Je remarque notamment, par ordre de ce que je considère le plus innovant :
L'utilisation d'alternatives contextuelles (ligatures « calt ») pour implémenter ce qu'ils appellent « texture healing », que l'on pourrait traduire par « amélioration du gris typographique ». Par exemple, si un i (caractère assez étroit, généralement un peu étalé dans les polices à chasse fixe pour qu'il « occupe sa case ») se trouve à côté d'un m (caractère assez large, généralement un peu compressé dans les polices à chasse fixe pour qu'il « tienne dans sa case »), il y a une ligature prévue avec un i un poil décalé, un m un poil plus large (mais toujours de justesse dans les limites de sa case), et les deux côte à côte sont donc plus harmonieux dans ce cas.
La fonctionnalité n'est pas nouvelle, elle est utilisée pour les langues arabes notamment, je crois que son application au gris typographique est une vraie nouveauté.
Cinq polices de styles assez différents mais avec exactement les mêmes métriques, et donc possibilité de configurer plusieurs polices pour éditer un même texte si l'éditeur le supporte (par exemple une police pour les commentaires, une autre pour le code).
Trois axes de réglage en continu (poids, largeur, inclinaison) au lieu de ne supporter que quelques valeurs, c'est ne sont pas les premiers à le faire, mais c'est un bel état de l'art.
Huit tables de ligatures pour des notations assez fréquentes en programmation (-> illustré par une vraie flèche par exemple, ou <= illustré par un vrai signe inférieur ou égal), activables à volonté.
Ça sent l'anglicisme « big », mal compris, mal traduit.
Aux États-Unis notamment, la tendance est (ou a été) d'utiliser big à la place de fat, pour moins froisser. Mais dans ce cas, utiliser gros n'est presque pas incorrect. :)
surtout ces dernières années depuis que ce contributeur a cherché à envenimer les choses à son profit
Ce résumé me semble assez incorrect, et donne l'impression qu'il s'agit de quelqu'un de machiavélique qui n'est venu que profiter du travail des autres. C'est très désobligeant et très loin de ce que l'on peut trouver quand on creuse un peu et qu'on lit les écrits des uns et des autres.
Pour autant que je sache (et j'ai pas mal exploré ce sujet), Aurélien Pierre a été un contributeur majeur de Darktable pendant plusieurs années, acteur notamment dans la très importante modernisation du workflow de Darktable (scene-referred workflow) et auteur/rénovateur de nombreux modules de Darktable, notamment Filmique. Darktable lui doit beaucoup.
Il est clairement brillant, et comme beaucoup de gens brillants, il a des opinions assez arrêtées et un franc-parler qui n'est pas sans rappeler celui d'un certain Linus. Pas toujours facile à vivre, c'est possiblement ce qui a entraîné des tensions croissantes avec les autres contributeurs de Darktable.
Il s'est manifestement éloigné du projet Darktable (je n'ai pas suivi les détails). … … Bon, je viens de prendre le temps de lire https://ansel.photos/fr/news/darktable-dans-le-mur-au-ralenti/ et c'est clair qu'il ne mâche pas ses mots ! Ça n'en fait pas pour autant une critique incorrecte, il soulève de très nombreux points légitimement inquiétants sur la gestion du projet, et on peut comprendre sa décisier de forker.
En fait je n'utilise pas de catch-all (ce serait manifestement le déluge du spam), mais un alias avec * dedans (prefixe.*@example.com). Ça me permet de donner une adresse différente à chaque organisation et commerce sans me prendre la tête, et sans utiliser le caractère +, très mal géré par de nombreux sites.
Malheureusement, autant certains concurrents fournissent des alias, de ce que je vois c'est souvent sans métacaractère (ce qui impose de les déclarer par avance), et limité en nombre.
J'ai deux domaines .fr et un domaine .xyz chez Gandi, rien que pour ça je passerais de 49,15 € par an à 59,96 € par an, soit assez précisément 22 % d'augmentation.
Mais j'ai aussi deux boîtes mail, ce qui m'ajouterait 114,91 € par an, soit une augmentation globale de mon budget Gandi de 256 % !
