Développeurs web, un conseil, juste comme ça: n’envoyez pas de mot de passe par courriel!

La semaine dernière, lors de l’inscription à un site de commerce en ligne, j’ai reçu une confirmation d’inscription qui prenait la forme suivante.

strom-fail

Le gros rectangle noir est mon mot de passe qui a été envoyé en clair, sans être crypté. Je croyais cette pratique révolue…

Envoyer un mot de passe en clair dans un courriel équivaut réellement à divulguer celui-ci à qui le veut. Les protocoles et les mécaniques reliées à l’envoi de courriel sont tout sauf sécuritaires. Du moins, pas au point d’y envoyer son mot de passe de cette façon.

Le problème est à deux niveaux. En premier lieu, il s’agit d’une confiance qui a été brisée entre moi et ce marchand. Ses services de spas et de massage sont dignes de mention, mais son service en ligne doit être significativement amélioré. Ensuite, il y a clairement un problème d’incompétence lors de la réalisation de ce site de commerce en ligne.

En tant que consommateur, j’avais confiance en ce marchand pour qu’il puisse gérer mes informations de connexion de façon sécuritaire. Sans me douter de la suite, j’y ai entré un mot de passe que j’utilise régulièrement sur des sites de commerce en ligne. Maintenant, ce mot de passe est potentiellement exposé et moins sécuritaire. Offrir une expérience en ligne sécuritaire ne se limite pas seulement à activer le chiffrement de connexion (HTTPS).

Il n’y a pas d’excuses à inventer. Cela peut être de l’insouciance, un manque de budget ou même, encore pire, un requis spécifique. Aucune raison valable ne peut expliquer d’envoyer un mot de passe de cette façon par courriel. Le concept de la gestion de l’authentification par l’entremise d’un formulaire est un concept testé et éprouvé.

Qui plus est, mon mot de passe a été envoyé en clair dans un courriel. Il serait, par la suite, légitime de se demander si le mot de passe a été initialement crypté avant d’être enregistré dans la base de données du site. Encore pire, s’il a été crypté, l’algorithme qui a été choisi fait en sorte qu’une clé secrète peut être décryptée facilement. C’est encore une moins bonne nouvelle.

Je ne connais pas l’identité de la boîte qui a développé la plateforme de commerce en ligne pour le Strom Spa Nordique, mais cette pratique doit arrêter le plus rapidement possible.

Dans le passé, j’ai déjà mentionné que j’ai travaillé pour une agence qui développait des solutions de commerce en ligne. J’y ai côtoyé des individus passionnés par le commerce en ligne et qui connaissaient leur affaire dans ce domaine. Ce que j’ai retenu de mon passage là bas est que de mettre en place une expérience d’achat en ligne n’est pas une aventure simple et demande énormément de réflexion.

La leçon à retenir ici est qu’il est possible de faire mieux. Beaucoup mieux. Le principal levier que nous avons est l’éducation. Il est primordial de partager le principe qu’une navigation sécurisée arrive avec beaucoup d’implications que le développeur web doit gérer avec grand soin.

Souvenez-vous: « Le programmeur est la dernière frontière entre l’imagination d’un client et la réalité technologique« .

Les liens de la semaine – Édition #142

Développement

.NET

Visual Studio 2015 et .NET 4.6

Technologie

Web

Science et autres

Un plaidoyer pour le développement web « platonique »

kool-aid-manJe mentionne souvent. Développer une application web, c’est facile. En faire la maintenance est une autre histoire. À l’époque des frameworks front-end JavaScript permettant de faire des applications web riches et interactives à la fois, il est facile d’oublier que l’ont construit des abstractions par dessus d’autres abstractions. Nous vivons à une époque où, à chaque ajout de librairie tierce, un enjeu de maintenabilité est à portée de main.

