Vicent Martí, aka tanoku, est un des développeurs de github qui aime bien coder en C. Ce n'est donc pas très étonnant de trouver sur son compte github des bibliothèques en C pouvant servir au développement d'applications web. Je souhaite en particulier vous évoquer de trois bibliothèques sous licence ISC :

Crustache est une implémentation en C de Mustache, un moteur de templating. Des bindings pour Ruby sont également disponibles dans le dépôt git.

Houdini permet d'échapper des chaînes de caractères en UTF-8 pour le web. Et de faire l'inverse. Les trois types d'échappement sont :

• convertir &, ", ', <, > et / en leur entité HTML correspondante (conformément à la recommandation de l'OWASP) ;
• échappement des URI respectant la RFC ;
• et échappement des URL (la différence avec l'échappement des URI est le remplacement des espaces par des +).

Et enfin, Sundown est un fork de libupskirt. Il permet de convertir du texte en Markdown vers du HTML. Nous utilisons Redcarpet, les bindings Ruby autour de Sundown, pour LinuxFr.org du fait de ses performances et de ses nombreuses options.

Je vous propose ci-dessous une traduction de ce poignant témoignage sur la genèse de Linux, par Lars Wirzenius.
Lars, camarade d'université de Linus, pose ici un œil très rafraichissant sur la personnalité de Linus, et la manière dont cette personnalité lui a permis de réaliser son noyau.

Bon, j'arrête d'essayer d'écrire et vous laisse découvrir l'article en question.

Ah oui, une dernière chose quand même : merci à tous les contributeurs qui ont participé à cette traduction.

Pour télécharger les sources du noyau Linux il faut aller sur kernel.org. C'est là que sont rassemblés les archives des différentes versions et c'est là que se trouvent les différentes branches git de nombreux développeurs.

Les responsables du site viennent d'annoncer (voir la partie news en bas de la page) que le serveur Hera avait été compromis, et ce au moins depuis le 28 août. Le pirate a modifié les binaires SSH du système et il a ajouté un cheval de Troie dans les scripts de démarrage.
Bien évidemment les administrateurs ont immédiatement isolé la machine et sont en train de tout passer au peigne fin pour comprendre l'origine de la compromission et pour évaluer les dégâts. Il faudra au minimum que les centaines de développeurs utilisant directement kernel.org changent leur clé SSH et que les tarballs disponibles soient régénérés (puisqu'elles ont été signées avec une clé présente sur le serveur compromis).

En revanche il n'y a, à priori, pas d'inquiétude à avoir en ce qui concerne les sources du noyau. La conception même de git, avec les sommes de hachage SHA-1 calculées pour chaque commit et chaque fichier source, empêche d'implanter une backdoor. Celui qui tenterait cela serait immédiatement détecté puisque les centaines de développeurs du noyau qui ont une copie git des sources recevraient alors une alerte au premier commit.

Jonathan Corbet, éditeur du site LWN, a rapidement publié un article sur le site linux.com pour expliquer ce fait et pour couper court aux articles catastrophistes que les journalistes n'allaient pas manquer de publier.
L'état de la presse étant ce qu'il est, nous savons tous que cet article de Jonathan n'empêchera pas les gens de dire n'importe quoi….

Le code source de la version 2.0 de Vulture est disponible, sous licence GPL v2. Vulture est une solution Web-SSO basée sur une technologie de proxy inverse implémentée sur le socle Apache. Vulture implémente également des fonctionnalités de firewall applicatif.

Nouvautés

Les principaux changements par rapport à la version 1.99 sont :

• le passage à Django pour l’interface d’administration ;
• le passage à SQLite3 ;
• le découpage du code Perl suivant l’API Apache, ce qui améliore la lisibilité du code ;
• le passage à ModSecurity 2.6.1 :
  • Support du moteur de détection par scoring ;
  • Embryon de gestion des politiques depuis l’interface ;
  • Mise à jour des règles ModSecurity.org depuis l’interface.

