Bonjour, Paris ! Aujourd'hui, c'est #ParisWeb.
Agnès Haasser en ligne « Tempête de boulettes géantes » les pires moments de la vie d'un·e développeu·r·se. #ParisWeb
Boulette = erreur humaine ayant des conséquences sur la prod'
Exemple vouloir supprimer une donnée, et oublier son ID à la fin de l'URL, menant à supprimer toutes les données. #REST #ElasticSearch #ParisWeb
Les solutions anti-boulettes : pas de déploiement manuel, tout automatiser. Pas de procédures écrites « si vous faites X, pensez à faire Y » #ParisWeb
Toujours être deux pour toucher à la prod', un qui fait et un canard en plastique, à qui on explique et qui surveille. #ParisWeb https://fr.wikipedia.org/wiki/Canard_en_plastique
@bortzmeyer @keltounet "si vous avez besoin d'aide, faîtes cygne"
« Les choses dangereuses doivent être compliquées et pénibles à faire » (management par la flemme, car les développeurs sont paresseux). #ParisWeb
Bon, Agnès spoile complètement ma conf' de demain, elle dit tout ce que je voulais dire (mais en mieux). #ParisWeb
Très bonne pratique : documenter tous les incidents de prod' (RetEx). En plus, les développeurs détestent documenter, donc ça les motive pour ne pas faire d'incident) #ParisWeb #boulettes
« Il faut aussi penser au positif » Ah, on voit qu'on est à #ParisWeb bienveillance, positivisme, licornes et bisounours.
Now, April Kink, in english, about the history of Web security. #ParisWeb
I can write the executive summary: "in the past, the Web was insecure. Now it is insecure."
HTTPS appeared in 1995, that's a long time ago. I completely forgot there was an (unsuccessful) Microsoft competitor: PCT. #ParisWeb
@bortzmeyer There was also S-HTTP
To deal with the insecure Certificate Authorities, HPKP (complicated, and its easy to make a a mistake) and Certificate Transparency https://crt.sh/ #ParisWeb #PKIX #X509
"With Let's Encrypt, you never have to worry about the risk of certificate expiration" #wishfulThinking #ParisWeb
"Content Security Policy is hard to do because Web sites are complex, cannot track what they use, and load a lot of Javascript [ads for instance] which also load code" And then technical solutions instead of asking "do we really want to support this use case?" #ParisWeb
Subresource integrity: when you load JavaScript from a third-party Web site (like British Airways did when they were cracked), you can specify a hash of the code, and it will be checked by the browser. (Of course, this is quite static, if the script changes, it won't work anymore). #securityVsConvenience #ParisWeb
And don't forget to test your Web site: https://observatory.mozilla.org/ #ParisWeb
See https://observatory.mozilla.org/analyze/www.bortzmeyer.org https://observatory.mozilla.org/analyze/www.paris-web.fr
@bortzmeyer En parlant de CSP, celle de l'observatoire Mozilla est pas mal 🤔
https://observatory.mozilla.org/analyze/observatory.mozilla.org
@Shaft @bortzmeyer T'as vu le « https://tls.imirhil.fr » dans le connect-src ? 😀
ping @aeris
@framasky @Shaft @bortzmeyer Oui je sais, je bosse avec April pour le support de Cryptcheck 😃
@framasky Vi, il est dans les outils tiers ;) @bortzmeyer @aeris
@Shaft @bortzmeyer ils sont bons :)
Je suis B+, c'est ma CSP avec des styles inlines qui me met dedans…
@Keltounet @Shaft Moi, je suis nul (F), j'arrête le digital.
@bortzmeyer @Shaft c'est vrai qu'à lire securityheaders.io ça fait mal. C'est pas compliqué à corriger par contre :)
@Keltounet @Shaft Mais est-ce utile, pour un site sans cookie, sans Javascript, et presque entièrement statique ? #flemme
@Keltounet Leur CSP évoque surtout la complexité de la chose qu'évoquait @bortzmeyer :)
« Dans le futur, tous les sites Web seront remplacés par des chatbots » (un chef, cité par l'oratrice) #ParisWeb
UX des enceintes « intelligentes » Quelqu'un a pensé à la cacophonie si tous vos objets parlent et écoutent ? Et la honte si on est dans le bus ? « OK, Google, prends rendez-vous avec le proctologue » #ParisWeb
Benchmark des enceintes « intelligentes » : c'est plus long de fixer un RV avec la voix qu'avec les doigts.
Le pire, ce sont les réponses, toujours trop longues, et linéaires.
Conséquence pratique de la difficulté à lister des choix en audio : les enceintes « intelligentes » réduisent le choix notamment en e-commerce. #ParisWeb
@bortzmeyer Du coup le proctologue se retrouve d'un coup avec 10 nouveaux rendez-vous vu que la moitié des ordiphones du bus écoutent ^^
Une bonne solution pour relancer la croissance ! #StartUpNation
@bortzmeyer forcer la redirection sur https n'est pas nécessairement faisable, ni une bonne idée. (Sans entrer dans les détails: le client décide)
J'essaie maintenant l'autre salle à #ParisWeb, celle de Blaise. Elle est minuscule. Et c'est celle que j'ai pour ma conf' demain :-(
En plus, ce matin, la parité des orateurs n'était pas respectée dans la grand amphi.
(On voit qu'il n'y avait pas assez de desserts et que je n'en ai pas eu, je râle.)
@bortzmeyer t'as qu'à venir dans le grand
@Natouille On serait moins serrés. #SardineWeb
Trop bien, les slaïdes uniquement en émojis. @Natouille , l'intro t'aurait plu. #teamUnicode #W3C #ParisWeb
@bortzmeyer HPKP is dead.
@Keltounet That's mostly what she said.
@bortzmeyer The king of DANE being plagued by a monster, I understand why it is not largely deployed (I can't see any other explaination)
@bortzmeyer
Why am I not surprised ? 🙄
@bortzmeyer Tomorrow, it will be insecure #prediction
April King, sorry for the typo. #ParisWeb
@bortzmeyer Il y a des Macronistes ?
@bortzmeyer C'est pas qu'on aime pas documenter c'est que faire certaines docs absurdes mais obligatoires que personne ne lit jamais c'est pas ce qui motive non plus ;)
@gribouilleuse De mon expérience, pas mal de RetEx sont effectivement du gloubiboulga, conçu pour planquer sous le tapis les erreurs.
@gribouilleuse
La plupart des gabarits de documentations sont fait par les chefs ... et non pour ceux qui en ont besoin !
@bortzmeyer Ce n'est que la moitié: d'expérience, documenter sans se forcer après à définir des actions pour éviter de reproduire le même problème. Je sépare résolutions à court terme (remettre la prod en marche tout de suite) des résolutions réelles et complètes dans le futur (architecture, etc.). Sinon moi j'appelle ca un post-mortem plutôt qu'une abbréviation.
@bortzmeyer
Et il ne faut pas oublier de l’arroser de temps à autres. Les vendredi soirs par ex ? 😉
Les bons adminSys aussi !
Les mauvais étant des travailleurs infatigables qui n'automatisent rien... 😏
@bortzmeyer Toujours au poste !
@bortzmeyer bah on est deux dans ma tête déjà, alors c'est bon :D
Plein de blagues qui feraient honte à @Keltounet « discuter avec un canard, c'est chouette » #ParisWeb