Le certificat de LinuxFr.org est valide mais il a été signé par une autorité, CaCert, qui n'est effectivement pas reconnue par Firefox & co. Du coup, HSTS n'est effectivement pas une option pour LinuxFr.org. Cf http://linuxfr.org/suivi/support-de-hsts#comment-1227989
Non, ce n'est pas possible. D'une part, nous ne voulons pas forcer tous nos utilisateurs à passer en HTTPS, d'autre part, cela pose de sérieux problèmes.
Nous utilisons un certificat CaCert, qui n'est pas reconnu par défaut par la plupart des navigateurs. Avec HSTS, quand un navigateur voit un certificat qui ne lui semble pas valide, il affiche une page blanche au lieu de la page d'avertissement qui permet d'ajouter le certificat !
À la place, nous utilisons une technique à base de cookies. Quand quelqu'un se connecte depuis la version HTTPS du site, ses cookies sont en mode secure. Cela veut dire qu'ils ne sont envoyés que quand on se connecte en HTTPS, pas en HTTP. Un autre cookie https, pas _secure celui-là, est également ajouté. Quand ce cookie est présent et que l'utilisateur demande une page en HTTP, il est automatiquement redirigé vers la page équivalent en HTTPS.
Ainsi une personne qui s'est connecté en HTTPS peut utiliser le site normalement sans que son cookie de session ne circule en clair. Cela n'apporte pas autant les mêmes gages de sécurité que HSTS, mais est bien moins contraignant à mettre en place.
Dans ce cas, les utilisateurs viennent se plaindre que le site ne marche pas. Après, si tu as le temps pour leur expliquer le pourquoi du comment, tant mieux, ça fera des utilisateurs avertis en plus.
Les trucs genre Diaspora devraient permettre du réseau social distribué.
Ouais, ils devaient permettre ça. Sauf que pour le moment, l'aspect distribué est encore très théorique. Il n'y a pas encore le protocole qui va bien, ou plus probablement la manière d'assembler les protocoles existants.
"Le language ne devrait pas obliger à « penser bien ». On ne peut pas imposer la moralité par la syntaxe." Larry Wall.
Certes, mais tant qu'à faire, si le langage encourage à « penser bien », ce n'est pas de refus ;-)
Pour le reste, je ne connais pas le Perl moderne, mais ce que l'on m'en a dit va dans ce sens : ça n'a plus grand chose à voir avec le Perl que j'ai connu et on peut écrire du code propre et lisible avec (quand il est bien écrit).
En fait, à l'usage, le fait d'avoir le bouton en bas oblige à lire les commentaires et permet d'éviter de poster un commentaire que quelqu'un aurait déjà envoyé.
C'était pour ça que j'avais déplacé ce bouton en bas de la page. Et visiblement, ça semble bien marcher.
Les gens qui sont pour remettre le bouton en haut, quels sont vos arguments ?
Pour 1. je ne vais pas changer. Ça me semble plus logique de tagger un contenu quand on l'a lu et ce lien est avec les autres liens d'actions que l'utilisateur peut faire. Et déplacer le lien demanderait beaucoup de travail pour prendre en compte ce changement sur toutes les CSS.
demander à l'utilisateur son mot de passe lors de la création de son compte
Bof, j'ai volontairement choisi de générer des mots de passe plutôt que de laisser les utilisateurs en choisir à l'inscription. Ça fait un champ de moins à remplir pour l'utilisateur (en fait, 2 avec la confirmation) et surtout ça fait des mots de passe par défaut qui ne sont pas trop faibles (après, l'utilisateur peut le changer pour ce qu'il veut).
régénérer un mot de passe lors d'une demande de renvoi
Cette solution ne me plaît pas. J'ai l'impression qu'elle risque de causer plus de problèmes qu'elle ne va en résoudre, notamment avec le graylisting. L'utilisateur risque de recevoir le premier mail après avoir demandé le second et se retrouver avec un mot de passe qui ne fonctionne pas.
une meilleure idée
Je ne sais pas si c'est une meilleure idée, mais j'envoie dans le second mail une explication avec le lien pour demander un nouveau mot de passe.
Oui, dotcloud est très similaire à l'offre commerciale de VMWare, CloudFoundry.com.
Mais ce que je trouve vraiment intéressant dans Cloud Foundry, ce n'est pas la partie commerciale mais le code Open-Source. Cela permet d'utiliser Cloud Foundry sur les serveurs de son choix sans dépendre de VMWare ou d'une autre société.