Il s’agit encore d’une version beta, quelques bugs subsistent, mais l’essentiel pour commencer à tester est là… avis aux amateurs ! Pour récupérer le code : svn checkout http://vulture.googlecode.com/svn/trunk/ vulture-read-only

Pour une plus grande démocratie directe des données en Suisse

Après avoir lancé le débat dans les médias et les milieux politiques, il est temps que le libre accès aux données publiques (Open Government Data) devienne en Suisse une réalité. Le 30 septembre et le 1er octobre 2011 se tiendra à Lausanne et à Zurich le premier campus « make.opendata.ch ». En utilisant les outils informatiques et les données publiques déjà disponibles, designers, développeurs et journalistes explorerons les potentialités offertes par l’utilisation nouvelle et innovante des données publiques. En effet ces données statistiques, géographiques, économiques, etc. peuvent être retravaillées, croisées entre elles et visualisées d'une manière nouvelle pour ainsi donner naissance à de nouveaux services tout en favorisant la transparence de l'action publique.

C'est l'histoire d'une personne qui reçoit un gros document papier, contenant une clé USB en forme de clé de porte (voir la photo en seconde partie de la dépêche). On se dit que la clé USB doit contenir la version numérique du document papier, et on branche négligemment l'objet sur son ordinateur.

Une fois branchée sous Windows, la clé ouvre la fenêtre Exécuter avec le raccourci clavier [Touche windows+R], tape une adresse HTTP de site web et confirme la demande. On se retrouve avec un navigateur (disons Internet Explorer par défaut sous Windows) qui ouvre un site distant inconnu. En l'occurrence la clé pointe vers le site du vendeur de ce gadget (l'adresse était en erreur la première fois que je l'ai branchée…), qui lui-même pointe vers le site désiré par l'acheteur de cet objet promotionnel.

Ruby on Rails est un framework de développement web agile, sous licence MIT. Après 8 releases candidates, la version 3.1.0 est sortie aujourd'hui.

Les nouveautés sont nombreuses mais les plus importantes sont :

• jQuery est devenu le framework javascript par défaut (à la place de Prototype) ;
• L'Asset Pipeline permet de gérer la compilation, la minification et la gestion des dépendances pour les feuilles de style et le fichiers javascript ;
• Sass et CoffeeScript sont maintenant proposés par défaut ;
• Les migrations SQL ont été revues (plus simples à écrire mais également plus de possibilités offertes) ;
• Les réponses peuvent être envoyées en plusieurs morceaux (HTTP streaming), ce qui peut être utilisé pour optimiser le temps de chargement des pages ;
• La documentation de l'API utilise maintenant SDoc.

Note : il est prévu que LinuxFr.org passe rapidement à cette version.

Dr. Geo 11.08 est un environnement pour enseigner et apprendre la programmation dans un contexte de géométrie euclidienne interactive, de l’école primaire au lycée.

Cette version 11.08 propose une accélération du rendu, des correctifs et des améliorations sur l'ergonomie : utilisation avec tablette, sélection graphique de figures à ouvrir, etc.

L'Association Gard-Linux organise sa réunion de rentrée -ouverte à tous- ce mardi 6 septembre 2011 à 19h. Au menu: Linux et les Logiciels libres.

Le lieu : Épicerie Crocobio, 18, rue des PLATANETTES, NÎMES
Le repas est possible (prix modique) mais non obligatoire.

(Route d’Arles : portail blanc qui fait l’angle entre la route d’Arles et la rue des Platanettes ; ne pas s’engager dans la rue des Platanettes, c’est juste en face de la station service. Au fond du parking.)

Pour vous renseigner :

• site web de l'asociation: http://www.gard-linux.org Pour vous inscrire:
• par mail: gardlinux@gmail.com
• et pour le repas, directement auprès de crocobio: http://crocobio30.canalblog.com/

Venez nombreux nous retrouver en ce début d'année (scolaire), pour discuter dans la bonne humeur de nos activités pour l'année 2011-2012.

