1Password et Simplenote vent debout contre la nouvelle politique de Safari
Avec Safari 13.1, Apple a cherché à renforcer la confidentialité des utilisateurs de son navigateur web avec deux nouvelles mesures : le blocage complet des cookies tiers et la suppression au bout de sept jours des données stockées localement par un site. C’est surtout ce deuxième point qui fait polémique depuis l’annonce du changement, puisque ces données locales sont indispensables aux web-apps :
Dans la foulée de l’annonce, le constructeur avait annoncé un changement : les web apps installées sur l’écran d’accueil d’iOS ne sont pas concernées par la mesure. Tant mieux, mais cela ne suffit pas dans tous les cas et deux développeurs sont montés au créneau pour réclamer un changement de politique, ou au moins un délai allongé. Il s’agit du gestionnaire de mots de passe 1Password d’une part, et du gestionnaire de notes Simplenote d’autre part.
L’un comme l’autre proposent une app pour macOS qui n’est pas du tout concernée par le changement, mais aussi un site web qui l’est. On peut utiliser 1Password et Simplenote uniquement dans un navigateur web, et accéder à tous ses mots de passe et toutes ses notes en lecture et en écriture. Pour ce dernier, la nouvelle politique peut conduire à perdre des données pour ceux qui utilisent la web app dans un navigateur sans connexion à internet. Jusque-là, les notes étaient toujours sauvegardées en local et synchronisées avec le serveur quand la connexion revenait. Avec Safari 13.1, si l’utilisateur attend sept jours avant de rouvrir le site pour le synchroniser, il aura tout perdu.
Dans le cas de 1Password, c’est la clé privée indispensable au déchiffrement des données qui est stockée dans les données locales du navigateur. Si ces données sont supprimées au bout de sept jours sans utilisation, l’accès aux mots de passe ne sera plus possible. Et potentiellement, cela pourrait conduire à une perte de données si l’utilisateur a créé un coffre local sans le synchroniser avec les serveurs du service, ce qui est possible et cela fonctionnait sans gros risque auparavant.
Dans les deux cas, cela ne concerne pas la majorité des utilisateurs, mais c’est une possibilité qui est utilisée par certains d’entre eux. Face à ces arguments, Apple a créé un rapport de bug en interne pour en discuter et peut-être faire évoluer sa politique. Pour l’heure, l’entreprise n’a pas fait de concession supplémentaire toutefois.
Bof.
Yark vent debout contre les systèmes d'abonnement. Resté sur un vieux système avec Enpas et j'en bouge plus.
@YARK
Idem, glissé de 1Password à Enpass des l’annonce du passage à l’abonnement.
1Password est toujours en vente sans abonnement.
@AirForceThree
Pour longtemps ? Je ne pense pas. L'option d'achat de la licence "perpétuelle" est bien cachée, sans oublier que l'app sur macOS est à télécharger sur le site officiel (et pas sur le Mac App Store). Sans oublier que c'est qu'une synchro sur iCloud avec la plateforme macOS. Pour iOS, il faut acheter une autre licence perpétuelle avec une synchronisation du coffre via iCloud (pour pouvoir synchroniser ses appareils Apple) sinon c'est impossible avec Windows.
Ça fait des années que l'option est cachée.
Moi je synchronise mon téléphone via le serveur WLAN de 1Password. Ça fonctionne bien.
@YARK
... mais Enpass est aussi passé à l’abonnement !
@DahuLArthropode
🤪Exact. Mais je ne l’upgrade pas. Pour l’instant ça fonctionne...
De toute façon, vu les proportions d’emmerdes qui arrivent en ce bas monde, attendez-vous à payer un abonnement pour un air sain dépourvu de virus, ou un abonnement pour se faire livrer de la bouffe et des produits d’entretien ad vitam aeternam le jour où on ne pourra plus sortir du tout (prochaine étape : une centrale nucléaire qui pète et on saura pas où se réfugier). Désolé d’être aussi pessimiste, mais l’être humain est décidément trop con. Et je ne m’exclus pas de cette espèce... : Poison d’avril.🥶
C'est caractéristique de la politique d'Apple en général : tout verrouiller, tout contrôler, sous prétexte de "sécurité". mouarff...
