AVIF est à préférer. Le codec est plus performant que VP9 (dans WebP) et H.264 (dans JPEG). La qualité de l'image est aussi meilleure (gammes de coloeur, divers espaces colorimétriques) et sans redevance. Le support d'AVIF n'est pas encore optimal pour les navigateurs, mais atteint Baseline 2024.

WebP est au contraire établi, avec ou sans perte.

Passer les PNG/JPEG qualité 90 à AVIF qualité 50 permet d'économiser au moins 75% de bande passante.

L'idée plus innovante est de compresser au préalable les ressources avant qu'elles soient utilisées.

[Précompresser avant de déployer] veut dire qu’on peut les compresser une seule fois, avec le niveau maximum, et demander à nginx de servir directement les fichiers pré-compressés. Zéro CPU à chaque requête, mais surtout un meilleur ratio au final, car on peut compresser plus fort.

En outre, Zopfli permet de compresser en .zip avec 3 à 8% d'efficacité en plus.

# Serve pre-compressed files generated at build time
gzip_static on;
brotli_static on;  # nécessite libnginx-mod-http-brotli-static

# Fallback pour les contenus non pré-compressés
gzip on;
gzip_vary on;
gzip_min_length 1024;
gzip_types text/plain text/css text/xml text/javascript
           application/javascript application/json
           application/xml image/svg+xml;

La compression Brotli permet de compresser à hauteur de 81% le HTML. La score des Web Core Vitals est passé de 70-85 à 99%.

Ce mercredi 18 févriers, une intrusion a permis l'accès à 1.2 millions de compte.

Another casualty of social media ban for kids.

Note that the social media affects is not wrong, but the "media" part of Facebook or TikTok: the platform decides what to show instead of a simple timeline.

Microsoft serves a AI diagram that is clearly plagiarism.

take someone's carefully crafted work, run it through a machine to wash off the fingerprints, and ship it as your own.

and a sloppy content compared to the original

On a appris que chaque commit devait être atomique, qu’il ne doit concerner qu’une seule chose, la plus petite possible, qu’il doit laisser le repository dans un état cohérent, sans test en échec, et qu’il doit avoir un message concis mais précis.

Ahaha excellent ces règles du git zen

1. Commitez quand vous voulez, quand vous pouvez, quand vous devez ⌚
   Suivez votre rythme, pas celui du code. Commitez quand vous êtes satisfait·e de ce que vous avez écrit, quand vous partez en pause déjeuner, quand vous devez passer sur un autre sujet, quand ça fait un moment que vous ne l’avez pas fait.
2. Merges uniquement 🔀
   Laissez tomber le rebase, laissez tomber le squash, mergez les branches quand elles doivent converger, point. Le rebase vous posera des pièges, sera plus exigeant, créera des conflits là où il n’y en a pas, sera plus risqué. Le merge ne vous trahira jamais.
3. Libérez les messages de commit 🗯️
   "pause café" est un message de commit parfaitement valide. "tous les tests passent !!!!" en est un autre. Si l’historique doit raconter une histoire, alors que ce soit la vôtre.
4. Nommez correctement vos branches 💾
   On interrompt la déconne au moment de nommer une branche. Peut-être que vous allez avoir plusieurs branches en cours dans votre espace de travail, que vous allez devoir jongler entre celles-ci. Leur donner des noms explicites vous aidera à ne pas être perdu·e.
5. Ne regardez jamais l’historique git 🙈
   Dédiez votre attention au présent, au futur, pas au passé.

C'est excellent que 2000 établissements sanitaires et médico-sociaux essaient de s'émanciper en développant leurs propres outils pour améliorer les services aux adhérents, rendre les offres de marchés plus lisibles et optimiser son organisation interne.

Le ministère de l'intérieur rejette les adresses email en @protonmail.com puisqu'elles sont considérées comme jetable? Et celle en gmail alors?

[Generated by AI]

The paper critically analyzes the security claims made by several widely-used cloud-based password managers that advertise “zero-knowledge encryption”. This is the property where the provider theoretically has no access to users’ plaintext passwords or vault contents.

The researchers assume a fully malicious server — that is, attackers who have complete control over the server infrastructure and can respond arbitrarily to client interactions. This is stronger than traditional models where attackers might only obtain stored encrypted data.

Three major password managers were analyzed: Bitwarden, LastPass, Dashlane. These services account for 10 millions of users (~23% market share).

The paper identifies multiple distinct attacks that break various security guarantees under the malicious-server model:

• 12 attacks against Bitwarden
• 7 against LastPass
• 6 against Dashlane

These range from integrity violations of specific user vaults to complete compromise of all vault data in an organization. Many of the identified attacks can lead to full recovery of stored passwords when the server behaves maliciously — undermining the advertised zero-knowledge guarantees.

