Logo journal du hacker middle
  1. 2

    J’ai bien aimé cet article écrit simplement mais qui amène des sujets importants !

    1. 1

      Merci :)

      1. 2

        Pour moi, les JWT ne sont pas forcément liés à une notion d'authentification ou d'autorisation. C'est un format de données. Par contre, effectivement, ça permet de déporter certaines données côté client tout en ayant la garantie que ces données sont valides grâce à la clé de signature. C'est également possible d'utliser une clé pour chiffrer afin de ne pas rendre ces données publiques. D'autre part, je pense qu'un cookie de session peut tout à faire être un JWT, les deux ne sont pas à opposer à mon avis.

        1. 1

          En effet tu as raison. Seulement beaucoup de personne ne connaissent pas les JWT c'est le pourquoi de l'opposition : pour en parler et les faire connaitre.

        1. 2

          Je ne suis pas juriste donc je me demande dans quel cadre légal s'inscrit cette censure. On a aussi une notion de liberté d'expression. Donc dire qu'ils sont chez eux et qu'ils peuvent faire ce qu'ils veulent me paraît largement discutable.

          1. 2

            Ça peut être intéressant aussi d'utiliser un identifiant aléatoire (type UUID par exemple, disponible dans PostgreSQL) afin de se prémunir des attaques par énumération.

            1. 1

              Ce serait intéressant de voir quelles stratégies pourraient être développés en tant que communauté pour échapper à cette situation (en dehors de l'expatriation).

              1. 4

                Je recommande vivement ShellCheck. Il m'a été d'une aide précieuse ces derniers temps où j'ai du écrire beaucoup de bash. Par ailleurs, la wiki du projet est une source précieuse de bonne pratiques bash : https://github.com/koalaman/shellcheck/wiki

                À noter que shellsheck fonctionne avec différent shell et pas seulement le bash.

                Petit bémol, comme tous les outils de se genre, il y a parfois des faux positifs. Il faut alors annoter le code pour les désactiver.

                1. 1

                  je ne connaissais pas ! Hâte de l'essayer dès que je code un bout de script shell :)

                1. 3

                  Il serait intéressant également de contraster cette analyse en tenant compte des différences techniques entre les différents langages. Au niveau des fonctionnalités du langage mais également au niveau des outils et de l'écosystème qui entoure chaque langage.

                  1. [Comment from banned user removed]

                    1. 1

                      oui, j'ai pu m'en rendre compte lorsque je suis passé d'une forge auto-hébergée à Github. J'ai eu rapidement des nouveaux contributeurs sur mon projet principal.

                  1. 1

                    Du danger d'avoir une application avec beaucoup de dépendences…

                    1. 1

                      Je ne pense pas que le problème soit forcément lié aux dépendances. Je vois plutôt le fait qu'il y a un acteur non-communautaire présent dans la chaîne de production du Logiciel Libre. Je viens de développer cette idée dans un billet de blog à paraître lundi sur mon blog carlchenet.com :)

                    1. 1

                      J'aurais aimé une analyse plus équilibrée. L'introduction donne le ton : “Quels sont les points forts” sans envisager de parler d'éventuels points faibles ?

                      1. 1

                        javascript et php, hinhin

                        1. 1

                          De ce que je lis, ce qui est “hot”, c'est les langages dont la barre rouge est plus grande que la verte. Donc javascript est super “hot” mais PHP plutôt “cold”. Le graphique a l'air classé par “hotness”.

                          Après, je ne sais pas trop le crédit à apporter à ce genre de sondages. C'est plus une pub cachée pour le job-board en lien j'ai l'impression.

                          1. 1

                            oui c'est sûr, mais la tendance dégaée est toujours intéressante à retenir. Il y a quelques mois j'avais vu une étude proche qui parlait de node.js et j'ai en effet vu des profils node.js se vendre très cher.

                        1. 1

                          Pour info, c'est un fork de nix (http://nixos.org/). Marrant que ce ne soit pas précisé dans l'article.

                          1. 1

                            hinhin, pas ujn mot à ce sujet sur le site officiel non plus.

                            1. 2

                              la premiere mention que je vois est dans l'intro: https://gnu.org/software/guix/manual/guix.html#Introduction

                              guix est basé sur nix, mais on ne peut pas parler de fork de nixos à ma connaissance (https://gnu.org/software/guix/manual/guix.html#Acknowledgments)

                              1. 1

                                Effectivement, c'est un raccourci de dire que c'est un fork. C'est plus une inspiration, j'imagine.

                                Je pense que c'est une bonne chose qu'il y ai plusieurs projets travaillant dans cette direction qui me parait très prometteuse.

                                1. 1

                                  c'est la diversité du Libre :)