Ma revue de la semaine - JD and Co

Ma revue de la semaine

J’ai décidé cette semaine de piquer sans vergogne le “concept” de Marie, en recensant toute la semaine quelques points de l’actualité qui m’ont marqué, pour tenter d’en faire un début d’analyse un peu distancié, après le repos et le recul du Week-end. Histoire de la jouer “complémentaire” plutôt que concurrence, je vais essayer d’aborder des points plus “techniques”, tout en restant abordable, et moins liés au référencement (je n’y connais pas grand chose 🙂 ), ou au webmarketing (j’ai quelques contacts bien plus doués que moi sur ce sujet 🙂 ).

Texte écrit sur Ommwriter, comme je le fais de plus en plus souvent désormais…

Bye bye Google Gears

Pas facile de choisir d’abandonner un projet. Et encore plus lorsqu’il est abouti, qu’il a ses utilisateurs, et que, quelque part, le plus dur est fait. C’est pourtant ce que vient de faire Google avec Google Gears, un des gros buzz d’il y a quelques mois, qui aujourd’hui s’incline face à HTML5 qui intègre l’essentiel de cette fonction qui va être cruciale dans les années à venir : le stockage “offline” des données manipulées avec son navigateur.

Google a ici su réagir intelligemment, même si ça les engage vers une belle galère (il va falloir gérer la transition, et les clients, dont divers produits Google, qui reposent largement sur Gears) : il ne faut pas lutter contre les standards, et au contraire les favoriser, si l’on veut s’éviter de gros ennuis. D’autres pourraient s’en inspirer… dont Google lui-même, qui n’est pas souvent aussi exemplaire (cf son travail récent sur les DNS dont je parle plus bas).

Offline version Spotify

En parlant de Offline, j’aimerai revenir sur une des évolutions récentes de Spotify : le mode offline. En un clic, il devient possible de stocker sur son disque dur le contenu d’une Playlist, par exemple, pour pouvoir ensuite l’écouter sans forcément être connecté (dans un train, par exemple). Superbe “coup” de la part de Spotify, qui apporte ici une grosse plus-value à son mode premium.

J’avoue avoir été bluffé pendant quelques temps par cette évolution, et j’ai mis un moment avant de réagir en tant que technicien. C’est le lendemain, en réfléchissant à divers trucs en conduisant (ça m’arrive souvent, pas vous ?) que j’ai eu le “tilt” : “mais m…, c’est simplement le cache client qu’ils ont augmenté !”. Bah oui, pas de grand bond technologique, mais simplement une bonne entente entre technique et marketing.

Un marketeux tout seul aurait peut être pensé à la fonction, mais se serait probablement dit “bah, ça, ça va être des centaines de jour/homme de développement, même pas la peine de demander”. Un tech’ peut très facilement manipuler la taille d’une mémoire cache, mais n’aurait pas forcément imaginé tout l’intérêt que celà pourrait avoir de bidouiller cette donnée très “système”. Et là, c’est le parfait exemple d’une collaboration entre ces deux métiers qui se comprennent souvent très mal : une fonction simple techniquement, superbement vendue. Bravo.

Bye bye CrunchPad

Drôle d’histoire que cette CrunchPad. Parti d’une idée plutôt sympa de Michael Arrington, le tenancier du célèbre (et puissant) TechCrunch, le CrunchPad devait amener une certaine fraicheur dans le marché naissant des TabletPC. Las, le projet à été annulé en toute dernière minute pour une sombre histoire de tentative de putsch de la part du prestataire chargé de l’industrialisation du projet.

Bizarre… oui, car j’ai du mal à voir l’intérêt de la manoeuvre. Le prestataire, avec un minimum de conseil juridique, savait que sa manoeuvre était vouée à l’échec (contractuellement, rien ne pouvait avancer si un des deux acteurs du projet posait un quelconque veto). Pour jouer à l’inspecteur Poirot, je poserai la question : “à qui profite le crime ?”. Au prestataire qui ne “sentait” plus le projet ? A TechCrunch qui peut ainsi sortir “par le haut” d’un projet qui glissait vers l’obsolescence (la concurrence ne les ayant pas attendu en chemin…). Ou bien toute cette histoire n’est qu’un exemple parmi plein d’autres d’investisseurs mettant les pieds dans le plat en faisant preuve d’une méconnaissance notoire des dossiers qu’ils financent… On ne saura sans doute jamais, mais je reste souvent méfiant face à ses grandes annonces qui cachent souvent des manipulations “en coulisses” dont on sait peu de choses…

ASP mon amour

Je ne vais pas parler ici des applications en “mode” ASP, mais bien du langage ASP. Si si, souvenez vous, ce truc bancal qu’avait improvisé Microsoft lorsqu’il fallait concevoir avec des bouts de ficelles des outils de développement pour le Web naissant. Fort heureusement, Microsoft avait su en 2001 prendre la bonne décision : remettre à plat l’ensemble de ses outils de conception, et reposer les développements Web comme propriétaires sur une plateforme commune, .Net, largement plus moderne.