Y'a juste pas moyen, en tout cas certainement pas de garder les deux. Je suis un gros utilisateur de catch-all et de sieve, il me faut donc un trouver ou mettre en place un service équivalent… Tiens j'avais que ça à faire…
De ce que je comprends, la validation par l'appli c'est aussi du 3D Secure.
Chez Fortuneo, si tu as installé l'appli mobile, alors ça passe forcément par l'appli, sinon c'est code SMS + mot de passe à saisir dans une IHM web 3D Secure.
Le fait d'utiliser 3D Secure dépend du marchand. (Et il y a peut-être plusieurs niveaux de 3D Secure ? Dans certains cas rares j'ai des vérifications de faible sécurité, genre date de naissance.)
Le SMS est encore un peu considéré comme preuve de possession d'un item physique, même si effet la barque prend l'eau. C'est entre autres pour cela que la directive DSP2 impose d'utiliser deux authentifications différentes, et qu'il est prévu d'arrêter d'utiliser les SMS d'ici fin 2020. Enfin 2021. Euh bientôt quoi.
Et donc depuis une semaine chez Fortuneo : le site marchand ouvre une popup prestataire paiement qui demande un code reçu par sms ; renseigner le code sms fourni par fortuneo ; la popup demande le mot de passe du site web Fortuneo ; renseigner le mot de passe du site web Fortuneo ; fin de l'opération.
C'est pas un problème pour le client en effet. C'est un choix du vendeur, qui prend le risque financier de ne pas bien valider la carte du client, mais qui du coup a un parcours d'achat plus fluide. C'est le choix d'Amazon.
Je n'ai rien vu à ce sujet. Pas de liste d'opération en attente de validation. Le seul parcours de validation, c'est de saisir successivement le code reçu par SMS et le mot de passe, chez Worldline.
Je pense que ce n'est pas incompatible RGPD, puisque dans le cas présent Worldline est un prestataire de Fortuneo en ce qui concerne la gestion du 3D Secure.
Pour être bien clair vu qu'on parle de deux intermédiaires, le mot de passe n'est pas transmis à l'intermédiaire de paiement du marchand, mais uniquement au sein des pages 3D Secure de Worldline.
(Mais ça reste complètement hallucinant. J'essaierai de tracer encore plus précisément les URL appelées lors de mon prochain paiement Internet pour vérifier que je n'hallucine pas. Mais je suis assez certain que je n'hallucine pas.)
d'après ce que je lis ici, un lien s'affiche pour aller sur ce qui est censé être le site de la banque (et non celui de l'intermédiaire de paiement comme ta femme l'a supposé) et là il faut saisir le mot de passe
Pas du tout, aucun lien à cliquer, l'authentification s'affiche automatiquement en iframe ou nouvel onglet, c'est juste une étape de plus dans le parcours 3D Secure.
L'envoi des données, y compris le mot de passe si j'ai bien vu, se fait sur l'intermédiaire de paiement, c'est complètement indépendant d'une session qu'on aurait éventuellement ouverte en parallèle sur le site Fortuneo.
La directive DSP2 a renforcé les mesures en ce qui concerne l'authentification des achats. À partir du moment où le vendeur choisit d'utiliser 3D Secure (c'est pas obligé, notamment Amazon ne le fait pas), il y a maintenant deux secrets à fournir, parmi trois catégories.
Les catégories sont :
Ce que tu es (biométrie) : empreinte digitale, oculaire, vocale…
Ce que tu as : token générateur de code unique, carte SIM pour recevoir un code unique…
Ce que toi seul sais : code PIN, mot de passe…
Ça fait des années que ces normes ont été définies, les banques ont obtenu des délais supplémentaires pour les mettre en place, là on est au bout du bout du dernier délai il me semble.
Beaucoup de banque on choisi un code ou mot de passe spécifique pour les achats Internet. Fortuneo a pété un plomb et réutilise le mot de passe d'accès aux comptes…
Certains sites affichent ces pages en iframe, auquel cas l'utilisateur ne voit pas l'URL et est sur un parcours habituel avec une nouvelle étape un peu louche. Mais d'autres affichent la page dans un onglet à part, et l'utilisateur est confronté à cette nouvelle étape un peu louche avec une adresse super louche. De quoi ne plus faire confiance en rien.
Je pense que Fortuneo s'est retrouvé au pied du mur en termes d'obligation d'implémenter DSP2, et a fait un truc à l'arrache. C'est vraiment décevant.
