Bonnes Pratiques Web
38.0K views | +6 today
Follow
 
Scooped by Mickael Ruau
onto Bonnes Pratiques Web
Scoop.it!

Microformats, Google et e-commerce : Capitaine commerce 3.6

Microformats, Google et e-commerce : Capitaine commerce 3.6 | Bonnes Pratiques Web | Scoop.it
Le Blog du Commerce Digital
Mickael Ruau's insight:

’abordais le sujet des microformats, il y a tout juste un mois, au travers d’un billet SEO :

« Certaines informations sur les produis (prix, marque, évaluations) peuvent aujourd’hui être formatées dans le corps de vos pages, en n’utilisant que des classes et attributs XHTML, afin d’être réutilisées comme métadonnées par Google. Il s’agit des microformats, un des pendants du Web sémantique. »

Voyons aujourd’hui de quoi il s’agit.

more...
No comment yet.
Bonnes Pratiques Web
Développement Php, Mysql , Javascript, Jquery, Css3, (X)HTML5...
Curated by Mickael Ruau
Your new post is loading...
Your new post is loading...
Scooped by Mickael Ruau
Scoop.it!

Un environnement de développement PHP avec Netbeans et Docker

Un environnement de développement PHP avec Netbeans et Docker | Bonnes Pratiques Web | Scoop.it
Docker, c’est une technologie qui révolutionne la virtualisation. Pour nous les développeurs, Docker signe la fin du syndrome “works on my machine”. Je ne saurais trop vous recommander de suivre les…
more...
No comment yet.
Scooped by Mickael Ruau
Scoop.it!

NOW: Free UI Kit for Photoshop, Sketch and Craft Library | InVision

NOW: Free UI Kit for Photoshop, Sketch and Craft Library | InVision | Bonnes Pratiques Web | Scoop.it
Download NOW—a FREE UI kit from InVision. Includes 100’s of free UI elements for Photoshop, Sketch, and InVision Craft Library.
more...
No comment yet.
Scooped by Mickael Ruau
Scoop.it!

NGINX – Un générateur de fichier de configuration – Korben

NGINX – Un générateur de fichier de configuration – Korben | Bonnes Pratiques Web | Scoop.it
Si vous débutez et que la configuration NGINX vous pose quelques soucis, je vous invite à vous rendre sur nginxconfig.io. Ce service dont les sources sont également disponibles ici, permet à tout le monde, de générer un fichier de config Nginx en fonction des informations entrées dans le formulaire. Informations de bases sur votre domaine,…
more...
No comment yet.
Scooped by Mickael Ruau
Scoop.it!

Comment les Cookies fonctionnent, quels problèmes pour les internautes ("Loi Cookies" & RGPD) –

Comment les Cookies fonctionnent, quels problèmes pour les internautes ("Loi Cookies" & RGPD) – | Bonnes Pratiques Web | Scoop.it

Sans cookies, les sites web que vous visitez seraient identiques à chaque fois que le navigateur est fermé puis rouvert. Cela implique que vous auriez beaucoup de tâches additionnelles à (ré)accomplir : re-cliquer sur les boutons fermer des fenêtres pop-up, vous reconnecter à vos comptes, remettre vos articles dans le panier, et bien d’autres…

Les cookies servent également à gérer les sessions.

Mickael Ruau's insight:

Rappelez-vous qu’un site ne peut pas lire les cookies d’un autre site. Mais cela n’empêche pas un site “d’intégrer un autre site” dans son code source pour permettre au site “intégré” d’enregistrer lui aussi des cookies suivant les pages visitées.

Prenons un exemple pour comprendre avec les publicités Google :

  1. Un internaute visite un site d’annonces autos pour acquérir une nouvelle voiture.
  2. Ce site charge des publicités Google, il intègre donc un script de Google.
  3. Google est donc “présent” lors de la navigation et sait qu’un internaute cherche à acheter une voiture.
  4. L’internaute visite un autre site divers.
  5. Ce site charge également des publicités Google, et intègre aussi un script de Google.
  6. Google reconnaît qu’une personne est intéressée par des voitures car il était présent et avait enregistré un cookie. Il lui affiche des publicités de voitures.