Les navigateurs évoluent à la vitesse grand V. Inévitablement, vous aurez à mettre à jour une librairie dans le lot que vous utilisez. Cela signifie aussi que ce sera le jour où vous réaliserez que vous aurez, peut-être, à mettre à jour une série de dépendances.

Plus la chaîne de dépendances est grande, plus j’ai l’impression de percevoir ce même sentiment d’angoisse chez le lecteur. Cela nous est tous déjà arrivé au moins une fois? D’ailleurs, je cite l’exemple avec le développement front-end. Cependant, il est tout aussi valide avec .NET.

Devoir retester une application entière en raison d’une mise à jour mineure d’une librairie et de ses dépendances utilisée dans son application n’est pas cool.

J’avais initialement commencé ce billet en ayant comme objectif de faire un résumé de comment il est facile de faire une grille de données de type CRUD avec ASP.NET « vanille ». En fait, c’est tellement simple que je n’ai pas envie de répéter ce qui existe déjà sur le web à ce sujet.

Mon intention était surtout de démontrer qu’il n’est pas automatiquement nécessaire d’inclure une panoplie de librairies JavaScript pour manipuler le HTML et faire un SPA avec quelque chose qui peut se faire directement avec ASP.NET. Il y a un truc que je garde régulièrement en tête concernant le développement web. Plus une librairie va tenter de résoudre un problème complexe (ex.: faire un SPA ou de l’AJAX), plus son utilisation en sera aussi complexe ou induite en compromis contraignants.

Ceux qui lisent les Liens de la Semaine auront remarqué que j’ai inclus le lien vers le The boring front-end developer dans l’édition #141. Je me suis tout de suite reconnu dans les arguments avancés. Je le considère réellement comme un manifeste pour une façon platonique de concevoir le web. Les arguments sont aussi en ligne directe avec YAGNI pour le développement logiciel.

Le web est basé sur un protocole assez simple: HTTP. Gardons les choses simples lorsqu’il est temps de prévoir l’architecture front-end de son site. Pour faire simple, pour faire des grilles d’édition web, je doute sincèrement que vous ayez besoin d’AngularJS ou même de React.js, jQuery, d’un préprocesseur CSS comme Sass et de gulp pour faire tenir tout ça ensemble.

Comme toujours, soyez vigilant et, surtout, faites preuve de pragmatisme lorsque vous développez!

Les liens de la semaine – Édition #141

Développement

.NET

Web

Technologie

Science et autres

 

Quelques conseils pour s’initier à la course à pied

Dernièrement, j’ai aidé une amie à s’initier à la course à pied. Cette amie en est à ses premières foulées sérieuses à la course à pied. Évidemment, elle trouvait l’entraînement un peu difficile les premières fois qu’elle est sortie courir. Ce qui est admirable, dans son cas, c’est que ce n’est pas la motivation qui manque dans son cas, car elle a l’objectif de compléter une distance de cinq kilomètres à la fin du mois d’août.

Ses principaux questionnements tournaient autour de l’entraînement. Comment se préparer? À quel rythme courir? Combien de fois par semaine faut-il sortir? Quelles distances dois-je courir à chaque entrainement? Ai-je vraiment besoin de bouteilles d’eau?

Depuis que je cours sur une base régulière, j’ai entendu mon lot d’histoires de coureurs débutants qui décident, un beau mardi d’été, d’aller courir quelques kilomètres « pour le plaisir ». Ils reviennent tous avec un découragement ou simplement une motivation en chute libre après quelques jours, car l’exercice a été plus difficile que prévu.

Le corps humain est une incroyable machine. À la base, votre corps a tout ce qu’il faut pour courir. C’est ainsi que notre corps a évolué pour être en mesure de mieux survivre. Le principal avantage d’être un bipède est de pouvoir courir plus vite, plus loin et avec plus d’agilité que les quadrupèdes.

Une connaissance à moi, une fois, m’a dit : « Pascal, dis-toi que tu as tout en main pour être capable de chasser le mammouth. ».

