Clochix

Quand Flash permet de vous espionner

Clochix — Sun, 12 Oct 2008 23:17:00 +0200

Les milieux de la sécurité bruissent depuis quelques semaines de rumeurs à propos d'une nouvelle attaque par clickjacking. Les détails en auraient été transmis aux acteurs concernés et ne seraient révélés qu'après correction. On en a enfin su un peu plus cet semaine: l'attaque permet d'utiliser Flash pour vous espionner à votre insu via votre webcam.

Adobe a confirmé le danger il y a quelques jours, le qualifiant de critique.

Cette faille a été découverte par Robert Hansen et Jeremiah Grossman qui devaient la révéler lors d'une conférence en septembre. A la demande d'Adobe, ils ont annulé leur conférence le temps qu'une parade soit trouvée, mais cette annulation a bien sûr alimenté la rumeur.

La publication d'une petit jeu en JavaScript prouvant la faille^[1] dimanche dernier les a finalement incités à en révéler un peu plus.

Le principe d'une attaque par clickjacking est d'inciter l'utilisateur à cliquer sur un lien ou un bouton en lui faisant croire qu'il est offensif. De multiples techniques permettent ce vol de clic, en utilisant des iframes ou JavaScript par exemple. Elles sont très dangereuses, puisque ce clic que vous faites sans le savoir peut par exemple déclencher un virement depuis votre compte en banque, la modification des paramètres de votre modem, une suppression de vos mails ou, comme ici, l'utilisation de votre webcam pour vous regarder. Dans leur billet, Robert Hansen et Jeremiah Grossman décrivent huits méthodes d'attaque possibles.

Pour comprendre la principe de cette attaque particulière, regardez cette vidéo. Elle utilise le gestionnaire de préférences du player Flash^[2] On ouvre le gestionnaire de préférences dans une iframe que l'on masque en positionnant au dessus un div. On incite alors l'utilisateur à cliquer à divers endroits dans cette div, et au moment du clic, on modifie subrepticement l'empilement pour que l'utilisateur clique en fait sur des réglages de Flash qui activent la webcam.

Adobe a semble-t-il corrigé le problème, en interdisant l'ouverture du gestionnaire de préférences dans une iframe.

Une solution pour se protéger contre ce type d'attaques est d'utiliser NoScript. C'est une des extensions Firefox les plus populaires. Elle permet de contrôler finement l'exécution de scripts, d'applets Java, d'animations Flash, etc. Aussitôt le problème connu, elle a été mise à jour pour le corriger. Elle serait à présent capable de détecter lorsque vous risquez de cliquer sur autre chose que ce sur quoi vous croyez le faire, et de vous demander confirmation.

Accessoirement, une autre protection est de systématiquement penser à vous déconnecter lorsque vous avez fini d'utiliser une application web quelconque, Fermer l'onglet ne suffit pas, il faut vous déconnecter, ce qui à priori supprime les cookies et évite qu'un site web malicieux n'arrive à récupérer votre session.

A priori, les internautes qui n'ont pas installé le lecteur Flash, qui lui préfèrent Gnash ou des navigateurs en mode texte, ou qui n'ont pas de webcam, ne sont pas concernés. Vous ne risquez donc pas de sitôt de me voir :-).

Accessoirement et à propos de webcams, Brad Lassey, un des développeurs de Fennec (la version de Firefox pour mobiles) a proposé d'ajouter aux formulaires en HTML 5 une balise permettant d'insérer une photo ou une vidéo prise avec la webcam, celle-ci étant gérée directement par le navigateur. Espérons que si sa proposition est retenue, les implémentations seront sécurisé.

Notes

[1] le site ne semble plus accessible depuis quelques heures

[2] au passage, ouvrir ce gestionnaire de préférence est intéressant, puisqu'on y découvre que Flash conserve la liste des sites que vous visitez, indépendamment des réglages de votre navigateur...

Conseils pour débuter avec eZ Publish

Clochix — Sun, 12 Oct 2008 00:05:00 +0200

Bruce Morrison a publié une série de conseils pour les nouveaux développeurs eZ Publish: 10 Tips for New eZ Publish Developers. Beaucoup ne sont cependant pas spécifiques à eZ et pourraient s'appliquer à la plupart des applications. En voici un rapide résumé commenté.

