Il y a quelques mois était publiée la version 5.3.7 de PHP, sans s'assurer que certains bugs critiques, comme celui de la fonction crypt(), avaient été corrigés.

Cela avait conduit a une sortie précipitée de PHP 5.3.8 contenant les correctifs nécessaires avec une alerte pour la version 5.3.7 .

Beaucoup ont alors espéré que les développeurs de PHP allaient changer de méthodes de travail.

Le 10 janvier sortait la version 5.3.9 de PHP qui contenait, entre autres, un correctif pour une vieille faille de sécurité qui permettait de fabriquer facilement des collisions dans une hashtable conduisant à un déni de service (faille déjà mentionnée ici-même).

Le hic fut que le correctif introduisait une nouvelle faille de sécurité qui, pour éviter de permettre de faire des collisions, permettait une exécution arbitraire de code.

Le 2 février fut publié la version 5.3.10, qui corrige la faille introduite par le correctif précédent.

Pour mémoire, wallabag est une application open source qui sauvegarde des articles et vous permet de les lire plus tard.
Voici le billet traditionnel pour faire le bilan de l'année écoulée sur le service en ligne wallabag.it, lancé en décembre 2016.

En parallèle de cette activité (en micro entrepreneur), je suis salarié à 80% en tant que développeur web. Donc wallabag.it n'est pas mon activité principale et je n'y consacre pas énormément de temps. Et je ne fais aucune publicité du service. C'est uniquement le bouche-à-oreille qui fonctionne.
Pour info, j'ai démarré wallabag.it le 3 décembre 2016.

Dans cette diffusion de données, je ne vais pas forcément chercher à comprendre / étudier telle ou telle donnée, ou alors réfléchir comment améliorer mon chiffre d'affaires. L'idée est d'être transparent avec mes clients et donner des idées à celles et ceux qui souhaiteraient se lancer.

Je ne vais pas non plus refaire l'historique du changement d'offres, tout cela se trouve dans les liens liés. Toutes les données sont en seconde partie de dépêche.

En fin d’année 2021 et sur la lancée habituelle PHP passe en version 8.1. Tout comme les autres versions, elle sera maintenue activement pendant deux années et elle recevra seulement des correctifs de sécurité une année de plus.

Voilà il y a peu Spf me convainc d’ouvrir le code source du muzi.ch. En effet, je ne développe plus ce projet et je me suis souvent posé cette question de libération. Je n’avais pas encore franchi le pas pour une raison toute bête : le code source est vieux, j’ai rédigé ça il y a longtemps, le code n’est pas très pro, blablabla…

Cependant, pourquoi garder ce code fermé… Peut‐être que le projet intéressera la communauté et pourra avoir une seconde vie ? Bref, ça y est, j’ouvre le code source.

Snuffleupagus est un module pour PHP (version 7.0 et supérieures) qui a pour but d’augmenter drastiquement la difficulté des attaques contre les sites Web. Cela s’obtient, entre autres, via la désactivation de fonctions et de classes, et en fournissant un système de correctifs virtuels, permettant à l’administrateur de corriger des vulnérabilités spécifiques sans modifier le code PHP.

La version 0.3.0, disponible depuis le 18 juillet 2018, est un excellent prétexte pour parler de ce projet sur LinuxFr.org, avec des détails juteux en deuxième partie de dépêche.

Une nouvelle version majeure de PHP vient de sortir, après de nombreuses RC (Release Candidate) : PHP 5.4.

Les principales améliorations sont :

• Une nouveauté grammaticale : les "traits" (en anglais)
• Nouvelle syntaxe courte pour les tableaux, inspirée de celle de Javascript
• Un serveur web intégré pour faciliter le développement
• PHP-FPM (FastCGI Process Manager) a été amélioré et n'est plus marqué expérimental
• Un grand nettoyage dans les options de configuration : en particulier, les magic quotes, register_globals et le safe mode ont totalement disparu
• Et de manière générale, une amélioration des performances et de l'utilisation de la mémoire

En outre, durant le développement de cette version 5.4, la gestion du projet s'est grandement améliorée, avec un passage à Git et un processus de décision plus communautaire.

Plus de détails en seconde partie.

Merci à Nÿco, olivierweb, detail_pratique, baud123, Bruno Michel, GeneralZod, beckbeckbondieu, et Stéphane Aulery pour leur participation à la rédaction de cet article.

Garradin est un logiciel libre de gestion d’association développé depuis sept ans. Il se veut être la solution de gestion de petite et moyenne association la plus complète et la plus simple à utiliser. Il permet la gestion des adhérents et des cotisations, la tenue d’une comptabilité en partie double et l’envoi de courriels entre membres ou à tous les membres. Il contient également un wiki complet, comprenant la possibilité de chiffrer les pages, ainsi qu’un site Web simple mais puissant grâce aux squelettes « à la SPIP ».

Il est léger, rapide et ne demande aucune configuration pour être installé chez n’importe quel hébergeur proposant PHP 5.6 ou plus (tout est stocké dans une base de données SQLite).

Cette nouvelle version 0.9 fait suite à un an de développement et améliore grandement l’importation et exportation de membres via des fichiers CSV et ODS (LibreOffice) ainsi que l’envoi de courriels, et ajoute une fonctionnalité de recherche avancée.

Garradin est également disponible en SaaS sur https://garradin.eu/ (utilisé par plus de 2 000 associations).

