Ergonomie, Rails et Architecture de l'information web (2.0)

Ça me fait franchement mal de taper sur un des meilleurs sites francophones dédiés au développement web. Je dois toutefois reconnaître que la dernière trouvaille de Bruno Bichet pour bouter Internet Explorer 6 hors de nos frontières est une des idées les plus stupides depuis l’invention du parcmètre, et donc du Firefox Download Day, pour ceux qui suivent.

Les militants qui posent sur leur site un badge best viewed with Firefox ont tendance à m’agacer. Ceux qui affichent une bannière, ou pire, une landing page de type vous utilisez un navigateur obsolète et dangereux pour le web m’horripilent avec un H comme dans Halimi. Quant à ceux qui bloquent purement et simplement l’accès à leur site à quelque navigateur que ce soit – à une exception d’amour près – ils m’inspirent le même genre de réactions qu’une horde de touristes sur le quai de la ligne 1 du métro parisien à 8 heures et demi un jour de grève des transports. En redirigeant les utilisateurs d’Internet Explorer version 6 et inférieure vers son flux RSS mis en forme par Feedburner, Bruno vient de poser une nouvelle borne aux limites de la bêtise. Son geste et encore plus impardonnable qu’il est un professionnel du secteur, pour le travail duquel j’ai, par ailleurs beaucoup de respect.

Google, qui vient de renouveler son partenariat avec la fondation Mozilla (félicitations) annonce Chrome, son browser maison reposant sur Webkit….

Peut être ai-je lu un peu trop d’ouvrages traitant du grand complot judéo maçonnique mondial ourdi par les adorateurs de Cthulhu et que le Necronomicon n’est pas forcément un livre de chevet recommandable pour une personne normale. Je trouve cependant singulièrement frappant qu’une vulnérabilité de sécurité critique touchant Firefox 3 ET Firefox 2 ait fort opportunément été découverte, et publiée, moins de 5 heures après la release en grandes pompes de Firefox 3 et le début du Firefox Download Day.

Netscape est mort, débranché comme un vieux tétraplégique dans le comas qu’on bourrait depuis des années de médicaments sans vraiment oser l’achever, au cas où un miracle aurait pu se produire. Dans la réalité, Netscape est mort depuis des années, et seuls quelques dinosaures nostalgiques des premières années du web et réfractaires à toute évolution l’utilisent encore.

La première application web digne de ce nom qu’il m’a été donné de croiser était une infâme usine à gaz en J2EE, lente à souhait malgré une architecture plus que respectable, mais qui avait le mérite de reproduire à l’identique l’application desktop dont elle était le portage. J’évoque souvent cette expérience, car, malgré bien des défauts, elle a marqué pour moi le jour où j’ai vu le web comme autre chose que du vent tout juste bon à causer des soucis de sécurité aux administrateurs système.

Je me rappelle très bien m’être alors fait la remarque – nous étions au mois d’août 2003 – qu’à la façon dont allaient les choses, les applications web pourraient rapidement remplacer leurs homologues de bureau tant elles palliaient les principaux défauts de ces dernières :

• Plus de problèmes de compatibilité entre les architectures, les systèmes d’exploitation et les bibliothèques graphiques. Même si les problèmes d’interopérabilité entre les divers navigateurs existent toujours, leur résolution est nettement plus aisé que le portage d’une application développée dans un langage compilé d’un système à l’autre.
• Plus de problèmes de copies piratées, puisque tout le contrôle se fait côté serveur. Il est certes toujours possible de se faire passer les identifiants, la mise en commun des documents avec les heureux possesseurs de mes accès risque fort de poser problème un jour ou l’autre.
• La décentralisation totale des ressources, permettant à tout un chacun de travailler de n’importe quelle machine sans avoir à rapatrier un profil, un parc applicatif, une configuration et des documents sauvegardés. Tout se ferait côté serveur, ce qui supprimait bien des problèmes d’administration.
• Dernier mais non des moindres, la solution à tous les problèmes de déploiement et de mise à jour posés par les applications de bureau sur les parcs de taille importante, malgré l’existence d’outils de déploiement automatisés.
• Ma réflexion sur le sujet du point de vue de l’utilisabilité y a plus tard apporté une pierre supplémentaire : la possibilité de supprimer de nombreuses applications toutes les fonctions inutiles dont personne ne se sert jamais et qui les rendent inexploitables ou sous-utilisées. Corollaire : la vente de licences avec différents niveaux de fonctionnalités adaptées aux besoins des utilisateurs. En un mot, remettre ce dernier au centre de la boucle dont il n’aurait jamais du sortir.

Je me rendais rapidement compte des obstacles opposés à l’avènement de ce monde entièrement décentralisé dans lequel l’application web – on ne parlait alors pas encore de web 2.0, nous en étions aux premiers balbutiements d’AJAX, et c’était alors la croix et la bannière pour avoir quelque chose qui marchait vraiment – régnerait en maître.

