Comment écrire un article de blog? A plusieurs reprises, j’ai reçu des messages de lecteurs me demandant des conseils autour de ce sujet.

• Comment trouver des idées?
• Comment faire le tri dans ses pensées avant de se plonger dans l’écriture?
• Est-ce que je suis un processus particulier?
• Ai-je des conseils à partager avec quelqu’un qui aimerait commencer à bloguer?

Je me souviens encore du jour où j’ai commencé ce blog, il y a près de 13 ans (au moment où j’écris ceci, je me rends compte à quel point cela sonne préhistorique). A l’époque, mon objectif initial était de publier une fois par mois sur des sujets variés liés à l’informatique, que ce soit sur des thématiques liées à mon travail, ou à des projets personnels. Si cela fonctionnait plutôt bien au début, ces derniers temps, je dois l’avouer, cela ne fonctionne pas si bien que ça. J’ai presque honte quand je regarde la date du dernier (précédent) article, il y a plus d’un an, c’est de loin la plus grosse période d’inactivité sur mon blog!

Aujourd’hui, j’ai décidé d’écrire sur ce sujet en particulier, non seulement parce que l’on m’a interrogé à plusieurs reprises à ce propos, mais aussi parce que cet article représente une étape importante pour mon blog. C’est en effet le 100ème article, et c’est l’occasion parfaite pour écrire sur un tel sujet même si c’est quelque chose d’inhabituel et non technique.

Pour être honnête, à moins que cela fasse partie d’un travail à plein temps, il faut un certain dévouement pour écrire des articles, car cela prend pas mal de temps, et je ne pense pas qu’il y ait de recette magique. L’état d’esprit de chacun fonctionne différemment, et ce qui peut fonctionner pour moi pourrait avoir l’effet inverse sur vous. Néanmoins, dans cet article, je vais essayer de décrire ma recette qui fonctionne. Du moins je l’espère, je l’ai appliquée pour écrire cet article donc vous pouvez juger de la méthode par vous-même.

L’idée

Tout commence par une idée (ça ressemble à une bande-annonce de film je sais mais c’est vrai). Une idée est une phrase courte, un ensemble de mots-clés tout au plus, qui représente un sujet particulier, ni trop spécifique, ni trop vague. Il n’y a pas de moment précis pour avoir une idée, cela peut être en travaillant, en pianotant sur son ordinateur, en marchant, en prenant une douche. Une idée pointe le bout de son nez généralement bien avant que vous ne commenciez à écrire du contenu à son sujet, mais ce n’est pas toujours vrai, et vous pourriez trouver une idée qui vous passionnera à tel point que vous allez commencer à écrire un article dans l’heure qui suit.

Personnellement, je conserve toutes mes idées sous la forme d’une liste à puces non ordonnée dans un fichier texte sur mon ordinateur. Pour vous donner une idée (oui celle-ci était facile désolé), j’ai actuellement 9 idées dans cette liste.

Tout au long de l’année, j’ai ce puits d’idées dans lequel je peux puiser pour écrire des articles. Comme je l’ai mentionné précédemment, il n’y a pas de règles lorsque vous sélectionnez une idée ; parfois j’écris un article sur une idée que je viens juste d’ajouter (cet article en fait partie), d’autres fois j’écris un article sur une idée que j’ai ajoutée il y a 3 ans. La plupart des idées que j’ai maintenant ne feront probablement jamais l’objet d’un article, il est donc normal d’en abandonner un grand nombre au fil du temps, et cela pour diverses raisons, par exemple l’idée:

• n’est pas suffisamment bonne pour faire un article intéressant ;
• n’est pas alignée avec la ligne éditoriale de mon blog, c’est-à-dire qu’elle cible un tout autre public ;
• est portée sur un sujet niche trop spécialisé ;
• ou, au contraire, concerne un sujet archi connu et déjà couvert par de nombreux blogueurs.

Contenu brut

Une fois que j’ai sélectionné l’idée, je trouve 1 ou 2 heures dans mon agenda et je commence à écrire. J’ai besoin d’un temps de concentration maximum, et si je peux j’évite de faire des pauses pour limiter toutes coupures et autres distractions. Ici, je parle d’écrire du contenu pur, une version vraiment brute de décoffrage, tout ce qu’il peut me passer par la tête quand je pense à cette idée, ça peut être sous forme de phrases complètes, de listes à puces, de quelques liens ou une description textuelle des futurs images ou schémas que je souhaiterais inclure, etc.

Cela dépend de l’idée, mais s’il s’agit d’une idée très technique, je peux aussi faire une préparation préalable et utiliser des notes prises précédemment, par ex. il peut s’agir de quelques lignes de code ou d’autres exemples de programmation. Je peux également faire des recherches supplémentaires sur Internet pour savoir s’il y a autre chose auquel je n’ai pas pensé. Ce n’est pas une mauvaise chose de s’inspirer d’autres sources, bien sûr tant que vous ne paraphrasez pas ou ne faites pas de plagiat!

A ce stade, je ne fais pas attention ni à l’orthographe, ni aux fautes de frappe et autres fautes de grammaire, j’écris littéralement ce qui me passe par la tête et que je ne voudrais pas oublier. J’utilise un simple éditeur de texte plutôt que d’utiliser l’éditeur de blog en ligne afin d’éviter toute distraction.

Cela ne vous concerne peut-être pas, mais comme mon blog est bilingue, avec un contenu disponible en français et en anglais, je dois aussi décider dans quelle langue je vais écrire en premier. Selon moi, je ne pense pas qu’il soit très efficace d’écrire dans les deux langues en parallèle, et je préfère me concentrer sur une seule à la fois en laissant la traduction à la fin. La plupart du temps et même si le français est ma langue maternelle, j’écris d’abord en anglais. La raison principale est que je risquerais d’écrire des phrases trop complexes en français qui seront difficilement traduisibles en anglais, une autre raison est le fait que je travaille dans le secteur des technologies dans un environnement anglais, donc cette langue est tout simplement plus naturelle (je n’aurais jamais pensé écrire ça un jour!).

Réviser, Améliorer, Peaufiner, Répéter

Maintenant que j’ai couché sur papier (numérique) toutes les informations associées à mon idée, on pourrait penser que je suis à peu près à 60% du processus d’écriture. Malheureusement, c’est loin d’être le cas, et de façon réaliste, je dirais que je n’ai fait qu’environ 30%.

C’est à ce moment qu’entre en piste un processus itératif de révision et d’amélioration, plutôt long et fastidieux. C’est l’étape la plus longue de la rédaction d’un article, mais aussi la plus importante, c’est là que la structure de l’article va prendre forme. Je réorganise mes pensées de manière logique afin que le contenu soit facile à lire et à suivre pour mes lecteurs. Les retours à la ligne, les paragraphes, les sections, les titres et les sous-titres apparaîtront naturellement au fil des révisions. Il est tout à fait acceptable de supprimer une section si vous réalisez qu’elle ne s’intègre pas avec le reste, ou de développer une section si certains détails ont été omis, ou même de réécrire des pans entiers de texte.

Il est important d’adapter le ton de voix et de le garder cohérent à travers tous vos articles. Si c’est votre propre blog, c’est quelque chose auquel vous ne penserez sûrement pas, mais imaginez que vous écrivez un article dans un blog d’une revue scientifique dont le contenu est écrit par plusieurs auteurs, écrire une blague est probablement la dernière chose que vous voudriez faire…

A noter que j’arrête d’utiliser le simple éditeur de texte au profit de l’éditeur de blog en ligne, ainsi je peux donc utiliser le mode aperçu et voir le rendu final de l’article. C’est important, car cette étape ne se concentre plus uniquement sur le texte, mais je pense aussi aux images que j’aimerais intégrer, aux liens que j’aimerais inclure et à la mise en forme que j’aimerais appliquer.

Le Visuel

Lorsque vous ajoutez des images, n’en faites pas trop. Non seulement l’ajout d’images aura un impact non négligeable sur la bande passante, mais pourra également causer une certaine distraction pour vos lecteurs. Dans la plupart des cas, une image en haut de l’article suffira.

Pour rechercher l’image parfaite et si vous n’êtes pas satisfait de vos propres photos, vous pourriez être tenté d’utiliser Google Images, mais il existe bien d’autres ressources disponibles, qui vous éviteront notamment toute forme de violation du droit d’auteur.

• Unsplash
• Pexels
• The Noun Project

Peut-être devez-vous créer un diagramme ou un schéma? Personnellement, j’utilise PowerPoint, ce n’est peut-être pas le meilleur outil, mais il a un rendu que j’apprécie et je suis très familier avec la suite Office. Au cas où j’aurais besoin de générer un schéma plus technique, j’utilise également PlantUML. Cela dépendra vraiment de ce sur quoi vous écrivez et de votre domaine d’expertise, bref, choisissez l’outil que vous préférez!

Liens

Lorsque vous ajoutez des liens, n’en faites pas trop. Le lien est l’outil fondamental pour naviguer sur Internet, il aide à référencer les sites Web incluant le vôtre, mais l’ajout de nombreux liens pourrait être distrayant et votre lecteur pourrait finir par penser que vous faites de la publicité plutôt que de fournir du contenu informatif.

Lorsque vous ajoutez des liens, assurez-vous qu’ils ont tous une utilité. Aident-ils le lecteur à obtenir plus de contexte? Permettent-ils au lecteur d’accéder à un outil que vous avez mentionné? Il est très important d’étiqueter correctement votre lien et de ne pas utiliser le typique « cliquez ici » qui ne contient aucun contexte.

A l’inverse, ce n’est pas la fin du monde si votre article ne contient aucun lien ou seulement quelques-uns. Cependant, je suggérerais d’avoir au moins une section en bas de l’article avec une liste de liens utiles. Cela peut être à titre de référence (c’est aussi une façon de remercier les auteurs dont vous vous êtes peut-être inspiré), mais cela peut également être utile si le lecteur souhaite aller plus loin sur le sujet.

Mise en page

Lorsque vous ajoutez la mise en forme, n’en faites pas trop. La cohérence et la simplicité sont des concepts clés.

Vous pouvez utiliser plusieurs niveaux pour différencier les titres principaux des sous-titres. Personnellement, je me limite à 2 niveaux maximum. Si vous avez besoin de plus, votre article est peut-être trop complexe et il faudrait peut-être envisager de le décomposer en une série d’articles.

En général, espacez votre texte et évitez les phrases longues et complexes qui ont tendance à générer des pavés. Utilisez des listes à puces quand cela a du sens, pas partout.

Certaines mises en forme de texte mineures comme le gras et l’italique peuvent être utiles, mais à utiliser avec parcimonie.

• Le gras peut souligner une idée et attirer l’attention du lecteur.
• L’italique peut être utilisé pour introduire un terme technique ou pour citer un texte.

Dernière Revue

A ce stade, il est primordial d’utiliser le mode aperçu de votre éditeur de blog, ainsi vous pourrez vérifier qu’il n’y a pas de liens cassés, que les images sont rendues correctement au bon endroit dans les bonnes dimensions, que la mise en forme et l’espacement fonctionnent comme prévu, etc.

Je dois admettre que j’utilise Word pour la vérification de mon orthographe et grammaire, je copie le contenu complet dans un document Word, puis je répercute les éventuelles corrections suggérées dans l’article. Un outil plus sophistiqué comme Grammarly ou Antidote peut également être une aide précieuse, ces outils s’intègrent directement dans votre navigateur donc vous n’aurez même pas besoin de transférer le contenu.

Si vous connaissez quelqu’un prêt à vous aider et relire votre article, cela peut être un collègue, un ami ou un membre de votre famille, demandez-lui! Il est toujours bon d’avoir des yeux supplémentaires sur votre travail. Personnellement, je saute cette étape et fais ma propre revue. Mais faire comme moi peut être légèrement risqué, surtout si vous publiez au nom de votre entreprise par exemple. Je suis à peu près sûr d’avoir de nombreux articles publiés avec des fautes, c’est particulièrement vrai dans la version anglaise de mes anciens articles (j’espère que mon anglais s’est amélioré depuis). Encore une fois, ce n’est pas la fin du monde, surtout si cela se produit sur un blog personnel, vous avez déjà pris du temps pour écrire et partager vos connaissances, et votre lecteur ne vous jugera pas pour cela.

Comme le titre l’indique, il s’agit d’une dernière revue, alors ne révisez pas encore et encore. Je sais qu’il peut être tentant d’améliorer à nouveau votre texte. Je pense que ça peut être mieux comme ça. Je pense que je suis allé trop dans les détails dans cette partie et pas assez dans celle-là. La formulation n’est pas super ici. Et si j’utilisais cette phrase à la place? Soyons honnêtes, il y a peu de chance que vous soyez pleinement satisfait.

Puisque vous avez déjà passé plusieurs heures sur votre article, il est temps de lâcher prise et de cliquer sur le bouton de publication! Ah, enfin, n’oubliez pas de trouver un bon titre, il doit être court, accrocheur et véhiculer l’idée principale de votre article.

Traduction facultative

Dans mon cas, je n’ai pas encore fini, je dois aussi traduire l’article en français avant de publier.

Bien que le français soit ma langue maternelle, je prends des raccourcis pour accélérer le processus de traduction et j’utilise Google Translate. Je peux donc partir d’une base et d’un texte déjà traduit que je peux ensuite relire, reformuler quelques phrases ici et là. La traduction automatique n’est pas parfaite, mais je dois dire qu’elle est plutôt bonne, je dirais qu’environ 70% du contenu est généralement laissé intact ou avec des modifications mineures.

A moins que je doive recréer quelques schémas en français, la traduction est probablement la partie la plus rapide à faire, puisque je garde les mêmes images, le texte et la mise en forme, et le français est évidemment plus facile pour moi…

Bon blog!

The article Comment écrire un article de blog? En tout cas à ma façon! was written by Fabian Piau.

Dans un article récent, Security Magazine a déclaré que 1,3 milliard attaques de robots ont été détectées au troisième trimestre 2020. Ce n’est pas une surprise. Nous ne sommes pas seuls. Vous n’êtes pas seul.

L’année dernière, l’équipe Opex Excellence d’Expedia Group a passé en revue tous les incidents survenus en production ayant impacté le site Hotels.com. Nous avons couvert une période de 12 mois et nous avons identifié les attaques de robots comme étant l’une des menaces les plus importantes.

Anything that can go wrong will go wrong — Murphy’s law

Dans cet article, je vais définir et expliquer ce que sont les robots et les attaques de robots. J’espère que cela vous permettra d’acquérir des connaissances pour mieux comprendre cette menace qui plane sur votre site web, afin que vous puissiez mettre en place un ensemble de stratégies et solutions pour prévenir et atténuer l’impact d’une attaque si vous y êtes confronté.

Know the enemy and know yourself, in a hundred battles you will never be in peril — Sun Tzu, The Art of War

Qu’est ce qu’une attaque de robots?

Le premier type d’attaque de robots qui vient généralement à l’esprit est l’attaque de type déni de service (Denial of Service – DoS) ou DDoS (lorsqu’elle est distribuée). Une attaque DDoS affecte généralement l’ensemble du site, les erreurs se produisant en cascade, rendant le site indisponible. L’attaquant envoie un grand nombre de requêtes (par exemple, en effectuant simultanément une énorme quantité de requêtes GET / POST sur des URLs aléatoires) afin de surcharger les services sous-jacents à tel point qu’ils ne peuvent plus gérer le trafic. Les services commencent à répondre aux requêtes avec des réponses en timeout ou en erreur. Evidemment, cela affecte également les requêtes venant de clients légitimes – dans notre cas, des clients qui tentent de réserver leur séjour à l’hôtel.

Un autre type d’attaque, légèrement plus ciblé, est une attaque de type scraping. Un robot d’exploration (crawler) peut scanner différentes pages afin d’extraire des informations spécifiques. Ceci est également connu sous le nom de data scraping. Ces robots ciblent généralement vos données d’inventaire, par exemple tous les détails des hôtels avec les informations de contact, ou les différents prix pour des dates spécifiques. Parfois, il peut même s’agir de l’intégralité du contenu de certaines pages de votre site web, afin de les reproduire à l’identique pour préparer une attaque de phishing.

Dans l’idéal, l’attaquant ne veut pas être vu quand il scanne et récupère des informations. Bien souvent, il essaiera de dissimuler ses traces en attaquant sur une plus longue durée, par exemple sur plusieurs jours pour éviter une augmentation du trafic soudaine qui pourrait déclencher une alerte et une investigation du côté de la victime. A moins que l’attaque ne soit sophistiquée et ne provienne de différentes machines, elle est en général assez facile à identifier lorsqu’il y a un nombre anormalement élevé de requêtes provenant de la même adresse IP (ou plage d’adresses IP) au niveau Edge. Je donnerai plus de détails sur le niveau Edge dans la partie suivante.

Si les attaques de type DoS et scraping ont une portée étendue, dans le sens où elles s’attaquent à des pans entiers du site, nous constatons également des attaques chirurgicales ciblant des pages et fonctionnalités spécifiques.

Les attaques spécialisées sont bien plus précises et ciblent généralement une page ou une fonctionnalité spécifique de votre site. Voici quelques cas réels auxquels nous avons été confrontés:

• Une attaque sur la page de réservation, lorsque l’attaquant tente de trouver des coupons en générant et en essayant plusieurs codes, en espérant pouvoir trouver et exploiter un pattern. Cette attaque utilise la force brute.
• Une attaque sur la page de connexion, lorsque l’attaquant tente plusieurs combinaisons de login et de mot de passe. L’idée est d’avoir accès aux comptes utilisateurs et aux données confidentielles, ou ce que nous appelons Account Take Over (ATO). Cela utilise également la force brute.
• Une attaque sur la page de l’application mobile, lorsque l’attaquant tente d’envoyer un grand nombre de SMS à des numéros de téléphone aléatoires ou faux. Il est assez courant de nos jours d’inviter les utilisateurs à télécharger une application sur leur appareil mobile en envoyant un SMS contenant le lien vers l’application sur l’App Store. Le site web ciblé finira par payer de l’argent, car le service de messagerie est généralement géré par un fournisseur tiers et chaque SMS envoyé a un coût.

Générale ou spécifique, une attaque peut être basique ou sophistiquée. Un exemple d’attaque basique est une personne qui essaie désespérément de trouver un code de réduction en envoyant des dizaines de requêtes à un service de coupons. Les attaques de base sont difficiles à repérer, mais faciles à bloquer: vous pouvez bloquer l’adresse IP avec une règle WAF (Web Application Firewall). Le risque reste faible.

Et il y a les attaques sophistiquées, elles peuvent être distribuées et étendues sur des milliers de machines situées dans différents pays et utilisant des technologies de script avancées, comme un navigateur headless. Le niveau d’impact et de risque est beaucoup plus élevé, mais ils sont évidemment plus faciles à repérer comme elles sont associées à une montée en charge soudaine du trafic.

Doit-on bloquer tous les robots?

Evidemment non! Tous les robots ne sont pas mauvais, certains sont même bienveillants.

• Il existe les robots d’exploration (spider et crawler bots) des moteurs de recherche populaires tels que Google Search ou Microsoft Bing. Si vous les bloquez, l’indexation du site sera fortement impactée, le trafic légitime se dégradera avec le temps et la popularité du site diminuera.
• Il existe également les robots commerciaux (ad bots, par exemple, le robot Google AdSense), pour proposer des publicités personnalisées aux utilisateurs, y compris les publicités pour votre propre site.
• Il y a les robots de données (data bots) comme les agrégateurs de contenu et de flux, et il y a aussi le robot archiveur qui construit la plus grande archive Internet.
• Il existe aussi les robots de copyright, qui traquent plagiat et vol de propriété intellectuelle. Vous avez peut-être rencontré l’un d’entre eux si vous avez essayé d’uploader une vidéo sur YouTube avec votre musique préférée en arrière-plan. Vous réalisez alors rapidement que Google l’a supprimée, en vous rappelant poliment que vous ne pouvez utiliser aucun contenu protégé.
• Il existe également des robots de surveillance pour vous assurer que votre site est en bonne santé et vous signaler quand ce n’est pas le cas. Par exemple, Akamai, Datadog, etc. utilisent des robots pour s’assurer que votre site répond correctement.

Vous ne devez bloquer aucun de ces robots, car ils ne sont pas mauvais, et généralement ils ne sont pas agressifs, et en plus ils contribuent à Internet. Néanmoins, si vous pensez que votre trafic légitime en souffre, au lieu de les bloquer, il est préférable de mettre en place une stratégie de limitation de débit pour atténuer leur impact. Plus de détails à ce sujet dans la partie suivante à propos du niveau Edge.

Si tous ces robots sont des tiers, vous pouvez parfois avoir votre propre robot. Dans notre cas, un robot interne vérifie régulièrement les pages de destination pour s’assurer qu’il n’y a pas de liens morts ou de redirections inutiles. Nous ne voulons donc certainement pas le bloquer!

Que faire contre les attaques?

Nous pouvons empêcher les attaques au niveau Edge et les atténuer au niveau Applicatif.

Utilisation du fichier robots.txt

La première chose qui peut vous venir à l’esprit lorsque vous souhaitez manipuler des robots est le fichier robots.txt. Il est présent sur chaque site web et il existe depuis des lustres. Il s’agit d’un fichier texte accessible publiquement à la racine de votre site. Il spécifie les règles pour tous les robots accédant à votre site. Ces règles définissent les pages que les robots peuvent et ne peuvent pas explorer, et quels liens ils doivent et ne doivent pas suivre.

Les robots bienveillants suivront ces règles. Par exemple, si un propriétaire de site web ne souhaite pas qu’une certaine page de son site apparaisse dans les résultats de recherche Google, il peut écrire une règle pour celle-ci, et le robot d’exploration de Google n’indexera pas cette page. Bien que le fichier robots.txt ne puisse pas appliquer ces règles lui-même, les robots bienveillants sont programmés pour rechercher ce fichier et suivre les règles avant de faire quoi que ce soit d’autre. Cela se base sur un code d’honneur en quelque sorte.

