syj a écrit 630 commentaires

Dans certains, CMS comme Joomla , il y a des mécanismes d'extension qu'il faut respecter afin d'éviter de modifier directement le PHP.

Je reconnais que quelques fois , c'est tentant tellement c'est plus simple de modifier le PHP pour corriger le petit pixel qui ne va pas et qu'on arrive pas à corriger avec le CSS ou le CMS :).

Il faut mettre à jour dans la journée après toute alerte de sécurité car elle sont très souvent de niveau zero-day.
Pour çà, je vous recommande le RSS du Certa français qui collectent et diffusent les alertes.
Enfin, evitez au maximum les extensions qui ne sont pas forcement aussi bien maintenu et aussi bien audité que le reste du CMS concerné.

Zut , j'ai été devancé.

Merci ^^.

Je voulais préciser que c'était pour un contrat professionnalisation sur Rouen.

Je ne sais pas si c'est le cas ici.

Mais les services public comme la gendarmerie, les hôpitaux, l'armée ont des dérogations pour ce permettre des choses qui sont interdite dans le privée.

Par exemple: L'équivalent d'un CDD 5 ans reconduit pendant 20 ans.

Des candidats pour cette offre ?

http://wws.fr.lolix.org/search/offre/offre.php3?id=11098

En l'occurrence, c'est quand même un responsable technique de l'INRIA. Ce n'est pas une annonce posté par le DRH d'une boite qui n'a rien avoir avec l'informatique.

çà serait le DRH de Loreal, on pourrait douter un peu...

Tu peux avoir des compétences dans les deux.

Je fais l'administration à 60% du temps, 20% de gestion projet et paperasse diverse et les 20% qui reste je fais du dev.

L'hyper-spécialisation est une erreur. Il faut savoir avoir plusieurs casquettes:
1) pour pouvoir se préparer un avenir ou une reconversion.
2) pour pouvoir s'adapter au mieux aux besoins réels de l'entreprise qui peut être problématique ponctuel.

Après la qualité du travail dépend de l'objectif que je me fixe et du temps que j'y consacre ou que je peux y consacrer.
Si jamais, une des taches devient trop consommatrice en temps. Je la délègue à une société externe, j'achète ou je m'arrange pour faire embaucher...

Au moins, je le saurais maintenant.

Je ne le prends pas mal car je suis conscient que c'est un de mes plus gros défaut.
D'ailleurs, je dépense mes jours de DIF en cours d'orthographe et rédaction pour le corriger :).

C'est une manière aussi de les encourager à faire de l'Open Source.

Et si ils sont motivés , ils peuvent continuer à m'aider de cette manière. Même
si j'ai peu d'espoir :)

En plus, le fait que çà identifie leur travail personnel. çà oblige à être plus rigoureux si ils veulent pouvoir en bénéficier plus tard.

Même si çà me fait un courir un risque. Je le prends en ayant conscience et puis si je veux bloquer leur compte sur ce projet, il me suffit de décocher une case.

çà serait une bonne pratique effectivement.

Je ne le fais pas pour pouvoir mettre en valeur leur travail.

çà fait bien sur un cv de dire qu'on bosse sur un projet libre et d'être référencé sur le net pour autres choses que son MySpace ou son commentaire sur Allo Ciné.

Je ne suis pas vexé.

Le fait de réfléchir sur la sécurité de mon projet (qui n'est pas un modèle de sécurité).

Cela m'oblige à douter de la sécurité des autres projets hébergés.

En l'occurrence sur SF, un attaquant pourrait tester le compte de tous les contributeurs et les comparer à une base de données "login/mot de passe" récoltée.

Je serais étonné qu'il ne trouve pas un ou deux comptes offrants des opportunités intéressantes.

Si le code est brouillé. L'analyse est quand même limité.

Tu peux t'en convaincre avec le lien ci-dessous:

http://www.google.fr//extern_js/f/CgJmchICZnIrMAo4GywrMA44BS(...)

C'est le problème avec les journaux sur LFR. On a pas le droit à l'erreur et on ne peut plus corriger après avoir poster.

