Les sites d'accrobranches demandent un paiement avec une appli disponible uniquement sur iOS.
Il te faut aussi prendre une assurance chute (via une appli uniquement disponible sur le store Samsung), car le budget "appli" a rogné sur le budget "vérification des cordages".
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
En général l'Etat se fout de tes conversations sauf si tu es écologiste, syndicaliste, anarchiste, homosexuel, transexuel, juif, noir, musulman, bouddhiste, communiste, animaliste, occitan, corse, libriste… Et même si tu n'es "rien", il est possible de t'attribuer une catégorie imaginaire comme wokiste théoricien du genre.
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
80% de l'appli sont des libs libres dont le développement est plus sérieux que les 20% privateurs fait en mode à Gilles en enfreignant toutes les bonnes pratiques possibles pour livrer à temps.
Ces applis tournent ensuite sur un OS libre bien sécurisé mais auquel une DSI en mode devoups ajoute des couches privatrices dont tu ne voudrais même pas sur un serveur de test tellement elles sont bloated et troués.
L'exploitation se fait ensuite selon la règle du pas vu pas pris et on enterre les tickets secu sous le tapis.
Sans transparence, la confiance est juste un mot marketing.
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
qu'il semble assez clair que pour une application bancaire on ne peut pas se permettre de supporter les OS qui ne sont plus maintenus—le problème vient donc plutôt de l'arrêt du support que des applications elles-mêmes
Avec une simple webapp, il est facile et peu coûteux de gérer des terminaux très divers (PC, console, tablette, smartphone, télé connecté, montre…) et très vieux (plusieurs dizaines d'années avec un site léger).
Bonne chance pour faire ça avec une appli native (privatrice en plus).
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
La gratuité ne veut pas dire que les coûts ne sont pas intégrés dans le budget de la banque, mais l'avantage serait d'obliger la banque à gérer de façon plus durable un parc de terminaux si elle ne peut pas directement en imputer le coût aux clients.
Dans le même genre avec les applis mobiles, ça encourage un renouvellement plus régulier des smartphones chez les particuliers, ce qui une source majeure de pollution.
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
Il y a déjà des contraintes d'accessibilité pour des services essentiels (malheureusement les jeux vidéos n'en font pas partie), mais c'est comme les normes environnementales…
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
C'est une interprétation débile qui conduit à des aberrations en terme de sécurité (coucou la bnp et tes iframes).
La validation du paiement dans l'espace client serait 42 fois plus sécurisé.
Pour l'authentification, l'usage de certificat client serait la solution idéale si les brouteurs se décidaient à leur dédier une UX/UI correcte: on génère une paire de clefs publique / privée, on donne la clef publique à l'enrôlement et hop on ne se tape pas des codes à saisir ou des applis pénibles.
Bref ils ne cherchent pas de solutions, car imposer leurs applis les arrangent commercialement.
En attendant les passgrids ou TOTP sont des solutions ecoresponsables (pas besoin de nouveaux périphériques ou de changer de terminal).
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
Imagine ça avec ruby ou python ou le besoins d'une version particulière de ton compilateur et tu dispose d'un environnement dev aux petits oignons.
Justement je n'imagine pas : je fais du Go ou du Java, j'utilise la dernière version stable fournie par ma distribution et si j'ai des besoins particulier, je change des variables d'environnement. Bref j'utilise des technos et des méthodes KISS :-)
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
Dans un monde où les technos de développement permettent de linker en statique ou de tout empaqueter dans un seul fichier, est-ce qu'une solution comme Nix n'est pas overkill ?
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Une partie de réponse
Posté par devnewton 🍺 (site web personnel) . En réponse au journal Exigeons des banques, une vraie mise en œuvre de la DSP2 !. Évalué à 7.
Les sites d'accrobranches demandent un paiement avec une appli disponible uniquement sur iOS.
Il te faut aussi prendre une assurance chute (via une appli uniquement disponible sur le store Samsung), car le budget "appli" a rogné sur le budget "vérification des cordages".
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: idéologie
Posté par devnewton 🍺 (site web personnel) . En réponse au lien La commission européenne veut *encore* casser le chiffrement de bout en bout des messageries. Évalué à 10.
En général l'Etat se fout de tes conversations sauf si tu es écologiste, syndicaliste, anarchiste, homosexuel, transexuel, juif, noir, musulman, bouddhiste, communiste, animaliste, occitan, corse, libriste… Et même si tu n'es "rien", il est possible de t'attribuer une catégorie imaginaire comme wokiste théoricien du genre.
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
# Aya elle danse le mia
Posté par devnewton 🍺 (site web personnel) . En réponse au lien S'initier à eBPF avec Aya (Partie 4). Évalué à 9.
