Une faille de sécurité dans le protocole SSL 3.0 (et inférieur) et TLS 1.0 a été découverte. Ces protocoles garantissent l’accès chiffré aux serveurs Web. Il n’y a donc plus aucun site Web qui est à l’abri d’une attaque « man in the middle ».
Concrètement, l’attaque consiste à injecter du texte connu dans une page Web (via du JavaScript introduit dans une publicité vérolée, par exemple). Après, il suffit d’écouter la conversion (il faut quand même une session de 30 minutes pour l’exploit actuel) pour découvrir la clef AES. L’exploit permet donc de déchiffrer la page, mais aussi les cookies, et donc de s’identifier sur le site visé.
La faille concerne la version 1.0 de TLS et est corrigée dans la version 1.1, sortie en 2006. En outre, OpenSSL propose un contournement depuis 2004 ; il consiste à injecter des données aléatoires dans la transaction. Malheureusement, les navigateurs utilisent principalement NSS plutôt qu’OpenSSL, et même si sur le serveur on peut forcer l’utilisation de TLS 1.1 ou 1.2, très peu de navigateurs Web les supportent, ce qui freine le déploiement sur les serveurs. Actuellement, seuls IE 9 et Opera en sont capables !
Il faut cependant noter que ces failles sont connues depuis longtemps, c’est ce qui avait mené au correctif dans OpenSSL et à la création de TLS 1.1. Mais c’est la première fois qu’une attaque est publiée, validant ces propositions.
Quelques conseils de navigation :
Merci à Altor pour son aide lors de la rédaction de cette dépêche.
Facebook a tenu sa conférence développeurs, j’ai nommé f8. Le Walled garden, désormais géant de l’informatique avec lequel il faudra longtemps traiter (intimement lié à Microsoft/Skype par son actionnariat et ses partenariats), a présenté quelques nouveautés lors de cette grand‐messe san‐franciscaine. Au menu, changement des profils, musique, vidéo et actualités.
On s’enfonce encore plus loin dans le déni de vie privée, et bien évidemment l’ensemble attaque directement la neutralité du Net.
Je vous avez déjà parlé de Cream-Browser dans ce journal.
Après 5 long mois je pense qu'il est temps de rédiger un nouvel article pour ceux ayant la flemme de suivre le blog, le flux RSS, la mailing list ou carrément le commit log sur github.
J'avais dans mon dernier article présenté deux caractéristiques de Cream-Browser :
Quelques petites choses ont changés depuis.
D'après osnews microsoft abandonne flash et silverlight pour ie10 sur windows 8. C'est donc la victoire de html 5 \o/
Maintenant, on peut se demander à quoi a/va servir mono.
the Metro style browser in Windows 8 is as HTML5-only as possible, and plug-in free.
Soit après une rapide traduction digne de google :
Le navigateur utilisant le style metro dans windows 8 ne supporte que html5 et est sans plugin.
Microsoft surprime-t-il les plugins car il n'a pas une (…)
Après Mac OSX Lion et son rapprochement avec IOS, voilà que Microsoft nous fait la même chose pour Windows 8.
Pour avoir testé la preview de Windows 8 ce matin, franchement, là je ne vois pas ou ces gens veulent en venir...
Enfin si, Microsoft et Apple sont malins dans un certain sens, avec l'arrivé de tablettes hybrides (tablette + laptop), ils ont là une bonne solution pour bloquer l'expansion d'Android.
Mais actuellement (ce n'est qu'une preview), on se demande (…)
Un bug exploitable à distance a récemment été découvert sur le serveur HTTP Apache et affecterait toutes les versions depuis la 1.3.
Le bug provient de la façon dont Apache traite une requête HTTP demandant plusieurs rangées de données se chevauchant. En effet, il est possible de spécifier dans l'en-tête HTTP la rangée des données que l'on veut recevoir au lieu des données complètes. Ceci est notamment utilisé lors du téléchargement d'un fichier et permet de reprendre le téléchargement là (…)
D3.js est une bibliothèque javascript légère et libre qui permet de manipuler et représenter graphiquement des documents en s'appuyant sur leurs données. Elle est une réécriture de protovis et s'appuie sur des technologies comme HTML5, CSS3 et SVG pour afficher des données et interagir avec elles. Je vous encourage à aller voir les exemples pour voir de quoi est capable d3.js.
