Heartbleed, Le mega bug dans OpenSSL

heartbleed

Ce 8 avril a été annoncé une grosse faille de sécurité dans le logiciel OpenSSL utilisé par à peu prés tout le monde pour sécuriser à peu prés tout ce qui transit sur le net.

Ce bug découvert par un ingénieur de chez Google, baptisé « Heartbleed » (Cœur qui saigne) permet à un pirate mal attentionné de récupérer des données sensibles comme les mots de passe et identifiants, mais aussi les clés utilisées pour le cryptage des données, donc autant dire le beurre, l’argent du beurre et la crémière… tout ça possible grâce à un bug de l’application donnant le moyen à l’assaillant d’effectuer une opération entrainant une « fuite mémoire » sur le client ou le serveur.

Il est dors et déjà disponible un correctif dans la version 1.0.2-beta2 du logiciel, cependant il semble que cette faille révélée aujourd’hui est disponible sur les serveurs depuis un à deux ans, c’est à dire environ les 2/3 des serveurs que vous utilisez aujourd’hui pour effectuer vos paiements en ligne. Et avant que toutes les compagnies aient mises à jour leurs logiciels ainsi que révoquées toutes leurs clés compromises, il va se passer un certain temps…

source: news.ycombinator.com

Le jour de la contre-attaque

TheDayWeFightBack

Un billet pour rappeler que c’est aujourd’hui que commence l' »event » :
https://thedaywefightback.org/international/
, journée de lutte contre la surveillance massive de Big Brother.

Je vous invite à lire l’article suivant sur Framablog :
https://www.framablog.org/index.php/post/2013/10/20/stallman-surveillance-democratie

Pour conclure, je citerai Benjamin Franklin:

Un peuple prêt à sacrifier un peu de liberté pour un peu de sécurité ne mérite ni l’une ni l’autre, et finit par perdre les deux.

Beta Steam Linux ouverte

Steam icon devianart
Steam icon devianart

Steam vient de mettre à disposition de tous la beta pour Linux de son client, permettant ainsi à tout un chacun de pouvoir jouer à une liste pour l’instant restreinte de jeux: Serious Sam 3, Team Fortress 2, Killing Floor, Amnesia, Unity of command, World of Goo et d’autres.

Cependant, je n’ai pas vu pour l’instant de ‘Left 4 Dead’ de disponible, ce qui est un peu surprenant étant donné que ce jeu était annoncé pour être un des premiers à être proposé pour la plateforme Linux. Il faudra donc encore patienter un peu mais on peut déjà dés aujourd’hui du client pour notre cher Linux.

A noté que ce client n’est pour l’instant destiné que pour la distribution Ubuntu 12.04 mais rien ne devrait empêcher les bidouilleurs de l’installer sur leur distribution favorite, pour le peu qu’elle supporte le système de paquetage .deb.

Arrivée de Steam sous Linux

Mise à jour du 17 juillet 2012:

ça y est! c’est officiel, Steam débarquera bien sur GNU/Linux. Valve à même créé un blog pour diffuser les dernières informations et développements en cours pour éviter toutes futures rumeurs ou spéculations, et c’est par ici.

Enfin une bonne nouvelle pour les joueurs et l’amateur de jeux que je suis, Steam serait en cours de portage sur GNU/Linux!

Pour rappel, Steam est une plateforme de téléchargement de jeux PC, logiciel développé par Valve, cette plateforme est majoritairement utilisée par les utilisateurs de l’OS windows qui dispose d’un vaste catalogue de jeux, favorisant même les developpeurs indépendants. Sa notoriété auprès des joueurs est telle qu’elle s’est vue ajoutée le support de Mac OS ces dernières années, avec un portage d’une sélection de jeux pour l’instant assez réduite mais réussis.

Il semblait donc qu’un vide restait à combler, celui de l’utilisateur de Linux et qu’après toutes ces années d’espérance et d’attente pour un joueur comme moi, Valve ait décidé que nous ayons aussi le droit de jouer via cette plateforme sous notre OS préféré, et c’est tant mieux.