Je plains sincèrement les devs de 1password et simplenote, car je crains que leur combat soit perdu d'avance.
En tant que développeur, je suis régulièrement confronté à ce genre de règles de plus en plus contraignantes.
Sans compter l'environnement de développement (XCode) de plus en plus lent au fur et à mesure des nouvelles versions.
Et sans aucun changement majeur qui plus est : je ne vois pas, au quotidien, de différence entre XCode 6 et XCode 10, si ce n'est que le second met 10 à 50 fois plus de temps à compiler, et a un simulateur tellement lent qu'il devient plus sage de brancher directement un device pour tester une app.
Mais que faire ?
Évidemment, c'est vraiment plus cool, l'IDE fourni par google, et les règles sont tellement moins dures.
Mais il y a moins de clients avec Android qu'avec iOS. Faut être réaliste.
Je vois poindre le moment où il ne sera tout simplement plus possible de développer des apps tierces pour Apple, tellement ce sera verrouillé et contraignant.
Pour l'instant, je ne vois pas trop ce qui pourrait empêcher, un jour, mes apps de tourner correctement sur iOS.
Mais Apple a beaucoup plus d'imagination que moi, je le crains.
@pecos
Et pourtant ce stockage NAvigateur, et une vrai saloperie utiliser pour faire du tracking.
Des années qu’Apple met en garde. Cela avait déjà mis en place, puis mis en sursis depuis...2014
C’est enfin effectif et tant mieux pour nous , utilisateurs 🙌
Pour les devs, je ne me fais pas de soucis pour 1PAssword
On peut en discuter, de ça. Mais cette décision est surtout révélatrice de la politique d'Apple depuis des années, sur une quantité innombrable de sujets similaires.
Si j'osais une petite comparaison avec une cuisine :
La politique logicielle d'Apple dans ce cas serait d'autoriser UNIQUEMENT LES SANDWICHES, et d'interdire par mesure de sécurité :
les couteaux,
les fourchettes,
le four à micro-ondes,
les assiettes (coupantes si ça casse),
la salière (toxique en cas de surdose et pas bon pour votre santé ©®™),
la poivrière (peut servir pour agresser son conjoint, dans l'œil ça fait mal)
le frigo (on peut enfermer le chat ou les enfants dedans)
Faudrait aussi visser la table et les chaises.
Et, ho, au pain de mie, hein, les sandwiches. Vous risqueriez de vous égratigner les gencives avec une croute de pain trop cuite.
Quand je pense que je bosse pour eux, d'une certaine façon... Ça devient du masochisme. Faut que je consulte.
Apple est similaire à Nintendo. Vous devez donc bien en tenir compte.
Apple a toujours eu une relation antagoniste avec les développeurs tiers. Y a des périodes d'ouvertures, certes, par exemple le lancement d'une plateforme, mais sa culture, c'est de verrouiller.
Entièrement d'accord : je me souviens encore à quel point c'était formidable il y a 10 ans, quand Apple a ouvert le SDK iOS2 à tout le monde.
@pecos
Ouais, quand elle sait qu'elle ne peut pas le faire seule et donc qu'elle a besoin que des devs tiers boostent l'attractivité de son offre pour maximaliser ses profits, là elle fait un effort.
@pecos
"La politique logicielle d'Apple dans ce cas serait d'autoriser UNIQUEMENT LES SANDWICHES, et d'interdire par mesure de sécurité :"
Délicieux !
Et tellement vrai.
Ça fait du bien de lire ça, sans devoir l’écrire soi-même. Bouffée d’air frais.
Même si c’est rageant. Ou plutôt, affligeant.
Affligeant comme une maladie chronique.
Car ça ne peut pas évoluer, sauft cataclysme.
Faut se faire une raison, ou changer de navire.
@Sgt. Pepper
> Des années qu’Apple met en garde. Cela avait déjà mis en place,
> puis mis en sursis depuis...2014
> C’est enfin effectif et tant mieux pour nous , utilisateurs 🙌
Et quand "nous", les utilisateurs, avons nous le choix, le contrôle, la décision finale dans cette affaire !?
Apple c'est pas notre mère, ni notre tutrice légale, hein, pour rappel.
