (oui, c’est évident, mais pas si simple à ne pas oublier)
18 mars 2013
Définir son API : authentification
Je lis le PDF gratuit de Apigee à propos du design des API web. Si les autres PDF gratuits du site sont assez creux, celui là pose de bonnes questions qui font écho avec mes propres reflexions.

Je le prends dans le désordre et pour reprendre mes erreurs passées ou celles que j’ai vu chez les autres :
- Pas de système de session avec point d’entrée spécifique pour le login. Ça demande au client de se préoccuper de l’expiration de la session et de son maintient. Pour des appels isolés ça veut dire faire deux requêtes (login + action) au lieu d’une, avec un délai de réponse finale allongé et une charge plus importante pour le serveur. Sauf besoin spécifique, il faut rester en stateless : Chaque connexion contient ses propres informations d’authentification.
- Pas d’authentification par IP, comme je le vois trop souvent. Outre que c’est un potentiel problème de sécurité, c’est juste quelque chose de difficilement maintenable et c’est toujours au dernier moment quand on veut faire un correctif, une migration ou une bascule vers le serveur de secours en urgence qu’on se rend compte du problème.
- L’authentification HTTP Digest me semble être une mauvaise réponse à tous les problèmes. Pour améliorer légèrement la résistance aux interceptions, il faut stocker le mot de passe en clair côté serveur. Une authentification HTTP Basic avec du TLS pour sécuriser la communication me semble bien plus pertinent, et aussi plus simple à réaliser.
- Le système fait maison est toujours la pire solution, même si vous pensez savoir ce que vous faites. C’est un NO GO commun à toute problématique qui touche la sécurité. Vous avez plus de chances de vous tirer une balle dans le pied qu’autre chose, et pour le même prix ce sera toujours plus complexe quand vous communiquerez avec des tiers.
- OAuth 2 a la mauvaise idée d’être plus une boite à outils qu’une solution finie. Même les gros groupes se prennent les pieds dans le tapis avec ça. On rejoint un peu le système fait maison. OAuth a ses défauts, mais globalement est une sphère contrôlée que vous devriez préférer.
Au final il reste le choix entre l’authentification HTTP Basic, l’authentification par certificat client avec SSL/TLS, ou OAuth 1.0. Ma grille de choix est la suivante :
- OAuth s’il s’agit d’avoir une authentification à trois pattes. Hors de question d’imposer à l’utilisateur final de saisir ses mots de passes dans un logiciel tiers. Pour une API qui veut créer un écosystème de logiciels clients (type twitter) c’est le choix quasiment imposé. Oui il y a des difficultés pour le mobile ou pour ce qui n’est pas « navigateur », mais ces questions sont désormais largement documentées. Pensez bien que choisir ce type d’authentification demande un réel travail (par exemple trouver l’ergonomie pour permettre à l’utilisateur d’autoriser et retirer l’autorisation d’applications tierces sur votre propre système)
- HTTP Basic par défaut pour quasiment toutes les autres situations. C’est simple côté client, simple et maitrisé côté serveur, supporté partout et pour tout, suffisamment sécurisé si on passe par du SSL/TLS.
- Et les certificats clients avec SSL/TLS ? C’est une solution qui semble plus intéressante que l’authentification HTTP mais qui se révèle complexe pour pas mal d’interlocuteurs. La valeur ajoutée ne semble pas valoir la complexité supplémentaire si vous n’interagissez pas avec des entreprises de taille significative. J’y croyais beaucoup, mais finalement j’ai peu d’argument face à la simplicité du HTTP Basic.
Et vous ? vous utilisez quoi pour l’authentification de vos services ?
18 mars 2013
Trajet boulot dodo

J’ai l’immense chance d’habiter près de mon job, 20 minutes à pied. Pour contre-balancer je suis aussi un grand fainéant. Je cherche donc à éviter cette marche à pied de 40 minutes aller-retour, soit pour la réduire en temps de trajet soit pour la rendre plus confortable.