À ce sujet, je viens de voir passer http://blog.paasform.com/. De ce que j'en comprends, paasform est une startup qui va simplifier le déploiement de Cloud Foundry sur un maximum d'infrastructures Cloud (Amazon, RackSpace, Linode, etc.).
J'ai testé mais avec une petite application Rails qui n'est pas LinuxFr.org.
si oui, tu penses quoi de la solution ?
Beaucoup de bien. C'est encore jeune, donc le nombre de services et frameworks est limité et ça manque sérieusement de documentation. Mais on sent que les développeurs savent ce qu'ils font : le code est propre, tous les composants sont scalables horizontalement et possèdent des mécanismes pour essayer de se réparer automatiquement. Et pour ne rien gâcher, VMWare semble vraiment jouer la carte de l'Open-Source : ils travaillent activement sur github pour intégrer les remontées et les patchs des utilisateurs.
[^] # Re: Entrée dans le suivi
Posté par Bruno Michel (site web personnel) . En réponse à la dépêche HTTP Strict Transport Security. Évalué à 10.
Le certificat de LinuxFr.org est valide mais il a été signé par une autorité, CaCert, qui n'est effectivement pas reconnue par Firefox & co. Du coup, HSTS n'est effectivement pas une option pour LinuxFr.org. Cf http://linuxfr.org/suivi/support-de-hsts#comment-1227989
# Non
Posté par Bruno Michel (site web personnel) . En réponse à l’entrée du suivi Support de HSTS. Évalué à 4 (+0/-0).
Non, ce n'est pas possible. D'une part, nous ne voulons pas forcer tous nos utilisateurs à passer en HTTPS, d'autre part, cela pose de sérieux problèmes.
Nous utilisons un certificat CaCert, qui n'est pas reconnu par défaut par la plupart des navigateurs. Avec HSTS, quand un navigateur voit un certificat qui ne lui semble pas valide, il affiche une page blanche au lieu de la page d'avertissement qui permet d'ajouter le certificat !
À la place, nous utilisons une technique à base de cookies. Quand quelqu'un se connecte depuis la version HTTPS du site, ses cookies sont en mode secure. Cela veut dire qu'ils ne sont envoyés que quand on se connecte en HTTPS, pas en HTTP. Un autre cookie
https
, pas _secure celui-là, est également ajouté. Quand ce cookie est présent et que l'utilisateur demande une page en HTTP, il est automatiquement redirigé vers la page équivalent en HTTPS.Ainsi une personne qui s'est connecté en HTTPS peut utiliser le site normalement sans que son cookie de session ne circule en clair. Cela n'apporte pas autant les mêmes gages de sécurité que HSTS, mais est bien moins contraignant à mettre en place.
[^] # Re: Et la fermeture du port 80 ?
Posté par Bruno Michel (site web personnel) . En réponse à la dépêche HTTP Strict Transport Security. Évalué à 10.
Dans ce cas, les utilisateurs viennent se plaindre que le site ne marche pas. Après, si tu as le temps pour leur expliquer le pourquoi du comment, tant mieux, ça fera des utilisateurs avertis en plus.
[^] # Re: Bonne initiative !
Posté par Bruno Michel (site web personnel) . En réponse au journal Une initiative de blocage exemplaire. Évalué à 6.
Effectivement. D'ailleurs, c'est le cas depuis une seconde version : http://reflets.info/wp-neutralityfr-0-0-2-codename-ca-va-etre-tout-noir/
[^] # Re: Fait
Posté par Bruno Michel (site web personnel) . En réponse à l’entrée du suivi navigation par tags connexes. Évalué à 2 (+0/-0).
J'ai changé l'ordre des boîtes de la sidebar. Cf https://github.com/nono/linuxfr.org/commit/50505d7338db5e7531f9ac16c37c9899b80d216a
# Corrigé
Posté par Bruno Michel (site web personnel) . En réponse à l’entrée du suivi Le HTML du flux atom des sondages n'est pas interprété. Évalué à 3 (+0/-0).
Effectivement, il y avait un niveau d'échappement en trop.
Cf https://github.com/nono/linuxfr.org/commit/c6c5c2e3b40d300cc51a7649fcd9c232c761b2e5
[^] # Re: Facebook le réseau antisocial
Posté par Bruno Michel (site web personnel) . En réponse au sondage Quelle est la meilleure incarnation du Mal ?. Évalué à 5.