Non c'est pas faux, ça doit être une des conséquences de DSP2, le SMS seul n'étant plus jugé assez sûr, il faut ajouter une deuxième catégories de secret, par exemple quelque chose que l'utilisateur est le seul à savoir (un mot de passe) ou quelque chose que l'utilisateur est le seul à être (une empreinte digitale).
De nombreuses banques ont mis en place un petit code / mot de passe spécifique aux achats Internet (LCL, CA, BNP pour ceux que je connais).
… Fortuneo a juste mis le mot de passe principal du compte bancaire. Sur une URL bien illisible. …
On peut s'interroger sur l'hypothèse initiale, ces transactions ont-elles réellement eu lieu ?
Si c'est un service anti-fraude de la banque qui a géré ça, il est possible que les transactions aient été interceptées (et annulées) en amont, bien avant d'arriver sur le compte du client.
C'est ce qui m'était arrivé il y a une quinzaine d'années à la Société Générale.
[^] # Re: fourmilab.ch
Posté par Boa Treize (site web personnel) . En réponse au lien Bronsonisation de John Walker, fondateur de Autodesk. Évalué à 3 (+1/-0).
Hé oui, ça fait 16 ans que je m'en sers quotidiennement ou presque : https://www.fourmilab.ch/cgi-bin/HackDiet/
Reste à voir comment héberger ça à titre perso.
# Intéressant
Posté par Boa Treize (site web personnel) . En réponse au lien An innovative superfamily of fonts for code. Évalué à 10.
Je remarque notamment, par ordre de ce que je considère le plus innovant :
L'utilisation d'alternatives contextuelles (ligatures « calt ») pour implémenter ce qu'ils appellent « texture healing », que l'on pourrait traduire par « amélioration du gris typographique ». Par exemple, si un i (caractère assez étroit, généralement un peu étalé dans les polices à chasse fixe pour qu'il « occupe sa case ») se trouve à côté d'un m (caractère assez large, généralement un peu compressé dans les polices à chasse fixe pour qu'il « tienne dans sa case »), il y a une ligature prévue avec un i un poil décalé, un m un poil plus large (mais toujours de justesse dans les limites de sa case), et les deux côte à côte sont donc plus harmonieux dans ce cas.
La fonctionnalité n'est pas nouvelle, elle est utilisée pour les langues arabes notamment, je crois que son application au gris typographique est une vraie nouveauté.
Cinq polices de styles assez différents mais avec exactement les mêmes métriques, et donc possibilité de configurer plusieurs polices pour éditer un même texte si l'éditeur le supporte (par exemple une police pour les commentaires, une autre pour le code).
Trois axes de réglage en continu (poids, largeur, inclinaison) au lieu de ne supporter que quelques valeurs, c'est ne sont pas les premiers à le faire, mais c'est un bel état de l'art.
Huit tables de ligatures pour des notations assez fréquentes en programmation (-> illustré par une vraie flèche par exemple, ou <= illustré par un vrai signe inférieur ou égal), activables à volonté.
[^] # Re: un autre grand remplacement
Posté par Boa Treize (site web personnel) . En réponse au lien Depuis quand le beau a-t-il remplacé le bon ? (ndid : si le résultat est OK il est BON pas beau). Évalué à 2. Dernière modification le 13 septembre 2023 à 09:57.
Aux États-Unis notamment, la tendance est (ou a été) d'utiliser big à la place de fat, pour moins froisser. Mais dans ce cas, utiliser gros n'est presque pas incorrect. :)
[^] # Re: 🙄
Posté par Boa Treize (site web personnel) . En réponse au journal Sortie de darktable 4.4.0, non, 4.4.1, pardon, 4.4.2. Évalué à 6.
Ce résumé me semble assez incorrect, et donne l'impression qu'il s'agit de quelqu'un de machiavélique qui n'est venu que profiter du travail des autres. C'est très désobligeant et très loin de ce que l'on peut trouver quand on creuse un peu et qu'on lit les écrits des uns et des autres.
