BohwaZ a écrit 1159 commentaires

Pourquoi ne pas aussi utiliser pavatar ?

Avec cet ordre de recherche :

• avatar enregistré sur le site
• pavatar
• gravatar

On peut aussi imaginer chercher l'avatar du compte xmpp mais c'est un poil plus complexe je crois.

« Je vois bien à quels excès peut conduire une démocratie d'opinion débridée, je le vis tous les jours. » (Nicolas Sarkozy)

Ça a peut-être à voir avec le titre trop long et donc tronqué ?

« Je vois bien à quels excès peut conduire une démocratie d'opinion débridée, je le vis tous les jours. » (Nicolas Sarkozy)

Et il n'est pas possible de changer ce comportement, on est obligé de régresser ? :(

« Je vois bien à quels excès peut conduire une démocratie d'opinion débridée, je le vis tous les jours. » (Nicolas Sarkozy)

+1, et où sont les boîtes perso ? Elles sont perdues ?

« Je vois bien à quels excès peut conduire une démocratie d'opinion débridée, je le vis tous les jours. » (Nicolas Sarkozy)

??? C'est quoi cette ineptie ? Un retour à la ligne n'est plus censé faire un retour à la ligne ?

« Je vois bien à quels excès peut conduire une démocratie d'opinion débridée, je le vis tous les jours. » (Nicolas Sarkozy)

Ça m'a l'air complètement biaisé comme approche :

- le token doit être unique au formulaire, là il semble que le token ne change jamais une fois qu'il est mis en cookie
- pourquoi mettre le token en cookie ?! c'est ajouter une vulnérabilité possible au machin, et ça ne sert strictement à rien
- le token ne semble pas être stocké sur le serveur, ne laissant aucun moyen de vérifier la requête indépendamment du client, résultat (et explication du pourquoi de la vérif de Referer), n'importe qui peut forger le champ envoyé en POST *et* le cookie

Ce mécanisme bancal ne devrait jamais être utilisé, il ne protège que de manière marginale contre les attaques CSRF, et de plus rajoute de nombreux problèmes de compatibilités client (obligation d'accepter les cookies, d'envoyer un header HTTP Referer valide, etc.). Et une règle simple : on n'utilise jamais le stockage du client pour vérifier que le client fait bien les choses, et ici c'est le cas ! Se baser sur un cookie c'est vraiment une ineptie...

Bref un seul conseil : n'utilise pas ce truc horrible, je n'ai jamais vu une solution aussi mal pensée.

Pour se protéger des CSRF, une solution simple :
- générer un token unique pour chaque formulaire (et non le même pour tous les formulaires !)
- le stocker au niveau du serveur (par exemple dans une session associée au client, mais ça peut aussi être associé à un identifiant unique du formulaire)
- le mettre dans un champ hidden dans le formulaire
- vérifier à l'exécution de l'action que le champ envoyé correspond à ce qui est stocké sur le *serveur* (qui est de confiance, qu'on maîtrise, contrairement à ce qu'envoie le client)

« Je vois bien à quels excès peut conduire une démocratie d'opinion débridée, je le vis tous les jours. » (Nicolas Sarkozy)

« Vous voyez ce message car ce site en HTTPS nécessite l'envoi d'un en-tête 'Referer' par votre navigateur, mais aucun n'a été envoyé. Cet en-tête est nécessaire pour des raisons de sécurité, pour s'assurer que votre navigateur n'a pas été piraté par un tiers. »

Une fonctionnalité de sécurité qui se base sur le HTTP Referer ?! C'est quoi cette idée à la con ? N'importe qui peut forger un faut HTTP Referer, il ne faut jamais utiliser ce header pour autre chose que des stats.

Pour contrer les attaques CSRF, une seule solution fiable, mettre dans le formulaire un secret partagé (un token) stocké sur le serveur, à l'action du formulaire comparer le token stocké au token reçu, ils doivent être identiques.

NE JAMAIS UTILISER LE REFERER !