De plus, il semble que le premier jeu à être porté en natif sur GNU/Linux soit L4D2, un de mes jeux favoris! Il est évident que Steam n’est pas une plateforme Open-source comme pourrait l’être play-on-Linux, mais l’opportunité est enfin donné à l’utilisateur qui pourra enfin jouer à ses jeux favoris sous son OS favori. Il ne reste plus qu’à voir tout celà se concrétiser rapidement…

Source : Le Journal du Geek – Steam sur Linux en approche!

icon by Deleket deviantART : lien

Passage de dotclear 2 à wordpress 3

C’est au tour du site principal de faire peau neuve. Et pour cette migration, j’ai décider de faire un tour chez wordpress! Cependant, une version du blog reste lui sous dotclear 2.

La raison de cette migration est principalement due à mon envie de changer et de comparer les deux CMS dans leurs dernières versions respectives. Ayant au tout début (2006) essayé plusieurs CMS avant de me lancer dans la réalisation de mon blog, les deux finalistes avaient été dotclear plutôt que wordpress.

Mon choix de l’époque fût dotclear : comparé à wordpress, je le trouvais plus simple d’utilisation, avec une conception logicielle solide, lui assurant une bonne involutivité et stabilité dans le temps. Encore aujourd’hui, je le trouve toujours aussi pratique est stable, il « fait ce qu’on lui demande » et « le fait bien ». Et puis c’est un CMS « français », raison de plus pour le soutenir les produits du terroir.

Alors pourquoi ce passage à wordpress? et bien avant tout pour voir comment les deux CMS on évolués avec le temps! j’étais resté sur ma faim avec wordpress, il était déjà à l’époque « en avance » sur dotclear avec sa quantité astronomique de plugins et thèmes, mais j’avais trouvé l’architecture logicielle et l’administration « compliquées »  (pour ne pas dire un peu bordélique…), au détriment de sa stabilité avec bugs et failles de sécurités récurrentes.

Non pas que je veuille privilégier un CMS plutôt que l’autre ou faire un comparatif exhaustif, dotclear à eu lui aussi son lot de bugs et de failles mais quel logiciel n’en a pas? j’ai décidé de remettre les mains sur wordpress pour voir où cela en était.

1. l’installation

Pour cela, rien de compliqué, elle s’est faite en 5-10 minutes si l’on a toutes ses infos entre les mains : login/password pour les bases de donnée et administration diverses, accès FTP, droits d’accès. J’ai créé une nouvelle base de donnée dédiée, afin de pouvoir facilement restaurer l’ancienne base et la plateforme dotclear et cas de problème.

J’ai installé la dernière version de wordpress 3.1. J’ai oublié au passage que la langue suite à l’installation était en anglais… ce ne fût pas un problème, le site indiquant clairement la procédure à suivre pour changer la langue.

Me voilà donc avec un joli blog vierge sous wordpress, mais fonctionnel…

2. le backup des données

C’est là ou je ne savais pas à quoi m’attendre, sans savoir si cela était finalement faisable! Attention, ne faite évidement JAMAIS d’opération de maintenance de ce type avec votre site ou blog principal en « production », j’utilise pour ma part des redirections sur mes sous-domaines, m’assurant que j’ai toujours au moins un site fonctionnel.

Me voilà donc en recherche sur le web d’utilisateurs ayant déjà réalisé l’opération. Et j’ai trouvé ce qu’il me fallait au travers de ces 2 articles:

  • Premièrement, l’article de Benoit qui explique toutes les opérations qu’il a effectué pour migrer. Évidement, n’ayant pas lu tout l’article préalablement et me lançant dans son « pas à pas », je me suis retrouvé comme lui à « la troisième mi-temps » avec des articles importés avec la syntaxe wiki et non XHTML, donc des articles illisibles ou mal formatés!
  • C’est là qu’est intervenu le plugin d’import de Worm’s avec la modification du source du plugin décrite par Benoit dans son article pour finalement me retrouvé avec tous mes articles, catégorie, utilisateurs importés correctement sous le nouveau blog!

Remarque : Après lecture des commentaires de l’article de Benoit, une autre méthode semble disponible mais que je n’ai pu tester.

3. le choix du thème

Le choix « gargantuesque » de thèmes qu’offre wordpress à ce niveau surpasse tous les autres CMS du marché. Il suffit d’aller sur la page des sélections de thèmes pour se rendre compte que les thèmes de dotclear ne sont pas comparables, tant en quantités qu’en qualités. Au final, mon choix s’est porté sur le thème réalisé par Mystique réalisé par digitalnature, souvent utilisé, il est simple à administrer et à customiser, bougrement beau et très « web 2.0 ».

