J'ai du mal à croire qu'un truc pareil puisse passer tel quel.
On a beaucoup trop d'enjeux économiques autour des technologies de sécurisation. Vous imaginez que tout d'un coup, tous les extranet, VPN professionnels, et autres portails bancaires seraient obligés de renoncer à leur confidentialité?
En gros, la france deviendrait la cible idéale pour capter toutes les transactions bancaires, données confidentielles etc... tous les hackers vont nous adorer.
Je suppose qu'ils interdiront les moyens de sécurisation aux particuliers pas aux entreprises.
Mine de rien, le hacker en a profité bien grassement depuis au moins le 26 décembre 2008, ça fait donc plus d'une semaine que le serveur est dans cet état.
>Il a intérêt à être bien sûr d'avoir effacé ses traces si les autorités décident de le traquer ;)
Apache/2.2.8 (Ubuntu) Server at www.tgi-bonneville.justice.fr Port 80
Inutile de prendre cette peine avec une ubuntu, il y a pas de logs. Bah ouais, ça sert à rien les logs c'est pas user-friendly ;)
attention un bon framework ne fait pas tout. En réalité, aucun choix technique aussi bon qu'il soit ne peut sauver un projet d'une erreur grave de conception. J'ai vu 9mois de code partir à la benne à cause d'un schéma de base de données inaproprié. Et le fait d'utiliser un framework ( Zend en l'occurence ) n'a pas limité les pertes en dehors des vues.
Au-delà de l'usage d'un framework, d'un ORM ou d'un moteur de template, rien ne peut remplacer de bonnes pratiques de développement. Pour l'avoir vécu, je peux assurer que la mise en place d'un bon framework ne protège en rien des développeurs qui pondent du code à grand coup de copier/coller, de méthodes de 300 lignes et de if en cascade , le tout dans la plus grande ignorance des impacts en terme de performance et de sécurité (sans parler des requetes SQL dans le controleur, ainsi que des chaines HTML construites dans ce dernier). Si, on peut plus facilement isoler et refaire ces fonctionnalités car elles n'ont pas été imbriquées dans le coeur de l'application (et protèger ainsi le code "sain").
Je pense qu'un framework va forcément avoir une base "classique de chez classique" : à partir du moment où se lance dans un tel projet, on est obligé de connaître les patterns classiques. Dans le cas présent c'est (encore) MVC qui est implémenté, ce de façon relativement classique. Et l'écriture du projet n'en est encore qu'aux bases, c'est plus tard qu'il se montrera plus original.
La seule approche qui sort un peu de l'ordinaire pour l'instant, c'est le fait d'avoir plusieurs controlleurs dans une même page; cette particularité permet d'intégrer très facilement l'AJAX, car chaque appel asynchrone sollicite un seul controlleur.
Une autre approche qui je pense est interressante aujourd'hui, c'est le fait que les données soient mises en cache en niveau de la DAO et non pas après la génération du code HTML.
Ce qui est censé venir par la suite et qui pourrait faire sortir ce framework de l'ordinaire :
- un panneau de configuration adaptable facilement aux besoins de l'appli développée
- gestion des profils utilisateurs
- L'intégration d'une librairie AJAX qui permettrait de rendre les formulaires évenementiels
- des "plug-ins" d'intégration de projets externes, comme le FCK editor ou des librairies spécialisées
L'objectif à terme est d'obtenir un framework qui permette de ne s'occuper vraiment que du code métier. Toute les parties techniques sont déjà prises en charge, et les troncs communs sont déjà présents (profils utilisateurs, panneau de conf, aggréga RSS, etc ...). La seule chose qui resterait au développeur serait d'écrire son code métier et d'articuler l'ensemble pour monter son portail.