« Je vois bien à quels excès peut conduire une démocratie d'opinion débridée, je le vis tous les jours. » (Nicolas Sarkozy)

Vous avez eu un journaliste qui est venu sur un chan pour parler d'un sujet qui concerne ce chan, en posant des questions, classe. Maintenant moi j'ai des bouffeurs de chair fraîche qui cherchent à faire du sensationnalisme, débarquent avec un sujet qui n'a rien à voir avec la choucroute, souvent dans un penchant sensationnaliste / caricatural d'un sujet. Je suis très heureux de répondre aux journalistes sérieux que nous ne répondons à aucune question (parce qu'on s'en fout franchement nous) mais qu'ils peuvent aller demander [ici] ou [là]. Maintenant le ratio est de genre un journaleux responsable avec un projet qui cadre pour 10 "fixeurs" de la télé qui cherchent juste à faire du scandale bas de gamme à la c'est mon choix.

« Je vois bien à quels excès peut conduire une démocratie d'opinion débridée, je le vis tous les jours. » (Nicolas Sarkozy)

Exemple particulièrement récurrent :

Bonjour, je travaille pour [média à la con], je cherche des volontaires pour témoigner sur [sujet du chan] qui me passionne car je prépare un [type de média : reportage, talk show, article, etc.] passionnant sur [sujet qui n'a rien à voir], est-ce que voulez bien bla bla bla
@op kicked journaliste (Casse-toi)

Idem par mail. Et il y a des semaines où je n'ai des mails que de journalistes, parfois même plusieurs journalistes du même média, voir qui travaillent sur le même reportage/docu (ils se parlent pas dans leurs équipes ?). C'est effarant : je reçoit plus de mails de journalistes que de mes ami-e-s. Ça veux dire que je suis célèbre c'est ça ? (J'ai désormais un modèle de réponse automatique : "Je suis bien trop important pour vous accorder une interview. Adieu.")

Alors je comprends maintenant ces pauvres journaleux contraints à reprendre toutes les bêtises qui sortent dans Twitter et Lameblorb : plus personne de sérieux ne veux leur parler.

« Je vois bien à quels excès peut conduire une démocratie d'opinion débridée, je le vis tous les jours. » (Nicolas Sarkozy)

Oui il serait bien de penser aux gens qui n'en ont rien à faire d'avoir un navigateur mis à jour toutes les semaines pour bénéficier d'une fonctionnalité expérimentale qui disparaîtra un mois plus tard.

Y'a aussi des gens qui ne peuvent *pas* upgrader à cause de bugs dans les nouvelles versions des brouteurs. Supporter un navigateur récent comme FF 3.5 c'est quand même un minimum...

« Je vois bien à quels excès peut conduire une démocratie d'opinion débridée, je le vis tous les jours. » (Nicolas Sarkozy)

Sur une interface tactile c'est pas plus pertinent...

Un bouton gris avec marqué "OFF" dessus ça veut dire quoi ? Que si j'appuie dessus ça désactive la fonctionnalité ? Ah ben nan c'est le contraire, l'intitulé du bouton indique son état, ce qui est le contraire de ce que font tous les boutons dans les interfaces graphiques depuis des années : indiquer l'action effectuée en cliquant sur le bouton.

Un bouton marqué "Valider" ça veux dire qu'en cliquant dessus, ça valide ce qu'on a fait, pas que ça a déjà été validé, c'est juste la base quoi...

Quand à l'aspect tactile moi j'ai du m'y reprendre à plusieurs fois pour comprendre qu'il ne fallait pas juste cliquer dessus (aucune action) mais faire glisser le slider en gardant le doigt sur l'écran, c'est pas intuitif du tout, bref ça fait joli (et encore ça se discute) mais c'est un non sens. Sans compter que ça prends 3 fois plus de place à l'écran qu'une case à cocher sans en remplir le minimum de fonctionnalité : comprendre ce que ça fait dès le premier coup d'œil.

J'espère que ça va pas trop se répandre ce truc, déjà que Free ils ont trouvé ça trop cool de le mettre dans leur interface web... berk.

« Je vois bien à quels excès peut conduire une démocratie d'opinion débridée, je le vis tous les jours. » (Nicolas Sarkozy)

Nouveau widget "interrupteur" : c'est que moi ou ce truc est un non sens d'ergonomie ? C'est pas clair, on vois pas du premier coup d'œil quel est l'état du machin, on comprends pas ce qu'il faut faire, est-ce qu'il faut cliquer et maintenir appuyé le bouton pour faire glisser l'interrupteur pour aller dans le sens qu'on veux ? alors qu'une case à cocher ben tout le monde connaît, c'est clair à première vue dans quel état elle est, bref... mais pourquoi ce truc ?

