devnewton 🍺 a écrit 8775 commentaires

Les sites d'accrobranches demandent un paiement avec une appli disponible uniquement sur iOS.

Il te faut aussi prendre une assurance chute (via une appli uniquement disponible sur le store Samsung), car le budget "appli" a rogné sur le budget "vérification des cordages".

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

En général l'Etat se fout de tes conversations sauf si tu es écologiste, syndicaliste, anarchiste, homosexuel, transexuel, juif, noir, musulman, bouddhiste, communiste, animaliste, occitan, corse, libriste… Et même si tu n'es "rien", il est possible de t'attribuer une catégorie imaginaire comme wokiste théoricien du genre.

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Le site medium est atteint de mal web, je trouve interessant de consulter directement le site : https://aya-rs.dev/

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Une grosse bêtise à cause de l'écosystème privateur des mobiles qui sont fait pour ne pas pouvoir être supportés sur le long terme.

Une grosse bêtise des banques qui forcent les utilisateurs à utiliser cet écosystème.

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Les dix commandements, c'est un bon exemple de la débilité de privilégier la sécurité.

Exemple: tu ne tueras point. On fait comment pour chasser ou pour arrêter un envahisseur ?

Et "tu ne commettras pas d'adultère" ? Comment on fait pour les soirées du jeudi?

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Je ne suis pas un grand théoricien de la Liberté.

Je constate juste que ce qui marche, c'est le security by design et pas le design by security.

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Il est possible de vérifier la présence d'une iframe en utilisant le debugger du navigateur et en auditant le code html.

Simple !

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Tu peux lire les grands textes fondamentaux de notre civilisation, comme les déclarations des Droits de l'Homme.

Ou tu peux simplement imaginer une société où la sécurité passe avant tout:

• Bonjour, je voudrais organiser un barbecue pour…
• Impossible à cause du risque incendie ;
• Heu ok, on fera un pique nique alors, j'avais pensé au parc à côté de…
• Impossible à cause du risque de pollution.
• Mmh bon ok, on mangera avant et on se posera juste dans l'herbe, c'est pour la fête de l'école.
• Impossible les mineurs sont interdits dans l'espace public pour éviter les risques d'enlèvement.
• Mais ils seront avec leurs parents, il y aura au moins deux adultes par enfant !
• Impossible les rassemblements de plus de 2 personnes sont interdits pour limiter les risques de cohue.
• Bon ben on ira chez moi…
• Impossible les domiciles ne sont pas habilités à recevoir du public à cause des risques de…
• Bon bon bon, on va louer une salle des fêtes.
• Les fêtes sont interdites à cause du risque d'amusement.

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Tout comme il n'y a que deux raisons de faire la cuisine: le plaisir et le militantisme.

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Delete+insert, c'est une forme d'update 😀.

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Le texte commence par un argument d'extrême droite…

Security is the bedrock upon which all our freedoms are built.

Non, la première des libertés, c'est la Liberté. La sécurité doit se concevoir selon les contraintes imposées par la liberté, pas l'inverse.

Comme dit le proverbe : si vous voulez rater un projet, confiez les specs à un RSSI.

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Tu as déjà fait du développement en entreprise?

80% de l'appli sont des libs libres dont le développement est plus sérieux que les 20% privateurs fait en mode à Gilles en enfreignant toutes les bonnes pratiques possibles pour livrer à temps.

Ces applis tournent ensuite sur un OS libre bien sécurisé mais auquel une DSI en mode devoups ajoute des couches privatrices dont tu ne voudrais même pas sur un serveur de test tellement elles sont bloated et troués.

L'exploitation se fait ensuite selon la règle du pas vu pas pris et on enterre les tickets secu sous le tapis.

Sans transparence, la confiance est juste un mot marketing.

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Aucune banque ne couvrira les transactions frauduleuses si c'est toi qui t'occuppes de la sécurité de la connexion avec l'API bancaire

C'est faux : elle tolère bien que j'utilise ma connexion internet personnelle, un smartphone personnel…

On ne peut pas aborder sereinement ce sujet si on est mode RSSI bouché :-)

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Rien ne me prouve que le terminal que me présente un commerçant lambda dans lequel je mets ma carte est "conforme". Tout se joue à la "confiance".

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Est-ce que les utilisateurs "libristes" souhaitent réellement s'auto-assurer vis-à-vis de la fraude bancaire?

Non, mais on est plus en sécurité avec une approche libre et ouverte.

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Je comprends, mais la security by what could go wrong, c'est pas mon truc.

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

qu'il semble assez clair que pour une application bancaire on ne peut pas se permettre de supporter les OS qui ne sont plus maintenus—le problème vient donc plutôt de l'arrêt du support que des applications elles-mêmes

Avec une simple webapp, il est facile et peu coûteux de gérer des terminaux très divers (PC, console, tablette, smartphone, télé connecté, montre…) et très vieux (plusieurs dizaines d'années avec un site léger).

Bonne chance pour faire ça avec une appli native (privatrice en plus).

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

One more time : il suffit de faire valider le paiement dans l'espace client.

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

La CB est conforme car le terminal de paiement affiche directement la somme.

Rien ne prouve qu'il n'a pas été compromis. C'est aussi fiable qu'un SMS :-)

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Sans faire de FUD, on ne peut pas savoir ce qu'il y a dans une appli privatrice.

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

La gratuité ne veut pas dire que les coûts ne sont pas intégrés dans le budget de la banque, mais l'avantage serait d'obliger la banque à gérer de façon plus durable un parc de terminaux si elle ne peut pas directement en imputer le coût aux clients.

Dans le même genre avec les applis mobiles, ça encourage un renouvellement plus régulier des smartphones chez les particuliers, ce qui une source majeure de pollution.

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Il y a déjà des contraintes d'accessibilité pour des services essentiels (malheureusement les jeux vidéos n'en font pas partie), mais c'est comme les normes environnementales…

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

C'est une interprétation débile qui conduit à des aberrations en terme de sécurité (coucou la bnp et tes iframes).

La validation du paiement dans l'espace client serait 42 fois plus sécurisé.

Pour l'authentification, l'usage de certificat client serait la solution idéale si les brouteurs se décidaient à leur dédier une UX/UI correcte: on génère une paire de clefs publique / privée, on donne la clef publique à l'enrôlement et hop on ne se tape pas des codes à saisir ou des applis pénibles.

Bref ils ne cherchent pas de solutions, car imposer leurs applis les arrangent commercialement.

En attendant les passgrids ou TOTP sont des solutions ecoresponsables (pas besoin de nouveaux périphériques ou de changer de terminal).

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Imagine ça avec ruby ou python ou le besoins d'une version particulière de ton compilateur et tu dispose d'un environnement dev aux petits oignons.

Justement je n'imagine pas : je fais du Go ou du Java, j'utilise la dernière version stable fournie par ma distribution et si j'ai des besoins particulier, je change des variables d'environnement. Bref j'utilise des technos et des méthodes KISS :-)

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Dans un monde où les technos de développement permettent de linker en statique ou de tout empaqueter dans un seul fichier, est-ce qu'une solution comme Nix n'est pas overkill ?

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.