Sites écrit par un charlatan

par **Franck78** » 24 Mai 2007 11:25

Bonjour,

Un ami à moi cherchait une boite pour lui installer son site de e-commerce. Il trouva donc monsieur X tout près de chez lui pour répondre à son besoin.

Très bien; rapide évaluation du site vendu, il ne passe pas le validateur w3c. Pas à cause d'une ou deux petites erreurs. Non, c'est du code HTML modèle 97. Du vieux. Bien sur question accessibilité, c'est le néant. Naviguateurs particuliers, déficients visuel, passez votre chemin.

Attirant l'attention du développeur sur ces deux points, sa réponse est limpide:

mwouahahaha

Franck a écrit :
> Bonjour,
>
> Par simple curiosité j'ai soumis votre site et quelques autres de
> vos 'créations' au validateur w3c (je cherchais un service création
> site)....

Piqué au vif par tant de désinvolture, je pousse un peu plus l'investiguation sur l'aspect sécurité.

Quelques minutes plus tard on obtient le message suivant

Code: Tout sélectionner: Erreur SQL ! SELECT xx_nom_fr FROM xx WHERE xx_id=* You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near '*' at line 1

en entrant simplement "1,*" à la place de "1" pour un champ numérique.

Donc à priori controle limité sur les valeurs reçues par le formulaire. L'injection sql ne semble pas loin.
Plus marrant encore, sans aucune filouterie on peut passer une commande en choisissant le prix de chaque produit. Sympa n'est-il pas?

Le serveur est hébergé chez ovh, on connait donc d'entrée de jeu quelques infos utiles qu'il est facile de comparer à l'offre de monsieur X.
Ainsi celui-ci vend une bp 100Mbps dans son contrat. 100Mbps, c'est la carte réseau connectant le serveur au backbone ovh. Mais Monsieur X omet de préciser que son serveur supporte une dizaine de site basés sur le même modèle... Comme il laisse par ailleurs supposer dans son offre qu'il fournit lui même l'infra. Pas un mot sur OVH.

J'ai pas vraiment de question. Une recherche google type classement/recensement des créateurs de site web (les web agency) pour évaluation de leur production sur ce type de critères est introuvable.
Peut être une nouvelle section Ixus à inventer: évaluer un prestataire web.

Voilou voila.

par **Muzo** » 24 Mai 2007 13:08

Bah oui mon brave monsieur, c'est ca le web 2.0.
C'est comme le web 0.9 de 97, mais en pire.

Plaisanteries à part, Ixus est et restera orienté sécurité, mais ne fera pas du recensement ce Ouèb Ajenssis. Car ca s'appel du marketing.

par **Wizard_Spike** » 24 Mai 2007 14:52

Et bien... c'est tout le même impressionnant...
Y a un truc qui m'étonne néanmoins: Qu'y avait-il dans le contrat ?
La société qui effectue les prestations a un cahier des charges à tenir et doit (j'imagine) stipuler quelques clauses accrocheuses incompréhensibles pour le gars moyen qui n'y connait rien en web (c'est mon cas), du style Web 18.3 norme WRFCT 28.08, contrôles de sécurité ZX, VPN IPSEC PS3 (de chez Sony ;-)

), PHP 99.99 sur liaison X25 2009, ISO 9001 (bien entendu). Si c'est le cas, il est donc possible de poursuivre ces gens puisqu'ils n'ont pas tenu les clauses du contrat, pensant tout silmplement que le client n'y connaitrait rien et qu'il ne pourra poursuivre qq un sur ce qu'il ne connait pas...
S'il n'y a rien dans le contrat.... là ton pote est mal....

par **S0l0** » 25 Mai 2007 13:26

Peut être une nouvelle section Ixus à inventer: évaluer un prestataire web.

ou une mini faq : comment evaluer un hebergeur?

par **Franck78** » 25 Mai 2007 14:05

Sur les hébergeurs, il y a pléthore d'informations, tests et autres joyeusetés.
C'est vraiment sur la qualité "d'écriture" de plusieurs sites par la même équipe qu'il n'y a rien.

par **Muzo** » 25 Mai 2007 14:15

Franck78 a écrit:C'est vraiment sur la qualité "d'écriture" de plusieurs sites par la même équipe qu'il n'y a rien.