Pour autant que je sache (et j'ai pas mal exploré ce sujet), Aurélien Pierre a été un contributeur majeur de Darktable pendant plusieurs années, acteur notamment dans la très importante modernisation du workflow de Darktable (scene-referred workflow) et auteur/rénovateur de nombreux modules de Darktable, notamment Filmique. Darktable lui doit beaucoup.
Il est clairement brillant, et comme beaucoup de gens brillants, il a des opinions assez arrêtées et un franc-parler qui n'est pas sans rappeler celui d'un certain Linus. Pas toujours facile à vivre, c'est possiblement ce qui a entraîné des tensions croissantes avec les autres contributeurs de Darktable.
Il s'est manifestement éloigné du projet Darktable (je n'ai pas suivi les détails). … … Bon, je viens de prendre le temps de lire https://ansel.photos/fr/news/darktable-dans-le-mur-au-ralenti/ et c'est clair qu'il ne mâche pas ses mots ! Ça n'en fait pas pour autant une critique incorrecte, il soulève de très nombreux points légitimement inquiétants sur la gestion du projet, et on peut comprendre sa décisier de forker.
[^] # Re: Que ? Quoi ? Pardon ?
Posté par Boa Treize (site web personnel) . En réponse au journal Gandi, passe de « no bullshit » à « bait and switch » ?. Évalué à 4.
Le problème c'est qu'il faut déclarer chaque alias avant utilisation, ce qui enlève une grande part de l'intérêt de ce que propose Gandi.
[^] # Re: Exemple concret
Posté par Boa Treize (site web personnel) . En réponse au journal Gandi, passe de « no bullshit » à « bait and switch » ?. Évalué à 5.
En fait je n'utilise pas de catch-all (ce serait manifestement le déluge du spam), mais un alias avec * dedans (prefixe.*@example.com). Ça me permet de donner une adresse différente à chaque organisation et commerce sans me prendre la tête, et sans utiliser le caractère +, très mal géré par de nombreux sites.
Malheureusement, autant certains concurrents fournissent des alias, de ce que je vois c'est souvent sans métacaractère (ce qui impose de les déclarer par avance), et limité en nombre.
# Exemple concret
Posté par Boa Treize (site web personnel) . En réponse au journal Gandi, passe de « no bullshit » à « bait and switch » ?. Évalué à 9.
J'ai deux domaines .fr et un domaine .xyz chez Gandi, rien que pour ça je passerais de 49,15 € par an à 59,96 € par an, soit assez précisément 22 % d'augmentation.
Mais j'ai aussi deux boîtes mail, ce qui m'ajouterait 114,91 € par an, soit une augmentation globale de mon budget Gandi de 256 % !
Y'a juste pas moyen, en tout cas certainement pas de garder les deux. Je suis un gros utilisateur de catch-all et de sieve, il me faut donc un trouver ou mettre en place un service équivalent… Tiens j'avais que ça à faire…
# Validation par appel téléphonique
Posté par Boa Treize (site web personnel) . En réponse au journal Les banques et l'authentification à deux facteurs. Évalué à 3. Dernière modification le 13 juin 2023 à 21:39.
C'est plus rare, mais je l'ai eu dans quelques établissements financiers et pour des signatures électroniques.
Clic sur le site pour déclencher la procédure, dans la foulée tu reçois un appel téléphonique automatisé, qui te dicte un code à saisir sur le site.
J'ai un vague souvenir d'avoir eu l'inverse, le site qui affiche un code à saisir sur un serveur vocal, mais ça date de pas mal d'années maintenant.
[^] # Re: comment se passe la sélection du parcours ?
Posté par Boa Treize (site web personnel) . En réponse au journal Les banques et l'authentification à deux facteurs. Évalué à 2.
De ce que je comprends, la validation par l'appli c'est aussi du 3D Secure.
Chez Fortuneo, si tu as installé l'appli mobile, alors ça passe forcément par l'appli, sinon c'est code SMS + mot de passe à saisir dans une IHM web 3D Secure.
Le fait d'utiliser 3D Secure dépend du marchand. (Et il y a peut-être plusieurs niveaux de 3D Secure ? Dans certains cas rares j'ai des vérifications de faible sécurité, genre date de naissance.)
[^] # Re: faux, c'est confondre.;.
Posté par Boa Treize (site web personnel) . En réponse au journal Ils sont devenu fous. Évalué à 5.