Sugar.js est une bibliothèque qui vise à faciliter la manipulation des objets natifs Javascript et à combler les différences entre navigateurs. Elle ajoute des méthodes bien pratiques aux entiers, chaînes de caractères, fonctions, tableaux, objets, dates… En revanche, elle ne concerne ni les requêtes AJAX ni le DOM (jQuery fait ça très bien).
Batman.js est un petit framework MVC sous licence MIT. Il est écrit en CoffeeScript et peut donc naturellement être utilisé en Javascript afin de structurer une application web qui ferait un fort usage du JS. S'inspirant des principes de Rails (convention over configuration, etc.), il doit permettre de développer rapidement des applications web mono-page.
Cela fait quelques temps que je m’interroge sur le modèle de sécurité du web actuel, basé sur la politique de même origine. J'aimerais proposer un modèle de sécurité différent, qui pourrait rendre beaucoup plus robuste les applications web. Mais il faut la coopération des navigateurs. Voici mon idée:
Petit résumé de la situation
A l'heure actuelle, une page web n'a pas le droit de faire une requête XmlHttpRequest sur un autre domaine. Par exemple, si example.com essaye de charger facebook.com (…)
Mozilla continue son cycle de sortie rapide et a publié la version 6 ce 16 août. Les nouveautés se font toujours dans la continuité :
On peut aussi noter que l'accélération via la carte graphique qui n'était possible qu'avec les pilotes propriétaires nVidia est désormais disponible pour les pilotes classic de Mesa et les pilotes propriétaires d'AMD.
N. D. M. : Thunderbird 6 est également disponible.
Petite mise en situation : vous faites un voyage, une rando, une itinérance quelconque sur plusieurs jours, vous avez un GPS et un appareil photo avec vous, et une fois rentré, vous vous retrouvez avec des traces GPS et des photos sur les bras. Et l'envie de publier au monde entier (à minima vos amis) votre prouesse... que faire ?
Ça m'est arrivé cet été, j'ai donc eu envie de pouvoir présenter tout ça sous forme d'une page web avec (…)
Adobe vient d'annoncer la sortie du logiciel EDGE destiné à produire du HTML5.
Pour mémoire, le HTML5 permet l'inclusion d'animations et de vidéos dans les pages web sans utiliser le Flash. Le nouvel outil d'Adobe utilise HTML5, JavaScript et CSS3. Sa similitude avec l'outil de création de Flash devrait séduire les créateurs de sites.
Un puissant moteur de ce changement est que des plateformes comme iOS d'Apple ne supportent pas le Flash. La multiplicité des navigateurs et des types de machines, du smartphone à l'écran QSXGA (voir Format d'affichage vidéo) sur une station conduit à l'adoption massive des normes du web, gérées par le W3C.
Cette nouvelle va dans le même sens que l'étude (NdM.: il s'agit d'un canular) faite par AptiQuant Psychometric Consulting sur la relation entre le QI (Quotient_intellectuel) des utilisateurs et leur navigateur. Il s'agit d'un cas de sérendipité car ce n'était pas le but de l'étude initiale.
Cette étude révèle que le QI des utilisateurs du navigateur web Internet Explorer est bien plus bas que celui des utilisateurs des autres navigateurs !
On sait que IE6 en particulier a fait l'objet de campagnes d'éradication, mais qu'il a fallu que des sites tels que Youtube et Dailymotion annoncent la fin de sa prise en charge pour en précipiter le déclin.
L'abandon du Flash et le déclin d'IE sont sans doute un tournant important vers l'interopérabilité du web.
Alors voilà, en jetant un œil au site http://www.artichow.org je m'aperçois que cet outil libre - contrairement à JPgraph a disparu d'Internet, après quelques années sans développement.
Donc questions aux ex-utilisateurs :
Bref, quel avenir pour les utilisateurs d'Artichow?
¹ Chart Tools : http://code.google.com/intl/fr/apis/chart/
Le 24 juillet 2011 est sortie la version 2.2.29 de PmWiki.
Il s’agit d’un moteur de Wiki écrit en PHP par Patrick Michaud (d’où le Pm), et traduit dans plus d’une trentaine de langues, dont le français.
Il se démarque de la concurrence par l’absence de base de données SQL (tout est stocké sous forme de fichiers textes plats) et par une simplicité difficilement égalable pour un projet de cette envergure : 1,8 Mio tout mouillé (une fois décompressé), dont quand même 800 Kio de documentation, le fichier principal du moteur Wiki faisant seulement 83 Kio + 260 Kio de scripts divers.