Que Safari affiche un avertissement, indiquant un blocage de telle tentative par tel site web et laisse l'utilisateur final, ainsi averti, prendre en conscience, en responsabilité mais surtout de son *plein* droit le contrôle de la décision de bloquer ou pas un mécanisme.
Apple le fait bien quand il s'agit de laisser l'utilisateur seul responsable d'accorder telle permission à telle app sur iOS, ce qui protège Apple de toute conséquence juridique.
Pourquoi là elle se prend pour le seul maitre *chez* l'utilisateur, encore une fois ?
Les utilisateurs ne sont pas ses enfants. Prévenir c'est bien, mais infantaliser à vie des gens, c'est bon pour personne, jamais.
@pecos
"Je vois poindre le moment où il ne sera tout simplement plus possible de développer des apps tierces pour Apple, tellement ce sera verrouillé et contraignant."
Mais non: Apple a un moment va sentir monter la fronde et diminuer le bizness, et comme d’hab ils vont lâcher du lest à grand renfort de « je vous ai compris » et ça repartira pour un tour.
Mais comme tu dis, que faire quand c’est la meilleure manne du marché mobile ?
Ça m'étonnerait qu'Apple veulent faire disparaître les applications tierces: c'est un des principaux atouts d'iOS, la variété d'applications disponibles
Moi je suis développeur d’applications web.
Mais franchement, c’est parce que le marché de l’emploi veut des devs web.
En fait on ne peut pas reprocher vraiment à Apple de « verrouiller » les applis web.
On a du mal à s’en rendre compte en tant que dev parce que le message est passé en douceur depuis des années mais le marché des applications web nous a été imposé il y a des années par Google et Facebook, notamment. A grand coup de frameworks gratuits et trop cool.
L’avantage il est seulement pour eux : les données du monde entier sont sur le web et ces deux acteurs proposent une foultitude de services gratuits et trop cools à implémenter sur ton appli en échange de quelques donnés de tes utilisateurs.
Apple ne mange pas de ce pain là et a décidé que Safari était un navigateur web. C’est à dire une application pour naviguer sur le World Wide Web, à la base une ressource documentaire décentralisée mondiale.
Si on prend énormément de recul (et je le fait en tant que dev web bien payé), les applis web ont énormément d’avantages pour FB et Google mais pour nous, humains et développeurs :
+ facile à déployer (pas de déploiement)
+ facile à maintenir (pas de gestion des mises à jour - et encore, on arrive à s’inventer parfois ce besoin)
- c’est mille fois plus lent et plus lourd que les applis Java que l’on critiquait à une époque. Mais c’est pas grave nos téléphones ont maintenant 16go de ram.
- ca reste fondamentalement de la bidouille : on manipule le DOCUMENT object model pour faire des interfaces graphiques
- ca rajoute un niveau de complexité à celui du backend de manière totalement étanche avec une grosse tendance à découper ou dédoubler les comportements métier.
- ce n’est quasiment jamais accessible puisque d’une part les devs ont la flemme (ça c’est pas typique du web) et d’autre part les fonctionnalités d’accessibilité des navigateurs sont restées à l’époque de la lecture de document.
- ca renforce la tendance à l’élimination des moteurs de rendu web. Il ne reste plus grosso modo que WebKit et Servo. Ça donne un pouvoir absolument phénoménal aux GAFAM qui sont maintenant les seules entreprises au monde capables de developer et maintenir un moteur de rendu et/ou d’exécution du JavaScript. Alors que la standardisation du www avait au contraire pour objectif d’unifier le comportement des moteurs de rendu afin qu’une concurrence saine se mette en place.
Alors y’a quelques avantages. On peut payer des designers pas trop cher pour faire de jolies feuilles de style.
Mais alors reprocher à Apple de remettre le navigateur à sa place, j’irai pas le leur reprocher. De toutes façons dans les équipes de dev Safari est déjà depuis des années le nouveau navigateur qui fait chier. Sauf que contrairement à IE, Safari ne fait chier que parce qu’il est strict et qu’il accepte moins le code mal conçu.
@pocketjpaul
J’ai lu ton message mais vous en tant que développeur de tous les jours, vous trouvez alors que c’est une bonne solution ??? Pourquoi Facebook et Google ça les intéressent ? Hâte d’avoir votre réponse
@pecos
Ça fait longtemps que je pense comme toi.