Les mauvais robots malveillants ne suivront évidemment aucune de vos règles. Au contraire, ils le liront souvent pour savoir quel contenu un site tente de leur interdire, puis accéderont à ce contenu. Ainsi, la gestion des robots nécessite une approche plus active que la simple définition des règles de comportement des robots dans le fichier robots.txt. C’est ce que nous allons voir dans la partie suivante.

Le fichier robots.txt peut également être utilisé comme un piège, en exposant un leurre qui permet d’exposer les robots malveillants. Le leurre peut être une page du site interdite aux robots par le fichier robots.txt. Les robots bienveillants liront le fichier robots.txt et éviteront cette page, alors que les mauvais robots exploreront cette page. En suivant les informations des robots qui accèdent à cette page piégée, les robots malveillants peuvent être identifiés et bloqués. Source: Cloudflare

Gestion avancée des robots

Le principal rempart contre les mauvais robots est la gestion des robots au niveau Edge. Cette défense est beaucoup plus avancée que le fichier robots.txt. J’ai pris cette liste sur Cloudflare mais les fonctionnalités seront similaires pour tout autre outil Edge:

• Différencie les robots par rapport aux visiteurs humains (à l’aide de l’analyse comportementale et potentiellement de l’apprentissage automatique)
• Calcule la réputation des robots
• Identifie les adresses IP d’origine des robots et les bloque en fonction de la réputation IP
• Analyse le comportement des robots
• Ajoute les robots bienveillants aux listes d’autorisation
• Ajoute les robots malveillants aux listes de blocage
• Challenge les robots potentiels via un test CAPTCHA, une injection JavaScript ou d’autres méthodes
• Limite le taux de requêtes d’un robot potentiel sur-utilisant un service
• Ralentit les requêtes de robot, également connu sous le nom de ‘Tarpitting’ (voir la définition ci-dessous)
• Refuse l’accès à certains contenus ou ressource pour les robots malveillants
• Diffuse du contenu alternatif ou mis en cache aux robots

‘Tarpitting’ est une fonctionnalité intéressante. Cela signifie ajouter un délai artificiel à la requête. C’est généralement bien plus efficace que le blocage, car le robot ne saura pas qu’il a été découvert, mais l’attaque ralentira considérablement car moins de requêtes atteindront le niveau Applicatif, car elles pourraient expirer au niveau Edge. La limitation de débit peut également être une autre bonne stratégie que vous voudriez peut-être envisager.

Lorsque vous choisissez un gestionnaire de robot avancé, vous pouvez utiliser un fournisseur tiers populaire tel que Akamai ou Cloudflare.

Pros

• Aucun impact sur le code de l’application.
• Une règle de robot est relativement rapide à déployer avec un effet immédiat.

Cons

• La plupart des inconvénients résident dans le fait que ce sont des outils tiers.
• Il y a un coût de licence.
• Les règles de robot ne peuvent être définies que par rapport à des paramètres génériques tels que le user-agent, l’adresse IP, l’URL, etc.
• Ils impliquent parfois un processus d’approbation lourd, par ex. l’ajout d’une nouvelle règle nécessitera des personnes extérieures à l’entreprise ainsi que des personnes internes disposant d’une autorisation spéciale.
• Une nouvelle règle peut avoir des effets secondaires. A moins de bloquer une adresse IP unique, il est très difficile d’être sûr que cela ne bloquera aucun trafic légitime.
• La gestion des règles peut être fastidieuse au fil du temps.
• Accès et visibilité partiels pour les équipes applicatives.

La plupart des inconvénients peuvent être contournés si vous utilisez votre propre outil Edge interne. C’est particulièrement intéressant lorsqu’il est utilisé en supplément d’un outil Edge tiers. C’est un investissement lourd et toutes les entreprises ne pourront pas se le permettre, mais cela donnera beaucoup plus de flexibilité et ouvrira des possibilités.

• Possibilité de définir des règles fonctionnelles liées à votre business.
• Possibilité d’ajouter une règle temporaire ponctuelle pour atténuer une attaque que vous pouvez supprimer peu de temps après la fin de l’attaque.
• Possibilité de centraliser la surveillance Edge et de mettre les informations à la disposition de chaque équipe.

Hiérarchisation du trafic

L’idée ici n’est pas de remplacer votre outil Edge principal, mais d’ajouter une logique de priorisation des robots après ce premier rempart. Un tel outil agira comme une file d’attente de hiérarchisation afin que les requêtes de robot à faible valeur soient dépriorisées en faveur des requêtes d’utilisateurs réels qui ont une valeur commerciale plus élevée, avec une réservation potentielle dans notre cas.

Requêtes des utilisateurs > Requêtes des robots internes > Requêtes des robots bienveillants externes

Netflix applique des concepts similaires que vous pouvez lire dans Keeping Netflix Reliable Using Prioritized Load Shedding (en anglais).

Mise en cache

Nous avons parlé de gestion de robot, mais il y a autre chose que la couche Edge peut vous fournir, à savoir la possibilité de mettre en cache le contenu. Nous référons généralement cela à un Content Delivery Network (CDN). L’idée est de proposer des pages mises en cache aux robots bienveillants plutôt que de générer de nouvelles pages.

Nous avons fait des expérimentations l’année dernière et cela a considérablement réduit le trafic vers certains de nos services Backend sans affecter le référencement du site. Cette année, nous cherchons à généraliser cette approche.

Atténuation au niveau applicatif

La gestion des robots au niveau de l’application signifie qu’une attaque de robots a pu passer entre les mailles du filet au-delà du niveau de protection supérieur fourni par l’Edge.

Les solutions dont nous disposons à ce niveau ne sont que des solutions d’atténuation afin d’être proactif et de réduire au maximum les conséquences d’une attaque.

Malheureusement nous savons que cela va arriver tôt ou tard, et même plusieurs fois, nous devons donc nous y préparer. Heureusement, ce que nous savons, c’est que les attaques de robots ne durent pas éternellement. Une attaque sophistiquée coûte une quantité importante de ressources à l’attaquant, et comme les ressources coûtent de l’argent. Tant que nous faisons en sorte que l’attaquant dépense plus de valeur qu’il n’en obtient, nous sommes certains que l’attaque se stoppera d’elle-même.

Il y a différentes actions que nous pouvons entreprendre, pour la plupart il s’agit de bonnes pratiques…

• Tout d’abord, lors du coding de l’application, il faut éviter d’avoir un code de grande complexité, de bloquer des threads, etc. Une bonne idée est de séparer les ports d’application et de gestion. Si vous utilisez le même port, en cas d’attaque de robots, le service sera tellement surchargé qu’il ne pourra pas répondre aux healthchecks et votre plate-forme d’infrastructure pensera que le service est défectueux. Même si cela ne résout pas tous vos problèmes, le fait d’avoir un port distinct peut atténuer ce problème.
• Avoir un état d’esprit chaotique (chaos engineering) est important. Pour les services critiques, assurez-vous d’avoir des tests de charge et de stress en place dans votre pipeline. Cela permet de garantir que vos services sont suffisamment résilients et que vous avez identifié des fuites de mémoire potentielles dans votre code, des goulots d’étranglement atteignant les services en aval ou les sources de données. En cas de problème, vous souhaitez toujours fournir une réponse dégradée pour atténuer l’impact sur le client. Vous pouvez également mettre en place un mécanisme de mise en cache.
• Assurez-vous de tirer parti de votre infrastructure. Si vous utilisez Kubernetes, vous pouvez jeter un oeil à l’autoscaling. Soyez vigilant lorsque vous l’activez. Assurez-vous que la configuration du service est bien pensée et conforme à ses dépendances. En effet, configurer un nombre élevé de pods et considérer le travail terminé sera une erreur, car vous partagerez également la charge avec vos dépendances en aval et, si elles ne sont pas préparées pour cela, vous déplacerez fondamentalement le goulot d’étranglement plus profondément dans la pile sans le résoudre. Cela peut également vous coûter plus cher si votre infrastructure est hébergée sur un fournisseur de cloud comme AWS. Assurez-vous également que vos pods sont prêts à recevoir du trafic une fois qu’ils sont exposés à l’attaque. Une warm up routine comme Mittens pourra être utile, en particulier pour les applications qui mettent du temps à démarrer.

Il existe également d’autres stratégies au niveau applicatif qui ne sont pas liées à la configuration et à l’infrastructure. Certaines reproduisent ce que l’on trouve avec une solution de gestion de robot au niveau Edge:

• Mécanisme Captcha. Une méthode courante consiste à afficher un captcha à l’utilisateur s’il y a trop de tentatives, ou à cibler les attaques liées aux comptes utilisateurs.
• Mécanisme d’authentification. Si vos API sont publiques, vous pouvez ajouter une authentification, simple comme ‘Basic Auth’ ou plus complexe comme ‘CSRF Token’. Mais vous devez être conscient que cela ajoutera de la complexité à votre système et que vous devez donc trouver un équilibre, par exemple, demandez-vous si les informations exposées par votre API sont suffisamment sensibles pour être protégées.
• Mécanisme de mise en cache, de blocage et de limitation du débit. Cela peut être assez complexe à réaliser et à maintenir, en particulier dans une architecture micro-service, mais je préfère le mentionner, car cela pourrait être une solution potentielle si vous n’avez pas d’outil Edge ou si vous travaillez sur une application monolithique.

Observabilité, Surveillance et Alerte

Enfin, il est très important que vous ayez une observabilité appropriée en place sur votre site. Toutes les attaques de robots qui deviennent suffisamment sérieuses et commencent à exercer une forte pression sur votre système devraient déclencher automatiquement un ensemble d’alertes.

Au niveau Edge:

• Alerte sur les règles de robots lorsqu’une règle créée récemment bloque trop de trafic ou, au contraire, lorsqu’une règle n’a bloqué aucun trafic au cours des ‘n’ derniers mois et peut être réexaminée pour une éventuelle suppression.
• Alerte lorsque le trafic du robot (bon ou mauvais) est beaucoup plus élevé que d’habitude.

Au niveau des applications et de l’infrastructure:

• Alerte sur l’auto-scaling et le nombre d’instances. Par exemple, quand Kubernetes ajoute 5 nouveaux pods au cours des 5 dernières minutes et que ce n’est pas Black Friday, il y a probablement quelque chose de louche…
• Alerte sur le temps et le statut des réponses lorsque le service commence à répondre lentement et/ou avec des erreurs. Je vous recommande de lire Creating Monitoring Dashboards (en anglais), qui couvre tout ce que vous devez savoir sur le monitoring.
• Vous pouvez également configurer certaines alertes au niveau des logs. Cela peut être utile si vous n’exposez pas certaines métriques dans votre application et si vous utilisez un outil avancé de gestion de logs comme Splunk.

Le mot de la fin

J’espère que cet article vous a été utile et que vous avez maintenant une meilleure connaissance des robots et des attaques qu’ils peuvent impliquer.

Je n’ai discuté d’aucune solution miracle ici, car il n’existe pas un outil anti-robot parfait pour tout le monde. Mais il y a toujours place à l’amélioration pour prévenir et atténuer les attaques de robots.

Ah… Et bonne chance pour la prochaine attaque!

The article Attaques de robots: vous n’êtes pas seul… was written by Fabian Piau.

Cet article est le troisième de la série consacrée à Flagger. En bref, Flagger est un outil de livraison progressive qui automatise le processus de livraison des applications s’exécutant sur Kubernetes. Il réduit le risque d’introduire une nouvelle version logicielle en production en augmentant progressivement le trafic vers la nouvelle version tout en mesurant les métriques et en exécutant des tests de conformité.

Assurez-vous d’avoir un cluster Kubernetes avec le service mesh Istio qui tourne sur votre machine en local. Sinon, lisez le premier article: Flagger – Premiers pas avec Istio et Kubernetes. Vous devez également vous familiariser avec Flagger et MHS, vous trouverez tous les détails dans le second article: Flagger – Déploiements Canary sur Kubernetes.

Dans ce troisième tutoriel, nous nous concentrerons sur l’installation de Grafana pour Flagger et sur la façon dont vous pouvez surveiller vos déploiements Canary sans avoir à utiliser Kubernetes (c’est-à-dire en vous passant du Kube dashboard ou l’outil de ligne de commande kubectl).

Installation de Grafana

Flagger fournit un tableau de bord Grafana prêt à l’emploi pour monitorer tous les déploiements Canary dans votre cluster.

Installons Grafana en exécutant cette commande. Nous installons Grafana dans le namespace istio-system.

Référence: Monitorer Flagger
Flagger dépend des métriques fournies par Istio et de Prometheus (dans notre cas, nous supposons qu’Istio est installé dans le namespace istio-system).

Après quelques secondes, vous devriez recevoir une confirmation que Grafana pour Flagger a bien été installé. Depuis le Kube dashboard, vérifiez que le pod Flagger Grafana est présent et a démarré dans istio-system.

Grafana pour Flagger est déployé dans votre cluster

Pour exposer Grafana, exécutez:

Vous pouvez ainsi y accéder avec votre navigateur à l’adresse http://localhost:3000/d/flagger-istio/istio-canary. Utilisez l’identifiant et le mot de passe que vous avez spécifiés auparavant (admin / changeme).

Notez que, lorsque nous utilisons Istio, nous utilisons le tableau de bord Istio Canary. Il existe d’autres tableaux de bord disponibles car Flagger est compatible avec d’autres service mesh.

Exécution de déploiements Canary

Si vous avez suivi l’article précédent, assurez-vous de sélectionner application pour Namespace et d’associer mhs-primary à Primary et mhs à Canary.

Ensuite, réessayez les différentes expériences que nous avions réalisées dans l’article précédent et surveiller le tableau de bord Grafana en même temps, en particulier:

• Expérience 1 – Déploiement réussi de MHS v1.1.2
• Expérience 2 – Déploiement en échec de MHS version v1.1.3

Résultats

Jetez un oeil à cette capture d’écran que j’ai prise lors de l’expérience 1 lorsque le déploiement Canary s’est bien déroulé et que la nouvelle version a été déployée. J’ai annoté et ajouté des explications à la capture, il est donc plus facile de comprendre les graphiques.

Un déploiement Canary réussi

Et voici une capture d’écran similaire pour l’expérience 2 lorsque le déploiement Canary n’a pas réussi et que la nouvelle version n’a pas été déployée.

Un déploiement Canary non réussi

Félicitations, vous êtes arrivé à la fin de ce troisième tutoriel!

Nettoyage des ressources

Vous pouvez supprimer l’application MHS et son namespace. Nous pouvons aussi supprimer Istio et Flagger car c’est le dernier article de cette série.

Vous pouvez aussi arrêter le cluster Kubernetes en décochant la case et redémarrant Docker Desktop.

The article Flagger – Monitorer vos déploiements Canary avec Grafana was written by Fabian Piau.

Cet article est le deuxième de la série consacrée à Flagger. En bref, Flagger est un outil de livraison progressive qui automatise le processus de livraison des applications s’exécutant sur Kubernetes. Il réduit le risque d’introduire une nouvelle version logicielle en production en augmentant progressivement le trafic vers la nouvelle version tout en mesurant les métriques et en exécutant des tests de conformité.

Assurez-vous d’avoir un cluster Kubernetes avec le service mesh Istio qui tourne sur votre machine en local. Sinon, lisez le premier article: Flagger – Premiers pas avec Istio et Kubernetes.

Dans ce deuxième tutoriel, nous nous concentrerons sur l’installation de Flagger et lancerons plusieurs déploiements canary de l’application Mirror HTTP Server (MHS). N’oubliez pas que cette application très simple peut simuler des réponses valides ou invalides en fonction de la requête en entrée. C’est exactement ce dont nous avons besoin pour tester les capacités de Flagger. Nous couvrirons à la fois les scénarios type « happy path » (rollout) et « unhappy path » (rollback).

Installation de Flagger

Installons Flagger en exécutant ces commandes.

Nous installons Flagger dans son propre namespace flagger-system.

Référence: Installation de Flagger sur Kubernetes
Flagger dépend des métriques fournies par Istio et de Prometheus (dans notre cas, nous supposons qu’Istio est installé dans le namespace istio-system).
Tous les paramètres d’installation sont disponibles dans le fichier readme de Flagger sur GitHub.
Nous ne spécifions pas le numéro de version, ce qui signifie que l’on utilisera la dernière version disponible dans le repository (1.2.0 lorsque j’écris cet article).

Après quelques secondes, vous devriez recevoir un message confirmant que Flagger a été installé. Depuis le Kube dashboard, vérifiez qu’un nouveau namespace flagger-system a bien été créé et que le pod Flagger est en cours d’exécution.

Flagger est déployé dans votre cluster

Expérience 0 – Initialisation avec le déploiement canary de MHS v1.1.1

Mirror HTTP Server est disponible en plusieurs versions. Pour tester la fonctionnalité de déploiement canary de Flagger, nous basculerons entre la version 1.1.1, 1.1.2 et 1.1.3 de MHS (la dernière version lorsque j’écris cet article).

Avant de déployer MHS, créons un nouveau namespace application, nous ne voulons pas utiliser celui par défaut à la racine du cluster (c’est une bonne pratique). Le nom est un peu trop générique, mais suffisant pour ce tutoriel, en général vous utiliserez le nom de l’équipe ou le nom d’un regroupement de fonctionnalités.

N’oublions pas d’activer Istio sur ce nouveau namespace:

Pour déployer MHS via Flagger, j’ai créé un Helm chart.

Ce chart de « type canary » a été créé en se basant sur le chart précédent sans Flagger qui lui-même avait été créé avec la commande helm create mhs-chart, puis adapté. Dans ce chart de « type canary », j’ai fait quelques ajustements supplémentaires pour utiliser 2 répliquas au lieu de 1 pour rendre le déploiement plus réaliste et utiliser la version 1.1.1, j’ai également ajouté la ressource canary où la magie opère.

Clonez le repo contenant le chart:

Et installez MHS:

Après quelques instants, si vous regardez le tableau de bord, vous devriez voir 2 répliquas de MHS dans le namespace application.

MHS 1.1.1 est déployé dans votre cluster

Il est important de noter qu’aucune analyse canary n’a été effectuée et que la version a été automatiquement promue. Ce n’était pas un « vrai » déploiement canary.
Pourquoi? Parce que Flagger a besoin de s’initialiser la première fois que nous faisons un déploiement canary de l’application. Assurez-vous donc que la version que vous déployez avec Flagger la première fois est entièrement testée et fonctionne bien!
Vous pouvez également penser que cette promotion automatique s’est produite, car il n’y avait pas de version initiale de l’application dans le cluster. Bien que ce soit évidemment une bonne raison, il est important de noter que, même si nous avions une version précédente auparavant (par exemple 1.1.0), la version canary 1.1.1 aurait aussi été automatiquement promue sans analyse.

Vous pouvez quand même consulter les événements canary avec:

Vous devriez avoir une sortie similaire sans analyse canary:

Ou vous pouvez également consulter directement les logs de Flagger:

Si vous regardez de plus près le tableau de bord Kube, vous devriez voir plusieurs ressources mhs et mhs-primary:

• mhs-primary sont les instances principales (c.-à-d. non canary). Flagger ajoute automatiquement le suffixe -primary pour les différencier des instances canary.
• mhs sont les instances canary. Elles n’existent que pendant le déploiement et disparaîtront une fois le déploiement canary terminé. C’est pourquoi, dans la capture d’écran ci-dessus, vous ne voyez pas de pod mhs canary (c.-à-d. 0/0 pod).

Pourquoi cette convention de nommage? J’ai demandé directement à l’équipe de Flagger et il y a une contrainte technique.

Flagger est maintenant correctement initialisé et MHS est déployé sur votre cluster. Vous pouvez utiliser le terminal pour confirmer que MHS est accessible (grâce à la Passerelle Istio):

Vous devriez recevoir une réponse HTTP 200 OK:

Et:

devrait retourner une réponse HTTP 500:

Expérience 1 – Déploiement canary de MHS v1.1.2

Nous allons installer une version plus récente 1.1.2. Vous devez éditer manuellement le fichier mhs-canary-chart/mhs/values.yaml et remplacer tag: 1.1.1 par tag: 1.1.2 (cette ligne).

Ensuite:

Alors que le déploiement canary est en cours, il est très important de générer du trafic vers MHS. Sans trafic, Flagger considérera que quelque chose s’est mal passé avec la nouvelle version et fera un rollback automatique pour retourner à la précédente version. Evidemment, vous n’aurez pas besoin de cette étape supplémentaire dans un environnement de production qui reçoit en permanence du trafic réel.

Exécutez cette commande dans un autre terminal pour générer ce trafic artificiel:

Vérifiez le Kube dashboard, vous devriez voir le pod canary avec la nouvelle version 1.1.2 à un moment donné:

MHS 1.1.2 en cours de déploiement canary dans votre cluster

Vérifiez les événements canary avec la même commande que précédemment:

Après un certain temps (environ 6 minutes), vous devriez avoir une sortie d’événements similaire:

La livraison canary s’est déroulée avec succès. Vous avez maintenant la version 1.1.2 installée sur tous les pods primary et le pod canary a été supprimé.

MHS 1.1.2 est déployé dans votre cluster

Pourquoi ce déploiement a-t-il duré environ 6 minutes? Parce qu’il inclut une analyse canary de 5 minutes. Au cours de cette analyse, le trafic a été augmenté de manière progressive vers le pod canary. Le trafic canary a augmenté de 10% toutes les 1 minute jusqu’à atteindre 50% du trafic global. L’analyse est configurable et définie dans le fichier canary.yaml qui a été ajouté au chart.

