Follow

Si pole emploi consacrait autant d'efforts Ă  amĂ©liorer son site web tout buggĂ© conçu avec les pieds (sur une infra aussi pourrie que le site web
 ), et Ă  Ă©viter de cumuler plusieurs mois d'indemnitĂ© en retard, qu'ils ont mettent dans leurs courriers pour pendre des pavĂ©s sur un ton hautain sur les obligations des mĂ©chants chĂŽmeurs-fraudeurs qui ne respectent rien (et rĂ©pĂ©tant la mĂȘme chose un peu trop souvent)
 ça fonctionnerai mieux


· Web · 5 · 4 · 4

@devnull Il faudrait déjà que certains employés de PÎle Emploi fassent du social.

Parce que le conseillĂ© qui m'a dit clairement « [qu'il n'Ă©tait] pas lĂ  pour faire du social »  je me demandais bien pourquoi il Ă©tait encore Ă  ce poste.

@alex Oui, je suis bĂȘte. Puis ça coĂ»te de dingue de ne pas prendre de haut les mĂ©chants chĂŽmeur sui n'ont qu'Ă  traverser la rue pour trouver un boulot (Ă  10 annĂ©es lumiĂšres de leurs compĂ©tences et intĂ©rĂȘts).

@devnull
La partie administration du site est moche, mal fichue, mais arrive péniblement à faire le (petit) peu qu'on lui demande.

Sur la partie emploi, leur site pompe un maximum d'offres disponibles un peu partout.
Ce serait bien si c'était un peu filtré, s'ils viraient les doublons, etc. Dans l'état actuel, c'est inutilisable.
C'est un peu dommage.

@vm666 Ayannt un irefox blindé niveau HTTPS (désactivation des suites crypto autres que l'état de l'art), je suis déjà obligé de passer par un profil séparé moins blindés pour le site de pole emploi. Pleins de merdes, mais bien sur pas de TLS1.3 et entre autre le support de TLS 1.2 est trÚs incomplet. Une seule suite non basée CBC et qui support du PFS
 qui n'est pas compatible avec Firefox. Aucune des relativement nombreuses bonnes suites crypto parmi celles compatibles avec n'est supportée.

@vm666 Donc tous les utilisateurs de Firefox se retrouvent qu'avec des suites crypto netre moyennes et pourries, bien que le navigateur supporte parfaitement plusieurs suites crypto solides et standard et donc communes à pleins de biblio TLS coté clients comme coté serveurs
 L'équipement en frontal (sûrement un F5 Big IP) des serveurs gÚre la coûte TLS et fait de la merde


Pour ce qui est des procédures administratives, j'ai rencontré plusieurs bugs.

@vm666 Et la gestion du mots de passe sur le site est nulle Ă  chier
 notamment un choix de caractĂšre possibles trĂšs restreint (tout comme la longueur des mots de passes, de mĂ©moire), une courte liste de caractĂšres autres que alphanumĂ©rique est autorisĂ©e, codĂ©e en dur dans test de « si le mot de passe est assez sĂ©curisé ». Je crois mĂȘme que tu ne peux pas faire de coller (sauf si ça changĂ© rĂ©cemment), donc exit le gestionnaire de mots de passes. on m'a aussi signalĂ© que tu pas avoir >1 car. spĂ©.

@vm666 Pour la recherche, les annonces sont merdiques, souvent incomplĂštes, sans compter les doublons dans leurs moteur de recherche pourri. Avec souvent un pavĂ© de pub pour l'entreprise qui recrute Ă  la place de la description/missions/technos du poste dont il est question. et des conseillers capables de m'envoyer la mĂȘme offre plusieurs fois en numĂ©rique et 3 fois en courriers, certaines datĂ©s du mĂȘme jours et une troisiĂšme copie Ă  peine quelques jours plus tard (vĂ©ridique
 j'ai halluciné  )

@vm666 Sans compter les pratiques de dev web merdiques (trackers, scripts tiers Ă  gogo et j'en passe
) et quelques liens qui pointent vers le vide « La connexion à Ă©tĂ© rĂ©initialisĂ©e » genre cliquer sur le logo en haut Ă  gauche en pensant aller vers la page d’accueil. Ou une notif rouge sur le bouton rĂ©actualisation une fois connecté  Donc tu dit qu'il y a un truc Ă  faire sur cette page, tu clique normalement, ça pointe vers
 une page « erreur d'authentification ». Tout ce cumul est trĂšs pĂ©nible.

@vm666 Pas de critĂšre de recherche localisation = tĂ©lĂ©travail non plus (dĂ©faut commun Ă  pleins d'autres sites, dont celui de l'apec aussi
). Mais ça passe, rien que parce que toute façon l’inscription sur le site de pole emploi, c'est certainement pas pour chercher un job sur les sites et me contenter de choisir entre la peste et le cholĂ©ra parmi lrurs 3 offres merdiques dans ma ville
 Je cherche ailleurs, donc je m'en fou. C'est surtout les bugs pour la procĂ©dures administratives qui me gavent.

