News

L'US-CERT lance cette semaine un signal d'alerte relatif à une faille de sécurité critique affectant le lecteur multimédia d'Apple, Quicktime, et, par extension, le logiciel iTunes. Cette vulnérabilité relative à la gestion du Real Time Streaming Protocol (RTSP), protocole utilisé pour le streaming audio et vidéo, permettrait à un attaquant de lancer une attaque de type dépassement de mémoire tampon (buffer overflow) pouvant conduire à la prise de contrôle à distance de la machine cible.

Il lui suffirait pour cela d'amener l'utilisateur à se connecter à un lien RTSP dont le header aurait été modifié en conséquence. Cette faille touche les versions de Quicktime allant de 4.0 à 7.3, affecte les systèmes Windows, et pourrait également concerner les systèmes Mac OS.

En attendant qu'Apple procède à la distribution d'un correctif logiciel, l'US-CERT préconise de tout simplement cesser de faire appel à des fichiers en streaming sur le Web à l'aide de Quicktime lorsque la source n'est pas sure, et de désactiver les associations de fichiers paramétrées dans les navigateurs Web. Bien qu'un exploit ait été publié, aucune attaque publique tirant parti de cette faille n'a encore été recensée.
Afin de répondre aux critiques qui lui étaient adressées et qui l'accusaient de violer les principes de la GPL (General Public License) des logiciels libres, Asus a publié aujourd'hui le code source de la partie logicielle de son ordinateur Eee PC.

Pour rappel, l'Eee PC est un ordinateur vendu 299 euros doté d'un système Linux (distribution Xandros) et accompagné de nombreux logiciels libres. Il y a quelques jours, des défenseurs de la GPL ont signalé à Asus qu'il ne documentait pas une modification effectuée au niveau du Kernel (noyau) de Linux au niveau du module ACPI (Advanced Configuration and Power Interface) dans son code source.

Asus a répondu aujourd'hui en incluant ces changements dans sa publication du code source. La dernière version de ce code peut être obtenue directement depuis cette page (1,8 Go).
Dans son édition du 27 novembre, le Wall Street Journal relance les rumeurs relatives au lancement prochain d'un service de stockage en ligne par Google. Soupçonné de longue date, ce "Google Drive" permet à la firme de compléter son offre de services en ligne, de façon à rivaliser plus efficacement face à ses concurrents que sont Microsoft ou Yahoo. Le premier propose depuis quelques semaines Windows Live SkyDrive, un espace de stockage en ligne permettant de conserver en ligne jusqu'à 1 Go de fichiers dont l'accès est protégé par mot de passe.

Interrogée par le WSJ, une porte-parole de Google a refusé de confirmer ou d'infirmer l'hypothèse selon laquelle un Google Drive, ou GDrive, serait en préparation. Toutefois, elle a reconnu que le stockage était une composante essentielle au succès des applications en ligne.

Un tel service serait en effet le parfait complément des Google Apps que la firme de Mountain View tente de promouvoir en ligne. Traitement de texte, tableur, outil de présentation ou de création de pages Web profiteraient seraient ainsi associés à un espace dans lequel l'utilisateur pourrait stocker ses travaux. Il deviendrait ainsi totalement indépendant du poste de travail sur lequel il évolue, et pourrait accéder à ses documents où qu'il soit. Ce Google Drive devrait permettre d'accéder gratuitement à une capacité de stockage de quelques Go. Une option payante, destinée aux utilisateurs de Google Apps, pourrait permettre d'augmenter la capacité disponible, voire de la rendre illimitée.

Le modèle des applications hébergées tel que le défend Google ne va toutefois pas sans poser de problèmes, à commencer par l'impossibilité d'accéder à ses données et à ses outils lorsque l'on n'est pas connecté à Internet. Se posent également des questions relatives au respect de la vie privée et au respect des droits d'auteur puisque qui dit stockage en ligne dit bien souvent échange de fichiers. Ces problématiques pourraient bien être la raison du retard pris par Google dans le projet GDrive.
Une nouvelle fonctionnalité vient de sortir sur Le PHP Facile : le login OpenID.

