keul.fr - technologie web

Internet mobile

Keul — Fri, 27 Jan 2012 08:15:00 +0100

Internet

Internet est un réseau mondial comparable aux réseau routier, crée par des scientifiques pour faciliter la communication de l'information entres différents ordinateurs. Reliant au début les laboratoires militaires, scientifiques, ainsi que les universités et les écoles, il se rependit ensuite au grand public avec les cybercafés et l'arrivée chez les particuliers en utilisant les réseaux téléphoniques existants. Il permet de transférer de la voix, des images, du texte, des vidéos ou tout autre donnée à travers le monde en utilisant un protocole (langage) commun appelé IP, (Internet Protocol).

Or, les différents gouvernements, à la ramasse et obéissant plus aux commerciaux et entreprises qu'aux scientifiques causèrent quelques problèmes: un manque de législation efficace contre les problèmes de peering, de spam, d'arnaques et une absence d'éducation contre les dangers (on n'accepte pas de "bonbons" d'un inconnu, donc on fait aussi attention aux réseaux sociaux).

Les mobiles

Des version mobile de sites web furent disponibles, dans un format WAP, version ultra allégée d'HTML prévu pour des téléphones de l'époque, qui coutaient une centaine d'euros. La performance exceptionnelle (une minute pour charger une page WAP de 10Ko) allié à des prix comparables au minitel (1€ la dizaine de pages) attira peu le grand public en dehors des geeks curieux.

Un climat sans concurrence stabilisa les prix et laissa les responsable marketing faire joujou avec leurs délires. Pendant que l'ADSL passais de 512k à 30Méga, en incluant le téléphone, la télé, puis la fibre optique, les offres mobile évoluaient peux, proposant difficilement les appels illimités* (dans la limite de 3 correspondants) et de l'internet illimité* et des SMS illimités*

Avec l'arrivée du wifi, de forfaits 2G/3G et des écrans tactiles (bien mieux qu'un clavier) et d'un gros budget, l'HTML amputé de flash pouvais se pointer sur smartphone. Pour mieux faire passer le budget, les opérateurs ~~planquèrent du crédit sur~~ subventionnèrent le smartphone dans des offres avec engagement.

Internet n'est pas que l'affichage de pages web avec une option mail. Internet, c'est: le web, le mail, les discussion en direct, les visioconférences, les jeux, les newsgroups, le P2P, le partage de connexion (ou thethering), le cryptage, le respect des protocoles.

On pourra donc féliciter Free d'être le premier opérateur téléphonique à fournir une véritable connexion Internet en dehors des offres professionnelles précises (les offres grand-public étant pour moi une pauvre rustine), en plus de l'illimité à bas pris. Ils auront été plus efficace que l'état pour aller dans al bonne voie et éviter les problèmes que j'avais déjà souligné dans mon article sur IPV6.

Les limitations

On pourrait se demander pourquoi ces limitations? Les réponses sont simples:

Le blocage du partage de connexion leurs a permis de vendre des forfaits clefs 3G pour plusieurs dizaines d'euros par mois
Le blocage des e-mails a évité la mort du MMS et des sms payés à l'unité
Le blocage de la VOIP leurs a permis d'éviter la baisse de prix de la communication audio. Une heure d'audio, c'est environ une trentaine de méga en qualité téléphonique (64kb/s = 8Ko/s = 28Mo/h).
Le blocage de la VOIP leurs a aussi permis de faire payer des suppléments pour l’international à prix démentiel (a croire que les entreprises profitent bien du mondialisme pour faire travailler des petits chinois avec des salaires ridicules, et ne se privent absolument pas pour imposer un zonage)

J'en profiterai aussi pour féliciter Orange qui m'a bien fait rigoler en ventant ses boutiques qui ne m'ont pas vraiment servi, avec les conseillers ne vous aident pas à trouver le meilleur forfait et vous renvoient systématiquement vers le service client surtaxé pour les problèmes techniques.

Vous aimez spammer?

Keul — Tue, 17 Jan 2012 13:38:00 +0100

Si vous êtes tombé sur cette page parce qu'on vous a donné un lien, c'est que vous avez fait fait une grosse erreur: vous avez envoyé du SPAM, généralement appelé "courrier indésirable". Pour les autres, ça sera de la prévention.

Afin de ne plus recommencer, suivez ces conseils:

Si vous envoyez un e-mail à une seule personne, il n'y a généralement pas de problèmes, vous contactez la personne pour une raison précise et elle a donc de forte chance d'être intéressée.
Si vous envoyez un e-mail à plusieurs personnes, vous risquez très fortement d'envoyer un spam. Tournez donc votre mulot trois fois autour du clavier et posez-vous la question suivante : Suis-je sûr que TOUS les destinataires désirent recevoir cet e-mail?

La règle d'or est de RÉFLÉCHIR. Ne faites pas CONFIANCE, les ragots et arnaques sont monnaie courante et un peu de bon sens suffit à les éviter.

Une petite aide :

Si vous voulez envoyez une blague (à plusieurs personnes), c'est généralement du spam.
Si vous voulez envoyer une combine pour gagner de l'argent facilement, c'est du spam. Allez plutôt voir l'ANPE.
Si vous n'avez pas vérifié l'information (avec google), c'est du spam
Si vous voulez les prévenir qu'un virus va tout faire péter, c'est du spam
Si vous l'envoyez à tout votre carnet d'adresse, c'est du spam (hors changement d'e-mail)

En cas de doute, demandez à votre entourage.

Les noms de domaine

Keul — Sat, 31 Dec 2011 16:10:00 +0100

Petit résumé rapide: Les différents ordinateurs et appareils peuvent communiquer sur internet grâce à des adresse IP, un peu équivalent aux numéros de téléphone. (exemple : 176.31.232.221 ou 2001:41d0:2:f9dd::1).
Vu la difficulté pour retenir, un système de nom de domaine, équivalent à l'annuaire a été crée et permet de remplacer une adresse IP par un nom plus facile à retenir (exemple: nanami.fr).
Lorsque l'on possède un nom de domaine, on peux créer des sous-domaines, gérés par le possesseur du nom de domaine d'origine. (exemple: forum.nanami.fr).