Cela fonctionne de la même manière avec Facebook et avec d’autres plateformes publicitaires. Le but est de rendre tout le monde gagnant y compris les internautes qui devraient trouver des informations qui les intéressent à travers les publicités (mais cela en empiétant sur leur vie privée…).

Voir ici pour plus d’informations sur le fonctionnement de la publicité sur Internet :

Comment fonctionne la publicité sur Internet et quels risques pour les internautes

Le recoupement et le pistage concret se fait donc à la racine, c’est-à-dire chez Facebook et Google qui possèdent les informations sur l’identité des membres, et qui peuvent donc les associer aux intérêts et comportements suivis via les cookies. Et ce sont les internautes eux-mêmes qui ont donné leur identité… de leur plein gré…et souvent sans savoir qu’il pouvaient ensuite être aussi bien suivis.

more...
No comment yet.
Scooped by Mickael Ruau
Scoop.it!

Introduire une culture de la performance web sur son projet | OCTO Talks !

Introduire une culture de la performance web sur son projet | OCTO Talks ! | Bonnes Pratiques Web | Scoop.it

Commencer par des “low hanging fruits”

Il existe de nombreuses techniques pour travailler sur les performances, certaines seront globales et s’appliqueront à toutes vos pages d’autres seront plus des optimisations spécifiques par page.

Il peut être pertinent de se demander alors quelles sont les pages les plus visitées sur le site afin de concentrer ses efforts là où les utilisateurs en profiteront le plus.

Une fois ces pages identifiées, une bonne stratégie est de commencer par les “low hanging fruits” c’est-à-dire des améliorations qui ont un bon ratio temps investi/performance gagnée.

Le code splitting et le lazy loading sont des bons candidats pour des premiers chantiers, l’idée étant de gagner en confiance rapidement et de pouvoir communiquer sur ces premiers succès.

 

Exemples d’axes d’améliorations pour les performances web

 

 

Mickael Ruau's insight:

Quelques liens pour aller plus loin :

Google developer performance

Google web dev plateforme

Les trois types de tests de performance

Liste d’outils pour les performances

Exemple de tests avec puppeteer

Talk web performance 101

Checklist de FortechRomania

Checklist de Smashing magazine 2018

more...
No comment yet.
Scooped by Mickael Ruau
Scoop.it!

AJAX cross-domain – AWS

Deux documents ne provenant pas du même domaine ne peuvent pas accéder aux contenus respectifs :

  • Pas d’accès au DOM, aux cookies, aux URLs, …
  • Pas d’accès entre fenêtres et entre frames.

Cependant

  • Les scripts inclus avec <script> ont plein accès (conséquence : SOP ne peut pas bloquer le JavaScript injecté) ;
  • Autres balises violant la SOP (et pour cause) : <img>, <link>, <embed>, <object>, <iframe>, <bgsound>, <audio>, <video>, …
  • window.name viole la SOP (pas très utilisé) ;
  • window.postMessage : violation contrôlée de la SOP.
more...
No comment yet.
Scooped by Mickael Ruau
Scoop.it!

Sécurisez votre site web avec les headers HTTP

Sécurisez votre site web avec les headers HTTP | Bonnes Pratiques Web | Scoop.it
Liste des headers HTTP permettant de configurer certains aspects techniques de votre site, et en particulier la sécurité.
Mickael Ruau's insight:

lutôt que de réécrire des spécifications techniques et d’expliquer en détails le fonctionnement des headers HTTP, nous allons vous fournir une analyse synthétique et une liste de liens intéressants que vous pourrez parcourir si vous souhaitez creuser le sujet.
La première chose importante à garder à l’esprit est que ces headers ont un impact sur les navigateurs web. Ils donnent des directives aux navigateurs pour leurs comportements (s’ils implémentent les fonctionnalités correspondantes). Ils ne modifient pas le comportement du serveur web.

