Je vais commencer par taper sur ce qui est évident, le « cloud ». Pour qu’un site scale, aujourd’hui, il ne faut pas bien le coder, avoir une infra décente, non non, il faut du « cloud ». Donc on a des vendeurs de « cloud » (cloudfront/amazon, cloudflare, etc) qui vendent de la redondance à pas cher (ou pas).

Le problème, c’est que cette redondance a un prix. Je passe rapidement sur le fait que cloudflare, avant que je leur signale, définissait un cookie pour déterminer si la page de maintenance devait s’afficher ou non (du coup, c’était bien, si on tombait sur la page de maintenance d’un site une fois, soit on supprimait le cookie pour voir le site, soit on attendait quelques semaines son expiration), en oubliant aussi qu’avoir une page « oups, ça marche plus », pour un service qui vend une absence de downtime, c’est pas top.

Mais bref, ça n’est pas très important, ça, c’est un détail logiciel. Non, ce qui me chiffonne le plus, étant un utilisateur de CertPatrol/CertWatch, c’est de voir des infâmies comme ce service de cloudflare qui, en gros, vend du Man in the Middle à ses clients.

Je conçois que le principe même de ce service soit de faire du MitM pour assurer de la redondance, mais là où ça m’ennuie, c’est qu’ils se mettent à vendre de la fausse sécurité. En effet, sur le schéma ci-dessous (tiré de l’article sur cloudflare), comment, à moins d’inspecter le certificat (ce qu’environ personne ne fait), peut-on déterminer si les données que l’on confie au site sont sécurisées correctement ?

Ce qui m’amène à la réflexion suivante : utiliser ce genre de service (au moins le genre du « Flexible SSL ») est une violation de la confiance des utilisateurs, puisque le joli cadenas lui fait croire qu’il est en sécurité, alors qu’il ne l’est pas du tout.

Dans le même registre, l’hébergeur d’images imgur s’est décidé récemment à utiliser ce service. Seulement voilà : ils se sont complètement ratés, mais comme personne(²) ne s’intéresse aux certificats tant qu’ils sont signés par une CA, personne ne s’en est rendu compte. Ils se sont complètement ratés tout simplement parce que tous leurs serveurs (dans le cloud d’amazon, visiblement) n’utilisent pas le service de cloudflare, mais leur propre certificat (du coup, on peut se demander pourquoi ils utilisent le service de cloudflare, mais bon…). À l’arrivée, ça donne des va-et-viens nauséeux de certificats tous plus valides les uns que les autres. (Notez, les images, c’est à dire le contenu principal du site, ne sont pas servies en SSL, ce qui limite grandement l’intérêt du chiffrement au login sur le site)

Étrangement, je n’ai jamais vu imgur aussi down que depuis qu’il a ces problèmes de certificats.

Dans une catégorie complètement différente, cette fois (mais toujours en rapport avec les services pourris), je vais parler de disqus.

Ce service propose un service de commentaires centralisé ou, pour paraphraser le site officiel,

> DISQUS is a comments platform that helps you build an active community from your website's audience. It has awesome features, powerful tools, and it's easy to install.

Je ne vais pas nier une chose, c’est que beaucoup de fonctionnalités de disqus sont cool, entre la gestion du spam, l’import/export transparent, l’extensibilité, etc.

Cependant, il y a deux points qui font que c’est innaceptable :

1. Il faut avoir javascript activé. POURQUOI faudrait-il avoir javascript activé pour pouvoir lire des commentaires, c’est à dire des réactions qui vont de pair avec l’article ? Je cherchais des commentaires drôles sur ce post de rwww, et bien l’ancien système de commentaires, bien que rustique, permettait de se déplacer sans trop de mal à travers les commentaires avec un système de pagination ; maintenant, impossible, obligé de se taper les 500 clics sur le bouton « Load more comments », avec du joli javascript et un chargement en ajax, mais ça reste toutefois affreux à utiliser.
2. Le second point rejoint un peu le premier, c’est la centralisation. Même si on peut exporter et importer ses données à l’envi, quand je vais sur torrentfreak.com, et que je veux commenter un article, je m’attends à poster le commentaire sur torrentfreak.com, pas sur disqus.com. Et non, je ne vais pas me « Login into facebook » pour écrire un commentaire.

Je préfère limite tomber sur un site qui me met un lien vers le json des commentaires (oui, ça m’est déjà arrivé) quand on n’a pas javascript. Au moins, ça a le mérite de me faire rire.