Je prends souvent le tram sur deux arrêts, mais ça me laisse encore 10 grosses minutes à pied et plusieurs minutes d’attente. C’est plus par parce que je n’ai toujours pas résilié mon abonnement de transport en commun. Je ne gagne pas significativement en temps de trajet total et ça n’a d’intérêt que parce que je suis assis un peu plus au chaud. Sauf très forte pluie, ça ne se justifie pas vraiment et même ma fainéantise ne sera pas assez forte pour que je considère ça comme une solution.

L’idéal pour ce type de trajet serait une bonne trottinette mais j’ai aussi une belle pente sur la moitié du trajet. Ce n’est pas énorme, dans les 5% au jugé, mais assez pour rendre la trottinette trop peu pratique.

Reste le vélo mais mon côté fainéant reprend le dessus considérant la pente à 5% (la montée se ferait le soir, quand je suis crevé). Du coup je regarde l’assistance électrique. Ça coûte cher, surtout si je ne l’utilise pas tous les jours (le vélo sous la pluie ne m’attire pas), donc j’ai un peu de mal à vraiment l’envisager.

Vous voyez un autre moyen de transport à envisager ? Avez-vous des recommandations ?

15 mars 2013
Adieu SSII, bonjour ESN !

Est-ce qu’un changement de nom de SSII vers ESN va suffire à faire oublier leur réputation sulfureuse (et souvent méritée) ? C’est pourtant pour moi la seule motivation crédible à cette proposition. Je doute que « service numérique » soit significativement plus pertinent, ou que la valeur ajoutée rentabilisait le changement de nom.

Bref, c’est uniquement du marketing et le Syntec ferait mieux de faire évoluer les pratiques que de changer l’emballage.

Au moins nous avons évité l’ESD : l’entreprise de services digitaux. Je ne comprends toujours pas comment on peut faire confiance à toutes ses agences qui se disent expertes du web et du numérique et qui pourtant ne se rendent même pas compte qu’elles utilisent le terme « digital » de travers.

15 mars 2013
Bomberman massivement multijoueur

Un bomberman-like massivement multijoueur ? Je ne suis pas convaincu par l’intérêt ludique. Ne pas jouer avec ses amis, ne pas tisser de liens, avoir une interaction limitée à quelques minutes et faite au hasard, j’ai peur que ça ne remplisse pas de promesses sur le long terme.

Techniquement par contre c’est intéressant, pas forcément si complexe que ça, mais sacrément intéressant. Le jeu dans le navigateur n’est qu’à ses débuts.

15 mars 2013
L’implosion du système Dassault pour ceux qui ont raté le début
Le tireur présumé, en fuite, s’appelle Younès B. Son nom a fuité très vite. L’homme serait un proche de Serge Dassault d’après Le Point et le Canard enchaîné, qui déroule son CV :
- chauffeur du colistier de Serge Dassault, qu’il a rencontré en 1995 ;
- emploi-jeune à la mairie de Corbeil ;
- créateur d’une entreprise en affaires avec la ville ;
- homme de main de l’ancien maire, dans les déplacements, les soirées électorales et pour les missions plus discrètes :
[…]

La victime, elle, fait partie (toujours selon le Canard), des jeunes de cités qui ont dénoncé en 2010 l’achat de votes par Serge Dassault, avant de se rétracter.
Si le scandale Dassault se confirme, je ne peux qu’espérer qu’il fasse électrochoc.

« – Je veux vous remercier tous de ce que vous avez fait, car c’est vrai que c’est en grande partie grâce à vous et je le sais. Les collages la nuit, etc.