Même charte graphique que mozilla.org, un compteur de 'Souls lost', des threads farfelus dans les forums ("Spread IE by proving Linus Torvalds is working with the devil", fallait le trouver), bref, c'est un fake ou j'ai une notion trop ouverte du second degré :)
J'espère que pour sortir toutes ces belles statistiques, tu as codé un soft permettant, pour une liste donnée de mots-clés et une liste d'URLs à "sortir du lot", d'établir des tableaux de progressions et des graphiques sympas le tout permettant une analyse directe des résultats.
Accessoirement, ça assurerait la "fiabilité" des résultats (je mets des guillemets, parce que j'ai du mal à percevoir les résultats de recherche sur google comme une source de statistiques vraiment fiables).
function coreSecureString ($stringValue) {
//Si jamais les magic_quotes_gpc sont activés, on vire les anti-slash générés automatiquement
if (get_magic_quotes_gpc()){
$stringValue = stripslashes ($stringValue);
}
//On "échappe" la chaîne de caractère en fonction du type de base de données
//On part du principe que DBType a déjà été déclaré de la façon suivante : define ("DBType", mysql) par exemple.
//mysql_escape_string () étant dépréciée, on privilégie _real_escape_string ()
if (function_exists(DBType . "_real_escape_string"))
$escapeStringFunction = DBType . "_real_escape_string";
else if (function_exists(DBType . "_escape_string"))
$escapeStringFunction = DBType . "_escape_string";
else
//Cas ou la fonction n'existe pas pour ce SGBD
$escapeStringFunction = "addslashes";
//On renvoie la chaine sécurisée
return $escapeStringFunction ($stringValue);
}
Non, non, j'ai toujours crypté les mots de passe en md5 avant de les stocker! Seule chose qui me fait peur, c'est qu'avec la chaine md5 et aucune pitié pour son processeur, on peut revenir sur le mot de passe d'origine.
J'ai fait une version "feignasse", mais dans la pratique, on pourrait tester si le type de base est MySQL et utiliser mysql_real_escape_string dans ce cas, sinon utiliser dbType . "_escape_string".
A mon avis - mais je peux me tromper - Mandrake aura plus de chances d'être au courant de notre opinion si on leur en parle.
Assez trivial, certes, mais je pense que nous, en tant que "communauté linuxienne", ne sommes pas seuls au monde. OK, techniquement et "philosophiquement" parlant, on a une petite avance sur d'autres tranches de la clientéle informatique parce qu'on s'interresse fortement aux logiciels libres, mais cela ne nous donne pas la vérité absolue à ce sujet pour autant. N'oublions pas que MandrakeStore s'adresse aux Geeks avertis, mais aussi (et peut-être surtout) au grand public, donc des clients qui ne connaissent pas la GPL (ou rare exceptions), qui ont été très exposés à Windows, et qui n'ont pas forcément un sens de l'adaptation très poussé en informatique (variable, et fonction de pleins de paramètres).
J'ai plutôt tendance à "applaudir" leur démarche, et les encourager à faire d'autres solutions PC (fixes, portables). Le rêve serait qu'ils sortent un PC fixe à moins de 500¤, assemblé par ses soins (ce qui permettrait à Mandrake ne pas être tributaire des accords commerciaux entre le constructeur et un/plusieurs éditeurs), et 100% Mandrake. Là, j'achète.
Oui enfin là j'ai l'impression qu'on m'impose fortement l'alternative Windows, si tu vois ce que je veux dire ;)
C'est indéniable, mais ce que je voulais dire par là, c'est qu'il faut éviter de tomber dans le même extreme, à vouloir imposer Linux à tout prix. A mon sens, le fait que GNU/Linux soit une alternative est une de ses forces, on est libre de le choisir, contrairement à Windows (On est simplement libre de le refuser, la nuance est énorme).
- Il y a deux notes des modérateurs, chacune "recadrant" la dépêche, pourquoi est-elle passée alors?
- Qu'est-ce qui permet de penser que l'impact d'une telle "mobilisation" sera positif?
- Parmi ceux qui râlent, combien comptent VRAIMENT acheter cet ordinateur si mandrake arrive à adapter son offre?
