Design & Développement web - Le topic des canards qui mangent des cookies

[Fastela]

Bah tout le monde se souvient du gros fiasco qu'avait causé left-pad...

Dans le même genre je vous conseille cet article qui est vraiment excellent : https://hackernoon.com/im-harvesting...w-9a8cb347c5b5

[Frypolar]

Oui ok, mais là c'est autre chose : un gars donne sa confiance à un autre dev, et ce dernier insère du code malicieux.
A moins de faire en sorte de soumettre son code, que ce dernier soit audité et que le build se fasse par le gestionnaire de packets, je vois mal comment se prémunir d'une attaque pareille.

Oh mais des moyens on en trouve ! Par exemple tu pourrais inclure un warning dans le log pour dire que le proprio du paquet a changé. Tu pourrais aussi l'indiquer via un changement automatique de version majeure même si c'est un peu bourrin.

On peut aussi imaginer que npm arrête de faire des mises à jour automatiques par défaut ce qui est une connerie assez phénoménale.

Dans ce cas précis, il me semble aussi que le code poussé sur npm ne correspond pas au code source lié au paquet. Ça aussi ça peut se vérifier sur un projet open source.

NPM a plein de problèmes, plus que les autres gestionnaires de paquet, et plein de solutions proposées par la communauté. Seulement ils s'en battent les couilles.

Après il y a le problème de la communauté de dev Javascript qui fait n'importe quoi...

[tenshu]

A part le dernier point le reste de ce que tu dis n'a pas beaucoup de sens.

[Dross]

Oh mais des moyens on en trouve !

Je sais : je l'ai déjà donné : audit du code + compilation du coté du package manager, tout le reste c'est soit à l'efficacité plus que limitée, voir impraticable dans bien des cas (code fermé, obfusqué, n'ayant pas un processus de compilation dont le résultat est 100% identique, etc).

[gros_bidule]

Qui qui c'est qui paie l'audit du code quand tu as 250Mo de libs (ok, dont 245 pour le build, mais ça reste utilisé) sur 350 000 fichiers ?
Le fric il y en a, mais dans les poches des actionnaires. Le dev reste une tâche ingrate.

[Dross]

Ah mais totalement d'accords, au final on repose sur la confiance dans les équipes qui tiennent les projets, et que ça soit npm, nuget, etc c'est la même bataille.

C'est comme "l'open source" : au final qui compile depuis les sources ? Personne. Si le gars qui gère le projet décide de rajouter un keyloggeur dans sa dernière release, il va faire un massacre.

npm a parfois fait de la merde sur d'autres sujets, mais pour la problématique des dépendances et de ce qu'elles contiennent, npm ne fait pas pire que les autres de mon point de vu.

[tompalmer]

Je suis dans le mal avec un thème Prestashop




Aucune idée de pourquoi il n'est pas capable d'aligner les produits, et le plug in n'offre quasi pas de possibilité de modifier.

Faudrait que j'aille mettre les mains dans le cambouis

[Fastela]

Ah mais totalement d'accords, au final on repose sur la confiance dans les équipes qui tiennent les projets, et que ça soit npm, nuget, etc c'est la même bataille.

C'est comme "l'open source" : au final qui compile depuis les sources ? Personne. Si le gars qui gère le projet décide de rajouter un keyloggeur dans sa dernière release, il va faire un massacre.

npm a parfois fait de la merde sur d'autres sujets, mais pour la problématique des dépendances et de ce qu'elles contiennent, npm ne fait pas pire que les autres de mon point de vu.

L'avantage c'est qu'une faille est le plus souvent détectée et corrigée rapidement. L'Open Source permet un audit du code quand le besoin s'en fait sentir.

J'avais vu un gars une fois comme ça qui m'a carrément dit "Moi l'open source j'y crois pas" et il avait dev une app sur base PHP entièrement à la mano. Quand j'ai commencé à parler injection SQL et XSS au CEO de la boîte, ils se sont mis à transpirer à grosses gouttes.

[PaulPoy]

Je suis dans le mal avec un thème Prestashop

https://tof.cx/images/2018/11/30/6e0...609e5f0.md.jpg


Aucune idée de pourquoi il n'est pas capable d'aligner les produits, et le plug in n'offre quasi pas de possibilité de modifier.

