Autoblog de BohwaZ

Ce site n'est pas le site officiel de BohwaZ
C'est un blog automatisé qui réplique les articles de bohwaz.net/p

Panama Papers : c'est encore pire que vous ne le pensez

2016-04-17T13:45:41+02:00 - (source)

Si vous n'avez pas suivi l'histoire, depuis deux semaines les Panama Papers c'est une fuite de documents d'un cabinet d'avocats du Panama qui crée et administre des sociétés écran dans des paradis fiscaux. Procédé utilisé par les riches et les criminels pour blanchir de l'argent sale ou le cacher des services fiscaux. Dans les documents révélés on trouve de nombreux noms : chefs d'état, PDG, sportifs, avocats et autres membres de la caste des 1%. On constate aussi que les banques (françaises notamment) sont largement partie prenante du procédé malgré des promesses main sur le cœur que non on n'a rien à voir avec les paradis fiscaux.

Ce qu'il faut se rappeler c'est que si certains pays ou noms sont un peu épargnés par cette fuite massive (dûe probablement à un Wordpress dépassé et troué de failles de sécurité !) c'est que ce n'est qu'un seul cabinet spécialisé dans ce business, mais il y en a des milliers dans le monde ! Et ça m'étonnerait fort que ce genre de pratique ne soit pas répandu chez une large majorité des 1% les plus riches, ceux-là même qui abusent des médias pour dire qu'il y a trop d'impôts et de charges, alors qu'ils ne payent qu'une infime partie de ce qu'ils devraient payer. Et pendant ce temps-là on nous rabache que le problème c'est la fraude des chômeurs et des allocations familiales, qui ne représente absolument rien par rapport à cette fraude massive, organisée et soutenue par les plus grandes entreprises.

Mais ce n'est pas là ce dont je veux parler. Ce qui m'étonne le plus dans tous ces montages fumeux c'est que ce sont vraiment des montages douteux. Comment peut-on être multi-millionnaire et être assez bête pour confier des dizaines de millions d'euros à une entreprise créée dans un pays où on a jamais mis les pieds et dirigée par un prête-nom qui gagne probablement à peine plus qu'un SMIC français ? Enfin je sais pas vous mais moi je vois bien la faille du dirigeant prête-nom qui se barre avec l'argent de la société-écran, disparaissant à jamais. C'est un risque énorme. Et si ça arrive vous faites quoi, vous allez porter plainte que l'argent que vous blanchissez a été volé ?

Pour illustrer cette chaîne de confiance complètement stupide on peut prendre pour exemple ce qui se passe dans le reportage de Cash Investigation où un journaliste se rend chez une société suisse pour créer une société offshore. Cette dernière est enregistrée au Delaware (USA), et il reçoit ensuite une carte bancaire et un compte d'une banque néo-zélandaise. C'est déjà assez suspect comme ça, mais c'est dommage que les journalistes n'aient pas cherché un peu plus loin sur cette fameuse banque, car quand j'ai entendu le nom ça m'a rappelé quelque chose… En cherchant j'ai retrouvé un article que j'avais lu sur un journal de Nouvelle-Zélande, et c'est accablant : cette banque (Breder Suasso) n'en est pas vraiment une. Elle n'a aucun client en Nouvelle-Zélande (et les refuse), et pire n'a aucun compte en Nouvelle-Zélande. Donc le compte du journaliste en Nouvelle-Zélande est en réalité soit dans les Iles Marshall ou en Pologne, on ne sait pas vraiment (selon cet article).

Vous avez donc envoyé de l'argent dans une société basée au Delaware, avec un compte dans une entité néo-zélandaise, mais l'argent serait en réalité dans un autre pays, vous ne savez pas vraiment lequel. Pour moi ça ressemble plus à un scam à large échelle qu'à un montage offshore. Et si Breder Suasso ne vous semble pas suffisamment douteuse comme ça, apprenez que son seul actionnaire et président est résident de l'Île Maurice. L'entreprise n'a pas vraiment de locaux en NZ, un simple bureau partagé avec plusieurs entreprises. Vous sentez venir le gag ? Et oui : la banque est en réalité elle aussi une société-écran, une coquille vide qui ne sert que de façade.

Franchement moi j'aurais peur de confier mon argent à des compagnies comme ça, ça n'inspire aucune confiance. Mais bon en même temps, je ne suis pas multi-millionnaire, alors je n'ai pas les même problèmes !


De l'explosion des classes en PHP

2016-01-19T09:27:44+01:00 - (source)

Autant j'aime beaucoup les namespaces, la séparation claire des fonctions et autres sucreries en PHP, autant j'ai l'impression qu'on est maintenant dans un excès inverse. Avant on avait des gros fichiers monolithiques remplis de fonctions sans rapport les unes avec les autres c'était crade. Mais maintenant on a un énorme bordel de fichiers et classes qui ne servent à rien et ne font que détruire les perfs du serveur.

Évidemment ça ne se voit pas trop sur un serveur qui ne sert qu'une seule application car le code et les fichiers restent en RAM, mais quand on est en mutualisé avec des milliers d'applis sur le même dédié, ça se ressent bien. D'abord car charger un fichier depuis le disque à un coût, et ensuite parce qu'une classe en PHP occupe pas mal d'espace mémoire, même si elle est vide (cf. notamment la conférence de Julien Pauli).