Ca ne veut rien dire, car toi tu peux vouloir du xhtml strict et d'autres se contenteront de xhtml transitional, et d'autres encore voudront du XML avec XSLT. Donc l'évaluation d'un hébergeur n'a de sens que dans un contexte précis, qui est celui du demandeur. On ne va donc pas évaluer sur Ixus des agences.
1- ce n'est pas notre rôle
2- selon quels critères? car tes critères ne sont pas les miens.
3- si un site ne passe pas le test w3c, ca ne veut pas dire qu'il est mauvais.

/Muzo

par **tomtom** » 25 Mai 2007 15:01

Muzo a écrit:3- si un site ne passe pas le test w3c, ca ne veut pas dire qu'il est mauvais.
/Muzo

Ouf !

Code: Tout sélectionner: Result: Failed validation, 26 errors Address: http://forums.ixus.fr/viewtopic.php?t=38188 Encoding: iso-8859-1 Doctype: HTML 4.01 Transitional

Code: Tout sélectionner: Result: Failed validation, 29 errors Address: http://www.ixus.fr/ Encoding: iso-8859-1 Doctype: HTML 4.01 Transitional

t.

par **Wizard_Spike** » 25 Mai 2007 15:52

Bien joué Tomtom ;-)

"qualité d'écriture".... Y a également beaucoup de logiciels qui sont très mal écrits (mal développés) sans qu'on puisse faire grand chose... malheureusement...
J'ai une très mauvaise opinion de l'informatique d'aujourd'hui, où la vitesse de développement prime très largement sur la qualité du code, qui fait que l'on se retrouve avec des logiciels qui consomment 10 fois plus de ressource que nécessaire et d'une stabilité bien médiocre. Pour couronner le tout, développer vite veut également dire ne plus écrire de message d'erreur et laisser les magnifiques et très compréhensibles "java exception" (ce n'est qu'un exemple parmis beaucoup d'autres).

Un site web mal écrit, pour bâcler et réclamer le pognon n'en est qu'un autre exemple...
Ca montre qu'on n'est jamais aussi bien servi que par soi-même et que parfois il vaut mieux embaucher un webmaster plutôt que de sous-traiter à des gens qu'on ne connait pas...

Welcome to the world...

par **arapaho** » 25 Mai 2007 16:26

Wizard_Spike a écrit:Ca montre qu'on n'est jamais aussi bien servi que par soi-même et que parfois il vaut mieux embaucher un webmaster plutôt que de sous-traiter à des gens qu'on ne connait pas...

La plupart des gens que j'ai embauché jusqu'a aujourd'hui, hormis quelques rares exceptions, étaient des personnes que je ne connaissais pas.

De plus, il existe tout de même une marge financière énorme entre faire appel à une société de services [dans le sens générique] pour acheter un service et embaucher une personne pour réaliser le travail. Une TPE/I s'orientera plus facilement vers la société de service que vers l'embauche ponctuelle. Du moins, c'est l'empreinte du marché telle qu'elle est aujourd'hui.

par **MasterSleepy** » 25 Mai 2007 16:40

Salut,

C'est assez intéressant comme post.
Je pense que le problème principale vient du contrat signé entre les deux parties.
Si il n'est pas fait mention

des règles à respecter pour le développement du site.
du référencement du site après sa conception.
de l'audit de sécurité après dev.

Il ne faut pas s'étonner.

C'est peut-être vache a dire, mais si on veut se lancer dans le eCommerce, le tout est d'au moins connaitre un peu le support sur lequel on veut faire du business.
Il faut donc se renseigner un maximum avant la commande, les forums sont là pour ça ;-)

A+,
MasterSleepy.

par **Wizard_Spike** » 25 Mai 2007 16:43

Tout à fait d'accord avec MasterSleepy !