Moins de dix mois après la sortie de sa dernière version stable, l'entreprise 10gen a sorti la nouvelle mouture de sa base de données : MongoDB 2.0. Cette version ne propose rien de révolutionnaire, mais apporte tout de même un certain nombre de fonctionnalités appréciables. On retrouvera notamment :

• la journalisation activée par défaut ;
• l'amélioration de l'efficacité spatiale et temporelle des index ;
• la gestion plus fine des priorités pour la réplication ;
• et la datacenter awereness de certaines opérations.

N. D. M. : MongoDB est publiée sous licence AGPL v3.0.

N. D. M. : la version 2.0 de MongoDB n'est encore qu'en release candidate.

Apprendre un langage

Si vous souhaitez apprendre un langage de programmation, deux livres au format électronique peuvent vous aider : Learning Go et Smooth CoffeeScript, qui parlent respectivement — vous l’aurez deviné — des langages Go et CoffeeScript. Ils sont tous deux sous une licence Creative Commons (CC by-nc-sa pour le premier et CC by pour le second) et bien écrits.

Le gestionnaire de fenêtres nwm

Dans le cadre de la compétition Node.js Knockout, le projet nwm est apparu. Il s’agit d’un gestionnaire de fenêtres sous Node.js qui utilise la libev pour communiquer avec X11. Le projet est encore très instable, mais mérite un petit clin d’œil.

Cloud Foundry

Cloud Foundry est une solution de « Platform as a Service » (PaaS) libre développée par VMware. Elle rencontre un certain succès, et des partenariats se sont montés :

• la partie cliente et la partie serveur de Cloud Foundry sont empaquetées dans la prochaine version d’Ubuntu, et il semblerait que Canonical ne souhaite pas en rester là ;
• VMware travaille avec Dell pour intégrer Cloud Foundry à Crowbar, l’outil d’installation de nuages de Dell ;
• Opscode a écrit des recettes du chef pour déployer simplement Cloud Foundry.

La prochaine conférence internationale sur LDAP aura lieu les 10 et 11 octobre 2011 à Heildelberg en Allemagne.

C'est la troisième édition de cette conférence, la première ayant eu lieu en 2007 à Cologne (Allemagne) et la seconde en 2009 à Portland (États-Unis).

Cette conférence permet aux principaux acteurs du secteur de venir présenter leurs réflexions sur le standard LDAP et les évolutions des applicatifs (serveur LDAP, outils d'administration, etc.). L'entrée est payante (520 € pour les deux jours), mais les étudiants peuvent faire une demande pour obtenir des tarifs préférentiels.

Bien que les conférences soient en anglais, on notera la présence de nombreux intervenants francophones, membres des communautés ApacheDS, OpenDJ, LSC ou encore LemonLDAP::NG.

Le 7 août 2011 est paru le liveDVD Gentoo 11.2. Son nom de code est « The future is now ». Cette dépêche est en partie traduite de l'annonce officielle. Ce LiveDVD vous permettra de découvrir Gentoo et de bénéficier d'un environnement propice à l'installation en suivant le « Handbook »

Un peu d'histoire.

Gentoo Linux est la distribution source la plus connue et fait partie des incontournables, et ce depuis plusieurs années maintenant. Nombreux sont ceux qui en ont au moins entendu parler. Certains l'ont essayé, d'autres définitivement adopté. Elle nourrit de nombreux trolls sur la vitesse supposée apportée par l'optimisation des packages à la plate-forme sur laquelle elle est compilée.

La première parution de Gentoo date du 31 mars 2002. Daniel Robbins, en créant tout d'abord Enoch, voulait une distribution qui soit adaptée au matériel et qui serait compilée directement sur le système cible. Son système de gestion de package, Portage, est très largement inspiré des ports bien connus de nos amis de FreeBSD. Les USE Flags permettent de définir dynamiquement les dépendances à la compilation. Des profils existent, proposant une collection de USE Flags par défaut en fonction du type de machine que l'on veut. Elle peut aussi bien s'adapter à un serveur qu'à une station Real-Time pour la MAO.