Prenons quelques exemples. En premier picoFeed de Frédéric Guillot, qui lui sert notamment pour miniflux, que j'apprécie beaucoup (même si c'est pas encore ça à mon avis). C'est un parseur de flux RSS/Atom qui se veut "simple" et "rapide" qui fait tout un tas de choses genre récupération du contenu des articles pour les flux qui ne fournissent rien, la possibilité de générer des flux, des filtres de contenu, etc. Mais ça reste un exemple quand même. Cette librairie (une fois supprimées les règles de récupération de contenu) fait 47 fichiers, dont 16 qui font moins de 200 octets. Prenons un exemple, de 125 octets, Parser/Rss92.php:

namespace PicoFeed\Parser;

/**
 * RSS 0.92 Parser.
 *
 * @author  Frederic Guillot
 */
class Rss92 extends Rss20
{
}

Et toutes ces classes sont comme ça, elles ne servent à rien à part avoir un nom différent. Pourquoi ne pas faire un if/else ou switch case pour gérer ces cas plutôt que de créer des classes vides ? C'est moche.

Et ce n'est qu'une seule lib qui ne sert qu'à faire du RSS/Atom. Imaginez une appli complète avec des dizaines de libs de la même manière. Oh évidemment on ne charge pas tous les fichiers de toutes les libs (et donc toutes les classes) à chaque requête mais bon niveau perfs ça se ressent quand même.

Je suis aussi particulièrement admiratif quand je vois une lib (ou appli etc.) avec des dizaines ou centaines de classes pour gérer des exceptions (record : 450 !). Chaque classe ne faisant qu'étendre une autre classe d'exceptions. picoFeed est un peu victime de ça, même si vu la taille de la lib ça reste correct. On va dire que je me répète à force mais : à quoi ça sert d'avoir une classe pour chaque type d'exception imaginable ? Vous avez oublié que le second paramètre du constructeur d'une exception c'est $code ? Et à quoi ça sert $code ? Et bien à passer un code d'erreur !

Ainsi dans picoFeed on a ClientException (qui étend Exception), et des classes qui l'étendent : InvalidUrlException, InvalidCertificateException, MaxRedirectException, MaxSizeException, et TimeoutException.

Pourquoi ne pas avoir une seule classe/exception et un code d'erreur différent pour chaque situation ? Ces exceptions ne servent à rien, 99% des utilisateurs de la lib ne vont pas les récupérer individuellement. De même que ça n'aurait aucun sens que MySQL rejette une classe d'exception différente à chaque erreur différente, qui irait vraiment utiliser MySQLException_ER_CANT_CREATE_TABLE par exemple ? Quasiment personne, et c'est pour ça que ça a du sens d'utiliser le code d'erreur.

Je pourrais parler aussi de UA-Parser, une lib qui permet de parser l'User-Agent du navigateur. Bon je sais que c'est devenu compliqué de parser ce bordel d'UA avec le temps, mais quand même, 27 classes pour ça ? 130 Ko de code, et ça ne comprend même pas le fichier avec les regexs utilisées pour reconnaître l'user-agent !

Bref il y aurait de quoi simplifier ici, et tendre vers plus de légèreté et cesser un peu cette expansion lyrique qui n'a pas grande utilité, vous ne pensez pas ?


De l'explosion des classes en PHP

2016-01-19T09:27:00+01:00 - (source)

Autant j'aime beaucoup les namespaces, la séparation claire des fonctions et autres sucreries en PHP, autant j'ai l'impression qu'on est maintenant dans un excès inverse. Avant on avait des gros fichiers monolithiques remplis de fonctions sans rapport les unes avec les autres c'était crade. Mais maintenant on a un énorme bordel de fichiers et classes qui ne servent à rien et ne font que détruire les perfs du serveur.

Évidemment ça ne se voit pas trop sur un serveur qui ne sert qu'une seule application car le code et les fichiers restent en RAM, mais quand on est en mutualisé avec des milliers d'applis sur le même dédié, ça se ressent bien. D'abord car charger un fichier depuis le disque à un coût, et ensuite parce qu'une classe en PHP occupe pas mal d'espace mémoire, même si elle est vide (cf. notamment la conférence de Julien Pauli).

Prenons quelques exemples. En premier picoFeed de Frédéric Guillot, qui lui sert notamment pour miniflux, que j'apprécie beaucoup (même si c'est pas encore ça à mon avis). C'est un parseur de flux RSS/Atom qui se veut "simple" et "rapide" qui fait tout un tas de choses genre récupération du contenu des articles pour les flux qui ne fournissent rien, la possibilité de générer des flux, des filtres de contenu, etc. Mais ça reste un exemple quand même. Cette librairie (une fois supprimées les règles de récupération de contenu) fait 47 fichiers, dont 16 qui font moins de 200 octets. Prenons un exemple, de 125 octets, Parser/Rss92.php:

namespace PicoFeed\Parser;

/**
 * RSS 0.92 Parser.
 *
 * @author  Frederic Guillot
 */
class Rss92 extends Rss20
{
}

Et toutes ces classes sont comme ça, elles ne servent à rien à part avoir un nom différent. Pourquoi ne pas faire un if/else ou switch case pour gérer ces cas plutôt que de créer des classes vides ? C'est moche.

Et ce n'est qu'une seule lib qui ne sert qu'à faire du RSS/Atom. Imaginez une appli complète avec des dizaines de libs de la même manière. Oh évidemment on ne charge pas tous les fichiers de toutes les libs (et donc toutes les classes) à chaque requête mais bon niveau perfs ça se ressent quand même.

Je suis aussi particulièrement admiratif quand je vois une lib (ou appli etc.) avec des dizaines ou centaines de classes pour gérer des exceptions (record : 450 !). Chaque classe ne faisant qu'étendre une autre classe d'exceptions. picoFeed est un peu victime de ça, même si vu la taille de la lib ça reste correct. On va dire que je me répète à force mais : à quoi ça sert d'avoir une classe pour chaque type d'exception imaginable ? Vous avez oublié que le second paramètre du constructeur d'une exception c'est $code ? Et à quoi ça sert $code ? Et bien à passer un code d'erreur !