Lorsque l'on crée un compte sur un site pour avoir une adresse e-mail, un site web, un blog ou tout autre service, on deviens généralement dépendant de son fournisseur de service. Si je crée un site chez Free, je deviens dépendant de l'administrateur du nom de domaine free.fr. SI je me crée une adresse Gmail, je deviens dépendant de gmail.com et de leurs service (donc de leurs éventuels dérapages...).
Pour éviter de changer de nom de domaine, on pourrait être tenté de prendre un service de redirection. Un tel service à déjà existé : @fairesuivre.com. Manque de bol, ils ont fermé, laissant leurs clients dans l'impasse.
Or, le système de nom de domaine possède un attribut non négligeable: le transfert de nom de domaine. En effet, si vous achetez un nom de domaine chez un fournisseur et que celui-ci ne vous conviens plus ou fait faillite, vous pouvez alors transférer le nom de domaine chez un autre fournisseur.

Un nom de domaine permet alors d'avoir une identité (e-mail, site internet, ...) et son indépendance à vie pour une dizaine d'euros par an. Il ne vous reste plus qu'à savoir si vous êtes prêt à mettre un peu d'argent pour être certain de garder votre identité et votre indépendance.

Chargement d'une image avec Ajax

Keul — Wed, 30 Nov 2011 19:20:00 +0100

Dans mon précédent billet, j'expliquais comment charger du texte avec Ajax.

Pour charger de l'XML avec, il suffit de remplacer responseText par responseXml, retournant alors un objet javascript plutôt que du texte.

AJAX n'est pas prévu pour transférer des données binaires mais uniquement du texte. Une solution pourrait être de transférer l'image en l'encodant en base64 et de l'intégrer via les data-uri en utilisant un code ressemblant à ceci :

imgtest=new Image();
imgtest.src="data:image/jpeg;base64,/9j/4AAQSkZJRgABAgAAZABkAAD/7AARRHV..."

Problème : une image encodé en base64 prends 33% de place en plus.

La solution est en fait plus simple et était déjà utilisa avant l'apparition d'ajax: le préchargement d'images avec l'utilisation d'onload pour s'avoir quand elle a fini son chargement

imgtest=new Image();
imgtest.src="http://keul.fr/post/example.com/image.jpg"
imgtest.onload=function(){ imgtest.style.display='block'; }

On pourra alors combiner les deux méthodes pour charger par exemple une image et sa description.

Les données dans "le cloud"

Keul — Tue, 04 Oct 2011 13:07:00 +0200

Suite à un article de Tristan Nitot, j'ai pas mal réfléchi sur le sujet et j'ai donc décidé de publier un article sur les données dans le cloud et la vie privée.

Quand on veux mettre ses données dans le cloud pour pouvoir y accéder de partout, on se retrouve face à plusieurs solutions :

un système tel que forumactif/skyblog ne vous permet pas d’accéder à vos données (certains s'en approprient même les droits comme un certain réseau social) (vie privée : catastrophe)
un système tel que googledoc permet d'acceder à vos données, mais de manière peu pratique : il faut passer par l'interface web pour télécharger un .zip (vie privée : pas terrible du tout)
un système tel que gmail permet de sauvegarder facilement et régulièrement ses mails en local via imap/pop, mais l'hébergeur peux facilement exploiter les données (vie privée : pas terrible du tout)
un système tel qu'un forum SMF/PHPBB hébergé chez un hébergeur gratuit ou payant permet de sauvegarder facilement les fichiers via SFTP et la base de donnée (vie privée : je ne connais pas d'hébergeur s’autorisant dans ses GCU la fouille d'un FTP à des fins publicitaires, c'est donc pas mal au niveau vie privée)
un système ftp/dropbox/ubuntuone avec une surcouche de cryptage (vie privée : le must)
un système de fichier, décrypté coté navigateur, avec des applications certifiées et que l'on peux CHOISIR (par la communauté, pas par un market ou un certain UEFI avec des certificats non gérables par l'utilisateur (contrairement au certificats dans firefox, totalement éditables)) : (ultime)

Le problème est ensuite celui de l'application qui va utiliser ces données :

Quand un ami partage un album photo via un service web, je suis obligé de passer par l'application web de visualisation des photos, alors qu'à la base, il devrait uniquement indiquer un répertoire web avec un système de métadonnées standardisé et ouvert.

Plutôt que de chercher à utiliser des surcouches de logiciel, je pense qu'il vaudrait mieux revoir l'architecture des OS qui ne permettent pas avec une interface "user friendly"

En effet, l'idée du chromebook est une mauvaise idée, on transforme le navigateur en gestionnaire d'applications qui deviens un intercepteur d'applications javascript. Chaque application est téléchargée par le fournisseur de service qui se retrouve à avoir un contrôle total sur l'application et les données!

Pour moi, chaque ordinateur devrait avoir un système d'exploitation qui va s'occuper de la gestion des drivers, des programmes, des utilisateurs et du système de fichier.
Quand un utilisateur se connecte à l'ordinateur, il se connecte à son profil crypté sur le web, qui:

va indiquer quels applications installer en local en supplément (si elles ne sont pas déjà disponibles)
va gérer un cache local crypté (un peu comme un GIT crypté)

Quand l'utilisateur quitte le poste, il peux choisir :

de supprimer ses données locales
de les conserver en cache en évitant des les effacer (pour ceux qui compte le réutiliser)
de les conserver en cache, mais qu'ils peuvent êtres effacés (pour ceux qui veulent garder un cache mais ne pas gêner le propriétaire s'il a besoin de place

Pour l'instant, on en est loin et le libre à du mal à rattraper les commerciaux avec leurs services privatifs en ligne où les utilisateurs ne voient pas les problèmes futurs, en espérant que les commerciaux n'arriveront pas à se débarrasser du libre en revendant de l'UEFI avec la liste de certificats non éditable alors qu'ils n'hésitent pas à faire tourner leurs serveurs sous linux.

(personnellement, ce n'est pas à Microsoft de demander aux constructeurs de pouvoir désactiver l'UEFI ou mettre un certificat custom, mais à l'État d'interdire la vente de carte mères avec UEFI ne prenant que des certificats Microsoft, et interdire la vente de téléphone portable sans procédure pour le rootkiter (quitte à perdre la garantie) après un certain délai comme le désimlocage)

Stockage de mots de passe

Keul — Tue, 04 Oct 2011 13:01:00 +0200

En informatique, il deviens très rapidement nécessaire de gérer son identités sur plusieurs sites et systèmes.

