Tout ça est présent dans Symfony 1; et Symfony a été le premier le faire pour une partie d'entre eux.
> Pas un mot sur la sécurité. C'est vrai, c'est un détail pour faire des applications web.
Pour les injections SQL, tout passe par Doctrine (ORM), on tape pas de requête à la main, donc pas de problème de ce côté là.
Pour les injections de javascript, le moteur de rendu par défaut "wrap" toutes les variables de template de façon à les échapper. Pour afficher quelque chose sans l'échapper il faut le faire explicitement.
Pour les CSRF, il y a ce qu'il faut pour générer des tokens uniques et les vérifier pour les formulaires.
Etc. Je pense que Symfony est très bien placé de ce côté là.
Avec mmap_min_addr, non c'est pas tout, puisque ça rend le mapping impossible :)
Je pense qu'il fait référence à la façon dont l'exploit passe outre le mmap_min_addr. Il faut réunir beaucoup de conditions pour que ça soit possible.
AMHA le terminal de paiement est capable de sortir le nom du porteur de la carte au moment du paiement (parce que le nom est dans la puce, ou parce que la banque le balance à un moment où à un autre pendant le paiement). Peut être même bien que c'est noté dans les journaux du terminal.
Et quid des tickets ? Ne sont-ils pas aussi facilement traçables qu'un passe lorsqu'ils sont payés avec une carte (un ticket, ça doit bien avoir un numéro, qui est vérifié par les portiques, etc).
Mais à côté de ça Canal c’est un peu le modèle à ne pas suivre. Notamment Canal Play. Le site parle de lui même, http://www.canalplay.com/aide/test-de-configuration-vod.aspx , Windows+Windows Media Player+Internet Explorer obligatoires, le tout rendu inutilisable par une couche de DRM.
Comme toujours avec les DRM, le résultat est que c’est plus facile de télécharger illégalement que de télécharger légalement.
Pour le moment ça suis les chiffres des années précédentes, toutes grippes confondues (grippe A + saisonnière). Donc si on considère séparément grippe A et saisonnière, c’est pas très impressionnant.
> dixit mon médecin [...] le second pic épidémique a été plus "violent" en Amérique du Nord.
Ton médecin te fais payer pour te vacciner, il a tout intérêt à te convaincre de le faire. D’après Google, il n’y a pas eu du tout de second pic en Amérique du nord.
Je me trompe peut être, mais il me semble que les permissions sont séparées en "Créer un topic" et "Poster un message"; l'utilisateur ayant la première et pas l'autre peut créer un topic mais pas y répondre.
Regarde le contenu du error_log, et réessais en mettant un RewriteBase dans la configuration (les RewriteRule sans RewriteBase ça marche pas pareil suivant le contexte, selon si la directive est dans un Directory ou un VirtualHost, si il y a des alias, le mod_userdir, etc.)
Ça dépend du Makefile, mais la plupart du temps il faut définir ces variables au moment du "./configure" (par exemple "CPPFLAGS=-I... ./configure"). Il peut aussi y avoir une option --with-libtoto, à laquelle tu peux passer le prefix de la libtoto : ./configure --with-libtoto=/home/moi/toto.
Je confirme que ça marche avec python 2.5 avec la modification de koxinga :) (du coup ça marche sous Debian testing avec uniquement des paquets Debian.)
Normalement les deux versions de python peuvent cohabiter (les paquets python2.5 et python2.6 peuvent être installés en même temps); il suffit ensuite d'appeler python2.5 ou python2.6 (/usr/bin/python est un lien symbolique).
Pour ceux qui veulent tester sous Debian, le paquet pour Ubuntu peut être utilisé. Par contre il faut installer python 2.6 et quelques paquets de Ubuntu qui ne sont pas encore 2.6-compatible dans Debian : python-gtk2 , python-cairo, python-gobject, python-gst qui peuvent être téléchargés ici: http://packages.ubuntu.com/fr/karmic/NOM_DU_PAQUET (tout en bas). Après ça il faut lancer perroquet comme ça : "python2.6 /usr/bin/perroquet"
La 3G (UMTS) n'a pas les mêmes problèmes je crois, mais est-ce que les téléphones récents font tout passer par la 3G ? Ça ressemblerait à un plan B déjà en cours de déploiement :)
Plus sérieusement, ça dépend de la population du site. w3schools c’est un site qui attire plus les amateurs d'informatique, donc il y a plus de Linux. Et même parmi les informaticiens, le w3c, ça représente pas l'amateur d'informatique moyen.
Je pense que les chiffres de xiti sont un peu plus représentatifs de l'internaute moyen.
Il y a des chances pour que les .deb et .rpm en question dépendent d'une version précise d'une glibc ou d'une autre lib, et qu'ils ne puissent être installés que sur une version précise d'une distrib précise : e.g. redhat stable et debian stable only (donc pas d'autres versions et pas de mandriva, ubuntu, ...).