Ainsi dans picoFeed on a ClientException (qui étend Exception), et des classes qui l'étendent : InvalidUrlException, InvalidCertificateException, MaxRedirectException, MaxSizeException, et TimeoutException.

Pourquoi ne pas avoir une seule classe/exception et un code d'erreur différent pour chaque situation ? Ces exceptions ne servent à rien, 99% des utilisateurs de la lib ne vont pas les récupérer individuellement. De même que ça n'aurait aucun sens que MySQL rejette une classe d'exception différente à chaque erreur différente, qui irait vraiment utiliser MySQLException_ER_CANT_CREATE_TABLE par exemple ? Quasiment personne, et c'est pour ça que ça a du sens d'utiliser le code d'erreur.

Je pourrais parler aussi de UA-Parser, une lib qui permet de parser l'User-Agent du navigateur. Bon je sais que c'est devenu compliqué de parser ce bordel d'UA avec le temps, mais quand même, 27 classes pour ça ? 130 Ko de code, et ça ne comprend même pas le fichier avec les regexs utilisées pour reconnaître l'user-agent !

Bref il y aurait de quoi simplifier ici, et tendre vers plus de légèreté et cesser un peu cette expansion lyrique qui n'a pas grande utilité, vous ne pensez pas ?

PS : pour ceux/celles qui demandent une alternative à picoFeed je ne peux que conseiller ma propre solution (modestie oblige ;-) ), FeedParser, issu du Framework KD2 (qui n'est pas un vrai framework structurant mais un ensemble de libs pratiques, légères et utiles, utilisables indépendamment les unes des autres). La stratégie de parsing est complètement différente : FeedParser n'utilise pas DOMDocument ou SimpleXML pour parser un document car les sites génèrent souvent du XML invalide. De ce fait FeedParser fait du parsing/lexing directement sur le flux, même s'il est invalide. Et ça marche ! Dans mes tests j'ai 100% de succès (aucun flux n'est illisible) sur plus de 20.000 flux, dont 15% de flux invalides. Et évidemment une seule classe, 17 Ko de code, contre pas loin de 400 Ko pour picoFeed par exemple.


Nouvelle version de Fotoo Hosting

2016-01-19T04:42:08+01:00 - (source)

Fotoo Hosting est (toujours) un script permettant de créer un service d'hébergement d'images auto-hébergé (comme imgur par exemple), gérant les albums, mais aussi et surtout le redimensionnement en javascript des images avant envoi, ce qui est très pratique pour envoyer des photos depuis une connexion lente, du coup au lieu d'envoyer des fichiers de 5 Mo ou plus on n'envoie qu'environ 400 Ko par image.

Cette nouvelle version 2.1.0 ajoute des options pour l'administration : stockage des adresses IP des uploaders (avec effacement automatique après la période légale de conservation), possibilité de bannir des IPs (ou des masques ou des ranges même, supporte IPv6), et la suppression de plusieurs images ou albums en même temps.

Toutes les infos ici : Fotoo Hosting

Et bien sûr toujours la démo : i.kd2.org


Le site de WikiKubbe à nouveau en ligne

2016-01-04T12:25:27+01:00 - (source)

Suite à la demande populaire (comprendre quelques mails par an) je remet en ligne le site de WikiKubbe avec l'installeur à télécharger. Ce script de wiki en PHP4 est sorti en 2003 ou 2002, donc pas loin d'une douzaine d'années, et la dernière mise à jour date de 2006. De manière assez surprenante ça marche toujours chez Free.fr, et ça pourrait sûrement marcher sur PHP 5 ou PHP 7 avec quelques corrections (notamment les ereg_*), mais on verra ça un autre jour. En tout cas je suis étonné que certains l'utilisent encore.

Si vous avez développé des patchs ou autres modifs pour WikiKubbe (je sais qu'il y en a qui tournent sur PHP 5 notamment) n'hésitez pas à me contacter et envoyer vos modifs ou scripts et j'intégrerais ça au WikiKubbe "officiel".

Donc le site au passage : http://dev.kd2.org/wikikubbe/


Au revoir L'autre Net

2015-12-25T09:48:54+01:00 - (source)

Voilà mon compte lautre.net a été détruit hier.

J'étais membre depuis 2000 ou 2001 je ne sais plus trop, je n'ai pas accès à mes mails datant d'avant 2002 de toutes façons. Ça fait donc quasiment quinze ans que j'étais membre de cet hébergeur auto-géré auquel j'ai participé à la hauteur de mes capacités, notamment en créant annuaire.lautre.net, en aidant les gens sur le forum d'aide et autres trucs du quotidien. Bon en réalité j'ai surtout participé à saturer le premier serveur de lautre.net à cause du succès imprévu de Journal Intime.com (qui continue, toujours quelques millions de visiteurs chaque mois).

On a combattu ensemble les lois qui s'attaquaient à la vie privée, au statut des hébergeurs, et par dessus tout on a démontré qu'un hébergeur web de masse, pas cher, indépendant, associatif et libre est une réalité possible. Et ce malgré les difficultés inhérentes à ce genre de projet. Aujourd'hui je ne suis plus d'accord avec les dernières décisions prises ainsi que le fonctionnement global de l'association qui ne correspond plus à ce que j'attend d'un projet auto-géré et collectif, c'est pour cela que je part, car de plus je n'ai plus grand chose à apporter au projet, et je ne veux pas me retrouver à critiquer ce qui est fait sans pouvoir proposer de m'investir pour changer tout ça.

Malgré tout je me souviendrais avec beaucoup d'émotion de tout ce que nous avons fait, et des personnes rencontrées. Alors un grand merci à tout le monde, et plus particulièrement aux roots, passés, présents et futurs, notamment Benjamin, Olive, Rémi, Cédric, daffy, etc. Mais aussi en particulier un grand merci à Camille et Chantal qui m'ont hébergé ou payé le billet de train pour aller rencontrer les autres membres à Paris alors que j'avais à peine 15 ans ! Merci à toutes et tous, et à bientôt sur le grand internet !