Et actuellement, on se retrouve à retenir plein de mots de passe, vu qu'il n'existe pas encore de solution unique et complète. En effet, j’estime qu'il faut :

un système pérenne qui résiste à la suppression de compte mail (en quittant son ancien FAI), du nom de domaine (comme un certain wikileaks), de son téléphone...
un système qui permettes un certain anonymat : si mon compte ebay et mon compte google utilisent la même adresse e-mail ou la même URL pour openID, ils peuvent me suivre à la trace.
un système blindé : en cas de vol/perte de mot de passe, il doit y avoir des systèmes de révocation.

OpenID et BrowserID n'y répondent pas vraiment et pour moi, la solution réside dans les certificats GPG et un principe de fonctionnement tel que décrit :

Sur un PC (de préférence sécurisé, en live CD et non connecté au net), on génère un trousseau de clef A B C D (qu'on peux imprimer voir une master qui signe toutes ces clefs) ... chacune signe des clefs A1 B1 C1 D1 qu'on stocke sur une clef USB

On utilise alors les clefs A1 B1 C1 D1 pour s'authentifier sur les sites. Si la clef B1 est corrompue, on retourne sur le netbook et on génère une clef B2 qui révoquera la clef B1 et qui servira de nouvelle clef d'authentification.

Le système est indépendant d'un quelconque compte mail ou nom de domaine
un système qui permettes un certain anonymat : si mon compte ebay et mon compte google utilisent la même adresse e-mail ou la même URL pour openID, ils peuvent me suivre à la trace.
un système blindé : en cas de vol/perte de mot de passe, il doit y avoir des systèmes de révocation.

En attendant qu'un tel système soit utilisable, on se retrouve à gérer plein de mots de passe. Problème, je n'ai pas de serveur chez moi où héberger en permanence ce fichier, et je n'ai pas envie de le stocker en clair chez mon hébergeur. Je pourrais le crypter chez mon hébergeur, mais ça signifierais envoyer le mot de passe par le réseau (et je n'ai pas de https disponible dans mon offre).

Solution: effectuer le cryptage/décryptage coté navigateur. Ceux-ci ne gérant pas les fonctions cryptographiques en natif, j'ai dû recourir à une librairie en javascript.
Le script ci dessous effectue des copies de sauvegardes du fichier crypté.

Télécharger le script (WTFPL)

Ce script php génère donc une page HTML avec un champ textarea crypté, qui se décrypte via javascript quand vous aurez saisi la bonne clé. Vous pouvez saisir de nouvelles informations , une autre clef et cliquer sur save pour envoyer la nouvelle version cryptée sur le serveur.
Le script est fourni sans garantie (ne l'utilisez pas pour des trucs trop importants sans vérifier le code source)

Démontage de netbook Acer eMachines M350

Keul — Wed, 28 Sep 2011 13:23:00 +0200

Ayant du démonter mon netbook récemment, j'en profite pour mettre quelques photos ici.

Il y a 2 attaches qui coulissent à droite, il faut commencer à le détacher par la gauche pour libérer l'emplacement du HDD.

Ici, il faut forcer un peu sur le haut pour soulever la plaque, les attaches du bas coulissent

Aperçu des encoches à forcer pour libérer l'emplacement

On tire sur la languette du disque dur pour l'aider à s'extraire du port SATA.

La barrette de RAM se retire facilement en poussant sur l’extérieur les 2 encoches métalliques

L'une des partie les plus dur : détacher le clavier avec un tournevis plat/une pince fine en le faisant sortir des encoches (visibles dans les photos suivantes)

Les encoches qui retenaient le clavier

On retire la nappe du clavier

D'autres encoches qui maintiennent la carcasse en plastique sur le haut

On détache la carte wifi en retirant la vis et en la soulevant.

Le connecteur sers à l'alimentation de l'écran.

On retire la nappe du lecteur de carte SD et le connecteur du haut-parleur

On retire les 2 vis qui maintiennent la carte-mère

Il ne reste pus qu'à nettoyer le ventilateur

Les numéros de version

Keul — Wed, 17 Aug 2011 19:22:00 +0200

S'il y a bien un problème avec les logiciels, c'est leurs système de numération de versions qui peut causer bien des problèmes.

Source

Capitalisme oblige, les versions permettent d'amasser pas mal d'argent avec la vente de logiciels, plus concurrentiels, plus performants, plus fonctionnels, plus jolis, plus efficaces, plus lourds... Difficile donc de se débarrasser avec élégance.

Si ce n'est pas un problème avec les sites web dont les logiciels qui le génère tournent coté serveur (hors navigateur), ça l'est beaucoup plus avec les logiciels coté utilisateur.

Et ça, Google l'a bien compris et sait que l'utilisateur ne veux pas s'embêter avec ce genre de détails, en mettant le tout à jour sans trop l'annoncer à l'utilisateur. Je ne sais pas à quelle version est Google Chrome, ni Gmail, ni Google Earth... La seule exception étant Android, mais ça tiens plus aux limites matérielle (j'ai un smartphone d'entrée de gamme) et à la flemmardise des constructeurs. En tout cas, quand je vais sur un PC, que je vois Chrome à jour, Firefox 3.6 et IE6, je comprends vite le bug.

Je pense qu'il serait temps pour Mozilla de mettre automatiquement ses logiciels à jours de manière silencieuse (comme Chrome), MAIS en proposant néanmoins dans les options le choix de désactiver cette fonctionnalité (contrairement à Chrome).

Les développeurs doivent aussi éviter autant que possible la vérification du numéro de version pour se baser uniquement sur la présence de la fonctionnalité.

Une solution élégante est aussi celle adopté par ubuntu, utilisant la date : on sais facilement si on a à faire à une version à jour, il n'y a pas de concours d'e-penis.

J'en ferai d'ailleurs un article sur les bonnes pratiques de programmation web.

XML soupe(SOAP) ?

Keul — Sun, 31 Jul 2011 23:33:00 +0200

L'informatique, c'est de la rigueur.