Assurez-vous que votre système a tout ce qu'il faut pour faire tourner eZ Publish. Un conseil surtout valable si vous voulez l'installer sur un serveur mutualisé. eZ est assez gourmand en terme de ressources (occupation mémoire, timeout des scripts, etc) et ne fonctionnera peut-être pas sur du mutualisé (et plus globalement, si vous voulez mettre un site en production, il est préférable de vous tourner vers un serveur dédié bien dimensionné). Mais si vous voulez juste le tester, il tournera sans problème sur votre machine de développement, pour peu qu'elle soit assez récente (et sous Nunux, mais c'est une évidence);
Ne modifiez jamais le cœur : il est essentiel de commencer par comprendre le mécanisme de surcharge, qui vous permet de fixer vos propres paramètres, de créer vos templates, etc, sans toucher à eZ. Et si vous avez besoin de fonctionnalités spécifiques qui n'existent pas dans le cœur, développez des extensions. Mais ne touchez jamais à eZ lui-même, vous le regretteriez le jour de faire une mise à jour;
Prenez le temps de comprendre les concepts de base : chaque CMS a ses spécificités, sa logique, n'essayez pas d'aborder eZ Publish en le comparant à un autre produit que vous connaîtriez. Il est important de comprendre son modèle de contenu, les notions de siteaccess, de surcharge, le modèle de contenu avec les objets et les nœuds, etc. La documentation est dense mais assez bien faite, prenez le temps d'étudier les principaux concepts avant de vous lancer;
Activez le debug : eZ offre de nombreuses options de debug, pour voir les règles appliquées, les surcharges utilisées, etc. Elles sont utiles, même si je les trouve un peu limitées (par exemple certaines erreurs de syntaxe dans les templates ne génèrent aucune erreur mais mènent à des résultats assez étranges). Et faites attention au cache: eZ utilise plusieurs niveaux de cache, et plusieurs politiques de rafraîchissement. Le premier réflexe lorsque quelque chose ne fonctionne pas est de vider tous les caches (pour plus de sûreté, je le fais généralement en ligne de commande plutôt que par le BO, plus par superstition d'ailleurs). Plus généralement, en développement, réglez votre cache pour qu'il soit plus souvent rafraîchit^[1] ... mais pensez à modifier ces réglages en production !
Faites appel à la communauté : eZ dispose d'une communauté large et réactive (mais essentiellement anglophone). En fouillant dans les forums, vous trouverez la réponse à la plupart de vos questions;
Soyez clairs : quand vous posez une question dans un forum, donnez autant de détails que possible;
N'utilisez pas de plus gros marteau : il y a souvent plusieurs moyens d'arriver à un résultat. Si vous n'arrivez pas à faire quelque chose, avant d'essayer de passer en force, demandez-vous s'il n'y aurait pas moyen d'arriver au résultat avec une autre méthode. Reformulez votre besoin, parlez-en autour de vous, envisagez d'autres approches...
Commentez ce que vous faites : que ce soit dans les templates ou les fichiers de paramètres, décrivez précisément ce que vous faites, pour vous aider à comprendre quand vous re-tomberez dessus dans 6 mois. Euh, encore un conseil qui s'applique urbi et orbi.
Respectez les normes de codage utilisées dans le CMS: là encore ça me semble évident. Cela dit, elles ne sont apparemment plus publiques mais accessibles uniquement aux partenaires d'eZ. Etrange... Mise à jour du 12.10 Damien me signale que l'ancienne version de la documentation contenait une précédente version de ces normes de codage. J'en profite pour signaler que la documentation a été refondue en 2005, mais que la nouvelle ne reprend pas entièrement l'ancienne. Celle-ci est heureusement encore en ligne. N'hésitez pas à y jeter un œil: si elle est en partie périmée, vous y trouverez des articles qui ne figurent nulle part ailleurs.
Spécifiez en pensant à la logique d'eZ : avant de vous lancer dans le développement, définissez clairement le plan du site, la liste des types des contenus, les contextes d'affichages de chacun.

Je rajouterai un 11° conseil: commencez par comprendre le plan de la documentation: elle contient de très nombreuses informations, encore faut-il les trouver. La référence devrait être votre bible, prenez le temps de comprendre son organisation.

PS: si vous voulez découvrir eZ Publish, eZ France organise une réunion le 7 novembre à Paris avec entre autres un atelier pour développeurs débutants.