C'est clair que s'ils avaient quelque chose genre https://fortuneo.3d-secure.worldline.com/(...) ou même idéalement https://3d-secure.fortuneo.fr/(...) ce serait déjà moins flippant.
[^] # Re: Double identification et item physique
Posté par Boa Treize (site web personnel) . En réponse au journal Ils sont devenu fous. Évalué à 3.
Le SMS est encore un peu considéré comme preuve de possession d'un item physique, même si effet la barque prend l'eau. C'est entre autres pour cela que la directive DSP2 impose d'utiliser deux authentifications différentes, et qu'il est prévu d'arrêter d'utiliser les SMS d'ici fin 2020. Enfin 2021. Euh bientôt quoi.
[^] # Re: Dis moi que tu es chez Fortuneo sans me dire que tu es chez Fortuneo
Posté par Boa Treize (site web personnel) . En réponse au journal Ils sont devenu fous. Évalué à 2.
Et donc depuis une semaine chez Fortuneo : le site marchand ouvre une popup prestataire paiement qui demande un code reçu par sms ; renseigner le code sms fourni par fortuneo ; la popup demande le mot de passe du site web Fortuneo ; renseigner le mot de passe du site web Fortuneo ; fin de l'opération.
[^] # Re: Double identification et item physique
Posté par Boa Treize (site web personnel) . En réponse au journal Ils sont devenu fous. Évalué à 2.
Il y a un troisième cas en plus du secret et de l'item physique, qui est la biométrie, notamment avec les lecteurs d'empreinte digitale.
Et ce qu'a mis Fortuneo en place est bien une double authentification : item physique (code reçu par SMS) + secret (mot de passe de leur site web).
[^] # Re: gné?
Posté par Boa Treize (site web personnel) . En réponse au journal Ils sont devenu fous. Évalué à 3.
C'est pas un problème pour le client en effet. C'est un choix du vendeur, qui prend le risque financier de ne pas bien valider la carte du client, mais qui du coup a un parcours d'achat plus fluide. C'est le choix d'Amazon.
[^] # Re: Dis moi que tu es chez Fortuneo sans me dire que tu es chez Fortuneo
Posté par Boa Treize (site web personnel) . En réponse au journal Ils sont devenu fous. Évalué à 4. Dernière modification le 12 juin 2023 à 14:00.
Je n'ai rien vu à ce sujet. Pas de liste d'opération en attente de validation. Le seul parcours de validation, c'est de saisir successivement le code reçu par SMS et le mot de passe, chez Worldline.
[^] # Re: Dis moi que tu es chez Fortuneo sans me dire que tu es chez Fortuneo
Posté par Boa Treize (site web personnel) . En réponse au journal Ils sont devenu fous. Évalué à 2.
Quand on parle de "carte virtuelle" plutôt que de "e-Carte Bleue" c'est qu'on est plutôt chez Fortuneo. ;)
[^] # Re: faux, c'est confondre.;.
Posté par Boa Treize (site web personnel) . En réponse au journal Ils sont devenu fous. Évalué à 4.
Je pense que ce n'est pas incompatible RGPD, puisque dans le cas présent Worldline est un prestataire de Fortuneo en ce qui concerne la gestion du 3D Secure.
Pour être bien clair vu qu'on parle de deux intermédiaires, le mot de passe n'est pas transmis à l'intermédiaire de paiement du marchand, mais uniquement au sein des pages 3D Secure de Worldline.
(Mais ça reste complètement hallucinant. J'essaierai de tracer encore plus précisément les URL appelées lors de mon prochain paiement Internet pour vérifier que je n'hallucine pas. Mais je suis assez certain que je n'hallucine pas.)
[^] # Re: faux, c'est confondre.;.
Posté par Boa Treize (site web personnel) . En réponse au journal Ils sont devenu fous. Évalué à 2.
Pas du tout, aucun lien à cliquer, l'authentification s'affiche automatiquement en iframe ou nouvel onglet, c'est juste une étape de plus dans le parcours 3D Secure.
L'envoi des données, y compris le mot de passe si j'ai bien vu, se fait sur l'intermédiaire de paiement, c'est complètement indépendant d'une session qu'on aurait éventuellement ouverte en parallèle sur le site Fortuneo.
