News

Ecrire un commentaire
le 28/11/2007 à 23:21
Je suis vulnérable à une XSS
Olivier Veujoz a découvert à l'occasion d'un audit de son application, que son code était vulnérable à une faille XSS. A l'origine, les données provenant de l'utilisateur et mélangées au code HTML ne sont pas protégées, et ouvre la porte à la manipulation du code final.

J'ai beaucoup de respect pour ces expériences vécues, où l'auteur transforme une mésaventure en un billet d'information pour tous. Vous savez surement ce qu'est une XSS, mais relaté comme un problème avéré, cela devient une menace sérieuse, et non plus un concept abstrait.

- Je suis vulnérable...
- miasmatech
- htmlentities is badly designed
Ecrire un commentaire
le 28/11/2007 à 23:20
Groupe AFUP sur linkedin
Note de l'auteur :

L'AFUP vient d'ouvrir un groupe "AFUP" sur le réseau social professionnel Linkedin.
A l'heure de l'écriture de ces lignes, il y a déjà 50 utilisateurs dans le groupe. Le réseau social permet de rassembler les professionnels PHP en France, et donne un lieu d'échange.
Il y a des intervenants de nombreuses entreprises différentes.

Merci à Mathieu Laurent qui est à l'origine du groupe.

- Groupe AFUP linkedin
- Linkedin
- AFUP
Ecrire un commentaire
Burp Suite est un ensemble d'outil de sécurité destinés à analyser la solidité d'une application Web. Elle se base sur un proxy, qui enregistre les échanges entre le serveur et le navigateur : voila qui permet une première analyse aisée du Web.

Mais Burp va plus loin : il dispose d'un spider, capable de prendre le relais et d'analyser le reste du site à votre place. Il dispose aussi d'outils de décodage (pour les caractères bizarrement encodés), et de variations (pour tenter des injections diverses et variées dans les paramètres).

- New Burp Suite (Beta) Out!
- Burp Suite
- portswigger
Ecrire un commentaire
le 28/11/2007 à 23:16
Tests par mutation
Une des applications récentes (ou à la mode) des tests unitaires sont les tests de mutations. Le concept est le suivant : appliquez vos tests unitaires, et tout fonctionne. Puis, effectuez une petite modification dans le code utilisé, et relancez les tests. Cette fois-ci, au moins un des tests devrait échouer. Si ce n'est pas le cas, alors c'est que le code original ne couvre pas cette situation, et un nid de bogues potentiels vient d'être découvert.

Les tests de mutations complète la couverture de code. Cette dernière s'assure que le code source est utilisé au moins une fois, dans l'ensemble des tests utilisés : c'est la condition nécessaire pour qu'un code soit sans erreur. Pour la condition suffisante, il faut voir si le code fait bien ce qu'on attend de lui, ou bien si c'est simplement un coup de chance que cela tombe en marche.

- Mutation Testing Brain Dump
- Mutation Testing
Ecrire un commentaire
Après midomi que nous vous avions présenté en janvier ou encore trouvetamusique, un peu de distraction musicale avec Watzatsong, site sur lequel il vous suffit de fredonner un air pour retrouver le titre et l'interprète de la chanson qui vous trotte dans la tête.

Après une rapide inscription, vous allez pouvoir profiter de ce site qui permet au choix :
- de demander de l'aide à la communauté pour retrouver le titre d'une chanson en la fredonnant,
- d'aider les apprentis chanteurs à identifier la mélodie, en devinant à partir des extraits le titre et l'interprète du morceau.

Pour ceux qui cherchent à reproduire un air, le micro n'est toutefois pas impératif. Vous pouvez également envoyer un fichier via un petit module, Flash Player étant dans tous les cas nécessaire. Le travail des "devineurs" est facilité par l'indication du style musical (Jazz, soul, electro...) qui leur permet de s'orienter vers leur(s) spécialité(s). Ceux qui participent le plus activement à la découverte de titres sont ensuite mis en avant dans le classement des "5 meilleurs devineurs". Le plus de ce site : l'organisation de quizz musicaux qui permet à ceux qui le désirent de tester leur culture musicale.

Accueillant et fonctionnel, ce site offre un accès très rapide aux cinq derniers titres à reconnaitre ainsi qu'à ceux qui restent un mystère pour la communauté qui s'est constituée depuis le lancement du site en Mai 2006. Au final, que l'on soit chercheur ou découvreur, on ne peut manquer de prendre plaisir à écouter les gens fredonner, chacun faisant preuve d'un talent qui lui est propre ...
Ecrire un commentaire
Vous rappelez-vous de Veosearch, le moteur de recherche solidaire dont nous vous annoncions les débuts ? Sachez que ce projet, initié par deux étudiants français, est passé il y a peu à un nouveau stade de son évolution, celui d'entreprise.

En effet, quelque 675 000 euros ont été levés pour développer ce moteur de recherche qui, rappelons-le, propose des résultats fournis par Google, Yahoo!, Ask et Exalead. Rappelons également le principe de ce site : reverser 50% des recettes publicitaires générées par vos recherches à des associations soutenant le développement durable, comme WWF, le Sidaction ou ATD Quart-Monde (il existe pour l'instant 17 projets soutenus). Quelques nouveautés ont été ajoutées très récemment, comme la mise en place d'un blog qui sert de tribunes aux différentes associations, ainsi qu'un petit lien vous permettant de choisir Veosearch comme moteur de recherche par défaut.

