@bortzmeyer @keltounet "si vous avez besoin d'aide, faîtes cygne"

« Les choses dangereuses doivent être compliquées et pénibles à faire » (management par la flemme, car les développeurs sont paresseux). #ParisWeb

« Un stagiaire, c'est une graine de développeur, il faut donc le planter. S'il ne se plante pas, il n'apprend rien. » #boulette #ParisWeb

Bon, Agnès spoile complètement ma conf' de demain, elle dit tout ce que je voulais dire (mais en mieux). #ParisWeb

Très bonne pratique : documenter tous les incidents de prod' (RetEx). En plus, les développeurs détestent documenter, donc ça les motive pour ne pas faire d'incident) #ParisWeb #boulettes

« Il faut aussi penser au positif » Ah, on voit qu'on est à #ParisWeb bienveillance, positivisme, licornes et bisounours.

Now, April Kink, in english, about the history of Web security. #ParisWeb

I can write the executive summary: "in the past, the Web was insecure. Now it is insecure."

HTTPS appeared in 1995, that's a long time ago. I completely forgot there was an (unsuccessful) Microsoft competitor: PCT. #ParisWeb

@bortzmeyer There was also S-HTTP

HTTPS is still vulnerable if you start with a HTTP URL. Hence HSTS "I swear I will have TLS available for this time".

Will April King also mentions #DANE? (My guess is no, this is not corporate policy)

#ParisWeb

To deal with the insecure Certificate Authorities, HPKP (complicated, and its easy to make a a mistake) and Certificate Transparency https://crt.sh/ #ParisWeb #PKIX #X509

"With Let's Encrypt, you never have to worry about the risk of certificate expiration" #wishfulThinking #ParisWeb

X-content-type-options: nosniff

How to create a non-standard HTTP header to disable a feature which was a bad idea from the beginning.

#MIME #ParisWeb

"Content Security Policy is hard to do because Web sites are complex, cannot track what they use, and load a lot of Javascript [ads for instance] which also load code" And then technical solutions instead of asking "do we really want to support this use case?" #ParisWeb

Subresource integrity: when you load JavaScript from a third-party Web site (like British Airways did when they were cracked), you can specify a hash of the code, and it will be checked by the browser. (Of course, this is quite static, if the script changes, it won't work anymore). #securityVsConvenience #ParisWeb

And don't forget to test your Web site: https://observatory.mozilla.org/ #ParisWeb

See https://observatory.mozilla.org/analyze/www.bortzmeyer.org https://observatory.mozilla.org/analyze/www.paris-web.fr

@bortzmeyer En parlant de CSP, celle de l'observatoire Mozilla est pas mal 🤔

https://observatory.mozilla.org/analyze/observatory.mozilla.org

@Shaft @bortzmeyer T'as vu le « https://tls.imirhil.fr » dans le connect-src ? 😀
ping @aeris

@framasky @Shaft @bortzmeyer Oui je sais, je bosse avec April pour le support de Cryptcheck 😃

@framasky Vi, il est dans les outils tiers ;) @bortzmeyer @aeris

@Shaft @bortzmeyer ils sont bons :)

Je suis B+, c'est ma CSP avec des styles inlines qui me met dedans…

@Keltounet @Shaft Moi, je suis nul (F), j'arrête le digital.

@bortzmeyer @Shaft c'est vrai qu'à lire securityheaders.io ça fait mal. C'est pas compliqué à corriger par contre :)

@Keltounet @Shaft Mais est-ce utile, pour un site sans cookie, sans Javascript, et presque entièrement statique ? #flemme

@Keltounet Leur CSP évoque surtout la complexité de la chose qu'évoquait @bortzmeyer :)

Maintenant Amélie Boucher sur l'#UX (car j'adore l'UX et j'en suis un expert). #ParisWeb

« Dans le futur, tous les sites Web seront remplacés par des chatbots » (un chef, cité par l'oratrice) #ParisWeb

UX des enceintes « intelligentes » Quelqu'un a pensé à la cacophonie si tous vos objets parlent et écoutent ? Et la honte si on est dans le bus ? « OK, Google, prends rendez-vous avec le proctologue » #ParisWeb

Benchmark des enceintes « intelligentes » : c'est plus long de fixer un RV avec la voix qu'avec les doigts.

Le pire, ce sont les réponses, toujours trop longues, et linéaires.

#digital #smartphone #ParisWeb

Conséquence pratique de la difficulté à lister des choix en audio : les enceintes « intelligentes » réduisent le choix notamment en e-commerce. #ParisWeb

@bortzmeyer Du coup le proctologue se retrouve d'un coup avec 10 nouveaux rendez-vous vu que la moitié des ordiphones du bus écoutent ^^

Une bonne solution pour relancer la croissance ! #StartUpNation

@bortzmeyer forcer la redirection sur https n'est pas nécessairement faisable, ni une bonne idée. (Sans entrer dans les détails: le client décide)

J'essaie maintenant l'autre salle à #ParisWeb, celle de Blaise. Elle est minuscule. Et c'est celle que j'ai pour ma conf' demain :-(

En plus, ce matin, la parité des orateurs n'était pas respectée dans la grand amphi.

(On voit qu'il n'y avait pas assez de desserts et que je n'en ai pas eu, je râle.)

#ParisWeb

Dominique Hazael-Massieux parle du #W3C à #ParisWeb. À quoi ça sert ?

@bortzmeyer t'as qu'à venir dans le grand

@Natouille On serait moins serrés. #SardineWeb

Trop bien, les slaïdes uniquement en émojis. @Natouille , l'intro t'aurait plu. #teamUnicode #W3C #ParisWeb

Tiens, le #W3C n'a pas de site Web de travail, il utilise MicrosoftHub pour tout. #ParisWeb

@bortzmeyer 🤔

@bortzmeyer HPKP is dead.

@Keltounet That's mostly what she said.

@bortzmeyer The king of DANE being plagued by a monster, I understand why it is not largely deployed (I can't see any other explaination)

https://en.wikipedia.org/wiki/Beowulf

@bortzmeyer
Why am I not surprised ? 🙄

@bortzmeyer Tomorrow, it will be insecure #prediction

April King, sorry for the typo. #ParisWeb

@bortzmeyer Il y a des Macronistes ?

@bortzmeyer C'est pas qu'on aime pas documenter c'est que faire certaines docs absurdes mais obligatoires que personne ne lit jamais c'est pas ce qui motive non plus ;)

@gribouilleuse De mon expérience, pas mal de RetEx sont effectivement du gloubiboulga, conçu pour planquer sous le tapis les erreurs.

@gribouilleuse
La plupart des gabarits de documentations sont fait par les chefs ... et non pour ceux qui en ont besoin !

@bortzmeyer

@bortzmeyer Ce n'est que la moitié: d'expérience, documenter sans se forcer après à définir des actions pour éviter de reproduire le même problème. Je sépare résolutions à court terme (remettre la prod en marche tout de suite) des résolutions réelles et complètes dans le futur (architecture, etc.). Sinon moi j'appelle ca un post-mortem plutôt qu'une abbréviation.

@bortzmeyer
Et il ne faut pas oublier de l’arroser de temps à autres. Les vendredi soirs par ex ? 😉

@bortzmeyer

Les bons adminSys aussi !

Les mauvais étant des travailleurs infatigables qui n'automatisent rien... 😏