Au revoir L'autre Net

2015-12-25T09:48:00+01:00 - (source)

Voilà mon compte lautre.net a été détruit hier.

J'étais membre depuis 2000 ou 2001 je ne sais plus trop, je n'ai pas accès à mes mails datant d'avant 2002 de toutes façons. Ça fait donc quasiment quinze ans que j'étais membre de cet hébergeur auto-géré auquel j'ai participé à la hauteur de mes capacités, notamment en créant annuaire.lautre.net, en aidant les gens sur le forum d'aide et autres trucs du quotidien. Bon en réalité j'ai surtout participé à saturer le premier serveur de lautre.net à cause du succès imprévu de Journal Intime.com (qui continue, toujours quelques millions de visiteurs chaque mois).

On a combattu ensemble les lois qui s'attaquaient à la vie privée, au statut des hébergeurs, et par dessus tout on a démontré qu'un hébergeur web de masse, pas cher, indépendant, associatif et libre est une réalité possible. Et ce malgré les difficultés inhérentes à ce genre de projet. Aujourd'hui je ne suis plus d'accord avec les dernières décisions prises ainsi que le fonctionnement global de l'association qui ne correspond plus à ce que j'attends d'un projet auto-géré et collectif, c'est pour cela que je pars, car de plus je n'ai plus grand chose à apporter au projet, et je ne veux pas me retrouver à critiquer ce qui est fait sans pouvoir proposer de m'investir pour changer tout ça.

Malgré tout je me souviendrai avec beaucoup d'émotion de tout ce que nous avons fait, et des personnes rencontrées. Alors un grand merci à tout le monde, et plus particulièrement aux roots, passés, présents et futurs, notamment Benjamin, Olive, Rémi, Cédric, daffy, etc. Mais aussi en particulier un grand merci à Camille et Chantal qui m'ont hébergé ou payé le billet de train pour aller rencontrer les autres membres à Paris alors que j'avais à peine 15 ans ! Merci à toutes et tous, et à bientôt sur le grand internet !


POLi Payments: probably the worst idea for online payments, security-wise

2015-12-24T06:11:50+01:00 - (source)

You are ordering something online, like a new TV, on an online store, or maybe you are ordering an airplane ticket on Air New Zealand. You complete your order, then comes the time to pay. You can't find your credit card which must be in your tuesday pants, which are buried under two weeks worth of dirty clothes in a corner of your bedroom. Or you don't want to pay the credit card surcharge charged by Air NZ. So on the payment webpage you spot this intriguing payment option: Internet Bank Payment.

This looks like a safe thing, practical and all, when you click on help, Air NZ assures you that this is a legit thing, and "you can use to safely pay for your flights directly from your bank account". Seems nice, why not try it. You don't know what this "POLi" thing is, but if it says it's safe, why not? It even tells you that "at no time are your personal banking login details disclosed to Air New Zealand or POLi". Sounds great. Let's do it!

First you have to chose your bank in a dropdown menu, fill a captcha code. If there is a captcha it must be secure. You click next and a nice popup show in the page, asking you... your online banking credentials. Oh. Wait. Didn't I read on every email and letter ever sent by my bank that I should never disclose my online banking credentials to anyone?

OK. This is where you should be stopping and never entering your banking details in that form and never trust POLi Payments. And you will see why.

So, what is POLi Payments? It is a private company, a subsidiary of Australia Post, that provides a "payment solution" for merchants so that Australian and New Zealanders customers can pay an order via their own bank account. You must think that this is a very serious business, and that they should have agreements with all the australian and NZ banks, and that they must be using some kind of banking API or back-end to make transactions.

Well, you are wrong. POLi Payments don't have agreements with the banks. They don't use a secure API or anything like that.

Do you remember the scam and phishing websites your bank tells you about? That you should be careful of not entering your banking details on any website other than the one of your bank? Well they work by doing something simple: they build a fake website asking your credentials, then they collect them, store them and use them to connect to your banks website and do fraudulent transactions.

And what does POLi exactly? They ask for your banking credentials, they collect them and use them to connect to your banks website and do a "legitimate" transaction, in fact they just do a wire transfer. Yup, pretty similar stuff.

The only difference is that POLi is supposed to be a legitimate business, and they tell you that it's really secure. OK, then would you write down on a paper your banking login and password to give to the cashier at the supermarket so that he could make a transfer to the supermarket account to pay for your groceries? Yes, probably not. Even if he assured you that he would destroy the paper after the transfer, you couldn't see him destroy it. This seems a bit unsafe no? Well, it's the same thing that POLi is doing. Yes. They are in fact doing a man-in-the-middle attack on your bank website, there is no other word for it.

Remember when the Air NZ website said: "at no time are your personal banking login details disclosed to Air New Zealand or POLi"? Well, obviously when you are entering your banking login details on the POLi pop-up, you are disclosing them! Even if they claim that they claim that they "do not capture or store usernames or passwords" (POLi Security overview), your login and password is transmitted to the POLi servers, stored in memory and transmitted to your banks website. Because POLi is in fact only a sophisticated "proxy" that navigates on the website of your bank with their servers.

This so-called "payment solution" is definitely misleading and a major security risk should you disclose your banking credentials to them. And I bet they get a number of credentials and transactions done as they seem to be doing everything to tell that they are really safe and secure and they are in fact just a proxy server, like Opera Mini. Which is true, but this is not really reassuring. And one of the many problems of POLi is the fact that they are using an iframe embedded in the merchant website. This means that even though you are disclosing your banking credentials on the POLi website, the fact that it is inside the merchants website means that the merchants website could access your banking credentials when you are entering them in the POLi frame, or even it could maybe exploit a security flaw in POLi proxy service and do other actions or transactions on your online banking using the POLi proxy server. And did you think about other resources used on the merchants website? Like for example a script for analytics, or an external javascript library sideloaded from another website, or ads. They all may access your banking credentials through the POLi frame as well.