4. le choix des plugins

Le but étant de récupérer toutes les fonctionnalités que j’avais sous dotclear, là aussi, pas de surprise sous wordpress étant donné la multitude de plugins existants, il est quasi-impossible de ne pas trouver son bonheur.

Concernant les extensions, voici la liste de ceux que j’ai actuellement installé:

  • Akismet Version 2.5.3 : pour lutter efficacement contre le spam.
  • All in one Favicon Version 3.1 : pour ajouter sa favicon, le plus complet que j’ai trouvé.
  • DotClear Importer Version 0.2 : Le plugin d’import dotclear necessaire pour les modification d’import dont je vous ai parlé plus haut.
  • Google Analytics Version 1.0.2 : le service de google pour avoir les statistiques de fréquentations, même si je l’utilise de moins en moins.
  • WordPress Database Backup Version 2.2.3 : une des premières chose à installer! permet de faire un backup périodique du contenu sa base de donnée wordpress.
  • WP Resume Version 1.52 : utilisé pour réaliser la partie CV, interface bien pensée pour organiser la taxonomie des pages. A noter toutefois que chez moi, au-delà d’une « certaine taille » dans l’arborescence des éléments, le plugin semble bugger, rendant impossible l’arrangement des derniers éléments.
  • WP System Health Version 1.3.2 : Le plugin « qu’il est bien » pour la surveillance de la configuration et des ressources de son installation dotclear.

5. les divers bugs rencontrés

N’ayant rien planifié ou testé lors de ma migration, forcement on se retrouve confronté à divers problèmes ou imprévus à régler au file de l’eau. Mais à ma grande surprise, j’ai n’ai pas été confronté à de « gros » problème qui vous grille des journées sans trouver de solution. Mes seuls petits désagréments furent:

  • Le problème de restore des données : la partie XHTML des articles décrit plus haut, ainsi que tout ce qui concerne les liens qui n’ont pas été importés.
  • Le problème de changement de langue US à FR expliqué ici.
  • Un problème de ‘out of memory’ de wordpress connu avec l’astuce qui va bien.

6. le reste à faire

Il reste évidement pas mal de chose à mettre en place, entre autre la page de liens, ajout de plugins manquants, etc décrits ici. Mais l’essentiel est en place. Il reste aussi à implémenter un ensemble de règle suite à une installation de wordpress expliquées dans ce billet et que je compte mettre en oeuvre.

Le manque actuel est la non prise en charge de l’affichage au format « mobile », mais je suis sure qu’un (des) plugin(s) de ce type doivent exister pour wordpress.

7. conclusion

Pour donner un avis rapide et faire un petit bilan de cette « deuxième » expérience, ce retour sous wordpress m’a fait bonne impression globalement. Je n’ai pas approfondi et vu toutes les possibilités en détails, loin de là, mais à première vu wordpress s’est considérablement amélioré depuis mon expérience de 2006. Ce n’est clairement pas par hasard qu’il est le plus populaire des CMS, tant les possibilités et choix d’intégration offerts sont énormes!

Son installation et son utilisation sont très aisés, même pour le débutant, surtout au niveau de l’interface d’administration qui est un modèle dans le genre, à des années lumières de celle qui m’est restée en mémoire. C’est d’ailleurs ce qui m’avait fait préférer dotclear à l’époque. Aujourd’hui, je trouve que les deux interfaces se valent, avec un léger avantage à wordpress pour l’apparence générale.

Le système de mise à jour automatique de wordpress, des thèmes et plugins est rudement efficace, plus que ne l’est celui de dotclear. Le système de notation et de critères de recherches surpasse son concurrent, de même que le temps passé pour la maintenance globale du site.

C’est surtout la partie customisation des thèmes que je trouve particulièrement réussie sous wordpress : la plupart des thèmes propose des interfaces wysiwyg permettant de modifier ‘en live’ l’apparence du thème sélectionné, tout en gardant la possibilités de mises à jour éventuelles par l’auteur : ceci évitant de mettre ses gros doigts dans les CSS comme cela est nécessaire la plupart du temps sous dotclear.

Finalement, mon sentiment est que wordpress offre plus de possibilités à l’utilisateur lambda pour une mise en place rapide et efficace de son site, avec une présentation beaucoup plus dans l’air du temps, avec des plugins à gogo permettant d’en mettre plein la vue, à base de flash et de dernières technologie web… mais au risque d’en faire une usine à gaz sur le long terme.