Voici la configuration de l’analyse:

  analysis:
    # intervalle entre chaque incrémentation de trafic et prises des mesures
    interval: 1m
    # pourcentage de trafic max routé vers le canary - pourcentage (0-100)
    maxWeight: 50
    # pas d'incrément canary - pourcentage (0-100)
    stepWeight: 10
    # nombre maximum d'échecs de vérification des métriques avant un rollback (global pour toutes les prises de mesures)
    threshold: 5
    metrics:
      - name: request-success-rate
        # pourcentage avant que le taux de réussite soit considéré comme ayant échoué (0-100)
        thresholdRange:
          min: 99
        # intervalle entre chaque prise de mesure de la métrique taux de réussite
        interval: 30s
      - name: request-duration
        # durée maximale P99 en millisecondes avant que le temps de réponse soit considéré comme ayant échoué
        thresholdRange:
          max: 500
        # intervalle entre chaque prise de mesure de la métrique temps de réponse
        interval: 30s

Notre analyse canary utilise les 2 métriques de base fournies par Istio / Prometheus (taux de réussite + temps de réponse). Il est possible de définir vos propres métriques personnalisées. Dans ce cas, elles devront être fournies par votre application. Votre application devra exposer un endpoint Prometheus qui inclura vos métriques personnalisées. Et vous pourrez mettre à jour la configuration de l’analyse de Flagger pour les utiliser avec votre propre requête PromQL. Notez que cela va au-delà de ce guide qui utilise uniquement les métriques de base.

Expérience 2 – Déploiement canary de MHS version v1.1.3

Encore une fois, vous devez éditer manuellement le fichier mhs-canary-chart/mhs/values.yaml et remplacer la ligne tag: 1.1.2 par tag: 1.1.3.

Ensuite:

Nous générons du trafic artificiel:

Cette fois, nous générons également du trafic non valide pour nous assurer que le taux de réussite des requêtes diminue!

Vérifiez les événements canary avec la même commande que précédemment:

Après un certain temps (environ 6 minutes), vous devriez avoir une sortie d’événements similaire:

Et vous êtes toujours sur la version 1.1.2.

Flagger a décidé de stopper et ne pas propager la version 1.1.3 car il n’a pas pu effectuer une analyse canary réussie et le seuil d’erreur a était atteint, 5 fois (en effet, à chaque fois, environ 50% des requêtes se sont terminées par une réponse HTTP 500). Flagger a simplement redirigé tout le trafic vers les instances primary et supprimé le pod canary.

Félicitations, vous êtes arrivé à la fin de ce deuxième tutoriel!

Observations

Avant de faire du nettoyage dans notre cluster, terminons par une liste d’observations:

• La suppression d’un déploiement supprimera tous les pods (canary / primary). Et nous ne nous retrouvons pas avec des ressources orphelines.
• Prometheus est un prérequis. Sans lui, l’analyse canary ne fonctionnera pas.
• Il n’est pas possible de relancer un déploiement canary sur la même version s’il vient d’échouer. Cela vous oblige à changer et incrémenter la version (même s’il s’agissait d’un problème de configuration et non d’un problème de code).
• Le processus de désactivation de Flagger n’est pas aussi simple que de supprimer la ressource canary du chart et de déployer une nouvelle version. Si vous supprimez la ressource canary, Flagger ne déclenchera pas le processus canary, il changera la version dans mhs et supprimera mhs-primary mais, mhs a 0 pod, ce qui rendra votre service indisponible! Vous devez être prudent et adopter un processus de désactivation manuelle approprié. Récement, l’équipe Flagger a ajouté une propriété revertOnDeletion que vous pouvez activer pour pallier à ce problème. Vous pouvez vous référer à la doc pour plus de détail sur ce canary finalizer.
• Après plusieurs déploiements, il semble que certains événements peuvent manquer, la commande Kubernetes describe les accumule (x<int> over <int>m) et parfois, l’ordre n’est pas conservé et/ou certains événements ne s’affichent pas. Vous pouvez consulter le statut Flagger concernant la phase du canary (les états finis sont Initialized, Succeeded ou Failed). Le mieux est de regarder directement les logs sur le pod Flagger, car elles sont toujours plus précises et complètes.
• L’analyse canary doit être configurée pour s’exécuter sur une courte période (c.-à-d. pas plus de 30 minutes) pour tirer profit d’un véritable déploiement continu et éviter de publier une nouvelle version alors qu’un déploiement canary pour la précédente est toujours en cours. Dans le cas où vous souhaitez tester une version canary sur plusieurs heures ou même jours, vous devriez peut-être repenser votre cas d’utilisation et Flagger pourrait ne pas être le meilleur choix.
• Nous l’avons déjà mentionné, mais c’est important: la première fois que vous déployez avec Flagger (comme avec l’expérience 0), l’outil doit s’initialiser (statut Initialized) et n’effectuera aucune analyse.

Nettoyage des ressources

Vous pouvez supprimer l’application MHS et son namespace.

Nous vous recommandons de laisser Flagger et Istio en place pour gagner du temps dans le prochain tutoriel. Si toutefois vous souhaitez tout supprimer maintenant, vous pouvez exécuter les commandes suivantes.

Supprimer Flagger:

Supprimer Istio et Prometheus:

Et après?

Le prochain article se concentrera sur le Tableau de bord Grafana fourni prêt à l’emploi par Flagger qui est un ajout intéressant. Il vous fera gagner du temps, car vous n’aurez pas besoin d’exécuter manuellement des commandes kuberctl pour vérifier le résultat de vos déploiements canary. Stay tuned! En attendant, vous pouvez arrêter le cluster Kubernetes en décochant la case et redémarrant Docker Desktop. Votre ordinateur peut prendre une pause bien méritée.

The article Flagger – Déploiements Canary sur Kubernetes was written by Fabian Piau.

Cette série d’articles est consacrée à Flagger, un outil qui s’intègre à l’écosystème de la plateforme d’orchestration de container Kubernetes pour faire des déploiements automatisés et sera un pas de plus en direction d’un processus de déploiement continu.

Cet article est le premier de la série et aussi celui qui aborde le moins Flagger… Il vous permettra de prendre en main Kubernetes sur votre environnement local en déployant une application qui sera accessible par l’intermédiaire d’une passerelle Istio.

Docker

Installez Docker en installant l’application Docker Desktop for Mac, vous pouvez vous référer au guide officiel d’installation. Pour les utilisateurs de Windows, l’application équivalente « Docker for Windows » existe.

Pour la suite, nous allons également utiliser Docker for Mac pour mettre en place le cluster Kubernetes en local. Notez que ce tutoriel a été testé avec Docker for Mac 2.4.0.0 qui embarque un cluster Kubernetes en version 1.18.8.

Si vous utilisez une version différente, la technologie évolue rapidement et je ne peux donc pas garantir que les commandes utilisées dans cette série d’articles fonctionneront sans ajustement.

Mirror HTTP Server

Quelques mots sur l’application Mirror HTTP Server que nous allons utiliser dans cette série d’articles.

MHS est une application JavaScript basée sur Node.js utilisant le framework Express très simple qui permet de personnaliser la réponse HTTP reçue en spécifiant des headers HTTP dans la requête. L’image Docker est disponible publiquement sur le Docker Hub. Vous pouvez consulter le repo Github du projet pour en savoir plus, notez que je n’en suis pas l’auteur.

Cette mini application est exactement ce dont nous avons besoin pour tester les capacités de Flagger pour simuler des réponses 200 OK et des réponses 500 Internal Server Error.

Récupérons l’image Docker:

Lançons un container qui l’utilise:

Puis testons son bon fonctionnement:

Vous devriez recevoir une réponse HTTP 200 OK:

Alors que:

retournera une réponse HTTP 500:

Pour plus de simplicité, nous utilisons la commande curl, mais vous pouvez utiliser votre outil préféré comme Postman.

Kubernetes

Maintenant que vous avez installé Docker for Mac, avoir un cluster Kubernetes qui tourne en local ne sera qu’une simple formalité. Il vous suffit de cocher une case!

Activer Kubernetes avec Docker for Mac

Si la lumière est verte, alors votre cluster Kubernetes a démarré avec succès. Attention, cela prend pas mal de ressources donc ne vous affolez pas si le ventilateur tourne à plein régime et que cela prend un peu de temps pour démarrer…

Kube dashboard

Nous allons installer notre première application dans notre cluster Kubernetes.

Kubernetes via Docker ne fournit pas Kube dashboard par défaut, vous devez l’installer vous-même. Ce tableau de bord est très pratique et donne une vision graphique de ce que se passe dans votre cluster et vous évitera d’avoir à saisir des commandes kubectl.

Le tableau de bord est protégé, mais vous pouvez utiliser l’utilisateur par défaut pour y accéder. Générez un token pour cet utilisateur:

Copiez le token.

Vous devrez réutiliser cette commande et / ou le token copié si votre session a expiré, cela se produit lorsque vous n’interagissez pas avec le tableau de bord pendant un petit moment.

Enfin, créer un proxy pour accéder au tableau de bord à partir du navigateur (cette commande devra s’exécuter indéfiniment):

Si vous accédez à http://localhost:8001/api/v1/namespaces/kube-system/services/https:kubernetes-dashboard:/proxy/#!/login et utilisez le token que vous avez copié pour vous authentifier, vous devriez voir cet écran.

Tableau de bord Kubernetes

Helm

Nous utilisons Homebrew pour l’installation de Helm. Homebrew est un gestionnaire de paquets très pratique disponible pour Mac.

Nous allons utiliser Helm pour installer Istio et l’application MHS dans notre cluster. Helm est un peu l’équivalent de Homebrew, mais pour Kubernetes. Nous utilisons la version 3. Helm vous évitera d’avoir à saisir de nombreuses commandes kubectl apply.

Installons Helm 3 avec:

Pour vérifier que Helm a bien été installé:

Vous devriez avoir en sortie (notez que Helm 3.3.4 est la dernière version au moment de la rédaction):

Istio & Prometheus

Maintenant, installons le Service Mesh Istio. Pour des explications et les avantages à utiliser un Service Mesh, je vous invite à lire la documentation officielle.

Tout d’abord, vous devez augmenter les limites de mémoire de votre Kubernetes via Docker, sinon vous allez rencontrer des problèmes de déploiement. Vos ventilateurs vont s’en remettre, ne vous inquiétez pas…

Voici ma configuration:

Configuration Kubernetes de Docker for Mac pour Istio

J’ai suivi les recommandations Docker Desktop pour Istio.

Passons à l’installation d’Istio 1.7.3 (la dernière version au moment de la rédaction). Tout d’abord, téléchargez les sources:

Ajoutez le client istioctl à votre path:

Installez Istio avec le client fourni, on utilise le profil de démo:

Après quelques minutes, vous devriez avoir un message confirmant qu’Istio a bien été installé. Et voilà!

Pour installer la dernière version d’Istio, vous pouvez simplement remplacer la première ligne par curl -L https://istio.io/downloadIstio | sh -.

Ajoutez Prometheus car c’est un prérequis pour Flagger:

A partir du tableau de bord Kube, vérifiez qu’un nouveau namespace a été créé istio-system et qu’il contient les outils Istio dont Prometheus.

Istio est déployé dans votre cluster

Pourquoi Prometheus est-il important? Car c’est un composant indispensable pour Flagger qui fournira les métriques pour montrer si la nouvelle version de votre application est en bonne santé ou non et ainsi la promouvoir ou au contraire faire un rollback. Je reviendrais en détail sur tout cela dans le prochain article.

Déploiement de Mirror HTTP Server

Avant de déployer MHS, créons un nouveau namespace application, nous ne voulons pas utiliser celui par défaut à la racine du cluster (c’est une bonne pratique). Le nom est un peu trop générique, mais suffisant pour ce tutoriel, en général vous utiliserez le nom de l’équipe ou le nom d’un regroupement de fonctionnalités.

N’oublions pas d’activer Istio sur ce nouveau namespace:

Pour déployer MHS, j’ai créé un Helm chart.

Ce chart a été créé avec la commande helm create mhs-chart, que j’ai ensuite adapté pour récupérer la dernière image de MHS. J’ai également ajouté un fichier gateway.yaml pour la configuration de la passerelle Istio afin que l’application soit accessible en dehors du cluster.

Clonez le repo contenant le chart:

Et installez MHS:

Après quelques instants, si vous regardez le tableau de bord, vous devriez voir 1 replica de MHS dans le namespace application.

MHS est déployé dans votre cluster

Vous avez maintenant 1 pod de MHS en cours d’exécution dans votre cluster Kubernetes. Le pod est exposé au monde extérieur via une passerelle Istio.

Pour tester, utilisons les commandes similaires précédemment utilisées contre le container docker:

Vous devriez recevoir une réponse HTTP 200 OK qui a été manipulé par le composant Envoy, le proxy utilisé par Istio:

Et:

devrait retourner une réponse HTTP 500:

Félicitations, vous êtes arrivé à la fin de ce premier tutoriel!

Pour information, vous pouvez également accéder à MHS avec votre navigateur préféré si vous exécutez d’abord une commande proxy pour exposer le pod:

export POD_NAME=$(kubectl get pods --namespace application -l "app.kubernetes.io/name=mhs,app.kubernetes.io/instance=mhs" -o jsonpath="{.items[0].metadata.name}")

kubectl port-forward --namespace application $POD_NAME 8080:80

Ensuite, accédez à http://localhost:8080/.

Vous devriez voir une… page blanche. C’est normal, MHS ne renvoie aucun body dans la réponse, il n’y a aucune sortie HTML!

Nettoyage des ressources

Vous pouvez supprimer l’application MHS et son namespace.

Nous ne supprimons pas Istio / Prometheus car nous en aurons besoin dans le prochain article, mais si vous souhaitez libérer des ressources, vous pouvez utiliser ces commandes:

Et après?

Le prochain article détaillera l’installation de Flagger et son utilisation via des déployments de type « canary release » de différentes versions de MHS. Stay tuned! En attendant, vous pouvez arrêter le cluster Kubernetes en décochant la case et redémarrant Docker Desktop. Votre ordinateur peut prendre une pause méritée.

The article Flagger – Premiers pas avec Istio et Kubernetes was written by Fabian Piau.

Mercredi dernier, Expedia a organisé le premier CoderDojo dans nos bureaux de Londres.

CoderDojo est un groupe communautaire de clubs bénévoles permettant aux jeunes de 7 à 17 ans de se réunir et d’apprendre à créer des projets sympas basés sur les nouvelles technologies.

Le « Dojo » est libre d’accès et gratuit. Quel que soit votre niveau d’expérience, que vous soyez novice en matière de programmation ou que vous ayez une idée de projet que vous souhaiteriez concrétiser, vous êtes le bienvenu!

Pour cette première session, nous avions environ 10 participants âgés de 7 à 13 ans.

Tout d’abord, pour « briser la glace » entre les participants, nous avons joué au jeu « deux vérités et un mensonge » en mentionnant trois choses que nous avions faites au cours de la journée. J’étais plutôt satisfait de voir la plupart des enfants tomber dans mon piège quand j’annonce que j’ai joué à la PlayStation au travail et leur révèle que ce n’était pas le mensonge… :)

Ensuite, nous avons organisé différentes activités en fonction de l’intérêt des enfants:

• Scratch, glisser / déposer des blocs au lieu d’écrire du code traditionnel, pour faire voler un hippopotame ou construire des projets plus complexes
• Apprendre des compétences de base en algorithmie en se basant sur des jeux Star Wars ou Flappy Bird
• Utiliser le kit BBC Micro:Bit pour créer des jeux ou simuler des émotions de robot

CoderDojo @ Expedia Londres

CoderDojo @ Expedia Londres

A la fin de l’activité, les enfants ont été invités à montrer ce qu’ils ont accompli au cours de la dernière heure. C’était très agréable de voir la majorité d’entre eux heureux et enthousiastes pour prendre la parole, présenter et répondre aux éventuelles questions.
Le partage des connaissances et la collaboration sont des compétences essentielles pour le futur.

En résumé, c’était amusant pour les enfants, mais aussi pour les mentors!

Mentors CoderDojo: Veli, Alice, Adam, Ana, Fabian, Nicola

Après avoir reçu des retours positifs et spontanés de la part de certains participants à la fin, nous pouvons affirmer que cette première expérience est un succès. Nous avons évidemment une marge de progression et déjà de nouvelles idées en tête pour la prochaine session.

Nous prévoyons d’organiser un « Dojo » mensuel, le 3ème mercredi de chaque mois, ce qui signifie que le prochain sera le 21 août.

Que vous soyez un enfant, un parent ou un mentor, nous espérons vous voir bientôt au deuxième « Dojo »! Plus d’infos et inscription sur London Angel Expedia CoderDojo.

The article CoderDojo Expedia à Londres was written by Fabian Piau.

Devoxx4Kids est un « spin-off » de la conférence Devoxx pour les développeurs, à quelques différences près: l’événement dure une journée, n’inclut pas de conférences, mais se concentre sur des ateliers et, bien sûr, est conçu pour les enfants (âgés de 10 à 14 ans).

L’année dernière, je me suis porté volontaire pour le Devoxx4Kids de Londres et c’était plutôt fun. J’aime l’informatique et les enfants, alors c’est une bonne motivation! Jouer avec Scratch, faire en sorte que Nao le robot danse et parle, programmer quelques Lego Mindstorms pour des batailles, etc. Vous retournez presque en enfance le temps d’une journée!

C’est une très bonne initiative pour inculquer les compétences de base nécessaires en ingénierie et en programmation à la plus jeune génération afin qu’elle découvre ce qu’est l’informatique de manière efficace et pratique. Cette expérience peut également leur apprendre des qualités comme la patience, le partage et l’écoute.

Devoxx4Kids 2018 à Londres - Collage

Devoxx4Kids est également une bonne occasion d’enseigner aux enfants que la technologie n’est pas uniquement réservée aux garçons et que les filles ne sont pas en reste. Comme ils sont jeunes, ils sont beaucoup moins formatés par les stéréotypes. En tant que lecteur de ce blog et probablement adulte, vous ne serez pas surpris que quelqu’un travaillant dans l’informatique puisse être associé à un gars barbu et geek tapant des lignes de code dans le noir avec son café et un fond d’écran sexy…

Blague à part, Devoxx4kids aura lieu samedi prochain (le 11 mai) à Londres. Malheureusement, je ne serai pas en mesure d’assister et d’aider cette année, je vais donc rater le Sphero BOLT et la baguette de codage magique d’Harry Potter. Mais n’hésitez pas, si vous êtes intéressé et libre ce jour-là, je dirais qu’il n’est jamais trop tard pour faire du bénévolat. Vous trouverez tous les détails sur la page de l’événement ou pouvez les contacter via Facebook ou Twitter.

Si vous ne vivez ni à Londres ni même au Royaume-Uni, il existe de nombreux Devoxx4Kids dans le monde, contactez celui qui se trouve près de chez vous, je suis sûr qu’ils seront ravis de recevoir votre aide!

Devoxx4Kids 2018 à Londres - Photo de groupe

The article Etre bénévole à Devoxx4Kids was written by Fabian Piau.

Cet article résume le travail que nous avons accompli au sein de mon équipe pour migrer nos micro-services de Java 8 à Java 11 pour le site Hotels.com.

En résumé, pour chacun de nos services, nous avons suivi les étapes suivantes:

• Compiler le code avec Java 11
• Démarrer le service (compatible Java 11) sur Java 8
• Démarrer le service sur Java 11

En réalité, nous avons eu quelques étapes supplémentaires. Lorsque nous avons commencé la migration, Java 11 n’était pas encore disponible, nous ne pouvions utiliser que Java 10.
L’hypothèse était la suivante: si le code compile avec Java 10, la migration vers Java 11 ne demandera pas beaucoup de travail, car le changement le plus important à propos de la modularité a été introduit avec Java 9 et le projet Jigsaw. Heureusement, ce fut le cas!

Mise à jour du sabre laser Star Wars...

1. Compiler le code avec Java 11

C’est la partie qui a pris le plus de temps. En effet, nous avons dû monter en version la plupart des frameworks et des outils que nous utilisions. En particulier, nous avons dû gérer la migration de Spring Boot 1 à 2 et de Spring 4 à 5. S’agissant de versions majeures, nous avons dû prendre en compte quelques modifications importantes.

Spring Boot

Pour Spring Boot 2, les guides de migration officiels de Spring Boot 2.0 et Spring Boot 2.1 sont bien écrits et détaillés.

• Le chargement des profils a évolué
• Le relaxed binding des propriétés est un peu moins relaxed
• Certaines propriétés ont été renommées et d’autres sont indisponibles (par exemple, la propriété security.basic.enabled doit être remplacée par un WebSecurityConfigurerAdapter)
• Certains endpoints ont été renommés (par exemple, actuator healthchecks)
• L’overriding de bean est maintenant désactivé par défaut. Comme nous l’utilisions dans nos tests d’intégration, nous avons dû le réactiver avec la nouvelle propriété spring.main.allow-bean-definition-overriding.

Spring

La migration vers Spring 5 était plutôt simple du point de vue du code avec quelques changements mineurs. La partie la plus compliquée était liée au fait que le projet était legacy et que nous devions gérer une configuration Spring en XML complexe et la migration vers Dropwizard Metrics 4.

Divers

Il peut arriver que des frameworks ne soient toujours pas compatibles avec Java 9+ car ils ne sont pas activement maintenus par la communauté. Dans notre cas, nous avons dû trouver une solution de contournement pour Cassandra Unit. Nous ne voulions pas investir de temps dans un changement de framework DB de test car nous prévoyons de passer à DynamoDB.

Nous avons également dû faire face au « Maven dependency hell » car certaines dépendances obligatoires tiraient d’anciennes dépendances non compatibles avec Java 9+. Dans la plupart des cas, l’ajout d’exclusions dans le POM a résolu le problème.

Environnement local

En local, nous avons ajouté quelques alias à notre fichier de profil bash pour passer d’une version de Java à une autre.

alias setjava8="export JAVA_HOME=/Library/Java/JavaVirtualMachines/jdk1.8.0_172.jdk/Contents/Home/"
alias setjava10="export JAVA_HOME=/Library/Java/JavaVirtualMachines/jdk-10.0.2.jdk/Contents/Home/"
alias setjava11="export JAVA_HOME=/Library/Java/JavaVirtualMachines/openjdk-11.jdk/Contents/Home/"

Sous IntelliJ, le changement de version de Java peut être effectué à partir des paramètres du projet (la liste déroulante « Project SDK »).

