PUTAIN DE FREE VOUS POUVEZ PAS FAIRE UN TRUC AVEC VOTRE RÉSEAU DE MERDE ????

Vous devez donc déjà avoir une porte de sortie quand ça va exploser. Peut-être demain.

Show thread

C’est en effet celle qui risque de passer exploitée dans la nature à la prochaine itération. Vous ne connaissez pas non plus l’état réelle des capacités des attaquants ou d’un État.

Show thread

Beaucoup ne s’occupent que de la dernière catégorie. Éventuellement de l’avant-dernière. Vous faites erreur.
La vraie catégorie à prendre en compte dans votre conception est l’ante-pénultième : les vulnés possibles sur le papier mais en pratique pas observées.

Show thread

- les trucs pétés avec une implem connue mais pas exploité massivement dans la nature : poodle
- les trucs pétés et exploités : samba

Show thread

Petit pense-bête sécu. Grosso-modo on peut classer les vulnérabilités en catégories :
- les trucs intrinsèquement sûrs, généralement inimplémentable correctement : one time pad
- les trucs connus pour être possibles en théorie mais impossible physiquement : bruteforcer une clef AES de 256 bits
- les trucs pétés sur le papier mais sans implem efficaces connues : factoriser une clef RSA

On dirait presque que ta popularité est inversement proportionnelle à ta dette technique et à tes qualités intrinsèques… Coucou PHP/MySQL aussi à ce sujet d’ailleurs…

Show thread

Je n’arrive toujours pas à comprendre comment le web a pu devenir LA plateforme de référence de partout avec un écosystème aussi pété de partout que celui de JS/CSS…

Show thread

Les développeurs en 2000 : y’en a marre de faire du formulaire validation en JS, vous pourriez pas nous intégrer nativement ça dans HTML ?
Les designers en 2021 : on ne peut pas customiser le tooltip, vous me virer la validation HTML5 et on refait tout en JS à l’ancienne à la place

Show thread

"Based on a reasonably sized app, containing 1726 modules, 6.5M uncompressed."
Sérieux, ce genre de connerie donne une habitude et on se dit que c'est normal de faire des bundle JS de plus de 1Mo. NON, ce n'est pas normal.
Ce n'est pas normal d'avoir plus de 500Ko de JS (c'est déjà trop)
Ce n'est pas normal de faire des sites inutilisables sans JS.
Ce n'est pas normal de faire tourner un serveur node pour y remédier.
Cet écosystème est une maladie.

Bon en vrai, l’exam est pas compliqué… surtout qu’ils ont un système d’examen complètement pété… rempli de trous de sécu partout. En fait si tu es bon en infosec, te suffit de péter leur SI pour avoir le diplôme opsec 🤣

Show thread

J’ai voulu lolé un coup, donc… j’ai passé cette certif 🤣 J’ai reçu mon diplôme. Oui c’est un vrai, j’espère qu’ils ont de meilleurs cryptologues que leurs designers 🤣

Donc au lieu de faire « apprend ton URL, ajoute-là en favori, tape-la dans ta barre d’adresse », on a réimplémenté une barre d’adresse logiciel, avec de l’envoi par email de lien « juste à cliquer »… 😭
À cause de l’inculture informatique et de la frilosité de toute la chaîne à mettre le mot « éducation » quelque part.

Show thread

Mais un email lui-même est compliqué… Donc faut ajouter des boutons pour lui ouvrir son application mail s’il est sur mobile. Sur desktop, il est livré à lui-même.

Show thread

Donc du coup, on ajoute une page pour lui demander son email. Pour pouvoir lui envoyer l’adresse qu’il aurait du ajouter en favori ou saisir dans sa barre d’adresse.

Show thread

Et c’est une anecdote qui coûte en fait extrêmement cher… Ce process à lui tout seul n’est toujours pas « propre » vu le taux de perte constaté avec un utilisateur sur cette page. On a l’impression d’avoir des poissons devant un vélo.

Show thread

Vala vala… On a réimplémenter en applicatif ce que la barre d’adresse et un favori aurait fait nativement…

Show thread

L’exemple typique sur lequel on bute…
Vous ne devinerez jamais le code exécuté derrière pour gérer ça…

Show thread

Un autre exemple tout con, qui concerne essentiellement les services « qui font propres » et se heurtent à l’incompréhension de ce qu’est une barre d’adresse ou une URL… Au pif chez Cozy, on littéralement galère dans tous les sens pour gérer le cas que ton URL est 100% custom et associée à toi et toi seul.

Show thread

Plutôt que d’éduquer l’utilisateur à utiliser son navigateur, on plâtre son inculture par de la rustine UI/UX…

Show thread
Show older
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!