Ouais, ils devaient permettre ça. Sauf que pour le moment, l'aspect distribué est encore très théorique. Il n'y a pas encore le protocole qui va bien, ou plus probablement la manière d'assembler les protocoles existants.
[^] # Re: Pas trop de clichés SVP
Posté par Bruno Michel (site web personnel) . En réponse à la dépêche Les journées Perl 2011. Évalué à 2.
Certes, mais tant qu'à faire, si le langage encourage à « penser bien », ce n'est pas de refus ;-)
Pour le reste, je ne connais pas le Perl moderne, mais ce que l'on m'en a dit va dans ce sens : ça n'a plus grand chose à voir avec le Perl que j'ai connu et on peut écrire du code propre et lisible avec (quand il est bien écrit).
Heureusement, qu'il y a Nokogiri.
[^] # Re: A l'usage
Posté par Bruno Michel (site web personnel) . En réponse à l’entrée du suivi Difficile de commenter. Évalué à 2 (+0/-0).
C'était pour ça que j'avais déplacé ce bouton en bas de la page. Et visiblement, ça semble bien marcher.
Les gens qui sont pour remettre le bouton en haut, quels sont vos arguments ?
# Corrigé
Posté par Bruno Michel (site web personnel) . En réponse à l’entrée du suivi Echapement de caractères. Évalué à 2 (+0/-0).
Depuis le changement de bibliothèque Markdown (rdiscount -> redcarpet), cela fonctionne correctement. Exemple : rou^Wvert.
Cf https://github.com/nono/linuxfr.org/commit/dd69e9ac648b8acbb0ae00b82480e3c4177ece10
# Fait
Posté par Bruno Michel (site web personnel) . En réponse à l’entrée du suivi navigation par tags connexes. Évalué à 2 (+0/-0).
Je liste les 10 tags le plus de contenus communs dans la sidebar, par ordre de pertinence.
Cf https://github.com/nono/linuxfr.org/commit/14973d3d31ab81be47013768d57a3a279826530a
# Fait
Posté par Bruno Michel (site web personnel) . En réponse à l’entrée du suivi Bouton « Tagger ». Évalué à 3 (+0/-0).
Pour 1. je ne vais pas changer. Ça me semble plus logique de tagger un contenu quand on l'a lu et ce lien est avec les autres liens d'actions que l'utilisateur peut faire. Et déplacer le lien demanderait beaucoup de travail pour prendre en compte ce changement sur toutes les CSS.
Pour 2. c'est fait. Cf https://github.com/nono/linuxfr.org/commit/4feabb891ae0a414bf4f60e39f9e66b2156895ac
# Corrigé
Posté par Bruno Michel (site web personnel) . En réponse à l’entrée du suivi Mot de passe vide lors du renvoi d'email de confirmation. Évalué à 2 (+0/-0).
Bof, j'ai volontairement choisi de générer des mots de passe plutôt que de laisser les utilisateurs en choisir à l'inscription. Ça fait un champ de moins à remplir pour l'utilisateur (en fait, 2 avec la confirmation) et surtout ça fait des mots de passe par défaut qui ne sont pas trop faibles (après, l'utilisateur peut le changer pour ce qu'il veut).
Cette solution ne me plaît pas. J'ai l'impression qu'elle risque de causer plus de problèmes qu'elle ne va en résoudre, notamment avec le graylisting. L'utilisateur risque de recevoir le premier mail après avoir demandé le second et se retrouver avec un mot de passe qui ne fonctionne pas.
Je ne sais pas si c'est une meilleure idée, mais j'envoie dans le second mail une explication avec le lien pour demander un nouveau mot de passe.
Cf https://github.com/nono/linuxfr.org/commit/2a8d1de8954f35928527f8f7b7ef6b5cf015255d
# Corrigé
Posté par Bruno Michel (site web personnel) . En réponse à l’entrée du suivi Ajouter un tags aux siens. Évalué à 3 (+0/-0).
Cf https://github.com/nono/linuxfr.org/commit/6e37c718d3681cefb9704a1f39a03a029b3bce08
# Corrigé
Posté par Bruno Michel (site web personnel) . En réponse à l’entrée du suivi Le bouton oublier renvois les éléments du footer à la ligne. Évalué à 2 (+0/-0).