OpenID est un système d’authentification décentralisé qui permet l'authentification unique, ainsi que le partage d’attributs. Il permet à un utilisateur de s'authentifier auprès de plusieurs sites (devant prendre en charge cette technologie) sans avoir à retenir un identifiant pour chacun d’eux mais en utilisant à chaque fois un unique identifiant OpenID.

Le modèle OpenID se base sur des liens de confiance préalablement établis entre les fournisseurs de services (sites web utilisant OpenID par exemple) et les fournisseurs d’identité (OpenID providers).

Si vous posséder un identifiant OpenID et que vous souhaitez l'utiliser sur Le PHP Facile, il vous suffit de le saisir dans le champ de login "OpenID" en cliquant tout d'abord sur "Login OpenID".

S'offrent alors à vous deux possibilités :
- soit vous avez déjà un compte Le PHP Facile, dans ce cas, on vous demandera de vous loguer avec vos identifiants classiques (nom d'utilisateur / mot de passe) afin d'associer votre identifiant OpenID à votre compte Le PHP Facile
- soit vous ne posséder pas de compte Le PHP Facile, et dans ce cas, on vous propose de créer un compte Le PHP Facile qui sera directement associé à votre identifiant OpenID

Pour obtenir un identifiant OpenID, vous pouvez vous rendre sur divers serveurs OpenID, myopenid étant l'un des plus connus.

- OpenID
- myopenid
le 26/11/2007 à 20:35
Installer PHP Java Bridge sur Ubuntu
PHP Java Bridge est une extension PHP qui permet d'exécuter du code Java depuis PHP. Elle fonctionne en utilisant un protocole de communication XML avec une machine virtuelle Java, à qui on passe les informations, et dont on récupère le résultat. Le projet est actif depuis quelques années, et avec le rapprochement de PHP et Java, il arrive sur le devant de la scène.

Voici comment l'installer sur Linux Ubuntu.

- Installing the PHP Java Bridge in Ubuntu (Gutsy Gibbon)
- How to Bridge PHP and Java for Powerful Web Solutions
- PHP Java Bridge
le 26/11/2007 à 20:33
MD5 n'est pas suffisant
Il est toujours recommandé de chiffrer les données critiques quand on les met dans une base de données : la pratique est courante pour les mots de passe, notamment. Cela permet de conserver des mots de passe caché, même aux administrateurs, tout en conservant la possibilité de vérifier qu'un mot de passe fourni est bien celui qui est en base.

Mais MD5 n'est pas suffisant. Il y a désormais une collection de base de données, telle que GData, qui archive 165 millions de signatures, couvrant 7 langues. Si vous trouvez donc un mot de passe dans une base de données, dument chiffré en beca371a0b80aba9f376b69fd6ebf517, vous pourrez savoir rapidement que c'est en fait le mot de passe 'nexen' qui est derrière. Il existe aussi des listes de md5 pour les mots de passe les plus courts (3,4,5 caractères).

Pour corriger cela, il faut personnaliser le MD5, en ajoutant un grain de sel : au lieu de stocker md5('nexen'), on peut ajouter une autre chaine de caractère, et stocker md5('prefixe'.'nexen'.'suffixe'); Comme vous choisissez le préfixe et le suffixe, vous rallongez le mot utilisé pour la signature (mais pas la signature), et vous pourrez ainsi échapper aux bases de données de MD5.

- Schneier on Security
- Gdata MD5
- Reverse MD5 hash lookup
le 26/11/2007 à 20:31
Bons exemples de pagination
Smashing Magazine fait le tour des choix esthétiques pour présenter les petites barres de navigation en bas de page, lorsque le nombre de résultats à afficher est trop grand pour être mis sur une seule page.

Les solutions utilisent des couleurs, des encadrements, des fonds, en mettant l'accent sur deux aspects importants : les options sont illisibles, et la navigation n'est pas intuitive.

