News

Ecrire un commentaire
En partant du moteur Smarty, Brett Zamir aborde un moteur de template qui permet à la fois de séparer le modèle de l'affichage, mais aussi de le conserver mélangé. En fait, il est souvent plus pratique de placer le style dans une balise HTML (attribut style), alors que les bonnes pratiques recommandent de toujours l'exporter dans un fichier externe (pour la réutilisation).
L'approche de Brett Zamir est un ensemble d'indicateur, qui déplaceront les styles du code HTML vers la feuille CSS à la volée.

- The HYSOCAMTT templating approach
- Smarty
Ecrire un commentaire
le 26/02/2008 à 21:23
Un serveur AMP sur Iphone
Romain Bourdon a réussi à installer un serveur Apache-MySQL et PHP sur son iPhone. Après avoir mis en place la connexion SSH et un terminal, il a pu charger les applications et les configurer. Désormais, le iPhone se synchronise directement avec l'intranet d'Anaska lorsqu'il détecte qu'il est activé dans la bonne zone. Les agendas sont immédiatement mis à jour, et disponibles localement.

- Un serveur AMP sur mon Iphone, mon intranet en local !
2 commentaires
Jonathan Snook livre le secret de son plus récent filtreur de commentaire à blogue : un système de scoring assez simple, où on gagne des points s'il n'y a pas trop d'URL (moins de deux), et pas trop de texte (moins de 20 caractères et sans lien... ouch), et où on perd des points pour tout le reste (ou presque) : URL trop longue, texte trop long, mot clés, mot au début du script... etc.

Apparemment, les résultats sont intéressants.

- How I built an effective blog comment spam blocker
Ecrire un commentaire
le 25/02/2008 à 21:01
PHP Simple HTML DOM Parser
Un analyseur HTML DOM simple, et écrit en PHP 5. Il permet de traiter du code HTML et XHTML invalide, des sélecteurs CSS et opérations simples, tout en préservant le contenu HTML original.

Les outils d'analyse de code HTML invalides ne sont pas légions, et il est toujours bon d'en avoir un ou deux dans sa botte, au cas où. L'exemple proposé sur le site travaille sur Google, et extrait des données utiles.

- PHP Simple HTML DOM Parser
- PHP Simple HTML DOM Parser (projet)
Ecrire un commentaire
Le Breach Labs (laboratoires des bris, littéralement) vient de publier une étude basée sur les incidents qui sont survenus sur le Web en 2007. Cette étude se base sur une base de données d'incident, et complète les bases de données de vulnérabilités (comme secunia, fsirt ou securityfocus) en étudiant les attaques réalisées.

On y apprend différents aspects des attaques :
- la principale motivation d'une attaque est une rénumération
- 20% des attaques sont des injections SQL, elles prélèvent autour de 1000 à 10000 lignes
- les autres problèmes de sécurité sont des divulgations involontaires d'information, des vulnérabilités connues et des XSS.
- les attaques les plus simples sont toujours en vogue : des informations "oubliées" sont plus dangereuses qu'une CSRF.

- Web Hacking Incidents Database Annual Report for 2007
- Web Hacking Incidents Database Annual Report for 2007 (enregistrement nécessaire)
- Breach Labs
Ecrire un commentaire
Référence de l'édition de logiciels graphiques, Adobe Systems lance la version finale d'Adobe Integrated Runtime (AIR 1.0) après deux ans de R&D. Cette plate-forme de création d'applications internet riches, basée sur un socle open source, a été conçue pour apporter aux applications web les avantages des applications de bureau traditionnelles : accès hors ligne, accès aux données depuis le disque dur de l'utilisateur, icône sur le poste de travail, etc. Les développeurs peuvent utiliser différentes technologies (Ajax, Flex, Flash) pour créer des applications internet riches "AIR".

Le logiciel AIR est proposé en téléchargement gratuit pour Windows et Mac OS X. Une version pour Linux devrait être lancée avant la fin 2008, a indiqué Kevin Lynch, nouveau directeur des technologies chez Adobe. L'éditeur américain entend proposer des versions AIR de la plupart de ses applications web, dont Photoshop Express et Premier Express. Par ailleurs, des acteurs comme AOL, eBay, Salesforce.com et le New York Times proposent d'ores et déjà des applications Web AIR.

Adobe n'est pas le seul acteur à se lancer dans l'application web accessible hors ligne. La fondation Mozilla, à l'origine du navigateur Web open source Firefox, travaille sur un projet de ce type, Prism.
Ecrire un commentaire
Vous êtes nombreux à avoir constaté des difficultés de connexion au célèbre service d'hébergement de vidéos américain YouTube dimanche soir, aux alentours de 21 heures. Cette inaccessibilité temporaire résulterait, selon la BBC, d'un blocage mis en place par le Pakistan qui, après la Turquie, le Maroc ou la Thaïlande, souhaiterait protéger ses habitants de certains contenus incompatibles avec la morale islamique. En dépit du vif succès rencontré sur la toile par les pérégrinations du chef de l'état au salon de l'agriculture, les vidéos qui sont associées à son déplacement de samedi ne seraient donc pour rien dans cette interruption de service.

Vendredi se déroulait à Islamabad, capitale du Pakistan, une manifestation pour protester contre la diffusion, par dix-sept quotidiens danois, de caricatures du prophète Mahomet dans leur édition du 13 février, plus de deux ans après l'affaire des douze dessins publiés par le Jyllands-Posten. Sur YouTube, différentes vidéos récemment envoyées par des internautes mettraient à nouveau en scène ces caricatures. En réaction, l'Autorité des télécommunications aurait selon l'AFP ordonné à tous les fournisseurs d'accès du pays d'interdire l'accès à YouTube "en raison de la teneur blasphématoire des vidéos et contenus" publiés sur le site.