Pourquoi vous parler de cette cochonnerie, alors ? Tout simplement parce que, à quelques jours de 2010, pas loin de 10 ans après la mort de ce langage, j’ai pu voir, par le biais de clients, des sites développés en…ASP ! Pas des vieux sites moisis, pas le site de Ségo, non non, des vrais sites, livrés, conçus, et surtout… facturés en 2009, par des agences peu scrupuleuses ou n’ayant jamais cherché à upgrader ses compétences…

Qu’en penser ? Que tous les prestataires ne se valent pas, malheureusement, et que beaucoup de clients ont encore beaucoup de mal à acquérir les notions de bases qui leur permettront de dépasser le stade “lapin de 3 semaines”. Tout ceci me fait bien sûr repenser à mon activité de conseil et de consultant : les quelques missions que j’ai pu animer en “tierce-partie” (le client d’un côté, le prestataire de l’autre, et un consultant entre les deux censé à la fois conseiller le client et aider le prestataire à aller vers un produit qualitativement meilleur) étaient des missions très intéressantes et productives, même si elles nécessitaient un mélange assez subtil d’autorité et de diplomatie…

Google repense sa nouvelle homepage

Grosse semaine pour Google, qui a sorti de ses labos une nouvelle page d’accueil, qui m’a laissé dubitatif… La page est hyper-light, et, dès qu’on bouge la souris, elle devient plus complète. Question basique : à quel besoin répond cette évolution ?

  • temps de chargement/lourdeur technique ? Non, car toute la page est chargée d’un coup au démarrage.
  • facilité pour le newbie ? le bon sens fait rapidement comprendre que l’utilisateur le plus novice est celui qui agitera le plus la souris avant même de comprendre.
  • accès à des fonctions plus complexes : pas vraiment, il faudra attendre la suite des évolutions de l’interface Google pour en avoir “plus”, et vraisemblablement sur la page des résultats, pas sur la page de recherche.

Sans faire de l’analyse ergonomique à deux sous, on peut quand même facilement se dire qu’il y a là une grossière erreur de casting : les seuls utilisateurs qui bénéficieront d’une vraie expérience “page light”, sont ceux qui en ont le moins besoin : les power-users qui n’utiliseront que le clavier pour taper le ou les mots clés, puis la touche Entrée. WTF ?

Google DNS : la théorie du complot ?

Je ne suis pas du genre à céder facilement à une parano ambiante, mais je reste très dubitatif sur une des nouveautés Google de la semaine : un serveur DNS. L’intérêt évoqué (plus d’efficacité et un meilleur filtrage) reste très light, d’autant plus que les autres acteurs (les concepteurs de BIND, les FAI…) n’ont pas attendu pour avancer sur ces terrains là.

En revanche, la masse d’information qu’ils peuvent recueillir avec les transcriptions de requêtes DNS est immense, et sans commune mesure avec ce qu’ils connaissaient déjà… jusqu’ici, google nous « captait » lorsqu’on effectuait la recherche, et pouvait nous suivre avec les adsense là où les sites voulaient bien en insérer… mais là, c’est sur l’intégralité de notre utilisation du web, et même en dehors du Web (mail, etc…). Le fait que leur serveur ne soit pas ouvert n’aide pas non plus à croire que les stockages de données sont pacifiques…

Bien sûr, en soit une simple requête DNS n’est pas très “intrusive”, vu qu’il ne concerne “que” les coordonnées du serveur, et pas l’URL complète. Ce qui me fais beaucoup plus peur, c’est le recoupement d’informations, le croisement de ces infos là avec les autres infos qu’ils possèdent déjà.

J’ai pu voir récemment quelques démos de datamining où le fait de disposer d’un ensemble d’informations toutes anodines et peu qualifiantes amenait à savoir avec une certitude proche des 100% des trucs absolument inimaginables… Regardez par exemple comment un site tel qu’Akinator arrive à trouver une info super précise à partir d’un lot de questions toutes “banales” et généralistes. Bref, méfiance !

Moins “parano” et sans doute plus près d’une réalité à venir : une autre théorie consisterait à exploiter les requêtes DNS inabouties (en faisant une erreur de frappe sur un nom de domaine, par exemple) en les reroutant vers des pages sponsorisées… Couper en quelque sorte l’herbe sous le pied des cybersquatteurs…au profit de Google !

