Mise à jour de la base de données, veuillez patienter...

Bah !
Ça y est !
Les élu professionnels ont enfin remarqué qu’il faut sensibiliser les gens à utiliser des mots de passes forts. Beaucoup trop de personnes utiliseraient en fait des mots de passes faibles comme « password » ou « 12345 ».

C’est pas mal comme remarque de leurs part.

Mais il faudrait déjà commencer par faire en sorte que les sites prennent en compte des mots de passes forts : beaucoup de sites ne permettent qu’un mot de passe alphanumérique de moins de 10 caractères.
Le site de ma banque a beau être en https avec un joli cadenas dont le design a dû coûter dans les trente mille euros, le mot de passe ne se compose que de 6 chiffres (impossible de changer et ce sont eux qui nous l’envoient par la poste). Six chiffres, bordel ! Pour un pirate qui dispose d’un botnet assez performant, il peut débloquer ça en 10 secondes !

Ensuite il faudrait aussi botter le cul aux webmasters de sites sensibles qui n’ont pas le chiffrement SSL (le https quoi) et ceux qui utilisent le stockage de mot de passe en clair sur leurs serveurs. À la fin on se retrouve avec des listes de mots de passes qui se baladent. Des listes de 1,5 milliard de mots de passes…

On peut très bien utiliser une phrase de passe de 500 caractères, parfois ça ne sert à rien si les sites eux-mêmes ne suivent pas.

Oh, et au passage : un mot de passe comme « BonjourChevalMaison123 » est plus fort que ça « Cfgt67#% ». Ce qui compte c’est évidemment la complexité, mais surtout la longueur… En prime le premier est bien plus facile à retenir.

Dernier conseil : surtout n’utilisez pas le même mot de passe tous les sites !

image de Kalexanderson

Aux Pays-Bas, il y a beaucoup de petits opérateurs téléphones en plus des « grands » KPN et Vadafone (un peu comme en France où le nombre de MVNO augmente beaucoup ces dernières années).

La grande mode actuellement est de…
Aux Pays-Bas, il y a beaucoup de petits opérateurs téléphones en plus des « grands » KPN et Vadafone (un peu comme en France où le nombre de MVNO augmente beaucoup ces dernières années).

La grande mode actuellement est de faire payer les gens le prix d'une recharge (20€ par exemple) et leur donner un montant supérieur (40€).
Les affiches publicitaires indiquent « 20€=40€ ».

Le modèle économique est simple, une fois qu’on a compris l’astuce : avec le double de crédit, on appelle le double du temps. Ils pourraient faire la même chose en divisant par deux le prix à la minute. Donc les opérateurs masquent la baisse du prix à la minute en augmentant le crédit disponible. Pourquoi pas.

La où ce système me semble être doté d'une sacré grosse faille c'est si on veut se faire de l'argent avec notre crédit via les site qui transforment le forfait mobile en euros.

Vous voyez l'astuce ?
Vu que l'on reçoit par exemple 40€ pour en payer 20€, on se fera rembourser 40€ pour une dépense de 20€.

Bien sûr, ces sites prennent une commission et l’opérateur également. Mais quand je regarde les taux, il reste possible de se faire plus d’argent que l’on dépense.


En ce moment les opérateurs se font la bataille à qui a le plus gros ratio argent reçu/argent dépensé : passant d'une rapport 2 globalement partout à 2,5 puis 3 et maintenant 3,5 !
Oui, certains opérateurs créditent la carte de 70€ pour une dépense de 20€.

Cette méthode est quand même assez surprenante, surtout avec une faille grosse comme ça.

Je précise que je n’ai pas encore essayé.

Et pourquoi tout ça est dû à cause de webmasters qui daignent n’en faire qu’à leur tête avec des détections de navigateur.
C’est marrant quand on veut fabriquer quelque chose sur un sujet, on en apprend énormément sur le sujet lui-même. C’est un peu comme l’architecte qui doit non seulement être bon en math mais aussi en histoire, en géographie…

Par exemple, je veux faire un petit outil qui affiche à l’écran le nom et la version du navigateur et de l’OS du visiteur à partir de l’user-agent. Très simple pensais-je… Bah non !

L’user-agent, c’est une donnée qu’un navigateur envoie au site qu’il visite et contenant des informations comme son nom et sa version.
Par exemple, Firefox 19 sous Linux envoie ça :

Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:19.0) Gecko/20100101 Firefox/19.0

Internet Explorer 8 sous Windows XP envoie ça :

Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)

Là où ça commence à être marrant c’est quand on regarde l’histoire de ces user-agent (UA): le premier navigateur graphique au monde (NCSA Mozaic, il y a plus de 20 ans) affichait ça (en sa version 2.0 sous Windows 3.1) :

NCSA_Mosaic/2.0 (Windows 3.1)

Puis vint Mozilla (Netscape en fait) pour le concurrencer :

Mozilla/1.0 (Win3.1)

C’était cool non : une information simple, uniforme et facile à lire.