Il est loin le temps où l'informatique permettait de plus en plus de choses. Aujourd'hui, Apple en tête, supprime de plus en plus de possibilités ou les planque (pour ne pas faire un choc trop violent), année après année. Elle se demande chaque fois : ai-je une bonne raison de ne pas interdire cela ? si le pourcentage d'utilisateurs est faible, allons-y pour interdire. Mais avec le temps, presque tout le monde est touché.
Apple, à l'instar d'un gouvernement, cherche à controller ce qui peut se faire, se dire, même se penser (!) sur sa plateforme, avec le contrôle total sur les apps publiées et leur contenu. Toujours sous couvert de sécurité bien sûr… + de sécurité / – de liberté… Comme un gouvernement vous dis-je !
Avec iOS, Apple mesure le nombre de personnes prêtes à se laisser enfermer, et décline ensuite les mesures sur MacOS. Ça fait peur. Le pire : il y a toujours des gens pour soutenir cela !!!
Safari sur iOS ne perdrait pas la possibilité d'enregistrer les mots de passe des sites, alors où est le pb ? OnePassword sera donc inutilisable avec Safari, mais continuera t'il de fonctionner avec les autres applis iOS ?
@pecos
+1
du même avis
Perso je cherche une autre solution à 1Password à cause de leur politique tarifaire : je ne comprends pas l’intérêt d’un abonnement pour ce type de logiciel. On peut aussi s’insurger. D’ailleurs il ne faut plus faire les mises à jour, sinon on ne peut plus accéder à la modification des enregistrements. Absurde vente forcée. J’avais payé une version complète, je veux bien payer des mise à jour majeurs, mais un abonnement, non, et on a pas le choix, à priori.
Du coup j’ai prix KeePassXc sur le Mac ( bien intégré à safari dont je ne comprends pas la politique d’infantilisation des utilisateurs) et cherche une solution sur iOS pour synchroniser les fichiers.
Sinon dans Firefox il y a lock wise qui fonctionne bien mais est limité au web
Je suis un peu hors sujet, mais c’est un peu lié du fait des gens qui s’insurgent.
@pacou
Apple Keychain fait très bien le job.
@Sgt. Pepper
Ça je le sais très bien et l’utilise depuis longtemps
Mais
Ce n’est pas compatible avec autre chose que safari sur Mac (et le système évidemment) et n’est pas compatible Linux et Windows.
Je ne suis pas monothéiste en matière d’informatique
@pacou
Moi non plus, mais je rends étanche l’accès à certains site.
(Site sensible que depuis IOS)
pour le boulot sur Windows -> Firefox-Keystore, etc...
j’utilise des Keystore dédié par contexte. Et je fuis les synchros Cloud comme la peste (à part iCloud ayant 100% au chiffrement E2E)
@Sgt. Pepper
Ok je prends note de cette stratégie
D’ailleurs indirectement je le fais aussi un peu: banques uniquement sur safari, uniquement sur mon mac ou via application dédiée, par exemple
Ça limite la propagation des mots de passe
@pacou
Je suis passé de 1password à Bitwarden , qui semblait faire l’unanimité sur les différents tests que j’ai lu. Il est multiplateforme
@pacou
J’utilise Bitwarden, hébergé sur un serveur perso, mais je crois qu’ils proposent une version gratuite hébergée par eux.
@Korhm
Gratuit chez eux et payant chez toi ?
Il n’y a que moi qui trouve ça surprenant ? XD
@pacou
On peut acheter 1Password
@Liena1
D'accord mais pendant combien de temps encore ? La version majeure 7 de 1Password est encore d'actualité depuis 2018. On sait que la durée de vie d'un logiciel est de 2 voir de 3 ans.
J'ai acheté 1Password avec 2 licences "perpétuelles" pour mon MacBook et mon iPhone.
J'ai récemment basculé sur Bitwarden, je soutiens plutôt les solutions open-source sur les gestionnaires de mdp, j'ai donc pris un abonnement chez Bitwarden mais les tarifs (10$/an pour une utilisation perso) n'ont rien à avoir avec 1Password, et cela me suffit largement.
