idée :
1. n'avoir qu'un canal SSE actif par page (je précise si ce n'est pas déjà le cas)
2. utiliser localstorage comme un buffer de communication ( genre un peu comme backbone.offline ou le truc présenté par LinkedIn )
3. si aucune mise à jour depuis X seconds, tenter de "prendre la main" pour remplir localstorage
"prendre la main" signifie :
* élire un onglet qui sera le seul à faire la collecte pour les autre
* réélire un nouveau onglet collecteur si l'ancien collecteur est fermé ou a perdu sa connexion
là, tu sors du champs institutionnel.
à partir de là, tu entres dans un champ aujourd'hui non démocratique, qui est le fondement meme de la discrimination au niveau sociale.
je parle de "non démocratique" puisque la démocratie repose sur le principe d'égalité càd sur la non distinction entre les individus dans leur ensemble. Attention je ne parle pas de ne pas considérer l'individu dans ce qu'il a de singulier, mais le fait qu'il ne faille pas fabriquer de distinction vis à vis de l'ensemble des individus.
Tout individu doit pouvoir se rendre au centre des impôts. donc la personne en fauteuil roulant doit pouvoir s'y rendre.
Sans considérer la singularité individuel du fauteuil roulant, on colle un escalier et le mec en fauteuil attendra un miracle.
Mais ce manque de considération, fabrique de facto une violation de la volonté initiale de non distinction puisque seul ceux qui sont valide pourront se rendre au centre des impots.
Donc le principe d'égalité qui impose la non-discrimination, la non-ségrégation, impose aussi la considération de l'individu dans sa singularité.
Or, concernant la pression familiale ou du chef, si il n'y a pas possibilité de s'opposer sans prendre de risque, alors il s'agit clairement d'un foyer pouvant mener au harcellement, à la discrimination, à la ségrégation.
aujourd'hui, quand on parle de discrimination, on retrouve souvent le cliché du fameux hétéro-patriarchisme au niveau familial et sociétal.
mais on retrouve des schémas similaires au sein des autres structures, où toutes dissidences vis à vis du représentant de l'autorité de la communauté, est vécu comme une trahison nécessitant une sanction.
C'est ce schéma là qui est le coeur de l'hétéro-patriarchisme.
mais c'est aussi, le coeur de ma question soulevée dans le titre, peut on etre publiquement de droite et dire publiquement que Sarkozy déconne sans pour etre autant ridiculisé au travers de " tu es seul ", " tu es con ", " tu es de gauche " puis isolé au point que par exemple Mme Boutin doivent demander à gauche des signatures pour etre présente au premier tour (je ne parle pas de l'interet de sa candidature ou d'un soutien à ses opinions ).
Pour reprendre une image récente mais néanmoins importante : " Hollande, Valls, Baylet, Montbourg, Segolène, Martine " ou le classique "M. , Mme, Mlle".
Sincèrement, tout le monde s'en foutrait si le monde était idéal.
A partir du moment, où une étiquette est imposée par une société sans aucune raison socialement justifiée ( société au sens large, cela va de la famille à l'État ), c'est une fabrique à discrimination conduisant au secret.
Le problème est qu'encore aujourd'hui :
* une femme blonde en minijupe qui parle d'informatique sera moins crédible qu'un mec en tong, Tshirt et bermuda.
* une femme obèse en mini jupe sera moquée, un homme obèse en bermuda ne subira pas ce jugement social.
* des personnes tolérantes ne comprennent toujours pas que dire "faire qq chose en juif" est dans le meme registre que " soit pas une tapette ", " fait pas ta gonzesse ".
Dans mon commentaire initial, je parle d'une société que je présente comme étant idéal.
Tant que l'idéal n'est pas atteint, le secret du vote reste nécessaire.
La nécessité du secret est une conséquence à la corruption, à la discrimination, pas une solution.
Mais tout le probleme du secret et tu le souligne parfaitement, c'est que par définition, il permet des manipulations sauf à mettre des mécanismes qui seront perçu eux-même comme une manipulation du fait de leur apparente complexité.
donc, pour qu'une vote soit simple à comprendre et fiable, le seul moyen est de virer le secret.
Et pour cela, il faut lutter activement contre tout ce qui fabrique le secret, c'est à dire contre toute forme de discrimination, de ségrégation tout en garantissant la liberté d'opinion.
dans une démocratie naissante, le secret du vote est une nécessité.
dans une société où la démocratie est acquise, où la liberté d'association, la liberté d'expression est garantie, de facto, il n'y a plus de secret du vote.
on a toutes et tous de la compassion pour les autres. et on donne.
Quand on donne aux restos du coeur, le centre des impots le sait donc l'État le sait.
Quand on donne à GreenPeace, le centre des impots le sait donc l'État le sait.
Quand on donne au CRIF, le centre des impots le sait donc l'État le sait.
Quand on donne à Confrérie Saint Pie X, le centre des impots le sait donc l'État le sait.
Quand on donne au FN ou au NPA, le centre des impots le sait donc l'État le sait.
Quand on s'exprime publiquement sur un blog, sur twitter, internet le sait donc l'État le sait.
Ce sont des actes politiques parce par définition se sont des actes agissant sur la chose publique, le bien commun.
Aujourd'hui, pour beaucoup de monde, si tu es de droite, tu défends Sarkozy, si tu es de gauche tu critiques Sarkozy.
Pourtant, c'est seulement depuis quelques semaines que la politique menée par Sarkozy est ouvertement critiquée par des personnes connues pour être de droite.
Avant, il n'existait que la fameuse gaucho-sphère.
Combien de réels anonymes dans toutes ses opinions ?
Internet rendant rapidement public l'information, les pressions deviennent de plus en plus difficile.
Les grands qui mettent la pression, se trouvent de plus en plus face à l'Effet Streisand dès que la pression est rendue public.
La force de la pression sur l'autre est la lenteur dans la circulation de l'évènement donnant la possibilité d'étouffer l'information.
Plus cela se propage vite au plus grand nombre, moins c'est controllable, et moins c'est étouffable.
Le secret du vote n'est une nécessité qu'à partir du moment où on se demande si l'on craint des représailles au fait d'adhérer à une association ou un parti ou une organisation quelconque.
A partir du moment, où personne ne se pose la question de l'information volontairement fournie à l'État, alors il me semble judicieux de considérer que la démocratie est totale puisque communiquer à l'État revient à dire ouvertement à tous ses opinions.
La seule possibilité est de garantir le pouvoir démocratique en brisant les aristocraties politiciennes, et autres népotismes industriello-politiques.
Aujourd'hui, en France, ce sont les conflits d'interets et les corruptions qui font craindre encore des pressions venant d'en haut. Les affaires qui éclatent à gauche comme à droite sont les preuves que tout ce modele du secret et cette loi du silence.
Le secret du vote ne sera plus nécessaire quand une réelle transparence aura été acquise.
ton site est ton identité.
ton site te permet de partager
et ton URL OpenID peut tout à fait etre mamy-et-papy.free.fr sans rien de plus .
Et pour être énervante jusqu'au bout, cela peut meme etre ploum@mon-site-qui-est-aussi-mon-domain-mail.fr puisque le @ est tout à fait correct dans une URL et sera remplacé au niveau OpenID par http://ploum@mon-site-qui-est-aussi-mon-domain-mail.fr/ . donc oui, cela est déjà faisable, et je pourrai même imaginer qu'il y a des des OP qu'il permettent cet usage.
tout le monde a une page qui traine quelque part que cela soit son profil google, son profil flickr, son site perso ou son blog.
pour commenter sur divers blogs, souvent on me demande si je veux indiquer l'addresse de mon site ... donc ce n'est pas ce qu'il y a de plus obscur à mon sens.
la simplicité de mise en oeuvre est telle que tu dois "juste" renvoyer un fichier XRDS contenant les bonnes info si l'on te fait une requete avec un "Accept: application/xrds+xml". le fichier XRDS devant juste orienter vers ton fournisseur OpenID que tu souhaite ( qu'il soit google, yahoo, MSN, Orange, ou autohébergé ou meme tous en meme temps en cas de panne d'un des providers d'identité ).
j'en reviens donc au fondamentaux :
une intégration correcte ... ne serait ce que de la requete XRDS !
tant que cela n'aura pas été fait, la question de la pertinence de OpenID fera toujours débat ... et l'on reviendra au meme constat à savoir :
- les gros l'utilisent et cela semble plaire
- les petits n'ont pas d'outils corrects
- JanRain profite du controle sur OpenIDenabled.com pour diffuser de la merde et vendre à la place son OpenID sous stéroïde ( si tu préfères, JanRain/Engage est une implémentation idéale de OpenID - suffit de regarder par ici http://openid.net/add-openid/add-getting-started/ ).