Faudrait que j'aille mettre les mains dans le cambouis

Ca ressemble à un petit problème CSS. Si c'est un thème payant ce n'est pas cool. Tu n'as pas des contraintes sur la taille des vignettes à intégrer ?

[Charmide]

Je suis dans le mal avec un thème Prestashop

https://tof.cx/images/2018/11/30/6e0...609e5f0.md.jpg


Aucune idée de pourquoi il n'est pas capable d'aligner les produits, et le plug in n'offre quasi pas de possibilité de modifier.

Faudrait que j'aille mettre les mains dans le cambouis

T'es maudit c'est tout ! Mais c'est pas grave ça fait art contemporain laisse comme ça.

C'est dur de t'aider sans pouvoir inspecter la page, si tu nous files un lien on peut peut-être deviner.

- - - Mise à jour - - -

C'est comme "l'open source" : au final qui compile depuis les sources ? Personne. Si le gars qui gère le projet décide de rajouter un keyloggeur dans sa dernière release, il va faire un massacre.

Y'a la même délégation de confiance quand un end-user lambda attérit sur un site/une app au pif et crée un compte dessus. Entre ça et le fait que y'a plein de monde qui utilise le même mot de passe pas du tout sécurisé partout.. voilà quoi. Des fois je me demande quand même comment certains systèmes tiennent alors que les humains sont censés être tous des connards.
Ça me rappelle quand j'avais accidentellement loggué une route de création de compte, j'aurais dû les tenter sur paypal plutôt que de détruire les logs et d'arrêter de les générer

[tompalmer]

J'ai contourné le problème en n'affichant pas les catégories comme ça, ça n'apporte pas grand chose

https://store.thomaspalmer.fr -> c'est presque correct maintenant (je vais voir comment le type qui s'occupe du site s'en sort avec les 2 3 derniers bugs)

[tompalmer]

En fait on galère juste sur l'update, je voulais passer sur Prestashop 1.4.7 (dernière version quoi) mais apparemment on se chie dessus.

Je savais que ça allait être galère mais fichtre

After update admin style missing

[gros_bidule]

Des fois je me demande quand même comment certains systèmes tiennent alors que les humains sont censés être tous des connards.

Je vais être mauvaise langue mais : c'est simple, ça ne tient pas . Sony (PSN) est tombé, Google (Google+) est un échec est tombé, Yahoo s'est mangé un mur à 450km/h, et j'en passe. En fait, si tu compiles toutes les fuites graves de ces 10 dernières années, et que tu ne débranches pas ton cerveau, tu fonces dans un abri anti-atomique pour les 20 prochaines années.
Et je ne parle pas des fuites passées sous silence : y'en a forcément.
Et des boites qui revendent tes données.

]Ça me rappelle quand j'avais accidentellement loggué une route de création de compte, j'aurais dû les tenter sur paypal plutôt que de détruire les logs et d'arrêter de les générer

Mais carrément !
Et encore, avant le RGPD je pense que ça gênait encore moins les devs de faire figurer les mdp dans le logs. Ou des cas cheloux comme charger la base de prod sur un environnement de test (bah oui, on veut le bencher - mais pas prendre le temps d'anonymiser, trop de taff pas de sous).
Su le projet où je suis, un site du gouvernement, le RGPD est en cours d'étude. Oui oui, c'est payé avec vos sous, mais il était hors de question de prendre les devants et de faire le taff avant que le RGPD n'entre en vigueur. Bon, au moins on va prendre des mesures (mais pas toutes) qui s'imposent, mais dans l'état je pense qu'une descente de la CNIL ferait mal.

[tompalmer]

catastrophiste, par exemple Google + c'est une faille découverte mais non exploitée.

Tous les gens qui utilisent un gestionnaire de mot de passe sont tranquilles, car ils sont 1000 fois mieux sécurisés que l'utilisateur lambda.

[gros_bidule]

Non exploitée, ça reste à voir

[LaitLucratif]

Salut, je dois faire un template, j'utilise HTML/CSS/bootstrap, et je bute sur un élément qui me paraissait simple au début mais au final étant débutant/autodidacte je dois louper un truc.