Environnement IC

Du côté de l’Intégration Continue (nous utilisons Bamboo), nous avons mis à jour l’agent pour qu’il utilise Java 11.
Nous avons constaté qu’il n’était pas possible d’avoir des versions différentes de l’agent pour les plans de branche et le plan principal (master), car la configuration du plan est globale. Cela signifie que la mise à jour de l’agent vers Java 11 cassera le plan principal si quelqu’un d’autre commite sur master (par exemple, une nouvelle fonctionnalité ou un correctif de bogue totalement indépendant de la migration vers Java 11).
Pour atténuer ce problème et éviter un build rouge, il était important pour nous de nous assurer que le projet était compilable avec Java 11 et que tous les tests passaient localement avant d’effectuer la mise à jour de l’agent, ceci afin de merger rapidement la branche concernant la migration Java. Une autre option consisterait à remettre temporairement l’agent à Java 8 une fois que le plan de branche est vert sur Java 11 sans oublier de le rebasculer sur Java 11 juste avant le merge.

2. Démarrer le service (compatible Java 11) sur Java 8

Une fois que tout a été corrigé, mergé et que le build principal est au vert, nous nous sommes assuré que la version compatible Java 11 fonctionnait correctement dans nos environnements de test. En gros, nous nous assurions que rien ne soit cassé… Nous avions des tests unitaires, d’intégration et des tests end-to-end, autant dire que notre niveau de confiance était assez élevé. Comme on est jamais trop prudent, nous avons effectué des tests exploratoires manuels sur l’API, avec quelques requêtes exotiques et autres cas en marge afin de nous assurer que le service se comportait correctement. Nous avons également consulté les log et les tableaux de bord Grafana pour s’assurer que tout fonctionnait bien.

La prochaine étape consistait à pousser cette nouvelle version en production. Le service fonctionnait toujours avec Java 8, même si le code était compatible (et compilé) avec Java 11, nous ne voulions pas introduire trop de changements en même temps, nous n’aimons pas les versions risquées après tout. Nous avons traité cette version avec un soin supplémentaire en raison de la refactorisation importante et des multiples montées en version. Après avoir examiné les tableaux de bord Grafana pendant quelques jours, en comparant les métriques avant et après la migration, nous avons constaté que tout s’était bien passé.

3. Démarrer le service sur Java 11

Le but était d’exécuter le service sur Java 11. En théorie, ce serait aussi simple que de mettre à jour le fichier Docker pour utiliser l’image Java 11 et pousser l’artifact en production. Cependant, dans la pratique, ce n’était pas si simple…

Tout d’abord, nous avons dû mettre à jour certains arguments de la JVM (le paramètre -d64 est obsolète et empêchera le service de démarrer, nous avons également dû mettre à jour l’argument concernant les logs du Garbage Collector).

Ensuite, nous avons rapidement réalisé que les logs s’étaient volatilisées dans Splunk pour notre environnement de production interne. En fait, elles apparaissaient dans le future alors qu’il n’y avait aucun soucis avec la production sur AWS. Nous avons dû mettre à jour la configuration logback pour corriger cette « distorsion temporelle » ;) en mettant à jour le date pattern de %d{ISO8601} à %d{yyyy-MM-dd'T'HH:mm:ss.SSSZ,UTC}.

Une autre erreur étrange VerifyError: Bad type on operand stack a fait son apparition pendant le déploiement en production. AppDynamics empêchait le démarrage de certaines instances en raison d’une manipulation exotique du bytecode. Pour des raisons encore inconnues, le déploiement échouait aléatoirement sur une des instances après avoir réussi sur plusieurs autres! Nous avons dû désactiver AppDynamics, ce qui nous convenait bien, car nous n’utilisons pas cet outil dans notre équipe.

Après la migration vers Java 11, nous avons également dû mettre à jour certains de nos tableaux de bord Grafana afin de refléter l’utilisation d’un nouveau Garbage Collector – G1.

Conclusion

Aujourd’hui, 3 services fournissant les notifications utilisateur utilisant Spring Boot 2 et 1 service fournissant l’en-tête et le pied de page du site utilisant Spring 5 fonctionnent sur Java 11, cela fait maintenant plusieurs semaines. Ils utilisent le Garbage Collector par défaut G1 et nous n’avons rencontré aucun comportement étrange lié à la mémoire ou à tout autre problème de performance. Aussi, nous n’avons constaté aucune amélioration de nos temps de réponse. Mais maintenant nous utilisons une version Java LTS (support à long terme), la migration a été un succès.

Et après? Java 12 sera publié en mars 2019. A ce jour, nous ne savons toujours pas si nous utiliserons cette version ou attendrons le prochain Java LTS. Cela dépendra probablement des fonctionnalités incluses.

The article Une migration Java 11 réussie was written by Fabian Piau.

WordPress est l’un des systèmes de gestion de contenu (CMS) les plus populaires. Cette popularité signifie également que c’est une cible de choix pour les pirates.
Dans cet article, je vais vous donner quelques conseils pour protéger votre site web et éviter les attaques.

1. Utiliser les dernières versions

Cela est vrai pour WordPress, mais également pour toutes vos extensions. De nouvelles versions sont disponibles régulièrement. Si un plugin n’a pas été mis à jour depuis un moment, il n’est probablement plus maintenu et vous devriez sérieusement songer à le supprimer ou le remplacer. Dans une moindre mesure, ceci est également applicable pour votre thème.
La version de PHP utilisée est également importante. Vérifiez auprès de votre fournisseur d’hébergement que vous utilisez la dernière version de PHP (7.X), en particulier, les versions 5.X ne seront plus supportées d’ici la fin de l’année.
Notez également que plus vous installez d’extensions, plus vous prenez des risques, car votre configuration WordPress reposera sur davantage de code tiers. Vous ne devriez garder que les plugins dont vous avez vraiment besoin. Si un plugin est désactivé, ne conservez pas son code source et supprimez tous les fichiers associés.

2. Utiliser des identifiants de connexion sécurisés

Ne jamais utiliser l’utilisateur admin par défaut. Si c’est votre cas, désactivez ce compte et créez votre propre compte avec un nom d’utilisateur personnalisé.
Choisissez un mot de passe complexe. Si plusieurs utilisateurs gèrent votre site Web, assurez-vous que les autorisations sont valides et évitez de donner le droit d’administration à tout le monde.

3. Scanner votre site web

C’est un moyen facile et rapide de trouver des vulnérabilités et de voir si l’un de vos plugins est vulnérable ou non. Vous pouvez utiliser ces 2 outils en ligne:

• WordPress Security Scan (mon préféré avec un rapport détaillé)
• WPSec

4. Utiliser des fichiers .htaccess pour protéger vos répertoires

Le fichier .htaccess est un fichier de configuration pour le serveur. Il vous permet de définir des règles à suivre par celui-ci.

Par exemple, dans /wp-content/uploads, j’ai créé le fichier .htaccess suivant:

# Refuser l'accès à tout par défaut
Order deny,allow
Deny from all

# Autoriser l'accès aux fichiers multimédia
<FilesMatch '\.(jpg|jpeg|png|gif|bmp|zip|rar|pdf)$'>
    Allow from all
</FilesMatch>

Cette configuration garantit que seuls les fichiers multimédias sont accessibles à partir du navigateur. Tous les fichiers JavaScript et PHP seront non accessibles. Ce n’est pas sans faille, car seule l’extension est vérifiée, mais c’est mieux que rien.

Pour éviter l’exécution de code PHP malveillants dans certains dossiers (par exemple, dans /wp-includes), vous pouvez créer un autre fichier .htaccess avec le contenu suivant:

<Files *.php>
Order allow,deny
Deny from all
</Files>

5. Vérifier les autorisations sur les fichiers et répertoires

Assurez-vous que les fichiers critiques (wp-config.php, php.ini…) ne sont pas accessibles en écriture publiquement, mais en lecture seule. Seul le propriétaire devrait pouvoir écrire.

6. Utiliser les « security headers »

Vous pouvez consulter cet outil en ligne pour connaître quels headers vous supportez actuellement.

Dans le dossier racine, mettez à jour le fichier .htaccess et ajoutez:

# Extra Security Headers
<IfModule mod_headers.c>
	Header set Strict-Transport-Security 'max-age=31536000; includeSubDomains'
	Header set X-XSS-Protection '1; mode=block'
	Header set X-Frame-Options 'sameorigin'
	Header set X-Content-Type-Options 'nosniff'
	Header unset Server
	Header always unset X-Powered-By
	Header unset X-Powered-By
	Header unset X-CF-Powered-By
	Header unset X-Mod-Pagespeed
	Header unset X-Pingback
</IfModule>

Dans le fichier wp-config.php, ajoutez:

/** Extra Security */
header('X-Frame-Options: SAMEORIGIN');
header('X-XSS-Protection: 1; mode=block');
header('X-Content-Type-Options: nosniff');
header('Strict-Transport-Security:max-age=31536000; includeSubdomains; preload');
header('Referrer-Policy: no-referrer-when-downgrade');
header('Content-Security-Policy: upgrade-insecure-requests');
header('Permissions-Policy: autoplay=(), camera=(), encrypted-media=(), fullscreen=(), geolocation=(), microphone=(), midi=(), payment=()');
header_remove('X-Powered-By');
header_remove('Server');
header_remove('X-CF-Powered-By');
header_remove('X-Mod-Pagespeed');
header_remove('X-Pingback');
@ini_set('session.cookie_httponly', true);
@ini_set('session.cookie_secure', true);
@ini_set('session.use_only_cookies', true);

7. Ne pas exposer trop d’informations

Dans le dossier racine de votre site Web, dans php.ini, ajoutez la ligne suivante:

expose_php = Off

Votre version actuelle de PHP ne sera pas exposée.

8. Sauvegarder votre site régulièrement

Dernier conseil, mais non le moindre! Vous n’avez pas besoin d’un logiciel particulier ou d’un plugin supplémentaire pour y parvenir.

• Avec votre outil FTP préféré (par exemple, Filezilla), enregistrez tous les fichiers disponibles sur votre serveur.
• Pour la base de données, utilisez la fonctionnalité de sauvegarde MySQL disponible. De nombreux hébergeurs fournissent un accès à phpMyAdmin, un outil en ligne.

Je recommande de faire une sauvegarde tous les mois et de conserver l’historique des 6 dernières sauvegardes dans un endroit sûr. Bien évidemment, cela dépend du volume d’articles que vous écrivez et de l’importance de vos données.

C’est tout! Si vous avez fait tout ce qui précède, votre site Web devrait être plus résistant aux attaques. Dans le pire des cas, vous devriez pouvoir restaurer votre site facilement.

Bon blogage sécurisé!

The article Conseils pour sécuriser votre site WordPress was written by Fabian Piau.

Cette année, j’ai assisté aux 2 jours de la conférence Devoxx UK à Londres les 10 et 11 mai. Cet article est un résumé des notes que j’ai prises pendant le deuxième jour. Vous pouvez lire l’article précédent à propos du premier jour. Et si vous souhaitez obtenir plus de détails sur un talk, vous pouvez regarder la vidéo associée.

Devoxx UK a eu lieu au Business Design Centre à Londres

Deep Learning: The Future of Artificial Intelligence, avec Matthew Renze

Par le passé, nous devions programmer un ordinateur de manière explicite, étape par étape, pour résoudre un problème (impliquant des instructions if-then, des boucles et d’autres opérations logiques). A l’avenir, les machines vont apprendre à résoudre un problème par elles-mêmes, nous devons juste leur fournir les données.

Qu’est ce que le Deep Learning?

Deep Learning (apprentissage en profondeur en bon français) est une forme d’Intelligence Artificielle (IA) qui utilise un type de Machine Learning (ML) appelé Réseau Neuronal Artificiel constitué de plusieurs couches cachées pour tenter d’apprendre les représentations hiérarchiques des données sous-jacentes afin de faire des prédictions sur des données nouvelles.

L’apprentissage automatique (ou Machine Learning) est essentiellement l’utilisation des statistiques appliquées aux problèmes de l’intelligence artificielle. Nous enseignons aux machines la résolution de problèmes en identifiant des modèles statistiques à partir des données.

Utilisation de Données (existantes) -> pour apprendre une Fonction -> afin d’effectuer une Prédiction (sur des nouvelles données)

Un réseau de neurones est un algorithme ML basé sur une approximation très grossière de la façon dont nous pensons que le cerveau et les neurones fonctionnent (le cerveau est toujours une boîte noire pour les scientifiques).

Un neurone artificiel prend un ensemble d’entrées, applique une fonction pour produire un ensemble de sorties. Nous représentons ce neurone mathématiquement (c’est-à-dire que les entrées et les sorties sont des nombres) dans le but de l’utiliser dans un modèle de calcul.

Un réseau de neurones est composé de plusieurs neurones organisés en différentes couches: la couche d’entrée (les données que nous fournissons), 1 ou plusieurs couches cachées et la couche de sortie (la prédiction). Un réseau neuronal profond (deep neural network) a plus d’une couche cachée. L’utilisation de plus d’une couche cachée permet principalement de modéliser une fonction beaucoup plus complexe qu’avec une simple couche.

Un exemple de Deep Learning

Un exemple de réseau neuronal profond est un modèle de reconnaissance de personne basé sur une image. Les couches cachées inférieures représentent des formes abstraites comme les primitives géométriques (par exemple, les lignes horizontales et verticales) tandis que les couches intermédiaires représentent des entités plus complexes comme des parties spécifiques du corps (bouche, nez, oeil, etc.), le visage est représenté dans les couches cachées les plus hautes, pour être en mesure d’identifier la personne. La précision augmente lorsque nous approchons de la dernière couche pour finalement être en mesure de faire une prédiction.

Pourquoi parlons-nous de Deep Learning seulement maintenant?

Après tout, le premier algorithme ML Perceptron a été créé en 1957, il y a plus de 60 ans!

• Nous vivons à l’ère du Big Data. Au cours des deux dernières années, nous avons créé plus de données que pendant toute l’histoire humaine. Nous n’avons jamais eu autant de données disponibles, ces données sont essentielles pour entraîner des modèles complexes.
• Les ordinateurs n’ont jamais été aussi puissants: des processeurs plus rapides, plus de mémoire, des disques SSD. Nous pouvons aussi tirer parti de la puissance de calcul des GPU, les opérations matricielles sont nécessaires pour les graphismes des jeux vidéo, mais aussi pour le ML. Nous avons également accès à des technologies de calcul distribué où nous pouvons partager le traitement de données entre plusieurs machines.

Que pouvons-nous faire avec le Machine Learning?

• Classification. Nous voulons prédire une variable discrète qui ne peut prendre qu’un certain nombre de valeurs. Est-ce un chat ou un chien? Cet email est-il un spam ou non? Est-ce que cette personne a un cancer ou pas? Quelle est la catégorie de cet article?
• Régression. Nous voulons prédire une variable continue qui a un nombre infini de valeurs possibles. A quel prix devrais-je vendre cette maison? Quel est le niveau de risque crédit pour ce demandeur?
• Génération de texte. Générer le titre d’un article, la description d’une image en fonction de son contenu, convertir la voix en texte pour du sous-titrage automatique.
• Génération d’image. Simuler le vieillissement du visage, peindre un nouveau Rembrandt que même un expert ne pourrait pas identifier comme un faux, créer des célébrités qui semblent familières, mais qui n’existent pas, créer une image basée sur une description textuelle.
• Génération audio. Mettre en relation un algorithme et un humain lors d’un appel téléphonique (Google Duplex), éditer votre voix en fonction d’un texte pour éviter de refaire un enregistrement dans le cas d’une erreur dans votre speech.
• Génération de vidéos. Basé sur des rushes de vidéos et d’audios de Barack Obama, créer une nouvelle vidéo avec une synchronisation labiale gérée par l’IA.

Si vous avez examiné plus en détail certains des exemples ci-dessus, vous avez probablement eu du mal à faire la différence entre un contenu réel et un contenu généré par ordinateur. C’est assez effrayant quand on y pense et on peut à peine imaginer comment ça sera dans 10 ans!

Comment puis-je commencer si je veux faire du ML dans mon entreprise?

Option 1 – Deep Learning as a Service (Google Cloud, AWS, Microsoft Cognitives, IBM Watson…)
Cela implique qu’une société tierce possède le modèle et les données. Vous pouvez interroger leur API avec vos nouvelles données afin de faire une prédiction.
Cette option est utile pour les cas d’utilisation restreints, si vous ne souhaitez pas réinventer la roue et utiliser un modèle déjà entrainé.
Pour: Simple, rapide, peu coûteux
Contre: Restriction sur les usages, éloigné (par exemple, vous n’êtes pas protégé contre les pannes de réseau ou la latence), paiement à l’usage (si votre utilisation augmente, le coût également)

Option 2 – Deep Learning platform (Microsoft Azure, Cognitive Services…)
Cette option est utile pour les cas d’utilisation personnalisés. Vous uploadez vos données pour entraîner le modèle (transfert d’apprentissage), puis vous pouvez interroger une API pour obtenir vos prévisions.
Pour: Simple, rapide, peu coûteux
Contre: Vous avez besoin de données d’entraînement pour entraîner votre modèle, éloigné, paiement à l’usage (par transaction pour la prédiction, mais aussi les transactions liées à l’entraînement)

Option 3 – Do it yourself (TensorFlow, Torch…)
A utiliser si les options 1 et 2 ne suffisent pas. Vous créez votre propre algorithme à partir de zéro, fournissez les données et vous l’hébergez vous-même.
Pour: Personnalisé (vous pouvez optimiser et tuner le modèle comme vous l’entendez), local, privé (au cas où vous avez affaire à des données sensibles)
Contre: Complexe, pas mal de travail, cher

Teaching kids about machine learning, avec Dale Lane

Dale a créé un site Web pour enseigner le Machine Learning aux enfants en utilisant la plate-forme de programmation visuelle Scratch. Scratch est un moyen d’aborder la programmation pour les enfants avec une interface simple où vous pouvez glisser/déposer des blocs représentant des opérations de programmation (boucles, déclarations if-then…) et les assembler pour créer une logique plus avancée. Dale utilise ScratchX (extensions expérimentales pour Scratch) et a créé de nouveaux blocs liés au Machine Learning (en utilisant IBM Watson sous le capot).

Il a imaginé de nombreux exercices pour que les enfants puissent appréhender les différents concepts de ML en utilisant des exemples concrets et amusants. Les exercices mélangent la reconnaissance de texte, de nombre et d’image. Chaque exercice est généralement composé d’une phase d’entraînement du modèle depuis l’application web et d’une phase d’évaluation avec la prédiction visualisable depuis Scratch. Vous pouvez également affiner les données d’entraînement et voir les effets sur le modèle et sa prédiction.

• Créer un chatbot, par ex. un animal capable de répondre à des questions sur son espèce.
• Prédire à partir de quel journal un article a été extrait en utilisant son titre.
• Faire en sorte que Pacman évite les fantômes en jouant plusieurs fois au jeu. Plus vous jouez et entraînez le modèle, plus Pacman sera bon.
• Catégoriser des images. Uploader des images de tasses et de voitures pour entraîner le modèle, de sorte qu’il puisse classer une nouvelle image encore inconnue dans une de ces 2 catégories. Uploader des images de couverture de livres pour différentes catégories (science-fiction, romance, thriller…), de sorte que le modèle puisse prédire la catégorie d’une nouvelle couverture. Pour rendre l’exercice plus interactif, vous pouvez également uploader des images à partir de la webcam, par exemple prendre des photos de votre main pour le jeu pierre / papier / ciseaux et jouer contre l’ordinateur. L’algorithme reconnaîtra la forme que vous faites avec vos mains si vous l’entraînez suffisamment.
• Reconnaître un code postal écrit à la main pour savoir dans quelle ville le courrier doit être livré, un bon exemple tiré de la vraie vie.
• Jouer au jeu « Où est Charlie? ». L’ordinateur détecte automatiquement où Scratch le chat est situé dans une image.
• Et beaucoup d’autres exercices.

Dale a également mentionné les problèmes liés à l’IA:

• Les problèmes avec l’arrière-plan ou les conditions météorologiques. Si c’est évident pour un humain, un ordinateur peut commettre des erreurs idiotes si le jeu de données d’entraînement est incomplet.
• L’histoire des chars russes où le modèle a été entraîné avec des images haute résolution pour les chars américains, mais avec des images basse résolution et floues pour les chars russes. Dans la réalité, le modèle s’est avéré être mauvais pour identifier les chars.
• Google photo peut ajouter automatiquement un texte pour décrire une image, certaines personnes noires se sont vu être qualifié de gorilles…
• Un modèle qui peut conseiller des médicaments, mais qui est sponsorisé par un géant pharmaceutique. Que se passe-t-il si l’entreprise demande d’ajouter plus de références de son produit phare dans le jeu d’entraînement, est-ce une bonne chose?

Il y a beaucoup de notions importantes autour de l’éthique, des préjugés, du surajustement (overfitting) des modèles et de la qualité du jeu d’entraînement. Il est important que les enfants comprennent cela par eux-mêmes, et habituellement c’est le cas!




A la fin, Dale nous a donné quelques liens pour aller plus loin:

• Machine Learning for Kids le site de Dale où vous pouvez trouver tous ses exercices.
• Teachable Machine from Google pour entraîner un modèle avec votre webcam.
• Quick, Draw! from Google pour reconnaître un dessin.
• Moral Machine from MIT pour juger différentes situations impliquant une voiture autonome.




Easy Microservices with JHipster, avec Sendil Kumar N

Cette présentation était une session de live-coding. J’ai entendu parler de JHipster depuis pas mal de temps, mais je n’ai jamais eu l’occasion de le voir en action et le fait que le projet ait été initié par un développeur français était une autre raison d’y aller.

JHipster accélère la création de nouvelles applications en générant le code boilerplate et en gérant la majeure partie de la configuration (par exemple la configuration des fichiers Kubernetes, des POM Maven, etc.). Il s’agit d’un outil en ligne de commande avec lequel vous pouvez choisir de créer une application de type monolithe, un microservice ou un UAA (User Accounting and Authorizing service pour sécuriser votre app avec OAuth2). Une fois que vous avez choisi votre type d’application, beaucoup d’options s’offrent à vous pour la stack technique: frontend, backend, source de données, build, logging, déploiement CI/CD, registre de service, documentation (par exemple Swagger) sans oublier les frameworks de tests.

