IE6 est mort. Bon débarras. Malheureusement, il y a webkit pour lui succéder. Non pas que webkit soit mauvais, bien au contraire il est très bon, en plus il est libre...

Mais la pratique consistant à faire des tests de User Agent est encore, hélas, très répandue. Il faut cesser cela. Ajoutez à cela l'utilisation massive des sélecteurs CSS préfixés par -webkit-*, comme les préfixes -moz-*, -o-* et -ms-*. Cela n'est pas prêt de disparaître. C'est même sur le point de se généraliser. Ceux-ci sont pourtant bel et bien documentés comme à destination de tests. Cela est bien évidemment à proscrire.

Le problème se pose massivement sur les navigateurs mobiles, où webkit domine très largement, car il est le navigateur par défaut des appareils iOS et Android. Daniel Glazman, co-chairman du CSS Working Group, a donc lancé un appel, avec l'appui du CSS Working Group.

Développeurs web de tous pays, unissez-vous : ne reproduisez pas les erreurs du passé !

Big Blue Button est une plateforme libre (Licence LGPL) de conférence web. Elle contient de nombreux outils utiles pour une utilisation en entreprise et pour le monde de la formation et de l'éducation :

• vidéo conférence ;
• audio conférence ;
• affichage de bureau à distance (à ne pas confondre avec une prise en main distante) ;
• affichage de documents bureautique (MS Office, PDF, images...) ;
• tableau blanc ;
• discussion instantanée.

C'est un outil complet en la matière mais qui a la particularité de pouvoir s'intégrer à un système existant :

• Drupal ;
• intégrations personnalisées avec l'API ;
• Moodle ;
• Wordpress ;
• ...

La liste des composants est longue, pour faire vite :

• Asterisk ;
• Flex SDK (Adobe) ;
• MySQL ;
• NGinx ;
• Red 5 ;
• Tomcat.

Pour tester, vous pouvez commencer par la démo en ligne, puis télécharger la machine virtuelle sous Ubuntu (voir sur Google Code).

Bootstrap est une boîte à outils HTML, CSS et JavaScript permettant de créer rapidement et efficacement des applications web. Il vient de sortir en version 2. Il est publié sous licence Apache 2.0. Tous les détails dans la seconde partie de la dépêche.

Opa est une technologie de développement d’applications Web distribuées. C’est un nouveau langage de programmation fortement couplé à une bibliothèque Web standard qui remplit toutes les fonctions : de serveur d’applications Web, à serveur de base de données.

Depuis sa sortie en open source fin juin 2011, le projet Opa ne cesse de grandir. Mais surtout, le build 1056 promu stable depuis le 14 décembre 2011 apporte un changement radical avec le support d'une nouvelle syntaxe, très proche de Javascript. L'occasion de lancer, en plus d'un nouveau site web, un nouveau système de documentation ainsi qu'un forum.

Le Opa Tour présente un aperçu de cette syntaxe, qui répond à une des principales demandes de la communauté Opa. L'autre principal axe du développement est la prise en charge des bases NoSQL existantes, notamment MongoDB.

Car il y a justement de plus en plus de projets open source en Opa, comme pixlpaste, OpaDo, box, opa-chess et autres : Tetris et Pacman HTML5, entre autres.

Movim (My open virtual identity manager) est un logiciel libre sous licence AGPL v3, LGPL v3 et FDL.

Il peut être présenté de différentes manières :

• réseau social libre et décentralisé ;
• client XMPP ;
• interface Web.

Lisez l’entretien avec son développeur principal…

Facebook a tenu sa conférence développeurs, j’ai nommé f8. Le Walled garden, désormais géant de l’informatique avec lequel il faudra longtemps traiter (intimement lié à Microsoft/Skype par son actionnariat et ses partenariats), a présenté quelques nouveautés lors de cette grand‐messe san‐franciscaine. Au menu, changement des profils, musique, vidéo et actualités.

On s’enfonce encore plus loin dans le déni de vie privée, et bien évidemment l’ensemble attaque directement la neutralité du Net.

Une faille de sécurité dans le protocole SSL 3.0 (et inférieur) et TLS 1.0 a été découverte. Ces protocoles garantissent l’accès chiffré aux serveurs Web. Il n’y a donc plus aucun site Web qui est à l’abri d’une attaque « man in the middle ».

Concrètement, l’attaque consiste à injecter du texte connu dans une page Web (via du JavaScript introduit dans une publicité vérolée, par exemple). Après, il suffit d’écouter la conversion (il faut quand même une session de 30 minutes pour l’exploit actuel) pour découvrir la clef AES. L’exploit permet donc de déchiffrer la page, mais aussi les cookies, et donc de s’identifier sur le site visé.

La faille concerne la version 1.0 de TLS et est corrigée dans la version 1.1, sortie en 2006. En outre, OpenSSL propose un contournement depuis 2004 ; il consiste à injecter des données aléatoires dans la transaction. Malheureusement, les navigateurs utilisent principalement NSS plutôt qu’OpenSSL, et même si sur le serveur on peut forcer l’utilisation de TLS 1.1 ou 1.2, très peu de navigateurs Web les supportent, ce qui freine le déploiement sur les serveurs. Actuellement, seuls IE 9 et Opera en sont capables !

Il faut cependant noter que ces failles sont connues depuis longtemps, c’est ce qui avait mené au correctif dans OpenSSL et à la création de TLS 1.1. Mais c’est la première fois qu’une attaque est publiée, validant ces propositions.

Quelques conseils de navigation :

• utiliser l’extension Firefox noscript ;
• actuellement, là où l’attaque pourra faire le plus de dégât, est sur les webmails ou sur les systèmes de paiement tels que Paypal (ben oui, si quelqu’un pirate ma connexion sur LinuxFr.org, ce ne sera pas très grave, car j’utilise différents mots de passe). Privilégiez donc les clients de messagerie électronique comme mutt ou Thunderbird, en désactivant le HTML.

Merci à Altor pour son aide lors de la rédaction de cette dépêche.