Agnès Haasser en ligne « Tempête de boulettes géantes » les pires moments de la vie d'un·e développeu·r·se.

Boulette = erreur humaine ayant des conséquences sur la prod'

Exemple vouloir supprimer une donnée, et oublier son ID à la fin de l'URL, menant à supprimer toutes les données.

Les solutions anti-boulettes : pas de déploiement manuel, tout automatiser. Pas de procédures écrites « si vous faites X, pensez à faire Y »

S. Bortzmeyer ✅
Suivre

Toujours être deux pour toucher à la prod', un qui fait et un canard en plastique, à qui on explique et qui surveille. fr.wikipedia.org/wiki/Canard_e

Plein de blagues qui feraient honte à @Keltounet « discuter avec un canard, c'est chouette »

« Les choses dangereuses doivent être compliquées et pénibles à faire » (management par la flemme, car les développeurs sont paresseux).

« Un stagiaire, c'est une graine de développeur, il faut donc le planter. S'il ne se plante pas, il n'apprend rien. »

Bon, Agnès spoile complètement ma conf' de demain, elle dit tout ce que je voulais dire (mais en mieux).

Très bonne pratique : documenter tous les incidents de prod' (RetEx). En plus, les développeurs détestent documenter, donc ça les motive pour ne pas faire d'incident)

« Il faut aussi penser au positif » Ah, on voit qu'on est à bienveillance, positivisme, licornes et bisounours.

Now, April Kink, in english, about the history of Web security.

I can write the executive summary: "in the past, the Web was insecure. Now it is insecure."

HTTPS appeared in 1995, that's a long time ago. I completely forgot there was an (unsuccessful) Microsoft competitor: PCT.

HTTPS is still vulnerable if you start with a HTTP URL. Hence HSTS "I swear I will have TLS available for this time".

Will April King also mentions ? (My guess is no, this is not corporate policy)

To deal with the insecure Certificate Authorities, HPKP (complicated, and its easy to make a a mistake) and Certificate Transparency crt.sh/

"With Let's Encrypt, you never have to worry about the risk of certificate expiration"

X-content-type-options: nosniff

How to create a non-standard HTTP header to disable a feature which was a bad idea from the beginning.

"Content Security Policy is hard to do because Web sites are complex, cannot track what they use, and load a lot of Javascript [ads for instance] which also load code" And then technical solutions instead of asking "do we really want to support this use case?"

Subresource integrity: when you load JavaScript from a third-party Web site (like British Airways did when they were cracked), you can specify a hash of the code, and it will be checked by the browser. (Of course, this is quite static, if the script changes, it won't work anymore).

@framasky @Shaft @bortzmeyer Oui je sais, je bosse avec April pour le support de Cryptcheck 😃

@Shaft @bortzmeyer ils sont bons :)

Je suis B+, c'est ma CSP avec des styles inlines qui me met dedans…

@bortzmeyer @Shaft c'est vrai qu'à lire securityheaders.io ça fait mal. C'est pas compliqué à corriger par contre :)

@Keltounet @Shaft Mais est-ce utile, pour un site sans cookie, sans Javascript, et presque entièrement statique ?

@Keltounet Leur CSP évoque surtout la complexité de la chose qu'évoquait @bortzmeyer :)

Maintenant Amélie Boucher sur l' (car j'adore l'UX et j'en suis un expert).

« Dans le futur, tous les sites Web seront remplacés par des chatbots » (un chef, cité par l'oratrice)

UX des enceintes « intelligentes » Quelqu'un a pensé à la cacophonie si tous vos objets parlent et écoutent ? Et la honte si on est dans le bus ? « OK, Google, prends rendez-vous avec le proctologue »

Benchmark des enceintes « intelligentes » : c'est plus long de fixer un RV avec la voix qu'avec les doigts.

Le pire, ce sont les réponses, toujours trop longues, et linéaires.

Conséquence pratique de la difficulté à lister des choix en audio : les enceintes « intelligentes » réduisent le choix notamment en e-commerce.

@bortzmeyer Du coup le proctologue se retrouve d'un coup avec 10 nouveaux rendez-vous vu que la moitié des ordiphones du bus écoutent ^^

Une bonne solution pour relancer la croissance ! #StartUpNation

@bortzmeyer forcer la redirection sur https n'est pas nécessairement faisable, ni une bonne idée. (Sans entrer dans les détails: le client décide)

J'essaie maintenant l'autre salle à , celle de Blaise. Elle est minuscule. Et c'est celle que j'ai pour ma conf' demain :-(

En plus, ce matin, la parité des orateurs n'était pas respectée dans la grand amphi.

(On voit qu'il n'y avait pas assez de desserts et que je n'en ai pas eu, je râle.)

Dominique Hazael-Massieux parle du à . À quoi ça sert ?

Trop bien, les slaïdes uniquement en émojis. @Natouille , l'intro t'aurait plu.

Tiens, le n'a pas de site Web de travail, il utilise MicrosoftHub pour tout.

@bortzmeyer The king of DANE being plagued by a monster, I understand why it is not largely deployed (I can't see any other explaination)

en.wikipedia.org/wiki/Beowulf

@bortzmeyer C'est pas qu'on aime pas documenter c'est que faire certaines docs absurdes mais obligatoires que personne ne lit jamais c'est pas ce qui motive non plus ;)

@gribouilleuse De mon expérience, pas mal de RetEx sont effectivement du gloubiboulga, conçu pour planquer sous le tapis les erreurs.

@gribouilleuse
La plupart des gabarits de documentations sont fait par les chefs ... et non pour ceux qui en ont besoin !

@bortzmeyer

@bortzmeyer Ce n'est que la moitié: d'expérience, documenter sans se forcer après à définir des actions pour éviter de reproduire le même problème. Je sépare résolutions à court terme (remettre la prod en marche tout de suite) des résolutions réelles et complètes dans le futur (architecture, etc.). Sinon moi j'appelle ca un post-mortem plutôt qu'une abbréviation.

@bortzmeyer
Et il ne faut pas oublier de l’arroser de temps à autres. Les vendredi soirs par ex ? 😉

@bortzmeyer

Les bons adminSys aussi !

Les mauvais étant des travailleurs infatigables qui n'automatisent rien... 😏

@bortzmeyer bah on est deux dans ma tête déjà, alors c'est bon :D

Inscrivez-vous pour prendre part à la conversation
Mastodon - Gougère Network

Vive les gougères ! mnt-by: @yapret @papaeng89