Alors, comment débuter avec la course à pied? Voici quelques conseils que j’ai à suggérer pour le coureur qui désire s’initier.

Équipement

À la course, comme dans tout sport, vous allez avoir chaud. Pour avoir chaud, il faut bien se vêtir. Cela sonne un peu ironique, n’est-ce pas?

Pas du tout! De bons vêtements vont faciliter l’évaporation de la transpiration. Ce qui aura comme principal effet d’améliorer votre confort.

Au minimum, vous aurez besoin de faire quelques achats pour renouveler votre garde-robe pour les items suivants:

  • Souliers
  • Chandail
  • Shorts
  • Sous-vêtements
  • Bas

Préférez des vêtements avec des tissus synthétiques favorisant la respirabilité. En autres mots, évitez le coton.

Courir au bon rythme

L’erreur la plus courante chez les coureurs débutants, c’est de surestimer sa capacité à la course. Certains vont se donner un objectif trop ambitieux. Par exemple, celui de courir un demi-marathon après huit semaines d’entraînement. D’autres vont prendre les bouchées beaucoup trop grandes à l’entraînement.

Dans tous les cas, le principal risque qui est pris, dans ces situations, est au niveau des blessures. Si vous courez au deçà de vos capacités, le principal effet sur votre corps sera, très probablement, une blessure. Cela est dommage, car, lorsque vous êtes blessés, vous ne courez pas. Par le fait même, vous ne vous améliorez plus.

L’essentiel, c’est d’avoir un plan. Allez chercher des conseils des professionnels de la course à pied. Sachez que je n’en suis pas un. Je ne suis qu’un passionné. C’est bien différent!

J’en ai déjà parlé dans le passé. Je suis un disciple des livres Courir au bon rythme par Jean-Yves Cloutier. Il y en a d’autres aussi sur le marché. L’important dans un plan d’entraînement c’est d’aller chercher une constance et un encadrement dans l’entraînement.

Comme le titre le dit, la clé réside dans la course au bon rythme. C’est là que l’expression « Lentement mais surement » prend tout son sens. Lorsque vous débutez à la course à pied, c’est aussi l’occasion pour votre corps de s’adapter à ce nouveau sport. Prenez votre temps!

Gérer ses attentes et faire attention aux blessures

Une fois que l’entraînement est bien établi. Disons après 4 à 6 semaines. Les premiers changements vont se faire sentir. C’est surtout à ce moment-là que la tentation de pousser la machine et de dérailler de votre plan d’entraînement sera la plus forte.

On ne devient pas marathonien en huit semaines. C’est cela qu’il faut garder en tête.

Déroger du plan d’entraînement pour augmenter l’intensité ou les distances parcourues risque de vous faire plus de tors que de bien. Bien évidemment que je ne suis pas un spécialiste de la médecine sportive. Cependant, il est facile de concevoir qu’il faut laisser un peu de temps à votre corps pour s’adapter. En particulier, tout ce qui est au bas du corps: genoux, tibias, chevilles, hanches.

D’ailleurs, pour vous donner une idée, les plans d’entraînement de Courir au bon rythme I sont sur quatorze semaines. Ce n’est pas parce que l’on court plus vite qu’on va atteindre sa destination plus rapidement. Parlez-en au lièvre.

Douleur

J’ai un seul conseil à donner au sujet de la douleur et de la course à pied. Ne tolérez pas la douleur et, surtout, consultez un médecin si cela persiste.

À l’automne 2014, j’ai toléré une douleur au talon d’Achille lors de mes sorties. Cela a fait en sorte que j’ai manqué quelques semaines d’entraînement pour recevoir des traitements. Il s’avère que c’était des restants d’une entorse que j’avais subie deux ans auparavant.

Soyez attentif aux signaux que votre corps peut donner. Donnez-lui des pauses, si nécessaire, pour récupérer.

Bonne course!

Suivre

Recevez les nouvelles publications par courriel.

Joignez-vous à 377 autres abonnés