Durant le mois d'octobre, les audiences de ce site ont triplé (pour passer de 20 000 visiteurs uniques à 60 000), mois durant lequel un million de recherches ont été réalisées. Ces résultats encourageants ont donc donné l'envie aux deux étudiants de poursuivre l'aventure en investissant désormais sur la communication, l'amélioration du site (un nouveau module devrait voir le jour d'ici Noël), la traduction du moteur en plusieurs langues... Sans compter la mise à niveau de leurs serveurs, que vous aviez mis à mal le jour de notre précédente actualité sur Veosearch.

Ce site, qui compte actuellement 8 300 inscrits, a vu passer plus de 3 millions de recherches qui ont permis de collecter près de 5 300 euros. Les développeurs disent aujourd'hui attendre beaucoup de cette évolution et des différents partenariats créés pour augmenter significativement leur audience et, à terme, réinvestir dans de nouveaux projets solidaires.
Ecrire un commentaire
Google indique cette semaine son intention d'investir plusieurs centaines de millions de dollars dans un projet de recherche et développement consacré aux énergies renouvelables ou énergies "vertes". Baptisée "Renewable Energy Cheaper Than Coal", cette initiative sera focalisée sur les énergies solaire, éolienne et géothermique, explique la firme dans un communiqué. En proie à des critiques de plus en plus fréquentes, Google aurait-il décidé de remettre en avant le « Don't be evil » qui était la devise originelle de ses fondateurs ?

"Nous avons l'expérience de la conception de centres de données à grande échelle économiques en énergie", affirme Larry Page, cofondateur de Google. Outre cette expérience, le moteur de recherche pourra s'appuyer sur sa trésorerie de plusieurs milliards de dollars. Il évoque des investissements se comptant en dizaines de millions de dollars dès 2008, puis en centaines de millions au-delà. "Notre objectif est d'arriver à une capacité de production d'un gigawatt d'énergie renouvelable", déclare Page, ce qui correspondrait selon lui à la consommation en énergie d'une ville comme San Francisco.

"Si nous y parvenons, le monde pourra réduire notablement ses émissions de carbone", affirme-t-il encore. Dans le même temps, la firme réaliserait sans doute d'importantes économies d'énergie, tout en acquérant une certaine indépendance vis-à-vis des producteurs d'énergie. Aujourd'hui, les panneaux photovoltaïques installés sur les toits du siège de la firme, à Mountain View, représentent l'une des plus importantes installations de production d'énergie solaire installées par une société.
Ecrire un commentaire
Adopté mercredi par les députés, le projet de loi "pour le développement de la concurrence au service des consommateurs" prévoit la suppression des appels surtaxés vers l'assistance technique des opérateurs. Concrètement, après la gratuité du temps d'attente, le gouvernement entend mettre un terme à la surfacturation des hotlines (une surtaxe d'environ 0,34 centime la minute).

Le mois dernier, l'Association des fournisseurs d'accès et de services internet (AFA), les dirigeants d'Iliad, maison mère de Free, et de Neuf Cegetel, ont qualifié cette mesure de "discriminatoire". L'AFA affirme que les appels surtaxés "sont indispensables à l'équilibre économique" de ses membres. Selon l'association : "supprimer toute possibilité de recourir à des services téléphoniques à appels à valeur ajoutée conduirait rapidement à une dégradation du service apporté [...] à une augmentation tarifaire de l'abonnement pour le consommateur [...] à un impact (négatif) en terme d'emploi [...] à l'affaiblissement d'entreprises innovantes".

De son côté, Luc Chatel, secrétaire d'Etat à la consommation, estime l'initiative "équilibrée". L'initiateur du projet de loi déplore que "les surcoûts supportés par les consommateurs pour défaut de qualité de service de l'offre qu'ils ont souscrite, leur soient facturés sans transparence". Avant d'ajouter : "demain, ces surcoûts pourront être réintégrés dans la facture d'abonnement". Le choix du compromis ? Le service ne ferait donc plus l'objet d'une surtaxe, mais serait intégré à la facture du consommateur.

Le projet de loi, dont l'objectif affiché est "de faire baisser les prix" et de moderniser les relations commerciales, intéresse d'autres secteurs que les télécoms et Internet, principalement la banque et la grande distribution (problématique des "marges arrières").

A l'Assemblée nationale, les groupes UMP et Nouveau centre ont voté pour le projet de loi, la gauche s'y est opposée. Le 13 décembre prochain, le Sénat examinera ce texte.
Ecrire un commentaire
ProDevTips publie un dossier en 5 volets pour mettre en place un système de gestion de contenu à l'aide de Smarty et du Zend Engine.

Le tutoriel, destiné à ceux qui connaissent déjà le zend framework et Smarty, réalise la gestion du contenu et l'administration des utilisateurs en base de données. Le tutoriel exploite plusieurs contrôleurs, pour gérer l'affichage, les menus et les sessions utilisateur.

- Writing a CMS/Community with Smarty and the Zend Framework Part 1
- Writing a CMS/Community with Smarty and the Zend Framework Part 2
- Writing a CMS/Community with Smarty and the Zend Framework Part 3
- Writing a CMS/Community with Smarty and the Zend Framework Part 4
- Writing a CMS/Community with Smarty and the Zend Framework Part 5
LoadingChargement en cours