Bon, après, y'en a qui ne comprennent pas et qui publient des trucs foireux. Donc quand dans un flux XML vous avez des personnes qui utilisent le caractère & autrement que comme entitée HTML (&, &acute, <…) en oubliant par exemple de parser une URL, on obtiens une belle erreur en exploitant le flux.

Solution pour corriger si le responsable du bug met 15 plombes à réagir :

//Attention, patch honteux
$pattern = "/(&[^a-zA-Z\#])|(&\#[^0-9])|(&[a-zA-Z]+[^;a-zA-Z])|(&\#[0-9]+[^;0-9])/";//bullshit pattern
$replacement = "&$2";//rustine grosse comme ma B
if( preg_match_all ($pattern, $raw_flux, $matches) > 0 ) {
//A chaque fois que le script entre dans cette boucle, Dieu tue un chaton (Shami inclus)
$datas=explode('<![CDATA[',$raw_flux);//on ne fait des remplace que sur les parties hors de <![CDATA[ * ]]>
foreach($datas as $key => $cdt) {
if($key>0) {
$ct=explode(']]>',$cdt);
$ct[1] = preg_replace ($pattern, $replacement, $ct[1]);
$datas[$key]=implode(']]>',$ct);
} else {
$datas[$key] = preg_replace ($pattern, $replacement, $cdt);
}
}
$raw_flux=implode('<![CDATA[',$datas);
}

Le web et les données

Keul — Wed, 29 Jun 2011 18:10:00 +0200

Certaines entreprises se mettent à tenter de prendre possession de vos données tout en voulant garder les leurs. La loi étant (normalement) la même pour tous, on se retrouve avec certains concepts intéressants :

- Blizzard tente de s'approprier votre réseau en vous interdisant d'analiser le traffic circulant sur celui-ci à la section 12.3 de leurs contrat.
Blizzard ne serait donc pas compatible avec la LOPPSI et avec tout réseau de plus d'un utilisateur. Si un membre de ma famille joue à un jeu blizzard, rien ne m’empêche de lancer wireshark sur le PC, n'ayant pas accepté leurs contrat. FAIL.

- Facebook/twitterpic/... veulent s'approprier les droits sur les images postées par leurs utilisateurs. Manque de bol, on ne peut pas récupérer ce que les autres ne possèdent pas. S'ils disent qu'ils possèdent les droits de publier l'image, répondez leurs simplement : "cette image/texte/vidéo est sous copyright et a été posté par un membre de ma famille sur votre site. Je ne vous ai donc jamais donné de droits sur cette œuvre vous prie de bien vouloir la retirer rapidement, conformément aux lois sur le copyright."

Enfin, j'attends quand-même de voir ce que va donner la loi hadopi quand elle va se mettre à couper les connexions à internet pour défaut de sécurisation et qui cherche à rendre le visionnage de streaming illegal (hop, mettons en prison tout ceux qui se sont fait rick-roller XD)

Ma vision du panneau d'options dans firefox

Keul — Tue, 31 May 2011 23:52:00 +0200

(english version below)

Personnellement, j'ai adoré le concept d'avoir mis les modules de Firefox dans une fenêtre du navigateur et non plus dans un popup souvent limité en taille.

Par contre, je pense qu'il faudrait revoir l'organisation des options.

J'ai donc réalisé une petite interface dans une page web montrant comment je verrai bien la configuration de Firefox, avec quelques idées :

- La gestion des profils, avec un mode débutant qui n'affiche pas les options avancées

- Un test de connexion internet avec un bouton permettant de corriger les problèmes de connexion (effectuant une détection automatique du proxy)

- Un système de test du filtrage de contenu, indiquant par exemple si le navigateur passe par un proxy, si certains protocoles sont bloqués ou certains sites sensibles (en utilisant une liste personnalisable de sites à tester)

- Une section social, permettant facilement de publier dans son réseau social un article sans que celui-ci ne doives proposer plein de boutons pour chaque réseau social existant.

- Une gestion de l'interface du navigateur triée (vidéo/audio/images/texte/...)

http://fichiers.keul.fr/firefox-options.html

I loved the concept of putting the Firefox module manager in the browser window rather than in a popup limited in size.

But I think that we need to organize the management of options.

I've made a small interface in a web page showing how I see the new Firefox option panel, with some ideas :

- Profil management, with a beginner mode that hide advanced options.

- Internet connectivity test with an auto-configure button that correct connectivity problems (with an automatic proxy configuration detection)

- A system that detect content filtering, displaying for example the use of a proxy, the protocols that are blocked or some sensible websites (using a custom list to test)

- A social section, that permits to link in the user social network a web page without using a lot of buttons for all social networks existing.

- The management of the web browser interface better sorted (vidéo/audio/pictures/text/...)

http://fichiers.keul.fr/firefox-options.html

La signature électronique et le cryptage

Keul — Mon, 18 Apr 2011 18:41:00 +0200

L'informatique est basé sur la gestion des données, qui sont converties (clavier/écran/haut-parleur), transmises(cables), stockées(RAM, HDD) et traitées(CPU, circuits intégrés).
Et ces données sont précieuses. Gérés par d'énormes systèmes informatiques, elles ont fait la fortune de Microsoft, Google, Apple, Facebook, Twitter...

J'avais déjà expliqué qu'il était important de pouvoir posséder ses données, parce-que devoir les récupérer ensuite peut être une véritable plaie (10H pour importer un forumactif propriétaire avec perte des mots de passe contre 15min d'import d'une galerie d'images sans perte).
Mais en plus de les posséder, il faut aussi les sécuriser, avec des méthodes adaptées.

En informatique, on dispose de deux méthodes :

Le cryptage ou chiffrement qui traite une données afin qu'elle ne soit lisible que par les personnes voulues.
La signature ou le hashage qui permet de certifier une donnée.

Le chiffrement peut être symétrique, le message est donc chiffré et déchiffré avec la même clef, n'importe-qui ayant cette clef pouvant décoder le message.

Le chiffrement peut aussi être asymétrique, chiffré par une clef publique, et déchiffrable uniquement par une clef privé correspondante. On peux donc facilement distribuer des clef publique à la vue de tous (la confidentialités n'est pas nécessaire, seul l'authenticité compte.)