Facebook vient enfin d’annoncer son nouveau langage de programmation pour le Web, plus d’un an après les premiers déploiements en interne. Baptisé Hack et entièrement interopérable avec PHP, il s’exécute sur leur machine virtuelle maison (HHVM) et permet aux développeurs qui le souhaitent d’ajouter un peu de typage statique dans leur développement PHP. Il semble que pour Facebook, cette dose de typage supplémentaire était devenue indispensable à la maintenance sur le long terme de leur grande base de code.

D’un point de vue performance, la machine virtuelle HHVM utilise des techniques de compilation à la volée, alors que, précédemment, ils utilisaient pour le code en production un compilateur de PHP vers C++. Sur le code du site Facebook lui‐même, ils annoncent un gain de performance de ×10 en temps processeur. De manière plus générale, HHVM vise à terme une compatibilité complète avec PHP 5 — aujourd’hui, 98,5 % de compatibilité —, dans ce cas, ils annoncent un gain de ×2 par rapport à la version actuelle de Zend.

Au delà du gain en CPU dû à la machine virtuelle, cette annonce montre aussi que les questions de fiabilité et le typage statique commencent à faire leur chemin. La complexité croissante des applications Web en font une question centrale pour l’avenir. Même si Facebook a fait le choix conservateur de typer PHP plutôt que tout traduire vers un langage fortement typé (à cause de l’énorme masse de code déjà écrite), il est frappant de noter que le compilateur Hack lui‐même et le tutoriel en ligne sont implémentés en OCaml.

Dans son annonce officielle Facebook remercie d’ailleurs l’équipe Gallium de l’INRIA pour le compilateur OCaml, et le projet Ocsigen (CNRS, INRIA, Université Paris Diderot) pour le compilateur js_of_ocaml. La machine virtuelle HHVM est écrite en C++.

La version 8 de PHP est sortie le 26 novembre 2020, nous allons donc voir ensemble les nouvelles fonctionnalités qui ont été intégrées dans cette version.

Pour ne pas faire trop long, on se limitera aux choses nouvelles par rapport à PHP 7.4, et on regardera les nouvelles fonctionnalités principales, pour une liste exhaustive consultez le journal des modifications officiel.

Movim, le réseau social libre, a été officiellement annoncé le 18 novembre 2018 en version 0.14. Ce qui suit est une traduction libre du blog de Timothée Jaussoin, l’auteur de Movim.

Movim a dix ans et c’est avec une grande satisfaction que nous vous apportons cette version, après neuf longs mois de développement.

PhotoShow est une galerie de photos en PHP à installer sur votre serveur.

PhotoShow se base sur le système de fichiers pour gérer les fichiers, et ne requiert donc pas de base de données. Si Javascript est activé sur votre navigateur, la gestion des utilisateurs, albums, et images se fait aisément via glisser-déposer (drag-n-drop), de même que le téléversement (upload) d'images.

Le tout est totalement libre (sous licence GNU GPL 3) et gratuit.

Vous connaissez peut‐être ImageShack, imgur, TinyPic et bien d’autres encore. Tous ces services ont en commun la possibilité d’envoyer une ou plusieurs images rapidement pour les rendre disponibles en ligne, par exemple dans un forum, ou pour partager un album de photos de vacances, etc. Contrairement à Flickr ou Picasa (et Piwigo, zenphoto et autres équivalents libres), leur but n’est pas d’archiver, classer et trier ses photos, mais simplement de partager rapidement du contenu avec n’importe qui.

Eh bien, Fotoo Hosting, tout comme l’excellent Jyraphe, est une application PHP permettant de faire la même chose que ces imgur et autres TinyPic, sur son propre serveur, sans rien avoir à configurer. Il suffit de copier un seul fichier, et hop !

Fotoo Hosting permet d’envoyer des fichiers seuls (JPEG, PNG, GIF, GIF animé, et XCF et SVG, si ImageMagick est installé) et des albums photos constitués de plusieurs fichiers JPEG. Les grandes images sont redimensionnées avant envoi (en JavaScript) pour soulager votre bande passante, ainsi que le processeur de votre serveur. Il est ensuite possible de partager ces photos très simplement avec un lien court. Les photos peuvent être publiques ou privées (elles n’apparaissent alors pas dans la liste des images hébergées).

Fotoo Hosting est un logiciel libre distribué sous licence AGPL v3.

KaraDAV est un nouveau serveur de fichiers WebDAV simple, léger, rapide et très fonctionnel, sous licence
AGPLv3.

Il a plusieurs particularités :

• compatible avec les clients mobile et desktop ownCloud et NextCloud
• interface web avec WebDAV Manager.js
• édition de documents via un navigateur web, via Collabora ou OnlyOffice

Ultime version de la branche 5.x, PHP 5.6.0 apporte quelques possibilités de développement, un débogueur interactif et corrige quelques 150 bogues.

Les principales nouveautés sont :

• Les expressions de constantes scalaires
• Fonctions à nombre d'arguments variable ainsi que l'opérateur ... pour empaqueter/dés-empaqueter les arguments
• L'opérateur ** pour l'exponentiation
• L'extension du mot-clé use pour importer les fonctions et les constantes
• Un débogueur interactif : phpdbg intégré comme module SAPI.
• La ré-utilisabilité de php://input faisant passer $HTTP_RAW_POST_DATA en déprécié.
• Les objets GMP (GNU Multiple Precision) supportent maintenant la surcharge des opérateurs et le transtypage en types scalaires.

Plus de détails sont disponibles dans la suite de cette dépêche.