Voilà le template en très simplifié :


En gros c'est le texte "incurvé" qui est à la fois header mais vient aussi se mettre à gauche du contenu qui me pose problème. Sachant qu'il faudrait que le site soit responsive (donc potentiellement sur smartphone remettre simplement header-titre droit, plus petit). Et aussi que lors du scroll, le header soit fixe (ainsi que le sous-menu "con porum") et que seuls la colonne de texte à gauche + les deux colonnes d'images descendent.

Déjà pour le texte incurvé en lui-même, j'ai cherché des scripts, mais je trouve que des trucs qui viennent se mettre autour d'un cercle (apparent ou non), pas une sorte de texte articulé autour d'un rectangle avec angle arrondi.
Et pour qu'il englobe le reste du contenu sans flinguer toute la mise en page, ce serait quel type de structure ?
Je dois pas avoir les bons termes pour chercher, j'ai l'impression de galérer à faire un truc très très simple...
Si vous avez des pistes je suis preneur. Merci !

[PaulPoy]

Version simple : mettre le texte dans une image que tu cales en fond.
Version moins simple : regarder du côté de SVG : https://css-tricks.com/snippets/svg/...xt-along-path/

Après de mon avis perso qui n'engage que moi, faudrait peut être changer cette idée de mise en page (genre conserver un trait ou motif incurvé et avoir le titre droit à la suite ou au dessus) mais là n'est pas le sujet.

[tompalmer]

Allalujah, après moults bugs on a réussi a updater mon prestashop et tout, genre y'avait des bugs jusque dans les "core files" et j'ai du fouetter mon freelancer Bangladais (remarque je lui ai lâché 100 Euros, c'est presque un Smic là bas)

(lien en signature)

Reste quelques peaufinages cosmétiques et surtout textuels, mais je commence à être fier du résultat.

[Ruvon]

j'ai du fouetter mon freelancer Bangladais (remarque je lui ai lâché 100 Euros, c'est presque un Smic là bas) [...] je commence à être fier

[Thomasorus]

Je suis pas sûr que parler de délocalisation du travail de développement dans un topic de gens dont c'est le métier, mentionner le prix ridicule (peu importe que ce soit un smic là-bas tu en retires une valeur bien supérieure) et faire une blague avec un fouet au milieu soit la meilleure manière de manifester ton enthousiasme en fait.

[tompalmer]

Vous n'avez aucun humour, on se croirait sur twitter De plus c'est plus que le prix moyen sur ce genre de services (d'environ 60 pour cette prestation)

De plus on en parlé mainte fois, le travail de personne n'a été volé car j'ai pas du tout le budget pour faire faire ça en france, ça règle la question.

[ook4mi]

Allalujah, après moults bugs on a réussi a updater mon prestashop et tout, genre y'avait des bugs jusque dans les "core files" et j'ai du fouetter mon freelancer Bangladais (remarque je lui ai lâché 100 Euros, c'est presque un Smic là bas)

Je crois que tu as réussi avec un seul message à attendre le niveau d'un commercial dans une SSII de type boucherie charcuterie.

[tompalmer]

En même temps c'est le principe de faire de l'humour, et a fortiori de l'humour CPC d'être un peu grinçant

C'était un Follow up aux messages plus hauts sur mon soucis Prestashop. Je comprends les tensions face au dumping (je vous rassure ça arrive dans presque tous les métiers y compris le miens) MAIS faut faire la différence entre ceux qui le font par nécessité et ceux qui le font par radinerie.

Dans un cas tu perds un client que tu n'aurais jamais eu de tout façon, donc tu ne perds rien. Dans l'autre, bah c'est la guigne et c'est chiant, mais c'est ainsi.

Puis ça va bien de faire la morale dans son T shirt made in china

[LaitLucratif]

Version simple : mettre le texte dans une image que tu cales en fond.
Version moins simple : regarder du côté de SVG : https://css-tricks.com/snippets/svg/...xt-along-path/

Après de mon avis perso qui n'engage que moi, faudrait peut être changer cette idée de mise en page (genre conserver un trait ou motif incurvé et avoir le titre droit à la suite ou au dessus) mais là n'est pas le sujet.

Merci ! Je vais me pencher sur le SVG, ou effectivement basculer sur un truc plus simple yes !

