Flash d’Adobe à l’agonie

149
1
nov.
2016
Internet

Flash Player et sa technologie sous‐jacente, tous deux développés par la société Adobe, n’en finissent plus d’agoniser. Sommes‐nous en train d’assister aux derniers soubresauts ?

  • Les principaux navigateurs Web réduisent la voilure de l’extension Flash Player, principalement pour des problèmes récurrents de sécurité, de performance et de consommation excessive de batterie. L’introduction d’un blob propriétaire dans les navigateurs est peut‐être aussi une raison pour certains projets, bien que ce point soit rarement mis en avant officiellement.
  • Certaines plates‐formes grand public ne permettent plus l’installation de Flash, parfois depuis des années (Apple iPhone, Microsoft Edge…).
  • L’absence de Flash sur un ordinateur personnel est de moins en moins un problème pour un usage, même intensif, du Web et force est de constater que l’on peut désormais surfer des mois sans Flash sans même s’en rendre compte.
  • Les plates‐formes publicitaires (Google en tête) vont commencer à refuser les publicités Flash.
  • Les clones de Flashplayer et les convertisseurs de Flash vers HTML5 sont abandonnés.

Logo Occupy Flash

Dans la première partie de cette dépêche, nous présenterons Flash et reviendrons plus en détail sur son histoire, son apogée, ses concurrents, puis sa chute vers l’oubli.
La seconde partie nous permettra de détailler les technologies du moment, afin de donner quelques pointeurs aux développeurs et designers Web souhaitant se mettre au goût du jour.

Divulgation prématurée : ladite relève se constitue essentiellement de standards, promus par l’ensemble des acteurs du Web !

En route pour HTTP/2.0

86
24
mai
2012
Technologie

HTTP est devenu au cours des dernières années le protocole à tout faire. Au départ prévu pour servir de l'information structurée par lien hypertexte, il est aujourd'hui utilisé pour tout et n'importe quoi. Cette évolution ne va pas sans poser de problèmes. C'est pourquoi sous l'égide de l'IETF un groupe de travail httpbis s'est mis en place.

Logo IETF

Une nouvelle mouture du protocole tarte à la crèmeHTTP est donc en route. Faisons un petit tour de son histoire et des projets en cours, avant d'écouter ce qu'à a nous en dire Willy Tarreau qui s'est particulièrement investi dans le groupe de travail httpbis.

NdM : Merci à Nÿco, Florent Zara, patrick_g, Raoul Volfoni, baud123, warwick, Nils Ratusznik, NeoX, zebra3 et Benoît pour leur contributions à cette dépêche.

Journal Écrire une page web de nos jours

Posté par (page perso) .
75
7
déc.
2012

Sommaire

Initialement je devais écrire le (...)

Protéger sa vie privée sur le Web, exemple avec Firefox

74
26
fév.
2018
Internet

Un internaute peut penser que sa navigation sur le Web est noyée dans la masse, et que personne ne s’intéresse à la pister, puisqu’elle n’a pas d’importance particulière. C’est le genre de réponse que l’on peut entendre autour de soi quand on tente de sensibiliser au pistage. Ces assertions ne sont malheureusement pas valables. Bien au contraire, le comportement des internautes intéresse beaucoup les grandes sociétés : beaucoup fondent leur modèle économique^W de fonctionnement dessus, pour refourguer de la publicité au passage qui est leur vrai client payant (vu que c’est gratuit en utilisateur, tu es le produit :/).

À partir des données recueillies, des techniques de manipulation sont appliquées aux internautes comme le datamining, le neuromarketing, le biais cognitif, etc. Ces techniques ont atteint une telle maturité et efficacité qu’il est impossible de ne pas en être victime. Il ne se passe pas une semaine sans que de nouveaux articles paraissent sur de nouvelles techniques. Même être conscient de l’existence de ces biais ne permet pas de s’en protéger directement. Tout cela est l’objet d’une marchandisation monstre dans lequel nous sommes tous plus ou moins victimes. Cet article vise à sensibiliser le lecteur et à proposer des solutions efficaces afin qu’il puisse préserver sa vie privée, son autonomie, son libre arbitre, sa liberté et son indépendance, ou simplement ne pas se faire polluer de pub clignotant à foison sur chaque page consultée.

Firefox 4 est sorti

Posté par (page perso) . Modéré par j. Licence CC by-sa.
74
22
mar.
2011
Mozilla

Après plus d’un an d’attente, 12 versions bêta, et 2 versions candidates, Firefox 4 est enfin sorti ce 22 mars. Les principales nouveautés sont Gecko 2.0 (le moteur de rendu), un moteur JavaScript plus rapide comprenant JägerMonkey, un compilateur JIT (en plus de TraceMonkey, l’optimiseur de boucles présent dans Firefox 3.6), ainsi que l’accélération 3D matérielle et une interface utilisateur revue.

