Je recopie ici un commentaire posté sur mon autre blog (couleur-science) suite à un commentaire.
Le titre de mon post ici est un peu idiot mais je ne sais pas trop comment le formuler. Je pourrais le formuler « comment signaler une erreur à un blogueur ? », mais ça fait pompeux.

Ce commentaire disait (entre autre remarques plus ou moins… je n’en dirais pas plus) que : « L’explication est fausse. ».

C’est tout.
Il ne disait pas pourquoi, ni où, ni en quoi, ni n’apportait quoi que ce soit et c’est pour ça que je ne le publie pas (et que je n’ai jamais publié, et ne publierait jamais) de tel commentaires inutiles.

Néanmoins, il peut m’arriver évidemment de me tromper. Ça m’arrive.
Autant qu’à vous et autant qu’à tout le monde.

Quand ça m’arrive, c’est involontaire et je m’en excuse.

Maintenant, si vous constatez une erreur, bravo à vous !

Je ne distribue pas de médailles, mais vous avez tout de même deux possibilités :

• soit garder cette découverte pour vous (et je ne serais jamais au courant de mon erreur et mon article continuera de partager un truc faux, au bénéfice de personne) ;
• soit poster un message/commentaire pour me dire que vous avez trouvé ce qui vous semble être une erreur. Pour être utile, il convient alors de mentionner où elle se situe, en quoi c’est une erreur et, si possible, quelle est la correction. Je recommande cette solution : mon site est certes un site de vulgarisation, je ne peux donc pas aller dans tous les détails, d’où des approximations (d’où l’intérêt de se mettre dans le bon contexte), mais je ne souhaite pas partager des trucs faux pour autant, et votre aide est la bienvenue si elle permet d’atteindre cet objectif.

Si vous m’envoyez un message ou commentaire, je compare votre explication à mon article. Je me retrouve à mon tour devant deux cas :

• soit votre analyse tient la route, et vous avez réussi à démontrer que mon article dit quelque chose de faux, auquel cas je corrige mon article (ça arrive très souvent d’éditer mes articles suite à un commentaire).
• soit j’estime que votre analyse/explication est aussi bancale sinon plus que la mienne et on en discute. La discussion sert à éclaircir les choses : je désire savoir pourquoi mon explication vous paraît fausse, et inversement je me défendrais en expliquant pourquoi je pense que votre explication n’est pas recevable. Si notre discussion aboutit, on se retrouve au cas 1 : j’édite mon article dans le but de stopper la propagation d’une erreur. Autrement, l’article reste comme tel.

Sachez également que :

• si mon article affiche une erreur, la correction que vous proposez peut également être fausse. Ce n’est pas parce que j’ai faux que vous ayez automatiquement raison. Exemple : si je dis « le ciel est rouge », et que vous dites « il n’est pas rouge, il est vert ! », vous avez certes trouvé une erreur dans mon article, mais votre correction n’est pas pour autant juste. Inutile de m’incendier si je ne retiens pas votre correction dans ce cas. C’est en discutant et en remontant à la source (une photo du vrai ciel, par exemple) que l’on aboutira à la vérité : le ciel est bleu. On en sortira tous les deux gagnants.
• si mon article dit quelque chose, et que vous dites autre chose, il n’est pas forcé que l’un de nous soit dans le faux. Certaines explications, certains concepts, peuvent avoir plusieurs solutions. Exemple : si je dis « la solution de x²=9 est 3 » et que vous dites « regardez : c’est −3 qui est la solution de x²=9 », alors on a tous les deux raison avec des réponses différentes. Nos réponses sont justes, mais incomplètes. Une réponse complète serait « les deux solutions de x²=9 sont 3 et −3 ».
• si je partage une information fausse, assurez-vous qu’elle le soit vraiment, et que ce n’est pas simplement que vous n’avez pas compris. Mon explication peut être confuse sans être fausse. Dans ce cas, je vous encourage à me dire qu’elle est confuse : mon but est aussi de partager des explications claires.
• ce blog [je parle toujours de CouleurScience] est un blog scientifique : inutile, donc, d’essayer de me convaincre que la Terre est plate ou que vous avez inventé une machine à énergie libre. Les questions sur ces thèmes sont bienvenues (et vous aurez des réponses), mais ces deux choses en particulier ne sont pas scientifiques : en débattre n’a pas lieu d’être sur ce blog.
• je suis prêt à recevoir toute remarque sur tout article, du moment qu’elle est constructive.

Mais autrement, si vous voulez publier un commentaire du genre « l’article est faux, je vais voir ailleurs », franchement, abstenez-vous : non seulement je ne le publierais pas, mais surtout, vous n’aidez personne, ni-même vous.

