News

Ecrire un commentaire
le 21/06/2007 à 20:50
HTML Purifier 2.0.0
HTML Purifier va non seulement supprimer tous les codes sournois (aussi connus sous le nom de XSS), à l'aide d'une liste blanche sécuritaire mais souple, mais en plus, il va s'assurer que votre document est compatible avec les standard : cela n'est possible qu'avec une connaissance complète des spécifications W3C.

HTML Purifier 2.0 inclut désormais Tidy, pour supporter les balises obsolètes et mieux les convertir en éléments standard; il inclut aussi une API avancée, pour créer des éléments personnalisés.

- HTML Purifier 2.0
Ecrire un commentaire
le 21/06/2007 à 20:49
Attaque par image GIF
Il faut savoir que les formats d'images, comme GIF, sont valides même si on ajoute à leur fin du code PHP. Du moment que les premiers octets sont valides, la fin du fichier peut être arbitraire.

Il existe donc un problème avec le chargement d'image sur un site : en prenant une image, et en ajoutant du code PHP à la fin, un pirate peut essayer de voir si ces images seront traitées par PHP. PHP peut gérer ce type de fichier comme il le fait pour HTML : le texte simple est laissé intact (ici, du binaire d'image), et les balises PHP sont exécutées (ici de même).

Manuel Lemos présente en détails le problème, et pourquoi get_image_size() n'est pas suffisant pour se protéger.

- The PHP GIF security issue
Ecrire un commentaire
Note de l'auteur :

gERD vient de publier FIT comme un paquet PEAR : FIT est une technique de tests qui permet d'inclure les clients finaux dans le processus. En utilisant un format de table HTML, accessible à Word, les clients peuvent indiquer les valeurs attendues pour différentes situations. FIT fait alors le lien avec les outils de tests, exécute les tests puis produit un document de résultats, de nouveau au format Word.

C'est une des approches de tests les plus intégrée que j'ai rencontré ces derniers mois, même si elle date de 2002 !

- Testing FIT
- FIT
Ecrire un commentaire
le 21/06/2007 à 20:44
Un serveur d'applications en PHP ?
Alexey Zakhlestin remarque : l'idée est d'avoir une application PHP persistante, qui serait capable de gérer les requêtes. Cela permettrait d'avoir un 'vrai' cache persistant, avec des connexions persistantes, du XSLT pré-analysé en mémoire, etc., et de répondre aux requêtes bien plus rapidement car nous n'aurons plus à charger toutes les classes à chaque requête : les classes sont chargées une fois, durant l'initialisation. Et non, APC et consort ne sont pas capables de faire cela complètement.

Il lance dont SCGI, un serveur d'application écrit en PHP, comme prototype. Si vous êtes intéressés par le concept, vous pouvez le tester dès maintenant.

- appserver in PHP
- Examples SGI
Ecrire un commentaire
Note de l'auteur :

Comme Peter Zaitsev, j'utilise uniquement des jointures avec des colonnes de type entier, et même, le plus petit possible. Plus la colonne de jointure est compacte, plus la jointure est rapide.

Peter a porté cette intuition sur la paillasse du laboratoire, et les résultats confirment la prédiction : on parle de ralentissement de l'ordre de 6 fois le temps de calcul. Et encore, cela peut même être pire lorsqu'il s'agit d'UTF-8 que de Latin1.

- Using CHAR keys for joins, how much is the overhead ?

Note de LA GLOBULE : le blog mysql performance est une mine d'or, à mettre dans vos favoris :)
Ecrire un commentaire
le 20/06/2007 à 20:37
Prototype 1.5.1.1 disponible
Prototype 1.5.1.1 est disponible au téléchargement.

Cette version ne fait que corriger des bugs, elle n'apporte donc aucune nouvelle fonctionnalité à ce framework.
Cette version corrige des bugs qui provoquaient le crash du navigateur Safari, dans ces version 1.3 et 2.0.x.

Naturellement, tous les utilisateurs utilisant Prototype sont invités à passer à cette nouvelle version.

Voir le site de Prototype pour les détails de ces corrections de bug et pour télécharger le framework.

- Prototype
- Prototype 1.5.1.1 bugfix release
- Télécharger Prototype
Ecrire un commentaire
Les grandes manœuvres se poursuivent chez Yahoo. 24 heures tout juste après le départ de Terry Semel, remplacé à la direction du groupe par Jerry Yang, fondateur de Yahoo, c'est au tour de Rupert Murdoch, PDG du groupe de communication News Corp., de s'inviter dans les débats sur l'avenir de ce pionnier de l'internet.