D'après la BBC, la mise en place du filtrage visant à interdire l'accès à YouTube depuis le Pakistan aurait malencontreusement abouti à un blocage généralisé, constaté en Asie, aux Etats-Unis, mais aussi en Europe. L'un des ingénieurs de Pakistan Telecom aurait en effet transmis la redirection mise en place sur le domaine YouTube.com à PCCW, l'un des principaux opérateurs de la région. Celle-ci aurait été répliquée par d'autres opérateurs dans le monde, jusqu'à ce qu'un employé de YouTube réalise l'ampleur du problème et contacte PCCW. L'erreur n'aurait pas été intentionnelle.

Certaines des vidéos incriminées ont déjà été mises hors ligne par YouTube.
Ecrire un commentaire
Microsoft poursuit le développement de la prochaine version de son navigateur phare qui devrait logiquement être baptisé Internet Explorer 8. Preuve en est, la firme de Redmond devrait convier un certain nombre de beta testeur à télécharger et à installer la première version beta d'Internet Explorer 8 dans les jours à venir.

Si tout va bien, cette phase de test privée devrait ensuite conduire à un beta test public où tous les utilisateurs de Windows seront libres de télécharger et d'installer Internet Explorer 8 beta. D'après l'email envoyé par Microsoft, cette première beta devrait toutefois s'adresser principalement aux développeurs Web.

Microsoft devrait par ailleurs profiter du Mix'08 début mars pour faire une première présentation d'Internet Explorer 8 tout en dévoilant certaines nouveautés / fonctionnalités qui seront introduites par cette nouvelle mouture. D'après les premières informations qui ont commencé à filtrer, Internet Explorer 8 pourrait proposer aux développeurs un mode "super-standards" qui permettrait au navigateur de respecter davantage les standards du Web. Chose qui est réclamée depuis des années maintenant.

A l'heure actuelle, aucune date n'a été spécifiée par Microsoft quant à la sortie d'Internet Explorer 8 en version finale.
Ecrire un commentaire
Microsoft créait la surprise en annonçant la semaine dernière, son intention d'ouvrir certains protocoles jusque là considérés comme secrets industriels. En promettant de mettre en ligne une documentation d'un peu plus de 30 000 pages sur certains protocoles utilisés par Windows et Office, Microsoft a suscité de nombreuses réactions comme relatés dans cette brève. Parmi les nombreuses réactions suscitées par cette annonce, certains s'interrogeaient sur les problématiques en matière de sécurité logicielle. Une question légitime que nous avons posée à Bernard Ourghanlian, directeur technique et sécurité pour Microsoft France :

Clubic.com : Qu'implique, en terme de sécurité et de risque potentiel pour l'entreprise et pour l'utilisateur, l'ouverture des protocoles et autres API des produits "high volume" de Microsoft ? Ne risque-t'on pas de voir certains petits malins éplucher les documentations à la recherche de failles dont ils pourraient tirer profit afin de mettre à mal l'intégrité de l'environnement Windows ? Je suppose que Microsoft a bien entendu pris en compte cette problématique : comment comptez-vous l'adresser ?

Bernard Ourghanlian : D'une façon générale, à mon sens, la "sécurité par l'obscurité", cela n'a jamais fonctionné… Autrement dit, ce n'est pas le fait de documenter nos API et nos protocoles qui devrait changer quoi que ce soit à la sécurité de nos produits. De même que je n'ai jamais cru au fait que la possibilité de diffuser largement le code source des logiciels permettait obligatoirement d'en améliorer la sécurité… Je partage en ce sens l'avis de Ross Anderson (voir ce lien) qui ne peut pourtant pas être taxé de grand ami de Microsoft.

Pour être plus précis, cela fait maintenant 2 ans que l'on a systématisé la mise en œuvre d'outils de fuzzing qui permettent de tester des utilisations incorrectes de l'ensemble de nos API et de nos protocoles (et aussi de nos formats de fichiers). Ces outils nous ont permis de découvrir de nombreux bugs dans nos logiciels qui ont été corrigés depuis la sortie de Windows Vista, Office 2007, Exchange 2007, Windows Server 2008, Windows XP SP3, etc. Il y a donc des éventualités de problèmes induits par cette documentation avec les versions précédentes de nos logiciels mais tout devrait normalement bien se passer avec les nouvelles versions.

Ces outils de fuzzing ne sont toutefois pas mis à la disposition de nos clients car ils peuvent aussi malheureusement se transformer en outils d'attaque très puissants. Nous avons donc pris la décision de ne pas les publier malgré leur incontestable intérêt.
Ecrire un commentaire
comScore a publié les résultats de parts de marché des moteurs de recherche aux Etats-Unis en janvier 2008. Yahoo perd un peu plus que ce qu'il avait gagné en décembre, tandis que Google rattrape presque son petit décrochage de fin d'année et que Live reste inchangé.

Derniers chiffres fournis par comScore :
- En janvier 2008, Google a représenté 58,5% des requêtes effectuées sur l'ensemble des moteurs de recherche, soit 0,1 point en plus par rapport au mois précédent
- Yahoo perd 0,7 point à 22,2%
- Microsoft reste stable à 9,8%
- AOL gagne 0,3 point à 4,9%
- Ask gagne 0,2 point à 4,5%
LoadingChargement en cours