Voilà.

Couleur Science est mon blog scientifique.
Je n’y partage que très rarement des avis ou des choses discutables. J’essaye tant que je peux de m’en tenir aux faits.

Ce n’est pas du tout le cas de ce blog, Le Hollandais Volant, où je partage surtout des avis et des points de vus. Et en l’occurrence, mes avis et mes points de vue.
Ici, j’analyse des choses et j’en dis ce que j’en pense. Personne n’est obligé d’être d’accord. Personne n’est obligé d’être en désaccord non plus. Je dis ce que je pense, c’est tout (j’en ai déjà très largement parlé). Or, les avis et les points de vus, ça, ça se discute et on peut en débattre.

Aussi, il est à noter qu’autant une conclusion scientifique peut être juste (2+2=4) comme elle peut être fausse (2+2=7), autant un avis ou un point de vue n’est jamais faux. Il est partagé ou il ne l’est pas, mais il n’y a pas de point de vue faux. Par exemple, on peut être pour ou contre la peine de mort, pour ou contre les OGM : les deux avis sont autant valables à chaque fois. Le débat se fait donc surtout sur ce qui pousse quelqu’un à adopter un point de vue plutôt qu’un autre.

Assez paradoxalement, mon blog qui traite de choses débattables a les commentaires fermés. Ça n’a pas toujours été ainsi. Le problème des débats, c’est que ça prend du temps et que c’est parfois passionné au point de faire des hors-sujets et de dire des choses qui ne devraient pas être dites. Ça a parfois été le cas ici. Pour l’instant, ça restera comme ça ici. Je ne suis pas injoignable pour autant (et je discute régulièrement avec certains lecteurs, mais pas ici dans les com).

image de J Mark Dodds

• Directive Droit d'auteur : mais qu'ont voté les eurodéputés ?

Voyons comment cette nouvelle directive va nous enfumer…

Le droit voisin, c’est une extension au droit d’auteur, qui est censée rémunérer l’artiste avec les bénéfices indirectes engendrés à des tiers avec un produit de cet artiste :

Un droit voisin existe déjà en France […]. C’est lui […] qui oblige les magasins, les radios, etc. qui diffusent de la musique enregistrée […] à payer une somme qui leur est ensuite redistribuée, déduction faite des frais administratifs des sociétés de gestion collective.[…]

En gros : si tu appâtes les clients avec des contenus sous licence, alors tu partages ton bénéfice avec les créateurs.

C’est pas forcément idiot… sauf que généralement, le diffuseur a déjà payé les droits sur la musique et que ceci s’applique aussi à de la musique libre, qui est donc 100% bénef pour les « société de gestion collective », c’est à dire les pirates qui volent le travail des artistes pour leur propre compte (Sacem & co).

Ce droit voisin, donc, sera pour les sites de presse :

La directive reconnaît un droit voisin aux éditeurs de publication de presse, […] journaux quotidiens, magazines hebdomadaires ou mensuels généralistes ou spécialisés, et sites internet d’information tombent dans ce champ, mais pas […] les autres sites, les blogs, les pages personnelles hébergées sur un réseau social, quand bien même fourniraient-ils des éléments de première main. En face, les éditeurs, eux, percevront une rémunération même s'ils reprenaient ces informations.

… et donc les sites de presse uniquement.
Les blogs, sites web autres, pages-perso, n’ont pas cette « protection » financière et légal.

Si je résume :

• Les sites de presse devront être indemnisés si toi — sale blogueur — cite leur contenu à eux…
• … mais si un site de presse te cite toi, il ne te doivent rien, même si ton article est un contenu original.

Pire :

• si un blog publie un truc, qui est ensuite repris par la presse, et qui est ensuite à son tour repris par le blog initial… c’est le blog qui devra payer le site de presse pour le second acte de citation.

Un blogueur, dans ce cas là, devra payer afin de pouvoir se citer lui-même ! On marche sur la tête.

Leur justificatif à tout ça ?
Évidement, selon eux, ils ne s’en prendront pas à nous, sales blogueurs qu’on est, mais que c’est seulement pour faire payer Google, Facebook & Co. Bien-sûûûûr…
Car en fait Google, Facebook & Co, qui font du bénéfice sur le dos des articles des sites de presse, sont les méchants de l’histoire.

Exemple : LeMonde publie un article sur sa page Facebook. Facebook affiche de la pub à côté et gagne des sous, mais LeMonde ne gagne rien. Le droit voisin est là pour que Facebook rémunère LeMonde.