Notes

[1] il existe un réglage très pratique mais assez méconnu, puisque sa description dans un fichier de paramètres n'est pas reprise dans la documentation: dans la section TemplateSettings de votre surcharge du site.ini, réglez DevelopmentMode à enabled. Ainsi, eZ effectuera davantage de tests pour éterminer s'il doit utiliser la version cachée d'un template, ou s'il doit le recompiler.

Redmine: premières impressions

Clochix — Sat, 11 Oct 2008 10:59:00 +0200

Utilisateur satisfait de Trac depuis des années, je regrette qu'il faille installer une nouvelle instance par projet^[1] et que bon nombre de manipulations nécessitent un accès en console^[2]. Et puis, pas la peine de le nier, il y a tellement de bruit autour de redmine depuis des mois que, badaud attiré par les attroupements, j'ai voulu me rendre compte par moi-même. Toute première impression, en exclusivité pour Toi lecteur/lectrice/spider.

Notes

[1] même si Tristan a développé un package Debian qui facilite grandement la chose, il faut encore en passer par la ligne de commande pour créer un projet

[2] quoique la version 0.11 simplifie bien les choses en intégrant enfin nativement le module WebAdmin

(nota: j'ai commencé à rédiger ce billet début Août mais viens juste de le relire et de lui donner le BAT, certaines des infos sont donc probablement périmées)

Redmine est un gestionnaire de projets en ligne qui offre de nombreuses fonctionnalités:

une seule instance de redmine permet de gérer plusieurs projets; chaque projet a sa propre configuration (modules activé, rôles des utilisateurs, etc) et on peut créer des sous-projets (quoique je n'ai pas encore trouvé comment adapter cette fonctionnalité à mes besoins). Les projets peuvent être publics ou accessibles uniquement à leurs membres;
il peut s'interfacer nativement avec de nombreux gestionnaires de sources: SVN, CVS, Git, Mercurial, Bazaar, Darcs...
en plus des modules présents nativement dans Trac (wiki, suivi de tickets), Redmine offre aussi des diagrammes de Gantt (miel pour attirer les chefs de projet), la possibilité de suivre le temps passé sur les tâches et de faire plein de rapports (idem), un gestionnaire de documents amélioré, des forums...
il est multilingue;
il peut gérer les utilisateurs en se connectant à un annuaire LDAP;
tout est administrable en ligne, via un "back office";
et bien plus;

Plutôt alléchant ! Trac, et c'est une de ses forces, dispose de centaines de plugins qui élargissent son domaine d'action bien au delà de ce que fait Redmine pour l'instant, mais le fait de disposer d'autant de fonctionnalités nativement est un confort appréciable.

Du côté des "risques" à l'adopter dès aujourd'hui, je citerai :

sa relative jeunesse : je n'ai cependant pas encore rencontré de soucis notable avec la version actuelle, étiquetée 0.7.3
conséquence de sa jeunesse, il dispose pour l'instant de beaucoup moins de modules additionnels que Trac. Si vous avez un besoin qu'il ne satisfait pas nativement, vous aurez moins de chance de trouver votre bonheur parmi les plugins.
RoR : il est basé sur le framework Ruby on Rails. Ce qui n'est pas un défaut, loin de là, mais les compétences sont encore peu nombreuses, et votre administrateur pourra rechigner à installer un nouvel environnement qu'il ne maîtrise pas. L'installation elle-même n'est pas forcément triviale;
l'intégration avec Mylyn laisse encore à désirer. Elle est possible via le connecteur générique, mais j'ai pour l'instant butté sur un problème de certificat auto-signé de mon site^[1]. Un connecteur spécifique est en cours de développement, mais pas encore en version alpha, donc je ne l'ai pas testé;

Première impression

Première déconvenue en me rendant sur le site de Redmine: là où Trac faisait dans le rouge et le gris sombre, Redmine est résolument bleu. Or je déteste le bleu. Hop, fin de l'expérimentation de Redmine, je retourne à mon Trac.

(après une nuit de galère à installer le bouzin, je me dis que j'aurais mieux fait de m'en tenir à cette première impression :-S)

Installer Redmine sur Debian Lenny

Je ne vais pas faire un guide d'installation complet, car j'ai tant galéré que je ne suis pas trop sûr des manipulations qui ont conduit le machin à fonctionner.

