PROJET AUTOBLOG


Le blog de Seboss666

Site original : Le blog de Seboss666

⇐ retour index

Mise à jour

Mise à jour de la base de données, veuillez patienter...

Les extensions Firefox que j’utilise en cette fin d’année, et probablement pour 2019

samedi 29 décembre 2018 à 10:30

Lors de mon dernier article sur Firefox, j’ai évoqué que l’environnement Webextensions avait bien évolué, et que les développeurs s’étaient eux aussi sortis les doigts du cul pour remettre leurs extensions au goût du jour (ils avaient eu plus d’un an pour le faire, mais c’est évidemment une fois trop tard que ça se réveille). Du coup mon propre « catalogue » d’extensions a lui aussi bien changé. Voyons voir maintenant de quoi j’agrémente mon outil préféré du quotidien.

L’indispensable protection de base : l’adblocker

De la même façon qu’on n’envisage plus Windows sans antivirus (au point que Microsoft en a intégré un à Windows 10, et qu’il n’est pas le pire de sa catégorie), il est impossible d’envisager désormais un navigateur web sans bloqueur de publicités et autres outils de pistage. Les lignes n’ont pas bougé de ce côté et uBlock Origin reste la référence. Libre à vous de gérer quelques choix concernant les listes de filtres, ou de créer vos propres filtres spécifiques pour certains sites. Avec le blocage par défaut des contenus distants dans Firefox, y’a déjà pas mal de choses qui peuvent être bloquées simplement sans faire de dégâts. Ça n’empêche pas les sites marchands ou les journaux français de continuer d’abuser salement, donc une deuxième capote reste nécessaire.

Virer presque toutes les variables Google Analytics

Vous avez déjà vu des liens à rallonge avec des paramètres « utm=blabla&utm_referer=truc.. » ? Ce sont des balises de pistages Google Analytics. Pour éviter de les envoyer à Google, j’utilise la petite extension « Au revoir UTM » qui permet de pratiquement tout supprimer avant de faire les requêtes.

Récupérer des fonctions RSS

Le sujet du RSS est revenu sur le devant de la scène avec la suppression du support des marque-pages dynamiques par Firefox (au passage sur mobile on voit la source XML et ça pourrait être sympa d’avoir la même chose sur desktop). Pour récupérer quelques fonctions et notamment la détection des flux, j’ai suivi un peu les recommandations d’autres personnes et installé Awesome RSS, ça fait le boulot, c’est léger, c’est tout ce qu’on demande. Pour la lecture j’utilise déjà autre chose mais ça peut vous intéresser.

Une meilleure gestion des Cookies

Les fonctions concernant les cookies ont bien évolué dans Firefox, mais l’ergonomie n’est pas toujours au top. L’extension Cookie Quick Manager permet dans une interface claire de parcourir et de manipuler tous les cookies, avec un filtrage possible par domaine. Le bouton de la barre principale permet également de faire le ménage en un clic pour un site en particulier, ce qui peut s’avérer utile dans pas mal de cas.

Decentraleyes : économisez de la bande passante

Il n’est pas rare que les sites que vous utilisez souvent reposent sur des dépendances tierces qui sont hébergées ailleurs que sur le site en question. Ce qui veut dire moultes requêtes supplémentaires, et donc indications pour les fournisseurs concernés du site que vous visitez. Oui, encore une façon de vous pister. Cette extension enregistre en local ces ressources (en identifiant leur provenance), et la prochaine fois que votre navigateur doit les récupérer, c’est la version locale qui est préférée, ce qui économise des requêtes distantes qui peuvent ralentir le chargement, sans parler de la consommation de données (c’est utile sur mobile). Comme pour uBlock Origin, dans de très rares cas ça peut être bloquant et il est facile via l’icone de le désactiver temporairement.

Flagfox

Pas indispensable, mais elle permet de voir rapidement dans la barre d’adresses un drapeau indiquant dans quel pays est hébergé le site que vous consultez, ou du moins sont point d’entrée. Je ne sais pas encore si c’est possible d’avoir des statistiques, mais il y a fort à parier que vous passez beaucoup trop de temps aux USA ou en Irlande. Mais comme dit, les points d’entrée peuvent être trompeurs.

Les bandeaux de cookies : y’en a marre

J’ai du mal à jauger de l’efficacité réelle de cette extension, surtout depuis cet été avec la mise en application du RGPD et donc des modifications apportées à ces fameux bandeaux. Vous savez, ceux où le site doit vous informer qu’il enregistre des informations sur votre navigateur pour son propre besoin et surtout ceux de ses publicités, avec l’impossibilité de dire non sans bloquer manuellement de son côté via le navigateur. En tout cas elle est maintenue, elle est présente et ne consomme pratiquement rien, alors voilà, rien que pour le titre ‘I don’t care about Cookies‘, je vous la met ici.

IP Address and Information

Plus réservée aux utilisateurs avancés (administrateurs système, développeurs), cette extension vous permet d’afficher pas mal d’informations sur le domaine, l’adresse IP, comme le propriétaire de ladite adresse IP, les ports ouverts, les domaines qui peuvent être présents sur l’adresse IP, les voisins… (on a pu découvrir comme ça certains clients déménager pour un concurrent sans nous avoir prévenu…).