On ne peut pas vraiment comparer avec Dotclear, de part le nombre de développeurs et de communautés qui n’est pas comparable sur les deux plateformes. Dotclear est fait pour ceux qui veulent un moteur de CMS performants, customisable et ‘bidouillable’, avec quelques plugins et thèmes réduits aux fonctionnalités les plus importantes, avec des mises à jour qui sortent quand elles sont prêtes; en gros, pour moi dotclear reste la debian des CMS 😉

En face, le mastodonte wordpress! qui vous permet toutes les excentricités et un support par une communauté immense, mais l’envie de trop vouloir en rajouter semble se révéler douloureux sur le long terme au niveau des performances globales et d’une maintenance efficace… donc à voir à l’usage.

Voilà résumé dans les grandes lignes mon « expérience utilisateur » pour ce qui concerne le passage de dotclear à wordpress. J’espère prochainement compléter cet article avec mes futures découvertes sous ces deux moteurs qui carburent, rappelons-le, à la licence GNU GPL !

Les icônes utilisées dans l’article sont sous licence LGPL et peuvent être téléchargées ici.

 

 

service standartux restart…

Info.png

L’activité de standartux.fr est relancée, avec un lot de changements importants, parmi lesquels:

  • Passage à dotclear 2.1.3 : le blog est toujours propulsé par ce fantastique moteur qu’est dotclear, avec portage du thème Welsh-2-0 de Kozlika. Donc, pour le thème principal, pas de réelle évolution visible, à part un allégement de l’interface volontairement minimaliste et aérée, voir carré… Par contre, le fond bénéficie des corrections de bugs et des évolutions de dotclear 2.
  • Version mobile : là, c’est plus visuel car si vous vous connectez via un mobile ou smartphone, le thème est normalement adapté avec l’écran et optimisé à la mode iPhone. Tout ceci grâce aux excellents travaux de Guillaume avec son thème dc2iPhone, et le plugin mobileThemeSwitcher de Noel (Et oui, c’est noël!).
  • Redirection du site : Le site standartux.fr est temporairement redirigé sur cette adresse de sous-domaine standartblog.standartux.fr . Cette technique a ses avantages (sécurité, backup) et ses inconvénients (référencement des pages, abonnement aux flux,…). D’ailleurs, pensez à mettre à jour votre flux avec la nouvelle adresse RSS, mais garder aussi l’ancienne dans l’attente de l’upgrade du site d’origine.

De plus, ce n’est même pas une redirection temporaire mais une redirection 301, c’est à dire permanente, pour éviter les problèmes de (dé)référencement, c’est expliqué un peu partout sur le net pour le pourquoi et la pratique.

Les futurs travaux à prévoir sont:

  • Nouveau design : Le thème général est un peu vieillissant et on trouve de superbes thèmes sous dotclear 2. Mais j’aime bien ce style « minimal », de même que les icônes du projet Noun, donc à voir, il ne me reste plus qu’à faire un choix et mettre le tout en place.
  • corrections bugs : tout n’est pas parfait, loin de là. Certains plugins ne fonctionnent pas correctement et il va me falloir faire du débogage. Bref, si sa plante ou que vous voyez des trucs bizarre sur le blog, ne vous inquiétez pas, c’est moi et mes gros doigts en train de bidouiller les pages du site.
  • upgrade version dotclear : Les versions de dotclear savent se faire attendre mais la qualité est toujours au rendez-vous, j’attends donc avec impatience la prochaine livraison qui devrait être pleine de nouveautés.

Donc voilà, c’est ma surprise de noël! N’hésitez pas à me faire partager vos avis ou éventuels problèmes d’utilisation avec ce nouveau blog.

A bientôt, Librement.

StandarT

org.eclipse.wst.sse.core 0.0.0 could not be found

sad

Si comme moi vous faite face à ce type de message d’erreur lors de l’installation du SDK android sous Eclipse 3.5 (Galileo) sur Ubuntu 10.10 (32bits), plus particulièrement lors de la partie installation du plugin ADT.