Ta boulangère a certainement un GMail ou un Yahoo ou un MSN ou un email Orange ... qui est son identifiant OpenID puisque ces mastodonte gerent OpenID 2.0
Maintenant, toi, le geek qui aime son email/site autohébergé, il peut :
- déléguer le sign-on à google & co tout en restant le domaine annoncé ( le claim_id )
- faire son propre OP rien qu'à lui pour tout maitriser.
- insister pour que Linuxfr soit son OP OpenID 2.0 pour qu'il puisse déléguer à un à un OP libre et "too big to fail".
on décortique :
- absence de push depuis des mois,
- absence de corrections depuis plus de 1 an,
- code dit "PHP 5" qui est juste une copie du code PHP4 ( cf. https://github.com/openid/php4-openid pour se faire une idée sur mon affirmation que l'on peut préjuger de gratuite, sinon aller directement au ticket virant le code compatible PHP4 pour devenir compatible PHP 5.3 , ou lire les tickets s'étonnant de ne voir que PEAR_DB et rien de plus neuf ),
- paquet fourni dans les distrib fonctionnant très mal
donc, je peux comprendre la deception des devs puisque je l'ai connu, mais en creusant, j'ai trouvé un protocole réellement interessant mais dont les librairies ne sont plus du tout maintenu alors que les mastodontes non-libres utilisent de plus en plus OpenID.
maintenant, regardons du coté de JanRain ...
JanRain siege au board OpenID.net,
JanRain qui gere le site d'information Openid-enabled, le redirige sur son site à lui pour déréférencer les anciennes pages,
JanRain qui gère le code Libre OpenID laisse mourir la version libre,
JanRain vend RPX / JanRain Engage ( OpenID sous stéroïdes ) et d'autre solutions pour faire de l'agregation d'identité de fournisseurs tiers ( http://www.janrain.com/products/engage/pricing sinon c sur devis ),
En gros, il faut sortir le code libre de OpenID de la mainmise de JanRain et en faire un truc communautaire ... parce que ce qui se passe avec OpenID, c'est ce qui tout le monde craint avec des OO.o , MySQL & consort chez Oracle.
j'ai mon fork que je maintiens doucement et que j'utilise en prod : j'y ai fait du rangement pour rendre le bordel plus intelligible. après, il y a un sacré ménage à faire dans le code lui meme pour qu'il soit plus stable, et surtout plus souple. si cela interesse des gens, autant collaborer ensemble :) ( https://github.com/mouns/php-openid/tree/master/Auth/OpenID ).
Maintenant, je fais ce que je peux à mon niveau, et je n'ai pas la santé pour faire tout ce que j'aimerai faire.
sinon pour la couche du dessus, à part faire des plugins plus ou moins bien intégré dans wordpress, joomla, drupal, de fournir une lib plus ou moins correcte dans divers langages, je ne vois pas ce qu'il peut etre fait de plus que " un OP ( OpenID Provider ) libre et cool pour que OpenID montre son potentiel ".
et heureusement que j'ai écrit ceci quelques messages avant :
> en gros, il manque un OP libre et cool pour que OpenID montre son potentiel.
par exemple, une équipe fonctionnant plutot bien pour l'utiliser en prod :
- l'OP de " Google apps for domains " ( un peu de conf à faire au niveau du domaine ) + Trac ( juste un plugin à ajouter ) + PMA ( qui necessite de coder ) + ...
avantages ?
- permet de gerer 50 comptes utilisateurs gratuitement dans " Google apps for domains " avec un niveau bureautique très basique
- les outils clients ( Trac , PMA, ... ) sont configuré pour n'accepter que des connexions OpenID des domaines souhaités ( pour des applis interne à l'entreprise )
- pas besoin de gérer 3 000 comptes dans les trac, PMA, ... tout s'appuie sur la gestion centralisée sur l'OP fourni par google
inconvénients ?
- faut savoir coder un peu pour parfaire l'intégration d'openid et corriger les merdes ici et là
- il n'y a plus qu'un seul post-it sous le clavier facilitant ainsi le farming d'identifiants
- google n'a pas libéré son OP
- en tant qu'admin, faut lire à l'occasion les specs de XRI, XRDS, OpenID, AX, SReg, ...
- faut justifier le bugdet de l'info pour éviter que l'on baisse le budget puisque l'on baisse ses couts en terme de backup critique
donc des OP et des clients non libre, il y en a des tonnes, et qui sont tellement bien intégré que seul les dev les utilisant savent que c'est de l'OpenID.
et je me repete encore une fois, il manque un OP libre qui soit grand public, un OP qui soit le wordpress/FireFox/GIMP de l'OpenID.
PS :
maintenant, il est vrai que telnet reste un moyen tres rapide à mettre en oeuvre pour faire de l'accès console distant, mais n'offre aucune sécurité et nécessite de créer des comptes sur chaque machines avec sa base d'identifiants propres, ... et SSH ca créé des problemes supplémentaires pour essayer de répondre à un probleme pas si problématique que cela tout compte fait quand on n'a qu'une machine à gérer ;)
et depuis quand un protocole d'identification doit gérer le probleme du mot de passe oublié ?
tiens ! question similaire pour montrer la mauvaise foi derrière les reproches qui sont fait à OpenID :
SSH permet de s'identifier avec une identité ( je suis bien le possesseur de la clé ) et supporte le principe de proxy d'identité ( Forward Agent ).
Je suis brouillon, pas organisé et j'ai perdu ma passphrase. comment fais je ?
Je suis brouillon, pas organisé et j'ai perdu l'intégralité de ma clé privée. comment fais je ?
Je suis brouillon, pas organisé et j'ai perdu l'IP, le login, le password de mon bastion SSH. comment fais je ?
ben la réponse est :
SSH est un protocole d'identification et non un logiciel d'éducation aux backup et à la gestion des mots de passes ou des post-its.
la réponse donné par les détracteurs de SSH sera :
SSH ne gérant pas la perte de clé ou de mot passe ou de l'IP du bastion, SSH complique donc l'identification, faire directement un telnet sera plus simple et efficace.
OpenID est juste un trousseau d'identité fait pour le web, comme SSH est un trousseau d'identité pour le shell.
OpenID et SSH proposent un protocole pour établir une liaison sécurisée entre 2 machines qui ne se connaissent pas et echanger des informations sur l'identité.
ni SSH ni OpenID ne te propose de solution pour gérer ton identité ou tes backups ou tes bookmarks, car c'est à l'interface Chaise-Clavier de gérer ce probleme.
Au detail pres que OpenID est par exemple, très bien pour initier une liaison OAuth quand un des deux pairs ne peut présenter un certificat SSL vérifiable facilement ( comprendre non autosigné et non signé auprès d'une autorité nécessitant d'installer des trucs dans le navigateur ).
SSL vérifiable des deux cotés => OpenID ne sert à rien et on peut faire directement du OAUTH
SSL au mieux pour un des deux cotés => OpenID apporte une solution pour établir un échange plus fiable en évitant certaines lourdeurs.
et OpenID + mOTP/OATH + SSL vérifiable => OP "robuste".
sinon une correction pour l'article qui patche la faille monumentale sur OpenID, avec XRDS on peut présenter un autre URL que l'URL qui n'est présenté nul part ailleurs.
explication : le protocole OpenID 2 inclut une resolution XRDS.
en pratique :
quand on dit etre dépendant de l'OP "mon.exemple.com", une requete HTTP avec un "Accept: XRDS" est faite vers mon.exemple.com qui devra retourner un fichier XRDS du genre
<Service priority="10">
<Type>http://specs.openid.net/auth/2.0/signon</Type>
<URI>http://www.myopenid.com/server</URI>
<LocalID>http://example.myopenid.com/</LocalID>
</Service>
et tu sera redirigé vers example.myopenid.com qui te présentera comme mon.exemple.com auprès du consumer.
quant aux reproches sur OpenID dans ton lien, on retrouve :
- les raisons qui font la force de FaceBook ( " on s'en fout de controler son identité ! FaceBook c trop cool ! tous mes potes sont sur facebook ! " ) et qui ont fait la force de MSN ( "on s'en fout que cela soit pas libre ! MSN c trop cool ! personne n'utilise XMPP ! " ),
- la méconnaissance du checkid_immediat qui permet de mettre en oeuvre un "remember me" et eviter les va et viens dans l'UI meme après 6 mois d'absence, meme après expiration du cookie.