Cette sortie marque aussi une volonté de changement dans les cycles de sortie, en voulant les rendre plus courts. Il faudra voir si ce vœu est respecté. Le protocole Websocket est le grand absent de cette version ; il a été désactivé car, comme les sockets Flash et Java, les websockets peuvent simuler du HTTP et ainsi empoisonner le cache de certains serveurs mandataires (proxies) configurés pour intercepter les requêtes HTTP sans la collaboration des clients.

Pour rappel, Firefox est disponible sous les licences GPL 2, LGPL 2.1 et MPL 1.1.

Merci à esa, Chimrod, Obsidian, ymorin, gnumdk et barmic pour leur aide lors de la rédaction.

Sortie de PHP 7.0 - un nouveau départ

67
8
déc.
2015
PHP

La version 7.0 de PHP a été annoncée ce jeudi 3 décembre 2015. Elle améliore très significativement les performances, ajoute de nouvelles fonctionnalités et fait un ménage conséquent. Le pari d'une modernisation complète de ce langage phare du développement web est-il réussi après deux années complètes de développement ? Début de réponse dans cette dépêche.

Servo fin 2015 : où en est-on ?

60
28
sept.
2015
Technologie

Servo, le moteur de rendu de page web moderne, parallèle et sûr développé en langage Rust, continue d’avancer à grands pas !

Rappel ou information, Servo, publié sous licence MPL 2.0, est développé sur OS X, GNU/Linux, Android, et Firefox OS.

Servo

Appel pour le web ouvert !

Posté par (page perso) . Édité par baud123, Nils Ratusznik et B16F4RV4RD1N. Modéré par NeoX. Licence CC by-sa.
Tags :
58
9
fév.
2012
Internet

IE6 est mort. Bon débarras. Malheureusement, il y a webkit pour lui succéder. Non pas que webkit soit mauvais, bien au contraire il est très bon, en plus il est libre...

Mais la pratique consistant à faire des tests de User Agent est encore, hélas, très répandue. Il faut cesser cela. Ajoutez à cela l'utilisation massive des sélecteurs CSS préfixés par -webkit-*, comme les préfixes -moz-*, -o-* et -ms-*. Cela n'est pas prêt de disparaître. C'est même sur le point de se généraliser. Ceux-ci sont pourtant bel et bien documentés comme à destination de tests. Cela est bien évidemment à proscrire.

Le problème se pose massivement sur les navigateurs mobiles, où webkit domine très largement, car il est le navigateur par défaut des appareils iOS et Android. Daniel Glazman, co-chairman du CSS Working Group, a donc lancé un appel, avec l'appui du CSS Working Group.

Développeurs web de tous pays, unissez-vous : ne reproduisez pas les erreurs du passé !

Movim 0.9 - Tchouri

55
26
jan.
2016
XMPP

Après un an et trois mois d’attente, voici enfin la nouvelle version de Movim. Avant de rentrer dans le vif du sujet, quelques rappels concernant le projet.

L’architecture de Movim est unique en son genre, c’est à la fois un client XMPP pouvant gérer plusieurs sessions simultanées mais également une application web déployable sur un serveur et accessible au sein des navigateurs et sur les mobiles.

Movim logo

Même s’il est défini en tant que réseau social, il faut plutôt le voir comme un nouvel outil, mêlant fonctionnalités sociales et de messagerie instantanée, le tout reposant sur le standard de messagerie XMPP.

À vrai dire Movim n’est pas vraiment un réseau en lui-même (par rapport à Facebook, Diaspora ou WhatsApp). L’un des buts du projet est, au contraire, de démontrer qu’il est parfaitement possible d’utiliser un protocole unique de communication créant par lui-même un réseau de communication, tout en laissant le choix aux utilisateurs et administrateurs d’utiliser les outils (clients ou serveurs) qu’ils souhaitent pour accéder à celui-ci.

Même si le numéro de version n’est pas majeur, la 0.9 du projet est un véritable bond en avant, tant sur les plans architecturaux, fonctionnels que visuels. Le cœur du projet a atteint sa maturité et permet désormais aux contributeurs de développer et compléter rapidement les fonctionnalités manquantes.

G’MIC Online, le traitement d’image en ligne

54
15
oct.
2012
Audiovisuel

Le GREYC, laboratoire de recherche en informatique, image, automatique et instrumentation du CNRS situé à Caen, a mis en ligne un service Web (Web service) basé sur le logiciel libre G’MIC (GREYC’s Magic Image Converter, développé dans ce même laboratoire) permettant d’appliquer des filtres/effets sur des images, directement à partir d’un navigateur Web.