- Personne ne s'est dit qu'un PC pré-installé Windows/Linux en double boot pourrait être une bonne occasion pour le client d'avoir le choix et de se mettre à linux en douceur s'il en a envie? Une alternative est faite pour être choisie et non pour être imposée.
ça s'installe très simplement (installpkg dropline-xyz.tgz, dropline-installer , puis suivez le guide ), c'est proprement packagé et les mises à jours sont régulières.
Pour l'instant, gnome est en 2.8.3, mais je pense que le passage en 2.10 ne devrait pas trop se faire attendre.
Et puis une copine c'est vachement plus pratique que n'importe quel pc dans le monde car elle peux vous comprendre meme si vous vous etes mal exprimé (mal fomulé la demande).
Oula! On n'est pas sortis avec les mêmes copines ;)
Ce qui m'interpelle, c'est l'ampleur que prennent plusieurs "petits bugs". Tout ton argumentaire me pousse à croire que tu t'es senti lésé par des suites pas très positives à ton bug-report, et que du coup t'en as conclu hativement que tout le monde du logiciel libre n'est pas fait pour l'utilisateur final, le tout en cherchant des défauts pas vraiment pertinents pour tenter d'appuyer ton propos.
GNU/Linux n'est pas prêt pour le desktop? Viens voir chez moi :-)
Suite à un gros viandage fatal du win 2000 de ma fiancée il y a un mois à peu près, il a fallu ré-installer tout le système après avoir sauvegardé les données. J'ai pas de CD de windows chez moi, je lui donc donné le choix entre debian et slackware ;) . Hop! install de slackware, mise à jour, qq petits réglages, et voilà un Desktop libre préparé avec amour. => Depuis elle surfe avec Firefox, retouche nos photos avec the Gimp, chatte sur MSN (grrr) avec Gaim, le tout sous Gnome 2.6. Un peu d'initiation au début pour lui mettre le pied à l'étrier + qq compléments de config pour répondre à ses besoins (install de Helix par exemple) et maintenant elle est pleinement satisfaite du travail de son Geek.
Le seul problème là dedans, c'est qu'elle n'aurait pas pu installer ça toute seule. Slackware c'est génial, mais pour créer un Desktop complet et efficace, il faut quand même mettre un peu les mains dans le camboui. On me souffle à l'oreille que Mandrake c'est fait pour ça.
Tout ça pour en venir au fait que pour savoir si GNU/Linux est prêt pour le Desktop, le meilleur moyen (à mon humble avis) c'est de le confronter à des utilisateurs finaux. Pas en pinaillant sur des détails qui n'interressent pas ou peu ces derniers.
[^] # Re: Le pire du pire...
Posté par astennu . En réponse au journal [ après-HADOPI] : Le pire est à venir.. Évalué à 1.
On a beaucoup trop d'enjeux économiques autour des technologies de sécurisation. Vous imaginez que tout d'un coup, tous les extranet, VPN professionnels, et autres portails bancaires seraient obligés de renoncer à leur confidentialité?
En gros, la france deviendrait la cible idéale pour capter toutes les transactions bancaires, données confidentielles etc... tous les hackers vont nous adorer.
Je suppose qu'ils interdiront les moyens de sécurisation aux particuliers pas aux entreprises.
# Un grand MERCI pour cette crise de rire! :D
Posté par astennu . En réponse au journal Linuxfr en J2EE. Évalué à 10.
[^] # Re: Hum...
Posté par astennu . En réponse au journal Le concept d'objet en PHP. Évalué à 5.
j'adore la surprise du chef : "ha tiens, on peut se ramasser cette exception avec cette méthode?"
[^] # Re: Je connais un admin sys ...
Posté par astennu . En réponse au journal Un site bien étrange.... Évalué à 7.
[^] # Re: Je connais un admin sys ...
Posté par astennu . En réponse au journal Un site bien étrange.... Évalué à 9.