OpenID N'est PAS une UI, PAS un scénario/workflow.
OpenID est juste une lib, un protocole.
si il y a une mauvaise expérience pour les personnes utilisatrices, alors le probleme est au niveau du scénario ou de l'UI pas du protocole.
OpenID est implémentable en JS, on pourrait même mettre un OP dans le navigateur en s'arrangeant un peu. ( il me semble meme que cela existe déjà dans FF sous forme d'extensions ).
Le soucis principal que je vois, est que les gars derrières ont poussé une technologie "ouverte en théorie" mais qui en pratique a été maintenu fermée par des artifices, les meilleurs faisceaux de preuves sont les libs libres non maintenu depuis plusieurs années alors qu'ils maintiennent le produit non libre commercialisé, et les gars du board de la fondation OpenID soient en partie ceux de JanRain le vendeur de solutions.
Maintenant au niveau pratique, si on utilise par exemple, Google en tant que OP, c'est transparent et sans soucis et l'on peut meme présenter une identité exemple.com sans faire apparaitre la moindre référence explicite à google ! ( encore merci à XRDS, XRI et .well-known ;) ).
Au sein d'une entreprise, OpenID permet aussi de déployer des techno buzzword du net 2.0 comme des blogs ou des wikis sans avoir à maintenir des millions d'identités si l'on fait le produit collaborateurs x services autonomes.
sinon de manière ironique, le couple OpenID + Attribute Exchange, permet d'informer de l'avatar que l'on souhaite utiliser au moment de sa connexion ... mais encore une fois, si personne n'a pensé à faire un OP libre et correct, la confusion entre ce que fait le protocole OpenID 2 et le scénario non-fonctionnel actuel continuera de régner.
dans la liste des AX connus ( meme si axschema.org est mort cf. https://linuxfr.org/users/mouns/journaux/openid-mon-amour ), on trouve pelle-melle : Email, XMPP, photos, "texte de présentation", langues, timezone, blogs, sites, ... et le protocole précise qu'il est possible à chaque fois d'accepter, refuser, adapter la transmission pour chaque attribut au cas par cas.
en gros, il manque un OP libre et cool pour que OpenID montre son potentiel.
parmi les motifs légitimes, tu peux avoir, certainement sans exhaustivité :
- ironiquement, éviter les reportages tel qu'il y en eut lors des faillites des CAMIF et Vogica où des commandes ont été acceptées alors que l'entreprise était en train de fermer définitivement,
- le risque de vente à perte,
- exemple, le fait que tu as un nombre limité de place dans une salle de concert ou un artiste donne un nombre limité de concert ... si tout a été vendu, c pas un refus interdit,
- le client n'a pas l'appoint ( car l'obligation d'avoir l'appoint est faite au client )
- le client n'a pas une monnaie acceptée dans la boutique
- le commercant n'a pas moyen d'encaisser le paiement ( il n'est pas obligatoire d'avoir un compte en banque pour avoir une entreprise, donc exit une quelconque obligation vis à vis des CB ou/et Cheques )
- le commerçant n'a pas la compétence pour encaisser ( au hasard, proposer une webUI paypal en boutique si tu veux payer avec ton compte paypal ton croissant )
- le commerçant n'a pas la connaissance pour encaisser ( Bordereaux Dailly , Lettre de change , Effets de commerce, ... )
c quoi la RFC du html 5 ? la RFC des CSS ? la RFC du JS ?
il me semble que la seule RFC concernant le HTML est la 1866 ( un prochain poisson en perspective ? :p ).
l'idée de fallback en cas de défaillance de l'OP n'implique pas exclusivement l'envoi d'un email ... XMPP est aussi une possibilité et il y a meme des RFC concernant XMPP ;)
j'avais souligné ceci :
_ Je vous propose d'ignorer l'hypocrisie du navigateur à valider sans sourciller et en silence les formulaire GET HTTPS -> HTTP puisque GET est limité au niveau de la longueur de l'URL._
donc, je clarifie mon propos :
- soit ces boulets ( je reprends ton terme ) de devs de navigateurs, collent la meme alerte quand on fait un GET avec parametres HTTPS -> HTTP .
- soit ces boulets ( je reprends ton terme ) de devs de navigateurs, trouvent une solution pour ce cas de figure avant de distribuer HSTS n'importe ou.
parce qu'une maniere de contourner le probleme est ... un GET avec parametres :p
Tout comme un formulaire POST n'est pas uniquement pour transmettre une CB ou son caryotype, on peut transmettre des informations critiques avec une méthode GET.
concernant ce qu'il me faut, je te rassure, j'avais trouvé la réponse sans toi, si tu relis mon propos, j'ai écrit : HSTS est très bien pour les sites qui fonctionnent en autarcie ou qui n'accepte de collaborer qu'avec des sites proposant HTTPS
donc, je ne dis pas que HSTS est mal, je dis juste qu'il répond à un besoin précis mais qu'à partir du moment où l'on se retrouve à utiliser des protocoles faisant intervenir le browser, et si l'on ne restreint pas volontairement le périmètre uniquement aux sites proposant uniquement HTTPS, alors, il y a un probleme avec une hypocrisie dans le navigateur qui peut nuire au déploiement massif de HSTS.
Si j'étais méchante, je te rappellerai qu'il est meme possible de passer des informations en GET et sans parametre.
ben quoi ? c'est le GET ou le POST qui permette de déterminer si l'information est critique ou non ?
ce n'est pas un peu synonyme de " si tu fais du P2P , c'est que tu télécharge illégalement " ?
je vais me répéter :
HSTS palie localement à un réel probleme sans considérer la "big picture" qui est qu'aujourd'hui on a les OpenID, les OAuth 3-legged & consort qui font causer les différents sites entre eux, et que les navigateurs conservent encore les legs de Netscape & co qui sortaient des alertes au moindre formulaire
HSTS n'est actif que si la connexion est déjà en HTTPS.
dit autrement, envoyer les en-tetes HSTS sur un lien HTTP n'aura aucun impact puisque le navigateur ne les regardera même pas.
il faut donc toujours avoir une regle dans le vhost HTTP du genre :
RewriteRule ^/(.*)$ https://example.com/$1 [L,R=301]
j'ai vite adhéré à HSTS dans un projet récent que j'ai eu à mener.
mais en cours de développement, nous avons rencontré un problème ennuyeux :
soumettre un formulaire de retour en POST vers un site en HTTP.
et oui, c'est con mais diverses normes, specs, protocoles etc, demandent ( à coup de SHOULD ) à transmettre plein d'info via des methodes POST au travers de l'UI de l'utilisateur.
quand l'appli doit renvoyer vers un site sans https , elle produit un formulaire depuis l'appli HTTPS qui va être POSTé vers un site en HTTP, ce qui donne l'affichage dans le navigateur d'une superbe popup flippante du genre " valider ce formulaire provoquera une transmission non sécurisée, ton cancer, ta faillite et le départ de ton etre aimé " .
Je vous propose d'ignorer l'hypocrisie du navigateur à valider sans sourciller et en silence les formulaire GET HTTPS -> HTTP puisque GET est limité au niveau de la longueur de l'URL.
toujours est il que :
- HSTS palie localement à un réel probleme sans considérer la "big picture" qui est qu'aujourd'hui on a les OpenID, les OAuth 3-legged & consort qui font causer les différents sites entre eux, et que les navigateurs conservent encore les legs de Netscape & co qui sortaient des alertes au moindre formulaire,
- si tu veux retirer un site de la liste HSTS interne au navigateur, tu ne peux pas le faire aisément ( genre quand il a fallu faire machine arrière avec HSTS )
en résumé :
- HSTS est très bien pour les sites qui fonctionnent en autarcie ou qui n'accepte de collaborer qu'avec des sites proposant HTTPS.