Cf https://github.com/nono/linuxfr.org/commit/ca4fafea4b17a828be32890e4d2ce14a47d23caa
# Fait
Posté par Bruno Michel (site web personnel) . En réponse à l’entrée du suivi Quand on plusse ou moinsse, le nombre d'avis n'est pas mis à jour. Évalué à 2 (+0/-0).
Cf https://github.com/nono/linuxfr.org/commit/15e1665bd84003071ac340fdc749fd39366ffa66
# Fait
Posté par Bruno Michel (site web personnel) . En réponse à l’entrée du suivi Perte du lien vers les contenu suivis. Évalué à 6 (+0/-0).
Cf https://github.com/nono/linuxfr.org/commit/f9a496909323e450bcf6c5af048164a5c11f1fb2
On peut également indiquer que l'on ne souhaite plus surveiller un contenu. Cf https://github.com/nono/linuxfr.org/commit/364c888ca4a3a0d0c99fe56e11304ae3ec8bea86 et https://github.com/nono/linuxfr.org/commit/5fd45518a08bea9318117a0fc4f18acc632b4cef
[^] # Re: ton avis ?
Posté par Bruno Michel (site web personnel) . En réponse à la dépêche Cloud Foundry, la solution PaaS libre. Évalué à 2.
Un projet s'est créé pour installer facilement une instance de CloudFoundry avec VirtualBox et Vagrant -> https://github.com/auser/cloudfoundry-quickstart
[^] # Re: La dépêche dont vous êtes l'auteur
Posté par Bruno Michel (site web personnel) . En réponse à la dépêche HDT : Hardware Detection Tool (v 0.5.0). Évalué à 2.
Oui, il ne faut jamais faire confiance aux personnes ayant voté juste avant pour la dépêche quand on la modère.
[^] # Re: CloudFoundry se rapprocherait il du système de DotCloud ?
Posté par Bruno Michel (site web personnel) . En réponse à la dépêche Cloud Foundry, la solution PaaS libre. Évalué à 5.
Oui, dotcloud est très similaire à l'offre commerciale de VMWare, CloudFoundry.com.
Mais ce que je trouve vraiment intéressant dans Cloud Foundry, ce n'est pas la partie commerciale mais le code Open-Source. Cela permet d'utiliser Cloud Foundry sur les serveurs de son choix sans dépendre de VMWare ou d'une autre société.
# ...
Posté par Bruno Michel (site web personnel) . En réponse à l’entrée du suivi Style spasibo on ne peut pas proposer d'entrée dans le suivi. Évalué à 2 (+0/-0).
Avec Spasibo comme CSS, il faut aller tout à droite, puis cliquer sur « Proposer un contenu » et choisir « Proposer une entrée de suivi ».
Chez moi, ça marche, avec spasibo et comme avec les autres thèmes.
[^] # Re: ton avis ?
Posté par Bruno Michel (site web personnel) . En réponse à la dépêche Cloud Foundry, la solution PaaS libre. Évalué à 3.
J'ai fait l'installation à la main.
[^] # Re: ton avis ?
Posté par Bruno Michel (site web personnel) . En réponse à la dépêche Cloud Foundry, la solution PaaS libre. Évalué à 3.
À ce sujet, je viens de voir passer http://blog.paasform.com/. De ce que j'en comprends, paasform est une startup qui va simplifier le déploiement de Cloud Foundry sur un maximum d'infrastructures Cloud (Amazon, RackSpace, Linode, etc.).
[^] # Re: ton avis ?
Posté par Bruno Michel (site web personnel) . En réponse à la dépêche Cloud Foundry, la solution PaaS libre. Évalué à 9.
J'ai testé mais avec une petite application Rails qui n'est pas LinuxFr.org.
Beaucoup de bien. C'est encore jeune, donc le nombre de services et frameworks est limité et ça manque sérieusement de documentation. Mais on sent que les développeurs savent ce qu'ils font : le code est propre, tous les composants sont scalables horizontalement et possèdent des mécanismes pour essayer de se réparer automatiquement. Et pour ne rien gâcher, VMWare semble vraiment jouer la carte de l'Open-Source : ils travaillent activement sur github pour intégrer les remontées et les patchs des utilisateurs.
[^] # Re: Je peux le faire
Posté par Bruno Michel (site web personnel) . En réponse à l’entrée du suivi Tags sur les flux Atom. Évalué à 2 (+0/-0).
Pourquoi pas. Les tags d'un contenu sont récupérés avec
news.node.popular_tags
.