– De toute façon, pour nous monsieur le maire c’était clair et net, nous on voulait que ça soit Serge Dassault. Parce que nous on est une génération de personnes qui avons grandi avec vous. […] Lui il souhaite monter quelque chose en restauration, moi c’est ma licence de taxi, on souhaite savoir si vous pouvez nous aider. […]

– D’accord. Pratiquement pour vous aider c’est 30 000 euros ? Et vous aussi ?

– Franchement l’idéal, moi je vous le dis, j’ai pas osé tout à l’heure, mais maintenant j’ose vous le dire, mais franchement la somme idéale c’est de commencer avec 80 000 euros.

– Et moi mon frère, il a l’ambition de créer une société de transport international. Et ça représente une somme de 100 000 euros. […]

– Mais si vous disparaissez tous, moi après j’ai plus personne !

– Devant vous vous avez sept jeunes qui sont prêts à relever leurs manches. Ils seront toujours actifs sur Corbeil parce qu’on a tous grandi à Corbeil. On ne va pas vous abandonner comme vous avez vu monsieur. »
14 mars 2013
Fin de Google Reader – Alternative

Notre nouveau pape est là depuis juste quelques heures, qu’on annonce déjà la fin de Google Reader. Peut être pour mettre en avant Google+, peut être simplement parce que ça ne permet pas d’y mettre de la pub et que ça coûte cher.

Quelques solutions (je ne prends en compte que ceux qui me semblent aptes à servir d’agrégateur pour un nombre de flux à trois chiffres. Les jolies vues qui présentent 10 articles avec des belles photos ou celles qui proposent une boite pour chaque flux avec ses trois derniers billets sont donc à priori exclues (je classe Netvibes dans ces catégories à priori).

À héberger chez vous :

Leed : du PHP à installer avec un cron pour parcourir les RSS. Il y a une vue smartphone mais il manque les raccourcis claviers. La vue est paginée, une fois lu/sauté les items d’une page, il faut rafraichir la page en cours (pas passer à la suivante sinon les 10 items suivants passeront en première page et seront ignorés). Je n’ai pas l’impression du même côté pratique que Google Reader. La FAQ me donne aussi une petite crainte sur la jeunesse du code.

rssLounge : Assez peu d’informations, si ce n’est qu’il gère les flux de photos et qu’il permet de gérer des priorités suivant les flux. Cette dernière fonctionnalité peut être intéressante. Il y a aussi un jeu de raccourcis clavier. Je n’ai pas testé la visualisation pour mobile. Le projet semble de toutes façons mort depuis novembre 2011, ce qui n’est pas un bon signe.

TinyTinyRSS : L’essentiel des liens sont morts, donc difficile d’en savoir plus. Si ce n’est que c’est actif (dernière version hier), qu’il y a une API, des raccourcis, et même une application Android native (payante mais open source, à vous de recompiler l’application si besoin). La capture d’écran par défaut semble quand même bien moche.

Service tiers :

The Old Reader : Peut être celui qui ressemble le plus à Google Reader, avec une vue mobile, des raccourcis, un fonctionnement similaire. Il y a même une intégration Pocket. Si vous souhaitez un clone, le voilà. Le fait qu’il demande l’accès au carnet d’adresse Google pour s’identifier est toutefois assez bloquant. Certaines actions sont aussi parfois un peu lentes et ils ne parlent à aucun moment d’une API disponible pour des tiers.

Feedly : Complet, il présente pas mal de vues différentes, des raccourcis, des applis sur les différents navigateurs et systèmes mobiles. Il fut basé sur Google Reader mais commence une migration vers ses propres solutions, avec pour objectif d’ouvrir aussi leur API (mais pour l’instant c’est une promesse). Difficile de dire ce que ça donnera ensuite. Le fait d’imposer des extensions de navigateur mais pas d’interface web directe me gêne un peu : Impossible à consulter sur le poste de quelqu’un d’autre.

14 mars 2013
Patterns – RubyGems guides

Pour ma propre archives : Les conventions d’organisation des fichiers et des classes pour les gem Ruby

14 mars 2013