Stéphane BortzmeyerBonjour, Paris ! Aujourd'hui, c'est #ParisWeb.
Agnès Haasser en ligne « Tempête de boulettes géantes » les pires moments de la vie d'un·e développeu·r·se. #ParisWeb
Boulette = erreur humaine ayant des conséquences sur la prod'
Exemple vouloir supprimer une donnée, et oublier son ID à la fin de l'URL, menant à supprimer toutes les données. #REST #ElasticSearch #ParisWeb
Les solutions anti-boulettes : pas de déploiement manuel, tout automatiser. Pas de procédures écrites « si vous faites X, pensez à faire Y » #ParisWeb
Poule sur l'écran ! #ParisWeb @LaurentChemla
Toujours être deux pour toucher à la prod', un qui fait et un canard en plastique, à qui on explique et qui surveille. #ParisWeb https://fr.wikipedia.org/wiki/Canard_en_plastique
Plein de blagues qui feraient honte à @Keltounet « discuter avec un canard, c'est chouette » #ParisWeb
« Les choses dangereuses doivent être compliquées et pénibles à faire » (management par la flemme, car les développeurs sont paresseux). #ParisWeb
Bon, Agnès spoile complètement ma conf' de demain, elle dit tout ce que je voulais dire (mais en mieux). #ParisWeb
Très bonne pratique : documenter tous les incidents de prod' (RetEx). En plus, les développeurs détestent documenter, donc ça les motive pour ne pas faire d'incident) #ParisWeb #boulettes
« Il faut aussi penser au positif » Ah, on voit qu'on est à #ParisWeb bienveillance, positivisme, licornes et bisounours.
Now, April Kink, in english, about the history of Web security. #ParisWeb
I can write the executive summary: "in the past, the Web was insecure. Now it is insecure."
HTTPS appeared in 1995, that's a long time ago. I completely forgot there was an (unsuccessful) Microsoft competitor: PCT. #ParisWeb
To deal with the insecure Certificate Authorities, HPKP (complicated, and its easy to make a a mistake) and Certificate Transparency https://crt.sh/ #ParisWeb #PKIX #X509
"With Let's Encrypt, you never have to worry about the risk of certificate expiration" #wishfulThinking #ParisWeb
"Content Security Policy is hard to do because Web sites are complex, cannot track what they use, and load a lot of Javascript [ads for instance] which also load code" And then technical solutions instead of asking "do we really want to support this use case?" #ParisWeb
Subresource integrity: when you load JavaScript from a third-party Web site (like British Airways did when they were cracked), you can specify a hash of the code, and it will be checked by the browser. (Of course, this is quite static, if the script changes, it won't work anymore). #securityVsConvenience #ParisWeb
And don't forget to test your Web site: https://observatory.mozilla.org/ #ParisWeb
See https://observatory.mozilla.org/analyze/www.bortzmeyer.org https://observatory.mozilla.org/analyze/www.paris-web.fr
« Dans le futur, tous les sites Web seront remplacés par des chatbots » (un chef, cité par l'oratrice) #ParisWeb
UX des enceintes « intelligentes » Quelqu'un a pensé à la cacophonie si tous vos objets parlent et écoutent ? Et la honte si on est dans le bus ? « OK, Google, prends rendez-vous avec le proctologue » #ParisWeb
Benchmark des enceintes « intelligentes » : c'est plus long de fixer un RV avec la voix qu'avec les doigts.
Le pire, ce sont les réponses, toujours trop longues, et linéaires.
Conséquence pratique de la difficulté à lister des choix en audio : les enceintes « intelligentes » réduisent le choix notamment en e-commerce. #ParisWeb
« L'enceinte intelligente, il faut lui parler simple. » (« c'est comme un mec », dit ma voisine.) #ParisWeb
Éthique des chatbots : il faut annoncer clairement qu'on est un bot (contre-exemple su rle slide, avec un bot menteur prétendant qu'il est le PDG de la boite). #ParisWeb
Beaucoup de chatbots pourris, créés juste parce que c'est à la mode, avec des simples aiguillages « voulez-vous A ou B ? » #ParisWeb #marketing
Clailou _sorcière_
Darathor@bortzmeyer Du coup le proctologue se retrouve d'un coup avec 10 nouveaux rendez-vous vu que la moitié des ordiphones du bus écoutent ^^
Une bonne solution pour relancer la croissance ! #StartUpNation
J'essaie maintenant l'autre salle à #ParisWeb, celle de Blaise. Elle est minuscule. Et c'est celle que j'ai pour ma conf' demain :-(
En plus, ce matin, la parité des orateurs n'était pas respectée dans la grand amphi.