Pour la démo, Sendil a créé une application Gateway qui interrogeait un microservice. Il a exécuté l’application localement et l’a ensuite déployé sur Google Cloud Platform (GCP) via Kubernetes, sans avoir à taper une seule ligne de code.

Choisir les frameworks et les technologies sera probablement la partie la plus difficile, car il y a tellement d’options. Vous devez également garder à l’esprit que vous devez affiner la configuration (par exemple, la configuration par défaut qu’ils fournissent pour Kubernetes peut ne pas convenir à vos besoins).




Troubleshooting & Debugging Production Microservices in Kubernetes, avec Ray Tsang

Ray nous montre une petite application de livre d’or où un utilisateur peut poster un message avec un nom (« Guestbook service ») et recevoir également des salutations après avoir posté son message (« Hello service »). Il s’agit d’une application Spring Boot déployée sur Kubernetes, composée d’une interface utilisateur et de 2 microservices (chacun a plusieurs instances). Une page d’erreur 500 apparaît quand il essaye d’y accéder en indiquant null et 404. Cette fois, ce n’était pas un effet démo où la loi de Murphy en action et cela faisait bien partie de la présentation. Il a donc continué pour débugger l’application et résoudre le problème étape par étape en utilisant différents outils fournis par Google Cloud Platform.




En consultant les logs, il a pu identifier 2 instances du service gérant l’interface utilisateur qui avaient beaucoup d’erreurs par rapport aux autres instances. Kill/restart n’est pas la solution, car elle n’empêchera pas l’erreur de se reproduire. Il a donc décidé de sortir l’une des instances défectueuses du load balancer avec une commande kubectl (une interface en ligne de commande pour exécuter des commandes sur les clusters Kubernetes) en changeant le flag serving à false. L’idée est d’isoler l’instance du trafic de production et d’être libre de la déboguer. Notez qu’en désactivant cette instance, Kubernetes crée automatiquement une autre instance du service. Ensuite, il a configuré la redirection de port sur ce pod pour pouvoir interroger cette instance spécifique depuis son environnement local. Avec Stackdriver Trace, il était capable de tracer les appels et identifier la pile d’appel. Filtrant sur les erreurs 5xx et cette instance particulière, il a alors réalisé qu’un problème survenait au niveau du service « Hello service » et plus précisément quand l’endpoint « hello » est appelé, dans certains cas, une réponse 404 est retournée. Cela semblait être le cas lorsque le nom était manquant. Pour confirmer le comportement, il a ajouté quelques lignes de logs à la volée pour afficher le nom et, en effet, celui-ci était vide et l’application affichait l’erreur. En fait, une validation manquait sur le formulaire pour rendre le nom obligatoire.




Pour récapituler, nous pouvons mentionner les 4 principaux outils de débogage fournis avec GCP:

• Interroger et consulter les logs avec Stackdriver Logging (un outil similaire à Splunk)
• Tracer la pile d’appels avec Stackdriver Trace (un outil similaire à Zipkin)
• Ajouter des logs et des breakpoints à la volée sur une instance en prod avec Stackdriver Debug
• Accéder à l’historique des erreurs http depuis les logs ainsi que diverses métriques sur les services (temps de réponse…) avec Stackdriver Monitoring




La présentation fut intéressante, mais je peux juste regretter que le titre ne mentionnait pas le fait que la démo se basait principalement les outils commerciaux de Google Cloud, je pensais qu’elle serait plus centrée sur Kubernetes. Mais cela vaut quand même la peine de savoir ce que Google fournit. Et je dois admettre qu’ajouter des breakpoints et des logs dans le code d’une instance en prod à partir d’une interface web était assez impressionnant.




Fully serverless, a case study, avec Stephen Colebourne & Chris Kent

A OpenGamma, ils ont créé une nouvelle plate-forme financière basée sur AWS et décidé d’utiliser les technologies serverless (AWS Lambda).




Qu’est-ce que l’informatique sans serveur et Lambda?

Serverless est essentiellement lorsque l’infrastructure est invisible, vous ne savez pas où le code s’exécute et vous n’avez pas le contrôle.
Une AWS Lambda est fondamentalement constituée de 2 classes: une interface simple et son implémentation, où vous implémentez la méthode handleRequest. La Lambda est détruite une fois la méthode terminée.
Vous packagez le code dans un JAR (qui inclut toutes les dépendances nécessaires) et l’uploadez dans AWS pour qu’elle soit exécutée.




Comment déclencher une Lambda?

• Vous pouvez utiliser CloudWatch (similaire à un CRON).
• Vous pouvez utiliser un événement. Il peut s’agir d’un appel d’API REST, un fichier est enregistré dans AWS S3, un message arrive dans une queue, une ligne est ajoutée à une table ou un appel directement à partir d’une autre Lambda…




Limites, des limites partout!

Lorsque vous travaillez avec des Lambdas, vous devez être très prudent avec les limites AWS Lambda.

• Un délai d’exécution par défaut: 5 minutes
• Une quantité maximale de mémoire que vous pouvez utiliser: 3Go
• Une taille maximale pour un fichier JAR que vous pouvez uploader: 50Mo
• Un maximum d’espace disque que vous pouvez utiliser: 512Mo




Pour certains traitements lourds spécifiques, ils ont atteint la plupart de ces limites et ils ont dû trouver des solutions de contournement ou même des alternatives:

• L’utilisation d’AWS Batch au lieu de Lambda. L’inconvénient est qu’ils ne peuvent pas déclencher le traitement instantanément, par exemple lorsque vous soumettez un job Batch, il sera traité à un moment donné, mais vous ne pouvez pas supposer que cela sera instantané (cela peut prendre 2 ou même 10 minutes avant l’exécution). Cette limitation n’était pas un problème pour eux, évidemment cela ne marchera pas pour tout le monde.
• Divisez et prétraitez autant que possible les données en entrée avant de les transmettre à la Lambda. La Lambda ne devrait pas avoir à faire de prétraitement lourd en CPU ou avec une empreinte mémoire forte. De plus, comme les données sont chargées à la demande, cela introduit un peu de latence, mais c’était acceptable pour eux.
• Au lieu de passer une copie des données entre les Lambdas qui peuvent être coûteuses en mémoire/réseau, ils sauvegardent les données dans S3 et ensuite utilisent une référence (métadonnées).

La plateforme est actuellement constituée de 4 services, formés d’un total de 23 Lambdas et 2 Batch.




Retour d’expérience

La scalabilité automatique (automatic scaling) avec Lambda est le principal avantage. C’est totalement transparent et géré par AWS. Quand il y a beaucoup de requêtes, des Lambdas sont créées et partagent la charge. Lorsque toutes les demandes ont été traitées, les Lambdas sont détruites (pour atteindre 0 lorsqu’elles sont inactives). Cependant, ce n’est pas une solution miracle, car vous pouvez avoir un goulot d’étranglement à un autre niveau de votre système (par exemple, votre base de données est trop lente) et vous ne pourrez pas exploiter pleinement l’élasticité des Lambdas.

Un inconvénient des Lambdas est le démarrage à froid (cold start), il leur faut du temps pour démarrer. En fait, une Lambda n’est pas vraiment détruite une fois le traitement terminé, car elle peut être réutilisée pour la prochaine requête, AWS dispose d’un mécanisme pour maintenir en vie, ce qui signifie que les Lambdas restent disponibles généralement quelques minutes après leur exécution. Ils ont donc décidé d’appeler la Lambda avec un volume de données négligeable toutes les minutes pour la garder disponible et « tiède ». Évidemment, c’est un hack et ce n’est pas garanti que cela marchera encore dans le futur, mais Chris nous a dit que c’était une pratique assez commune parmi les développeurs…

Pour le débogage, les choses ne sont pas faciles, vous devez déployer sur AWS pour tester votre code. De nos jours, il existe des bibliothèques et des frameworks pour vous aider.

Les logs des Lambdas sont indexées dans AWS CloudWatch Logs. D’après eux, l’expérience utilisateur de cet outil n’est pas génial, ils ont donc créé une Lambda pour copier les logs d’AWS vers un outil d’agrégation dédié: Sumo Logic, un outil de type Splunk. Pour les alertes et le monitoring, ils utilisent CloudWatch Metrics et ils ont également configuré des alertes dans Sumo Logic pour faciliter la recherche dans les logs.

Construire une architecture à partir de petites pièces simples pousse la complexité ailleurs au niveau de l’infrastructure (pendant la construction) et aussi vers les interactions entre les composants (pendant l’exécution). Le monitoring et la mise en place d’alertes sont également plus complexes à mesure que le système devient encore plus fragmenté. Il est important de garder à l’esprit qu’une Lambda a des limites très restrictives, aller au-dessus de l’une d’entre elles et votre Lambda sera tuée. Notez que les limites évoluent et sont levées au fil du temps. La technologie est encore jeune et l’outillage et les frameworks disponibles assez limités, mais vu le niveau d’excitation autour des Lambdas, il est clair que cela va s’améliorer.

D’un autre côté, vous n’avez pas besoin de penser aux serveurs et à leur maintenance. L’auto scaling est transparent et gère automatiquement la charge. Lambda vous permet de réaliser d’importantes économies, par exemple, si votre système est spécifique à un pays, vous savez que le trafic sera très limité pendant la nuit. Enfin, le modèle de programmation est très simple, juste un fichier JAR juste une fonction.




Ce deuxième jour à Devoxx était génial, surtout les talks du matin sur le Machine Learning. Je suis sorti de ces 2 jours avec beaucoup d’idées innovantes. Merci Devoxx UK et peut-être à l’année prochaine!



Keynote de clôture - Merci Devoxx UK!

The article Devoxx UK 2018 – Jour 2 was written by Fabian Piau.

Articles similaires:

1. Attaques de robots: vous n’êtes pas seul…
2. Devoxx UK 2018 – Jour 1
3. Panorama simplifié des métiers de l’informatique
4. Architecture Microservices – Les bonnes pratiques
]]> https://blog.fabianpiau.com/fr/2018/06/06/devoxx-uk-day-2/feed/ 0 4648 https://blog.fabianpiau.com/fr/2018/05/21/devoxx-uk-day-1/ https://blog.fabianpiau.com/fr/2018/05/21/devoxx-uk-day-1/#respond Mon, 21 May 2018 21:46:35 +0000 https://blog.fabianpiau.com/?p=4587  English version available Cette année, j’ai assisté aux 2 jours de la conférence Devoxx UK à Londres les 10 et 11 mai. Cet article est un résumé des notes que j’ai prises pendant le premier jour. Si vous souhaitez obtenir plus de détails sur un talk, vous pouvez regarder la vidéo associée. A Future without […]

The article Devoxx UK 2018 – Jour 1 was written by Fabian Piau.

Articles similaires:

1. Devoxx UK 2018 – Jour 2
2. QCon London 2016 – Spring Framework 5 – Preview et Roadmap
3. Une migration Java 11 réussie
4. Retour sur Fosdem 2013
]]>  English version available

Cette année, j’ai assisté aux 2 jours de la conférence Devoxx UK à Londres les 10 et 11 mai. Cet article est un résumé des notes que j’ai prises pendant le premier jour. Si vous souhaitez obtenir plus de détails sur un talk, vous pouvez regarder la vidéo associée.



Devoxx UK a eu lieu au Business Design Centre à Londres




A Future without Servers, avec Danilo Poccia

Comment construire le meilleur logiciel avec la meilleure expérience utilisateur?

Travailler « en arrière » à partir des besoins du client (work backwards). Avant de commencer toute implémentation:

1. Ecrire le Communiqué de presse
2. Ecrire la FAQ
3. Définir l’Expérience client
4. Ecrire le Manuel de l’utilisateur

L’idée est de rendre votre système simple. Un système complexe était simple au début, il est devenu complexe!

L’architecture change:

• Il y a 10 ans: nous splittons nos applications monolithes en utilisant XML et SOAP pour la communication
• Il y a 5 ans: nous créons des architectures micro services en utilisant REST / JSON ou un protocole binaire pour la communication
• Maintenant: nous construisons des architectures événementielles (event-driven) avec des fonctions éphémères

Qu’en est-il des données?

Les référentiels de données deviennent des sources d’événements. Chaque événement est une information immuable du métier.

Il y a une évolution de ACID (Atomic, Consistent, Isolated, Durable) vers ACID 2.0 (Associative, Commutative, Idempotent, Distributed).

Avec la conception pilotée par les événements, nous pensons cause / effet plutôt que qui déclenche quoi: « Le service B est causé par A » au lieu de « Service A déclenche B ». Nous utilisons un mécanisme de notification et d’accusé de réception.

Alors, à quoi ressemblera le futur?

Nous écrirons seulement le code de logique métier!




Let’s Get Lazy: Exploring the Real Power of Streams, avec Venkat Subramaniam

Venkat Subramaniam est un très bon speaker. C’était la première fois que je l’écoutais et j’ai été impressionné par sa façon de présenter, je vous suggère de regarder une de ses vidéos.

Haskell est un langage paresseux par défaut, les opérations qui peuvent être différées le seront. Avec Scala, c’est possible en utilisant le mot-clé « lazy ». Mais qu’en est-il de Java? Le mot-clé « lazy » n’existe pas, mais c’est possible avec le code fonctionnel et les streams introduits avec Java 8.

Le code impératif a une cérémonie haute et une complexité accidentelle. Vous dites quoi faire et comment le faire.

Le code fonctionnel a moins de cérémonie et moins de complexité. Vous dites quoi faire et c’est tout. Le code est très facile à lire de haut en bas.

Cependant, si le code est « joli », il peut ne pas être durable. Alors qu’en est-il de la performance? Par exemple, est-ce que nous traitons toute la collection pour ne prendre que le premier élément? FindFirst() est l’opération d’exécution terminale. Jusqu’à ce que nous l’appelions, rien (c’est-à-dire toutes les opérations intermédiaires) ne sera exécuté.

Un stream n’exécute pas de fonction pour chaque objet de la collection, mais il exécute une collection de fonctions pour chaque objet, mais seulement quand c’est nécessaire.

Un stream n’est pas une collection d’objets, c’est une collection de fonctions.

Les lambdas sont stateless.

List<Integer> numbers = Arrays.asList(1, 2, 3);
Stream<Integer> stream = numbers.stream()
                            .map (e -> e * 2); // Ceci est une lambda
stream.forEach(System.out::println);

Les closures portent les états immuables, soyez très prudent en les utilisant.

List<Integer> numbers = Arrays.asList(1, 2, 3);
final int factor = 2;
Stream<Integer> stream = numbers.stream()
                            .map (e -> e * factor); // Ceci est une closure
stream.forEach(System.out::println);

La paresse rend possible l’utilisation de stream infini, sinon le programme ci-dessous serait une boucle infinie.

Stream<Integer> infiniteStream = Stream.iterate(0, e -> e + 1);
List<Integer> numbers = infiniteStream 
                          .limit(5)
                          .collect(Collectors.toList());




Kotlin for Java Programmers, avec Venkat Subramaniam

Je suis resté dans la même salle, car j’ai beaucoup apprécié le premier talk de Venkat. Avec la même façon de présenter, cette deuxième présentation était toute aussi bonne.

Comme je n’ai jamais expérimenté Kotlin, c’était une bonne introduction pour moi. Ce langage basé sur la JVM devient vraiment populaire de nos jours, d’autant plus que Jetbrain le pousse pour être le langage principal pour la programmation Android. Venkat nous a donné beaucoup d’astuces pour rendre le code concis et nous a suggéré de jouer nous-mêmes avec en utilisant le REPL (kotlinc). Sans doute moins verbeux que Java et livré avec des fonctionnalités intéressantes (notamment la gestion des null et le lazy…). Je vais probablement l’essayer à un moment donné.




How to use AI and Java to train your application to recognize people by name, avec Ruth Yakubu

Ruth nous a présenté Microsoft Face API qui s’exécute sur la plate-forme de cloud computing Azure (bien évidement de Microsoft). Face API est l’un des services « cognitifs » fournit par Microsoft, par ex. il existe un service pour reconnaître la parole et traiter le langage naturel.

Elle nous a montré une application écrite avec Spring Boot qui interagit avec Face API. Tout d’abord, elle a uploadé une série de photos de l’acteur Matthew McConaughey (si vous ne le connaissez pas, il était le personnage principal dans Interstellar) pour former le modèle. Puis elle a uploadé une nouvelle photo de lui et de sa femme que le système ne connaissait pas encore. L’algorithme a reconnu l’acteur avec une grande précision alors qu’il ne savait pas qui était la femme l’accompagnant, mais il a été capable de donner une description précise d’elle (une femme souriante dans la trentaine, etc.).

Il est possible de créer votre propre algorithme d’apprentissage automatique avec Java, par exemple en utilisant la bibliothèque DeepLearning4J. Lors de la formation d’un modèle, il est important de séparer les données en 2 groupes, les données d’entraînement (80%) et les données de test (20%) afin de pouvoir vérifier que votre modèle a une bonne prédiction. Il est également important d’utiliser les GPUs et pas seulement les CPUs pour améliorer les performances, maintenant les bibliothèques en profitent, y compris DL4J.




Building a self-driving RC car, avec Tim van Eijndhoven

Ce fut une présentation intéressante pour suivre l’expérience de Tim et son équipe qui se sont lancés dans la création d’une voiture (jouet) autonome sans chauffeur basée sur un kit Radio Control (RC). Ils ont construit ce prototype dans le cadre d’un challenge. L’idée est que la voiture conduise de manière autonome et suive un itinéraire (tracé délimité par 2 lignes blanches) avec des courbes et des obstacles potentiels.

Si Tesla peut le faire, alors pourquoi pas nous? À notre échelle, bien sûr…

En plus du kit RC, ils ont ajouté un Raspberry Pi, un convertisseur de puissance/alimentation, une caméra et un mécanisme d’arrêt d’urgence (utile quand la voiture est hors de portée du WiFi et peut se crasher n’importe où…). Le budget total est d’environ 300 euros.

En ce qui concerne les technologies, ils ont utilisé:

• Vert.x, application réactive sur la JVM, événementielle et non bloquante
• La librairie OpenCV (Computer Vision) pour traiter le flux vidéo en temps réel et s’assurer que la voiture reste entre les lignes blanches

Il y a beaucoup de choses à penser, l’environnement est probablement la variable la plus incertaine. L’algorithme peut se tromper en fonction de:

• La surface (moquette à motifs, carreaux, route sombre)
• Le temps (ensoleillé, pluvieux, le programme est très sensible au changement de luminosité)
• Et d’autres facteurs (réflexion sur une fenêtre, effet miroir)

Ils ont beaucoup d’idées d’amélioration pour le futur:

• Il n’est pas nécessaire d’analyser toutes les images provenant du flux vidéo (en particulier sur une ligne droite). Actuellement, ils analysent une image toutes les 100ms (pourquoi 100ms?) Car c’est le temps qu’il faut pour en traiter une)
• Il n’est pas nécessaire d’analyser toute l’image (certaines parties peuvent être ignorées, ce qui est au-dessus de l’horizon n’est pas nécessaire par exemple)
• Déporter la logique de calcul sur la voiture elle-même au lieu d’un ordinateur portable sur le WiFi, pour éviter la latence du réseau (cependant la puissance de calcul de Raspberry Pi peut être limitée)
• Utiliser l’IA et le Deep Learning pour que la voiture puisse apprendre à naviguer en utilisant des vidéos d’entraînement: des vidéos lorsque la voiture est contrôlée à distance par un humain (cependant, cela peut prendre beaucoup de temps et de nombreuses vidéos seront nécessaires sur des circuits et avec des conditions différentes)




Cloud Native Java, part deux, avec Josh Long

Josh est Spring Developer Advocate chez Pivotal, c’était la première fois que j’assistais à une de ses conférences. J’ai vraiment apprécié et j’ai été très impressionné par son débit de parole et de code simultané sans oublier de nombreuses blagues. Un brillant orateur.

Josh a utilisé https://start.spring.io/ pour générer un petit projet pour gérer des réservations en utilisant Spring Cloud (construit sur Spring Boot). Pourquoi devriez-vous utiliser cet outil en ligne pour initialiser votre projet? Regardez la vidéo pour obtenir la réponse de Josh, c’est amusant!

Il a choisi Kotlin pour le service (car pourquoi pas?) avec des endpoints pour obtenir les messages et les réservations en utilisant un datastore réactif MongoDB. Le service chargeait les données de manière réactive pendant le démarrage.

Il a choisi Java pour le client en utilisant diverses technologies out-of-the-box grâce à Spring (Eureka, Spring Security, Hystrix pour le load balancer interne et gestion du fallback). Le client a pu interroger le service pour récupérer les données.

A la fin de la démo, il nous montre également une architecture sans serveur utilisant RIFF, un FaaS pour Kubernetes. Il a écrit une fonction pour transformer une chaîne de caractère en majuscules, puis utilise le terminal pour invoquer la fonction déployée sur Kubernetes. Il n’a pas eu le temps de nous montrer l’appel à partir d’un service, mais nous avons compris le principe.




Ma première journée à Devoxx était géniale, cette année j’ai essayé d’assister à des conférences plus innovantes sur le Serverless et le Machine Learning, un mélange live-coding et de théorie. Je posterai bientôt mon résumé du jour 2, alors stay tuned!



Les lettres #DevoxxUK dans le hall

The article Devoxx UK 2018 – Jour 1 was written by Fabian Piau.

Articles similaires:

1. Devoxx UK 2018 – Jour 2
2. QCon London 2016 – Spring Framework 5 – Preview et Roadmap
3. Une migration Java 11 réussie
4. Retour sur Fosdem 2013
]]> https://blog.fabianpiau.com/fr/2018/05/21/devoxx-uk-day-1/feed/ 0 4587 https://blog.fabianpiau.com/fr/2018/01/20/wise-revolut-and-monzo-small-revolution-for-travelers-and-expats/ https://blog.fabianpiau.com/fr/2018/01/20/wise-revolut-and-monzo-small-revolution-for-travelers-and-expats/#respond Sat, 20 Jan 2018 19:06:39 +0000 https://blog.fabianpiau.com/?p=4444  English version available Mise à jour 2024 : Mise a jour des liens de parrainage. 11 juin 2019 : Ajout de la carte Curve qui permet de combiner toutes vos cartes bancaires en une seule. 22 avril 2018 : Wise fournit maintenant une carte de débit pour ses comptes sans frontières. Pour ce premier article […]

The article Wise, Revolut et Monzo, une petite révolution dans le monde des expatriés et voyageurs was written by Fabian Piau.