KeepassXC-browser

Cette extension de sécurité est rattachée au coffre-forts de mot de passe KeepassXC, réécriture de Keepass en C++ pour moins sentir la naphtaline. Mais comme je cherche une méthode simple et transmissible de partage entre mes appareils (laptop, desktop, smartphone), pas dit que ça survive toute l’année si je trouve une autre méthode et/ou un autre outil qui correspond mieux à mes attentes, voire même carrément un fournisseur de services cloud mieux intégré/fini, quitte à le payer. Non, PHP Password Manager n’est pas une solution (encore qu’il y a certaines solutions, Aeris t’en penses quoi ?) 😀

Le RGPD dit qu’on peut refuser, donc on refuse

En effet, maintenant que les sites doivent nous préciser TOUS les usages et partenaires qui exploiteront les données collectées, et qu’ils sont censés arrêter quand on leur dit non, une solution s’est répandue comme une traînée de poudre sur le web francophone notamment : Quantcast. Problème, sans parler de la taille que ça prend, si on peut désactiver pratiquement l’intégralité des collectes, l’interface n’est pas faite pour aider, et certains sites vous découragent en proposant de désactiver chaque partenaire, un par un, et parfois ça dépasse les deux cents lignes. Des connards quoi. A coté vous avez un bouton « tout accepter » évidemment. Une fois de plus, vous ne pouvez pas dire non facilement. Enfin presque.

Un développeur a conçu une petite extension après avoir analysé le code, qui ajoute un bouton « Tout refuser » sur les bandeaux Quantcast : Qookiefix. L’esprit de la loi est mieux respecté, et vous pouvez réellement désormais dire non simplement. Et il serait temps que les fournisseurs de services se rendent compte qu’ils ne peuvent pas non plus faire n’importe quoi.

Stylus

Je vais pas m’étendre longtemps sur celle-ci, vu que j’ai déjà fait un article complet et surtout une vidéo pour vous présenter le concept en action. Vous savez à quoi vous en tenir.

Youtube RSS finder

Pareil, vu que je viens de faire un article tout frais sur le sujet, je vous laisse le (re)lire si vous voulez en savoir plus sur on utilité.

RESTClient

Là si vous n’êtes pas développeurs, ça risque pas de vous concerner. C’est un utilitaire qui permet de forger et de tester vos requêtes vers les API (et comme je suis en train de finaliser la mienne pour ma collection de films, ben…), de les conserver en favoris pour les ressortir, les modifier, le résultat est affichable dans différents formats, bruts ou mis en forme (pratique pour le JSON), et vous avez les commandes curl correspondantes si vous voulez tester dans un autre contexte (CLI), voire l’intégration dans votre application.


Voilà c’est tout, comme je l’ai indiqué certaines risquent de sauter dans l’année, et d’autres pourraient venir s’ajouter à la liste. Mieux, étant donné que Webextensions a été conçu pour se rapprocher du développement des extensions de Chrome, beaucoup sont maintenant disponibles sur les deux univers, ou disposent d’alternatives plus que crédibles. Comme d’hab, j’installe pas tout et n’importe quoi, car une extension codée avec le cul peut vite faire sauter la facture « ressources », et vous savez ce que j’en pense et c’est toujours d’actualité même avec les évolutions récentes.

Ça c’est quand on arrive sur une vidéo YouTube

En complément, je ne peux que vous conseiller d’aller lire les billets « Calendrier de l’avent » du blog mozfr, chaque jour ils ont présenté une ou plusieurs extensions pour différents usages, vous pourriez trouver des choses intéressantes à ajouter à votre butineur préféré (pour les plus pressés y’a un récap à cette adresse). Pareil, si vous pensez que certaines de ces extensions pourraient être avantageusement remplacée par d’autres, foncez dans les commentaires pour partager vos usages, ça me fera très plaisir.

@+ dans le bus 😉

UPDATE : promis on ne s’est pas concerté, mais Denis a également sorti son attirail d’extensions Firefox « Quantum » qui est particulièrement fourni en ce week-end. Bonne lecture complémentaire 🙂

Édito de Noël ! À la bourre oui mais je m’en fous :)

mercredi 26 décembre 2018 à 18:30

Hello tout le monde, j’espère que votre réveillon de Noël s’est bien passé, que ça se soit fait le 24 au soir, le 25 à midi, ou les deux, tant que vos cadeaux vous ont plu et que la panse était remplie de choses délicieuses (en abuser n’est pas une obligation). Je l’ai égrainé dans certaines intro d’articles, mais ma situation reporte pas mal de choses dont j’ai tout de même envie de vous parler, du coup, je fais un tour rapide des sujets en cours.

Donc pour ceux qui n’ont pas tout suivi, je me suis gaillardement pété le pied droit, le cinquième métatarse pour être plus précis, sans parler d’un léger arrachement osseux au niveau de la malléole externe, avec en dessert une méga-entorse (on appelle ça un combo dans les jeux de baston). Trois jours après être revenu de vacances. Joie bonheur. Tout ça à cause d’un détecteur de fumée dissident qui s’est déclenché en pleine nuit et que j’ai voulu éteindre en montant sur une chaise (le plafond est très haut chez moi), et j’ai perdu l’équilibre, la chute a été rude.

<script async src="https://platform.twitter.com/widgets.js" charset="utf-8">

Du coup ça fait trois semaines que je suis en pension chez ma chère maman, et comme je ne peux pas marcher, j’en profite pour poncer des jeux PS4 achetés l’année dernière que je n’avais toujours pas commencé, mais dans le même temps j’ai du remiser quelques trucs dont j’avais envie de parler pendant ce mois de décembre, mais j’ai très envie de vous en parler quand même alors un édito c’est la forme idéale puisque je n’en fais plus de mensuel 🙂

Cet épisode est écrit au réveil avec du Lindsey Stirling dans les oreilles, je conseille comme environnement musical c’est agréable. Bon sauf si ça vous donne trop envie de danser, mais je peux rien pour vous 😛

Ce qui était prévu, mais qui doit être reporté

Entre autres choses, j’étais en train de finir le planning pour vous présenter mon utilisation des outils de développement de Firefox, sachant qu’à peu de choses près tous les navigateurs concurrents proposent plus ou moins les mêmes outils. Présentation qui doit se faire en vidéo, et là aussi j’ai du mal à me décider si je fais la vidéo sur le laptop, ou le gros PC, dont l’installation logicielle est toute fraîche, et qui serait ma première vidéo 4K. Dans les deux cas ça sera ma première utilisation d’Open Broadcasting Software, qui contrairement à ce que son nom indique permet également de ne faire que l’enregistrement. Sachant que sur le gros PC j’ai plusieurs écrans, ça sera peut-être plus intéressant.