Selon le quotidien britannique TheTimes, le magnat australien de la presse serait en effet prêt à échanger MySpace, une plate-forme de blogs rachetée 580 millions de dollars à l'été 2005 contre 25% du capital de Yahoo, une société dont la capitalisation boursière dépasse les … 37 milliards de dollars.

Au-delà de l'intérêt économique d'une opération qui offrirait à Murdoch une copieuse plus value de près de 9 milliards de dollars, ce rapprochement permettrait également à Yahoo de consolider sa présence dans le Web 2.0, un secteur où il compte de nombreux services (FlickR, del.icio.us, MyBlogLog, JumpCut,...) mais où ses propres blogs Yahoo 360° ne parviennent pas à séduire les internautes.

Il y a encore quelques semaines, des rumeurs faisaient d'ailleurs état de l'intérêt de Yahoo pour FaceBook ou Bebo, deux réseaux sociaux réunissant respectivement 32 et 14 millions d'internautes chaque mois dont l'audience restait toutefois largement inférieure à MySpace, roi du web 2.0 avec ses 107 millions de visiteurs uniques par mois.

Reste désormais à savoir si Yahoo donnera suite aux pourparlers avec Rupert Murdoch, un homme d'affaire qui poursuit par ailleurs son projet de rachat du Wall Street Journal, un quotidien économique également convoité par le groupe Pearson (maison mère du groupe LesEchos).
Ecrire un commentaire
Une étude réalisée par la firme américaine Ellacoya Networks tend à montrer que le peer-to-peer (P2P) et les applications qui lui sont associées ne sont plus les principales causes de la consommation de bande passante des internautes aux Etats-Unis. Le trafic Web, correspondant au protocole HTTP, compterait désormais pour 46% de la bande passante globale consommée tandis que le P2P n'en représenterait plus que 37%. Longtemps considérés comme les plus grands consommateurs de bande passante au monde, les logiciels d'échange de fichiers sont en passe de se faire détrôner par de nouveaux usages, comme la consultation de vidéos en ligne.

Ellacoya Networks affirme avoir compilé des données en provenance d'environ un million d'abonnés haut débit aux Etats-Unis. Ses chiffres indiquent que le téléchargement de pages Web représente 45% du trafic HTTP, suivi par le streaming vidéo avec 36% puis le streaming audio avec environ 5%. A lui seul, le site YouTube susciterait près de 20% du trafic HTTP, soit près de 10% de la consommation globale de bande passante aux Etats-Unis !

« La popularité des services de consultation de vidéos en ligne comme YouTube influence non seulement la consommation globale de bande passante mais également la façon dont se distribue le trafic généré par les applications sur le réseau », explique Fred Sammartino d'Ellacoya. « La façon dont les gens utilisent Internet évolue rapidement, de la navigation à la diffusion en temps réel. Nous nous attendons à voir dès l'année prochaine de nouvelles applications qui accélèreront cette tendance ».

Derrière le Web (46%) et le P2P (37%), les internautes américains témoignent une certaine attirance pour les Newsgroups, qui comptent pour 9% du trafic global, devant le streaming vidéo au moyen d'applications dédiées (3%), le jeu en réseau (2%) et la voix sur IP (1%).
Ecrire un commentaire
PHPIDS est un système qui est conçu comme une couche supplémentaire de sécurité pour les sites PHP. En fait, cette couche ne filtre pas les données (c'est le travail d'une autre couche), mais elle s'assure qu'aucune attaque potentielle sur l'application n'est ignorée.

Basée sur une collection d'expression rationnelles très bien testées, PHPIDS est capable de reconnaitre efficacement différents types d'attaques : XSS, injection SQL, lecture de dossiers, String.fromCharcode, encoding et injection distante.

- An Introduction to PHPIDS (PHP-Intrusion Detection System)
- PHP IDS
Ecrire un commentaire
le 20/06/2007 à 20:26
Statistiques du serveur MySQL
Statpack Version 2 est un utilitaire pour suivre les statistiques de statut de MySQL. La commande de base est SHOW STATUS. Si cette dernière est puissante et fournie, elle ne fait que donner un aperçu de l'état du serveur. On ne voit aucune évolution dans les données, et cela complique la lisibilité des valeurs.

Statpack Version 2 va enregistrer les appels à SHOW STATUS qu'il fait, puis publier plusieurs indicateurs, avec une valeur instantanée, une valeur moyenne, et un affichage moins linéaire que SHOW STATUS.

- Statpack Version 2
LoadingChargement en cours