- Pagination Gallery: Examples And Good Practices
Note de l'auteur :

Facebook est connu pour beaucoup de chose, mais aujourd'hui, je vous présente un de ses ingénieur et une de leur application, un peu à l'ombre de Brian Shire et du réseau social : c'est Lucas Nealan, que j'ai eu le plaisir de rencontrer à Washington et à Paris aussi.

Sur son blogue, il présente apache-Source-defense : ce patch pour Apache est destiné à masquer le code PHP si ce dernier n'est pas exécuté par le serveur Apache. Cette situation peut sembler très rare, et elle l'est surement, mais quand Facebook doit gérer jusqu'à 4000 machines (si j'ai bien entendu), ils doivent avoir une solution particulière pour s'assurer que le code source PHP n'est jamais revélé, même en cas d'instabilité, d'erreur de manipulation ou autre évènement de Dieu.

Le patch est pour Apache 2, mais il semble portable pour Apache 1.

- Apache Source Defense
Distribué depuis quelques jours aux bêta-testeurs accrédités, le Service Pack 3 constituera sans doute le dernier ensemble majeur de mises à jour destiné au système d'exploitation Windows XP de Microsoft. Intégrant une foule de corrections de bugs diverses ainsi que les dernières versions de logiciels comme Internet Explorer ou Windows Media Player, ce SP3 fait l'objet d'attentions toutes particulières dans la mesure où bon nombre d'entreprises se refusent pour le moment à passer à Windows Vista. Peut-être même les confortera-t-il dans leur intention de ne pas lancer de migration, dans la mesure où il semble offrir un appréciable gain de performances.

C'est du moins ce qu'affirme la firme Devil Mountain Software (DMS). Modifié à l'aide de ce SP3, Windows XP serait environ 10% plus rapide que lorsqu'il n'est équipé que du Service Pack 2. Testé à l'aide d'OfficeBench sur une machine Dell équipée d'un Core 2 Duo à 2 Ghz, 1 Go de mémoire et une carte graphique nVidia GeForce Go 7900GS, le SP3 offrirait donc un gain de performances non négligeable.

"Dans la mesure où le SP3 ne devait être qu'un ensemble de corrections de bugs et de consolidations diverses, ce gain de performances inattendu tombe comme un joli bonus", commente Craig Barth, responsable technique de Devil Mountain Software, en ajoutant que cet ensemble de mises à jour devrait être perçue comme la mise à jour à installer pour tous ceux qui n'ont pas encore cédé aux sirènes de Windows Vista. Voilà qui devrait renforcer l'idée selon laquelle Windows XP est aujourd'hui le principal concurrent de Vista !
Comme on pouvait plus ou moins s'y attendre, les ventes du dernier système d'exploitation de Microsoft ont bien profité de la rentrée 2007. Ainsi, au cours du dernier trimestre les ventes de Windows Vista auraient augmenté de 47%.

Pour rappel, en juillet dernier la firme de Redmond communiquait sur 60 millions de copies vendues. Fin septembre, Microsoft annonçait 88 millions d'exemplaires vendus. Grâce à la rentrée et aux nouveaux achats / renouvèlement du parc grand public, Microsoft a pu écouler bon nombre d'exemplaires de son nouveau système via la vente liée (achat d'un PC directement fourni avec Windows Vista).

D'après une étude GFK, 77% des ordinateurs grand public en juillet étaient vendus avec Windows Vista. Mais du côté des entreprises, c'est le calme plat... et Microsoft continue de communiquer depuis juillet sur un chiffre qui est resté inchangé : 42 millions de machines exploitent des licences "en volume" destinées aux entreprises.

Il faut dire que beaucoup d'entreprises attendent le SP1 avant de se lancer dans l'aventure. D'après une étude 52% des responsables informatiques n'ont toujours pas planifié la moindre date / période pour leurs migrations vers Windows Vista. 44% de ces mêmes responsables étudient la possibilité d'opter pour un système alternatif comme Linux ou Mac OS X.
LoadingChargement en cours