Autre sujet récent mais qui devra se faire en vidéo, ma frangine a eu l’excellente idée de me payer un abonnement découverte chez Robobox. Pour ceux qui ne connaissent pas, le concept est de vous envoyer chaque mois une boite contenant les éléments pour construire un « robot », chaque nouvelle boite apportant de nouveaux concepts, et les mois avançant de plus en plus avancés. J’ai beau m’intéresser de loin au sujet de la robotique et des avancées en matière d’intelligence les accompagnant, je suis une vraie bite en micro-électronique, mais c’est l’occasion de s’intéresser à un moyen d’aborder le sujet en étant guidé. Bref, vous faire découvrir le concept en même temps que moi.

Quand j’ai mis un robot entre guillemets, c’est parce que la première boite est pour le moins légère : construire une micro-alarme basée sur un capteur de mouvements. C’est une première étape pour la découverte à la fois de certaines briques de bases électriques, et de la programmation d’un micro-contrôleur Arduino, activité qui reviendra souvent mais un projet simple permet d’appréhender les outils facilement. Ça va prendre du temps, je vais donc devoir réfléchir au format, parce que tout filmer en temps réel ça risque de faire une vidéo de plusieurs heures, autant dire que ça sera indigeste. Sans parler que pour l’instant pas question de le faire que ce soit chez moi ou chez ma maman pour cause de non-mobilité.

J’ai déjà évoqué la future connexion de ma mère à la fibre optique, il y a pas mal de questions en suspens et de sujets annexes qui ont spawnés dans ma tête entre temps, je n’ai pas tout écrit, il y a aura un sacré délai par contre parce que la pose du boîtier de raccordement ne se fera que le 10 janvier prochain, entre-temps j’aurai peut-être repris le boulot donc pas là pour torturer la box internet ainsi que celle de vidéofutur et causer alternatives (AndroidTV, Molotov, Kodi). Entre autres, j’ai commencé à noter des trucs pour parler de gestion un poil avancée d’un réseau local mais qui je pense devraient être importantes et intéressantes même sans gros niveau technique, à l’heure où tous les foyers ont une quantité trop importante d’appareils reliés au réseau sans contrôle.

Certains billets commencés il y a plusieurs mois vont devoir être retravaillés (notamment un sur la situation du Ryzen sur laptop), parce que si j’ai commencé en réaction à une certaine actualité, certaines lignes ont bougé et donc il y a des paragraphes qui commencent à être obsolètes. Devoir reprendre un texte écrit plusieurs semaines auparavant quand ce ne sont pas des mois entiers, c’est un travail pénible également et donc chronophage.

Ce qui va venir bientôt

Dans un tout autre registre, ça fait très longtemps que je n’ai pas parlé de jeu vidéo, non pas que l’exercice ne m’avait pas plu mais juste l’intérêt n’y était plus. Et là, je suis en pleine immersion dans un petit bijou qui s’appelle Ōkami, et qui est un objet aussi bien intéressant pour son contenu que son existence même en tant que jeu. Pareil, à peine commencé à prendre des notes et surtout je n’ai pas encore terminé le jeu après y avoir passé plus d’une trentaine d’heures (le compteur de ma sauvegarde indique plus de quarante, mais quand vous laissez le jeu en pause, c’est comme un taxi au stop, ça défile, donc le chiffre est faussé). Bref, j’ai décidé d’en parler étant donné que c’est une curiosité trop méconnue à mon sens. Car ce jeu a déjà 12 ans, et rien que cette information devrait vous lever un sourcil sachant que j’y joue sur PS4. D’ailleurs avec un troisième article « J’ai testé pour vous » ça nous ferait une nouvelle catégorie ça 🙂

Il faut également que j’évacue une nouvelle fournée de liens en vrac, j’ai beaucoup trop de temps pour lire, du coup j’ai gardé trop de choses, je sens que je vais devoir écrémer méchant. Mais il y a fort à parier que ça vous intéresse aussi, quand bien même vous en avez certainement déjà lu plusieurs d’entre eux.

Il ne manque également pas grand chose pour que je termine ma première version de mon API pour la gestion de collection de films en Python/Flask (après avoir fait un premier essai avorté sous Bottle), pareil, comme j’ai un peu lâché je dois rafraîchir un peu mon cerveau pour finaliser mais je devrais pouvoir pousser ça rapidement, au moins l’article qui présente les grandes lignes de la réflexion et de l’implémentation, il y aura peut-être un peu de nettoyage de code avant une publication au propre.

Un futur mouvant

En effet, j’ai beau avoir 28 brouillons encore ouverts, celui-ci est un exemple de plus de billets qui se retrouve publiés à peine écrits, grillant la priorité à tout le monde. C’est comme ça, après tout c’est l’inspiration qui prévaut, ce n’est pas mon activité principale mais juste un plaisir, donc pas de raison que ça change. Dans les projets rampants de longue date, il y a un nouveau thème dont je peine encore à définir les contours et les besoins. Et seulement un nouveau thème parce que pour l’instant pas question de quitter WordPress, même à cause de ce nouvel éditeur sur lequel je dois encore mettre mes mains (oui bouh je suis pas un nazi qui met à jour vers la dernière branche systématiquement).