Car :

Google News ou les réseaux sociaux les plus populaires […] ces fameux exilés fiscaux qui ne payent pas d’impôts.

Donc, plutôt que de leur forcer à payer des impôts (comme d’honnêtes gens), on crée une taxe.

En fait, ils sont bien au courant du problème « les GAFAM ne payent pas d’impôts » mais personne ne veut se lever pour les faire payer.

Oh et bien-sûr, quand au fait que LeMonde recevrait des visiteurs (et donc des revenus) de la part de Facebook ou Google, et ben :

cette logique « gagnant-gagnant » a été occultée ou rabaissée.

Ah et puis comme si ça ne suffisait pas : un article publié sur 31 décembre de 2018 serait compté comme générateur de bénéfices depuis le 1 janvier 2018, et jusqu’à 5 ans après. #foutageDeGueule.

Ça veut dire que si je publie un article sur un truc « A » le 2 janvier, que la presse le reprend le 3 janvier, alors je leur doit du pognon, car leur droit voisin est valable à partir du 1er janvier ? J’espère me tromper.

Mais si on résume dans l’ensemble :

• cette directive est là pour la presse et elle seule (la même presse assistée qui reçoit 4 milliards de subventions par an)
• les autres sites sont au mieux laissé hors du cadre de la loi, au pire baisés.
• ne résout aucunement le problème des GAFAM ne payant pas d’impôts

C’est bien, non ?

Et ça ne c’est qu’une partie de la directive, beaucoup plus large, mais où tout est globalement dans la même veine.

J’ai récemment acquis le téléphone Aquaris X2, qui est la nouvelle version du Aquaris X, que j’avais avant et dont le retour est ici. Un des points « négatif » de ce nouveau téléphone, est que les boutons de navigation, les trois boutons en bas de l’écran, sont sur l’écran et non plus des boutons en dehors. C’est un problème parce que ces boutons empiètent sur l’écran et en réduisent l’affichage.

Les développeurs peuvent choisir de rendre leur application « compatible plein-écran », et dans ce cas là, la barre de navigation et la barre de menus sont masqués. Ceci est pratique pour les jeux.
Pour accéder à l’un de ces éléments et les ré-afficher, il suffit alors de glisser en haut ou en bas de l’écran et les éléments de l’interface reviennent.

Le plein écran n’est pas activé partout, mais il est possible de le faire avec ADB.

Il faut activer les options de développeur, activer le débogage USB, installer ADB sur votre ordi puis lancer une commande spécifique. Voyons tout ça (je traiterais le cas pour Linux Mint et Ubuntu). Sous Windows, c’est pareil sauf qu’il faut activer les drivers sous Windows.

Activer les options de développeurs

Si vous n’avez pas activé les options de dév, faites-le en allant dans les Paramètres > Système > À propos du téléphone. Trouvez la ligne « numéro de built » et tapez ~10 fois dessus. Vous verrez un popup qui affiche alors « félicitations, vous êtes un développeur » :

Vous avez maintenant un nouveau menu dans les paramètres, appelé « options pour les développeurs ».

Activer le débogage USB

Dans les options de développeurs, faites attention à ce que vous touchez. Pour le moment, cherchez puis activez la ligne « débogage USB » :

Ceci va permettre à l’ordinateur d’envoyer des instructions au téléphone quand on va brancher les deux au moyen du câble USB. Les instructions sont envoyées au moyen du programme ADB (voir ci-dessous)

Installer ADB

Sur Ubuntu (ou Linux Mint), tapez simplement sudo apt install adb dans un terminal (on vous demandera votre mot de passe puis de valider l’installation). Si vous ne savez pas ce que vous faites, il s’agit simplement la version en ligne de commande pour installation un nouveau programme.

Une fois que ADB est installé, on peut l’utiliser.

Activer le plein écran

Branchez votre téléphone à votre ordinateur avec le câble USB.

Toujours dans le terminal, lancez ADB :

adb start-server

Normalement, un popup apparaît sur le téléphone qui demande de confirmer l’accès de votre PC au téléphone. Acceptez.

Ensuite, sur votre ordi, tapez ou copiez-collez une des trois commandes ci-dessous :

1. Pour masquer automatiquement la barre de navigation en bas (sans toucher à la barre de statut en haut) :

adb shell settings put global policy_control immersive.navigation=apps,-com.google.android.googlequicksearchbox

2. Pour masquer automatiquement la barre de statut en haut (sans toucher à la barre de navigation en bas) :

adb shell settings put global policy_control immersive.status=apps,-com.google.android.googlequicksearchbox

3. Pour masquer automatiquement les deux barres, de statut et de navigation :

adb shell settings put global policy_control immersive.full=apps,-com.google.android.googlequicksearchbox

Voilà les possibilités :

De gauche à droite :

• La version normale, où la barre du haut et du bas sont toujours visibles.
• La version avec la barre de navigation masquée.
• La version avec la barre de statut masquée.
• La version avec les deux barres masquées.