La signature permet elle de certifier l'authenticité du contenu.
Si je prends par exemple que la signature de Insurance.aes256 est cce54d3a8af370213d23fcbfe8cddc8619a0734c, si jamais vous téléchargez le fichier, vous pourrez vérifier que le fichier est bien celui dont je parle en comparant la signature sha1 avec celle que j'ai donnée ci-dessus. Si jamais vous téléchargez un autre fichier, ou le même fichier, mais corrompu (intentionnellement ou pas), la signature ne sera pas la même.

Pour faire simple : je possède une paire de clef publique et privée GPG. N'importe-qui peux donc en utilisant ma clef publique chiffrer un document, dont je serai le seul à pouvoir déchiffrer à l'aide de ma clef privée. Je peux ensuite signer un document avec ma clef privée, et toute personne disposant de la clef publique pourra vérifier que c'est bien moi qui l'ai signé.

Comparé à un document papier,
- La signature d'un fichier correspond à la certification de celui-ci au bit près, en assurant qu'il n'a pas été altéré depuis la signature.
- Si vous signez une feuille de papier, je doute que cette signature disparaissent ou soit invalidée si jamais la feuille est modifiée (on peut éventuellement ajouter une clause dans un espace vide sur un contrat), là, l'employé sera protégé uniquement parce-qu'il aura la copie du contrat signé par l'entreprise sans cette clause).

- Par contre, une signature n'est jamais fiable à 100%, vu qu'il y a toujours possibilité de piratage de l'ordinateur (des solutions très sécurisées existent, à vous de juger la sécurité requise face à la convivialité: un live-cd linux/BSD ne stocke rien sur disque-dur et donc est plus sécurisé, mais reste moins pratique qu'une version installée) ou la faille humaine (Si vous n'avez pas laissé votre mot de passe sur un post-it, on peux toujours passer par la méthode forte)

Suite aux twitts de Maitre Éolas, une réponse technique s'impose :

Un fichier zip, c'est comme une enveloppe qui permet de rassembler plusieurs documents et de les compacter.
Imaginons trois fichiers contenant "AAAAA", "BBBCC" et "DDDEE"
De manière très simple, un fichier zip contiendrais "ZIP A5-B3C2-D3E2 ZIP" (je simplifie, en réalité, c'est plus compliqué)

Vous pouvez signer sur l'enveloppe ou signer chacun des documents qu'il contiens, vous connaissez le résultat.
Quand vous signez le fichier zip, vous ne signez pas l'"enveloppe" du fichier "ZIP_" mais TOUT le document.
On peux donc dire que signer une archive zip reviens à avoir TOUS les fichiers de cette archive signé.

ATTENTION par contre. La signature étant "étalée" sur tous les fichiers de l'archive, la signature n'est valide que si vous disposez de l'archive complète.

En gros, signer un fichier zip reviens à étaler tous les documents d'une enveloppe et faire une grosse signature sur tous les documents en même temps

La faille restant tiens ensuite de la sécurités de l’algorithme et de la fiabilitée du processus.

Dropbox

Keul — Sat, 26 Mar 2011 23:12:00 +0100

Pour pouvoir travailler facilement de manière collaborative au sein de mon association, on m'a conseillé d'utiliser Dropbox. Suite aux incompréhensions devant mon refus de l'utiliser, j'ai décidé de rédiger un article expliquant les problème du logiciel.

Pour ceux qui ne connaissent pas, Dropbox est un service d'hébergement de fichiers en ligne permettant de partager des fichiers, d'en gérer différentes versions, de les synchroniser avec des dossiers locaux... Dans la présentation et les fonctionnalités, il y a quelques points que je ne tolère pas par contre :

Dropbox replaces:

Using USB drives to move files between computers

Dropbox passe par ma connexion internet qui ne fonctionne pas toujours et son pauvre méga d'upload (128Ko/s). Mes clef/disques USB, mon réseau gigabit et mon wifi sont ~~vingt fois plus rapide et~~ autonomes. EDIT : argument invalide, Dropbox sais utiliser les transferts via LAN.

Complicated backup software and hardware

Dropbox ne fait PAS de backup. Le backup, c'est ÇA : http://www.taobackup.com.

Security & Privacy : Dropbox uses military grade encryption methods to both transfer and store your data.

Security & Privacy n'est pas possible avec un logiciel propriétaire.

On a donc les avantages suivants :

On peux toujours avoir une copie des données, donc c'est tolérable.
C'est simple à utiliser (comme un Ipad/Facebook/...)
C'est gratuit si on se contente de 2Go (extensible à 8Go par parrainage sur mails jetable)

Et les inconvénients suivants :

Espace limité (Impossible de dépasser les 100Go)
Peu adaptable (impossible de relier à d'autres outils pour avoir une gestion unifiée de comptes et de systèmes contrairement à FTP/SFTP...)
Pas de sécurités des données (impossible de vérifier dans le code source que les données ne sont pas exploitable par la société Dropbox, contrairement à Firefox sync)
Vous n'avez pas de contrôle sur le serveur, l'hébergeur peut faire ce que bon lui semble, en bien ou en mal. N’espérez pas héberger les câbles de WikiLeaks dessus ou une copie de FairUse4WM.

Conclusion :
Tant qu'il y aura de la concurrence, vous pourrez utiliser drop-box si vous voulez.
Personnellement, ça ne m’intéresse pas, je préfère FTP/SFTP qui est libre et extensible à tout, après, on a des CVS plus évolués aussi (plus complexes aussi, mais on n'a pas rien sans rien).

Passer de Danbooru à Shimmie

Keul — Thu, 24 Mar 2011 12:55:00 +0100

Après mon script de conversion de forumactif vers SMF, un autre petit outil de conversion pour passer de Danbooru à Shimmie

Télécharger le script

MAJ : cette version recalcule les occurences de tags: Si votre migration est déjà faite, executez juste cette requête :

UPDATE tags
        SET
        `count`=
           (SELECT COUNT(image_id) 
           FROM image_tags
           WHERE image_tags.tag_id=tags.id  
           GROUP BY tags.id)

Attention, shimmie utilise l'ID 1 lorsque l'utilisateur est anonyme, ce qui correspond au premier utilisateur de danbooru.