Également, mon contexte professionnel va évoluer, je ne change pas de crèmerie, mais EasyRun va évoluer dans les prochaines mois et du coup moi avec. Ce qui veut dire nouveaux périmètres, nouveaux clients, nouvelles technos, donc potentiellement nouveaux partages d’expériences, de découvertes, d’astuces. Absolument rien de précis pour l’instant, mais un mot rampe constamment sous le tapis qui pourrait fortement me concerner : industrialisation.

Bonnes fêtes de fin d’année « occidentale »

On va arrêter là je pense c’est déjà pas mal, même si Noël est déjà passé les bonnes manières imposent de vous souhaiter de chaleureuses fêtes malgré un contexte difficile pour certains, et une ambiance en France notamment qui ne pousse pas à l’optimisme pour l’année prochaine. Moi j’attends avec impatience de pouvoir remarcher (même partiellement, parce que vu les dégâts, le rendez-vous du 2 janvier ne sera probablement pas la délivrance que je souhaite).

A très bientôt 😉

Les flux RSS sur YouTube : la fin de mon compte Google ?

dimanche 23 décembre 2018 à 10:30

La dernière mise à jour de Firefox et son abandon du support natif du RSS (décision incompréhensible pour moi, qui participe à ma frustration grandissante avec le navigateur), m’ont remis en tête le fait que je voulais tester cette histoire de flux RSS sur les chaînes YouTube que Genma avait déjà partagé. En cherchant si possible une solution pratique, toujours dans une optique « c’est facile, tu peux le faire aussi ». Voyons ce qu’il en est.

RSS, rappel et mise au point

Je ne sais pas si je dois réellement faire un rappel sur ce qu’est un flux RSS, j’ai déjà écrit sur le sujet il y a quelques années, le format n’a pas bougé ou à peine. Par contre la partie sur la recherche de flux dans Firefox n’est plus valide, Mozilla ayant décidé de retirer ce support du navigateur; j’ai remplacé ça par une petite extension, Want My RSS, pas trop contraignant mais frustrant donc. A l’heure de la question de l’omniprésence des réseaux sociaux centralisateurs, cette fonctionnalité de flux est bien pratique pour reprendre un peu le contrôle sur l’expérience.

Mon compte Google, ses restes

En effet, j’ai arrêté d’utiliser le moteur de recherche depuis quelques années maintenant (à l’époque remplacé par DuckDuckGo, maintenant Qwant), je ne me sers pas de Gmail autrement qu’en IMAP pour les notifications des abonnements YouTube, lors de mon changement de téléphone plus tôt dans l’année j’ai tenté l’aventure sans utiliser le compte Google (faudra que je vous fasse un retour plusieurs mois après tiens). Ne reste donc que YouTube, pour lequel je n’utilise que la fonction d’abonnement et notification mail à une chaîne. Pas de commentaires (depuis le forcing Google+ qui n’a jamais été retiré chez moi, donc plus de commentaires depuis plus de 4 ans – pour le peu que j’ai besoin de commenter, ça ne m’a pas manqué une seconde).

Bref, il ne manque pas grand chose pour que je me débarrasse définitivement de ce compte. Pourquoi ? Google en sait déjà bien assez sans que je lui facilite la tâche, et puis un compte de moins à maintenir, avec donc une adresse et un mot de passe, c’est toujours ça de moins qui peut servir à vous exploiter (vol d’identité, toussa). Moins on en a/on en fait, mieux on se porte (j’ai huit compte mails dans Thunderbird…).

La recherche de flux, leur gestion dans l’agrégateur

Chercher à la main c’est chiant (copier l’id de la chaine et forger l’url feeds.xml?channel_id=<id>, le paramètre de l’url qui change quand la chaîne est personnalisée), et ça va vitre être pénible avec un nombre d’abonnements conséquents. Il fallait donc trouver un moyen de fluidifier ça. L’extension que j’ai mentionné en commentaire sur le blog de Genma ne fonctionne qu’en étant sur la chaîne, alors que YouTube RSS Finder permet d’avoir le lien aussi en partant d’une vidéo. Dans tous les cas, le fonctionnement est le même, une icône apparaît dans la barre d’adresse quand un flux peut-être exploité, cliquer dessus ouvre un nouvel onglet.

petit, discret, mais efficace

Reste ensuite à exploiter ce flux. J’utilise depuis quelques années maintenant FreshRSS, qui à de très rares exceptions près remplit très bien son rôle (des soucis liées à des mises à jour majeures pas toujours bien négociées, sans gravité toutefois), c’est donc lui qui va se charger de ces flux supplémentaires. J’ai créé une catégorie YouTube et j’ai commencé à y placer quelques flux tirés des chaînes que je suis déjà. C’est pas compliqué, on va dans la gestion des abonnements, on colle l’URL dans le champ qui va bien, on clique sur ajouter un flux, ça ouvre le panneau avec les détails du flux, on sélectionne la bonne catégorie, on valide, et hop, c’est ajouté.

Dans l’immédiat j’ai laissé affiché dans le flux principal, le temps de voir comment ça se comporte par rapport à la notification mail, mais n’étant pas une information à lire prioritaire, je pense que je vais un peu modifier ça.

Pour les curieux, en bonus dans le flux on a la description complète et le vrai lien direct de la vidéo, tout ce qu’on a pas dans la notification mail, dont le lien est fait pour enregistrer le fait que vous venez de la notification mail.

https://www.youtube.com/attribution_link?a=8a8wlqOwMPStHo24&u=/watch%3Fv%3DVVJNoM6MbnQ%26feature%3Dem-uploademail

Maintenant ces étapes manuelles restent plus pénibles que de cliquer sur « S’abonner » et d’activer la fameuse cloche (deux clics). Pour compenser un peu FreshRSS propose un bookmarklet (petit script qui se loge dans un marque-page pour déclencher une action spécifique) pour ajouter directement le flux dans FreshRSS via le même formulaire que d’habitude en mode standalone. Le mieux serait une petite extension qui fasse le boulot sans ouvrir trois onglets (celui de la chaîne ou vidéo, celui du flux, celui du formulaire d’ajout). Si quelqu’un sait comment faire (ça repose dans tous les cas sur du JavaScript, donc c’est hors de ma portée et de ma motivation), je suis preneur. Même si j’envisage déjà la difficulté, notamment pour la sélection de catégorie. Y’a moyen je pense d’ouvrir le formulaire en mode « popup », j’ai testé en le réduisant ça s’adapte bien.