Ça a quelques défauts quand même suivant l'utilisation. Par exemple il faut attribuer la taille d'un snapshot à l'avance, et quand ça dépasse c'est toujours embêtant de voir que le snapshot a été désactivé et qu'il ne peux plus être lu.
C’est bien pour faire des backups consistents à partir d'un snapshot (faire un snapshot, copier son contenu, supprimer le snapshot). Par contre c'est totalement inutilisable pour y faire des backups incrémentaux (1. stocker un backup dans un volume, 2. snapshoter le volume, 3. goto 1).
À mon avis tu as une tache cron qui se lance toutes les minutes, et qui de temps en temps dure plus d'une minute. Donc les processus de cette tache s'accumulent, consomment toute la mémoire, ça swap, et ça ne répond plus. La tache cron doit venir de ton panel, et la durée de plus d'une minute doit être causée par des accès disques particulièrement lents sur un RPS à certaines heures.
Le cache de requêtes a pas mal de problèmes: lock contention assez important (il doit y avoir un verrou global interdisant plus d’un accès à la fois), fragmentation de la mémoire, etc.
Et la mise à jour d’une seule ligne d’une seule table invalide le cache de toutes les requêtes qui touchent un peu à cette table.
Du coup il n’est pas si efficace que ça et comme le problème d’invalidation est difficilement évitable on peut considérer que l’application sera en mesure de gérer le cache beaucoup mieux de son côté.
À un moment il était prévu de réintroduire quelque chose ressemblant à un cache de requêtes sous forme de greffon aussi, mais je ne sais pas si c’est toujours d’actualité.
J'ai l'impression que ça concerne une très grande majorité de sites / services en ligne. Il suffit de regarder http://www.alexa.com/topsites pour s'en rendre compte. La publicité est le seul revenu de beaucoup de ces sites. Et il n'y a pas beaucoup de sites de presse là dedans.
[^] # Re: Ou le vilain, il a oublié Symfony 2 :)
Posté par __o . En réponse à la dépêche Les technos web cools du moment. Évalué à 5.
Tu utilises le moteur que tu veux.
> Les outils décrits sur http://symfony-reloaded.org/tools doivent être intégrés à Django ou Rails depuis au moins 5 ans.
Tout ça est présent dans Symfony 1; et Symfony a été le premier le faire pour une partie d'entre eux.
> Pas un mot sur la sécurité. C'est vrai, c'est un détail pour faire des applications web.
Pour les injections SQL, tout passe par Doctrine (ORM), on tape pas de requête à la main, donc pas de problème de ce côté là.
Pour les injections de javascript, le moteur de rendu par défaut "wrap" toutes les variables de template de façon à les échapper. Pour afficher quelque chose sans l'échapper il faut le faire explicitement.
Pour les CSRF, il y a ce qu'il faut pour générer des tokens uniques et les vérifier pour les formulaires.
Etc. Je pense que Symfony est très bien placé de ce côté là.
# sudo titre
Posté par __o . En réponse au message Problème de mise en place d'un réseau ad-hoc. Évalué à 0.
sudo :-)
sudo .
[^] # Re: Précisions
Posté par __o . En réponse au journal Un autre type de faille locale. Évalué à 1.
Avec mmap_min_addr, non c'est pas tout, puisque ça rend le mapping impossible :)
Je pense qu'il fait référence à la façon dont l'exploit passe outre le mmap_min_addr. Il faut réunir beaucoup de conditions pour que ça soit possible.
[^] # Re: Faisez gaffe
Posté par __o . En réponse au journal De l'incohérence des pro-anonymat. Évalué à 1.
Et quid des tickets ? Ne sont-ils pas aussi facilement traçables qu'un passe lorsqu'ils sont payés avec une carte (un ticket, ça doit bien avoir un numéro, qui est vérifié par les portiques, etc).
[^] # Re: blitzen
Posté par __o . En réponse au journal HipHop For PHP : Facebook php-to-C++ translator. Évalué à 7.
Ils ont gagné 50% sur une plateforme sur laquelle ils utilisaient déjà un cache d'opcode.
[^] # Re: Commande obsolète
Posté par __o . En réponse au journal Debian perd les pédales ?. Évalué à 2.
# Canal play
Posté par __o . En réponse au journal Le logiciel libre sur canal +. Évalué à 4.
Mais à côté de ça Canal c’est un peu le modèle à ne pas suivre. Notamment Canal Play. Le site parle de lui même, http://www.canalplay.com/aide/test-de-configuration-vod.aspx , Windows+Windows Media Player+Internet Explorer obligatoires, le tout rendu inutilisable par une couche de DRM.
Comme toujours avec les DRM, le résultat est que c’est plus facile de télécharger illégalement que de télécharger légalement.
[^] # Re: épidémie
Posté par __o . En réponse au journal J'ai reçu mon bon vaccination. Évalué à 8.
France :
http://www.google.org/flutrends/fr/#FR
États unis d’Amérique :
http://www.google.org/flutrends/us/#US (je vois pas de second pic)
http://www.google.org/flutrends/ca/#CA (canada non plus)
> dixit mon médecin [...] le second pic épidémique a été plus "violent" en Amérique du Nord.
