flagos a écrit 2835 commentaires

C'est génial, tu inventes de toutes pièces une phrase qu'il n'a pas dite.

Tout a fait. De plus, le fait de dire a l'oral "c'est du dessin" ou "c'est des maths" change complètement la manière dont on doit résoudre l'exercice, les outils a disposition des élèves n'étant pas les mêmes. Bref, la consigne a changé et il est normal que les élèves s'adaptent a cette consigne.

Un peu comme résoudre Pythagore de manière graphique ou de manière algébrique, l'exercice est complètement différent.

Et que pense l'Académie des chocolatines ?

Ben si. Après tu peux bien inventer tes propres expressions, tes propres mots, mais ca ne sera plus du francais, ce sera juste ta langue.

Au vu de son orientation linux et de l'orientation linux-only de ses contributeurs, je ne crois pas

Mais de qui parle tu ? ;-)

Ben tu as quoi ? SSL, SSH, les navigateurs, ftp, le kernel ? Les autres applis reposent beaucoup sur des libs qui assurent pour elles l'implémentation des choses sensibles… Au final, tu dois pas avoir masse de paquets un peu touchy.

C'est moi qui idéalise ou bien ?

J'aime bien les gars qui balancent "les accolades, toujours, sinon ça pue" mais qui utilisent un noyau qui dit "les accolades, jamais si une ligne" (donc complètement l'inverse de leur super principes).

Sauf que l'indentation est vérifiée par un outil. Et que du coup ca n'a aucune chance de passer en code review.

Chaque projet choisit sa stratégie, selon ses moyens, l'essentiel étant que des étourderies de type "stagiaire de 1ere année" soit filtrée à un moment donné. Il s'agit pas de mettre des accolades juste pour mettre des accolades. Et coté Apple, il n'y a manifestement rien pour filtrer cela.

Sinon, juste comme ca, on dirait que tu as petit sentiment d'infériorité envers les utilisateurs de Linux. Tu nous sors souvent des extrapolations assez farfelues sur les utilisateurs soit disant ultra-geeks de Linux (sérieux, ma grand mère utilise Linux….). D'où tu nous sors un tel complexe toi qui est pourtant par ailleurs assez mégalo ? Tu veux bien nous parler de ton enfance ? Des manchots te tapaient à l'école ?

C'est au projet d'intégrer son patch ou non, et le mainteneur attend une nouvelle release vérifiée et qualifiée, s'il ne peut pas faire lui même cette vérification.

La il s'est juste fendu d'un mail ("hey les gars j'ai un warning"), pas de réponse, j'envoie quand même. Ca ne rend pas son patch vérifié et validé.

Ça tombe bien, c’est que font les développeurs de OpenSSL. Le mainteneur n’a qu’à faire make test après la compilation pour vérifier que le patch qu’il a cru bon d’appliquer sur les sources n’a pas cassé trop de choses.

C'est très bien alors.

– même s’il l’a fait, je ne suis pas sûr que ces tests soient capables de détecter un problème aussi subtil que celui introduit par son patch : comment teste-t-on qu’un générateur de nombres aléatoires produit bien des nombres « suffisamment » aléatoires ?

Alors il ne faut pas laisser au mainteneur croire que faire un make test est suffisant pour valider le binaire ! Si c'est trop compliqué à tester alors il ne faut pas laisser un mainteneur produire des patchs qu'il ne pourra pas qualifier ensuite. Si c'est ca, il reporte upstream, et c'est au projet de voir ce qu'il fait de ce patch.

La pour le coup, je rejoints complètement Zenitram. En matière de sécurité, on a une obligation de résultat. C'est donc très important que les projets et leurs packageurs communiquent bien.

On parle de sécurité.

Ca je suis entièrement avec toi. Il est inacceptable de publier une lib censé implémenter du SSL si ce n'est pas fait sérieusement. Si on a pas le budget ou les connaissances pour le faire sérieusement, on ne le fait pas. Et cela vaut pour Apple comme pour Debian.

Dans le cas d'Apple, le sentiment que ca me donne est qu'il n'y a derrière aucun coding-rule, aucune relecture, aucune vérification sérieuse, aucune analyse de code. Rien. Le pissage de code et c'est envoyé cash à l'utilisateur. La merde est arrivée alors que c'est le flow normal de travail et que rien ne pouvait la filtrer. Ca n'est pas correct, c'est de la responsabilité d'Apple, car comme tu dis, "On parle de sécurité".

Dans le cas de Debian, ce qui n'est pas normal, c'est que le mainteneur est intervenu hors workflow du projet. A mon sens, une distrib n'a pas a faire des patchs à chaud sur ce genre de libs. Mais je suppose (du moins j'espère !) qu'un tel flow existe au sein du projet, même si c'est fait par des bénévoles ! Après peut-être faudrait il que les projets fournissent une suite de tests pour que les mainteneurs puissent vérifier que rien n'a rien régressé au moment du packaging ?

Utilisation du goto, mauvaise indentation, manque de tests, non initialisation de la variable d'erreur, non utilisation des accolades.

Beaucoup de petites erreurs cumulées. Chacun est sensible différemment a ces erreurs. Au final, grosse conséquence puisque le code est une passoire.

Justement non. Et c'est ce qui me choque. Je suis pas expert mais rien que des bonnes pratiques de base aurait du détecter ce souci. Pratiques que l'on applique par ailleurs sur du code beaucoup moins sensible.

Donc oui, je réitère, cette faille est révélatrice: ce n'est pas qu'un problème d'étourderie, c'est un manque de méthode.