Quid du mobile ?

Alors certes je ne regardes que très peu voire pas du tout de vidéo sur mobile (je trouve l’expérience peu agréable quand ça dépasse deux minutes), mais je conçois que c’est un usage répandu donc j’ai cherché comment faire, on ne sait jamais au détour d’un tweet on peut découvrir une chaîne intéressante qu’on voudrait garder à l’œil. Le problème premier est que la plupart des personnes utilisent l’application officielle YouTube sur leur smartphone Android, qui exploite automatiquement le compte Gogol. L’expérience est intégrée, plus ou moins agréable (agression de publicité ?), donc évidemment récupérer le flux RSS est compliqué quand on a aucun contrôle de l’expérience. Et évidemment Google ne fera aucun effort pour mettre ce flux en avant (il faut déjà savoir que la fonctionnalité existe). Pour ceux-là je ne peux rien, il va falloir faire des efforts.

NewPipe est une application opensource alternative présente sur F-Droid. Elle propose, sur la page d’une chaîne, d’en afficher le flux RSS, en fonction des applications installées, moi ça m’a proposé Firefox, l’expérience est la même que sur bureau, à savoir un onglet avec le flux brut affiché. J’ai testé sur le navigateur justement, les extensions pour afficher les flux depuis les pages de vidéos ou de chaînes ne posent pas de problème particulier, à part que j’ai pas l’icône qui s’affiche, donc inexploitable.

Mais il n’y a pas que là que ça coince, sur mobile FreshRSS masque la gestion des abonnements, certainement parce que l’organisation actuelle des menus n’est pas adaptable simplement, donc autant éviter de faire une connerie et tout masquer. Mais pas moyen d’ajouter le flux du coup, c’est là qu’une extension pourrait être plus sympa qu’un bookmarklet pour peu qu’on soit capable de la faire fonctionner aussi bien sur mobile que sur pc (faudrait je pense regarder du côté d’uBlock Origin, qui fonctionne sur toutes les plateformes y compris sur Android). parce qu’il fonctionne le bookmarklet, mais le formulaire est pas du tout fait pour s’adapter aux écrans verticaux à haute densité.

Bref, l’expérience est loin d’être optimale.

La liberté a un coût salement élevé

En effet, on le voit, le confort apporté par l’expérience YouTube via le compte Google et les applications qui vont bien joue en grande partie sur le succès de la plateforme (je vais pas discuter de la qualité des contenus, suffit de voir ça pour se rendre compte du massacre des « tendances »). Se passer de ce confort est pénible, pour rester poli, et Google ne risque pas de simplifier les choses (rien ne dit qu’ils décident un jour de supprimer cette fonction pour tout centraliser sur l’API, et là pas de miracle faudra un compte Google).

Reste un point que soulèverons certains (j’ai souvent le débat avec ma frangine sur le sujet), le soutien des auteurs. En effet, chaque « Youtuber » qui tente de gratter du blé de la plateforme vous pousse à l’abonnement, à la notification, au pouce bleu, tout ça pour tenter de gagner en visibilité et donc en monnaie liée aux publicités et partenariats en lien avec cette visibilité acquise. Alors déjà, pour ceux qui sont nouveaux, ils ne tireront rien de la publicité de ma part, maintenant je ne désactive plus jamais le bloqueur y compris quand je vais sur YouTube. Ajoutez à ça que la plupart du temps, quand je suis chez moi c’est via LibreElec que je les regarde, et actuellement chez ma mère je récupère les vidéos via youtube-dl pour les regarder sur la TV du salon. Donc exit la pub, reste les vues et le compteur d’abonnements.

La libération n’étant pas du tout triviale, je ne risque pas d’embarquer la moitié du public YouTube avec cet article, et surtout pas avec mes centres d’intérêts qui ne semblent pas majoritaires. Donc perdre un abonnement, ça ne tuera personne dans les 84 chaînes que je suis. Le même raisonnement prévaut pour la vue comptabilisée. Quelque soit la plateforme envisagée, l’argument du « mais si tout le monde fait comme toi c’est mort », non vraiment, même en résumant à mort à peine abordé le coup du flux RSS que vous avez perdu facilement 98% du public présent sur YouTube. Aucun risque donc.

Je préfère largement directement soutenir les créateurs qui me nourrissent d’intellect ou de divertissement (mes abonnements vont de Zerator à String Theory en passant par Kristina Schiano ou Smarter Every Day, Khaos Farbauti Ibn Oblivion, je vais pas tous les citer y’en a 84). Il n’y en a pas un seul maintenant qui n’aie pas un compte Tipeee, Patreon, Utip, ou je ne sais quelle autre plateforme de paiement direct, un modèle que je trouve bien plus sain, même si évidemment je ne peux pas lâcher des brouzoufs à chaque créateur (surtout je ne suis pas près de créer un compte Patreon, donc ça limite à ceux présents sur Tipeee). Même YouTube s’y met, si vous n’avez pas l’intention de vous séparer de votre compte Google, propose maintenant un bouton « Rejoindre » à la manière de Twitch qui permet de s’abonner financièrement pour tenter de capter une partie des flux financiers qu’il a laissé fuir à cause des politiques de revenus publicitaires désavantageuses pour les premiers acteurs de la plateforme. A la limite juste pour ça si vous pensez que les données qu’en tirera Google en matière de profilage ne vous pose pas de problème, l’argent ira en partie dans les poches des créateurs et c’est beaucoup plus visible et direct comparé à des revenus publicitaires particulièrement compliqués à gérer (décalage de plusieurs mois, politiques opaques qui en ont déjà foutu sur la paille…). D’autant plus après le semi-échec du modèle YouTube RED (abonnement de 10 balles permettant d’accéder à du contenu exclusif, mais les contraintes imposées sur la création de ces contenus font qu’il n’a pas eu le succès escompté).