Mais alors… Comment en est-on arrivé à des choses compliquées comme les UA de Firefox ou IE ?

Cette page, History of the browser user-agent string, écrite par Aaron Andersen explique de façon humoristique ce qui s’est passé : je me permet une traduction libre ici.

---

Au commencement (1992) il y avait le navigateur NCSA Mosaic. Mosaic s’identifiait comme NCSA_Mosaic/2.0 (Windows 3.1). Il affichait les images en plus du texte et tout le monde était très heureux.

Peu de temps après arriva un nouveau navigateur appelé « Mozilla », raccourcissement de « Mosaic Killer ». Mais Mosaic n’était pas du tout amusé et Mozilla a dû changer de nom pour « Netscape », et Netscape s’identifia comme Mozilla/1.0 (Win3.1) et tout le monde était à nouveau très heureux.
Mais Netscape supportait l’affichage de frames (cadres HTML), et les frames devinrent très populaire, mais Mosaic ne supportait pas les frames et donc naquit la pratique de la détection de l’user-agent, et les sites web envoyaient les frames à Mozilla et ne les envoyaient pas aux autres.

Et Netscape se dit « moquons nous un peu de Microsoft et faisons référence à Windows comme un "pilote pour matériel mal débuggé" ». Microsoft était furieux, et Microsoft conçu son propre navigateur qu’ils appelèrent Internet Explorer, en espérant qu’il deviendrait un « Netscape Killer ». Internet Explorer supportait les frames, mais il n’était pas Mozilla donc les sites ne lui donnait pas les frames.
Microsoft s’impatienta et ne voulu pas attendre que les webmasters mettent à jour leur site et du coup Internet Explorer, étant en fin de compte « compatible Mozilla », se fit passer pour Mozilla et s’identifia comme Mozilla/1.22 (compatible; MSIE 2.0; Windows 95), et Internet Explorer recevait bien les frames, et Microsoft était content, mais les webmasters assez confus.

Et Microsoft vendit IE avec Windows, et le rendit mieux que Netscape, et ce fut la guerre pour qui avait le meilleur navigateur. Et finalement, Netscape mourut et Microsoft était vraiment très heureux.

Mais Netscape ressuscita en tant que Mozilla, et Mozilla construit Gecko, et Mozilla s’identifia comme Mozilla/5.0 (Windows; U; Windows NT 5.0; en-US; rv:1.1) Gecko/20020826 et Gecko était le moteur de rendu des pages, et Gecko était bon. Mozilla devint finalement Firefox et se nomma Mozilla/5.0 (Windows; U; Windows NT 5.1; sv-SE; rv:1.7.5) Gecko/20041108 Firefox/1.0 et Firefox était très bon. Et Gecko était repris par d’autres navigateurs qui se nommèrent par exemple Mozilla/5.0 (Macintosh; U; PPC Mac OS X Mach-O; en-US; rv:1.7.2) Gecko/20040825 Camino/0.8.1 pour l’un ou Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.1.8) Gecko/20071008 SeaMonkey/1.0 l’autre. Et chacun d’eux prétendaient être compatibles Mozilla et tous tournaient sur Gecko.

Et Gecko était bon, et IE ne l’était pas et la détection de l’user-agent renaissait, et Gecko recevait le bon code et les autres navigateurs ne le recevaient pas. Mais les utilisateurs de Linux étaient bien tristes car ils avaient construit Konqueror, dont le moteur de rendu était KHTML, et qu’ils pensaient être aussi bon que Gecko mais n’était pas Gecko, et ne recevait donc pas les bonnes pages.
Konqueror déclara être « comme Gecko » puis pour avoir les bonnes pages, il s’identifia comme Mozilla/5.0 (compatible; Konqueror/3.2; FreeBSD) (KHTML, like Gecko) et il y avait beaucoup de confusion…

Puis Opera déclara « nous devrions laisser le choix à l’utilisateur concernant le navigateurs dont il doit prendre le nom ! » et Opera créa un menu de choix et Opera s’identifia comme Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; en) Opera 9.51 ou Mozilla/5.0 (Windows NT 6.0; U; en; rv:1.8.1) Gecko/20061208 Firefox/2.0.0 Opera 9.51 ou Opera/9.51 (Windows NT 5.1; U; en) selon le choix fait par l’utilisateur.