Nous allons présenter les headers suivants :

  • Strict-Transport-Security
  • CORS headers (Access-Control-Allow-Origin)
  • Content-Security-Policy
  • X-Content-Type-Options
  • X-XSS-Protection
more...
No comment yet.
Scooped by Mickael Ruau
Scoop.it!

Lighthouse : un outil d’audit puissant embarqué dans Chrome et DevTools

Lighthouse : un outil d’audit puissant embarqué dans Chrome et DevTools | Bonnes Pratiques Web | Scoop.it
Après nos articles sur Test My Site and PageSpeed Insights, notre série dédiée à l’écosystème de la Google Speed Update se poursuit avec LightHouse. Une ressource très utile pour les développeurs qui s’intéressent à la performance et la qualité web.
more...
No comment yet.
Scooped by Mickael Ruau
Scoop.it!

Tracking : Comment réaliser un suivi cross-sites complet avec Google Analytics ?

Tracking : Comment réaliser un suivi cross-sites complet avec Google Analytics ? | Bonnes Pratiques Web | Scoop.it
La spécificité du tracking cross-domain tient à la nécessité de mettre un place un suivi de performance sur plusieurs domaines au lieu d’un seul, en garantissant une continuité du suivi dans Google Analytics (GA).
more...
No comment yet.
Scooped by Mickael Ruau
Scoop.it!

Une configuration Webpack 4 annotée pour un environnement de dev frontend efficace

Une configuration Webpack 4 annotée pour un environnement de dev frontend efficace | Bonnes Pratiques Web | Scoop.it
Pour aider les développeurs à créer des sites modernes complexes, voici un exemple complet d'une configuration sophistiquée (avancée peut-être) de Webpack 4.
more...
No comment yet.
Scooped by Mickael Ruau
Scoop.it!

Removing jQuery from GitHub.com frontend

Removing jQuery from GitHub.com frontend | Bonnes Pratiques Web | Scoop.it
We have recently completed a milestone where we were able to drop jQuery as a dependency of the frontend code for GitHub.com.

 

This marks the end of a gradual, years-long transition of increasingly decoupling from jQuery until we were able to completely remove the library. In this post, we will explain a bit of history of how we started depending on jQuery in the first place, how we realized when it was no longer needed, and point out that—instead of replacing it with another library or framework—we were able to achieve everything that we needed using standard browser APIs.

more...
No comment yet.
Scooped by Mickael Ruau
Scoop.it!

XSStrike : une suite de détection de failles XSS

XSStrike : une suite de détection de failles XSS | Bonnes Pratiques Web | Scoop.it
Most advanced XSS detection suite. Contribute to s0md3v/XSStrike development by creating an account on GitHub.
more...
No comment yet.
Scooped by Mickael Ruau
Scoop.it!

The 4 Layers of Single Page Applications You Need to Know

Imagine you’re new to the team. The technical leader presents the proposed architecture for the new application coming up on the roadmap: I’ve chosen Create React App and Flow for type checking. For…
more...
No comment yet.
Scooped by Mickael Ruau
Scoop.it!

JSONP vs CORS - la guerre du cross-domaine

Explication de la différence entre JSONP et CORS
Mickael Ruau's insight:

Tous les jours, on envoie des requêtes AJAX à droite à gauche, sans vraiment y réfléchir. Et puis vient un jour, où on doit envoyer une requête AJAX sur un autre domaine que le sien, et tout part en sucette.

Quand on se retrouve face à ce choix, il existe 2 solutions : JSONP et CORS.

more...
No comment yet.
Scooped by Mickael Ruau
Scoop.it!

OWASP / Cross-Site Scripting (XSS)

Dans ce deuxième article de la série consacrée aux failles applicatives, Mickael FRANC aborde les injections XSS au travers de l'OWASP. Vous découvrirez ces failles et apprendrez à les détecter. Vous verrez enfin les moyens de vous en prémunir.
Mickael Ruau's insight:

Il existe deux types d’attaques XSS :

  • Reflected XSS (non persistante) :

Lorsque des données sont envoyées par un client et sont affichées telles quelles dans la page résultante sans être encodées en entités HTML.