The fact that the embedded frame displays a Comodo logo and a padlock is even more misleading, as it suggests that the frame is served over HTTPS, which you have no way of knowing for sure.

And it doesn't stop here, as POLi is using the access to your online banking to collect informations on your bank account, including past transactions or account balances, as it is written in their privacy policy:

We may also collect your financial information including bank account balances, bank account payment limits, a record of your previous banking transactions and information about your internet banking sessions.

Worse, their terms and conditions are deliberately wrong:

Your account access information such as usernames and passwords are not captured or stored by POLi™ or by our website.

And it is repeated on the FAQ of Air New Zealand:

During the course of your payment, Air New Zealand and POLi never have access to your internet banking identifier or password

This is blatantly false, as you can see when you check the requests made from the POLi frame, your login and password are in fact sent to the POLi server:

IMAGE

Not only their service is a terribly bad idea to begin with, but their own terms and conditions don't reflect the reality of what their service is actually doing.

So there is a lot of problems with POLi and in my opinion no one should use it. Why?

So: don't use POLi. Ever. And I'm not the only one saying it. No, really.

And merchants shouldn't use it either as it just shows how bad they are at understanding the safety of their customers. If they accepted to use POLi as a payment option, you should really be worried as how they store and process other private informations. In the case of AirNZ I am really worried as they seem to process credit card numbers themselves. I do not want to know how they store them!

If you are not convinced check out what the banks are thinking below. I don't know why the POLi servers are not blocked by the banks, but it is clear that they don't like this idea:

The fact that an idea like POLi is allowed to legally exist is a major problem. How can you seriously educate people to never give out their banking details if you allow this kind of "service"?


POLi Payments: probably the worst idea for online payments, security-wise

2015-12-24T06:11:00+01:00 - (source)

You are ordering something online, like a new TV, on an online store, or maybe you are ordering an airplane ticket on Air New Zealand. You complete your order, then comes the time to pay. You can't find your credit card which must be in your tuesday pants, which are buried under two weeks worth of dirty clothes in a corner of your bedroom. Or you don't want to pay the credit card surcharge charged by Air NZ. So on the payment webpage you spot this intriguing payment option: Internet Bank Payment.

This looks like a safe thing, practical and all, when you click on help, Air NZ assures you[archive] that this is a legit thing, and "you can use to safely pay for your flights directly from your bank account". Seems nice, why not try it. You don't know what this "POLi" thing is, but if it says it's safe, why not? It even tells you that "at no time are your personal banking login details disclosed to Air New Zealand or POLi". Sounds great. Let's do it!

First you have to chose your bank in a dropdown menu, fill a captcha code. If there is a captcha it must be secure. You click next and a nice popup show in the page, asking you... your online banking credentials. Oh. Wait. Didn't I read on every email and letter ever sent by my bank that I should never disclose my online banking credentials to anyone?

OK. This is where you should be stopping and never entering your banking details in that form and never trust POLi Payments. And you will see why.

So, what is POLi Payments[archive]? It is a private company, a subsidiary of Australia Post, that provides a "payment solution" for merchants so that Australian and New Zealanders customers can pay an order via their own bank account. You must think that this is a very serious business, and that they should have agreements with all the australian and NZ banks, and that they must be using some kind of banking API or back-end to make transactions.

Well, you are wrong. POLi Payments don't have agreements with the banks. They don't use a secure API or anything like that.

Do you remember the scam and phishing websites your bank tells you about? That you should be careful of not entering your banking details on any website other than the one of your bank? Well they work by doing something simple: they build a fake website asking your credentials, then they collect them, store them and use them to connect to your banks website and do fraudulent transactions.

And what does POLi exactly? They ask for your banking credentials, they collect them and use them to connect to your banks website and do a "legitimate" transaction, in fact they just do a wire transfer. Yup, pretty similar stuff.

The only difference is that POLi is supposed to be a legitimate business, and they tell you that it's really secure. OK, then would you write down on a paper your banking login and password to give to the cashier at the supermarket so that he could make a transfer to the supermarket account to pay for your groceries? Yes, probably not. Even if he assured you that he would destroy the paper after the transfer, you couldn't see him destroy it. This seems a bit unsafe no? Well, it's the same thing that POLi is doing. Yes. They are in fact doing a man-in-the-middle attack on your bank website, there is no other word for it.

Remember when the Air NZ website said: "at no time are your personal banking login details disclosed to Air New Zealand or POLi"? Well, obviously when you are entering your banking login details on the POLi pop-up, you are disclosing them! Even if they claim that they "do not capture or store usernames or passwords" (POLi Security overview[archive]), your login and password is transmitted to the POLi servers, stored in memory and transmitted to your banks website. Because POLi is in fact only a sophisticated "proxy" that navigates on the website of your bank with their servers.

This so-called "payment solution" is definitely misleading and a major security risk should you disclose your banking credentials to them. And I bet they get a number of credentials and transactions done as they seem to be doing everything to tell that they are really safe and secure and they are in fact just a proxy server, like Opera Mini. Which is true, but this is not really reassuring. And one of the many problems of POLi is the fact that they are using an iframe embedded in the merchant website. This means that even though you are disclosing your banking credentials on the POLi website, the fact that it is inside the merchants website means that the merchants website could access your banking credentials when you are entering them in the POLi frame, or even it could maybe exploit a security flaw in POLi proxy service and do other actions or transactions on your online banking using the POLi proxy server. And did you think about other resources used on the merchants website? Like for example a script for analytics, or an external javascript library sideloaded from another website, or ads. They all may access your banking credentials through the POLi frame as well.