Articles similaires:

1. Choisir la solution d’hébergement web qui correspond à vos besoins
2. Flagger – Déploiements Canary sur Kubernetes
3. Quelques règles essentielles pour éviter de se faire pirater ses comptes
4. Attaques de robots: vous n’êtes pas seul…
]]>  English version available
Mise à jour
2024 : Mise a jour des liens de parrainage.
11 juin 2019 : Ajout de la carte Curve qui permet de combiner toutes vos cartes bancaires en une seule.
22 avril 2018 : Wise fournit maintenant une carte de débit pour ses comptes sans frontières.

Pour ce premier article de l’année 2018, je vais vous présenter 3 services financiers éprouvés et utilisés par mes soins depuis plusieurs mois, voire années. Ils me permettent de réaliser d’importantes économies sur mes transactions interdevises en évitant les frais de commissions élevés des banques traditionnelles. Cet article n’est en aucun cas sponsorisé, mais je me permets quand même de glisser quelques liens de parrainage.

Pour ceux qui me connaissent ou me suivent, cela fait maintenant quelque temps que je vis en Angleterre, 3 ans déjà ! Il m’arrive également de voyager à l’étranger pour découvrir de nouveaux pays, de nouvelles cultures et accessoirement m’échapper un peu du brouillard londonien…

Après avoir débarqué en Angleterre, j’ai rapidement eu besoin d’ouvrir un compte en banque sur place où la monnaie n’est bien sûr pas l’Euro, mais la Livre sterling.

Pour alimenter ce compte (en attendant mon premier salaire), j’ai dû faire un transfert d’argent de mon compte français vers mon compte anglais. A l’époque pré-Brexit où la Livre était très forte, ce fut un peu douloureux… Et comme si ce n’était pas suffisant, ma banque allait prendre sa part avec une commission assez exorbitante sur mon transfert interdevise. Loin de moi l’idée de me faire doublement pigeonner, je me suis alors tourné vers Internet et parcouru quelques forums à la recherche de conseils. Mon choix s’est alors rapidement porté sur Wise (anciennment connu sous le nom TransferWise).






Le principe est simple et se base sur du bon sens. Les Anglais veulent parfois recevoir des euros, par exemple lorsqu’ils voyagent en Europe ; et inversement, des Européens ont besoin de livres sterling quand ils viennent en Angleterre. Wise permet de mettre en relation ces demandes en servant d’intermédiaire. L’entreprise possède des comptes dans plusieurs devises et répartit les montants entre les personnes. Par exemple, pour un virement de 1000 euros vers un compte en livre (donc environ 900 livres à l’heure actuelle), le système peut avoir besoin de 2 personnes (une personne qui veut convertir 400 livres en euro et une autre qui veut convertir 500 livres en euros) ou 3 personnes (qui veulent convertir 300 livres en euros chacune) ou 9 personnes (qui veulent convertir 100 livres chacune). Bref, vous avez compris le principe !

Une fois le compte de Wise enregistré auprès de votre banque traditionnelle (cela peut prendre plus ou moins de temps selon votre banque) et le transfert réalisé depuis votre compte d’origine, vous recevrez l’argent rapidement (en général en 1 jour) sur votre compte de destination.

Vous n’aurez pas de frais, car votre compte d’origine et le compte de Wise utilisent la même devise. Mais, sans surprise, Wise prend une commission, mais elle reste très négligeable (par exemple 5 euros pour un transfert de 1000 euros). Vous pouvez faire une simulation sur leur site, la commission est proportionnelle au montant du transfert.

Plus récemment, Wise a mis en place le compte borderless (sans frontières), à partir de ce « multicompte », vous pouvez recevoir des transferts de différentes devises de manière transparente, il suffit d’un clic pour activer une devise et obtenir vos identifiants bancaires correspondants (IBAN / BIC) que vous pouvez ensuite transmettre à la personne qui vous doit de l’argent. Depuis avril 2018, vous recevrez une carte de débit que vous pourrez utiliser pour payer n’importe où avec votre compte sans frontières.

Il est important de noter que le transfert se fait au taux du marché. Comme il est possible de décider quand vous voulez faire le transfert, il est donc judicieux de le faire quand le taux est le plus avantageux pour vous. Dans mon cas, c’était bien plus intéressant de faire des transferts de la Livre vers l’Euro avant le Brexit.

Enfin, si j’ai pris comme exemple la Livre et l’Euro, de nombreuses devises sont supportées : le Franc suisse, le Dollar américain, le Yen japonais, etc.

N’hésitez pas à regarder par vous-même et utilisez mon lien de parrainage pour ouvrir votre compte Wise (et votre premier transfert sera gratuit).




Même s’ils fournissent une carte de débit, Wise a un grand intéret pour des transferts d’argent entre vos comptes. Mais, quand n’est-il de vos voyages à l’étranger et de vos dépenses sur place ? Qui n’a pas déjà payé des commissions élevées de la part de sa banque lors d’un retrait à l’étranger ou lors d’un paiement par carte dans un restaurant ? Qui n’a pas déjà fait un gros retrait à un distributeur pour éviter les frais fixes à chaque retrait, quitte à se promener avec une grosse somme d’argent sur soi ? Si vous êtes curieux, le reste de l’article va vous intéresser…






Ouvrir un compte sur Revolut prend alors tout son sens. C’est une banque en ligne, ce qui veut dire qu’il n’y a pas de bureaux physiques, vous gérez tout vous-même depuis l’application sur votre smartphone : du changement de code pin à la désactivation de la carte en passant par le changement de votre adresse. Revolut est gratuit, il vous faudra juste débourser une petite somme (5 euros) pour recevoir votre carte de débit multidevise chez soi, sauf si vous utilisez mon lien de parrainage auquel cas la carte sera gratuite.

Vous pouvez faire la conversion de devises en avance depuis l’application pour assurer votre taux de change (usage avancé) ou il sera automatiquement calculé en fonction du taux de change actuel et des usages de votre carte (personnellement, je trouve cela suffisant). Le taux de change est très faible et correspond au taux interbanque (c’est donc un taux très bas proche de celui réel sans commission).

Revolut conseille fortement de garder un compte dans une banque traditionnelle dans le cas où la carte n’est pas acceptée, c’est une Visa donc cela ne devrait pas poser de problème, mais vous serez probablement content d’avoir une autre carte sous la main, au cas où.

L’application mobile est bien réalisée avec une répartition des dépenses par catégorie, une notification instantanée sur votre smartphone pour chaque dépense (utile dans le cas d’un paiement sans contact pour vérifier le montant), la possibilité de rembourser une autre personne instantanément ou de partager une dépense facilement.

Je prends l’exemple des voyages à l’étranger, mais rien ne vous empêche de l’utiliser tous les jours en créditant votre carte régulièrement. Vous pourrez ainsi voir vos dépenses par catégorie, mois par mois, et affiner votre budget.

Vous vous demandez où est l’arnaque? Et bien, c’est comme Wise, il n’y en a pas vraiment ! Mais il existe des plafonds de retrait et de paiement par carte (journalier, hebdomadaire et mensuel). Franchement, à moins de voyager pendant 6 mois par an ou se débrouiller comme un manche pour étaler ses dépenses, cela devrait être suffisant pour vous. Et puis il est possible de souscrire à l’option premium payante pour supprimer ou augmenter les plafonds et accéder à des services supplémentaires.

Revolut est une entreprise assez jeune en plein essor disponible dans plusieurs pays. De nouvelles fonctionnalités s’ajoutent tous les mois (échange de crypto devises, proposition d’assurance, de crédit, etc.).

Encore une fois, n’hésitez pas à regarder par vous-même et utilisez mon lien de parrainage pour ouvrir votre compte Revolut gratuitement. Il y a très peu de chance pour que vous le regrettiez.






Monzo est également une banque en ligne. Elle fournit un service très proche de celui de Revolut, à savoir la mise à disposition d’une carte bancaire Mastercard (donc pas Visa) pour faire des paiements dans différentes devises avec le taux interbanque.

Je dois dire que je l’utilise depuis plus longtemps et régulièrement que Revolut. Néanmoins, à l’heure actuelle, le service n’est disponible qu’au Royaume-Uni. Contrairement à Revolut, il n’y a pas de frais pour recevoir la carte, il n’y a pas non plus d’option payante, c’est totalement gratuit.

Contrairement à Revolut, Monzo se concentre exclusivement sur l’aspect dépense multidevise et reporting, donc pas d’assurance, de crypto ou autres. Et il le fait très bien ! Personnellement je trouve l’application pour smartphone un peu plus pratique. Ils ont eux aussi des plafonds, mais plus haut que sur Revolut.

Dans mon cas, le fait d’utiliser les 2 services et d’avoir 2 cartes bancaires permet indirectement de relever les plafonds. Aussi, il est possible que la carte Revolut ne passe pas chez un marchand à l’étranger, alors que celle de Monzo fonctionne parfaitement, et inversement.

Vous pouvez utiliser mon lien de parrainage pour ouvrir votre compte Monzo et recevoir 5 livres sterling gratuitement.






Enfin, mais pas des moindres, Curve est également une banque en ligne. Le point positif de cette carte est qu’elle permet de regrouper toutes les autres. Si vous ne souhaitez pas emporter avec vous toutes vos cartes bancaires tout le temps: Revolut, Monzo ou autres cartes professionnelles ou personnelles, il est possible de n’en utiliser qu’une seule: la carte Curve. Depuis l’application, un simple geste suffit pour sélectionner la carte qui sera active. C’est efficace et rendra votre portefeuille un peu plus léger. Notez qu’il peut y avoir quelques limitations en cas de litiges, mais cela conviendra pour une utilisation de tous les jours. Et puisque c’est gratuit, pourquoi ne pas l’essayer?

Vous pouvez utiliser mon lien de parrainage pour ouvrir votre compte et recevoir 5 euros gratuitement. Utilisez le code « EKGQQJQN » lors de la création de votre compte.




Une fois n’est pas coutume, j’ai peu abordé le côté technique, mais l’article reste tout de même centré sur le côté nouvelles technologies dans le système bancaire, j’espère qu’il aura été une lecture intéressante. Cela montre que de petites startups (Fintech) peuvent faire bouger les lignes du paysage bancaire et façonner notre future. Les banques traditionnelles doivent sans cesse innover pour rester dans la course, pas sûr qu’elles ont toutes prise le virage à temps, les clients d’hier ne sont plus les jeunes d’aujourd’hui.

Peut-être que vous aussi vous sauterez le pas vers la banque en ligne, avec un plus grand contrôle sur smartphone devenu un peu la norme à notre époque, et puis si en plus cela vous permet de faire des économies… Il n’y a pas de raison de ne pas essayer !

The article Wise, Revolut et Monzo, une petite révolution dans le monde des expatriés et voyageurs was written by Fabian Piau.

Articles similaires:

1. Choisir la solution d’hébergement web qui correspond à vos besoins
2. Flagger – Déploiements Canary sur Kubernetes
3. Quelques règles essentielles pour éviter de se faire pirater ses comptes
4. Attaques de robots: vous n’êtes pas seul…
]]> https://blog.fabianpiau.com/fr/2018/01/20/wise-revolut-and-monzo-small-revolution-for-travelers-and-expats/feed/ 0 4444 https://blog.fabianpiau.com/fr/2017/05/20/autocomplete-for-git/ https://blog.fabianpiau.com/fr/2017/05/20/autocomplete-for-git/#respond Sat, 20 May 2017 13:27:42 +0000 https://blog.fabianpiau.com/?p=4233  English version available Remarque Cette astuce ne fonctionne que pour les systèmes Unix (Linux, Mac OS…) Téléchargez le fichier git-completion.bash depuis Github. Ajoutez cette ligne à votre fichier de profil bash (par exemple .bashrc), je suppose que vous avez copié git-completion.bash à la racine de votre dossier home. source ~/git-completion.bash Si .bashrc n’existe pas, créez-le […]

The article Autocomplétion pour Git was written by Fabian Piau.

Articles similaires:

1. Gagner de l’espace disque avec Chrome / Chromium (ou comment ne pas en perdre…)
2. EclEmma – Une bonne couverture pour l’hiver
]]>  English version available
Remarque
Cette astuce ne fonctionne que pour les systèmes Unix (Linux, Mac OS…)



Téléchargez le fichier git-completion.bash depuis Github.

Ajoutez cette ligne à votre fichier de profil bash (par exemple .bashrc), je suppose que vous avez copié git-completion.bash à la racine de votre dossier home.

source ~/git-completion.bash

Si .bashrc n’existe pas, créez-le d’abord.

Cette ligne va charger le script git-completion.bash automatiquement lorsque vous ouvrirez une session bash.

Vous pourrez ensuite compléter automatiquement toutes vos commandes Git (avec Tab), et aussi accéder à des raccourcis plus avancés comme par exemple la recherche de branches locales et distantes en commençant à saisir leur nom.

The article Autocomplétion pour Git was written by Fabian Piau.

Articles similaires:

1. Gagner de l’espace disque avec Chrome / Chromium (ou comment ne pas en perdre…)
2. EclEmma – Une bonne couverture pour l’hiver
]]> https://blog.fabianpiau.com/fr/2017/05/20/autocomplete-for-git/feed/ 0 4233 https://blog.fabianpiau.com/fr/2017/03/01/swagger-automated-api-documentation/ https://blog.fabianpiau.com/fr/2017/03/01/swagger-automated-api-documentation/#comments Wed, 01 Mar 2017 21:36:26 +0000 https://blog.fabianpiau.com/?p=4179  English version available A l’heure où les projets informatiques se basent la plupart du temps sur une architecture orientée microservices, il n’est pas étonnant que les différents microservices soient développés et maintenus par des équipes différentes. Chaque service fournit une API (privée ou public) qui permet de communiquer avec le monde extérieur tout en garantissant […]

The article Swagger, la documentation API automatisée was written by Fabian Piau.

Articles similaires:

1. Architecture Microservices – Les bonnes pratiques
2. Devoxx UK 2018 – Jour 2
3. Faire du REST social avec HATEOAS
4. API, REST, JSON, XML, HTTP, URI… Vous parlez quelle langue en fait?
]]>  English version available

A l’heure où les projets informatiques se basent la plupart du temps sur une architecture orientée microservices, il n’est pas étonnant que les différents microservices soient développés et maintenus par des équipes différentes.

Chaque service fournit une API (privée ou public) qui permet de communiquer avec le monde extérieur tout en garantissant l’intégrité de ses données. De multiples appels imbriqués entre les microservices permettent de réaliser un traitement plus complexe. Il est très important d’avoir une documentation à jour pour chacune de vos API. Qui n’a jamais entendu un développeur dire à un autre « Cette doc n’a pas été mise à jour depuis des mois, regarde le code directement! ».



Swagger UI se conforme à cette affirmation. Il suffit d’ajouter des annotations précises dans votre code et le framework s’occupera de générer de manière semi-automatique toute la documentation de votre API. ‘Semi-automatique’ car il ne peut pas écrire la documentation métier, vous devez donc l’écrire vous-même, un peu comme si vous écrivez de la Javadoc.

La documentation générée par Swagger est donc mise à jour en même temps que le code. Par exemple, si vous ajoutez un nouveau paramètre à une méthode exposée, celui-ci sera automatiquement pris en compte et documenté avec les annotations adéquates. La documentation n’est pas seulement un fichier HTML statique, elle permet de faire office de client HTTP (il n’y a pas besoin d’avoir Postman installé par exemple) pour tester les différentes méthodes exposées par l’API.

Vous pouvez regarder l’application exemple officielle (Petstore) pour avoir un accès aux différentes fonctionnalités supportées, par exemple l’authentification OAuth2.0 est supportée.



Exemple d'application avec Swagger

Cerise sur le gâteau si vous utilisez Spring MVC dans votre application, le projet SpringFox (surcouche Swagger) rend l’intégration de Swagger très simple. En moins d’une heure, vous devriez être capable de générer la documentation de votre API. Ensuite, vous pourrez ajouter des annotations optionnelles pour la rendre plus complète.

En adoptant Swagger sur l’ensemble de vos microservices, il est fort à parier que la communication entre vos différentes équipes s’améliore. Désormais, vous n’aurez qu’un seul point d’entrée, oubliez donc la page wiki mal-documentée qui avait tendance à prendre la poussière… En vous souhaitant une bonne documentation!

The article Swagger, la documentation API automatisée was written by Fabian Piau.

Articles similaires:

1. Architecture Microservices – Les bonnes pratiques
2. Devoxx UK 2018 – Jour 2
3. Faire du REST social avec HATEOAS
4. API, REST, JSON, XML, HTTP, URI… Vous parlez quelle langue en fait?
]]> https://blog.fabianpiau.com/fr/2017/03/01/swagger-automated-api-documentation/feed/ 2 4179 https://blog.fabianpiau.com/fr/2016/10/03/microservices-architecture-best-practices/ https://blog.fabianpiau.com/fr/2016/10/03/microservices-architecture-best-practices/#comments Mon, 03 Oct 2016 06:00:15 +0000 https://blog.fabianpiau.com/?p=3911  English version available Je travaille sur une architecture microservices depuis assez longtemps maintenant et j’ai assisté à pas mal de conférences sur le sujet. Dans cet article, je veux rassembler mon expérience pour vous donner quelques conseils basés sur mon retour d’expérience. Chaque titre représente ce que vous ne devez pas faire suivi d’une description […]

The article Architecture Microservices – Les bonnes pratiques was written by Fabian Piau.

Articles similaires:

1. Devoxx UK 2018 – Jour 2
2. Swagger, la documentation API automatisée
3. Faire du Responsive Web Design: oui, mais simplement!
4. Devoxx UK 2018 – Jour 1
]]>  English version available

Je travaille sur une architecture microservices depuis assez longtemps maintenant et j’ai assisté à pas mal de conférences sur le sujet. Dans cet article, je veux rassembler mon expérience pour vous donner quelques conseils basés sur mon retour d’expérience. Chaque titre représente ce que vous ne devez pas faire suivi d’une description de ce que vous devriez faire à la place. Même si vous faites déjà des microservices sur votre projet, cela peut tout de même être une bonne lecture (je l’espère) et un rafraîchissement de vos connaissances. Aussi, n’hésitez pas à commenter l’article et partager vos propres retours!

Disclaimer
Vous pouvez appeler une architecture microservices SOA (ou appelez la comme bon vous semble), mais je préfère utiliser le mot à la mode pour le référencement de mon blog. ;)

L’adoption d’une architecture microservices n’est pas si aisée. Ecrire des microservices, ce n’est pas seulement coder, c’est également un bouleversement des équipes et de la structure de l’organisation.






Extrait moi donc tout ce code complexe, il sera plus simple dans un microservice!

L’adoption est toujours un peu plus facile lorsqu’elle commence sur un nouveau projet, quand on démarre de zéro. Si tel est votre cas, alors vous êtes chanceux! Si vous voulez casser une application monolithique en un ensemble de microservices, évitez de le faire en une seule fois, la manière big bang est le meilleur moyen de faire tout sauter. Essayez de regrouper l’ensemble des fonctionnalités similaires qui peuvent être inclus au sein d’un microservice. Assurez-vous que toutes ces fonctionnalités soient bien testées avant d’engager votre refactoring. Si la couverture de code par les tests est faible, vous devez commencer par l’écriture de tests. Cela vous permettra non seulement d’améliorer le code du monolithe, mais vous réutiliserez ainsi ce code dans votre futur microservice. Gardez à l’esprit que vous préparez l’extraction, ce travail ne sera donc pas inutile.

Si vous ne disposez pas suffisamment de tests, vous allez faire les choses à l’aveuglette et vous ne serez plus en mesure de vous assurer que vous n’avez rien cassé, la régression est la dernière chose que vous voulez. Pour résumer, écrivez des tests d’intégration autour du code que vous voulez extraire, ensuite vous pouvez commencer à extraire la fonctionnalité pour créer un microservice. Vos tests d’intégration devront toujours être au vert, mais la plomberie derrière aura changé.

Commencez petit et facile au début. Et n’ayez pas peur de dupliquer du code. Une fois que votre microservice est branché et fonctionne bien, vous pouvez supprimer le code dupliqué du monolithe. Faire de l’A/B testing peut aussi aider, vous pouvez rerouter progressivement le trafic vers le nouveau microservice et voir comment le système réagit.




Le piège du ‘micro-monolith-service’

Gardez le microservice assez petit et pas trop complexe. Il n’y a pas de réponse magique à la question combien de lignes de code pour un service pour être considéré comme un microservice? Cela se base plus sur le ressentiment et des bases techniques saines avec un design bien construit. Si un nouveau membre de l’équipe a besoin d’une journée pour comprendre le code et ce que votre microservice fait, alors vous avez probablement un souci. Quelques heures tout au plus devraient largement suffire.




Vous devez parser un fichier XML, laissez-moi écrire un microservice pour ça!

C’est l’autre extrême, il faut éviter de créer un microservice quand une simple librairie est suffisante. Vous ne voulez pas avoir une profondeur d’appel trop grande (nombre de requêtes imbriquées). Si vous avez plus de 3 requêtes imbriquées, vous faites probablement des nanoservices. Un appel implique une latence réseau et une éventuelle défaillance. Si un microservice doit être déployé avec une API, une librairie sera directement intégrée sans surcoût opérationnel. Il y a donc un équilibre entre coût DevOps et complexité monolithique.




Désolé, je ne peux pas vous aider, je n’ai pas travaillé sur ce microservice…

Il est impossible que toutes les équipes soient responsables de tous les microservices. La synchronisation et la communication entre vos équipes devient primordiale. J’ai très souvent entendu le fait qu’une équipe ne devrait pas être responsable d’un microservice, et que tout le monde devrait être en mesure de changer et de travailler sur n’importe quel microservice. Eh bien, en réalité ce n’est pas vraiment le cas! Néanmoins, vous pouvez adopter quelques bonnes pratiques pour rendre ce concept plus facile.