Pour afficher la ou les barres masquées, glissez simplement le doigt en haut ou en bas pour les faire revenir :

Voilà, c’est tout.
Avec ça, vous pouvez profiter constamment de votre écran en entier.

Pour finir, si l’envie vous prend de revenir en arrière et de remettre tout ça comme c’est par défaut, tapez cette commande :

adb shell settings put global policy_control null*

Si vous avez terminé, n’oubliez pas de désactiver le débogage USB dans les paramètres. On peut le laisser, mais c’est bien plus sécurisé si on le désactive.

ÉDIT : voir le premier commentaire sous l’article.

Cette astuce montre comment savoir, en JS, si un visiteur est connecté à ses comptes sociaux. C’est tout bête, mais étonnamment ça marche à peu près partout.

Le principe

La plupart des sites ont une page de login :

https://exemple.com/login

Quand on accède à une autre page pour laquelle on doit être connecté, on est redirigé vers la page de login, dont l’URL mentionne alors l’URL ou le chemin qui avait été demandée :

https://exemple.com/login?redir=/page-demandée

L’astuce en JS, c’est de forger l’URL pour un site, en redirigeant sur une image. Typiquement, la favicon (présente sur tous les sites). Comme ça :

https://exemple.com/login?redir=/favicon.ico

On fait donc une requête AJAX et on regarde ce qui se passe :

• si le fichier retourné est une image (l’icône), alors c’est qu’il y a une redirection, parce que l’utilisateur est connecté. Bingo.
• autrement (si on ne reçoit pas une image), alors on est probablement sur la page de login (en HTML), car l’utilisateur n’est pas connecté.

En JS, ça veut dire que si on met l’URL forgée sur un img.src, alors :
– img.onload() fonctionne si l’utilisateur est connecté (img reçoit bien une image)
– img.error() est lancée si l’utilisation n’est pas connecté (img reçoit un document HTML).

On peut essayer, ça marche sur beaucoup de sites. Sur les liens suivants, si vous voyez l’icône, alors vous êtes connecté. Autrement, vous verrez la page de connexion du site.
Ce test peut très bien être effectué par n’importe quel site web sur tous les sites du monde. N’importe quel site web peut donc voir si vous êtes connecté ou non sur Twitter, Facebook, Amazon…

Essayer ici ?

Vous pouvez tester ici, pour 5 sites : Essayer !

<script>function socialNetworkTest(){var n=document.getElementById("socialMediaList");[{url:"https://twitter.com/login?redirect_after_login=https%3A%2F%2Ftwitter.com%2Ffavicon.ico",name:"Twitter"},{url:"https://www.facebook.com/login.php?next=https%3A%2F%2Fwww.facebook.com%2Ffavicon.ico%3F_rdr%3Dp",name:"Facebook"},{url:"https://accounts.google.com/ServiceLogin?passive=true&continue=https%3A%2F%2Fwww.google.com%2Ffavicon.ico&uilel=3&hl=de&service=youtube",name:"Google"},{url:"https://login.live.com/login.srf?wa=wsignin1.0&wreply=https%3A%2F%2Fprofile.microsoft.com%2FregsysProfilecenter%2FImages%2FLogin.jpg",name:"Microsoft"},{url:"https://github.com/login?return_to=https%3A%2F%2Fgithub.com%2Ffavicon.ico%3Fid%3D1",name:"Github"}].forEach(function(e){var o=document.createElement("img"),t=document.createElement("li");o.src=e.url,o.onload=function(){t.appendChild(document.createTextNode(e.name+" : connecté")),n.appendChild(t)},o.onerror=function(){t.appendChild(document.createTextNode(e.name+" : non connecté")),n.appendChild(t)}})}

Le risque

Ici je ne fais rien de méchant. Par ailleurs, aucune information n’est envoyée à mon site.

Mais j’aurais pu.

J’aurais également pu faire ça massivement, et voir quel pourcentage de mes visiteurs sont connectés à Twitter, ou à Facebook.

Pire, si je vois que vous êtes connectés, alors il peut très bien lancer une requête sur la page de déconnexion et vous déconnecter :

http://example.com/logout?

Ce n’est pas dangereux, ça, mais c’est chiant.