  • Stored XSS (persistante) :

Lorsque des données sont fournies depuis une source de données quelconque (BDD, fichiers, etc.) et sont affichées telles quelles dans la page résultante sans être encodées en entités HTML. L’impact d’une XSS stockée est d’autant plus grave car elle touche tous les visiteurs de la page piégée.

 

more...
No comment yet.
Scooped by Mickael Ruau
Scoop.it!

Problèmes d’alertes de contenus mixtes sur votre site SSL ?

Problèmes d’alertes de contenus mixtes sur votre site SSL ? | Bonnes Pratiques Web | Scoop.it
Lorsqu’ils consultent des sites protégés par SSL, les visiteurs s’attendent à être en sécurité et protégés – ce qu’ils sont en droit d’exiger. Lorsqu’un site ne protège ou ne sécurise pas intégralement ses contenus, le navigateur affiche une alerte de type « contenu mixte ».
more...
No comment yet.
Scooped by Mickael Ruau
Scoop.it!

Sécuriser une iframe avec l’attribut sandbox

Sécuriser une iframe avec l’attribut sandbox | Bonnes Pratiques Web | Scoop.it

Au fil du temps, nous intégrons de plus en plus de contenus, provenant parfois de partis tiers (widgets pour les réseaux sociaux, publicités, etc). Deux conséquences en découlent : les pages web ne cessent de s’alourdir, et nous affichons aux internautes des contenus que nous ne pouvons pas maîtriser complètement.

Certains de ces contenus externes sont intégrés par l’intermédiaire de la balise <iframe>, et doivent faire l’objet d’une attention particulière en terme de sécurité. Pour limiter les risques, le W3C a ainsi ajouté l’attribut sandbox dans sa spécification du HTML5, qui permet de restreindre les actions possibles dans l’iframe sur les principaux navigateurs récents.

more...
No comment yet.
Scooped by Mickael Ruau
Scoop.it!

Failles applicatives

Failles applicatives | Bonnes Pratiques Web | Scoop.it
Mickael FRANC par le biais d'articles sur La sécurité avec l'OWASP à amené une première réflexion sur la sécurité applicative. Cette fois-ci il va détailler un certain nombre de vulnérabilités. Cet article fera office de préface et référencera tous les articles sur ce thème.
Mickael Ruau's insight:

Articles sur la sécurité applicative

more...
No comment yet.
Scooped by Mickael Ruau
Scoop.it!

Se protéger de la faille XSS (Cross-site scripting) –

Introduction : Qu'est-ce que la faille XSS - Comment savoir si mon site est faillible ? Exemple d'exploitation de faille XSS Comment s'en prémunir
more...
No comment yet.
Scooped by Mickael Ruau
Scoop.it!

XSS, CORS, CSRF (Partie 3)

XSS, CORS, CSRF (Partie 3) | Bonnes Pratiques Web | Scoop.it

Bienvenue dans ce dernier volet de notre Saga XSS (partie 1, partie 2).

Dans notre précédent article nous avions récupéré un cookie de session insuffisamment sécurisé grâce à une vulnérabilité XSS.

Mickael Ruau's insight:

La première chose pour un site souhaitant faire du CORS est de bien positionner les origines autorisées avec le header Access-Control-Allow-Origin. Ce dernier doit stipuler explicitement les origines autorisées pour bénéficier pleinement de l’utilisation des XHR (rappelons que l’utilisation de ces headers concernent les XmlHttpRequest, une iframe par exemple n’émettra pas de header Origin et sera soumise à la Same Origin Policy).

more...
No comment yet.
Scooped by Mickael Ruau
Scoop.it!

Tag managers : quelle incidence sur la performance web ?