INSERT INTO `config` (`name`,`value`) VALUES ("anon_id",-1) ON DUPLICATE KEY UPDATE value=-1

Remplissez les variables de configuration et roulez jeunesse.

Détails techniques :

Importe les utilisateurs (pas les mots de passe par contre)
Importe les tags et aliases
régénéré les miniatures
copie les images dans les bons répertoires
importe les commentaires des images

J'ai converti une base de 8000 images environ en un quart d'heure. Il est possible de conserver les mots de passe avec quelques modifications pour que Shimmie puisses les utiliser.

J'ai aussi un patch de liaison avec SMF qui permet d'utiliser les login/pass de SMF et de gérer les commentaires dans le forum.

Hashage et signatures

Keul — Sat, 12 Feb 2011 13:34:00 +0100

Les données corrompues

En informatique, on est souvent amené à traiter les données. compression avec pertes, compression sans perte, chiffrement (en cryptogtraphie)

Lors de la transmission d'une grande quantité de données, on peut être amené à vouloir vérifier qu'il n'y a pas eu de dommages lors du transfert ou du stockage sur un support physique.

L'une des méthode les plus basique est l'ajout d'un bit de parité, mis à 1 lorsque le nombre de bits présent dans les données à transmettre est impair. Très facile à implémenter, il peut s'avérer insuffisant si trop de données sont corrompues.
On utilisera alors des algorithmes plus complexes, tel que le crc qui peux détecter de manière plus fiable si des données sont corrompues. On le voit généralement lors de l'utilisation de CD-ROM rayés ou endommagés.
Il est même possible de pouvoir corriger des erreurs éventuelles avec les codes correcteurs dans le cas où une faible partie des données seraient corrompues. On les trouve non seulement sur les CD-ROM mais aussi sur usenet (fichiers Parchive) ou dans les systèmes RAID qui incluent cette redondance capable de récupérer les données corrompues.

=> Je vous conseille vivement l'utilisation de RapidCRC pour vérifier par exemple après gravure/stockage que les fichiers n'ont pas été corrompus en ayant préalablement mis le CRC dans le nom du fichier.

Les données corrompues intentionnellement

Un autre aspect est le problème des dommages intentionnel qui peuvent apparaitre sur les données. Une personne mal intentionnée serait alors capable de modifier les données sans que le système qui détecte la corruption ne s'en rende comptes.

On utilisera alors des algorithmes plus évolués qui rendront très difficile la modification intentionnelle, au cout de calculs supplémentaires et d'une augmentation de la taille de la "signature".
Il existe plusieurs algorithmes plus ou moins fiables, les plus connus étant md5 et sha128.

=> Si vous distribuez des fichiers sur votre site web par exemple, vous pouvez donner les signatures md5 correspondantes. (on pourra voir par exemple le fichier md5sums de bigbuckbunny.org qui avec le logiciel rapidCRC permet de vérifier que les autres fichiers ne sont pas corrompus, intentionnellement ou pas.)

La protection des mots de passe

Ces algorithmes ont permis d'améliorer la sécurité dans le stockage des mots de passe : En effet, la "signature" permet de vérifier que les données transmises n'ont pas été modifiées, mais ne permettent pas de les connaitre. On pourra donc utiliser la signature du mot de passe d'un utilisateur, et la comparer à la signature du mot de passe fourni lors de son authentification pour vérifier que les mots de passe sont identique, sans pouvoir les connaitre.

On pourrait alors penser à utiliser la "signature" md5 d'un mot de passe, mais un gros inconvénient apparait : l'attaque par table arc-en-ciel qui consiste à chercher dans une liste pré-calculée et optimisée d'une grande taille (prévu pour tenir sur un DVD généralement) de signatures si un mot de passe corresponds. Une parade est alors d'inclure une donnée supplémentaire qui sera mixée avec et stockée en supplément : un sel.

Cette contre-mesure empêche donc l'attaque par table rainbow, mais il reste un problème : md5 et sha128 sont prévu pour pouvoir facilement vérifier la signature de fichiers, qui peuvent atteindre plusieurs centaines de Mo. Mais ils peuvent, à l'aide des processeurs actuels et les processeurs de carte graphiques adaptés calculer la signature de plein de mots de passe potentiels par force brute en l'espace de quelques jours et avec les technologies de type CUDA, c'est encore plus rapide!

On passe alors à de nouveaux algorithmes dont le but est de demander plus de calculs afin de ralentir l'attaque par force brute, au point qu'une attaque par force brute ne prendrais pas quelques jours mais quelques centaines de siècles, et qui se paient même le luxe de pouvoir définir manuellement le niveau de complexités pour s'adapter à la montée en puissance incessante de nos ordinateurs. Grosso modo, on aurait par exemple, md5 qui calcule la signature d'un film en quelques dizaines de secondes, et des mots de passe en quelques microsecondes, et crypt qui calcul un mot de passe en dixièmes de secondes (vous pouvez donc vérifier le mot de passe d'un utilisateur qui s’authentifie en quelques dixièmes de secondes, où une attaque par force brute serait alors inefficace).

=> Pour protéger les mots de passe de vos utilisateurs, utilisez des fonctions prévues pour.

Edit:

Suite à une discussion avec Axel et aux problèmes de compatibilité entre différents systèmes, je vous rappelle que la fonction crypt génère des hash contenant un identifiant d’algorithme utilisé et qu'il est donc possible avec un autre logiciel de pouvoir utiliser la même authentification alors que les mots de passe hashés avec un algorithme perso ne le permettent pas.

Enfin, vu le succès et les défauts d'OpenID ainsi que les autres méthodes d'authentification, il reste encore beaucoup de travail dans la gestion de l'authentification des utilisateurs.

IPv6

Keul — Wed, 02 Feb 2011 20:37:00 +0100

L'IANA viens d'assigner ses deux dernier bloc d'adresses ipv4 et les différents RIR fonctionnent désormais sur leurs réserves.

"Un bloc d'adresse IPv4 entre dans un bar : 'Un CIDR bien fort s'il vous plait, je suis épuisé.'" (source)

La seule solution est donc un passage au Minitel 2.0.