A mon avis, une équipe responsable d’un microservice signifie qu’elle est responsable de la construction et de la bonne exécution. Quand quelque chose coince en production, l’équipe devrait être le principal point de contact. Vous aurez juste à trouver une personne au sein de l’équipe qui acceptera un appel à 5h du matin… Je plaisante ;)




Spring, Dropwizard, Finagle, Clojure, faisons un mix de tout ça!

Essayez de vous limiter à une stack technologique commune pour tous vos microservices. Je sais qu’un grand avantage des microservices est que vous pouvez les construire avec n’importe quel langage ou technologies. Mais les développeurs passionnés auront tendance à utiliser le dernier framework à la mode. Dans le long terme et avec l’inévitable turn-over, la maintenance de vos microservices va devenir douloureuse et finir en cauchemar. Le passage de microservices entre les équipes va devenir très difficile, voire impossible. C’est pour cela, je pense qu’il est important de se limiter à un certain nombre de technologies.

De nombreuses technologies sont disponibles pour faire des microservices, vous devez utiliser quelque chose de fiable, maintenu, et ainsi de suite. Quelle sérialisation, texte ou binaire? REST, Thrift, SOAP? Solution open-source ou du fait-maison? Il n’y a pas de bonne réponse. Comparez les différentes technologies, les avantages et les inconvénients, et utilisez la solution la plus appropriée pour votre besoin.

Dans le même temps, cette limitation ne devrait pas vous empêcher d’innover. Ne vous limitez pas à ce que vous utilisez et maîtrisez déjà si vous pensez qu’il y a une meilleure solution sur le marché. Essayez-la sur un nouveau microservice (de préférence non critique pour le système) avec un POC, puis en cas de succès, vous pouvez la propager à l’ensemble du système.




Qu’en est-il du stockage des données?

Vous pouvez être plus flexible sur le type de data store. C’est une dépendance externe, et elle doit être adaptée en fonction des besoins (base de données relationnelle, noSQL, en mémoire, accès en lecture seule…).

Gardez vos data stores indépendants, chaque microservice est un gardien de ses données. Vous ne devriez jamais le contourner en liant un microservice au data store d’un autre. Ce serait une très mauvaise conception. Dans le cas où vous êtes limité à une base de données, ça ne posera pas de problème car vous pouvez définir différents schémas pour chaque microservice afin de limiter les accès.




Si un microservice tombe, tout mon système est en panne…

Il est important de concevoir une bonne architecture, c’est le socle technique qui supportera vos microservices. Pensez scalabilité, circuit breaker (pattern coupe circuit), service discovery (découverte des services) dès le début du projet, surtout pas un mois avant de mettre en production avec des milliers d’utilisateurs potentiels. Vous devez toujours garder cela à l’esprit à partir du jour 0. Certaines personnes peuvent argumenter sur ce point, et parfois vous pourriez avoir à convaincre le product owner qui ne voit pas de valeur business. Mais croyez-moi, plus vous attendez, plus vous aurez du pain sur la planche, et vous ne serez pas si confiant avec votre architecture tant que toutes ces tâches techniques ne seront pas complètes.

Vous avez affaire à de nombreuses requêtes distribuées sur le réseau, qui n’est généralement pas très fiable, il faut imaginer un design résilient. Ceci est un état d’esprit que l’équipe se doit d’adopter. Vous devez penser aux retries (plusieurs tentatives, en cas d’échec, on réessaie sur une autre instance par exemple), aux appels idempotents et ainsi de suite. Mettre en place des retries n’est pas aussi facile que de l’expliquer, surtout quand l’appel n’est pas idempotent. A un certain point, vous aurez besoin d’affiner la configuration des tentatives. Par exemple, éviter des retries au niveau inférieur si on réessaie déjà au niveau supérieur, ou bien adapter le délai d’attente entre les tentatives au niveau supérieur, celui-ci devrait être plus grand que le délai d’attente au niveau inférieur, etc. Tous vos microservices devraient exposer un ensemble d’URL de type healthchecks et exposer des métriques utiles qu’un outil de surveillance pourra utiliser (suivant un modèle basé sur des pull ou des push).

Il est également important de tester l’infrastructure. Qu’est-ce qui se passera si cette instance de microservice tombe? Vous devriez faire du Monkey testing (c.-à-d. éteindre certains microservices au hasard), le système devrait réagir positivement et être encore capable de traiter et de servir les requêtes (en mode dégradé).




Ok, je vais faire un ‘grep’ sur la log pour voir ce qui s’est passé hier… Attend… Il y a 50 logs ici!

Avoir beaucoup de microservices implique beaucoup d’interactions, et donc pas mal de log. Il sera difficile de déboguer si quelque chose a mal tourné en production. Où est-ce que ça s’est passé? Quel fichier de log? Quel environnement? Les ops peuvent se perdre facilement… Essayez de faire un logging précis, surtout gardez un identifiant de corrélation pour être en mesure de retracer la pile d’appel à travers les différents fichiers de log.

Soyez proactif et n’attendez pas que le client se plaigne. Traquez toute stacktrace qui se produit, déclenchez des alertes et corrigez constamment tous les problèmes jusqu’à ce que vos logs soient « nettoyées » et contiennent uniquement des informations utiles et précises. La mise en place d’un outil de surveillance des logs (par exemple Splunk, Kibana…) aura du sens dans une architecture microservices.




Nous ne pouvons pas tester, nous dépendons d’un microservice pas encore prêt

Lors de l’écriture des tests d’intégration, mockez toutes les dépendances externes au microservice. Surtout si une équipe est encore en train de développer un microservice dont vous dépendez. Vous ne voulez pas attendre qu’ils aient fini. Par exemple, vous pouvez jeter un oeil à Wiremock. A l’opposé, pour les tests de bout en bout (end-to-end), essayez de fournir des outils efficaces et rapides pour les exécuter localement, l’utilisation de serveurs embarqués est une bonne façon d’y parvenir.

Je l’ai déjà mentionné, déployez souvent en production, surtout au début, et n’attendez pas 6 mois pour déployer vos microservices. Même s’ils ne sont pas (encore) utiles d’un point de vue business, vous serez davantage en confiance lorsque vous travaillerez dessus, et alors vous pourrez implémenter la logique métier sans trop vous soucier de l’architecture. Plus tôt vous testez en production, plus tôt vous pourrez déceler des bogues et être en mesure de les corriger rapidement.




Nous allons concevoir l’API comme ça pour l’instant, au plus simple, nous la changerons plus tard

Il est difficile d’être agile lors de la conception d’une API, surtout quand celle-ci est publique. Une fois qu’une version a été livrée et commence à être utilisée, tout changement conséquent impliquera un changement de contrat de l’API. Vous allez alors devoir versionner votre API et, finalement, devoir maintenir plusieurs versions en parallèle. Il est important de passer un peu de temps au début pour définir un bon contrat pour l’API qui sera capable d’évoluer sans breaking changes (idéalement). Cela semble Waterfall pour vous? Eh bien, c’est probablement un peu le cas…

Toujours garder à l’esprit qu’il faut être rétrocompatible (même si les appels sont internes) et utiliser l’API versioning. Par exemple, ne pas renommer un champ comme ça, mais suivre un processus un peu plus long mais sûr, vous devez ajouter le nouveau champ, gardez l’ancien déprécié jusqu’à ce que tous les clients soient migré, ensuite vous pouvez le supprimer.




Les ops ont besoin d’une journée pour déployer quelques microservices, comment est-ce possible?!

L’équipe opérationnelle doit changer de mentalité, au lieu de déployer et surveiller une grosse et unique application, ils devront gérer de nombreuses petites applications et s’assurer qu’il n’y a pas de problème de communication. De quelques étapes manuelles, l’équipe se retrouve avec de nombreuses étapes fastidieuses. Ils seront rapidement dépassés s’ils gardent les mêmes habitudes, en particulier quand on sait que le nombre de microservices va croître au fil du temps.

Ils auront besoin d’automatiser leur travail et éviter toute étape manuelle sujette à des erreurs humaines. L’adoption d’une architecture microservices vous oblige à faire du « vrai » DevOps. Le développeur doit participer à la mise en place de l’architecture, il n’est plus suffisant de donner un fichier et compter sur les ops pour faire le travail. Les développeurs doivent être impliqués. Idéalement, un ops sera dédié à l’équipe pour s’assurer que la configuration réseau est correcte, les health checks existent et fonctionnent, il participera aux stand-ups et pourra même avoir son bureau avec l’équipe de dév. Il sera sans doute nécessaire de commencer à utiliser un outil de déploiement automatisé tel qu’Ansible.




Nous avons passé 6 mois sur cette architecture, elle fonctionne super bien… Par contre on a 50 utilisateurs!

Dernier conseil, ne pas essayer de tout faire en même temps. Vous devez déjà gérer pas mal de problématiques. Vous pouvez mettre de côté certains points comme le self-healing (auto-guérison), le service discovery (découverte de service), circuit-breaker (coupe-circuit), auto-scaling, etc. L’utilisation de retries et de multiples instances sera suffisant au début. Mais gardez à l’esprit que vous devrez les mettre en oeuvre à un moment donné, surtout quand votre système sera une réussite et sera utilisé par des milliers d’utilisateurs.

The article Architecture Microservices – Les bonnes pratiques was written by Fabian Piau.

Articles similaires:

1. Devoxx UK 2018 – Jour 2
2. Swagger, la documentation API automatisée
3. Faire du Responsive Web Design: oui, mais simplement!
4. Devoxx UK 2018 – Jour 1
]]> https://blog.fabianpiau.com/fr/2016/10/03/microservices-architecture-best-practices/feed/ 5 3911 https://blog.fabianpiau.com/fr/2016/04/24/faq-online-survey-with-google-docs-drive-forms/ https://blog.fabianpiau.com/fr/2016/04/24/faq-online-survey-with-google-docs-drive-forms/#comments Sun, 24 Apr 2016 17:46:07 +0000 http://blog.fabianpiau.com/?p=3567  English version available L’article Réaliser un sondage en ligne avec Google Forms / Drive / Docs reçoit régulièrement des commentaires. Je me suis aperçu que des questions reviennent souvent, j’ai donc décidé d’écrire cet article sous la forme d’une FAQ. Je ne me considère pas comme étant un expert sur Google Forms et Google peut […]

The article FAQ – Sondage en ligne avec Google Forms / Drive / Docs was written by Fabian Piau.

Articles similaires:

1. Réaliser un sondage en ligne avec Google Forms / Drive / Docs
2. Formation en ligne gratuite sur MongoDB
3. Faut-il se méfier de Google?
4. Mesurer et analyser l’audience de votre site avec Matomo
]]>  English version available



L’article Réaliser un sondage en ligne avec Google Forms / Drive / Docs reçoit régulièrement des commentaires. Je me suis aperçu que des questions reviennent souvent, j’ai donc décidé d’écrire cet article sous la forme d’une FAQ. Je ne me considère pas comme étant un expert sur Google Forms et Google peut faire évoluer son produit à tout moment, rendant mes articles obsolètes. Néanmoins, cette FAQ apportera peut-être (et je l’espère) la réponse à votre question.




Lorsqu’un utilisateur souhaite répondre au questionnaire, il doit se connecter à son compte Google, est-ce normal?

Vous devez désactiver l’option « N’autoriser qu’une seule réponse par personne » qui oblige les personnes à se connecter avec (et posséder) un compte Google. Par contre, sans cette option, les personnes pourront potentiellement répondre plusieurs fois.




Comment peut-on empêcher une personne de répondre plusieurs fois au sondage?

Pour avoir plus de confiance dans les résultats, vous pouvez activer l’option « N’autoriser qu’une seule réponse par personne ». Notez que les utilisateurs seront invités à se connecter à leur compte Google pour consulter et remplir le formulaire, mais leur nom d’utilisateur réel ne sera pas enregistré.




Je ne souhaite pas forcer mes utilisateurs à avoir un compte Google, y-a-t-il une alternative?

Si vous ne souhaitez pas obliger vos utilisateurs à avoir un compte Google, une alternative consiste à utiliser le pré-remplissage des formulaires.

Par exemple, voici différents liens pour pré-remplir le champ « prénom » dans un sondage:

• https://docs.google.com/forms/d/e/1FAIpQLSfMDnUWGkBJLlrHhyfqV8yY2fWihOz4FWFhIz8j0FjzxmC2Qw/viewform?entry.1000000=Fabian
• https://docs.google.com/forms/d/e/1FAIpQLSfMDnUWGkBJLlrHhyfqV8yY2fWihOz4FWFhIz8j0FjzxmC2Qw/viewform?entry.1000000=Caroline

Vous noterez l’URL qui change à la fin avec un paramètre additionnel. J’ai pris le pré-remplissage d’un seul champ, mais il est très facile de pré-remplir plusieurs champs (comme le nom, le prénom ou un email). Générez le lien à partir du menu pour obtenir la syntaxe des paramètres et ensuite vous pouvez modifier manuellement les paramètres avant d’envoyer le lien. Si vous avez beaucoup de liens à envoyer, cela prendra un peu de temps, mais cela fonctionnera.

Attention, cela n’empêchera pas la personne de pouvoir modifier les informations pré-remplies après coup si elle le souhaite (directement depuis le formulaire ou en changeant l’URL) ou de répondre au sondage plusieurs fois.

Il n’est pas possible de cacher des champs, mais il y a une solution de contournement! Vous pouvez ajouter les champs nom et prénom sur une section du formulaire qui ne s’affichera jamais. Il faut utiliser des sections dans votre formulaire et changer la navigation pour ne jamais afficher la section qui contient les champs cachés et passer directement à la suivante. Lisez les pages Ajouter du contenu à votre formulaire pour savoir comment ajouter une section et particulièrement cette page pour Contrôler la navigation entre les différentes sections d’un formulaire.
Encore une fois, cela n’empêchera pas l’utilisateur de changer manuellement l’URL, mais beaucoup ne feront pas attention, surtout si vous utilisez un raccourcisseur d’URL.
Cela vous obligera à utiliser des sections, mais en général leur utilisation est une bonne chose pour éviter un long formulaire qui déroule toutes les questions sur une page unique.




Est-il possible d’inclure le questionnaire dans mon site?

Oui, il est possible d’inclure le formulaire dans votre site sous la forme d’une iFrame. L’option est disponible depuis le menu « Fichier ». Le menu génère un bout de code HTML que vous pouvez ensuite copier / coller dans une des pages de votre site. Vous pouvez aussi écrire le code manuellement, par exemple:

<iframe src="https://docs.google.com/forms/d/1yuSGyvlNg-zevf5TaJO585G5xr9ekLFkn9qvIcXvbbQ/viewform?embedded=true" width="760" height="500" frameborder="0" marginheight="0" marginwidth="0">Chargement...</iframe>

Vous pouvez changer la taille de l’iFrame et l’URL pour l’adapter à votre formulaire. Avec les valeurs width="760" et height="500", l’iFrame aura une hauteur de 500 pixels et une largeur de 760 pixels.




Est-il possible d’inclure le questionnaire directement dans un email?

Oui, c’est possible. Assurez-vous de cocher la case « Inclure le formulaire dans l’email » depuis le menu « Envoyer le formulaire ».




Je voudrais pouvoir obtenir l’adresse IP de chaque participant. Est-ce possible?

Non, ce n’est pas possible de tracer l’adresse IP. Vous pouvez obliger l’utilisateur à s’authentifier avant de pouvoir répondre au questionnaire, mais cela oblige l’utilisateur à se connecter avec son compte Google.




Est-il possible que les répondants modifient leurs réponses après avoir soumis le formulaire?

Lors de la construction du formulaire, il y a une option sur la page de confirmation, « Modifier votre réponse : permet aux utilisateurs de modifier leurs réponses aux questions du formulaire ». Si cette option a été cochée, à la fin du questionnaire, la personne aura la page de confirmation avec un lien unique pour éditer ses réponses. Ce lien n’est affiché qu’une seul fois, si la personne ferme la fenêtre, elle ne pourra plus éditer ses réponses à nouveau. Vous trouverez plus d’information sur la documentation officielle Envoyer un formulaire aux personnes à interroger.




Y-a-t-il un nombre maximum de réponses?

Il n’y a pas de limite particulière. Cependant, un formulaire a une limite de 2 millions de cellules.




Est-il possible de rediriger les utilisateurs vers un autre site une fois le formulaire soumis?

Non, ce n’est pas possible. Une bonne idée peut être de changer la page de confirmation à la fin de votre formulaire. Au lieu du classique « Votre réponse a été enregistrée », remplacez par une autre phrase invitant vos utilisateurs à cliquer sur un lien pour continuer.




Est-il possible d’imposer une date limite pour répondre au questionnaire?

Il n’y a pas de fonctionnalité toute faite pour cela. Mais rien ne vous empêche d’ajouter une section de texte libre en haut du questionnaire pour indiquer que le questionnaire sera disponible jusqu’au JJ/MM/AAAA. Et le jour J, vous clôturez le questionnaire. Cela aura le même effet.

Pour empêcher l’envoi de nouvelles réponses, cliquez sur le bouton Accepter les réponses dans la barre d’outils. Le bouton indiquera alors « Les réponses ne sont plus acceptées ». Pour réactiver l’envoi de réponses, cliquez de nouveau sur ce bouton.
Lorsqu’un formulaire n’accepte plus de réponse, les utilisateurs qui le consultent sont informés par un message que leurs réponses ne seront pas collectées. Pour personnaliser ce message, modifiez le texte qui s’affiche sous le titre « Ce formulaire a été désactivé » dans la partie supérieure du formulaire.




Est-il possible de créer un sondage multilingue?

Ce n’est pas possible, mais il y a plusieurs solutions de contournement qui peuvent être plus ou moins satisfaisantes.

Vous pouvez créer des formulaires différents, le lien sera différent, ainsi que le résumé des réponses. Il sera impossible de fusionner les résultats de manière automatique, il sera alors nécessaire de retravailler le tableau des réponses avec un tableur comme Excel (pour consolider les réponses).

Vous pouvez aussi ajouter une première question qui demande la langue de l’utilisateur, ensuite vous affichez les sections suivantes dans la langue sélectionnée. L’avantage, un lien unique pour tout le monde (pas de risque d’erreur). L’inconvénient, la question en français et la question en anglais seront des colonnes différentes car considérées comme des questions différentes (une cellule sur deux sera toujours vide), donc le résumé des réponses ne correspondra pas à vos attentes. Encore une fois, il faudra consolider les réponses manuellement.




Est-il possible qu’une personne commence à répondre à un questionnaire et puisse le reprendre plus tard?

Non ce n’est pas possible. Toutes les réponses sont enregistrées en une fois lors de la soumission du formulaire.

The article FAQ – Sondage en ligne avec Google Forms / Drive / Docs was written by Fabian Piau.

Articles similaires:

1. Réaliser un sondage en ligne avec Google Forms / Drive / Docs
2. Formation en ligne gratuite sur MongoDB
3. Faut-il se méfier de Google?
4. Mesurer et analyser l’audience de votre site avec Matomo
]]> https://blog.fabianpiau.com/fr/2016/04/24/faq-online-survey-with-google-docs-drive-forms/feed/ 234 3567 https://blog.fabianpiau.com/fr/2016/04/14/qcon-london-2016-project-jigsaw-in-jdk-9-modularity-comes-to-java/ https://blog.fabianpiau.com/fr/2016/04/14/qcon-london-2016-project-jigsaw-in-jdk-9-modularity-comes-to-java/#respond Thu, 14 Apr 2016 20:09:40 +0000 http://blog.fabianpiau.com/?p=3520  English version available Simon Ritter a donné une présentation sur le futur JDK 9 à QCon London. La politique de compatibilité de Java Il a commencé avec un fait intéressant: depuis longtemps, Java a une politique de compatibilité permanente. Si une application utilise uniquement des API prises en charge par une version N de Java, […]

The article QCon London 2016 – Projet Jigsaw dans JDK 9 – La modularité arrive sur Java was written by Fabian Piau.

Articles similaires:

1. Une migration Java 11 réussie
2. Panorama simplifié des métiers de l’informatique
3. Java EE & CDI vs. Spring
4. QCon London 2016 – Spring Framework 5 – Preview et Roadmap
]]>  English version available

Simon Ritter a donné une présentation sur le futur JDK 9 à QCon London.



QCon London 2016 - Projet Jigsaw dans JDK 9 - La modularité arrive sur Java




La politique de compatibilité de Java

Il a commencé avec un fait intéressant: depuis longtemps, Java a une politique de compatibilité permanente.
Si une application utilise uniquement des API prises en charge par une version N de Java, elle devrait parfaitement fonctionner sur la version N+1, sans même devoir être recompilée.
Voilà pourquoi, à ce jour, il y a:

• 23 classes, 18 interfaces et 379 méthodes qui ont été dépréciées
• Et rien qui n’a été supprimé.




JDK 9 apporte des incompatibilités

Le JDK est devenu de plus en plus lourd au fil des années. Les choses vont changer avec la version 9.

• Un petit nombre d’API actuellement supportées sera supprimé
• La structure binaire du JRE et JDK va changer (voire les détails ci-dessous)
• Il est interdit d’utiliser le caractère underscore _ pour nommer une variable. C’est maintenant un mot-clé réservé.
• Il y aura un nouveau système de versionnage de sorte qu’il sera plus facile de faire la distinction entre les versions majeures, mineures, ou les mises à jour liées à la sécurité ; par exemple, Java 9.1.2.1. Le format de versionnage actuel est difficile à comprendre, par exemple les versions 8u51 et 8u60 ne sont pas très explicites.

La structure du JDK va changer. Le dossier JRE est supprimé, tools.jar et rt.jar ne seront plus présents, ces JARs contenaient pas mal de duplication.



Structure Pre-JDK 9

Pour mieux comprendre la structure pre-JDK 9, vous pouvez lire JDK 8 and JRE File Structure.



Structure JDK 9

La structure du JDK 9 est beaucoup plus propre.

JEP 260 proposal est au coeur du JDK 9 et Jigsaw.

L’idée est de rendre la plupart des API internes du JDK inaccessibles par défaut, mais en en laissant tout de même quelques-unes (celles qui sont largement utilisées et sont donc critiques) jusqu’à ce qu’elles soient remplacées.