>Il a intérêt à être bien sûr d'avoir effacé ses traces si les autorités décident de le traquer ;)
Apache/2.2.8 (Ubuntu) Server at www.tgi-bonneville.justice.fr Port 80
Inutile de prendre cette peine avec une ubuntu, il y a pas de logs. Bah ouais, ça sert à rien les logs c'est pas user-friendly ;)
--> []
[^] # Re: Journal très pertinent
Posté par astennu . En réponse au journal De l'utilité des moteurs de templates en PHP. Évalué à 3.
Au-delà de l'usage d'un framework, d'un ORM ou d'un moteur de template, rien ne peut remplacer de bonnes pratiques de développement. Pour l'avoir vécu, je peux assurer que la mise en place d'un bon framework ne protège en rien des développeurs qui pondent du code à grand coup de copier/coller, de méthodes de 300 lignes et de if en cascade , le tout dans la plus grande ignorance des impacts en terme de performance et de sécurité (sans parler des requetes SQL dans le controleur, ainsi que des chaines HTML construites dans ce dernier). Si, on peut plus facilement isoler et refaire ces fonctionnalités car elles n'ont pas été imbriquées dans le coeur de l'application (et protèger ainsi le code "sain").
[^] # Re: Framwork existants
Posté par astennu . En réponse au journal Appel à contributions pour un framework web PHP. Évalué à 2.
La seule approche qui sort un peu de l'ordinaire pour l'instant, c'est le fait d'avoir plusieurs controlleurs dans une même page; cette particularité permet d'intégrer très facilement l'AJAX, car chaque appel asynchrone sollicite un seul controlleur.
Une autre approche qui je pense est interressante aujourd'hui, c'est le fait que les données soient mises en cache en niveau de la DAO et non pas après la génération du code HTML.
Ce qui est censé venir par la suite et qui pourrait faire sortir ce framework de l'ordinaire :
- un panneau de configuration adaptable facilement aux besoins de l'appli développée
- gestion des profils utilisateurs
- L'intégration d'une librairie AJAX qui permettrait de rendre les formulaires évenementiels
- des "plug-ins" d'intégration de projets externes, comme le FCK editor ou des librairies spécialisées
L'objectif à terme est d'obtenir un framework qui permette de ne s'occuper vraiment que du code métier. Toute les parties techniques sont déjà prises en charge, et les troncs communs sont déjà présents (profils utilisateurs, panneau de conf, aggréga RSS, etc ...). La seule chose qui resterait au développeur serait d'écrire son code métier et d'articuler l'ensemble pour monter son portail.
[^] # Re: pourquoi??
Posté par astennu . En réponse au journal Appel à contributions pour un framework web PHP. Évalué à 1.
# Fake
Posté par astennu . En réponse au journal Allez sans déconné c'est une blaque. Évalué à 7.
Même charte graphique que mozilla.org, un compteur de 'Souls lost', des threads farfelus dans les forums ("Spread IE by proving Linus Torvalds is working with the devil", fallait le trouver), bref, c'est un fake ou j'ai une notion trop ouverte du second degré :)
# Prog de stats
Posté par astennu . En réponse au journal HTTP -> http://www.w3.org : The best place to learn more about http ! (la vengeance). Évalué à 2.
Accessoirement, ça assurerait la "fiabilité" des résultats (je mets des guillemets, parce que j'ai du mal à percevoir les résultats de recherche sur google comme une source de statistiques vraiment fiables).
# 3
Posté par astennu . En réponse au sondage Nombre de pays où je suis passé :. Évalué à 1.
[^] # Re: Et les bières-sondes
Posté par astennu . En réponse à la dépêche Du respect de la vie privée et secrète du geek en milieu urbain. Évalué à 5.
"le constat est terrifiant : l'âpre surprise d'avaler une goulée d'eau en place de la bière attendue."
C'est vrai que c'est la pire des tortures pour un buveur de bière ...