(On voit qu'il n'y avait pas assez de desserts et que je n'en ai pas eu, je râle.)
Trop bien, les slaïdes uniquement en émojis. @Natouille , l'intro t'aurait plu. #teamUnicode #W3C #ParisWeb
Et le W3C utilise Twitter plutôt que des rézosocios utilisant les normes W3C comme #ActivityPub. #cordonnier #ParisWeb
David Rousset sur le calcul #quantique.Inhabituel sujet pour #ParisWeb. La salle est pleine (ou vide, cela dépend de la mesure.)
Le chat de Schrödinger essaie de rentrer dans le petit riquiqui amphi de #ParisWeb.
« Quel est ce phoque ? » Ça commence fort cet après-midi à #ParisWeb.
<pub insert="sauvage">Moi aussi, j'ai parlé de quantique</pub><a href="http://www.bortzmeyer.org/pas-sage-en-seine-quantique.html"/><hashtag>#ParisWeb</hashtag>
« Ne dites pas que les ordinateurs quantiques sont compliqués à comprendre. Qui comprend le fonctionnement d'un ordinateur classique ? Pas les programmeurs #JavaScript en tout cas. » #ParisWeb
Le n'importe nawak du jour « il existe des algorithmes post-quantiques, par exemple la blockchain » #ParisWeb
"commitlint", un script qui vérifie que les messages de commit sont conformes à la Policy et au Code of Conduct. À mettre dans un pre-hook #git. #auSecours #ParisWeb
Allez, du courage, une conf' #RGPD maintenant (par Laurie-Anne Bourdain). #droit #viePrivée #ParisWeb
Tordons le cou à quelques idées fausses :
- le RGPD protège les gens situés en Europe, qu'ils soient citoyens de l'UE ou pas
- le sous-traitant a une responsabilité, il ne peut pas se décharger sur le responsable du traitement
« Si la fuite de données personnelles se produit un vendredi soir, vous allez passer un mauvais week-end. » (Le délai de notification à la CNIL est en heures, pas en heures ouvrables). #ParisWeb
Maïtané 👣@bortzmeyer Est-ce qu'elle a vu du positif quand même ? :D
mortal-3 points de charisme…
mmu_man@bortzmeyer @Shaft on est pas passés loin d'une fracture de l'espace-temps…
Parade du Grotesque 💀
John Shaft (ジョン・シャフト) ✅@ParadeGrotesque @bortzmeyer Un chaton par dépendance 😈
Ah oui, là c'est plus sérieux 😱
🐧DaveNull🐧 ☣️pResident Evil☣@bortzmeyer En parlant de CSP, celle de l'observatoire Mozilla est pas mal 🤔
https://observatory.mozilla.org/analyze/observatory.mozilla.org
Ollivier Robert 🇺🇦😷🌈@Shaft @bortzmeyer ils sont bons :)
Je suis B+, c'est ma CSP avec des styles inlines qui me met dedans…
@Keltounet @Shaft Moi, je suis nul (F), j'arrête le digital.
@bortzmeyer @Shaft c'est vrai qu'à lire securityheaders.io ça fait mal. C'est pas compliqué à corriger par contre :)
@Keltounet @Shaft Mais est-ce utile, pour un site sans cookie, sans Javascript, et presque entièrement statique ? #flemme
@bortzmeyer @Keltounet Le contenu des entêtes lié à la sécurité sera bientôt plus important en terme de taille que le contenu HTML de la page récupérée ^^
@bortzmeyer @Shaft c'est justement tellement facile dans ton cas que je ne vois aucune raison de ne pas le faire. ça fait 5 lignes dans mon nginx.conf…
@Keltounet @Shaft % ls nginx.conf
ls: cannot access 'nginx.conf': No such file or directory
"OK, Google, could you secure my Web site?"
@bortzmeyer @Shaft ça doit faire 10 lignes chez M. Apache hein :)
@Keltounet @bortzmeyer Du coup, l'observatoire de Mozilla me dit qu'il en manque (genre 'frame-ancestors'), vais rajouter ça ce soir (et trouver des sources pour une veille là dessus 🤔)
@Shaft @Keltounet Moi, j'ai juste wget --server-response --output-document /dev/null https://blog.keltia.net/ >> apache.conf && systemctl configure-correctly apache
@Keltounet Leur CSP évoque surtout la complexité de la chose qu'évoquait @bortzmeyer :)