Pub gratuite pour Jérome 🙂

Bref, entre le temps passé en manipulations, le coût du soutien des créateurs, clairement ça semble coûter beaucoup plus cher que se farcir les publicités et le pistage constant que ce soit de Google ou des annonceurs (on va laisser les états hors de l’équation pour aujourd’hui). En tout cas ça se voit tout de suite sur le compte en banque, mais c’est toujours plus éthique, et à long terme, c’est certainement plus sain.

Un dispositif sous surveillance, qui avancera doucement

En effet, au fur et à mesure que je vais ajouter les abonnements, je vais finir par couper les notifications mails. Ce transfert au fil de l’eau des abonnements YouTube vers les flux RSS va permettre de faire le ménage sur certaines chaînes devenues inactives en plus, toujours une bonne chose. Quand tout sera stabilisé et validé, il restera un vrai problème. Comme je l’ai dit plus haut, ma consommation de contenus sur YouTube se fait majoritairement le soir une fois rentré du taf ainsi que le weekend, sur mon Raspberry Pi 3,  qui d’ailleurs me cause quelques petits soucis mais de la faute de YouTube.

En effet, de plus en plus certaines qualités vidéos ne sont proposées qu’en HLS, un mode qui n’est pas supporté par défaut sur le plugin YouTube de Kodi, apparemment il faut passer par un support de serveur HTTP mais je n’ai jamais réussi à trouver comment paramétrer tout ça et la documentation est particulièrement succincte. Du coup le visionnage repose sur les flux legacy (pour comprendre ces histoire de flux et de qualité, revoir mon billet sur le sujet, toujours d’actualité), et de plus en plus souvent il manque le flux « 22 », le 720p30 au format MP4 qui était alors exploité (c’est remplacé par le 136+140 en HLS, 137 si on veut le 1080p).

Pourquoi j’évoque ce souci sans rapport à priori avec le sujet principal ? Actuellement mon compte Google est enregistré dans la configuration du plugin de sorte que je puisse visionner facilement, avec une ergonomie propre à Kodi, les nouvelles vidéos de mes abonnements, voir celles déjà regardées, celles commencées mais à terminer… Si je clos mon compte Google je perds ce confort. Je vais donc devoir réviser ce fonctionnement, peut-être rebasculer sur l’usage de youtube-dl, il va me falloir un truc pour gérer simplement les téléchargements depuis les flux RSS, idéalement avant que je sois rentré chez moi car le streaming a ça de confortable qu’il n’y a pas besoin d’attendre pour regarder un contenu, d’autant plus s’il n’est pas amené à être conservé. Il y a une application sur ADM, Takeasy, qui repose justement sur youtube-dl et permet de récupérer la bonne qualité. Configurer un accès distant au NAS, paramétrer le dossier de téléchargement et les options, c’est moins souple que directement lire en stream, mais au moins j’aurai la qualité que je veux. Un coût supplémentaire en gestion du quotidien.

Bref, je pense qu’on en reparlera dans quelques mois quand j’aurai trouvé le bonheur. Ça sera aussi l’occasion de tester la procédure de fermeture du compte Google, ça promet d’être sport.

Ma voiture et l’antidémarrage électronique : obsolescence mon amour

jeudi 20 décembre 2018 à 18:30

Parmi les éléments qui ont contribué à mon absence du mois d’octobre, un des signes marquants de ma fatigue rampante est la perte du trousseau qui regroupait mes clés d’appartement et de voiture. Si pour l’appartement ça a été vite réglé, la situation pour la voiture a failli être beaucoup plus complexe, et comme ça parle un peu de pratiques que je considère comme peu respectueuses, j’avais envie de partager l’expérience.

Donc, pour ceux qui ne le savent pas, je possède une Peugeot 307 2L HDI 90, dont finalement la donnée la plus importante ici est l’âge : 14 ans (première immatriculation en août 2004). Rien de choquant pour qui n’habite pas en région parisienne, je pourrai vous présenter d’autres véhicules improbables, dont mon ancien véhicule, une Peugeot toujours mais 406 de 2000, et qui approche des 290000kms sans pleurer. Toujours debout, passe toujours le contrôle technique, dont les contrôles pollution, mais qui est finalement dans la même situation que ma 307 à cause de son fabricant.

Je fais partie de ceux qui d’une part aiment posséder leur véhicule vu le pognon qu’on met dedans, et de l’exploiter au maximum histoire de pas gâcher (dans une optique tant que ça fonctionne pas besoin de gaspiller). Un positionnement que ne renierait pas Cyrille je pense, mais libre à lui de me dire si je me trompe. Tout ça pour dire que ce n’est pas un cas isolé, avec un âge moyen de 8 ans en 2014, en augmentation constante, les véhicules qui ont de la bouteille sont plus répandus qu’on ne le pense. Et j’aurais aimé avoir l’âge médian mais on l’a rarement ce chiffre (comme pour les débits des connexions internet ou le salaire, encore que pour ce dernier on le connaît grâce à l’INSEE).