Le site medium est atteint de mal web, je trouve interessant de consulter directement le site : https://aya-rs.dev/
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Le problème des apps bancaires : la dernière version d'android sera obligatoire
Posté par devnewton 🍺 (site web personnel) . En réponse au journal Exigeons des banques, une vraie mise en œuvre de la DSP2 !. Évalué à 6. Dernière modification le 05 avril 2025 à 20:42.
Une grosse bêtise à cause de l'écosystème privateur des mobiles qui sont fait pour ne pas pouvoir être supportés sur le long terme.
Une grosse bêtise des banques qui forcent les utilisateurs à utiliser cet écosystème.
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: idéologie
Posté par devnewton 🍺 (site web personnel) . En réponse au lien La commission européenne veut *encore* casser le chiffrement de bout en bout des messageries. Évalué à 5.
Les dix commandements, c'est un bon exemple de la débilité de privilégier la sécurité.
Exemple: tu ne tueras point. On fait comment pour chasser ou pour arrêter un envahisseur ?
Et "tu ne commettras pas d'adultère" ? Comment on fait pour les soirées du jeudi?
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: idéologie
Posté par devnewton 🍺 (site web personnel) . En réponse au lien La commission européenne veut *encore* casser le chiffrement de bout en bout des messageries. Évalué à 7.
Je ne suis pas un grand théoricien de la Liberté.
Je constate juste que ce qui marche, c'est le security by design et pas le design by security.
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Paiement en iframe
Posté par devnewton 🍺 (site web personnel) . En réponse au journal Exigeons des banques, une vraie mise en œuvre de la DSP2 !. Évalué à 4.
Il est possible de vérifier la présence d'une iframe en utilisant le debugger du navigateur et en auditant le code html.
Simple !
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: idéologie
Posté par devnewton 🍺 (site web personnel) . En réponse au lien La commission européenne veut *encore* casser le chiffrement de bout en bout des messageries. Évalué à 10.
Tu peux lire les grands textes fondamentaux de notre civilisation, comme les déclarations des Droits de l'Homme.
Ou tu peux simplement imaginer une société où la sécurité passe avant tout:
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Conclusion
Posté par devnewton 🍺 (site web personnel) . En réponse au journal Une adresse de messagerie pour les enfants ?. Évalué à 3.
Tout comme il n'y a que deux raisons de faire la cuisine: le plaisir et le militantisme.
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: prénom+nom@gmail.com
Posté par devnewton 🍺 (site web personnel) . En réponse au journal Une adresse de messagerie pour les enfants ?. Évalué à 3.
Delete+insert, c'est une forme d'update 😀.
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
# idéologie
Posté par devnewton 🍺 (site web personnel) . En réponse au lien La commission européenne veut *encore* casser le chiffrement de bout en bout des messageries. Évalué à 10. Dernière modification le 05 avril 2025 à 07:57.
Le texte commence par un argument d'extrême droite…
Non, la première des libertés, c'est la Liberté. La sécurité doit se concevoir selon les contraintes imposées par la liberté, pas l'inverse.
Comme dit le proverbe : si vous voulez rater un projet, confiez les specs à un RSSI.
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Pourquoi?...
Posté par devnewton 🍺 (site web personnel) . En réponse au journal Exigeons des banques, une vraie mise en œuvre de la DSP2 !. Évalué à 10.
Tu as déjà fait du développement en entreprise?
80% de l'appli sont des libs libres dont le développement est plus sérieux que les 20% privateurs fait en mode à Gilles en enfreignant toutes les bonnes pratiques possibles pour livrer à temps.
Ces applis tournent ensuite sur un OS libre bien sécurisé mais auquel une DSI en mode devoups ajoute des couches privatrices dont tu ne voudrais même pas sur un serveur de test tellement elles sont bloated et troués.
L'exploitation se fait ensuite selon la règle du pas vu pas pris et on enterre les tickets secu sous le tapis.
Sans transparence, la confiance est juste un mot marketing.
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Pourquoi?...
Posté par devnewton 🍺 (site web personnel) . En réponse au journal Exigeons des banques, une vraie mise en œuvre de la DSP2 !. Évalué à 5.
C'est faux : elle tolère bien que j'utilise ma connexion internet personnelle, un smartphone personnel…
On ne peut pas aborder sereinement ce sujet si on est mode RSSI bouché :-)
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Une partie de réponse
Posté par devnewton 🍺 (site web personnel) . En réponse au journal Exigeons des banques, une vraie mise en œuvre de la DSP2 !. Évalué à 5.
Rien ne me prouve que le terminal que me présente un commerçant lambda dans lequel je mets ma carte est "conforme". Tout se joue à la "confiance".