The fact that the embedded frame displays a Comodo logo and a padlock is even more misleading, as it suggests that the frame is served over HTTPS, which you have no way of knowing for sure.

And it doesn't stop here, as POLi is using the access to your online banking to collect informations on your bank account, including past transactions or account balances, as it is written in their privacy policy[archive]:

We may also collect your financial information including bank account balances, bank account payment limits, a record of your previous banking transactions and information about your internet banking sessions.

Worse, their terms and conditions[archive] are deliberately wrong:

Your account access information such as usernames and passwords are not captured or stored by POLi™ or by our website.

And it is repeated on the FAQ of Air New Zealand[archive]:

During the course of your payment, Air New Zealand and POLi never have access to your internet banking identifier or password

This is blatantly false, as you can see when you check the requests made from the POLi frame, your login and password are in fact sent to the POLi server:

Not only their service is a terribly bad idea to begin with, but their own terms and conditions don't reflect the reality of what their service is actually doing.

So there is a lot of problems with POLi and in my opinion no one should use it. Why?

So: don't use POLi. Ever. And I'm not the only one saying it[archive]. No, really[archive].

And merchants shouldn't use it either as it just shows how bad they are at understanding the safety of their customers. If they accepted to use POLi as a payment option, you should really be worried as how they store and process other private informations. In the case of AirNZ I am really worried as they seem to process credit card numbers themselves. I do not want to know how they store them!

If you are not convinced check out what the banks are thinking below. I don't know why the POLi servers are not blocked by the banks, but it is clear that they don't like this idea:

KiwiBank (NZ)[archive]
We advise against using POLiPayments as it invalidates our internet banking guarantee & is not secure.

KiwiBank (NZ)[archive]
Providing your details through a third party is against terms and conditions and we very much advise against it.

Commonwealth (AU)[archive]
The Commonwealth Bank does not have any working agreement with POLi Payments. The Bank urges customers making online payments to do so via the Bank’s own NetBank site, which guarantees the customer’s security.

ASB (NZ)[archive]
we recommend that you do not use the POLi payment service due to the security risks involved

ASB (NZ)[archive]
Using POLi or Account2Account’s payment system requires users to input their username and password to a third party which breaches ASB FastNet Classic’s Terms and Conditions.

Westpac (AU)[archive]
POLI is not supported by the bank. If making online pymts, should do so via bank's own site which guarantees customer's security

ANZ (NZ)[archive]
ANZ reminds customers not to enter your ANZ Internet Banking log on information when using non-ANZ sites.

BNZ
Providing log in details to a third party presents serious security risks and contradicts both the New Zealand Code of Banking Practice and our terms and conditions.

Bank Australia[archive]
Unfortunately POLi payments don’t meet our security standards.

Bank of Queensland[archive]
We take your Internet Banking security very seriously and, for this reason, we do not support the use of 3rd party applications such as POLi. While it may seem that you are in complete control of the Internet Banking session whilst using POLi, we cannot guarantee the security of your logon credentials unless you access Internet Banking via the BOQ website.

The fact that an idea like POLi is allowed to legally exist is a major problem. How can you seriously educate people to never give out their banking details if you allow this kind of "service"?


Critique : La vie d'Adèle

2015-12-10T21:20:00+01:00 - (source)

Ce documentaire sur les problèmes du cinéma français est passionnant. Non je blague, ce n'est pas une parodie d'adaptation ratée de bande dessinée, par un réalisateur mégalomane. Non c'est bien sérieux, ce film est vraiment au premier degré.

Ce film est donc l'exemple même de pourquoi le cinéma français est une honte, même quand il semble avoir tant de succès, couronné à Cannes et tout le tralala. En commençant par le tournage, qui a fait scandale pour les conditions de travail des techniciens et intermittents, invités à bosser gratos, sous prétexte que bon travailler sur un film de Kechiche ça fait bien sur le CV. Une rengaine que les graphistes et autres illustrateurs connaissent bien : « faites-moi mon logo et en échange ça vous fera de la pub ». Ben voyons. Il ne faut pas s'étonner ensuite que Kechiche fasse partie d'une tripotée de salopards qui s'opposent à une convention collective pour les techniciens du cinéma leur offrant de meilleures conditions de travail. Pour un réalisateur qui explique adorer parler des rapports de classe dans ses films, il faut dire qu'il connaît bien le sujet !

Mais passons la polémique, parlons du film. D'abord commençons par l'histoire, adaptée d'une bande dessinée magnifique (Le bleu est une couleur chaude). Mais si vous avez aimé la BD oubliez-là tout de suite : Kechiche ne l'a pas lue et s'est torché les fesses avec. Il ne l'a tellement pas aimée qu'il a refusé de discuter avec son auteure (Julia Maroh) après avoir obtenu les droits d'adaptation. Et le résultat est visible : la BD est intelligente, fine, touchante. Le film est lourd, sans délicatesse et cliché.

Le scénario, s'il y en a vraiment un, est écrit et découpé n'importe comment. Les dialogues sont à pleurer tellement ils sont horribles. Les personnages sont des clichés terribles. Emma a une famille riche, libérée, qui mange des huitres et boit du vin, accepte la relation homosexuelle de leur fille. Adèle a une famille modeste, qui pense que peintre n'est pas un métier sérieux, mange des spaghettis bolognese, et attendent de leur fille qu'elle soit normale. Les discussions lors des repas chez les deux familles sont à la limite de la parodie, on dirait que ça a été recopié dans un recueil des pontifs. Même une fan-fiction Twilight est mieux écrite.