Ton médecin te fais payer pour te vacciner, il a tout intérêt à te convaincre de le faire. D’après Google, il n’y a pas eu du tout de second pic en Amérique du nord.
[^] # Re: ...
Posté par __o . En réponse au journal Logo HADOPI et police de caractères. Évalué à 2.
# ShareThis
Posté par __o . En réponse au journal Web 2.0 Suicide Machine. Évalué à 10.
[^] # Re: N'importe lequel
Posté par __o . En réponse au message Moteur de forum avec gestion des droits particulière. Évalué à 2.
# N'importe lequel
Posté par __o . En réponse au message Moteur de forum avec gestion des droits particulière. Évalué à 2.
Pour l'affichage ce n'est qu'une question de thème/skin, et le reste ce sont des fonctions plutôt standards pour un forum.
# RewriteBase
Posté par __o . En réponse au message url rewriting apache. Évalué à 2.
[^] # Re: doc gcc
Posté par __o . En réponse au message Interdire à GCC de charger les includes par défaut. Évalué à 4.
[^] # Re: Debian & python2.6
Posté par __o . En réponse à la dépêche Sortie de Perroquet 1.0.0, c'est à vous de répéter. Évalué à 1.
Normalement les deux versions de python peuvent cohabiter (les paquets python2.5 et python2.6 peuvent être installés en même temps); il suffit ensuite d'appeler python2.5 ou python2.6 (/usr/bin/python est un lien symbolique).
# Debian & python2.6
Posté par __o . En réponse à la dépêche Sortie de Perroquet 1.0.0, c'est à vous de répéter. Évalué à 1.
Sinon l'idée est vraiment géniale :)
[^] # Re: Firefox sapusaipalibre
Posté par __o . En réponse au journal Personas, l'extension de personnalisation graphique de Firefox. Évalué à 9.
[^] # Re: Disons que maintenant il y a tout
Posté par __o . En réponse au journal Le chiffrement du GSM cassé ?. Évalué à 1.
[^] # Re: part de marché de Linux
Posté par __o . En réponse à la dépêche Firefox 3.5 en tête du classement des navigateurs. Évalué à 5.
http://linuxfr.org/stats/web.html/usage_200912.html#TOPAGENT(...)
Alors qui croire ? :)
Plus sérieusement, ça dépend de la population du site. w3schools c’est un site qui attire plus les amateurs d'informatique, donc il y a plus de Linux. Et même parmi les informaticiens, le w3c, ça représente pas l'amateur d'informatique moyen.
Je pense que les chiffres de xiti sont un peu plus représentatifs de l'internaute moyen.
[^] # Re: En gros..
Posté par __o . En réponse au journal Mon imprimante et moi, c'est du bonheur. Évalué à 7.
[^] # Re: non
Posté par __o . En réponse au message snapshot local. Évalué à 1.
C’est bien pour faire des backups consistents à partir d'un snapshot (faire un snapshot, copier son contenu, supprimer le snapshot). Par contre c'est totalement inutilisable pour y faire des backups incrémentaux (1. stocker un backup dans un volume, 2. snapshoter le volume, 3. goto 1).
[^] # Re: part de marché de Linux
Posté par __o . En réponse à la dépêche Firefox 3.5 en tête du classement des navigateurs. Évalué à 4.
Xiti AT Internet le donne à 1.5% :
http://www.atinternet-institute.com/fr-fr/equipement-interna(...)
# processus ?
Posté par __o . En réponse au message [Debian5.0] Multiplication des processus & plantages récurrents. Évalué à 3.
À mon avis tu as une tache cron qui se lance toutes les minutes, et qui de temps en temps dure plus d'une minute. Donc les processus de cette tache s'accumulent, consomment toute la mémoire, ça swap, et ça ne répond plus. La tache cron doit venir de ton panel, et la durée de plus d'une minute doit être causée par des accès disques particulièrement lents sur un RPS à certaines heures.
[^] # Re: Belle dépêche
Posté par __o . En réponse à la dépêche MariaDB et Drizzle : Pour repartir sur de bonnes bases !. Évalué à 4.
Et la mise à jour d’une seule ligne d’une seule table invalide le cache de toutes les requêtes qui touchent un peu à cette table.
Du coup il n’est pas si efficace que ça et comme le problème d’invalidation est difficilement évitable on peut considérer que l’application sera en mesure de gérer le cache beaucoup mieux de son côté.
À un moment il était prévu de réintroduire quelque chose ressemblant à un cache de requêtes sous forme de greffon aussi, mais je ne sais pas si c’est toujours d’actualité.
[^] # Re: Et alors ..
Posté par __o . En réponse au journal Il y a Wikipedia, et Wikipedia (by Orange). Évalué à 1.
J'ai l'impression que ça concerne une très grande majorité de sites / services en ligne. Il suffit de regarder http://www.alexa.com/topsites pour s'en rendre compte. La publicité est le seul revenu de beaucoup de ces sites. Et il n'y a pas beaucoup de sites de presse là dedans.