Ouai enfin ils vont quand même pas dépenser de l'argent dont on sait pertinemment qu'il n'y aura pas de retour économique, juste parce que çà fait plaisir a Zenitram qui a décrété que c'était l'avenir. C'est un peu court comme argument.

Suggestions/pubs qui ne seront plus faites une fois que les 9 tuiles seront remplies, autrement dit, une fois que l'utilisateur aura visité 9 sites différents.

Et puis un beau jour, on va se rendre compte que sur les 9 tuiles affichées, les 3 dernières ne servent a rien car une étude de haute volée a démontré que l'utilisateur en avait besoin que de 6.

Donc, comme on a en stock un bel algo de suggestion qui permet de savoir mieux que l'utilisateur ce qui lui convient, et ben hop, on remplace les 3 premieres tuiles par quelque chose qui exploitera mieux son temps de cerveau disponible.

Qydlc3QgdnJhaSBxdWUgYydlc3QgZXh0cmVtZW1lbnQgcHJhdGlxdWUuIE9uIHBvdXJyYWl0IGZh
aXJlIHBhcmVpbCBhdmVjIGxlcyBmaWNoaWVycyBkZSBjb25maWcgZGFucyAvZXRjLy4gUG91ciBn
YWduZXIgZGUgbGEgcGxhY2UgYmllbiBzdXIuIEF2ZWMgdW4gYWxnbyBkaWZm6XJlbnQgYSBjaGFx
dWUgZm9pcyBzaW5vbiBjJ2VzdCBwYXMgZHJvbGUuCg==

Il me semble qu'il y a une option avec journald pour retrouver des log en texte.

Mmmm OK.

En fait, la seule explication que je vois c'est que le fait de ne pas avoir cliqué sur refuser doit être équivalent à une acceptation. C'est fou.

Disons que leur implémentation est conforme à l'objectif:

Un mécanisme d’opposition doit être accessible simplement et doit pouvoir être utilisable sur tout types de terminaux (y compris les smartphones et tablettes).

Et c'est bien ca. Tu as une bien une petite popup qui te permet de t'opposer si tu ne souhaites pas être traqué.

Je pense que la petite phrase que tu cite ("Le script suivant permet de désactiver le traçage des outils de mesure d'audience tant que les utilisateurs n'ont pas donné leur consentement.") est juste la pour présenter le script mais qu'elle est mal formulée. Enfin c'est ce que j'en comprend.

Ca y est je l'ai, c'est plus subtil:

   if ( referrer_host != document.location.hostname ) { //si il vient d'un autre site
   //on désactive le tracking et on affiche la demande de consentement            
     window[disableStr] = true;
     window[disableStr] = true;
     window.onload = askConsent;
   } else { //sinon on lui dépose un cookie 
      document.cookie = 'hasConsent=true; '+ getCookieExpireDate() +' ; path=/'; 
   }

En clair, sur la première page, on affiche la banniere, pas de tracking. L'utilisateur ne peut que refuser ou continuer. S'il continue et clic ailleurs, cela vaut acceptation, on tombe dans le else, et cela active le cookie et le tracking.

Du coup, c'est quand même de l'opt-out (comme indiqué par le nom de la méthode dans les sources), mais tu n'es pas traqué sur le premier load. Ca te laisse une chance quoi.

Non. Ce qui me gêne, c'est ce que tu as marqué dans l'article:

Attention, il ne s'agit pas de prévoir un moyen pour que l'utilisateur puisse a posteriori refuser une futur utilisation, mais bien d'une demande d'autorisation préalable,

Alors que c'est bien une demande d'effacement du cookie a postériori, qui se doit par contre d’être facilement accessible. Popup dans l'implémentation de référence. Mais par défaut, le cookie reste intallé de base.

Et surtout en face d'une embassade. C'est toujours très mal pris car les conséquences politiques peuvent etre assez graves si ca dégénère.

Je peux pas recouper son email de remontée de bug avec l'analytique pour savoir quel navigateur il utilise …

Oui, ca c'est vraiment dommage.

Je peux pas voir qu'il visite la page du pricing 3 fois de suite et le croiser avec son abonnement actuel pour lui proposer une periode d'essai sur un plan supérieur …

Tant mieux. En tant que client, je déteste ces pratiques.

Je peux donc pas vérifier si il utilise seulement une partie des fonctionnalités et jamais certaines autres pour tenter de mieux cerner mes clients et améliorer mes offres ?

Si. Tant que ces données restent anonymes.

C'est pas ce que je lis:

// Le code HTML de la demande de consentement
// Vous pouvez modifier le contenu ainsi que le style
div.innerHTML =  '<div style="background-color:#ffffff">Ce site utilise Google Analytics.\
En continuant à naviguer, vous nous autorisez à déposer des cookies à des fins de \
mesure d\'audience.  Pour s\'opposer à ce dépôt vous pouvez cliquer  \
<a href="javascript:gaOptout()">ici</a>.</div>';    

Et apres tu as la fonction gaOptout, qui efface, apres coup, le fameux cookie.

Non. Regarde le code Javascript fourni, c'est bien de l'opt-out. Si l'utilisateur n'a pas refusé, il reste soumis au tracking.

Par contre, la bannière ne disparait qu'une fois qu'il a cliqué.

Quand on va sur le lien, on voit que ce que demande la CNIL est que le mécanisme d'opposition soit accessible. En gros, il faut juste d'afficher dans un coin de la page: "On vous traque avec Analytics, OK avec ca ?" Et proposer refuser ou continuer. Et si le gars continue par ailleurs sans s'interesser à la popup, il continue a être suivi.

Cela n'a rien avec une demande d'autorisation préalable où le 0 action de l'utilisateur n’entraîne aucun tracking.