• Tout restait à faire en matière de portage. Nous sommes en 2007, soit quatre ans après ce premier contact, et la suite bureautique la plus aboutie a encore bien du chemin à faire.
• Même si nous sentions que les choses bougeaient, la crise de confiance dans les valeurs de la première bulle Internet restait tenace, et il faudrait beaucoup de temps avant que les marchés, et à travers eux le grand public s’en remettent.
• Je connaissais peu d’entreprises capables de confier leurs documents à une société tierce, quel que soit le niveau de confidentialité de ces derniers. Le passage par des appliances déployées chez le client pouvait bien résoudre ce problème, mais il déportait alors celui des mises à jour et du déploiement au niveau de l’éditeur, et non plus du SI de la société.
• Enfin, et non des moindres, dès lors que je dois ouvrir mon navigateur pour y accéder, une application web reste un site web, avec toute la connotation négative que cette notion peut porter.

En testant la dernière nightly build de Flock, je me suis rendu compte que celui-ci ne supportait plus les versions de SSL inférieures à 3. Je trouve cela particulièrement stupide quand on voit le nombre de sites utilisant de vieux certificats SSL – comme des hébergeurs professionnels, d’autant que ceci concerne aussi les versions 2 et 3 de Firefox.

Le ticket 236933 ouvert chez Mozilla et intitulé Disable SSL2 and other weak ciphers explique les raisons de ce retrait :

Heya,

I would suggest to change the default security-settings … I have disabled the following myself:

SSLv2, all ciphers lower than 128 bit. And it would be even better yo disable md5 and only allow the others like sha-1, …

SSLv2 isn’t secure anymore since some time. SSLv3 and TLS are the only “secure” once to use these days as far as I know. It’s good mozilla includes them “MAYBE” for compatibility, but they shouldn’t be enabled as defaults …

I wouldn’t advise people who use their computer for internet-banking to enable SSLV2, … Ofcourse there are maybe easier ways to break get the necessary info, but disabling the things I mentionned above would help.

En cas de besoin pressant, réactiver SSL V2 reste toutefois possible :

Dans la barre d’adresse, tapez : about:config puis entree
Filtrez sur security.enable_ssl2
Mettez la valeur à true

Je ne sais évidemment pas ce qui est le plus stupide : toujours utiliser une vieille version pas sûre de SSL ou en désactiver et cacher le support. La discussion à ce sujet dans le bug sur le trop faible nombre de sites utilisant SSL V2 ne m’a pas vraiment convaincu. Désactiver le support des anciennes versions de SSL par défaut, en permettre la réactivation en cas de besoin d’une manière plus simple qu’en allant farfouiller dans le about:config, par exemple dans préférences -> avancé -> chiffrement comme c’était le cas autrefois, en l’accompagnant au besoin d’un message prévenant l’utilisateur des risques encourus m’aurait semblé beaucoup plus sensé.

Merci à Jeremy de #flock@irc.flock.com pour son aide.

Malgré un emploi du temps de ministre cumulant plusieurs portefeuilles tout en honorant avec un rare zèle l’ensemble de ses mandats locaux, et des yeux à faire pâlir un lapins albinos myxomateux pour cause de fatigue excessive, j’ai tout de même pu me rendre à la grande messe de lancement de Firefox 2 organisée par la fondation Mozilla et le conseil régional d’Île de France.

J’ai pris beaucoup de plaisir à revoir des gens que je n’avais pas croisé depuis parfois plus cinq ans et l’abandon de mes activités militantes actives en faveur du logiciel libre ; ce genre de soirées détendues est le lieu idéal pour (re)nouer des contacts souvent très enrichissants. Enfin, j’ai pu voir une certaine personne avec laquelle je jouais à cache cache depuis un moment, et que je regrette de ne pas avoir rencontrée plus tôt.

Sauf contre ordre, je viendrai à la soirée de lancement du navigateur Firefox 2 organisée le jeudi 26 octobre par la fondation Mozilla Europe et le conseil régional d’Île de France. L’événement se déroulera dans les locaux du conseil régional 33 rue Barbet de Jouy 75007 Paris à partir de 19 heures. J’espère avoir l’occasion d’y rencontrer nombre d’entre vous que je n’ai jamais eu l’occasion de croiser autrement qu’en ligne.

Je réécris totalement ce billet : la fatigue de ces deux dernières semaines aidant, l’original était plein de fautes, obscure, et manquait d’une partie de ma réflexion.

Ce matin, je tombais un peu par hasard sur cette note technique offerte aux visiteurs du site dédié au jeu de rôles Le Gant et l’Épée.

Actualys, société spécialisée dans les projets web en grands comptes recherche un développeur PHP/XUL pour une mission de longue durée.