Enfin, pour ceux qui veulent retourner au minitel. Pour les autres, l'alternative consiste à passer à IPv6, qui pour résumer :

Dispose de beaucoup plus d'adresses.
Gère le QOS (les discussions et jeux auront une priorités supérieur au streaming qui aura une priorité supérieur au téléchargements, évitant ainsi les coupures et saccades.
Gère nativement l’encryption afin d'éviter d'avoir recours à des protocoles dédiés comme ssh, sftp et https qui dans certains cas peuvent êtres complexes.
S'auto-configure.
Et quelques autres détails intéressants...

Qu'est-ce qui nous attends alors?

Testez votre connectivitée IPv4 et IPv6 ici : http://ipv6-test.com/

Si votre FAI ne peut vous fournir une connectivité ipv6, ou si votre switch/routeur/point d'accès wifi, ainsi que votre OS et vos logiciels ne supportent pas ipv6, vous ne verrez pas de problème dans l'immédiat.

Par contre les problèmes vont apparaître au fil du temps :

Impossible d'utiliser Skype ou tout logiciel de VoIP avec certaines personnes.
Impossible de jouer à certains jeux avec certaines personnes.
Impossible de se connecter à son poste en contrôle distant (VNC, ssh, administration de NAS)
Impossibilité de se connecter à certains serveurs/sites web

Et ces problèmes vont perdurer en s'aggravant jusqu'à ce que l'on supporte tous IPv6 et on en a pour quelques années.
En fait, ipv4 et ipv6 sont incompatibles.

Si vous supportez les deux, vous n'aurez aucun problème.
Si vous n'êtes qu'en ipv4, vous ne pourrez pas parler à quelqu'un en ipv6 directement (a moins de passer par un serveur disposant d'ipv4 ET ipv6)
Si vous n'êtes qu'en ipv6, vous allez regretter de voir aussi peu de serveurs compatibles ipv6 et de ne pouvoir vous connecter directement à certaines personnes.

Certains FAI iront sûrement utiliser des méthodes pourries comme du NAT à leurs niveau, vous faisant partager votre adresse IP avec d'autres client. Personnellement, je n'y crois pas trop vu les systèmes de sécurités basés sur l'adresse IP et aux délires supplémentaires que ça provoquerait à la Hadopi.

En tout cas, si ça ne fonctionne pas, n'hésitez pas à vous plaindre à votre FAI ou à changer.
Lui ne fera rien tant que vous ne lui demanderez pas car ça lui coute de l'argent et qu'il s'en fout de la concurrence chez laquelle le client n'ira pas (à 15KM d'un DSLAM, le RTC et l'ADSL à 200ms de ping n'est pas un concurrent pour Numéricable).
Les clients ne sont pas assez informés, l'état étant plus préoccupés par le fait que certains riches pourraient perdre de l'argent à cause du piratage, de la concurrence déloyale et du manque d'action face à des entreprises qui bougent leurs cul (certes, leurs systèmes ont des DRM et sont imparfaits, mais il proposent autre chose qu'une technologie vieille de 30ans).

Et pourtant, le problème est grave:
- La neutralité du net est fragile, surtout lorsqu'elle est géré par des fournisseurs à but lucratif et sans scrupules et non plus par les militaires, universités ou associations.
- Des opérateurs téléphoniques limitent Internet et ne vous donne accès qu'au web (http et https parmi des milliers de services possibles : IRC, MSN, jeux, email ...), essayant même de vous faire payer pour les e-mails.
- Et proposent des forfaits minitel débiles donnant accès à 3 sites internet parmi les milliard de milliards disponibles sur internet.
- Ils pourraient même faire des offres mobiles IPv6 uniquement avec IPv4 en option pour avoir plus d'Internet.

Bientôt, on pourra rajouter : Adresse IPv4 pour vous connecter à l'Old Internet.

Ne tombez pas dans leur piège, demandez un accès au réseau des réseaux, pas un accès au minitel.

Plus d'informations ici : https://www.apnic.net/community/ipv4-exhaustion

Les standards

Keul — Mon, 31 Jan 2011 13:05:00 +0100

mp3, Internet, web, DVD, USB, Divx ou document word font parti de standards tellement répandu que même les personnes qui touchent peu à la technologie connaissent. On en a beaucoup parlé et ils sont énormément utilisés.

Ils sont devenus des standards massivement adoptés suite à des avantages importants :

La simplicité (à moins de le rendre obligatoire comme l'administratif français)
Le faible coût (ou étalé comme dans un abonnement mobile ou MMORPG)
La compatibilité et fonctionnalité
Les ajouts/innovations
La concurrence

Les standards qui tentent de s'imposer :

Ogg Vorbis : tente de luter vaillamment face au mp3 super connu et implanté partout et à l'aac (DRMisé)
OpenDocument : La prise de conscience aide les gens à se tourner vers l'open document face aux documents de la suite office de Microsoft
WebP : le nouveau format d'image développé par Google, en lute face au JPEG
WebM : Dans une bataille qui fait rage face à h264 et Theora

Et qu'en est-il de ces formats?

Bien qu'ogg Vorbis commence à être de plus en plus utilisé dans les jeux, les lecteurs mp3 freinent son déploiement et les constructeurs s'amusent à implémenter de l'aac qui s'oriente vers la haute définition, mais se voit plombé de brevets. A croire que les entreprises préfèrent perdre de l'argent dans les brevets plutôt que d'en dépenser dans la recherche. Au moins, Vorbis et FLAC existent et permettent aux indépendants et débutants de partir sur de bonnes bases.

Le format OpenDocument commence à prendre de l'ampleur : Avec l'arrivé de LibreOffice (fork d'OpenOffice), son utilisation par l'administration française, son format exploitable par les webmaster et disponible dans GoogleDocuments, l'avenir des standards est positif de ce coté. Pourvu que ça continues dans ce sens.

Google s'amuse lui aussi avec les formats, et à donc sorti "WebP" pour une meilleur qualité que le JPEG.
Manque de bol, même si la qualités est meilleur, les appareils photos numériques, les télévisions et énormément d'appareils gèrent nativement le JPEG. Il lui faudra énormément de temps pour s'imposer mais Google pourrait y arriver avec un grand coup de marketing (faire comprendre aux gens l’intérêt de passer à ce format) pour que es gens puissent facilement l'utiliser tous les jours.
Personnellement, et à part son nom à la con "WebP"??? Ils auraient pu l'appeler PicturePro ou PictureHQ, il leur faudra énormément de temps pour arriver à un succès, mais ce n'est pas impossible vu le manque de concurrents.