# Une fonction multi-SGBD et normalement "tout terrain"
Posté par astennu . En réponse au message Éviter les Injections SQL. Évalué à 2.
function coreSecureString ($stringValue) {
//Si jamais les magic_quotes_gpc sont activés, on vire les anti-slash générés automatiquement
if (get_magic_quotes_gpc()){
$stringValue = stripslashes ($stringValue);
}
//On "échappe" la chaîne de caractère en fonction du type de base de données
//On part du principe que DBType a déjà été déclaré de la façon suivante : define ("DBType", mysql) par exemple.
//mysql_escape_string () étant dépréciée, on privilégie _real_escape_string ()
if (function_exists(DBType . "_real_escape_string"))
$escapeStringFunction = DBType . "_real_escape_string";
else if (function_exists(DBType . "_escape_string"))
$escapeStringFunction = DBType . "_escape_string";
else
//Cas ou la fonction n'existe pas pour ce SGBD
$escapeStringFunction = "addslashes";
//On renvoie la chaine sécurisée
return $escapeStringFunction ($stringValue);
}
[^] # Re: Réaction rapide
Posté par astennu . En réponse au message Éviter les Injections SQL. Évalué à 4.
define ("NoReturn", "123aze40");
$md5Password = md5 ($_GET['password'] . NoReturn) ;
suite du traitement ....
[^] # Re: Réaction rapide
Posté par astennu . En réponse au message Éviter les Injections SQL. Évalué à 1.
[^] # Re: Proteger les champ
Posté par astennu . En réponse au message Éviter les Injections SQL. Évalué à 1.
Le problème, c'est lorsqu'on développe avec autre chose que MySQL, là ça peut se compliquer ... enfin pas vraiment : http://us4.php.net/manual-lookup.php?pattern=escape_string&lang(...)
On peut très bien se baser sur le type de base de données utilisé pour apeller la bonne fonction :
define ("dbType", "MySQL");
$escapeStringFunction = dbType . "_escape_string";
$securedQuery = $escapeStringFunction ($unSecuredQuery);
J'ai fait une version "feignasse", mais dans la pratique, on pourrait tester si le type de base est MySQL et utiliser mysql_real_escape_string dans ce cas, sinon utiliser dbType . "_escape_string".
[^] # Re: Là, je ne comprends pas
Posté par astennu . En réponse à la dépêche Mobilisation pour le portable HP-Compaq sans Windows sur le Mandrakestore. Évalué à 1.
Assez trivial, certes, mais je pense que nous, en tant que "communauté linuxienne", ne sommes pas seuls au monde. OK, techniquement et "philosophiquement" parlant, on a une petite avance sur d'autres tranches de la clientéle informatique parce qu'on s'interresse fortement aux logiciels libres, mais cela ne nous donne pas la vérité absolue à ce sujet pour autant. N'oublions pas que MandrakeStore s'adresse aux Geeks avertis, mais aussi (et peut-être surtout) au grand public, donc des clients qui ne connaissent pas la GPL (ou rare exceptions), qui ont été très exposés à Windows, et qui n'ont pas forcément un sens de l'adaptation très poussé en informatique (variable, et fonction de pleins de paramètres).
J'ai plutôt tendance à "applaudir" leur démarche, et les encourager à faire d'autres solutions PC (fixes, portables). Le rêve serait qu'ils sortent un PC fixe à moins de 500¤, assemblé par ses soins (ce qui permettrait à Mandrake ne pas être tributaire des accords commerciaux entre le constructeur et un/plusieurs éditeurs), et 100% Mandrake. Là, j'achète.
C'est indéniable, mais ce que je voulais dire par là, c'est qu'il faut éviter de tomber dans le même extreme, à vouloir imposer Linux à tout prix. A mon sens, le fait que GNU/Linux soit une alternative est une de ses forces, on est libre de le choisir, contrairement à Windows (On est simplement libre de le refuser, la nuance est énorme).
# Là, je ne comprends pas
Posté par astennu . En réponse à la dépêche Mobilisation pour le portable HP-Compaq sans Windows sur le Mandrakestore. Évalué à 3.