Revenons à mon problème. Je perds donc mon trousseau, avec à ce moment-là la seule clé que j’avais pour démarrer ma voiture, on est un mardi soir à 20h. Je pensais l’avoir laissé sur le bureau au boulot, ce n’est pas le cas, le mercredi matin je rentre donc chez moi à peine arrivé. J’ai retourné mon appartement toute l’après-midi pour tenter de récupérer le double de la clé, sans assurance de l’avoir chez moi car si je sais qu’il existe encore, je ne me souviens pas l’avoir embarqué quand j’ai changé de vie. Ça n’a pas manqué je ne l’avais pas mais j’ai fait un sacré ménage chez moi du coup. Ma mère n’est pas chez elle avant la semaine prochaine c’est cuit pour fouiller les tiroirs. Je contacte alors l’assurance, pour savoir comment procéder pour récupérer un véhicule exploitable. Première chose, pour le cas particulier des clés de voiture, c’est prise en charge minimaliste car ça touche un élément de sécurité. En gros, on t’amène la caisse au garage et basta. Pas de prêt de véhicule, pas de priorité, rien.

Le garage d’ailleurs, je l’appelle pour savoir quelle est la marche à suivre pour ce genre de cas, et c’est la que la panique commence. Oui on peut commander une nouvelle clé « vierge » électroniquement mais dont l’empreinte physique permet à minima de pouvoir ouvrir la voiture et déverrouiller le volant. Mais cette fameuse partie électronique, il faut la reprogrammer pour ensuite appairer la nouvelle clé fraîchement programmée elle aussi. Et là, j’ai halluciné : le garagiste me prévient tout de suite qu’à cause des dernières révisions logicielles des outils de diagnostic et de maintenance (les fameuses « valises »), ils ne peuvent plus garantir le succès de l’opération sur un véhicule de cet âge, pire la reprogrammation peut « briquer » le boîtier d’antidémarrage, et la seule solution en cas d’échec est donc de changer entièrement le boîtier pour un neuf (pour des raisons évidentes on ne peut pas utiliser un boîtier provenant d’un autre véhicule sinon ça ne sert à rien). Boîtier qui coûte en moyenne la bagatelle de 500 balles.

Arrive alors la cerise sur le gâteau : le garagiste vérifie, le boîtier n’est plus fabriqué par Peugeot, donc au final si on tente l’opération j’ai une chance sur deux de niquer ma voiture définitivement si je retrouve pas le double original alors que la voiture est mécaniquement en parfait état (j’en dirais pas autant de la carrosserie mais c’est un autre débat). Oui oui, on peut acheter des pièces mécaniques pour réparer le véhicule pendant vingt ans, mais la partie électronique vous pouvez vous la carrer ou je pense, alors même que c’est un élément de plus en plus central dans la conception. J’aime bien parler de l’exemple d’Intel qui gardait une ligne de production de Pentium 75 pour… les navettes spatiales de la NASA (je cherche à retrouver l’article dans lequel je l’ai lu, si vous retrouvez l’information, partagez 🙂 ). Certes on parle là d’acteurs particuliers, mais c’est pour dire que sécuriser la fourniture de composants est courant dans le monde industriel, et ce n’est pas comme si les systèmes d’anti-démarrage n’étaient plus utilisés de nos jours. Je ne connais pas les politiques des autres constructeurs, mais dans ma recherche d’un véhicule pour remplacer le char (recherche démarrée bien avant cet évènement), clairement c’est pas un élément qui me donne envie de rester « français », même si c’est plus de la frime qu’autre chose (14% de chinois en 2014 dans les finances du groupe, fabrication massivement délocalisée…).

Comme je l’ai dit, l’électronique et l’informatique deviennent de plus en plus centraux dans la conception de nos véhicules, quand on voit comment le marché des smartphones qui est un réel désastre environnemental est en train de tourner, comment le manque de fiabilité de nombreux modèles réduit la durée de vie à peau de chagrin, ça donne pas envie pour le futur des véhicules, quand bien même l’électricité est pleine de promesses, aussi bien de propreté que de désastres également que ce soit sur les batteries difficilement recyclables ou bien les technologies sur lesquelles elles reposent actuellement, à base de Lithium qui est un métal aussi rare que cher et qui va vite devenir le nouveau pétrole si on trouve pas de bonnes alternatives rapidement. Bref, c’est pas reluisant…

Quelles méthodes pour protéger un accès PHPMyAdmin ?

vendredi 14 décembre 2018 à 18:30

Après avoir répondu à Korben et vu que j’ai pas le choix de rester collé dans un fauteuil à cause d’un pied cassé, je me suis dit que vous filer quelques pistes pour éviter les problèmes de sécurité avec PHPMyAdmin serait une bonne chose (et réutilisable pour d’autres besoins). Et non, le désinstaller ne fait pas nécessairement partie des solutions 🙂

Pour rappel, PHPMyAdmin est une interface d’administration pour serveurs MySQL/MariaDB écrite en PHP. Évidemment de par sa nature c’est un composant critique qu’il convient de protéger pour éviter de se faire pomper/corrompre ses données et/ou son site. En effet, ce n’est qu’une interface, et donc les utilisateurs sont ceux configurés au niveau du serveur de base de données. Toujours de par sa nature et aussi son âge, il a un historique fourni en matière de sécurité, la rançon du succès pourrait-on dire.

Les méthodes de protection sont nombreuses et sont parfois complémentaires, il n’est pas nécessaire de tout implémenter (surtout quand c’est redondant, on y viendra).

HTTPS obviously

Oui c’est une évidence pour beaucoup, mais dites vous que certaines boutiques en ligne continuent de vous faire naviguer sur leur site en HTTP (y compris la partie utilisateur), seul le paiement est en HTTPS, parce que souvent réalisé par un tiers. Ce point change car ces tiers imposent maintenant HTTPS pour les allers/retours, des outils de suivi comme Google Shopping l’imposent désormais, bref, si c’est pas encore déjà fait, que ça vous parait pas vital pour votre site, ça l’est pour phpmyadmin. Et si vous ne savez pas quel est l’intérêt, j’en ai parlé y’a pas si longtemps.