[^] # Re: gné?
Posté par Boa Treize (site web personnel) . En réponse au journal Ils sont devenu fous. Évalué à 10. Dernière modification le 12 juin 2023 à 10:46.
La directive DSP2 a renforcé les mesures en ce qui concerne l'authentification des achats. À partir du moment où le vendeur choisit d'utiliser 3D Secure (c'est pas obligé, notamment Amazon ne le fait pas), il y a maintenant deux secrets à fournir, parmi trois catégories.
Les catégories sont :
Ça fait des années que ces normes ont été définies, les banques ont obtenu des délais supplémentaires pour les mettre en place, là on est au bout du bout du dernier délai il me semble.
Beaucoup de banque on choisi un code ou mot de passe spécifique pour les achats Internet. Fortuneo a pété un plomb et réutilise le mot de passe d'accès aux comptes…
[^] # Re: faux, c'est confondre.;.
Posté par Boa Treize (site web personnel) . En réponse au journal Ils sont devenu fous. Évalué à 6.
C'est l'URL des pages d'authentification 3D Secure, gérées par Worldline pour Fortuneo.
C'est juste bien illisible pour l'utilisateur lambda, exemple concret pour le paiement que je viens de faire à l'instant : https://ssl-prd-u9f-fo-acs-pa-bxl.wlp-acs.com/acs-auth-pages/(...)
Certains sites affichent ces pages en iframe, auquel cas l'utilisateur ne voit pas l'URL et est sur un parcours habituel avec une nouvelle étape un peu louche. Mais d'autres affichent la page dans un onglet à part, et l'utilisateur est confronté à cette nouvelle étape un peu louche avec une adresse super louche. De quoi ne plus faire confiance en rien.
Je pense que Fortuneo s'est retrouvé au pied du mur en termes d'obligation d'implémenter DSP2, et a fait un truc à l'arrache. C'est vraiment décevant.
# Dis moi que tu es chez Fortuneo sans me dire que tu es chez Fortuneo
Posté par Boa Treize (site web personnel) . En réponse au journal Ils sont devenu fous. Évalué à 5.
Tout est dans le titre ou presque.
J'espère qu'ils vont rapidement passer à un mot de passe dédié pour les achats Internet, comme la plupart des autres banques.
Parce que là c'est juste de la folie. J'hésite à passer chez Boursorama.
[^] # Re: faux, c'est confondre.;.
Posté par Boa Treize (site web personnel) . En réponse au journal Ils sont devenu fous. Évalué à 6.
Non c'est pas faux, ça doit être une des conséquences de DSP2, le SMS seul n'étant plus jugé assez sûr, il faut ajouter une deuxième catégories de secret, par exemple quelque chose que l'utilisateur est le seul à savoir (un mot de passe) ou quelque chose que l'utilisateur est le seul à être (une empreinte digitale).
De nombreuses banques ont mis en place un petit code / mot de passe spécifique aux achats Internet (LCL, CA, BNP pour ceux que je connais).
… Fortuneo a juste mis le mot de passe principal du compte bancaire. Sur une URL bien illisible. …
Ma mâchoire traîne encore quelque part par terre.
[^] # Re: hum
Posté par Boa Treize (site web personnel) . En réponse au lien PyPI was subpoenaed. Évalué à 5.
Dans le cas présent, on pourrait plutôt parler d'une injonction à fournir des données.
[^] # Re: Je sais pas mais...
Posté par Boa Treize (site web personnel) . En réponse au journal Carte bancaire piratée, la faute à qui ?. Évalué à 6.
Le lien avec ta carte bancaire réelle / ton compte bancaire n'est pas perdu, l'argent est bien re-crédité sur ton compte.
Le même mécanisme est certainement en place pour les cartes bancaires physiques pour les remboursements qui ont lieu après leur expiration.
[^] # Re: Erreur d'analyse de la banque ?
Posté par Boa Treize (site web personnel) . En réponse au journal Carte bancaire piratée, la faute à qui ?. Évalué à 3.
Si c'est un service anti-fraude de la banque qui a géré ça, il est possible que les transactions aient été interceptées (et annulées) en amont, bien avant d'arriver sur le compte du client.
C'est ce qui m'était arrivé il y a une quinzaine d'années à la Société Générale.