Tu n'as pas compris mon propos. Je ne parle pas de faire une base de tous les logins/mots de passes possibles mais de tous les mots de passes utilisés.

L'attaquant a juste besoin de consulter sa base avec le login recherchait et de tester tous les mots de passes qu'il a pu récolté pour ce login. Bref , beaucoup plus rapide qu'un brut force ^^.

Pour le reste ,je suis entièrement d'accord avec toi.

J'ajouterai juste que pour éviter le buffer overflow , je programme en Java. Toutefois, il faut encore que le système soit à jour , ainsi que la jvm et le SGBDR.

Enfin, l'attaquant pourrait quand même supprimer une protection contre l'injection de code SQL ou l'injection de cross site scripting.

çà peut venir en 6)

Mais c'est plutôt le "source" qui m'inquiète.

Par exemple, je pourrais dans mon projet avoir un .java ou .jar de corrompu. Que je republierais à chaque version.

D'ailleurs, un .jar serait très difficile à détecter. Je peux plus facilement prouver que l'ensemble de mes .java sont bon alors qu'un jar d'Apache Commons ...

En identifiant les fonctions consommatrice, vous pourrez identifier la partie à optimiser en priorité.
Voici quelques recommandations pour corriger les problèmes de temps:
- Identifiez si les requetes exploitent bien les index.
- Reduire le nombre de données rapatriées
- Si les requetes sont des updates, on peut gagner du temps en supprimant un lot de données et en les inserants en lots
Si le temps perdu vient d un nombre important d accès à des tables parametres envisagent de créer un cache logiciel d accès à ces tables.

Il faut que la machine soit rackable.

Je confirme. C'est un raid purement matériel qui se configure avant le chargement de l'OS.

J'avais d'abord tester avec une CloneZilla sans succès.

Ensuite avec une Ubuntu 8.04 en live.

Pour finir, j'ai réussi avec une Fedora Live à faire mon clone.

Disons que c'est plutôt contrôleur qui était mal supporté.

Encore une loi pour engraisser des avocats, des assurances et alimenter nos tribunaux.

çà s'est un troll de compétition !

+1 pour l'innovation :)

Même si les spécifications sont plus précise, il est extrêmement difficile d'avoir deux comportement rigoureusement identique sur la base d'une spécification même fortement détaillé.

Je suis sur qu'on peut trouver des tonnes et des tonnes de cas similaire entre deux implémentation MS Office ou d'Internet Explorer.

Et pourtant dans le cas de Microsoft, on a une même direction qui pourrait ou peut trancher sur le comportement à adopter entre deux version.

C est le cas 5 euros par trimestre pour une journée minimum de decouvert.
je me l ai fait remboursé car ils sont pas specifié dans le contrat. si on les compte le calcul du TEG annuel explose.
Je leur avais ecris un courrier par laquel je n ai pas signé 4000% de TEG annuel.

... on devrait pouvoir faire confiance à son banquier.

Premièrement, car il a une obligation morale et contractuel.Celui-ci a un devoir de conseil et d'information. (lien sur le sujet http://www.avocats-picovschi.com/manquement-au-devoir-d-info(...)

Deuxièmement, Dans un état comme le notre, où à juste titre, on essaie d'aider les plus démunies, il est nécessaire de protéger les plus faible pour éviter que les échecs des un viennent alourdir la facture de la communauté.

Car le pauvre type qui va se faire avoir par le banquier. Ce pauvre type qui va devenir un de ces nouveaux Serf. çà sera le même qui touchera les aides publiques.

Si toi, tu t'en fous que ton voisin se fasse écraser. Moi , je m'en fous pas parce que je sais que çà sera la communauté qui paiera pour l'individualisme de certains.

Je ne dis pas qu il n y aura plus d innovation.
La technique actuel est à meme de satisfaire les besoins exprimés.
Les utilisateurs ne vont pas payer pour des "ameliorations" dont ils n ont pas besoins.
D ailleurs,vu que l argent ne va plus jouer le role de moteur à l innovation. L opensource sera pour maintenir l innovation.