« Je vois bien à quels excès peut conduire une démocratie d'opinion débridée, je le vis tous les jours. » (Nicolas Sarkozy)

KDE 4.4, debian squeeze, ça roule, jamais eu un plantage, c'est réactif, bien foutu, bref kde mangez-en c'est de la bonne !

« Je vois bien à quels excès peut conduire une démocratie d'opinion débridée, je le vis tous les jours. » (Nicolas Sarkozy)

Je suis intéressé pour faire une VAE, mais je me pose pas mal de questions car tous les diplômes que je trouve qui correspondent en partie à ce que j'ai déjà fait ont aussi toute une partie qui m'est soit totalement étrangère soit à peine abordée dans mon expérience. Car évidemment dans nos domaines il y a tellement de choses qu'on fait rarement de tout.

Par exemple, j'ai vu une licence qui parle de code PHP, intégration xHTML, administration de serveur (ok c'est moi ça), mais ensuite du Flash, de l'AS3 et du Java. Alors non seulement je ne connaît que l'AS2 et j'ai fait le choix d'aller vers haXe plutôt que de passer à AS3, et même si j'ai déjà bidouillé quelques animations à l'époque de Flash 2 (ça nous rajeunit pas tout ça) mais en plus j'ai jamais fait de Java de ma vie.

Dans ce genre de cas on fait quoi ? On tente la validation quand même ? Au risque de se voir refuser le diplôme ? Ou alors on essaye de se former soi-même vite vite pour remplir le dossier ? C'est quand même pas anodin, il semble que la démarche de validation soit plutôt longue et l'inscription coûteuse, donc faut pas partir dans un truc qui va pas non plus...

C'est compliqué, car l'informatique c'est quand même un domaine ou il y a pas mal de choses spécifiques, et on ne peut pas tout maîtriser non plus.

Des retours d'expérience, des idées ?

« Je vois bien à quels excès peut conduire une démocratie d'opinion débridée, je le vis tous les jours. » (Nicolas Sarkozy)

Ouais mais pas de frais de résiliation, pas d'engagement.

Free : 96 euros de frais d'accès, 30 euros / mois.
OVH : 50 euros de frais d'accès, à partir de 20 euros / mois (sans compter l'année 2011 qui est gratos).

Pour les synchros bizarres j'ai la même, à priori ça dépends pas d'OVH mais de soit quand ils te font passer par FT ou soit par SFR, visiblement ils sont limités.

Perso c'est ça qui me bloque, je suis à 12M/800K avec Free, passer à 8M/256K c'est une grosse baisse d'up, déjà que y'en a pas beaucoup :( Et pourtant, alors que je viens juste de déménager avec Free (donc remise à zéro de l'ancienneté, donc 96 euros à débourser en cas de départ), ça serait toujours plus intéressant d'aller chez OVH cette année que de rester chez Free (50 euros de moins, de tête).

Pour le coup de l'IPv6 on a été nombreux a réagir, et aucune réaction particulière d'Oles, mais oui c'est aussi bloquant de ne voir qu'une seule IPv6. J'ai pas qu'une machine moi... Qu'est-ce que tu veux faire avec un /128 ? Faire du NAT en IPv6 ? LOL.

« Je vois bien à quels excès peut conduire une démocratie d'opinion débridée, je le vis tous les jours. » (Nicolas Sarkozy)

Oups oui :)

Pour info :
- http://www.homecinema-fr.com/forum/viewtopic.php?f=1183&(...)
- http://blogs.kd2.org/bohwaz/?2010/01/12/307-starzik-larnaque(...)
- http://artisan.karma-lab.net/node/1756

Faudra m'expliquer l'intérêt de vendre du FLAC issu de MP3... Enfin bon.

« Je vois bien à quels excès peut conduire une démocratie d'opinion débridée, je le vis tous les jours. » (Nicolas Sarkozy)

Le problème c'est juste que chez eux le FLAC est encodé à partir d'une version lossless (intelligent hein), donc aucun intérêt.

« Je vois bien à quels excès peut conduire une démocratie d'opinion débridée, je le vis tous les jours. » (Nicolas Sarkozy)

Plutôt que d'utiliser le forwarding DNS, pourquoi ne pas plutôt proposer un root server alternatif à utiliser ?