C’est alors qu’Apple construit Safari, et repris KHTML en ajoutant plein de bonnes choses, et repris finalement le projet tout entier et l’appela WebKit, mais voulurent quand même les pages écrites pour KHTML, et donc Safari se nommait Mozilla/5.0 (Macintosh; U; PPC Mac OS X; de-de) AppleWebKit/85.7 (KHTML, like Gecko) Safari/85.5 et la confusion était encore plus grande.

Entre temps Microsoft avait très peur de Firefox et Internet Explorer revint devant et se nommait alors Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0) et il affichait le bon code… Mais seulement si les Webmasters le décidaient…

Et enfin Google construit Chrome, et Chrome utilisait WebKit et il était comme Safari et voulait les pages destinées à Safari et donc s’identifia comme Safari. Donc Chrome utilisait Webkit, en prétendant être Safari, et WebKit prétendait être KHTML, ce dernier s’affichait être comme Gecko et tous les navigateurs se faisaient passer pour Mozilla… Chrome se nomma Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/525.13 (KHTML, like Gecko) Chrome/0.2.149.27 Safari/525.13 et l’user-agent était devenu une gros foutoir pratiquement inutile, et tout le monde prétendait être tous les autres et la confusion était à son comble…

---

Voilà un peu l’histoire de quelque chose de simple devenant un véritable bordel impossible à gérer, et tout ça parce que d’un côté les navigateurs ne sont pas tous égaux et supportaient leurs propres série de fonctionnalités non standards, de l’autre les webmaster qui voulaient utiliser des choses proposés par un navigateur en particulier et entre les deux l’utilisateur qui la plupart du temps prenait le plus pourri des navigateurs…

Moi ça me fait bien rire, parce que c’est assez marrant mais aussi parce que c’est quand même assez vrai que certaines choses deviennent de plus en plus compliqués à cause de patchs et de reprises dans tous les sens.

Malheureusement ceci pose également beaucoup de problèmes : les sites qui ont encore des systèmes de détection du navigateur sont nombreux et continuent d’être créés. C’est mal : cette détection peut souvent être foireuse et elle oblige le webmaster à construire plusieurs version de son site, alors qu’une seule version pourrait suffire si le webmaster savait coder proprement et si le site web ne se devait pas d’avoir toutes les options dernier cri.

Je pense que cette histoire va m’aider pour construire quelque chose pour détecter les user-agents : il suffit finalement de faire un arbre et on voit comment optimiser le traitement des opérations. Et les moteurs de rendu sont en nombre limités, donc ça devrait aller. Du moins pour les grands navigateurs sur desktop, parce que après il y a encore Nokia, et tous les autres qui ont les leurs.

Oh, et Opera Mobile utilisera WebKit dans le futur. La version beta est déjà sortie sur Android. Voici son user-agent, juste pour rire :

Mozilla/5.0 (Linux; Android 2.3.6; YP-G1 Build/GINGERBREAD) AppleWebKit/537.22 (KHTML, like Gecko) Chrome/25.0.1364.123 Mobile Safari/537.22 OPR/14.0.1025.52315

MAJ du 27/03/13 : et ça continue : IE 11 pourra s’identifier comme Firefox avec un « like Gecko » ajouté à son user-agent. C’est magnifique.

image de Technovore

-
L’IRL est un gros projet de Meuporg gratuit (devenu peu à peu payant au fil du temps), sortie il y a sept millions d’années pour les hommes à la suite de quelques bogues dans l’ADN, sûrement les conséquences de rayons cosmiques (certains parlent d’une société éditrice du jeu, avec un programmeur universel, mais tout le monde n’est pas d’accord avec ça). Ses pré-releases n’ayant rien donné, il a fallu le recompiler à la suite d’un gros bug il y a 65 M d’années (les montres du jeu étaient devenus beaucoup trop fort). La loose…

Si les graphismes et le son ne sont pas trop mauvais (tout est en analogique) il manque quand même une musique de fond. La map, quant à elle est assez immense et diversifiée, le game-play en revanche, est totalement à revoir : déjà, le nombre de vies est beaucoup trop bas, ensuite, selon la configuration du joueur vous aurez ou non le son ou les couleurs dés le boot.
Il y a aussi trop de PNJ : certains sont cool, mais d’autres sont lourds et mériteraient un coup de hitbox dans la gueule.

Bref.
Juste après le spawn donc, on est au niveau 0 (donc un gros n00b inutile à la société) et on se retrouve chez soi à ne rien savoir faire.
Cette situation ne perdure pas car les premiers niveaux sont consacrées au didacticiel du jeu (certains nomment cela « l’école »). Le but est de passer des épreuves unes à une en écoutant et en reproduisant ce que nous disent les chefs de guilde.
Ce didacticiel est un casse tête et il est parfois préférable de cheater pour le finir plus vite. Certains n’hésitent d’ailleurs pas à faire n’importe quoi, vu que de toute façon le jeu n’a pas encore commencé (ces joueurs là finissent à la ramasse par la suite, mais bon tant pis, on les a prévenu)…

Quand on a terminé tout le tuto (comptez au minimum 16, mais parfois 25 niveaux selon les skills qu’on veut développer), on arrive dans le vrai jeu.