- par contre, si ton site HSTS propose de te connecter aux providers perso OpenID et non aux usines Google & co, tu risques d'etre confronté à la popup de la mort qui effraiera certainement le pere, la mere et la fratrie du gentil geek qui a monté son provider OpenID sur en http://geek-michu.free.fr/ et qui leur a vanté les mérites de gerer soit meme son identité numérique plutot que de la vendre aux facebook & co
Pour avoir codé from scratch, il y a quelques années de cela un serveur OpenID 1 , j'avais déjà remarqué que les docs étaient peu clairs et qu'il y avait une sorte de mainmise par ce qui allait devenir JanRain.
Actuellement encore, je trouve toujours étonnant que la seule version FLOSS existante un tant soit peu complete soit celle de JanRain. Cela me conforte dans ce sentiment d'une philosophie du FLOSS pour le buzz et non pour une réelle ouverture. JanRain n'ayant pas réussi avec OpenID vu la fausse ouverture qui était faite, a préféré réorienté son métier vers RPX qui semble être somme toute à la meme chose mais sous une autre étiquette.
Néanmoins, cela ne m'empêche pas d'avoir le sentiment que OpenID est une bonne technologie dans certains contextes, surtout quand elle peut etre couplée pour la gestion des autorisations avec OAuth. La preuve en est que certain mastodonte comme FaceBook et Google l'ont adopté pour leurs interactions avec des applis tierces.
je viens d'écrire un serveur et un client OpenID. j'ai pu constater les docs existantes sont plutot mal foutues, et j'essaie à mon rythme de nettoyer cela du coté de php-openid.
j'ai dans ma todo list :
ajouter les Stores PDO & DBA
finir la mise à jour des tests car certains sont incomplets ou obsoletes
tu la visites à la rigueur quand tu codes ou quand tu documentes ton code .
Chaque lien renvoyait vers une description de l'attribut avec le format et tuti quanti . Il me semblait qu'il y avait un JSON dispo aussi.
j'avais rempli une table avec les attributs acceptés il y a quelques mois mais sans les attributs expérimentaux.
Aujourd'hui, il n'y a plus de référence en terme d'attribut générique.
Et beaucoup de pages parlant de axschema se retrouve à fournir des backlinks à cet MFA.
" code mal écrit " => par exemple :
- avec un MVC, coller du dans du V et du V dans du C,
- faire de la POO avec 1 seul objet qui fait tout n'importe comment,
- utiliser la suite 0,1,2,3 en tant que nombre, faire des opérations de comparaison mais ne pas respecter la loi d'ordre qui va avec ( comme dire 0:pas important, 1:important, 2: faiblement important, 3:moyennement en utilisant dans le code des > et des < ) ... c'est un usage contre-intuitif de nombre comparables puisque l'on s'attend à 0<1<2<3 et non 0<1>3<2 ( comprendre 1>3>2>0 )
et je parle d'exemples concrets écrit par des personnes diplômées et non stagiaires.
complexité extrinsèque du code : complexité qui n'est pas lié au code que tu écris, que tu maintiens, que tu patches. par exemple, quand tu modifies un fichier php, tu vas ni aller réécrire l'interpreteur php ni apache2 ni le noyau.
complexité intrinsèque du code :
complexite théorique du code sans considérer les contraintes inhérentes au matériel, à l'interpréteur.
cela concerne aussi bien la consommation mémoire que la vitesse d'execution.
par exemple :
quand tu fais un "select *" d'une table enorme sans aucun where, et que tu recopies tout en mémoire, "c'est très couteux", et le fait que php ou apache soit optimisé ou non n'a rien à y faire, qu'il y ait 4Mo ou 4Go ou 4To de RAM, cela ne change rien.
quand je parle de complexité intrinsèque du code, je parle bien de la complexité du code sur le quel tu travailles et non pas de la complexité que tu subis de l'extérieur.
tu noteras que je ne parlais pas de parallèlisation & co.
" tenu de charge du code " : exemple ultra basique (et peu significatif) pour la mesurer sur un site wev : /usr/bin/ab
le but est de savoir si ton code bien qu'il puisse être "théoriquement peu couteux en terme d'execution", est parallélisable ou non.
exemple pratique idiot :
tu accèdes en lecture seule à des fichiers sur le disque mais tu as mis un verrou d'accès exclusif à ces fichiers durant toute l'execution de ton programme.
si ton code est théoriquement rapide, il va faiblement tenir la charge puisqu'à chaque fois, il n'y aura qu'une seule requete qui y aura accès.
les seules choses pouvant améliorer les performances, sont la performance du hardware ou la réécriture du code.
exemple pratique tout aussi idiot :
tu fais à chaque requete un update sans aucun where sur une table ayant beaucoup d'entrées, dans une base MySQL.
MySQL utilise souvent des verrous exclusif lors d'un update ... donc faible tenue de charge quand tu fais des update couteux.
pour finir, c'est "perduE" <- tu noteras le e final :p
[^] # Re: Une piste
Posté par Mouns (site web personnel) . En réponse à l’entrée du suivi Inter-locks. Évalué à 1 (+0/-0).
une idée à 2 balles impliquant :
idée :
1. n'avoir qu'un canal SSE actif par page (je précise si ce n'est pas déjà le cas)
2. utiliser localstorage comme un buffer de communication ( genre un peu comme backbone.offline ou le truc présenté par LinkedIn )
3. si aucune mise à jour depuis X seconds, tenter de "prendre la main" pour remplir localstorage
"prendre la main" signifie :
* élire un onglet qui sera le seul à faire la collecte pour les autre
* réélire un nouveau onglet collecteur si l'ancien collecteur est fermé ou a perdu sa connexion
[^] # Re: Énorme plus
Posté par Mouns (site web personnel) . En réponse à l’entrée du suivi publier un lien sur la tribune redacteur et/ou journal-bookmark via OAuth. Évalué à 1 (+0/-0).
d'un autre coté, sans API OAuth exploitable personne ne voudra passer du temps à coder un plugin qui ne permet que de s'identifier ;)
oeuf <-> poule , toussa toussa ;)
commencer par la charpente qui permettra de faire le reste ;)
[^] # Re: du secret du vote ou peut on etre de droite sur twitter en critiquant sarkozy ?
Posté par Mouns (site web personnel) . En réponse à la dépêche Conférence « Vote électronique : en quoi le logiciel libre n'est pas la solution ». Évalué à 2.
là, tu sors du champs institutionnel.
à partir de là, tu entres dans un champ aujourd'hui non démocratique, qui est le fondement meme de la discrimination au niveau sociale.
je parle de "non démocratique" puisque la démocratie repose sur le principe d'égalité càd sur la non distinction entre les individus dans leur ensemble. Attention je ne parle pas de ne pas considérer l'individu dans ce qu'il a de singulier, mais le fait qu'il ne faille pas fabriquer de distinction vis à vis de l'ensemble des individus.
Tout individu doit pouvoir se rendre au centre des impôts. donc la personne en fauteuil roulant doit pouvoir s'y rendre.
Sans considérer la singularité individuel du fauteuil roulant, on colle un escalier et le mec en fauteuil attendra un miracle.
Mais ce manque de considération, fabrique de facto une violation de la volonté initiale de non distinction puisque seul ceux qui sont valide pourront se rendre au centre des impots.
Donc le principe d'égalité qui impose la non-discrimination, la non-ségrégation, impose aussi la considération de l'individu dans sa singularité.
Or, concernant la pression familiale ou du chef, si il n'y a pas possibilité de s'opposer sans prendre de risque, alors il s'agit clairement d'un foyer pouvant mener au harcellement, à la discrimination, à la ségrégation.
aujourd'hui, quand on parle de discrimination, on retrouve souvent le cliché du fameux hétéro-patriarchisme au niveau familial et sociétal.
mais on retrouve des schémas similaires au sein des autres structures, où toutes dissidences vis à vis du représentant de l'autorité de la communauté, est vécu comme une trahison nécessitant une sanction.