- Qu'est-ce qui permet de penser que l'impact d'une telle "mobilisation" sera positif?
- Parmi ceux qui râlent, combien comptent VRAIMENT acheter cet ordinateur si mandrake arrive à adapter son offre?
- Personne ne s'est dit qu'un PC pré-installé Windows/Linux en double boot pourrait être une bonne occasion pour le client d'avoir le choix et de se mettre à linux en douceur s'il en a envie? Une alternative est faite pour être choisie et non pour être imposée.
[^] # Re: Integration dans les distribs.
Posté par astennu . En réponse à la dépêche Sortie de GNOME 2.10. Évalué à 2.
http://dropline.net/gnome/(...)
ça s'installe très simplement (installpkg dropline-xyz.tgz, dropline-installer , puis suivez le guide ), c'est proprement packagé et les mises à jours sont régulières.
Pour l'instant, gnome est en 2.8.3, mais je pense que le passage en 2.10 ne devrait pas trop se faire attendre.
Sinon, Garnome :)
[^] # Re: Copine
Posté par astennu . En réponse au sondage Le gadget geek ultime. Évalué à 3.
===> []
[^] # Re: hmm
Posté par astennu . En réponse au journal Devdays, Le Futur de microsoft, je suis rassuré. Évalué à 2.
Merci :)
# hmm
Posté par astennu . En réponse au journal Devdays, Le Futur de microsoft, je suis rassuré. Évalué à 2.
http://joelonsoftware.com/articles/APIWar.html(...)
http://www.onversity.com/cgi-bin/progarti/art_aff.cgi?Eudo=bgteob&a(...)
A part ça, j'ai pas tout compris, ni de ce qui était décrit, ni de l'interet de la chose. Mais c'est peut-être un effet secondaire de la neige ;)
VS, j'ose imaginer que c'est Visual Script (j'aime le paradoxe qui se cache derrière ce nom), mais CLR c'est quoi?
[^] # Re: Copine
Posté par astennu . En réponse au sondage Le gadget geek ultime. Évalué à 7.
Oula! On n'est pas sortis avec les mêmes copines ;)
[^] # Re: au moins 9
Posté par astennu . En réponse au sondage Mon ordinateur actuel est mon. Évalué à 10.
- Atari 1040 ST
- Pentium 166
- Thinkpad celeron 550
Et à côté de ça, j'ai une vraie vie sexuelle :o)
[^] # Re: ca avance.
Posté par astennu . En réponse au journal le libre est pret pour le desktop de .... Évalué à 3.
GNU/Linux n'est pas prêt pour le desktop? Viens voir chez moi :-)
Suite à un gros viandage fatal du win 2000 de ma fiancée il y a un mois à peu près, il a fallu ré-installer tout le système après avoir sauvegardé les données. J'ai pas de CD de windows chez moi, je lui donc donné le choix entre debian et slackware ;) . Hop! install de slackware, mise à jour, qq petits réglages, et voilà un Desktop libre préparé avec amour. => Depuis elle surfe avec Firefox, retouche nos photos avec the Gimp, chatte sur MSN (grrr) avec Gaim, le tout sous Gnome 2.6. Un peu d'initiation au début pour lui mettre le pied à l'étrier + qq compléments de config pour répondre à ses besoins (install de Helix par exemple) et maintenant elle est pleinement satisfaite du travail de son Geek.
Le seul problème là dedans, c'est qu'elle n'aurait pas pu installer ça toute seule. Slackware c'est génial, mais pour créer un Desktop complet et efficace, il faut quand même mettre un peu les mains dans le camboui. On me souffle à l'oreille que Mandrake c'est fait pour ça.
Tout ça pour en venir au fait que pour savoir si GNU/Linux est prêt pour le Desktop, le meilleur moyen (à mon humble avis) c'est de le confronter à des utilisateurs finaux. Pas en pinaillant sur des détails qui n'interressent pas ou peu ces derniers.