• [^] # Re: Un presta ?

    Posté par . En réponse au journal Le pass Sport du gouvernement français ressemble à une grosse arnaque. Évalué à 10.

    Au début, je pense à du click tracking, très courant pour les e-mails. L’idée étant de savoir qui a suivi les liens, et quels liens, dans le mail, avec pour but optimisation du template (ab testing et tout le tralala). Mais si le portail te génère le même lien, c’est pas ça.

    Autre option, pierre tramo, j2ee architect bosse chez obnm74.com, qui sous traite le boulot.

    Une autre possibilité, c’est que vu que les liens sont envoyés par e-mail, quelqu’un a fait remarquer qu’il y aurait des identifiants en plain text, et que c’est pas cool (il a lu un article sur slate sur Amazon qui a arrêté de mettre les détails des commandes dans les e-mails, parce que Google les mine). Un génie a dit « faut chiffrer les liens alors! », sans se rendre compte que, ben le lien est toujours dispo sans authentification, donc ça aide pas beaucoup. Ça va mitiger un peu pour les idiots qui postent leur liens privés sur l’internet publique (et y’en a, pas qu’un peu), mais pas tellement plus.

    Mais le product manager a entendu dire qu’il y’avait un problème de sécu, ça a été flaggé en bloqueur sur Jira, la question a été posée vite ‘aif au mec de la sécu, sans contexte, qui a dit « ça va peut être aider un peu, mais ça sert pas forcément à grand chose, je peux pas vraiment dire sans en savoir plus », un meeting a été schédulé, mais le gars était en vacances, et le ticket était en retard.

    Le scrum master (précédemment chef de chantier dans le bâtiment, reconverti y’a 2 ans parce que ça paye mieux et parlait vraiment trop mal le portugais, et trouve que le thread slack sur le sujet pourrait être écrit en portugais, il le comprendrais pas plus) a exigé que le ticket soit fermé avant de fermer le sprint, caralho (ça veut dire s’il te plaît, ses gars lui ont apprit ça sur le chantier, des gars vraiment cool avec le cœur sur la main).

    Le seul inge qui comprend ce qu’il se passe a essayé de lui expliquer, mais ça a été escaladé au directeur qui a vu « PII » dans le premier paragraphe de l’e-mail, a arrêté de lire et a exigé que tout soit chiffré bout à bout (une histoire d’honorer notre commitment à la privacy). Quelqu’un a fait remarqué que le lien 302 redirect sur du http-sans-s, et on lui a poliment demandé de fermer sa gueule, et que http-avec-s est pas mentionné dans le ticket, donc on en a pas besoin.

    Au final, ils ont livré, le directeur aura sa piscine l’été prochain (il a explosé sa target sécurité), et le PM a ajouté un slide « e2e encryption » à sa présentation. Le gars qui a tenté d’expliquer que ça servait à rien s’est fait défoncé à son weekly 1:1 (il faut qu’il arrête de dérailler les projets quand le directeur a demandé le chiffrement).

    Dans 5 à 10 ans, quelqu’un va reprendre le projet, comprendre que ça sert à rien, et si c’est un bon politicien, réussir à corriger les liens.

    Quand l’équipe désactivera la feature, quelqu’un va cmd v la clé de chiffrement dans son browser par accident, et se rendre compte que la clé de chiffrement était, en fait, publiquement accessible sur GitHub, et indexée par Google, depuis, ben en fait depuis tout le temps. On lui demandera aussi de fermer sa gueule, on a pas besoin de déterrer une histoire vielle de 10 ans, surtout que le commiter est maintenant VP of security et CISO.

    Toute ressemblance avec un projet existant serait totalement pas fortuite du tout. Voilà voilà. On est vendredi après tout.