C'est ce schéma là qui est le coeur de l'hétéro-patriarchisme.
mais c'est aussi, le coeur de ma question soulevée dans le titre, peut on etre publiquement de droite et dire publiquement que Sarkozy déconne sans pour etre autant ridiculisé au travers de " tu es seul ", " tu es con ", " tu es de gauche " puis isolé au point que par exemple Mme Boutin doivent demander à gauche des signatures pour etre présente au premier tour (je ne parle pas de l'interet de sa candidature ou d'un soutien à ses opinions ).
Pour reprendre une image récente mais néanmoins importante : " Hollande, Valls, Baylet, Montbourg, Segolène, Martine " ou le classique "M. , Mme, Mlle".
Sincèrement, tout le monde s'en foutrait si le monde était idéal.
A partir du moment, où une étiquette est imposée par une société sans aucune raison socialement justifiée ( société au sens large, cela va de la famille à l'État ), c'est une fabrique à discrimination conduisant au secret.
Le problème est qu'encore aujourd'hui :
* une femme blonde en minijupe qui parle d'informatique sera moins crédible qu'un mec en tong, Tshirt et bermuda.
* une femme obèse en mini jupe sera moquée, un homme obèse en bermuda ne subira pas ce jugement social.
* des personnes tolérantes ne comprennent toujours pas que dire "faire qq chose en juif" est dans le meme registre que " soit pas une tapette ", " fait pas ta gonzesse ".
Dans mon commentaire initial, je parle d'une société que je présente comme étant idéal.
Tant que l'idéal n'est pas atteint, le secret du vote reste nécessaire.
La nécessité du secret est une conséquence à la corruption, à la discrimination, pas une solution.
Mais tout le probleme du secret et tu le souligne parfaitement, c'est que par définition, il permet des manipulations sauf à mettre des mécanismes qui seront perçu eux-même comme une manipulation du fait de leur apparente complexité.
donc, pour qu'une vote soit simple à comprendre et fiable, le seul moyen est de virer le secret.
Et pour cela, il faut lutter activement contre tout ce qui fabrique le secret, c'est à dire contre toute forme de discrimination, de ségrégation tout en garantissant la liberté d'opinion.
# du secret du vote ou peut on etre de droite sur twitter en critiquant sarkozy ?
Posté par Mouns (site web personnel) . En réponse à la dépêche Conférence « Vote électronique : en quoi le logiciel libre n'est pas la solution ». Évalué à -8.
dans une démocratie naissante, le secret du vote est une nécessité.
dans une société où la démocratie est acquise, où la liberté d'association, la liberté d'expression est garantie, de facto, il n'y a plus de secret du vote.
on a toutes et tous de la compassion pour les autres. et on donne.
Quand on donne aux restos du coeur, le centre des impots le sait donc l'État le sait.
Quand on donne à GreenPeace, le centre des impots le sait donc l'État le sait.
Quand on donne au CRIF, le centre des impots le sait donc l'État le sait.
Quand on donne à Confrérie Saint Pie X, le centre des impots le sait donc l'État le sait.
Quand on donne au FN ou au NPA, le centre des impots le sait donc l'État le sait.
Quand on s'exprime publiquement sur un blog, sur twitter, internet le sait donc l'État le sait.
Ce sont des actes politiques parce par définition se sont des actes agissant sur la chose publique, le bien commun.
Aujourd'hui, pour beaucoup de monde, si tu es de droite, tu défends Sarkozy, si tu es de gauche tu critiques Sarkozy.
Pourtant, c'est seulement depuis quelques semaines que la politique menée par Sarkozy est ouvertement critiquée par des personnes connues pour être de droite.
Avant, il n'existait que la fameuse gaucho-sphère.
Combien de réels anonymes dans toutes ses opinions ?
Internet rendant rapidement public l'information, les pressions deviennent de plus en plus difficile.
Les grands qui mettent la pression, se trouvent de plus en plus face à l'Effet Streisand dès que la pression est rendue public.
La force de la pression sur l'autre est la lenteur dans la circulation de l'évènement donnant la possibilité d'étouffer l'information.
Plus cela se propage vite au plus grand nombre, moins c'est controllable, et moins c'est étouffable.
Le secret du vote n'est une nécessité qu'à partir du moment où on se demande si l'on craint des représailles au fait d'adhérer à une association ou un parti ou une organisation quelconque.
A partir du moment, où personne ne se pose la question de l'information volontairement fournie à l'État, alors il me semble judicieux de considérer que la démocratie est totale puisque communiquer à l'État revient à dire ouvertement à tous ses opinions.
La seule possibilité est de garantir le pouvoir démocratique en brisant les aristocraties politiciennes, et autres népotismes industriello-politiques.
Aujourd'hui, en France, ce sont les conflits d'interets et les corruptions qui font craindre encore des pressions venant d'en haut. Les affaires qui éclatent à gauche comme à droite sont les preuves que tout ce modele du secret et cette loi du silence.
Le secret du vote ne sera plus nécessaire quand une réelle transparence aura été acquise.
[^] # Re: une série qui grandit vite
Posté par Mouns (site web personnel) . En réponse au journal Qui à la plus grande. Évalué à 1.
les nombres de Radò connu aussi sous le nom des castors affairés Castor_affairé
il me semble que l'on a pas mieux comme croissance de suite ou comme usine à très grand nombre.
# geolocalisation ...
Posté par Mouns (site web personnel) . En réponse au journal Cherche exemple d'expression de calcul lourd. Évalué à 3.
essaie de trouver la formule qui permet de déterminer l'ensemble de coordonnées GPS se trouvant à moins de 1km de chez toi ...
cela passe par ici : http://fr.wikipedia.org/wiki/Distance_du_grand_cercle
maintenant, tu t'appelles foursquare ( genre la surface de la planete comme lieu géolocalisable et un volume conséquent ) , et maintenant ...
dit moi parmi les dizaines de millions de lieu enregistrés, quelles sont ceux qui se trouve dans un voisinage de 1km.
cela en fait de la trigo à gérer soit au niveau d'une base GIS soit à la mano si tu codes toi meme ta base GIS, non ?
[^] # Re: C'est quoi le problème OpenID
Posté par Mouns (site web personnel) . En réponse au journal État des lieux d'un internet décentralisé. Évalué à 1.
et http://mamy-et-papy.free.fr/ ?
et http://ploum-et-sa-boulangere.monsite-orange.fr/ ?
ton site est ton identité.
ton site te permet de partager
et ton URL OpenID peut tout à fait etre mamy-et-papy.free.fr sans rien de plus .
Et pour être énervante jusqu'au bout, cela peut meme etre ploum@mon-site-qui-est-aussi-mon-domain-mail.fr puisque le @ est tout à fait correct dans une URL et sera remplacé au niveau OpenID par http://ploum@mon-site-qui-est-aussi-mon-domain-mail.fr/ . donc oui, cela est déjà faisable, et je pourrai même imaginer qu'il y a des des OP qu'il permettent cet usage.
tout le monde a une page qui traine quelque part que cela soit son profil google, son profil flickr, son site perso ou son blog.
pour commenter sur divers blogs, souvent on me demande si je veux indiquer l'addresse de mon site ... donc ce n'est pas ce qu'il y a de plus obscur à mon sens.
la simplicité de mise en oeuvre est telle que tu dois "juste" renvoyer un fichier XRDS contenant les bonnes info si l'on te fait une requete avec un "Accept: application/xrds+xml". le fichier XRDS devant juste orienter vers ton fournisseur OpenID que tu souhaite ( qu'il soit google, yahoo, MSN, Orange, ou autohébergé ou meme tous en meme temps en cas de panne d'un des providers d'identité ).
j'en reviens donc au fondamentaux :
une intégration correcte ... ne serait ce que de la requete XRDS !
tant que cela n'aura pas été fait, la question de la pertinence de OpenID fera toujours débat ... et l'on reviendra au meme constat à savoir :
- les gros l'utilisent et cela semble plaire
- les petits n'ont pas d'outils corrects
- JanRain profite du controle sur OpenIDenabled.com pour diffuser de la merde et vendre à la place son OpenID sous stéroïde ( si tu préfères, JanRain/Engage est une implémentation idéale de OpenID - suffit de regarder par ici http://openid.net/add-openid/add-getting-started/ ).
