Stéphane BortzmeyerBonjour, Paris ! Aujourd'hui, c'est #ParisWeb.
Agnès Haasser en ligne « Tempête de boulettes géantes » les pires moments de la vie d'un·e développeu·r·se. #ParisWeb
Boulette = erreur humaine ayant des conséquences sur la prod'
Exemple vouloir supprimer une donnée, et oublier son ID à la fin de l'URL, menant à supprimer toutes les données. #REST #ElasticSearch #ParisWeb
Les solutions anti-boulettes : pas de déploiement manuel, tout automatiser. Pas de procédures écrites « si vous faites X, pensez à faire Y » #ParisWeb
Poule sur l'écran ! #ParisWeb @LaurentChemla
Toujours être deux pour toucher à la prod', un qui fait et un canard en plastique, à qui on explique et qui surveille. #ParisWeb https://fr.wikipedia.org/wiki/Canard_en_plastique
Plein de blagues qui feraient honte à @Keltounet « discuter avec un canard, c'est chouette » #ParisWeb
« Les choses dangereuses doivent être compliquées et pénibles à faire » (management par la flemme, car les développeurs sont paresseux). #ParisWeb
Bon, Agnès spoile complètement ma conf' de demain, elle dit tout ce que je voulais dire (mais en mieux). #ParisWeb
Très bonne pratique : documenter tous les incidents de prod' (RetEx). En plus, les développeurs détestent documenter, donc ça les motive pour ne pas faire d'incident) #ParisWeb #boulettes
« Il faut aussi penser au positif » Ah, on voit qu'on est à #ParisWeb bienveillance, positivisme, licornes et bisounours.
Now, April Kink, in english, about the history of Web security. #ParisWeb
I can write the executive summary: "in the past, the Web was insecure. Now it is insecure."
HTTPS appeared in 1995, that's a long time ago. I completely forgot there was an (unsuccessful) Microsoft competitor: PCT. #ParisWeb
To deal with the insecure Certificate Authorities, HPKP (complicated, and its easy to make a a mistake) and Certificate Transparency https://crt.sh/ #ParisWeb #PKIX #X509
"With Let's Encrypt, you never have to worry about the risk of certificate expiration" #wishfulThinking #ParisWeb
"Content Security Policy is hard to do because Web sites are complex, cannot track what they use, and load a lot of Javascript [ads for instance] which also load code" And then technical solutions instead of asking "do we really want to support this use case?" #ParisWeb
Subresource integrity: when you load JavaScript from a third-party Web site (like British Airways did when they were cracked), you can specify a hash of the code, and it will be checked by the browser. (Of course, this is quite static, if the script changes, it won't work anymore). #securityVsConvenience #ParisWeb
And don't forget to test your Web site: https://observatory.mozilla.org/ #ParisWeb
See https://observatory.mozilla.org/analyze/www.bortzmeyer.org https://observatory.mozilla.org/analyze/www.paris-web.fr
« Dans le futur, tous les sites Web seront remplacés par des chatbots » (un chef, cité par l'oratrice) #ParisWeb
UX des enceintes « intelligentes » Quelqu'un a pensé à la cacophonie si tous vos objets parlent et écoutent ? Et la honte si on est dans le bus ? « OK, Google, prends rendez-vous avec le proctologue » #ParisWeb
Benchmark des enceintes « intelligentes » : c'est plus long de fixer un RV avec la voix qu'avec les doigts.
Le pire, ce sont les réponses, toujours trop longues, et linéaires.
Conséquence pratique de la difficulté à lister des choix en audio : les enceintes « intelligentes » réduisent le choix notamment en e-commerce. #ParisWeb
Darathor@bortzmeyer Du coup le proctologue se retrouve d'un coup avec 10 nouveaux rendez-vous vu que la moitié des ordiphones du bus écoutent ^^
Une bonne solution pour relancer la croissance ! #StartUpNation
J'essaie maintenant l'autre salle à #ParisWeb, celle de Blaise. Elle est minuscule. Et c'est celle que j'ai pour ma conf' demain :-(
En plus, ce matin, la parité des orateurs n'était pas respectée dans la grand amphi.
(On voit qu'il n'y avait pas assez de desserts et que je n'en ai pas eu, je râle.)
Trop bien, les slaïdes uniquement en émojis. @Natouille , l'intro t'aurait plu. #teamUnicode #W3C #ParisWeb
John Shaft (ジョン・シャフト) ✅@bortzmeyer En parlant de CSP, celle de l'observatoire Mozilla est pas mal 🤔
https://observatory.mozilla.org/analyze/observatory.mozilla.org
Ollivier Robert 🇺🇦😷🌈@Shaft @bortzmeyer ils sont bons :)
Je suis B+, c'est ma CSP avec des styles inlines qui me met dedans…
@Keltounet @Shaft Moi, je suis nul (F), j'arrête le digital.
@bortzmeyer @Shaft c'est vrai qu'à lire securityheaders.io ça fait mal. C'est pas compliqué à corriger par contre :)
@Keltounet @Shaft Mais est-ce utile, pour un site sans cookie, sans Javascript, et presque entièrement statique ? #flemme
@Keltounet Leur CSP évoque surtout la complexité de la chose qu'évoquait @bortzmeyer :)
@bortzmeyer HPKP is dead.
@Keltounet That's mostly what she said.
@bortzmeyer The king of DANE being plagued by a monster, I understand why it is not largely deployed (I can't see any other explaination)
Marcin Cieślak@bortzmeyer There was also S-HTTP
sebsauvage@bortzmeyer
Why am I not surprised ? 🙄
Why am I not surprised ? 🙄
April King, sorry for the typo. #ParisWeb
@bortzmeyer Tomorrow, it will be insecure #prediction
Gribouilleuse 🏳️⚧️ 🏳️🌈@bortzmeyer C'est pas qu'on aime pas documenter c'est que faire certaines docs absurdes mais obligatoires que personne ne lit jamais c'est pas ce qui motive non plus ;)
@gribouilleuse De mon expérience, pas mal de RetEx sont effectivement du gloubiboulga, conçu pour planquer sous le tapis les erreurs.
Patrick Mevzek@bortzmeyer Ce n'est que la moitié: d'expérience, documenter sans se forcer après à définir des actions pour éviter de reproduire le même problème. Je sépare résolutions à court terme (remettre la prod en marche tout de suite) des résolutions réelles et complètes dans le futur (architecture, etc.). Sinon moi j'appelle ca un post-mortem plutôt qu'une abbréviation.
🍻 alfajet 🇫🇷 🇬🇧@bortzmeyer
Et il ne faut pas oublier de l’arroser de temps à autres. Les vendredi soirs par ex ? 😉
Et il ne faut pas oublier de l’arroser de temps à autres. Les vendredi soirs par ex ? 😉
Camille - stature de tragédienLes bons adminSys aussi !
Les mauvais étant des travailleurs infatigables qui n'automatisent rien... 😏
Will T
mmu_man@bortzmeyer bah on est deux dans ma tête déjà, alors c'est bon :D