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Pourquoi?...
Posté par devnewton 🍺 (site web personnel) . En réponse au journal Exigeons des banques, une vraie mise en œuvre de la DSP2 !. Évalué à 4.
Non, mais on est plus en sécurité avec une approche libre et ouverte.
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Pourquoi?...
Posté par devnewton 🍺 (site web personnel) . En réponse au journal Exigeons des banques, une vraie mise en œuvre de la DSP2 !. Évalué à 3.
Je comprends, mais la security by what could go wrong, c'est pas mon truc.
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Illégal d'imposer l'appli, la banque *doit* proposer une alternative
Posté par devnewton 🍺 (site web personnel) . En réponse au journal Exigeons des banques, une vraie mise en œuvre de la DSP2 !. Évalué à 5.
Avec une simple webapp, il est facile et peu coûteux de gérer des terminaux très divers (PC, console, tablette, smartphone, télé connecté, montre…) et très vieux (plusieurs dizaines d'années avec un site léger).
Bonne chance pour faire ça avec une appli native (privatrice en plus).
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Une partie de réponse
Posté par devnewton 🍺 (site web personnel) . En réponse au journal Exigeons des banques, une vraie mise en œuvre de la DSP2 !. Évalué à 6.
One more time : il suffit de faire valider le paiement dans l'espace client.
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Une partie de réponse
Posté par devnewton 🍺 (site web personnel) . En réponse au journal Exigeons des banques, une vraie mise en œuvre de la DSP2 !. Évalué à 4. Dernière modification le 04 avril 2025 à 11:49.
Rien ne prouve qu'il n'a pas été compromis. C'est aussi fiable qu'un SMS :-)
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Pourquoi?...
Posté par devnewton 🍺 (site web personnel) . En réponse au journal Exigeons des banques, une vraie mise en œuvre de la DSP2 !. Évalué à 4.
Sans faire de FUD, on ne peut pas savoir ce qu'il y a dans une appli privatrice.
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Illégal d'imposer l'appli, la banque *doit* proposer une alternative
Posté par devnewton 🍺 (site web personnel) . En réponse au journal Exigeons des banques, une vraie mise en œuvre de la DSP2 !. Évalué à 7. Dernière modification le 04 avril 2025 à 10:38.
La gratuité ne veut pas dire que les coûts ne sont pas intégrés dans le budget de la banque, mais l'avantage serait d'obliger la banque à gérer de façon plus durable un parc de terminaux si elle ne peut pas directement en imputer le coût aux clients.
Dans le même genre avec les applis mobiles, ça encourage un renouvellement plus régulier des smartphones chez les particuliers, ce qui une source majeure de pollution.
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Pas spécifique aux banques
Posté par devnewton 🍺 (site web personnel) . En réponse au journal Exigeons des banques, une vraie mise en œuvre de la DSP2 !. Évalué à 3.
Il y a déjà des contraintes d'accessibilité pour des services essentiels (malheureusement les jeux vidéos n'en font pas partie), mais c'est comme les normes environnementales…
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Une partie de réponse
Posté par devnewton 🍺 (site web personnel) . En réponse au journal Exigeons des banques, une vraie mise en œuvre de la DSP2 !. Évalué à 9. Dernière modification le 03 avril 2025 à 22:00.
C'est une interprétation débile qui conduit à des aberrations en terme de sécurité (coucou la bnp et tes iframes).
La validation du paiement dans l'espace client serait 42 fois plus sécurisé.
Pour l'authentification, l'usage de certificat client serait la solution idéale si les brouteurs se décidaient à leur dédier une UX/UI correcte: on génère une paire de clefs publique / privée, on donne la clef publique à l'enrôlement et hop on ne se tape pas des codes à saisir ou des applis pénibles.
Bref ils ne cherchent pas de solutions, car imposer leurs applis les arrangent commercialement.
En attendant les passgrids ou TOTP sont des solutions ecoresponsables (pas besoin de nouveaux périphériques ou de changer de terminal).
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: suckmore
Posté par devnewton 🍺 (site web personnel) . En réponse à la dépêche Donnez moi un NixOS à ronger. Évalué à 2.
Justement je n'imagine pas : je fais du Go ou du Java, j'utilise la dernière version stable fournie par ma distribution et si j'ai des besoins particulier, je change des variables d'environnement. Bref j'utilise des technos et des méthodes KISS :-)
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
# suckmore
Posté par devnewton 🍺 (site web personnel) . En réponse à la dépêche Donnez moi un NixOS à ronger. Évalué à 3.
Dans un monde où les technos de développement permettent de linker en statique ou de tout empaqueter dans un seul fichier, est-ce qu'une solution comme Nix n'est pas overkill ?
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.