@victoireviclaux
Oui, c’est tout l’enjeux, pour combien de temps ? Au moins, à travers votre réponse, je saurais vers quoi me tourner si 1password devait être intégralement en abonnement.... même si j’adore absolument ce soft
C’est globalement toute la problématique de la dépendance envers les logiciels reliés à internet...
@Liena1
Ou ?
Mon ancienne version fonctionne toujours, mais je ne peux pas passer à la version actuelle sans abonnement, ou alors j’ai loupé un truc et je suis preneur de l’info
Merci par avance, car passer d’un système à un autre est lourd, car l’import des données est peu facilité.
Ça ne lève pas le problème Linux mais c’est un début.
@pacou
C’est sur leur site, pas mis en évidence... faut rechercher ! Mais c’est encore possible normalement 😌
@Liena1
Ok je vais chercher un peu plus, donc
@pacou
Il faut télécharger l'app. Lors de la première ouverture de celle-ci, il est proposé (discrètement) un lien pour acheter une licence.
@pacou
"Du coup j’ai prix KeePassXc sur le Mac ( bien intégré à safari dont je ne comprends pas la politique d’infantilisation des utilisateurs) et cherche une solution sur iOS pour synchroniser les fichiers. "
Keepass Touch ?
https://apps.apple.com/fr/app/keepass-touch/id966759076
J’en cherche un autre mais je ne le retrouve pas, c’était une app multiplateforme, peut-être Secrets ? Mais je n’ai pas retrouvé le lien avec KeePass dans la description sur iOS…
@pat3
Alors
Oui, et mini kee pass, aussi
Mais je n’arrive pas à leur faire lire mon fichier sur iCloud
Je ne comprends pas, 1Password est encore actuellement vendu en formule perpétuelle, sans abonnement, et ce directement depuis l'application.
@AirForceThree
Je l’ai depuis des années.
Mais lors de la mise à jour il y a un peu de temps maintenant, il ne m’était pas possible de mettre à jour mes mots de passe et impossible de débloquer sans abonnement
Je vais donc revérifier
Cependant, un outil vraiment multiplateforme ou du moins avec un format de fichier ouvert, me semble plus approprié qu’un service propriétaire pour gérer des mots de passe. Un service fondé sur une base ouverte pourquoi pas, par contre.
Donc tranquillement
1Password explique que la clef Privée pour déchiffrer tous les mots de passe, est stocké dans le navigateur 😰
Finalement, cela va etre bénéfique à leurs clients 🥳
il faut bien une clé privée quelque part. Cette clé privée, vous la chiffrez elle même avec une passe-phrase, que vous mémorisez ou notez ailleurs.
Jamais compris pourquoi payer pour placer les mots de passes dans un endroit quand macOS/iOS le font avec ICloud
Suffit d’ouvrir le trousseau d’accès dans MacOS
Ou settings>passwords & accounts et voir la liste des mots de passes (synchro iCloud) sur iOS
J’utilise iCloud juste pour mes préférences, mots de passes,... etc bref « basique » donc avec 5Go gratuit c’est largement suffisant ^_^
On peut avoir envie d'une solution indépendante de tout constructeur permettant d'accéder à ses mots de passe sur tous ses appareils (et pas uniquement ceux porteurs d'une pomme) et permettant de les conserver si un jour on décide de changer de constructeur de matériel.
De plus 1Password offre bien plus de fonctionnalités que le trousseau macOS ou iOS (comme des alertes sur les mots de passe compromis, les sites web ayant été hackés...)
icloud est limité et restreint aux solutions Apple.
@oomu
Vous résumez tout l’enjeu de mes recherches et open source autant que possible
@heero
Car ce n’est dispo que sur ios/macos...
@heero
Parce qu’une grande majorité des gens utilisent chrome
> Jamais compris pourquoi payer pour placer les mots de passes dans un endroit quand
> macOS/iOS le font avec ICloud
Parce que macOS et iOS sont des plateformes logicielles minoritaires.
Windows et surtout le Web sont largement plus répandues.
Il parrait difficile de n'avoir jamais besoin d'utiliser autre chose que seulement macOS et iOS dans une vie quotidienne. En particulier aucun site web.
Et il n'y aura *jamais* une app native pour iOS *et* macOS pour tous les sites web qu'une personne lambda peut être amenée à devoir ou vouloir utiliser un beau jour. Jamais.
Pages