The results highlight a broader point: cryptographic assurances depend heavily on threat models — in particular, whether the server can be fully malicious. If real zero-knowledge security under malicious servers is required, current designs may be insufficient.

Takeways:

• Users should be aware that “zero-knowledge encryption” may not be robust in server-compromise scenarios — even if it protects against passive breaches of encrypted data.
• The security of password managers still significantly improves over reusing passwords or storing passwords unencrypted — but the strongest claims require careful interpretation relative to rigorous threat models.

Murena Maps prend le contre-pied, car l’application fonctionne nativement en ligne avec les données OpenStreetMap. Elle offre une précision immédiate sans encombrer la mémoire du téléphone, tout en garantissant qu’aucune donnée de localisation n’est vendue à des tiers.

Unsuscribe from the main digital services provided by U.S. companies.

Meh, c'était uniquement pour les JO. Oh suprise, elle devient permanente.

The yearly survey about Javascript (features, libraries, tools, usage, resources, demographics)

You see, until a few years ago, it was thought that certain pains were of psychosomatic origin. Perfect test results, no instrumental readings, impossible to explain: invented, self-induced. Then we understood that they weren't invented, but real - today we know how to treat them, with good results, restoring a normal life to those who suffer from them. We are not yet able to detect the markers that tell us which nerve endings, transmitters, or whatever element gives or causes these pains, but we know they exist and we know how to treat them. Science will explain this too.

Passion has no age. And that look, that spark, that satisfaction of having identified something others had ignored - I won't forget it easily.

Cela est logique:

Les entreprises en question sont des producteurs de gaz et de pétrole, de charbon (Aramco, Gazprom, etc.). Pas les consommateurs.
Ça serait comme dire que BMW ou VW sont les constructeurs automobiles qui tuent le plus sur les routes. Ça n’a pas de sens.

Pour qu’ils arrêtent de produire du pétrole et du gaz, faut arrêter d’acheter du pétrole et du gaz. Ils ne vont pas arrêter de le vendre d’eux-mêmes.
En France, notre électricité parmi la plus décarbonée du monde est taxée deux fois plus que le gaz (au kWh).
On peut donc rêver pour que la motivation vienne des États. C’est pas sur eux qu’il faut compter.
Enfin, je rappelle que si tous les efforts (et dépenses) faits par les écologistes pour combattre le nucléaire au profit du vent et du solaire avaient été fait dans l’autre sens, la part d’électricité décarbonée dans le monde serait de >50 %, pas 12 % (oui, il ne faut pas confondre électricité et énergie primaire, mais quand-même : une partie de l’énergie primaire est fossile parce qu’on refuse de produire de l’électricité à la place : chauffage, transport, etc. qui sont très faciles à électrifier). Compter sur les écolos (écolos politiques) c’est donc également une idée à la con.

Et concernant l'article qui semble plus d'opinion

Savoir que 32 conseils d'administration tiennent notre destin entre leurs mains est terrifiant, certes. Mais c'est aussi une simplification bienvenue du problème. Il est plus facile de cibler 32 entités bien définies que de changer, d'un coup de baguette magique, le comportement de 8 milliards d'individus.

Pour cela, il faut que toutes les nations de la planète se mettent d'accord, mais lorsqu'on voit les tensions à l'échelle du globe, cela reste pour le moment une utopie. Obliger ces entreprises à payer revient à augmenter les coûts des énergies extraites (ou diminuer les marge de ces entreprises artificiellement, qui vendront alors au plus offrant).

Des données personnelles dont le RIB des personnels ayant travaillé avant 2007 au CNRS sont achetables en ligne.

Ce vol de données fait suite à une série de vols qui dure depuis des mois en France.

En se connectant aux serveurs MQTT utilisés par DJI, Azdoufal affirme avoir pu identifier environ 7 000 robots aspirateurs actifs dans 24 pays en l’espace de quelques minutes. Chaque appareil envoyait régulièrement des données : numéro de série, pièces de la maison en cours de nettoyage, obstacles rencontrés, niveau de batterie, retour à la station de charge, [...] plan 2D.

Selon lui, il ne s’agissait pas d’un piratage classique : aucune intrusion par force brute ou exploitation complexe. Il aurait simplement extrait le « token » privé de son propre appareil, censé limiter l’accès à ses seules données. Or, les serveurs auraient renvoyé les informations d’autres utilisateurs sans contrôle d’accès suffisamment strict.