Si j’avais une préconisation à faire aujourd’hui, ça serait peut être d’utiliser un de ces serveurs DNS, mais en tant que DNS secondaire, en backup du DNS principal fourni par son FAI qui sera forcément plus rapide, puisqu’hébergé “localement”.

Plugins et sécurité

Je terminerai avec une info ne concernant pas Google, cette fois (ouf!). Marie (encore elle !) m’a signalé à juste titre que les thèmes WordPress pouvaient être sensible à des injections XSS, par le biais du formulaire de recherche. J’ai pu découvrir à cette occasion que les thèmes Wordpress intégraient effectivement l’appel aux fonctions de recherche sur le blog.

Qu’est ce que cela veut dire ? Concrétement, que même si WordPress est une forteresse imprenable (on l’espère !) et que vous respectez les mises à jour à jour, n’importe quel thème ou plugin un peu moins bien codé peut tout aussi bien rendre votre site vulnérable et fragile. Aouch !

C’est le cas pour WordPress, mais c’est aussi le cas pour bien d’autres plateformes modulaires. Un CMS même très bien conçu peut voir sa réputation et, plus généralement, son travail sur la robustesse et la sécurité, complétement anéantis par des contributions sous forme de plugins ou de thèmes plus fragiles et beaucoup plus difficiles à contrôler (le “coeur” d’un système est déjà compliqué à sécuriser, que dire s’il faut en plus contrôler tout l’écosystème autour !).

Pour en revenir à WordPress, si ces problèmatiques vous intéressent, voici quelques liens intéressants : ici, et ici. (et puis tant que j’y suis, un lien vers un support de cours sur la sécurisation d’applications Web que j’ai pu écrire il y a quelques temps ; un peu vieillissant, sans doute incomplet, mais toujours utile !)

Lefebvre sauvé des eaux

On a pu voir cette semaine un OVNI sur Twitter : l’apparition/disparition/réapparition du compte de Frédéric Lefebvre, porte parole de l’UMP. Pour résumer rapidement les faits, Lefebvre a créé son compte sans vraiment faire preuve de diplomatie, en violant à peu près toutes les règles non-écrites de la “netiquette” Twitter : premier post donnant le ton avec une certaine arrogance, aucun Following, pas d’échanges, de reply ou de RT… Bref, pas top. Tout ceci, associé à l’image du personnage, a provoqué une levée de bouclier dont l’exemple le plus parlant a été le “list-bombing” dont il a été victime (et qui est un bel exemple de détournement d’une fonctionnalité).

Résultat des courses : au bout de même pas 24h, le compte a été suspendu par Twitter, sans doute pliant sur l’action de nombre d’utilisateurs signalant le compte comme étant un compte de spam.

Le lendemain, le compte est réapparu, cette fois-ci “certifié” par Twitter : en d’autres termes, plus moyen de le signaler comme compte abusif. On apprenait dans la semaine que ce retour inattendu et d’une efficacité rare était dû à un coup de fil de Loïc le Meur auprès de ses copains de Twitter.

Au risque de surprendre, je trouve l’action de Loïc justifiée et étant une bonne chose : je ne porte certes pas Frédéric Lefebvre dans mon coeur, n’étant pas le dernier a être exaspéré par ses méthodes et le ton employé. Mais laisser une image de “zone de non-droit” à Twitter n’était sans doute pas une bonne chose à faire (le compte Twitter de ce monsieur était peut être insupportable, mais certainement pas du spam). Et le fait qu’un politique de notre pays puisse s’exprimer sur Twitter me paraît la moindre des choses. Même si c’est pour après mieux le combattre par de vrais arguments et un vrai débat, et pas en cherchant quelque part à censurer ce compte par des méthodes pas très propres…

A la semaine prochaine, si ce format vous plait !

3 réflexions au sujet de “Ma revue de la semaine”

  1. Je tiens à préciser que la faille XSS que j’avais aussi sur mon thème WordPress m’a été signalée par Eric de http://www.securi-toile.com/. Je voulais en parler aujourd’hui mais j’avais été trop bavarde, ça fera l’objet d’une nouvelle revue 😉

    Concernant les DNS Google, c’est marrant parce-que je n’avais pas vu la chose sous cet angle-là mais maintenant, ça me conforte dans ma parano, merci 😀

    ASP : je ne sais pas si tu parles de l’agence à laquelle je pense mais je me retrouve encore avec des sites en ASP à référencer, bonjour l’angoisse :/

    Enfin, Spotify : la moitié de ce que j’écoute ne se trouve pas sur Spotify 🙁 donc je l’utilise surtout pour les titres récents, en attendant que ça s’étoffe 😉

    A la semaine prochaine si j’ai bien compris 😀

    ps : tu pourrais installer le plugin pour notifier des nouveaux commentaires? C’est bien pratique pour suivre une discussion, merci!

Laisser un commentaire