Lorsque vous êtes à l’étape de « Downloading the ADT Plugin », comme décrit sur cette page :

  1. Start Eclipse, then select Help > Install New Software....   2. Click Add, in the top-right corner.   3. In the Add Repository dialog that appears, enter "ADT Plugin" for the Name and the following URL for the Location:      https://dl-ssl.google.com/android/eclipse/      Note: If you have trouble acquiring the plugin, try using "http" in the Location URL, instead of "https" (https is preferred for security reasons).      Click OK.   4. In the Available Software dialog, select the checkbox next to Developer Tools and click Next.   5. In the next window, you'll see a list of the tools to be downloaded. Click Next.   6. Read and accept the license agreements, then click Finish.

Et là, lors de l’installation des packages, Eclipse réclame des packages manquants et refuse l’installation :

Cannot complete the install because one or more required items could not be found.
Software being installed: Android Development Tools 0.9.4.v200910220141-17704 (com.android.ide.eclipse.adt.feature.group 0.9.4.v200910220141-17704)
Missing requirement: Android Development Tools 0.9.4.v200910220141-17704 (com.android.ide.eclipse.adt.feature.group 0.9.4.v200910220141-17704) requires ‘org.eclipse.wst.sse.core 0.0.0’ but it could not be found

La cause est le plugin Google pour Eclipse qui dépend d’autres composants spécifiques d’Eclipse, ici WST. Celà signifie que votre installation d’Eclipse n’a pas encore la totalité des librairies nécessaires, mais on peut facilement les installer en suivant ces instructions :

1. Selectionner Help > Install New Software…
2. Clicker sur le lien « Available Software Sites ».
3. Vérifier qu’il y a le site d’update nommé Galileo. S’il n’existe pas, click Add… et entrez l’adresse https://download.eclipse.org/releases/galileo dans la ligne d’edition.
4. Suivre ensuite les étapes d’installation; En sélectionnant en particulier dans la section « Web,XML, and Java EE development » le plugin « WST Server adapter », comme dans les sreenshot ci-dessous.

Eclipse_WST1 Eclipse_WST2

Eclipse devrait charger et installer les plugins manquants pour satisfaire les dépendances, et vous devriez au final être capable de lancer la chaîne de développement Android sous Eclipse.

Eclipse_WST3

liens:
FAQ – Google Plugin for Eclipse

Charger un .apk android via Linux sur Samsung Galaxy S

android download

Ce petit tutoriel explique comment charger des fichiers .apk (paquets applicatifs android) sur un mobile Samsung Galaxy S I9000, en utilisant les outils du SDK android.
J’utilise pour ma part Ubuntu 10.10, mais ceci doit aussi fonctionner pour tout autre distribution GNU/Linux.

Pré-requis:

  • Le SDK android doit être au préalable installé et configuré, vous pouvez consulter la procédure d’installation directement sur le site du SDK android.
  • Le Samsung Galaxy S doit être configuré pour accepter les sources inconnues et être positionné en mode Débogage USB. Ceci est accessible au travers du terminal android sous les menus Paramètres -> Applications -> Sources inconnues et Développement.

Ajouter le Samsung Galaxy S à la liste des périphériques USB:

Créer le fichier suivant avec votre éditeur :

 $ sudo gedit /etc/udev/rules.d/51-android.rules

et ajouter cette ligne dans le fichier:

 SUBSYSTEM=="usb", SYSFS{idVendor}=="04e8", SYSFS{idProduct}=="6877", MODE="0666"

sauvegardez le fichier et relancez le service de détection des ports USB:

 $ sudo restart udev

PS : une liste non exhaustive des identifiants USB pour d’autres terminaux android est disponible ici.


Faire reconnaître le Samsung Galaxy S lorsqu’il est connecté:

Pour cela, nous allons utiliser le logiciel ADB (Android Debug Bridge) fournit avec le SDK android.
Positionnez-vous sous le répertoire d’install du SDK android, dans le répertoire « tools » (si vous n’avez pas déjà mis les exécutables dans le PATH), et entrez les commandes suivantes dans un terminal pour relancez le deamon adb.

  $ sudo ./adb kill-server
$ sudo ./adb start-server
* daemon not running. starting it now on port 5037 *
* daemon started successfully *

A présent, avec cette commande, votre Samsung Galaxy S devrait être détecté, vous pouvez le vérifier à l’aide de la commande:

 $ ./adb devices
List of devices attached
90009e83b767 device

Commande pour charger un fichier .apk dans le Samsung Galaxy S:

A présent, vous pouvez charger simplement votre .apk à l’aide de la commande:

 $ ./adb install -r MyFirstApp.apk

Pour en savoir plus sur l’utilitaire adb, vous en avez une description ici.