[Fastela]

Il n'empêche que de dire "je vais payer 100 balles un mec au bengladesh et encore je suis généreux" c'est à la fois réducteur pour lui, pour pas mal de gens qui sont sur ce topic et qui essaient de vivre de leur taf (et qui te donnent des conseils gratos), et c'est globalement une mauvaise mentalité plutôt que de te motiver à avoir les moyens de te payer un vrai dev plein pot ici dont tu seras 100% content je trouve.

My $.02..

[tenshu]

...

J'ai essayé de t'avertir gentiment dans 2 topics.
Je te le dis, le prochain coup je vais être bien moins sympa.

[Anonyme210226]

Tsss, tompalmer participe au développement de l'économie bengalaise, et pas par de l'assistanat, mais en fournissant du travail, en évitant de traiter son prestataire avec la mansuétude hypocrite de l'occidental et c'est comme ça que vous le remerciez ?

[tompalmer]

Il n'empêche que de dire "je vais payer 100 balles un mec au bengladesh et encore je suis généreux" c'est à la fois réducteur pour lui, pour pas mal de gens qui sont sur ce topic et qui essaient de vivre de leur taf (et qui te donnent des conseils gratos), et c'est globalement une mauvaise mentalité plutôt que de te motiver à avoir les moyens de te payer un vrai dev plein pot ici dont tu seras 100% content je trouve.
My $.02..

ça n'a jamais été une question de motivation.
Simplement, te mettre dans le rouge pour faire une opération de maintenance, c'est de la mauvaise gestion. Si je peux pas, c'est que je peux pas.

L'argent ne pousse pas sur les arbres.

A moins que tu m'annonce que tu aurais pu faire tout ça pour le même prix ? Parce que moi j'ai du payer le thème + le prestataire, et ça m'a coûté déja beaucoup de ma capacité d'investissement.

Et franchement vu le nombre de gens que j'ai aidé sur ce forum sur des sujets divers, j'ai pas à rougir de ma contribution (y compris envers toi). Si tu veux me faire passer pour un profiteur cynique, je pense que c'est loupé.

Enfin, je sais pas si c'est réducteur pour lui, mais c'est son métier et c'était plus que son tarif donc je ne parlerais pas à la place des gens.
Et tu n'a pas non plus à te sentir rabaissé par cette démarche, c'est uniquement une question de coût de la vie dans ce pays vs le Bangladesh.

J'ai essayé de t'avertir gentiment dans 2 topics.
Je te le dis, le prochain coup je vais être bien moins sympa.

Au risque de te décevoir, ta sympathie m'est égale.
On peut avoir un débat de fond sur la sous traitance, mais je pense qu'on est d'accord en plus.
Je contribue quand tu veux à l'économie nationale (d'ailleurs t'as un interêt a ce que je sois en vie puisque je paye mes cotisations ici), mais quand t'as un écart de prix de 1 à 10 avec ce genre de montants, c'est pas aussi simple qu'acheter un T shirt made in France

Tsss, tompalmer participe au développement de l'économie bengalaise, et pas par de l'assistanat, mais en fournissant du travail, en évitant de traiter son prestataire avec la mansuétude hypocrite de l'occidental et c'est comme ça que vous le remerciez ?

Blague à part, je sais pas pourquoi vous vous imaginez que je l'ai maltraité (sauf si vous vous imaginez que je l'ai fouetté avec mon fouet virtuel au 1er degré )

Il est payé pour un job, il fait le job', j'ai fait tout le travail de configuration pour gagner du temps également
Politesse, notation, disponibilité .. Tout s'est bien passé quoi.
Je force personne à travailler pour moi.

[tenshu]

T'es pathétique mon gars, va faire ton chaud avec les prestataires fiver que tu exploites et bouge de ce topic.

N'hésite pas à refaire un Kickstarter pour que je te fasse un peu de pub pour voir. Remarque c'est pas comme si tu avais réussi le précédent.

[tompalmer]

Ah maintenant j'exploite des gens

Ton mépris est énorme ...
Ce que tu dis en somme, c'est qu'un tout petit entrepreneur comme moi ne devrait pas avoir accès à des prestations de développement.

Je ne sais pas quelle langue tu comprends, mais "je n'ai pas les moyens de faire travailler quelqu'un de Français sinon je crève" ça ne semble pas passer.

Je vis tout juste de ce que je fais, à quel moment je peux dépenser 1000 balles pour une maj d'un prestashop ?
Un mois de C.A, non mais.