Mascotte Gmicky

C’est à l’occasion de la sortie de la nouvelle version majeure 1.5.2.0 de G’MIC que cette interface Web a été mise en place. Elle reprend les principaux éléments du greffon G’MIC pour GIMP : un arbre des filtres disponibles (+ de 200 actuellement), une fenêtre de prévisualisation de l’effet sélectionné et un panneau de réglage des paramètres.

Des détails sur ce service et sur les nouveautés du projet G’MIC, dans la deuxième partie de la dépêche.

Journal Funkwhale, un serveur de musique libre, moderne et convivial, qui recherche des contributeurs

52
21
mar.
2018

Je viens de publier la version 0.7 de funkwhale, et je me suis dis que c'était l'occasion de présenter le projet un peu plus largement.

Liens utiles

Funkwhale, c'est quoi ?

On parle d'un serveur de musique sous licence libre (BSD-3, il n'est pas impossible que ça bouge), fortement inspiré de l'expérience proposée par le désormais défunt Grooveshark.com.

L'idée principale, c'est de pouvoir mettre sa bibliothèque musicale en ligne (...)

Journal SSL ...

50
24
mar.
2011

Chaque fois qu'on parle de sécurité sur le Web, voir sur Internet, SSL est très souvent la réponse. Ce protocole permet de sécurisé les communications avec des algorithmes de chiffrement évolués que je ne peux contester, je n'en ai pas les connaissances.

Par contre ce que je peux contester, c'est l'architecture basée sur un tiers de confiance. En effet, le SSL repose sur une entité en qui on doit la pleine et entière confiance afin de transmettre nos messages (...)

Journal Qui traite des autorités SSL WoSign, Startcom et du peu de professionnalisme qui a causé leur perte

50
27
sept.
2016

Chers lectrices, lecteurs, auditrices et auditeurs pour les éventuel(le)s aveugles et autres malvoyant(e)s qui utilisent un lecteur d’écran,



Je souhaite aujourd’hui vous parler de ce que vient d’annoncer Mozilla (en anglais et avec JavaScript, cookies et tout le bataclan, disponible ici en PDF ou en PNG pour les réfractaires à l’overkill) au sujet de Starcom et WoSign.

Pour ceux qui ignoreraient l’identité de ces deux organismes, Startcom est une autorité de certification SSL (...)

Firefox 30 glorieuses

49
12
juin
2014
Mozilla

Firefox 30 est sorti !

Après une version 29 riche en changements, la version 30 est plus calme pour la version bureau. La version mobile (Android) voit ses fonctionnalités d'accueil améliorées.

Faille dans SSL 3.0 et TLS 1.0

Posté par (page perso) . Modéré par patrick_g. Licence CC by-sa.
49
25
sept.
2011
Sécurité

Une faille de sécurité dans le protocole SSL 3.0 (et inférieur) et TLS 1.0 a été découverte. Ces protocoles garantissent l’accès chiffré aux serveurs Web. Il n’y a donc plus aucun site Web qui est à l’abri d’une attaque « man in the middle ».

Concrètement, l’attaque consiste à injecter du texte connu dans une page Web (via du JavaScript introduit dans une publicité vérolée, par exemple). Après, il suffit d’écouter la conversion (il faut quand même une session de 30 minutes pour l’exploit actuel) pour découvrir la clef AES. L’exploit permet donc de déchiffrer la page, mais aussi les cookies, et donc de s’identifier sur le site visé.

La faille concerne la version 1.0 de TLS et est corrigée dans la version 1.1, sortie en 2006. En outre, OpenSSL propose un contournement depuis 2004 ; il consiste à injecter des données aléatoires dans la transaction. Malheureusement, les navigateurs utilisent principalement NSS plutôt qu’OpenSSL, et même si sur le serveur on peut forcer l’utilisation de TLS 1.1 ou 1.2, très peu de navigateurs Web les supportent, ce qui freine le déploiement sur les serveurs. Actuellement, seuls IE 9 et Opera en sont capables !

Il faut cependant noter que ces failles sont connues depuis longtemps, c’est ce qui avait mené au correctif dans OpenSSL et à la création de TLS 1.1. Mais c’est la première fois qu’une attaque est publiée, validant ces propositions.

Quelques conseils de navigation :

  • utiliser l’extension Firefox noscript ;
  • actuellement, là où l’attaque pourra faire le plus de dégât, est sur les webmails ou sur les systèmes de paiement tels que Paypal (ben oui, si quelqu’un pirate ma connexion sur LinuxFr.org, ce ne sera pas très grave, car j’utilise différents mots de passe). Privilégiez donc les clients de messagerie électronique comme mutt ou Thunderbird, en désactivant le HTML.

Merci à Altor pour son aide lors de la rédaction de cette dépêche.