Il n'existe pas encore de version packagée pour Debian de Redmine. Il faut donc tout faire à la main: installer les dépendances, télé-charger l'application, deviner où l'installer, faire des chown et les chmod qui vont bien... Rien de compliqué, mais ça rappelle que le logiciel est encore en phase de développement, même s'il semble plutôt stable et utilisable.

Premier problème, la version stable actuelle (0.7.3) présente une incompatibilité avec Ruby 1-8-7 présent dans Lenny. Il faut patcher un fichier, comme expliqué dans ce thread, pour supprimer un message d'erreur :-S. Ceci fait, on se retrouve avec une application qui fonctionne à peu près.

Sauf que manifestement les applis Rails aiment bien leur autonomie, et se promènent avec leur propre serveur web. Ainsi Redmine tourne tout seul via le serveur WEBRick qui écoute sur le port 3000. Sympa, mais j'ai un Apache qui tourne sur la machine, et pas trop envie de multiplier le nombre de serveurs, de ports ouverts, etc. Et c'est là que la galère a vraiment commencé: comment faire fonctionner Redmine avec Apache ?

Apparemment, plusieurs possibilités s'offraient à moi:

utiliser mod_proxy pour rediriger les requêtes vers WEBRick. Mais en l'occurrence je voulais me passer de WEBRick;
les seules autres documentations que j'ai trouvées concernaient l'utilisation d'Apache comme load balancer devant Mongrel. Mongrel est un autre serveur Web écrit en Ruby. Là encore, ce n'est pas ce que je voulais faire;
en utilisant mod_rails, aka Passenger. L'installation paraissait simple, un simple gem install passenger^[2], mais celui-ci a quasiment planté mon serveur. Après quelques recherches, il s'avère que gem est extrêmement gourmand en mémoire, et que même en arrêtant tous les autres services, les 256Mo de ma part Gandi n'étaient pas suffisant^[3]. Hop, suivant;
utiliser Redmine en CGI. C'est la solution sur laquelle je me suis rabattue dans un premier temps (fast-cgi pour être précis);

Installation en (fast) CGI

installer les paquets qui vont bien, en l'occurrence le module apache libapache2-mod-fastcgi et les bibliothèques fast-cgi pour Ruby : libfcgi-ruby1.8.
configurer Apache: dans le cas d'un vhost, il faut faire pointer la racine du site vers le répertoire public de redmine, et autoriser la lecture du .htaccess situé dans ce répertoire:

DocumentRoot /var/www/redmine/public
<Directory "/var/www/redmine/public">
  AllowOverride All
</Directory>

configurer Redmine
- dans le fichier config/environment.rb dé-commentez ou ajoutez la ligne

ENV['RAILS_ENV'] ||= 'production'

** dans le répertoire public, renommez ispatch.fcgi.example en dispatch.fcgi et rendez-le exécutable.

Et c'est tout ! Oui, au final ça a l'air tout simple et rien ne justifie les heures que j'y ai perdues, si ce n'est mon ignorance crasse de la vie du Rails, et le manque de documentation.

Avec mod_rails

Après quelques jours d'utilisation, le cgi ne semblait ni très réactif, ni très stable, avec des plantages réguliers dans les logs, se traduisant par des erreurs 500 aléatoires sur le site. Sur les conseils d'un camarade de bac à sable, j'ai alors re-tenté d'installer mod_rails. Après quelques recherches sur les forums, j'ai trouvé une astuce pour réduire la consommation mémoire de gem: l'appeler avec l'option -B 1000000. Nouvelle tentative, le serveur ne plante pas, l'install va un peu plus loin, et se plante en signalant l'absence de mkmf. apt-file search mkmf.rb, apt-get install ruby1.8-dev, gem install passenger -B 1000000, wéééé, joie, ça passe, ça marche, et le résultat semble bien plus rapide et stable qu'en CGI, hop, adopté.

A l'usage

Le principal défaut de Redmine est simple à corriger, la création d'un thème avec une simple CSS supprime le bleu. Et ensuite... Ensuite il faudrait que je l'utilise pour de vrai, sur un vrai projet, pour vraiment l'évaluer. Comme Couac est en sommeil en ce moment, va falloir que je teste sur des projets pros (histoire que les heures que je perds chaque jour à vendre mon corps servent à quelque chose), donc que je convainque Chef de me laisser l'installer et migrer un projet dessus. Chef, toi dont le ramage du plumage est à l'image de l'hommage...