Le but est d’encapsuler toutes les API dépréciées dans un module, et finalement de s’en débarrasser plus tard (JDK 10?).

Depuis la version 8 du JDK, un outil en ligne de commande existe pour analyser les dépendances de votre JAR ou de vos classes: jdeps. Essayez-le! Il peut être utile pour savoir si vous utilisez encore des API internes du JDK. Vous devriez éviter d’utiliser de telles dépendances, car elles peuvent être supprimées dans une future version du JDK.




Jigsaw et les modules

Nous parlons de module, mais qu’est-ce que c’est en fait?
Jigsaw apporte de la modularité au JDK. Il rend Java plus évolutif et flexible, tout en améliorant la sécurité, la maintenabilité et la performance.
Le JDK est divisé en modules, l’idée est de prendre seulement ce dont on a besoin.

Module

Un module est un regroupement de code (collection de packages), il peut également contenir:

• Du code natif
• Des ressources
• Des données de configuration

Mon premier module

Pour définir un module, vous devez créer un fichier module-info.java, qui contiendra (par exemple):

module com.company.mymodule { 
  requires com.company.myothermodule; 
  requires java.sql; 
}

Vous pouvez avoir des dépendances transitives (un peu comme dans Maven) grâce au mot-clé public.

module java.sql { 
  requires public java.logging; 
}

Cela signifie que si j’ai une dépendance sur le module java.sql, je vais avoir accès à toutes les classes incluses dans java.logging (tout du moins tous les types marqués public).

Nous avons maintenant un graphe de dépendances des modules.

Visibilité d’un package

Avec l’utilisation du mot-clé exports.

module com.company.myothermodule { 
  exports com.company.myothermodule.alpha;  
  exports com.company.myothermodule.beta; 
}

Ce qui est exporté est visible, ça ne l’est pas par défaut!

Avec Java 9 et l’arrivée des modules, nous devons redéfinir le mot-clé public. Il a maintenant plusieurs significations:

• Public à tout le monde
• Public, mais seulement à des modules particuliers
• Public, uniquement à l’intérieur d’un module

Public ne signifie plus nécessairement accessible, c’est un changement fondamental.
Vous pouvez lire la spécification de Jigsaw pour en savoir plus.

Compilation et exécution avec le « module path »

Oubliez le classpath, il y a un nouveau paramètre modulepath (ou -mp) disponible avec la commande javac / java. Sa valeur contient un ou plusieurs répertoires qui contiennent les modules nécessaires pour compiler / exécuter votre application.

Enfin, notez qu’il y aura des modules par défaut pour les fichiers JAR qui ne sont pas encore modularisés (module automatique).

The article QCon London 2016 – Projet Jigsaw dans JDK 9 – La modularité arrive sur Java was written by Fabian Piau.

Articles similaires:

1. Une migration Java 11 réussie
2. Panorama simplifié des métiers de l’informatique
3. Java EE & CDI vs. Spring
4. QCon London 2016 – Spring Framework 5 – Preview et Roadmap
]]> https://blog.fabianpiau.com/fr/2016/04/14/qcon-london-2016-project-jigsaw-in-jdk-9-modularity-comes-to-java/feed/ 0 3520 https://blog.fabianpiau.com/fr/2016/03/15/qcon-london-2016-spring-framework-5-preview-and-roadmap/ https://blog.fabianpiau.com/fr/2016/03/15/qcon-london-2016-spring-framework-5-preview-and-roadmap/#respond Tue, 15 Mar 2016 23:49:30 +0000 http://blog.fabianpiau.com/?p=3441  English version available Juergen Hoeller, le co-fondateur du Framework Spring a fait une présentation la semaine dernière au QCon London. Commençons par un bref historique, le Framework Spring a été créé en 2002 avec une première version en 2004 (oui, c’était il y a 12 ans!), un bon bout de temps pour un framework qui […]

The article QCon London 2016 – Spring Framework 5 – Preview et Roadmap was written by Fabian Piau.

Articles similaires:

1. QCon London 2016 – Projet Jigsaw dans JDK 9 – La modularité arrive sur Java
2. Une migration Java 11 réussie
3. Java EE & CDI vs. Spring
4. Devoxx UK 2018 – Jour 1
]]>  English version available

Juergen Hoeller, le co-fondateur du Framework Spring a fait une présentation la semaine dernière au QCon London.



QCon London 2016 - Spring Framework 5 - Preview & Roadmap




Commençons par un bref historique, le Framework Spring a été créé en 2002 avec une première version en 2004 (oui, c’était il y a 12 ans!), un bon bout de temps pour un framework qui est encore largement utilisé et en cours de développement. Depuis sa création, l’adoption et le nombre de projets au sein de Spring n’ont jamais cessé de croître. Au début, Spring a été créé pour gérer des POJOs dans un conteneur léger en utilisant l’injection de dépendances (en suivant le principe d’Inversion de contrôle), Spring était une alternative aux conteneurs JEE dits lourds tels que GlassFish ou WebSphere.




Spring est maintenant devenu un ensemble de projets disponibles pour satisfaire toutes les exigences du développement d’une application. Spring est comme un jeu de Legos, vous pouvez sélectionner et assembler ces sous-projets comme des briques pour construire quelque chose de plus grand.

• Imaginez que vous avez besoin d’utiliser une base de données, vous pouvez utiliser Spring Data
• Vous avez besoin d’une application sécurisée avec un système d’authentification, il vous suffit d’utiliser Spring Security
• Vous voulez être en mesure de vous connecter à votre application par le biais des réseaux sociaux, Spring Social est là pour vous
• Et ainsi de suite

Vous pouvez jeter un oeil à la liste complète des projets Spring.




Spring 4.3

Avant de passer à Spring 5, Juergen a parlé de Spring 4. Quand j’écris cet article, la version actuelle est 4.2.5. Une release candidate (RC) de Spring 4.3 sera disponible en mars 2016 suivie d’une General availability (GA) en mai 2016. Cette version comprendra quelques changements pratiques:

• Dans le framework Spring core:
  L’annotation @autowired utilisée pour injecter une dépendance sera implicite et sera donc désormais optionnelle
• Dans Spring MVC (fait partie du core):
  La déclaration d’un contrôleur MVC est simplifiée. Avant, value était le nom de l’attribut à utiliser:

  @RequestMapping(value = '/mypath', method = RequestMethod.POST)
  

  Désormais, nous allons utiliser un nom plus significatif path:

  @RequestMapping(path = '/mypath', method = RequestMethod.POST)
  

  De nouvelles annotations font leur apparition, des raccourcis pour éviter de spécifier la méthode HTTP. Le nom de l’attribut étant facultatif, la déclaration du contrôleur devient extrêmement simple.

  @PostMapping('/mypath')
  

  Et l’équivalent pour un GET

  @GetMapping('/mypath')
  




Spring 5.0 annoncé

Ensuite, Juergen a annoncé que Spring 5.0 sera disponible dans le courant de l’année 2017 et compatible avec le JDK 8 et 9. Sur la roadmap, la version AG devrait être disponible en Mars 2017 (en même temps que le JDK 9 sera publié). Dans le cas où la release du JDK 9 serait retardée, Spring 5.0 le sera probablement aussi.




Quelles sont les principales nouveautés de Spring 5?

Il y a 3 thèmes clés qui vont modifier le framework:

• JDK 9 et les modules Jigsaw
• Servlet 4.0 et HTTP/2
• Architecture réactive




JDK 9 et l’utilisation de Jigsaw

En une phrase, Jigsaw apporte de la modularité au JDK. Le JDK est divisé en modules et vous pouvez utiliser seulement ceux dont vous avez besoin pour créer votre application.

Le JDK sera livré avec un ensemble de modules, mais vous pouvez également définir vos propres modules. Pour définir un module, vous devez créer un fichier module-info.java:

module my.app.db {
  requires java.sql;
  requires spring.jdbc;
}

A l’intérieur d’un module, vous spécifiez les modules dont vous avez besoin avec le mot-clé requires. Les modules gèrent les dépendances transitives, un peu comme Maven. Si j’utilise le module my.app.db ci-dessus, je peux accéder à l’ensemble des classes venant du module java.sql. Le principal avantage est que cela rend votre application plus modulaire en reposant sur un sous-ensemble de modules au lieu d’un JDK complet.

Tous les jars de Spring 5 seront packagés avec ces métadonnées Jigsaw, le nom du module suivra les conventions déjà utilisées sur le repo Maven Central afin d’éviter toute confusion (spring-context, spring-jdbc, spring-webmvc…). Il sera très facile de construire vos applications en spécifiant les modules Spring dont vous avez besoin.




HTTP/2

HTTP/1.1 est un vieux protocole (1999) et souffre de limitations. Dans le monde du front-end, nous utilisons des solutions de contournement, mais ce n’est pas l’idéal. Par exemple, pour éviter de surcharger le serveur avec de multiples requêtes lorsqu’une page contient beaucoup d’images, nous utilisons des sprites CSS (c.-à-d. combiner ces images dans un seul fichier que nous « découpons » ensuite côté client via CSS). Avec HTTP/2, le protocole est plus rapide car il permet des requêtes simultanées. Il y a d’autres avantages que vous pouvez lire sur la FAQ HTTP/2 Frequently Asked Questions.

Comme l’a déclaré Juergen, « Nous devons adopter HTTP/2 dans les terres de Java! »

Pour ce faire, Spring 5 utilisera la dernière version de la librairie Servlet, Servlet 4.0 qui:

• Impose le support pour HTTP/2 dans des conteneurs de servlet
• Contient des fonctionnalités pour prioriser les Streams et le push de ressources via une API




Programmation réactive

Un autre point fort a été l’annonce de la création d’un nouveau projet Spring appelé Spring Reactive. Ce sera un Spring MVC-like avec des endpoints basés sur une fondation réactive.

• Réutilisation de style de modèle de programmation de Spring MVC
• Mais en acceptant ou en retournant des reactive streams (par exemple, Mono – 1 élément, Flux – liste d’éléments)

Spring Reactive sera basé sur le Project Reactor, un ensemble de bibliothèques pour construire des applications réactives cloud-ready sur la JVM. Ce nouveau projet ne sera pas indépendant et sera inclus dans le noyau Spring Framework à un moment donné.

Juergen nous rappelle que le « Reactive arrive »:

• Pas de blocage de thread
• Les drivers réactif pour les bases de données deviennent disponibles (PostgreSQL, Mongo, Couchbase…)
• Il y a aussi des clients HTTP réactifs (Netty, Jetty, OkHttp…)

Note pour moi-même et peut-être aussi pour vous, il est important de se documenter sur le Reactive Programming et se familiariser avec les concepts. Il y a de grandes chances qu’il se démocratise dans les années qui viennent.




Enfin, Spring 5 utilisera toutes les dernières fonctionnalités introduites avec Java 8:

• Lambdas, références de méthode, méthodes par défaut dans les interfaces
• Nouvelles classes utilitaires: java.util.Optional, java.util.function, java.util.stream




Evidemment, Spring 5 nécessite Java 8. Si votre projet utilise encore une ancienne version, vous devrez vous contenter de Spring 4.X. La bonne nouvelle est que Spring 4 aura un support étendu jusqu’en 2020, de sorte que vous aurez encore un peu de temps pour migrer!




Les slides de la présentation sont disponibles sur le site de QCon.

The article QCon London 2016 – Spring Framework 5 – Preview et Roadmap was written by Fabian Piau.

Articles similaires:

1. QCon London 2016 – Projet Jigsaw dans JDK 9 – La modularité arrive sur Java
2. Une migration Java 11 réussie
3. Java EE & CDI vs. Spring
4. Devoxx UK 2018 – Jour 1
]]> https://blog.fabianpiau.com/fr/2016/03/15/qcon-london-2016-spring-framework-5-preview-and-roadmap/feed/ 0 3441 https://blog.fabianpiau.com/fr/2015/11/15/the-best-free-and-online-tools-for-testing-and-optimizing-an-application-or-website/ https://blog.fabianpiau.com/fr/2015/11/15/the-best-free-and-online-tools-for-testing-and-optimizing-an-application-or-website/#comments Sun, 15 Nov 2015 17:58:52 +0000 http://blog.fabianpiau.com/?p=3201  English version available Voici quelques outils en ligne pour vous assurer que votre site web soit performant, ne contienne pas d’erreurs et soit optimisé pour le référencement. Ces trois caractéristiques sont très importantes car elles forment un cercle vertueux en se renforcant mutuellement. Aucune ne doit donc être négligée. Performance Après avoir analysé votre site, […]

The article Les meilleurs outils gratuits pour tester et optimiser une application ou un site web was written by Fabian Piau.

Articles similaires:

1. Plus loin avec le Maven Site
2. Conseils pour sécuriser votre site WordPress
3. WatiN, un outil pour tester les applications web
4. Optimiser votre site web pour l’impression en 5 minutes
]]>  English version available

Voici quelques outils en ligne pour vous assurer que votre site web soit performant, ne contienne pas d’erreurs et soit optimisé pour le référencement. Ces trois caractéristiques sont très importantes car elles forment un cercle vertueux en se renforcant mutuellement. Aucune ne doit donc être négligée.






Performance

Après avoir analysé votre site, GTMetrix vous donnera de précieux conseils pour améliorer sa performance.

• Minimiser les ressources à charger pour diminuer le nombre de requêtes HTTP (utilisation de sprites, fusion des fichiers)
• Réduire la taille de vos ressources. Il existe de très bons compresseurs en ligne pour les images (TinyPNG), les fichiers CSS et Javascript.
• Spécifier les dimensions des images, le navigateur n’a plus besoin de faire ce calcul
• Utiliser le cache du navigateur






Référencement et SEO

Vous pouvez vérifier votre référencement avec SEO SiteCheckup. Cet outil vous donnera de précieuses informations afin d’améliorer la visibilité de votre site sur Internet.

• Utilisation des balises et attributs HTML standards (title, description, h1, h2, alt…)
• Présence du plan du site (fichier sitemap)
• Détection des liens cassés
• Détection de l’activité sociale liée à votre site, votre présence sur les réseaux sociaux






Validation technique

Vous devez aussi vous assurer que votre site est valide d’un point de vue technique. Je vous conseille les outils officiels fournis par le World Wide Web Consortium (W3C). Chaque outil est spécifique pour un usage particulier. Par exemple, vous trouverez un outil pour valider:

• Les fichiers HTML
• Les fichiers CSS
• Les liens
• Votre flux RSS

Il n’est pas nécessaire de valider chacune de vos pages, une par une. La validation de la page d’accueil est en général suffisante, les autres pages en découlant.






Email

Votre application envoie des emails? Avec Mail tester, vous pouvez tester la pertinence et le format de vos emails. Cet outil vous permettra de savoir si votre courrier est considéré comme indésirable par les clients de messagerie et vous donnera également des astuces pour éviter une telle situation.

• Le contenu doit s’adapter à la taille de l’écran (design responsive)
• Un format texte alternatif doit être présent pour les clients email qui ne peuvent lire du HTML
• La configuration de l’authentification de vos emails doit être valide (SPF, DKIM)






Pour vous donner une idée des résultats de votre site par rapport aux autres, la plupart des outils énoncés dans l’article vous attribueront une note, à vous de jouer pour augmenter votre score!

The article Les meilleurs outils gratuits pour tester et optimiser une application ou un site web was written by Fabian Piau.

Articles similaires:

1. Plus loin avec le Maven Site
2. Conseils pour sécuriser votre site WordPress
3. WatiN, un outil pour tester les applications web
4. Optimiser votre site web pour l’impression en 5 minutes
]]> https://blog.fabianpiau.com/fr/2015/11/15/the-best-free-and-online-tools-for-testing-and-optimizing-an-application-or-website/feed/ 1 3201 https://blog.fabianpiau.com/fr/2015/05/25/should-we-be-wary-of-google/ https://blog.fabianpiau.com/fr/2015/05/25/should-we-be-wary-of-google/#respond Mon, 25 May 2015 21:22:03 +0000 http://blog.fabianpiau.com/?p=3122  English version available Google ancré dans nos quotidiens On ne compte plus les reportages relatant l’hégémonie de la firme américaine. Le succès de Google fascine, agace, fait peur. Comme la plupart des internautes, il se passe difficilement un jour sans que vous ne fassiez appel à un de leurs services, Google vous accompagne partout: Navigation […]

The article Faut-il se méfier de Google? was written by Fabian Piau.

Articles similaires:

1. Réaliser un sondage en ligne avec Google Forms / Drive / Docs
2. FAQ – Sondage en ligne avec Google Forms / Drive / Docs
3. Open Street Map, une meilleure carte que Google Maps?
4. Google Wave
]]>  English version available






Google ancré dans nos quotidiens

On ne compte plus les reportages relatant l’hégémonie de la firme américaine. Le succès de Google fascine, agace, fait peur. Comme la plupart des internautes, il se passe difficilement un jour sans que vous ne fassiez appel à un de leurs services, Google vous accompagne partout:

• Navigation sur Internet avec Google Chrome
• Recherche sur Internet avec Google Web Search
• Lecture de vos emails avec la messagerie Gmail
• Prise de rendez-vous avec Google Calendar
• Gestion de vos albums photo avec Picasa
• Dialogue avec vos amis avec Google+ ou Google Hangouts
• Lecture de vidéos avec YouTube
• Lecture de livres avec Google Books
• Gestion de vos documents avec Google Docs
• Traduction d’un article avec Google Translate
• Planification de vos déplacements avec Google Maps
• Gestion de votre téléphone, de vos contacts, de votre réveil (et plus) avec Android
• Et toujours plus…

Le géant se diversifie et est sur tous les fronts (domotique, robotique, automobile…). Il garde une stratégie cohérente basée sur la personne et l’amélioration de la vie quotidienne. Vous pouvez regarder la liste des acquisitions pour vous en convaincre.




Une recherche peut en cacher une autre

Saviez-vous que Google mémorise toutes vos recherches? Google est capable de remonter dans votre historique de recherche jusqu’à plusieurs années en arrière, à la seconde près. Le fait de savoir que vous avez recherché des informations sur votre futur voyage en Thaïlande le 10 août 2005 à 10h05 n’est peut-être pas très utile pour vous, mais cette information et toutes les autres représentent une véritable mine d’or pour le géant en lui permettant d’établir votre profil très détaillé. Depuis les paramètres avancés de votre compte, il est pourtant possible de désactiver cette fonctionnalité. Ce n’est pas l’utilisateur lambda qui le fera, ce n’est pas une coïncidence que ce paramètre soit activé par défaut. Une recherche sur Google est un geste qui peut paraitre banal et anodin, mais il ne l’est pas tant que cela. Imaginez que vous faites des recherches sur:

• Les voitures et les comparatifs, Google déterminera que vous allez changer de voiture
• La mode et les vêtements tout au long de l’année, Google déterminera que vous travaillez dans ce secteur
• Une maladie et des remèdes associés, Google déterminera que vous avez cette maladie
• Des astuces pour économiser de l’argent, Google déterminera que vous avez des fins de mois difficiles

Travails, lieux d’habitations, goûts musicaux, cinématographiques, culinaires, passions ou tendances politiques, ces exemples sont assez simples, mais en recoupant les informations, il est possible d’aller très loin. Il devient ainsi possible de relater de manière très précise les événements de toute une vie. C’est à en faire pâlir plus d’un compte Facebook!




Le produit, c’est vous

Sans vous en rendre compte, Google collecte en permanence des centaines d’informations sur vous. Il construit et consolide les profils complets de nos vies, il en sait surement plus sur vous que votre propre mère ou peut être que vous-même. Les services de Google sont gratuits en échange de vos données personnelles, c’est un contrat implicite que vous avez accepté (pas forcément lu) en créant votre compte. Les données collectées peuvent être revendues et utilisées pour des campagnes marketing ciblées, des statistiques, etc. Vous êtes donc la monnaie d’échange du système, la vraie gratuité existe difficilement sur internet. Après tout, c’est de bonne guerre!




Attention, vous êtes filtré

Le moteur de recherche affiche une liste personnalisée, en ne retenant que les résultats jugés pertinents en fonction de votre profil. Vous pouvez faire une expérience simple chez vous: lancez plusieurs recherches avec les mêmes mots clés, mais sur des comptes Google différents. Vous verrez sans doute des résultats légèrement différents, ils le seront d’autant plus que les personnes sont différentes (sexe ou génération différente par exemple). A première vue, c’est un aspect positif, car les résultats qui s’affichent sont pertinents pour l’utilisateur connecté, mais cela peut aussi être un danger à long terme. La première vocation d’internet est l’accès au savoir universel avec une censure limitée. Si vous intercalez un système de filtrage intelligent sur vos recherches, ce sont des articles ou même des pans entiers d’internet dont vous ne connaitrez jamais l’existence, car Google l’a décidé. Le savoir et l’accès à l’information deviennent en quelque sorte limités, voire erronés.




Je ne suis pas un anti-Google

Ne vous méprenez pas, cet article n’est en aucune façon un pamphlet contre Google. Je suis un utilisateur satisfait depuis des années et je n’envisage en aucun cas de me passer de leurs services. Cet article est davantage une piqûre de rappel, il vaut mieux prendre le temps de configurer votre compte plutôt que de laisser Google décider à votre place. Malheureusement, je n’ai pas de recette miracle pour continuer à utiliser Google tout en préservant son anonymat, ce n’est pas compatible. Cependant, si je dois vous conseiller une alternative au moteur de recherche, je vous invite à essayer DuckDuckGo. Ce moteur de recherche a acquis une grande popularité ces dernières années en misant sur le respect de votre vie privée tout en assurant de bons résultats de recherche.

The article Faut-il se méfier de Google? was written by Fabian Piau.

Articles similaires:

1. Réaliser un sondage en ligne avec Google Forms / Drive / Docs
2. FAQ – Sondage en ligne avec Google Forms / Drive / Docs
3. Open Street Map, une meilleure carte que Google Maps?
4. Google Wave
]]> https://blog.fabianpiau.com/fr/2015/05/25/should-we-be-wary-of-google/feed/ 0 3122