Pour WebM, et à la vue des récents évènements, il est indéniable qu'il sortira grand gagnant :
h264 est plombé par les brevets, ne sera plus disponible sous Google chrome, n'est pas compatible avec la GPL et ne peux donc être integré dans Firefox
WebM est lisible en natif par Firefox, Chrome et Opera, et sera lisible sous IE et Safari grâce à des plugins, de plus, des puces de décodages matérielles sont en cours d'élaboration/déploiement. Google aura été exemplaire sur ce coup.

Et je leurs tire mon chapeau quand je vois les services qu'ils proposent : leurs moteur de recherche, Gmail, GoogleDocuments, Google maps et passe pour un ange face à Facebook et Apple.
Certes, on peut les accuser d'ogre absorbant toutes nos informations en se nourrissant de publicité mais il s'agit d'une entreprise qui fonctionne dans une société de capitalisme et qui ne peut pas être exempte de défauts.
Je me demande par contre s'il ne serait pas intéressant d'avoir un site de présentation du libre connu et complet montrant les projets intéressants, avec non seulement Wikipédia ou Firefox, mais aussi des projets moins connus tels qu'OpenStreetMap, DMoz, DocumentFoundation...

En tout cas, n'oubliez pas de rester libre

Astuces PHP

Keul — Fri, 31 Dec 2010 21:57:00 +0100

Quelques astuces PHP pour :

Traitemer des dates
Obtenir le résumé d'un texte UTF-8 (sans couper les mots)
Envoyer un mail en texte HTML en UTF-8
Connexions à une base de donnée

Le tout dans un unique fichier

Traitemer des dates :

//conversion unix en date
date('(G)H: i:     s        (j)d/(n)m/(y)Y ',$timestamp);
//    heure:minute:seconde  jour/mois/année   ()=sans zero initiaux
date('N          W             U    c',$timestamp);
//   joursemaine semaineannée  unix ISO-8601
//conversion date en unix
$timestamp=mktime($heure,$minutes,$secondes,$mois,$jour,$annee))
//gestion de dates dans mySQL
$date_MYSQL=date('Y-m-d G:i:s',$timestamp);
$timestamp=strtotime($date_MYSQL);
//travail sur les dates
$timestamp=strtotime("+6 day",$timestamp);

Obtenir le résumé d'un texte UTF-8 (sans couper les mots) :

function utf8summary($str,$l) {
   if (mb_strlen($str) > $l && $l) {
      $s = preg_split('/([\s]+)/u',$str,-1,PREG_SPLIT_DELIM_CAPTURE);
      $res = '';
      $L = 0;
      if (mb_strlen($s[0]) >= $l) {
         return mb_substr($s[0],0,$l);
      }
      foreach ($s as $v) {
      $L = $L+strlen($v);
         if ($L > $l) {
            break;
         } else {
         $res .= $v;
         }
      }
      return trim($res).'[...]';
   }
   return $str;
}

Envoyer un mail en texte9HTML en UTF-8 :

function mail_html_utf8($dest,$sujet,$contenu,$cc='',$bcc='') {
   $eol=strtoupper(substr(PHP_OS,0,3) == 'WIN') ? "\r\n" : "\n";
   //message en HTML
   $message = "--main boundary".$eol;
   $message .= "Content-Type: text/html; charset=UTF-8".$eol;
   $message .= "Content-Transfer-Encoding: 8bit".$eol.$eol;
   $message .= $contenu.$eol.$eol;
   //message en texte
   $message  = "--main boundary".$eol;
   $message .= "Content-Type: text/plain; charset=UTF-8".$eol;
   $message .= "Content-Transfer-Encoding: 8bit".$eol.$eol;
   $message .= strip_tags($contenu).$eol.$eol;
   //fin messages alternatifs
   $message .= "--main boundary--".$eol;
   //gestion des cc/bcc
   $cc=($cc!='')?'Cc: '.$cc.$eol:'';
   $bcc=($bcc!='')?'Bcc: '.$bcc.$eol:'';
   //envoi du mail (fonction mail)
   $mailsend = mail($dest,'=?UTF-8?B?'.base64_encode($sujet).'?=',$message,
   'From:'.$config['email_sender'].$eol.$cc.$bcc.
   'Reply-To: '.$config['email_sender'].$eol.
   'X-Mailer: PHP'.phpversion().$eol.
   'MIME-Version: 1.0'.$eol.
   'Content-type: multipart/alternative;  boundary="main boundary"');
   return $mailsend;
}

Connexion à une base de donnée :

//proteger texte
function db_esc($txt) {
   global $db;
   return mysql_real_escape_string($txt,$db);
}
//connection à la base
function db_connect($file, $line, $host, $port, $user, $password, $dbname) {
   if (!function_exists('mysql_connect'))
   die('Le module PHP mySQL n\'est pas installé.');
   if (($this->db = @mysql_connect($host.':'.$port,$user,$password,true)) === false)
   die(sprintf('Impossible d\'établir une connection avec la base de données à l\'adresse %s:%s.',$host,$port));
   //base de donée en utf-8
   mysql_query("SET NAMES 'utf8'",$db);
   mysql_query("SET CHARACTER SET utf8",$db);
   if(!@mysql_select_db($dbname, $db))
   die(sprintf('Impossible de sélectionner la base de données %s à l\'adresse %s:%s.',$name,$host,$port));
}
//requête
function db_query($file, $line, $query) {
   $GLOBALS['lastrequest']=$query;
   $ressource=@mysql_query($query,$this->db) or die(sprintf('Erreur avec une requête [%s (ligne %s), requête «%s»: %s]',$file,$line,$query,mysql_error($db)));
   $retour=array();
   while($data = mysql_fetch_assoc($ressource))
   $retour[]=$data;
   return $retour;
}
//Exemple
$sql = "SELECT .....";
db_query($sql,__FILE__,__LINE__);