[^] # Re: C'est quoi le problème OpenID
Posté par Mouns (site web personnel) . En réponse au journal État des lieux d'un internet décentralisé. Évalué à 1.
d'ou l'idée mise en oeuvre dans plein d'endroit :
Ta boulangère a certainement un GMail ou un Yahoo ou un MSN ou un email Orange ... qui est son identifiant OpenID puisque ces mastodonte gerent OpenID 2.0
Maintenant, toi, le geek qui aime son email/site autohébergé, il peut :
- déléguer le sign-on à google & co tout en restant le domaine annoncé ( le claim_id )
- faire son propre OP rien qu'à lui pour tout maitriser.
- insister pour que Linuxfr soit son OP OpenID 2.0 pour qu'il puisse déléguer à un à un OP libre et "too big to fail".
[^] # Re: C'est quoi le problème OpenID
Posté par Mouns (site web personnel) . En réponse au journal État des lieux d'un internet décentralisé. Évalué à 1.
tu veux voir pourquoi cela a du mal à prendre dans le libre ?
https://github.com/openid/php-openid <- voila un élement de réponse provenant de http://www.janrain.com/openid-enabled .
on décortique :
- absence de push depuis des mois,
- absence de corrections depuis plus de 1 an,
- code dit "PHP 5" qui est juste une copie du code PHP4 ( cf. https://github.com/openid/php4-openid pour se faire une idée sur mon affirmation que l'on peut préjuger de gratuite, sinon aller directement au ticket virant le code compatible PHP4 pour devenir compatible PHP 5.3 , ou lire les tickets s'étonnant de ne voir que PEAR_DB et rien de plus neuf ),
- paquet fourni dans les distrib fonctionnant très mal
donc, je peux comprendre la deception des devs puisque je l'ai connu, mais en creusant, j'ai trouvé un protocole réellement interessant mais dont les librairies ne sont plus du tout maintenu alors que les mastodontes non-libres utilisent de plus en plus OpenID.
maintenant, regardons du coté de JanRain ...
En gros, il faut sortir le code libre de OpenID de la mainmise de JanRain et en faire un truc communautaire ... parce que ce qui se passe avec OpenID, c'est ce qui tout le monde craint avec des OO.o , MySQL & consort chez Oracle.
j'ai mon fork que je maintiens doucement et que j'utilise en prod : j'y ai fait du rangement pour rendre le bordel plus intelligible. après, il y a un sacré ménage à faire dans le code lui meme pour qu'il soit plus stable, et surtout plus souple. si cela interesse des gens, autant collaborer ensemble :) ( https://github.com/mouns/php-openid/tree/master/Auth/OpenID ).
Maintenant, je fais ce que je peux à mon niveau, et je n'ai pas la santé pour faire tout ce que j'aimerai faire.
[^] # Re: C'est quoi le problème OpenID
Posté par Mouns (site web personnel) . En réponse au journal État des lieux d'un internet décentralisé. Évalué à 2.
tu écris :
> Un protocole seul est inutile.
sinon pour la couche du dessus, à part faire des plugins plus ou moins bien intégré dans wordpress, joomla, drupal, de fournir une lib plus ou moins correcte dans divers langages, je ne vois pas ce qu'il peut etre fait de plus que " un OP ( OpenID Provider ) libre et cool pour que OpenID montre son potentiel ".
et heureusement que j'ai écrit ceci quelques messages avant :
> en gros, il manque un OP libre et cool pour que OpenID montre son potentiel.
par exemple, une équipe fonctionnant plutot bien pour l'utiliser en prod :
- l'OP de " Google apps for domains " ( un peu de conf à faire au niveau du domaine ) + Trac ( juste un plugin à ajouter ) + PMA ( qui necessite de coder ) + ...
avantages ?
- permet de gerer 50 comptes utilisateurs gratuitement dans " Google apps for domains " avec un niveau bureautique très basique
- les outils clients ( Trac , PMA, ... ) sont configuré pour n'accepter que des connexions OpenID des domaines souhaités ( pour des applis interne à l'entreprise )
- pas besoin de gérer 3 000 comptes dans les trac, PMA, ... tout s'appuie sur la gestion centralisée sur l'OP fourni par google
inconvénients ?
- faut savoir coder un peu pour parfaire l'intégration d'openid et corriger les merdes ici et là
- il n'y a plus qu'un seul post-it sous le clavier facilitant ainsi le farming d'identifiants
- google n'a pas libéré son OP
- en tant qu'admin, faut lire à l'occasion les specs de XRI, XRDS, OpenID, AX, SReg, ...
- faut justifier le bugdet de l'info pour éviter que l'on baisse le budget puisque l'on baisse ses couts en terme de backup critique
sinon OpenID expliqué au commun des mortel chez paperblog :
http://www.paperblog.fr/2761962/openid-google-yahoo-orange-myopenid-facebook-liveid-and-me-l-authentification-a-moindre-frais/
l'annonce de FaceBook comme Client OpenID : http://developers.facebook.com/blog/post/246/
donc des OP et des clients non libre, il y en a des tonnes, et qui sont tellement bien intégré que seul les dev les utilisant savent que c'est de l'OpenID.
et je me repete encore une fois, il manque un OP libre qui soit grand public, un OP qui soit le wordpress/FireFox/GIMP de l'OpenID.
PS :
maintenant, il est vrai que telnet reste un moyen tres rapide à mettre en oeuvre pour faire de l'accès console distant, mais n'offre aucune sécurité et nécessite de créer des comptes sur chaque machines avec sa base d'identifiants propres, ... et SSH ca créé des problemes supplémentaires pour essayer de répondre à un probleme pas si problématique que cela tout compte fait quand on n'a qu'une machine à gérer ;)
[^] # Re: C'est quoi le problème OpenID
Posté par Mouns (site web personnel) . En réponse au journal État des lieux d'un internet décentralisé. Évalué à 2.
et depuis quand un protocole d'identification doit gérer le probleme du mot de passe oublié ?
tiens ! question similaire pour montrer la mauvaise foi derrière les reproches qui sont fait à OpenID :
SSH permet de s'identifier avec une identité ( je suis bien le possesseur de la clé ) et supporte le principe de proxy d'identité ( Forward Agent ).
Je suis brouillon, pas organisé et j'ai perdu ma passphrase. comment fais je ?
Je suis brouillon, pas organisé et j'ai perdu l'intégralité de ma clé privée. comment fais je ?
Je suis brouillon, pas organisé et j'ai perdu l'IP, le login, le password de mon bastion SSH. comment fais je ?
ben la réponse est :
SSH est un protocole d'identification et non un logiciel d'éducation aux backup et à la gestion des mots de passes ou des post-its.
la réponse donné par les détracteurs de SSH sera :
SSH ne gérant pas la perte de clé ou de mot passe ou de l'IP du bastion, SSH complique donc l'identification, faire directement un telnet sera plus simple et efficace.
OpenID est juste un trousseau d'identité fait pour le web, comme SSH est un trousseau d'identité pour le shell.
OpenID et SSH proposent un protocole pour établir une liaison sécurisée entre 2 machines qui ne se connaissent pas et echanger des informations sur l'identité.
ni SSH ni OpenID ne te propose de solution pour gérer ton identité ou tes backups ou tes bookmarks, car c'est à l'interface Chaise-Clavier de gérer ce probleme.
[^] # Re: Par curiosité...
Posté par Mouns (site web personnel) . En réponse à l’entrée du suivi support de OpenID. Évalué à 1 (+0/-0).
je l'utilise ... sinon, je n'en parlerais pas. :p
[^] # Re: C'est quoi le problème OpenID
Posté par Mouns (site web personnel) . En réponse au journal État des lieux d'un internet décentralisé. Évalué à 5.