@vm666 Et aussi le fait qu'à force de mettre 15 scripts de tracking par page, avec le niveau 0 absolue de soucis se sécurité, ils ont deux fuites de données en 2019 ou 2018, je sais plus


@devnull
Ah oui. je passe par Keepass pour générer les mots de passe cette chose.
J'ai aussi une applet Firefox "remember password" qui vire le stupide autocomplete=off qui empĂȘche stocker le login et le mot de passe dans le navigateur. Je me demande encore quel dĂ©bile a rĂ©ussi Ă  imposer cette mauvaise idĂ©e au W3C.

@vm666 Mes mots de passes générées habituelles ne passes pas sur le site de pole emploi. Trop longs par rappont au nombre de caractÚres acceptés (12 de mémoire) et avec des caractÚres refusées par la regex de merde qui contrÎle « la conformité de mot de passe » coté client. Par le choix j'ai du revoir mes critÚres à la baisse. Le site est mal branlé du dev à la conf des serveurs, c'est un fait.

Enfin, cette semaine (>15/06) ils ont un peu amélioré leurs conf HTTPS, mais reste pleins de merdes


@devnull Quelle idée de virer toutes les vieilles suites cryptos??
Tu as interdit aussi les sites en clair? Sinon, tu n'es pas logique.

@vm666 Évidemment que j'utilise aucun site en claire
 Je suis pas dĂ©bile non plus hein
 De façon, ils ne chargent pas (sauf si l'utilisateur confirme) quand https everywhere n'arrive pas a forcer https.

Les suites GCM font paltie de TLS1.2 (niveau standardisation), ce n'est pas exactement récent hein, ce n'est pas les suites CHACHA20, qui elles sont récentes
 Quelle idée de ne pas supporter les suites GCM quand on (prétend) supporte(r) - 1/5

TLS1.2 plutĂŽt ? Y a que certaines versions de windows server/iis et les frontaux/loadbalancers F5 qui ne supportent pas. C'est standard partout ailleurs oĂč TLS1.2 est supportĂ©, depuis de nombreuses annĂ©es.

J'ai désactivé les suites faibles parce que
- certaines suites ont des faiblesses dans certains contextes, d'autres carrément des grosses failles liés aux algos donc pas patchables, d'autres parce qu'il ne font de Perfect Forward Secrecy, d'autres de la @vm666 - 2/5

merde obsolĂšte qui ne sert plus Ă  rien depuis quelques annĂ©es dĂ©jĂ  (les clĂ© DH de 1024
 niveau sĂ©curitĂ© c'est une blague, niveau perf comme sĂ©cu mĂȘme pour des clĂ©s deqplus grande taille, c'est moins bon ECDHE qui est supportĂ© par tout client digne de ce nom
 )
- que beaucoup de services ont une conf https entre moyenne et merdique : mention spéciale pour le site de linformaticien qui se traßne encore en juin 2020 un cumul entre autre RC4-SHA et du RC-MD5, @vm666 - 3/5

et aucune suite décente

- qu'une suite faible dispo peut-ĂȘtre utilisĂ©e mĂȘme si le navigateur supporte mieux. Soit parce que le serveur/frontal est merdique ou mal configurĂ© et n'utilisant qu'une seule suite forte non standard chez les navigateurs (supportĂ© qui par chrome/ce parmi les navigateurs existents) et que des suites pourris en alternative, soit forcĂ©e par une attaque MITM pour avoir un truc vulnĂ©rable cassable quand la connexion en clair est juste @vm666 - 4/5

@devnull
PÎle Emploi m'a toujours foutu une paix royale mais n'a pas été d'un grand secours.

@vm666 C'est le ton de leurs courrier standard que je leurs reproche, pas un discours « personnalisé »  Les types me renvoient Ă  chaque periode de chĂŽmage (joies du service publique oĂč j'ai commencĂ© ma carriĂšre) le mĂȘme pavĂ© sur mes obligations, mais ça ne leurs pose pas aucun problĂšme du cumuler plusieurs mois (> 2k€) de retard pour mes indemnitĂ©s
 J'apprĂ©cie pas les donneurs de leçon et les adeptes de discours hautain/infantilisants, alors qu'ils sont mĂȘme pas foutus de bien faire leurs taffe


@devnull le but est de virer les chĂŽmeurs par wagons, pas de leur faciliter la tĂąche

@sxpert Bien Ă©videmment
 ça se voit un peu trop d'ailleurs.

@devnull mais le but n'est pas que ça fonctionne mieux, tu devrais le savoir maintenant


@mmu_man Je le sais, Ă©videmment. Par contre, pour ce qui est de trouver ça acceptable, c'est une autre histoire


Sign in to participate in the conversation
La Quadrature du Net - Mastodon - Media Fédéré

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!