Est-il prévu de s'allier aux projets déjà en place comme opennic ?

« Je vois bien à quels excès peut conduire une démocratie d'opinion débridée, je le vis tous les jours. » (Nicolas Sarkozy)

Va falloir m'expliquer l'intérêt d'empêcher les gens qui sont derrière des systèmes de censure d'utiliser wikipedia... C'est vraiment devenu une oligarchie dictatoriale wikipedia.

« Je vois bien à quels excès peut conduire une démocratie d'opinion débridée, je le vis tous les jours. » (Nicolas Sarkozy)

Je rappelle que la sécurité de la carte vitale est de l'ordre de l'illusion, la carte est déjà largement piratable, de nombreux articles ont été publiés.

Cette clause de confidentialité est l'idée la plus stupide qui existe, comme toute idée d'obscurantisme en sécurité (d'ailleurs comme on peux le voir dans ce cas, ça a été très efficace... hum).

« Je vois bien à quels excès peut conduire une démocratie d'opinion débridée, je le vis tous les jours. » (Nicolas Sarkozy)

J'ai aussi fait un truc du genre : http://projets.kd2.org/p/fotoo-gallery/

- Très simple, léger, rapide
- Se base sur les méta données stockées dans les photos (parfait compagnon de jbrout)
- Navigation par album (répertoire), tag ou date
- Diaporama dynamique (JS)
- Embed d'un album (JS)
- Flux RSS des dernières photos
- etc etc.

« Je vois bien à quels excès peut conduire une démocratie d'opinion débridée, je le vis tous les jours. » (Nicolas Sarkozy)

Ça veux dire qu'on ne pourra plus utiliser nos partitions reiserfs dans debian squeeze ? Ou qu'on ne pourra plus utiliser le CD d'installation pour récupérer nos partitions reiserfs corrompues ? Ou juste qu'on ne peux plus créer de partitions reiserfs à l'installation ?

Perso reiserfs est toujours une excellente solution, ext3/4 a cette manie énervante de demander un fsck tous les 30 boots, plutôt énervant. Sans compter que resize_reiserfs c'est vraiment génial avec lvm :)

« Je vois bien à quels excès peut conduire une démocratie d'opinion débridée, je le vis tous les jours. » (Nicolas Sarkozy)

Même plateforme que les sheevaplugs, mais dispo à partir de 15-20 euros dans le commerce : le dockstar de seagate.

http://www.galipe.net/articles/plug-computer-destockage-seag(...)

« Je vois bien à quels excès peut conduire une démocratie d'opinion débridée, je le vis tous les jours. » (Nicolas Sarkozy)

Sans compter les formats d'éclairage exotiques genre les culots S14, S15 etc. (lampes longues type néon mais à incandescence, souvent dans les cuisines ou salles de bain), la plupart des formats spécifiques halogène (crayons, spots, etc.) ou il n'existe simplement aucune alternative... On est mal barrés.

« Je vois bien à quels excès peut conduire une démocratie d'opinion débridée, je le vis tous les jours. » (Nicolas Sarkozy)

Personnellement à cause de cette interdiction je suis passé en tout halogène, ça coûte beaucoup plus cher mais toujours moins que les ampoules fluo compactes qui sont vraiment une catastrophe sur tous les plans (le prix, le rendu dégueu, le manque de fiabilité, le temps d'allumage, le coût écologique de fabrication et de recyclage, etc.).

Du coup maintenant au lieu de payer une ampoule 100W dans les 50 centimes d'euro, une ampoule halogène de 70W (annoncée équivalent 100W incandescent) coûte 2 euros dans le meilleur des cas.

J'ai une seule fluocompacte chez moi, elle est cantonnée à l'entrée car c'est franchement moche, et le temps qu'elle s'allume on a déjà quitté la pièce ! Pire sur les deux achetées, une a claqué au bout de 15 jours. Pour une incandescence on s'en fout un peu quand on la paye quelques cents, mais là à 7 ou 8 euros l'ampoule on l'a un peu mauvaise.

Je ne cesse de pester contre cette interdiction qui n'a qu'un seul effet : multiplier notre budget ampoules au détriment de notre qualité d'éclairage. Marre de se faire entuber !

« Je vois bien à quels excès peut conduire une démocratie d'opinion débridée, je le vis tous les jours. » (Nicolas Sarkozy)