Une URL/URI non prévisible

N’importe quel administrateur système vous dira qu’il a déjà vu dans ses journaux de serveur web des tentatives d’accéder à des adresses comme /pma, /phpmyadmin, et d’autres variantes avec ou sans majuscules. Pour une bonne et simple raison, sur pas mal de tutos on rencontre ce genre d’installation. Également, sur certains outils d’hébergement web integrés, /phpmyadmin est un alias qui permet d’accéder à la base de données de l’abonnement. Utiliser une URI non prévisible évite donc aux scanners de découvrir facilement où se trouve l’outil.

Attention, si vous utilisez un sous-domaine spécifique, même en HTTPS avec SNI il passe en clair 😉

Des utilisateurs BDD restreints

Comme je l’ai dit, l’accès à la base se fait via les utilisateurs configurés sur le serveur bdd. En refouillant la doc de PHPMyAdmin (que je conseille évidemment), je n’ai pas trouvé de directive de restrictions d’utilisateurs, par contre, il est possible d’interdire la connexion à certaines bases de données. Avec un utilisateur associé qui n’a accès qu’à une base, et qu’on empêche la connexion à cette base, l’utilisateur ne sera pas autorisé à se connecter.

Au niveau de la configuration de PHPMyAdmin (config.inc.php), ça revient à configurer la variable $cfg[‘Servers’][$i][‘only_db’] qui contient la liste des bases autorisées (les autres étant interdites, ouais ça parait évident dit comme ça, mais sait-on jamais).

Ah et puis si vous ne comptez utiliser PHPMyAdmin que pour certaines opérations bien précises, il est possible de limiter les permissions de l’utilisateur, pensez-y 😉

HTTP Basic Auth

Le fameux « mot de passe htaccess » comme je l’entend trop souvent, qui n’a aucun sens si on utilise pas Apache comme serveur web de toute façon, demande de valider un couple utilisateur/mot de passe spécifique avant d’accéder à l’application (et son formulaire de connexion à la base de données). Ca fait deux identifiants à retenir, mais bon, ça fait déjà bien chier les brute force, alors autant ne pas se priver.

Pour la mies en place sur votre serveur web favori, je vous laisse chercher « http basic auth » sur votre moteur de recherche favori.

Filtrage IP

Moins facilement « bruteforçable » que le mot de passe, limiter l’accès à l’interface d’administration en fonction de l’adresse IP de la connexion de l’utilisateur est aussi simple à mettre en place que le mot de passe, mais demande par contre que l’utilisateur en question utilise toujours la même adresse IP ou une plage d’adresse connue et le plus restreinte possible.

Je dis ça car au taf où l’on nous a déjà demandé de faire du filtrage IP pour certains clients, on a déjà rencontré des utlisateurs de Zscaler, dont un des services est de « randomiser » l’adresse IP de sortie web de l’utilisateur, dans des plages salement larges (/22, /21), plages partagées entre plusieurs clients, en gros c’est très chiant.

Si vous voulez coupler le filtrage IP au mot de passe, j’ai déjà écrit un truc là-dessus à une époque, vous pouvez donc vous baser dessus c’est encore d’actualité.

X509 Client Certificate

Arme ultime, en plus du certificat X509 du serveur pour la connexion HTTPS, vous pouvez demander à votre serveur web de paramétrer la vérification d’un certificat client. Djerfy l’a mis en place et détaillé pour l’accès à l’administration de son WordPress, c’est évidemment adaptable pour votre installation de PHPMyAdmin.

Avec ça, si on a pas l’ordinateur qui dispose du certificat, c’est foutu. Alors certes ça n’empêche pas la possibilité de se faire dérober ledit certificat, mais c’est assez puissant, surtout une fois installé l’utilisateur n’a plus à s’en soucier (jusqu’à l’expiration du certificat, vous êtes seul juge de sa durée de vie quand vous le générez).

Pas de PHPMyAdmin ?

Allez, troll de fin, pour ne pas avoir un problème avec le logiciel, le mieux est encore de ne pas l’installer. Blague récurrente dans le domaine de la sécurité informatique, qui va jusqu’à « pour ne pas avoir de problème avec son ordinateur, le mieux c’est de ne pas l’allumer ». Pour être un peu plus sérieux, si vous êtes amenés à manipuler souvent vos bases de données, et c’est ce que j’ai fini par faire au boulot, travailler directement avec le client ligne de commande de mysql peut vous apprendre pas mal de choses et peut s’avérer souvent plus rapide.

Mais ça vient avec ses propres contraintes, idéalement on évite de se connecter à distance car par défaut le client mysql se connecte sans chiffrement de la connexion, ce qui n’est pas recommandé de nos jours. Soit on met en place du « SSL », ce qui est lourd et chiant, soit on passe par un tunnel SSH, ce qui est moins lourd et plus facile. Ou alors on se connecte au serveur en SSH, et on lance le client « local » du serveur.

Sinon, certains logiciels comme MySQLWorkbench, ou DBeaver (horreur en Java découverte via Twitter), permettent de lancer ce même tunnel SSH pour ensuite initier la connexion. Bien évidemment tout ça n’est valable que si vous avez accès à SSH, ce qui dans le cadre de services PaaS (mysql ou mariadb en tant que service), n’est pas possible.


Voilà avec tout ça, si vous avez encore un souci de sécurité avec votre installation de PHPMyAdmin, c’est que vous l’avez cherché 😛 Maintenant je suis curieux de savoir ce que j’ai pu manquer, ce que vous avez mis en place pour verrouiller vos accès, vous savez quoi faire pour m’en dire plus (un indice : on peut poster des commentaires sur mon blog :D)