Au detail pres que OpenID est par exemple, très bien pour initier une liaison OAuth quand un des deux pairs ne peut présenter un certificat SSL vérifiable facilement ( comprendre non autosigné et non signé auprès d'une autorité nécessitant d'installer des trucs dans le navigateur ).
et OpenID + mOTP/OATH + SSL vérifiable => OP "robuste".
sinon une correction pour l'article qui patche la faille monumentale sur OpenID, avec XRDS on peut présenter un autre URL que l'URL qui n'est présenté nul part ailleurs.
explication : le protocole OpenID 2 inclut une resolution XRDS.
en pratique :
quand on dit etre dépendant de l'OP "mon.exemple.com", une requete HTTP avec un "Accept: XRDS" est faite vers mon.exemple.com qui devra retourner un fichier XRDS du genre
<Service priority="10">
<Type>http://specs.openid.net/auth/2.0/signon</Type>
<URI>http://www.myopenid.com/server</URI>
<LocalID>http://example.myopenid.com/</LocalID>
</Service>
et tu sera redirigé vers example.myopenid.com qui te présentera comme mon.exemple.com auprès du consumer.
quant aux reproches sur OpenID dans ton lien, on retrouve :
- les raisons qui font la force de FaceBook ( " on s'en fout de controler son identité ! FaceBook c trop cool ! tous mes potes sont sur facebook ! " ) et qui ont fait la force de MSN ( "on s'en fout que cela soit pas libre ! MSN c trop cool ! personne n'utilise XMPP ! " ),
- la méconnaissance du checkid_immediat qui permet de mettre en oeuvre un "remember me" et eviter les va et viens dans l'UI meme après 6 mois d'absence, meme après expiration du cookie.
OpenID N'est PAS une UI, PAS un scénario/workflow.
OpenID est juste une lib, un protocole.
si il y a une mauvaise expérience pour les personnes utilisatrices, alors le probleme est au niveau du scénario ou de l'UI pas du protocole.
OpenID est implémentable en JS, on pourrait même mettre un OP dans le navigateur en s'arrangeant un peu. ( il me semble meme que cela existe déjà dans FF sous forme d'extensions ).
Le soucis principal que je vois, est que les gars derrières ont poussé une technologie "ouverte en théorie" mais qui en pratique a été maintenu fermée par des artifices, les meilleurs faisceaux de preuves sont les libs libres non maintenu depuis plusieurs années alors qu'ils maintiennent le produit non libre commercialisé, et les gars du board de la fondation OpenID soient en partie ceux de JanRain le vendeur de solutions.
Maintenant au niveau pratique, si on utilise par exemple, Google en tant que OP, c'est transparent et sans soucis et l'on peut meme présenter une identité exemple.com sans faire apparaitre la moindre référence explicite à google ! ( encore merci à XRDS, XRI et .well-known ;) ).
Au sein d'une entreprise, OpenID permet aussi de déployer des techno buzzword du net 2.0 comme des blogs ou des wikis sans avoir à maintenir des millions d'identités si l'on fait le produit collaborateurs x services autonomes.
sinon de manière ironique, le couple OpenID + Attribute Exchange, permet d'informer de l'avatar que l'on souhaite utiliser au moment de sa connexion ... mais encore une fois, si personne n'a pensé à faire un OP libre et correct, la confusion entre ce que fait le protocole OpenID 2 et le scénario non-fonctionnel actuel continuera de régner.
dans la liste des AX connus ( meme si axschema.org est mort cf. https://linuxfr.org/users/mouns/journaux/openid-mon-amour ), on trouve pelle-melle : Email, XMPP, photos, "texte de présentation", langues, timezone, blogs, sites, ... et le protocole précise qu'il est possible à chaque fois d'accepter, refuser, adapter la transmission pour chaque attribut au cas par cas.
en gros, il manque un OP libre et cool pour que OpenID montre son potentiel.
[^] # Re: Génération de Bitcoins
Posté par Mouns (site web personnel) . En réponse au journal Le bitcoin atteint la parité avec l'euro. Évalué à 1.
relis le texte " sauf motif légitime ".
parmi les motifs légitimes, tu peux avoir, certainement sans exhaustivité :
- ironiquement, éviter les reportages tel qu'il y en eut lors des faillites des CAMIF et Vogica où des commandes ont été acceptées alors que l'entreprise était en train de fermer définitivement,
- le risque de vente à perte,
- exemple, le fait que tu as un nombre limité de place dans une salle de concert ou un artiste donne un nombre limité de concert ... si tout a été vendu, c pas un refus interdit,
- le client n'a pas l'appoint ( car l'obligation d'avoir l'appoint est faite au client )
- le client n'a pas une monnaie acceptée dans la boutique
- le commercant n'a pas moyen d'encaisser le paiement ( il n'est pas obligatoire d'avoir un compte en banque pour avoir une entreprise, donc exit une quelconque obligation vis à vis des CB ou/et Cheques )
- le commerçant n'a pas la compétence pour encaisser ( au hasard, proposer une webUI paypal en boutique si tu veux payer avec ton compte paypal ton croissant )
- le commerçant n'a pas la connaissance pour encaisser ( Bordereaux Dailly , Lettre de change , Effets de commerce, ... )
[^] # Re: rfc
Posté par Mouns (site web personnel) . En réponse à l’entrée du suivi support de OpenID. Évalué à 1 (+0/-0).
c quoi la RFC du html 5 ? la RFC des CSS ? la RFC du JS ?
il me semble que la seule RFC concernant le HTML est la 1866 ( un prochain poisson en perspective ? :p ).
l'idée de fallback en cas de défaillance de l'OP n'implique pas exclusivement l'envoi d'un email ... XMPP est aussi une possibilité et il y a meme des RFC concernant XMPP ;)
sinon, tu as :
- http://openid.net/ pour quelques specs
- https://github.com/openid/ruby-openid pour le code ruby maintenu par JanRain
- divers projets semble t il sur rubyforge
[^] # Re: Mauvaise réponse à un vrai problème ?
Posté par Mouns (site web personnel) . En réponse à la dépêche HTTP Strict Transport Security. Évalué à 1.
en gros tu aimerais que le attributs SRV soit exploité pour les requetes HTTP et HTTPS ?
oui, cela serait peut etre le possible debut d'une forme de solution ...
... sauf que, ce n'est pas demain la veille que cela sera fait.
[^] # Re: le seul soucis de HSTS ...
Posté par Mouns (site web personnel) . En réponse à la dépêche HTTP Strict Transport Security. Évalué à 2.
j'avais souligné ceci :
_ Je vous propose d'ignorer l'hypocrisie du navigateur à valider sans sourciller et en silence les formulaire GET HTTPS -> HTTP puisque GET est limité au niveau de la longueur de l'URL._
donc, je clarifie mon propos :
- soit ces boulets ( je reprends ton terme ) de devs de navigateurs, collent la meme alerte quand on fait un GET avec parametres HTTPS -> HTTP .
- soit ces boulets ( je reprends ton terme ) de devs de navigateurs, trouvent une solution pour ce cas de figure avant de distribuer HSTS n'importe ou.
parce qu'une maniere de contourner le probleme est ... un GET avec parametres :p
Tout comme un formulaire POST n'est pas uniquement pour transmettre une CB ou son caryotype, on peut transmettre des informations critiques avec une méthode GET.
concernant ce qu'il me faut, je te rassure, j'avais trouvé la réponse sans toi, si tu relis mon propos, j'ai écrit :
HSTS est très bien pour les sites qui fonctionnent en autarcie ou qui n'accepte de collaborer qu'avec des sites proposant HTTPS
donc, je ne dis pas que HSTS est mal, je dis juste qu'il répond à un besoin précis mais qu'à partir du moment où l'on se retrouve à utiliser des protocoles faisant intervenir le browser, et si l'on ne restreint pas volontairement le périmètre uniquement aux sites proposant uniquement HTTPS, alors, il y a un probleme avec une hypocrisie dans le navigateur qui peut nuire au déploiement massif de HSTS.
Si j'étais méchante, je te rappellerai qu'il est meme possible de passer des informations en GET et sans parametre.
ben quoi ? c'est le GET ou le POST qui permette de déterminer si l'information est critique ou non ?
ce n'est pas un peu synonyme de " si tu fais du P2P , c'est que tu télécharge illégalement " ?
je vais me répéter :
HSTS palie localement à un réel probleme sans considérer la "big picture" qui est qu'aujourd'hui on a les OpenID, les OAuth 3-legged & consort qui font causer les différents sites entre eux, et que les navigateurs conservent encore les legs de Netscape & co qui sortaient des alertes au moindre formulaire
[^] # Re: le seul soucis de HSTS ...
Posté par Mouns (site web personnel) . En réponse à la dépêche HTTP Strict Transport Security. Évalué à 1.
rien si ce n'est que sans HSTS tu peux palier à ce cas de figure en utilisant au choix une page HTTP ou HTTPS pour produire le formulaire de renvoie.
mon probleme est qu'avec HSTS, l'appli ne peut plus produire EXCEPTIONNELLEMENT des pages HTTP pour gérer un cas comme celui ci.