Elle fait partie des distributions fonctionnant sur le plus grand nombre d'architectures matérielles différentes, faisant presque jeu égal avec Debian.

Ses particularités sont, outre le système de USE Flags, un système d'init, compatible System V mais utilisant des « soft runlevels » nommés. L'utilisateur est libre de créer ses propres runlevels permettant, par exemple, d'éteindre certains services lors du débranchement du câble d'alimentation d'un portable.

Sa riche documentation accompagne aussi bien le débutant que le confirmé et la communauté reste toujours active, que ce soit au sein du Gentoo Wiki (Wiki non-officiel mais regroupant foule de tutoriels et trucs et astuces) qu'au sein des Overlays, dépôts de programmes alternatifs attendant d'intégrer l'arbre officiel ou restant pour toujours en dehors. Les forums débordent d'informations utiles et parfois trollesques, mais on y est toujours bien accueilli pourvu que l'on ait un peu lu la documentation auparavant.

On compte quelques distributions dérivées, les plus connues étant Funtoo — animée par Daniel Robbins —, Sabayon — qui propose des paquets pré-compilés — et enfin, le SystemRescueCD bien connu par nombre d'entre vous ici.

Téléchargement

Le LiveDVD existe en deux saveurs :

• une version hybride x86/x86_64 qui fonctionnera sur les processeurs 32 ou 64 bits (choix du kernel au démarrage) ;
• une version x86_64 multilib qui ne fonctionnera qu'en 64 bits, mais permettra de compiler des applications 32 bits (Wine par exemple).

L'Electronic Frontier Foundation (EFF), qui défend la liberté d'expression sur Internet, a publié hier un article concernant l'attaque Man-in-the-middle contre les utilisateurs de Google en Iran, qui a eu lieu en douce pendant deux mois.

Une nouvelle fois, la vulnérabilité des systèmes de chiffrement sur le web basés sur des autorités de certification est mis en lumière : encore une fois l'attaquant a obtenu un certificat frauduleux d'une autorité (cette fois-ci DigiNotar). L'attaque a été détectée via le navigateur Google Chrome car celui-ci embarque en dur des vérifications pour les certificats de Google.

Pour mémoire je vous rappelle les deux entrées dans l'aide du site LinuxFr.org concernant le certificat SSL/TLS de LinuxFr.org et alertes dans les navigateurs et la réponse à la question Pourquoi ne prenez pas un certificat SSL/TLS gratuit ou payant de chez Machin qui est par défaut dans un navigateur ? Ce dernier lien comporte notamment des pointeurs vers des affaires précédentes autour des certificats SSL/TLS et des autorités de confiance (Comodo, Microsoft et Tunisie, Defcon 2010, CCC 2010, Verisign 2003/2004).

Miro est un logiciel libre et multi‐plate‐forme pour Linux, Mac et l’autre. C’est un gestionnaire de vidéos et de musique, développé par la Participatory Culture Foundation (PCF), organisation à but non-lucratif.

Miro lit vos fichiers locaux ou distants (sites Web, torrent), permet de partager les médias entre ordinateurs ou de synchroniser avec les smartphones et tablettes, de convertir formats et codecs, et permet également d’acheter en ligne sur de multiples magasins.

Les raisons pour lesquelles Miro est mieux que iTunes :

• fonctionne avec votre bibliothèque actuelle ;
• convertit les musiques et vidéos ;
• synchronise avec Android ;
• permet d’acheter de la musique et des applications dans Miro ;
• télécharge et joue presque toutes les vidéos ;
• partage vos médias sur le réseau ;
• est libre/open source ;
• télécharge des torrents.

Miro peut donc tout à fait remplacer iTunes, sauf pour les personnes qui sont obligées de l’installer pour activer un iPhone et en faire la sauvegarde.