La plupart des gens que j'ai embauché jusqu'a aujourd'hui, hormis quelques rares exceptions, étaient des personnes que je ne connaissais pas.

Ah oui, quand je parlais de gens que l'on ne connais pas c'est qu'on n'a pas de CV, qu'on ne sais rien de la qualification professionnelle. On ne peut juger qu'à la renommée du sous-traitant... Et la renommée, ça fait monter le prix.

par **Franck78** » 26 Mai 2007 12:05

Salut,

@MasterSleepy, points un (règles de dev) et trois (audit) sont totalement inconnus pour le gars normal qui cherche un prestataire pour lui faire un site.
Quand tu achètes une voiture, t'inquiètes-tu de savoir sur quoi a été tourné l'arbre à cames du moteur? Non. Par contre tu es capable de comprendre un comparatif des constructeurs de voitures fait par une revue spécialisée.

Bien ici c'est pareil. Prend ce site entièrement en flash http://www.esclavesauparadis.org par exemple. C'est propre, c'est beau, c'est tout ce que tu veux mais peux-tu répondre à ce types de questions:
-le contenu flash est-il analysable par un antivirus ou apparenté?
-le naviguateur n'affiche pas les liens avant d'avoir cliqué dessus, ou vais-je atterrir?
C'est pas top question sécurité.
En admettant que google me conduise sur une explication des avantages et défauts comparés de tel ou tel modèle de site, comment m'assurer que le prestataire que je viens de découvrir juste après et qui prétend être le meilleur de sa catégorie est vraiment ce qu'il prétend...

On dispose de dizaines milliers de voitures à dispo, des bonnes, des pourries, des modèles uniques ou standards, mais quasiment rien sur les constructeurs. Point positif quand même, on en connait beaucoup sur les équipementiers (apache, phpbb, mysql,...) et le réseau routier (free,cnet,ovh,...) ;-)

par **Walkyrie_II** » 26 Mai 2007 16:32

Ironie :
Si dans l'automobile il y avait des clauses d'achat du type :
"Le constructeur n'est aucunement responsable en cas de comportement ératique et imprévisible de la voiture. Il décline toute responsabilité en cas décés d'un proche lors des crach et explosion inopinée du moteur ...."

personne n'acheterai de voiture.

Pourtant c'est a peu près ce qu'il y a dans tout les contrats de licence logiciel... et on accepte et on paye...

Va savoir pourquoi :roll:

Reponse : Dans le cadre de la gestion de projet, on considére que l'informatique, plus particulierement le génie logiciel, est seulement au début du processsus d'industrialisation, cf : mise en place de controle qualité, de procedure de normalisation (ISO, CMMI).
Nous sortons à peinde depuis 5/10 ans du mode artisanal pour les plus grandes société.

Ces propos ne concerne pas l'informatique industriel :wink:

(Aéronautique, Système d'arme, etc) ne tire pas t.

par **MasterSleepy** » 27 Mai 2007 21:12

Salut,

@Franck78, Si maintenant tu veux vendre des voitures, tu vas d'abord te renseigner. C'est pareil, on ne se lance pas dans le commerce électronique sans se renseigner.
La SSII qui a fait le travaille, la mal fait et ne vas surement pas l'avouer.

Je suis d'accord sur un point: cela aurait dû être le rôle de la SSII de prévenir le client, mais comme il n'y a pas de code de déontologie des SSII, on trouve de tout.

Travaillant dans une SSII, c'est évidemment le genre de cas que je ne supporte pas. Ca fais du tord au autre SSII.

A+,
MasterSleepy.
http://www.vanhees.cc
Index des contribs pour SmeServer

par **Franck78** » 02 Juil 2007 16:13

Tout le monde sait qu'en mode développeur, c'est bien d'avoir rapidement tous les détails sur un problème. Mais une fois en prod, tout ceci doit disparaitre. Enfin devrait...

http://awt.wallonie.be/web/services/imp ... 00,012,001

Cliquez sur les deux liens fournit par le message d'erreur ;-)

Sites écrit par un charlatan

Sites écrit par un charlatan

Qui est en ligne ?