[^] # Re: Internet Explorer
Posté par Mouns (site web personnel) . En réponse à la dépêche HTTP Strict Transport Security. Évalué à 7.
HSTS n'est actif que si la connexion est déjà en HTTPS.
dit autrement, envoyer les en-tetes HSTS sur un lien HTTP n'aura aucun impact puisque le navigateur ne les regardera même pas.
il faut donc toujours avoir une regle dans le vhost HTTP du genre :
RewriteRule ^/(.*)$ https://example.com/$1 [L,R=301]
# le seul soucis de HSTS ...
Posté par Mouns (site web personnel) . En réponse à la dépêche HTTP Strict Transport Security. Évalué à 2.
j'ai vite adhéré à HSTS dans un projet récent que j'ai eu à mener.
mais en cours de développement, nous avons rencontré un problème ennuyeux :
et oui, c'est con mais diverses normes, specs, protocoles etc, demandent ( à coup de SHOULD ) à transmettre plein d'info via des methodes POST au travers de l'UI de l'utilisateur.
quand l'appli doit renvoyer vers un site sans https , elle produit un formulaire depuis l'appli HTTPS qui va être POSTé vers un site en HTTP, ce qui donne l'affichage dans le navigateur d'une superbe popup flippante du genre " valider ce formulaire provoquera une transmission non sécurisée, ton cancer, ta faillite et le départ de ton etre aimé " .
Je vous propose d'ignorer l'hypocrisie du navigateur à valider sans sourciller et en silence les formulaire GET HTTPS -> HTTP puisque GET est limité au niveau de la longueur de l'URL.
toujours est il que :
- HSTS palie localement à un réel probleme sans considérer la "big picture" qui est qu'aujourd'hui on a les OpenID, les OAuth 3-legged & consort qui font causer les différents sites entre eux, et que les navigateurs conservent encore les legs de Netscape & co qui sortaient des alertes au moindre formulaire,
- si tu veux retirer un site de la liste HSTS interne au navigateur, tu ne peux pas le faire aisément ( genre quand il a fallu faire machine arrière avec HSTS )
en résumé :
- HSTS est très bien pour les sites qui fonctionnent en autarcie ou qui n'accepte de collaborer qu'avec des sites proposant HTTPS.
- par contre, si ton site HSTS propose de te connecter aux providers perso OpenID et non aux usines Google & co, tu risques d'etre confronté à la popup de la mort qui effraiera certainement le pere, la mere et la fratrie du gentil geek qui a monté son provider OpenID sur en http://geek-michu.free.fr/ et qui leur a vanté les mérites de gerer soit meme son identité numérique plutot que de la vendre aux facebook & co
Monde de merde
[^] # Re: Moué
Posté par Mouns (site web personnel) . En réponse au journal OpenID mon amour. Évalué à 2.
Pour avoir codé from scratch, il y a quelques années de cela un serveur OpenID 1 , j'avais déjà remarqué que les docs étaient peu clairs et qu'il y avait une sorte de mainmise par ce qui allait devenir JanRain.
Actuellement encore, je trouve toujours étonnant que la seule version FLOSS existante un tant soit peu complete soit celle de JanRain. Cela me conforte dans ce sentiment d'une philosophie du FLOSS pour le buzz et non pour une réelle ouverture. JanRain n'ayant pas réussi avec OpenID vu la fausse ouverture qui était faite, a préféré réorienté son métier vers RPX qui semble être somme toute à la meme chose mais sous une autre étiquette.
Néanmoins, cela ne m'empêche pas d'avoir le sentiment que OpenID est une bonne technologie dans certains contextes, surtout quand elle peut etre couplée pour la gestion des autorisations avec OAuth. La preuve en est que certain mastodonte comme FaceBook et Google l'ont adopté pour leurs interactions avec des applis tierces.
[^] # Re: Moué
Posté par Mouns (site web personnel) . En réponse au journal OpenID mon amour. Évalué à 3.
j'ai forké leur depot php-openid et j'essaie de le faire évoluer.
si cela interesse quelqu'un : https://github.com/mouns/php-openid
je viens d'écrire un serveur et un client OpenID. j'ai pu constater les docs existantes sont plutot mal foutues, et j'essaie à mon rythme de nettoyer cela du coté de php-openid.
j'ai dans ma todo list :
[^] # Re: Moué
Posté par Mouns (site web personnel) . En réponse au journal OpenID mon amour. Évalué à 3.
tu la visites à la rigueur quand tu codes ou quand tu documentes ton code .
Chaque lien renvoyait vers une description de l'attribut avec le format et tuti quanti . Il me semblait qu'il y avait un JSON dispo aussi.
j'avais rempli une table avec les attributs acceptés il y a quelques mois mais sans les attributs expérimentaux.
Aujourd'hui, il n'y a plus de référence en terme d'attribut générique.
Et beaucoup de pages parlant de axschema se retrouve à fournir des backlinks à cet MFA.
# IE must die !
Posté par Mouns (site web personnel) . En réponse au message Application web. Évalué à 1.
sauf à vouloir être plus royaliste que le roi, vire IE6 !
au moins Microsoft, Google, FaceBook ont viré IE6 ... alors à quoi bon être compatible ?
[^] # Re: Concurrence ?
Posté par Mouns (site web personnel) . En réponse au message caractéristiques d'un serveur web pour forte affluence. Évalué à 2.
- avec un MVC, coller du dans du V et du V dans du C,
- faire de la POO avec 1 seul objet qui fait tout n'importe comment,
- utiliser la suite 0,1,2,3 en tant que nombre, faire des opérations de comparaison mais ne pas respecter la loi d'ordre qui va avec ( comme dire 0:pas important, 1:important, 2: faiblement important, 3:moyennement en utilisant dans le code des > et des < ) ... c'est un usage contre-intuitif de nombre comparables puisque l'on s'attend à 0<1<2<3 et non 0<1>3<2 ( comprendre 1>3>2>0 )
et je parle d'exemples concrets écrit par des personnes diplômées et non stagiaires.
intrinsèque : http://fr.wiktionary.org/wiki/intrins%C3%A8que
extrinsèque : http://fr.wiktionary.org/wiki/extrins%C3%A8que
complexité extrinsèque du code : complexité qui n'est pas lié au code que tu écris, que tu maintiens, que tu patches. par exemple, quand tu modifies un fichier php, tu vas ni aller réécrire l'interpreteur php ni apache2 ni le noyau.
complexité intrinsèque du code :
complexite théorique du code sans considérer les contraintes inhérentes au matériel, à l'interpréteur.
cela concerne aussi bien la consommation mémoire que la vitesse d'execution.
par exemple :
quand tu fais un "select *" d'une table enorme sans aucun where, et que tu recopies tout en mémoire, "c'est très couteux", et le fait que php ou apache soit optimisé ou non n'a rien à y faire, qu'il y ait 4Mo ou 4Go ou 4To de RAM, cela ne change rien.
quand je parle de complexité intrinsèque du code, je parle bien de la complexité du code sur le quel tu travailles et non pas de la complexité que tu subis de l'extérieur.
tu noteras que je ne parlais pas de parallèlisation & co.
" tenu de charge du code " : exemple ultra basique (et peu significatif) pour la mesurer sur un site wev : /usr/bin/ab
le but est de savoir si ton code bien qu'il puisse être "théoriquement peu couteux en terme d'execution", est parallélisable ou non.
exemple pratique idiot :
tu accèdes en lecture seule à des fichiers sur le disque mais tu as mis un verrou d'accès exclusif à ces fichiers durant toute l'execution de ton programme.
si ton code est théoriquement rapide, il va faiblement tenir la charge puisqu'à chaque fois, il n'y aura qu'une seule requete qui y aura accès.
les seules choses pouvant améliorer les performances, sont la performance du hardware ou la réécriture du code.
exemple pratique tout aussi idiot :
tu fais à chaque requete un update sans aucun where sur une table ayant beaucoup d'entrées, dans une base MySQL.
MySQL utilise souvent des verrous exclusif lors d'un update ... donc faible tenue de charge quand tu fais des update couteux.
pour finir, c'est "perduE" <- tu noteras le e final :p