Ce qui peut être dangereux, c’est si j’accède à ce genre de page :

• example.com/panier
• example.com/paiement (pour ça, n’activez jamais le paiement en 1 clic sur les sites d’achat, je pense à Amazon par exemple).
• example.com/mon_compte (là, ne mettez pas l’ID ou le nom d’utilisateur du compte dans l’URL de "mon compte" — même si une requête plus ciblée et plus complexe permettrait très bien d’extraire certaines informations)
• example.com/changer_mon_mot_de_passe (pour ça, il faut toujours aussi exiger de taper l’ancien mdp pour en choisir un nouveau)
• example.com/mot_de_passe_perdu (pour ça, validez en plusieurs étapes : demandez un code dans un l’email ou un truc en 2FA).
• etc.

Une solution ?

Pour l’internaute

Installez un bloqueur de requêtes, de scripts externes ou de publicité.

µBlock Origin peut bloquer toutes les requêtes vers les sites tiers.
L’extension kimetrak, elle, montre les requêtes qui sont faites.

Sous Firefox, on peut aussi isoler chaque site en mettant à « true » la clé suivante dans about:config : about:config?filter=privacy.firstparty.isolate (attention, ça va vous déconnecter de tous les sites, mais après il suffit de se reco et c’est bon). Merci à Mart-e pour l’astuce !

Pour les sites

Ça me semble assez simple : quand on accède à la page de login, alors on demande systématiquement de se connecter.
Peu importe si l’utilisateur est connecté ou pas, on exige une reconnexion. Seulement après la reconnexion on procède à la redirection.

C’est ce que fait par exemple Amazon : cette astuce, même avec le bon lien (ici) ne marche pas, car Amazon demande le mot de passe qu’on soit connecté ou pas. C’est bien.
Par contre, étrangement, c’est le cas pour Amazon.FR, mais pas pour Amazon.COM (lien de test), où l’astuce décrite ici fonctionne.

Sources

Ce « problème » n’est pas nouveau. Cet article, datant de 2012, en parle déjà : Detect if visitors are logged into Twitter, Facebook or Google+. Peu de sites semblent s’être bougés, pourtant.

J’ai mentionné Amazon.FR ci-dessus. Flickr et Yahoo semblent également avoir corrigé le problème.
La requête vers Twitter semble aussi poser problème quand elle est faite en AJAX. Pour les autres sites, je n’ai pas tout testé.

Il existe aussi des scripts tout fait avec plein de sites dedans, pour voir si on est connecté : login-check.js.

Sachez que tout ce qu’on navigateur affiche dans une page web, peut finir sur les serveurs de n’importe quel site qui possède un script dans cette page. Pensez-y.

Enfin, pour voir une liste d’informations que votre navigateur sait de vous : https://lehollandaisvolant.net/tout/tools/browser/

Sur Twitter, je vois quotidiennement des messages du style « j’ai trouvé ce téléphone, aidez-moi à retrouver son propriétaire ! », et tout le monde de partager le tweet en espérant que le propriétaire tombe dessus (supposant déjà qu’il soit sur sur le réseau social).

Si le téléphone est déverrouillé (pas de code), on peut chercher dans les contacts ou trouver le compte social de son propriétaire (à faire à bon escient, évidemment).
S’il est verrouillé, c’est plus compliqué.

Sous Android, il y a pourtant une façon relativement simple : il suffit d’afficher un numéro de contact ou un e-mail sur l’écran de verrouillage.

Sur Android 8.1, il faut aller dans les Paramètres et de rechercher « message sur écran verrouillé », ou d’aller dans Sécurité et localisation > Verrouillage de l’écran et d’aller sur les paramètres de cette option.

Ensuite, on peut choisir de mettre un message sur l’écran verrouillé :

Et le résultat :

Voilà !

C’est très rapide à mettre en place, mais pratique : comme ça, si vous perdez votre téléphone et que la personne qui le trouve essaye de vous retrouver, elle aura votre e-mail immédiatement.
Vous pouvez aussi ajouter votre nom, compte handle Twitter ou le numéro d’un proche.

N’y mettez évidemment pas le numéro de portable sur téléphone lui-même.

Pour aller plus loin, Android 7+ permet d’ajouter des informations d’urgence qui pourront être disponibles à quiconque vous « trouverait » en situation de détresse (malaise, évanouis…). Ces informations concernent votre nom, votre groupe sanguin, vos allergies et des personnes à contacter. Ça peut être très pratique pour les secours. Je vous laisse lire ça ici : Android et iOS : Partager des informations d’urgence en cas… d’urgence !.