Agnès Haasser en ligne « Tempête de boulettes géantes » les pires moments de la vie d'un·e développeu·r·se.

Boulette = erreur humaine ayant des conséquences sur la prod'

Exemple vouloir supprimer une donnée, et oublier son ID à la fin de l'URL, menant à supprimer toutes les données.

Les solutions anti-boulettes : pas de déploiement manuel, tout automatiser. Pas de procédures écrites « si vous faites X, pensez à faire Y »

Suivre

Toujours être deux pour toucher à la prod', un qui fait et un canard en plastique, à qui on explique et qui surveille. fr.wikipedia.org/wiki/Canard_e

Plein de blagues qui feraient honte à @Keltounet « discuter avec un canard, c'est chouette »

« Les choses dangereuses doivent être compliquées et pénibles à faire » (management par la flemme, car les développeurs sont paresseux).

« Un stagiaire, c'est une graine de développeur, il faut donc le planter. S'il ne se plante pas, il n'apprend rien. »

Bon, Agnès spoile complètement ma conf' de demain, elle dit tout ce que je voulais dire (mais en mieux).

Très bonne pratique : documenter tous les incidents de prod' (RetEx). En plus, les développeurs détestent documenter, donc ça les motive pour ne pas faire d'incident)

« Il faut aussi penser au positif » Ah, on voit qu'on est à bienveillance, positivisme, licornes et bisounours.

Now, April Kink, in english, about the history of Web security.

I can write the executive summary: "in the past, the Web was insecure. Now it is insecure."

HTTPS appeared in 1995, that's a long time ago. I completely forgot there was an (unsuccessful) Microsoft competitor: PCT.

HTTPS is still vulnerable if you start with a HTTP URL. Hence HSTS "I swear I will have TLS available for this time".

Will April King also mentions ? (My guess is no, this is not corporate policy)

To deal with the insecure Certificate Authorities, HPKP (complicated, and its easy to make a a mistake) and Certificate Transparency crt.sh/

"With Let's Encrypt, you never have to worry about the risk of certificate expiration"

X-content-type-options: nosniff

How to create a non-standard HTTP header to disable a feature which was a bad idea from the beginning.

"Content Security Policy is hard to do because Web sites are complex, cannot track what they use, and load a lot of Javascript [ads for instance] which also load code" And then technical solutions instead of asking "do we really want to support this use case?"

Subresource integrity: when you load JavaScript from a third-party Web site (like British Airways did when they were cracked), you can specify a hash of the code, and it will be checked by the browser. (Of course, this is quite static, if the script changes, it won't work anymore).

@framasky @Shaft @bortzmeyer Oui je sais, je bosse avec April pour le support de Cryptcheck 😃

@Shaft @bortzmeyer ils sont bons :)

Je suis B+, c'est ma CSP avec des styles inlines qui me met dedans…

@bortzmeyer @Shaft c'est vrai qu'à lire securityheaders.io ça fait mal. C'est pas compliqué à corriger par contre :)

@Keltounet @Shaft Mais est-ce utile, pour un site sans cookie, sans Javascript, et presque entièrement statique ?

Maintenant Amélie Boucher sur l' (car j'adore l'UX et j'en suis un expert).

« Dans le futur, tous les sites Web seront remplacés par des chatbots » (un chef, cité par l'oratrice)

UX des enceintes « intelligentes » Quelqu'un a pensé à la cacophonie si tous vos objets parlent et écoutent ? Et la honte si on est dans le bus ? « OK, Google, prends rendez-vous avec le proctologue »

Benchmark des enceintes « intelligentes » : c'est plus long de fixer un RV avec la voix qu'avec les doigts.

Le pire, ce sont les réponses, toujours trop longues, et linéaires.

Conséquence pratique de la difficulté à lister des choix en audio : les enceintes « intelligentes » réduisent le choix notamment en e-commerce.

@bortzmeyer Du coup le proctologue se retrouve d'un coup avec 10 nouveaux rendez-vous vu que la moitié des ordiphones du bus écoutent ^^

Une bonne solution pour relancer la croissance ! #StartUpNation

@bortzmeyer forcer la redirection sur https n'est pas nécessairement faisable, ni une bonne idée. (Sans entrer dans les détails: le client décide)

J'essaie maintenant l'autre salle à , celle de Blaise. Elle est minuscule. Et c'est celle que j'ai pour ma conf' demain :-(

En plus, ce matin, la parité des orateurs n'était pas respectée dans la grand amphi.

(On voit qu'il n'y avait pas assez de desserts et que je n'en ai pas eu, je râle.)

Tiens, le n'a pas de site Web de travail, il utilise MicrosoftHub pour tout.

@bortzmeyer The king of DANE being plagued by a monster, I understand why it is not largely deployed (I can't see any other explaination)

en.wikipedia.org/wiki/Beowulf

@bortzmeyer C'est pas qu'on aime pas documenter c'est que faire certaines docs absurdes mais obligatoires que personne ne lit jamais c'est pas ce qui motive non plus ;)

@gribouilleuse De mon expérience, pas mal de RetEx sont effectivement du gloubiboulga, conçu pour planquer sous le tapis les erreurs.

@gribouilleuse
La plupart des gabarits de documentations sont fait par les chefs ... et non pour ceux qui en ont besoin !

@bortzmeyer

@bortzmeyer Ce n'est que la moitié: d'expérience, documenter sans se forcer après à définir des actions pour éviter de reproduire le même problème. Je sépare résolutions à court terme (remettre la prod en marche tout de suite) des résolutions réelles et complètes dans le futur (architecture, etc.). Sinon moi j'appelle ca un post-mortem plutôt qu'une abbréviation.

@bortzmeyer
Et il ne faut pas oublier de l’arroser de temps à autres. Les vendredi soirs par ex ? 😉

@bortzmeyer

Les bons adminSys aussi !

Les mauvais étant des travailleurs infatigables qui n'automatisent rien... 😏

@bortzmeyer bah on est deux dans ma tête déjà, alors c'est bon :D

Inscrivez-vous pour prendre part à la conversation
Mastodon - Gougère Network

Vive les gougères ! mnt-by: @yapret @papaeng89