aeris 🏳️‍🌈 @aeris@social.imirhil.fr

PUTAIN DE FREE VOUS POUVEZ PAS FAIRE UN TRUC AVEC VOTRE RÉSEAU DE MERDE ????

Vous devez donc déjà avoir une porte de sortie quand ça va exploser. Peut-être demain.

C’est en effet celle qui risque de passer exploitée dans la nature à la prochaine itération. Vous ne connaissez pas non plus l’état réelle des capacités des attaquants ou d’un État.

Beaucoup ne s’occupent que de la dernière catégorie. Éventuellement de l’avant-dernière. Vous faites erreur.
La vraie catégorie à prendre en compte dans votre conception est l’ante-pénultième : les vulnés possibles sur le papier mais en pratique pas observées.

- les trucs pétés avec une implem connue mais pas exploité massivement dans la nature : poodle
- les trucs pétés et exploités : samba

Petit pense-bête sécu. Grosso-modo on peut classer les vulnérabilités en catégories :
- les trucs intrinsèquement sûrs, généralement inimplémentable correctement : one time pad
- les trucs connus pour être possibles en théorie mais impossible physiquement : bruteforcer une clef AES de 256 bits
- les trucs pétés sur le papier mais sans implem efficaces connues : factoriser une clef RSA

On dirait presque que ta popularité est inversement proportionnelle à ta dette technique et à tes qualités intrinsèques… Coucou PHP/MySQL aussi à ce sujet d’ailleurs…

Je n’arrive toujours pas à comprendre comment le web a pu devenir LA plateforme de référence de partout avec un écosystème aussi pété de partout que celui de JS/CSS…

Les développeurs en 2000 : y’en a marre de faire du formulaire validation en JS, vous pourriez pas nous intégrer nativement ça dans HTML ?
Les designers en 2021 : on ne peut pas customiser le tooltip, vous me virer la validation HTML5 et on refait tout en JS à l’ancienne à la place

Bon en vrai, l’exam est pas compliqué… surtout qu’ils ont un système d’examen complètement pété… rempli de trous de sécu partout. En fait si tu es bon en infosec, te suffit de péter leur SI pour avoir le diplôme opsec 🤣

J’ai voulu lolé un coup, donc… j’ai passé cette certif 🤣 J’ai reçu mon diplôme. Oui c’est un vrai, j’espère qu’ils ont de meilleurs cryptologues que leurs designers 🤣

Donc au lieu de faire « apprend ton URL, ajoute-là en favori, tape-la dans ta barre d’adresse », on a réimplémenté une barre d’adresse logiciel, avec de l’envoi par email de lien « juste à cliquer »… 😭
À cause de l’inculture informatique et de la frilosité de toute la chaîne à mettre le mot « éducation » quelque part.

Mais un email lui-même est compliqué… Donc faut ajouter des boutons pour lui ouvrir son application mail s’il est sur mobile. Sur desktop, il est livré à lui-même.

Donc du coup, on ajoute une page pour lui demander son email. Pour pouvoir lui envoyer l’adresse qu’il aurait du ajouter en favori ou saisir dans sa barre d’adresse.

Et c’est une anecdote qui coûte en fait extrêmement cher… Ce process à lui tout seul n’est toujours pas « propre » vu le taux de perte constaté avec un utilisateur sur cette page. On a l’impression d’avoir des poissons devant un vélo.

Vala vala… On a réimplémenter en applicatif ce que la barre d’adresse et un favori aurait fait nativement…

L’exemple typique sur lequel on bute…
Vous ne devinerez jamais le code exécuté derrière pour gérer ça…

Un autre exemple tout con, qui concerne essentiellement les services « qui font propres » et se heurtent à l’incompréhension de ce qu’est une barre d’adresse ou une URL… Au pif chez Cozy, on littéralement galère dans tous les sens pour gérer le cas que ton URL est 100% custom et associée à toi et toi seul.

Plutôt que d’éduquer l’utilisateur à utiliser son navigateur, on plâtre son inculture par de la rustine UI/UX…