Tag managers : quelle incidence sur la performance web ? | Bonnes Pratiques Web | Scoop.it
L’utilisation d’un système de Tag Management - comme Google Tag Manager ou TagCommander - pour gérer des fonctionnalités/scripts externes présents sur vos pages web revêt de multiples intérêts, notamment pour les services marketing. Côté performance web, l’impact de ces outils n’est pas neutre. Explications.
more...
No comment yet.
Scooped by Mickael Ruau
Scoop.it!

AJAX — Programmation Web Client Riche

XMLHttpRequest possède des limitations :

  • il ne peut pas accéder aux URLs en file:,
  • le code émis par un serveur ne peut se connecter qu’à ce même serveur (Same Origin Policy),
  • ou à un serveur autorisant explicitement les accès par d’autres scripts que les siens (standard CORS).

CORS en deux mots

  • Lorsqu’un script, provenant d’un serveur srv1, émet une requête AJAX vers un serveur srv2, cette requête contient un en-tête supplémentaire :

    Origin: http://srv1

  • Si le serveur srv2 fait confiance à srv1, il inclue dans sa réponse l’en-tête suivant :

    Access-Control-Allow-Origin: http://srv1

  • ... et le navigateur autorise alors le script à accéder à la réponse.

  • Dans le cas contraire, le navigateur refuse de transmettre la réponse au script. Du point de vue du script, c’est comme si la requête avait échoué.

Note

  • CORS est un standard récent encore peu supporté par les serveurs.
  • Une solution consiste à utiliser un proxy tel que https://crossorigin.me/ .
  • Auparavant, d’autres méthodes ont été proposées pour permettre des accès cross-domain, comme JSONP.
more...
No comment yet.
Scooped by Mickael Ruau
Scoop.it!

PWA install prompt : Un script JS pour demander à vos visiteurs d'ajouter votre PWA à leur smartphone

PWA install prompt : Un script JS pour demander à vos visiteurs d'ajouter votre PWA à leur smartphone | Bonnes Pratiques Web | Scoop.it
Prompt users to add your PWA to their home screen, since Apple won’t. - JacobDB/pwa-install-prompt
more...
No comment yet.
Scooped by Mickael Ruau
Scoop.it!

CSS fonctionnel : comment simplifier le styling de pages web ?

CSS fonctionnel : comment simplifier le styling de pages web ? | Bonnes Pratiques Web | Scoop.it
Découvrez ce qu'est le CSS fonctionnel et en quoi il diffère du CSS traditionnel. Apprenez en quoi le CSS fonctionnel peut simplifier la création des styles.
more...
No comment yet.
Scooped by Mickael Ruau
Scoop.it!

5 Things That Don't Have To Be Hard In Single Page Applications

Last week I came across a Blog post by Sourcegraph's Quinn Slack on 5 painful things about client-side JS or single page web applications. As I read Quinn's points and comments I could not help but think yes he is right, but wrong at the same time.

 

(...)

I want to respond to Quinn's points one by one. I think each one reveals common mistakes developers new to the single page application experience make. I hear and talk to developers all the time who make similar comments. I also consult many companies about their current SPA investments and what is going wrong with them. These five points are just some of the common problems I observe. Each can be easily fixed, but they require a perspective adjustment. In fact developing a good mobile, touch first, performant web application requires a complete mind-shift from traditional web techniques.

more...
No comment yet.
Scooped by Mickael Ruau
Scoop.it!

Why you should not build your start-up as Single-Page Application?

Why you should not build your start-up as Single-Page Application? | Bonnes Pratiques Web | Scoop.it
The year is almost 2018, and you are thinking about building your
start-up. You want it to be modern, snappy, an app that your clients
will love to use and use because they love it. You want to build a
Single-Page Application (SPA) that will make it all better - for you and
the user. It’s almost 2018 in the end, right? Not so fast, there are
things you need to know first.
Mickael Ruau's insight:

SPAs don’t get engineered properly because their creators can’t afford the effort needed to engineer them properly.

more...
No comment yet.