À partir de là il faut faire très attention car c’est rempli de bugs, de campeurs, de bots et surtout de modos ; ces derniers utilisent les faiblesses des autres pour devenir plus fort. Ils n’hésitent pas à abuser de leur fonctions (allant parfois du /kick qui nous envoie au menu principal, jusqu’au /ban définitif…). Heureusement certains veillent, mais c’est pas facile : il faudrait plutôt un head-shot-revolution accompagné d’un massif flood dans la rue pour changer tout ça.

Le but du jeu n’est pas très clair et il n’y a aucun manuel de jeu (même si certains ont tenté d’écrire des trucs à ce sujet). Le tuto ne dit rien là dessus non plus, mais on pense que c’est de devenir plus sage au fil des niveaux, tout en accomplissant des quêtes comme le boulot, la famille, l’entraide des PNJ et le partage cordial du game-play avec ces derniers.
On peut choisir nos quêtes (et même en créer) mais beaucoup suivent les niveaux pré-définis en voulant à tout prix toutes les accomplir. Certaines missions ont aussi des boss, monstres et autres antagoniste assez chiant à battre : parents, prof, manager, directeur, président… Les battre n’est pas facile mais certains arrivent à les évincer quand même.

Une chose est sûre dans ce jeu c’est le boss final qui est trop fort : la mort, mais qui peut attaquer n’importe qui n’importe quand. Personne n’a réussis à la battre jusqu’à présent. Avec lui, c’est game over assuré, et le jeu est malheureusement terminé…

Le jeux comporte également quelques glitchs et easter-eggs. Il est ainsi possible de passer les niveaux beaucoup plus vite si on utilise un vaisseau très rapide — découvert par Ein5te1n il y a quelques temps. Les autres glitchs se situent dans les Bermudes (physique du jeu totalement incohérente : on pense que c’est à cause d’un stack-overflow), à Lourdes (sorte de healing-sone caché), etc.

Cependant la restauration d’une sauvegarde précédente n’est pas possible et le fameux CTRL+Z de même que la mise en AFK ne marchent pas non plus ce qui est assez regrettable quand on y pense.

Un mot sur les joueurs…
Déjà, le nombre de joueur est si important qu’il en fait le jeu le plus joué du monde. Chaque version a vu ses propres générations de joueurs. Avant le jeu était simple mais hard : il fallait creuser des grottes et faire du feu pour survivre, puis c’est devenu un âge de constructions et d’organisation des joueurs pour tenter de s’entraider à rendre le jeu plus facile (l’union fait la force, disent-ils !).

Certains joueurs très doué à l’IRL ont tenté de comprendre comment fonctionnait le jeu, et depuis, ils ont carrément craqué le code source. Actuellement c’est même une époque où les plus doués tentent de modifier ce code et de le hacker à grande échelle : le nombre de niveaux a ainsi pu être grandement relevé, mais le nombre de bogues, lui, ne s’est pas arrangé avec le temps (la syntaxe n’est pas toujours respectée)…

L’une des choses assez surprenantes, c’est que le jeu n’a encore jamais planté complètement : le système a un uptime de 14 milliards d’années et on ne sait pas combien de temps il faudra avant le prochain reboot (j’espère juste qu’ils incluront les mises à jours).

image de MD Clic Photography

*clic* => a ben non ! Pas valide !
J’adore les webmasters qui mettent un bouton en bas de leur page « Valide HTML » ou « Valide CSS ».
C’est marrant : 99% de ces boutons sont installés sur des sites dont le code n’est pas valide.

Bah.

Je sais bien qu’avoir un site conforme aux standards internationaux ne résoudra pas tous les problèmes dans le monde, mais c’est par là que tout webmaster peut commencer pour rendre son site navigable par tous, et par conséquent rendre le web meilleur.

En attendant, ces pratiques pour se la péter sur le web me font un doucement rire. Même le Site Du Zéro n’est pas valide, c’est quand même malheureux à voir pour une référence en la matière : faire un code HTML propre et sans erreurs c’est quand même pas compliqué.

Oui, après faut être un minimal au courant de ce qu’est Internet, si voyez ce que je veux dire (oui je troll) :



(PS : je sais, mon site n’est pas navigable avec IE8 et moins… Quand IE aura 100/100 au tests ACID, on en rediscutera, en attendant mes pages sont valides HTML5 et pas lui (même si IE 10 affiche le site correctement).)