Le scénar est simplement illogique : les personnages apparaissent n'importe comment, n'importe quand. D'un coup d'un seul Adèle a un meilleur ami (gay, forcément), qu'on n'avait jamais vu avant, mais c'est pas grave, car après dix minutes de présence dans le film on n'en entendra plus parler. Idem avec tous les autres personnages secondaires. Les familles d'Emma et Adèle ? Après les repas, elles disparaissent. Les potes d'Adèle, ouvertement homophobes ? À la trappe. Le mec avec qui Adèle trompe Emma ? On ne le verra plus jamais après qu'Emma ait quitté Adèle, alors qu'il bossait avec Adèle tous les jours à l'école ! Ce n'est plus un film, c'est un numéro de magicien sérieux ! C'est comme ça pour tous les personnages : ils sont introduits n'importe comment à l'arrache en deux-trois lignes de dialogues et disparaissent juste après. Même dans Street Fighter 2 les personnages apparaissent plus longtemps et ont une psychologie plus évoluée.

Le film repose donc sur ses deux principales interprètes, Adèle Exarchopoulos et Léa Seydoux. Adèle joue plutôt bien franchement, c'est une belle surprise, elle porte un peu le film sur ses épaules d'ailleurs, parce que sans elle je n'aurais pas tenu jusqu'au bout des 3 heures (oui oui !). Léa Seydoux par contre… Ils auraient pris une truite que ça n'aurait pas changé grand chose. Évidemment son rôle dans le scénario est bâclé, pour ne pas dire carrément charcuté, et même caricaturé, ce qui n'aide pas à développer une quelconque profondeur au personnage. Mais même sans ça, elle est inexpressive et à côté de la plaque dans la moitié des scènes. Du coup on ne croit pas un moment à l'histoire amoureuse entre les deux filles. La relation paraît toujours fausse. En même temps je veux dire elles passent de l'étape « on discute dans l'herbe et on s'embrasse » à « on baise violemment » en deux secondes (je ne mens pas). Car à chaque fois (sauf une) qu'Adèle embrasse quelqu'un dans ce film c'est suivi tout de suite par une scène de sexe. Ben oui, c'est complètement logique voyons !

J'en arrive donc au principal point polémique du film, les scènes de sexe. Oui car il y en a pas mal, elles sont assez explicites et longues. J'ai compté pour vous, il y a en tout 16 minutes de scènes de sexe à l'écran. La plus longue fait quand même sept minutes non-stop, et je peux dire que sept minutes de faux sexe lesbien tel qu'imaginé par un quinqua qui n'a aucune idée de la sexualité des lesbiennes, c'est long, très long. Ces scènes n'ont même pas un intérêt masturbatoire, ce n'est pas même excitant pour un mec, c'est juste du pur ennui. Alors la question pourquoi ces foutues scènes, comme si c'était le truc le plus important à mettre dans ce film ? Non, elles ne servent à rien, elles n'apportent rien aux personnages, à l'intrigue, à l'ambiance. Elles sont juste chiantes. Je suspecte qu'elles n'existent que pour faire parler du film, ce qui est réussi. Et encore, je m'estime heureux, car la plus longue scène fait sept minutes, mais il a fallut dix jours pour la tourner, et là je pense aux pauvres comédiennes obligées de refaire sans cesse cette scène pendant dix jours. Mais quelle horreur, sérieusement. On pourrait aussi parler longuement de comment elles sont filmées, c'est à dire mal, au point que même un porno est mieux foutu. Ensuite on est dans le fantasme masculin le plus total : alors qu'Adèle, personnage plutôt réservé, couche avec Emma pour la première fois, elle se comporte déjà comme une pornstar qui mangerait de la foufoune au petit déjeuner depuis quinze ans. Sérieusement.

Je pense que la sexualité du film (et la vision de la sexualité féminine par le réalisateur) est à l'image de l'intello à la con qui existe dans une scène du film et qui je pense est l'incarnation du réalisateur (quand je vous disais qu'il était mégalo) et qui raconte sans se démonter, avec tout le monde qui l'écoute religieusement : « moi à chaque fois que j'ai pu coucher avec une femme j'ai pu observer quelque chose qui (...) parlait dans un au-delà, en dehors de son corps (...) je suis persuadé que l'orgasme féminin est mystique (...) on le voit dans les yeux, vous [les femmes] avez des yeux qui regardent dans l'au-delà ». Oui, les femmes ces êtres mystiques, qui viennent de Vénus, incompréhensibles, si mystérieuses, et qui hurlent dans les bois les nuits de pleine lune. Voilà l'idée de la femme selon le film. Et ça se voit, et franchement c'est à pleurer pour un film qui parle de relations homosexuelles, c'est d'une pauvreté intellectuelle sans nom.

Et justement pourtant le film essaye de se targuer d'être intelligent, ou en tout cas intello. Et cela à travers un nombre de dialogues et scènes complètement chiantes où les personnages parlent de littérature, de philosophie, d'art et de choucroute alsacienne. Ah nan pas la choucroute pardon. Et à chaque fois, ces dialogues sont d'une pauvreté intellectuelle crasse, d'un ennui profond, d'une fausseté et d'un caricatural. Ça se voit tellement que Kechiche essaye de se la péter intello, mais ça tombe à plat comme une vieille crêpe recouverte de choucroute, parce que d'abord on s'en fout complètement, ensuite que ça n'a rien à voir avec le film et enfin que c'est n'importe quoi. Placer des références et citations de Marivaux, Sartre ou Klimt ne vous rend pas intelligent ou ne vous donne pas l'air intelligent, ils vous donne l'air d'un crétin qui veut se la péter. Je ne parle même pas de la visite d'Emma et Adèle au musée d'art où nous n'aurons droit qu'à des gros plans sur les culs des statues. Classe, on se croirait presque dans un Batman de Joel Schumacher : statues grecques et gros plans sur les fesses. Pas vraiment un film intello…

Et justement les pires scènes pseudo-intello sont ces horribles scènes de cours de français et de littérature. Qui sont tellement réalistes qu'on s'y ennuie autant qu'au vrai lycée. Ah donc un bon point pour le réalisme là ?

On en vient au réalisme et à la crédibilité du film. On vous le dira, pour que le public se passionne pour votre film, il faut qu'il soit un minimum crédible et cohérent dans son univers. Ce qui n'est pas le cas ici, et certains détails sont à pleurer. Au début du film Adèle est dans le bus avec son copain, et celui-ci lui dit « temps de merde aujourd'hui », et celle-ci répond « ouais t'as vu c'est fou ». Déjà bon le dialogue OK. Mais ensuite heu il ne pleut même pas, il ne fait pas moche, c'est n'importe quoi, au moins faites genre qu'il a plut, mettez de l'eau par terre ou des gouttes d'eau sur les vitres du bus ! Et je passe sur le fait que pendant tout le reste du film il fera soleil. À Lille. On y croit tous. Et aucun personnage n'a de téléphone portable dans ce film (sauf Emma), tout le monde s'appelle sur la ligne fixe de ses parents et laisse des messages sur des répondeurs à cassette. Ce qui est complètement anachronique avec le fait qu'Adèle chante et danse sur une musique de 2011 pour l'anniversaire des ses 18 ans.

Je mentionne au passage la musique mais rapidement car il n'y en a pas, seulement quelques fonds sonores (en boîte, dans les bars, etc.), rien de passionnant.

On en arrive enfin à l'horrible montage du film. Le film est long, lent, on a vraiment l'impression de jouer à un jeu vidéo bloqué à 0,5 FPS. C'est leeeennntt, on se fait chier sérieux. Il y a de nombreux plans qui ne servent à rien et durent juste pour faire durer. Mention spéciale sur les plans (fixes) sur Adèle (le plus souvent à poil, enfin sans poils) en train de dormir. Pendant 10 ou 20 secondes. Ah. Bon. Moi je vais pisser je reviens alors. Les plans fixes au passage ne sont jamais vraiment fixes, la caméra devait être tenue par un ancien opérateur de marteau-piqueur parce que ça tremble sec, c'est carrément désagréable à regarder. Peut-être que Kechiche ne sait pas ce qu'est un trépied ?

Tout cela est peut-être dû à un problème de budget ? Non parce que bon à deux reprises dans le film il y a des élipses temporelles de trois ans et personne n'a jugé utile de payer un sous-titre indiquant "trois ans plus tard". Bon on s'en aperçoit, parce que la scène d'avant Emma et Adèle couchent ensemble chez les parents d'Adèle après qu'elle ait eu 18 ans, et la scène suivante elle est devenue institutrice. Alors bon je sais bien qu'on embauche n'importe qui à l'éducation nationale (surtout comme ministre en fait), mais bon quand même.

Le film fait trois heures, et il y avait peut-être assez de matériel pour faire un film potable d'une heure et demie, le reste c'est du remplissage creux, vide, sans intérêt. Mais même si le film avait eu une version courte ça ne change rien au fait que la plupart des scènes sont filmées sans talent, sans recherche, sans intérêt pour le sujet, et sont d'un ennui total. Il ne se passe rien. Jamais. Même le « dénouement » final est creux. Creux et mauvais. Alors que la fin dans la BD de Julia vous fait pleurer, à on tombe sur une fin à la con qui vous fait vous demander pourquoi vous avez regardé ce putain de film en premier lieu. Mais rendez-moi ces trois heures de ma vie que vous m'avez volé pour les remplir avec du rien !

Et le pire ? C'est que Kechiche voudrait faire une nouvelle version plus longue de 40 minutes. Mais qu'est-ce que tu va bien pouvoir foutre dans 40 minutes de film en plus si tu n'avais déjà pas assez pour remplir un film de 90 minutes ? Des plans fixes tremblotants sur le cul d'Adèle ? L'intégrale d'un cours de philosophie de terminale ? Mais ce n'est pas fini, le film s'intitule « La vie d'Adèle chapitre 1 et 2 », ça veut dire qu'il prévoit de faire d'autres chapitres ? Mais comment ? Même une tarentule écrasée présente plus de suspense, de dialogues intéressants et d'intensité dramatique que tout ce film ! Au secours empêchez ce mec de faire des films.

Alors que dire de plus ? Un film long, ennuyeux, creux, mal écrit, mal filmé, pseudo-intello, carrément mégalo, avec du cul pour faire scandale et faire oublier l'abîme intellectuelle que représente le reste du film, des équipes mal ou pas payées, des conditions de tournage abominables mais c'est pas grave « c'est pour l'art et ça fera bien sur le CV ». Mais mais, mais oui, c'est bien un film français ! Un très bel exemple-type du pire que peut produire le cinéma hexagonal. Et on se demande encore pourquoi personne ne va voir des films français… Mais même Uwe Boll fait de meilleurs films, c'est dire !

Maintenant après avoir vu ce « truc » je vous invite à lire les critiques de la presse : 4,6 sur 5 sur Allociné. « C'est ça le grand cinéma » selon Télérama. Rassurez-moi ils parlaient de la taille de la salle de projection là ? « Intense, haletant, frappe par sa richesse et la subtilité des thèmes » mais mais mais même une grenouille sous un 38 tonnes est un thème plus subtile que n'importe lesquels du film ! Je ne vois qu'une possibilité : ces journalistes ont laissé leur cerveau d'huitre dans le repas des parents d'Emma.


Powered by VroumVroumBlog 0.1.32 - RSS Feed
Download config articles