Notes

[1] oui je sais il suffit d'importer le certificat dans Eclipse, j'ai trouvé une doc sur le sujet

[2] gem est le gestionnaire de paquets de Rails, l'équivalent par exemple de la commande pear pour PHP

[3] gem essaie de télécharger et de monter en mémoire la liste de tous les paquets existants, et vu la vitalité de la communauté Rails, ça fait un paquet de monde

11 octobre contre la peur

Clochix — Wed, 08 Oct 2008 08:40:00 +0200

Freedom not fear : non, ce n'est pas le nom d'une prochaine opération militaire des USA, mais d'une journée internationale de mobilisation pour la défense des libertés numériques. Le 11 octobre, samedi prochain, dans le monde entier des initiatives vont avoir lieu pour défendre le droit à la vie privée et à la liberté d'expression en ligne. Vu le nombre de menaces qui planent sur nos vies digitales et numériques, c'est plus que d'actualité. L'initiative en revient à des groupes de hackers et des associations de défense des liberté d'un peu partout.

L'appel du collectif français est assez clair, inutile que je le paraphrase:

Le 11 octobre 2008 de nombreuses organisations dans le monde participent à une journée d’action contre les atteintes à la vie privée, et à la liberté d’expression et d’information.
En France, ces atteintes sont particulièrement graves: fichage général de la population, des préférences sexuelles, des origines raciales, des opinions politiques ou religieuses (Ardoise, Edvige, Cristina). Fichage des élèves (Base élèves, Sconet). Instrumentalisation des enfants afin de faire accepter le contrôle biométrique (bornes biométriques dans les écoles). Prélèvements génétique et fichage adn des militants, voire des journalistes. Puçage et traçage RFID (internet des objets). Géolocalisation.Extension de la vidéo surveillance, utilisation de Drones en banlieue. Mise sur écoute préventive des activités des internautes et de leurs communications. Riposte graduée (projet de loi hadopi de désabonnement des internautes). Filtrage de l’internet. Prohibition logicielle et verrouillage des contenus (loi DADVSI, amendement VU,DRM). Privatisation de la justice du net en matière de liberté d’expression (LCEN-Responsabilité des hébergeurs). Prohibition de la mise en ligne de vidéos démontrant des violences policières (Loi prévention délinquance). Projet de Labellisation des ‘bons’ sites d’information par le ministère de la culture et de la communication (Rapport Tessier). Cyber-ordre moral (Commission nationale de déontologie). Nouvelles menaces législatives sur le délai de prescription des délits de presse en ligne.
L’ensemble de ces atteintes, menant tout droit à un véritable totalitarisme informationnel, nous concerne tous

A Paris, une manifestive est appelée à 14h au départ de la Place de la République, vers la Porte de la Villette. Elle sera suivie de deux fiestas, l'une dans le 13°, l'autre dans le 19°, avec des débats, des ateliers, des projections, des concerts, des rencontres...

Toutes les infos sur Human Rights. Vous pouvez aussi lire le communiqué des Big Brother Awards France,

Signer des pétitions en ligne, écrire des billets, débattre dans les forums, c'est nécessaire, mais parfois il faut aussi montrer que l'on tient suffisamment à ces libertés pour se mobiliser IRL. Moi, j'y serai, on s'y croisera ?

La géolocalisation arrive dans Firefox !

Clochix — Wed, 08 Oct 2008 02:57:00 +0200

Les Laboratoires Mozilla viennent d'annoncer Geode, une extension permettant à un site web de savoir où vous êtes, avec votre accord bien sûr. A défaut d'avoir pu la tester, voici une rapide présentation de ce que promet l'annonce.

L'implémentation de la future API de géolocalisation du W3C est en train d'arriver dans Firefox. La cible principale est Fennec, la future version de Firefox pour périphériques "portables", mais elle devrait être également disponible dans Firefox 3.1 (on peut déjà jouer avec dans les compilations nocturnes). Pour permettre aux internautes de commencer à se l'approprier et à inventer de nouveaux usages, les développeurs des Laboratoires Mozilla en ont porté une version sous la forme d'une extension, Geode, que l'on peut dès à présent installer dans Firefox 3.

Comment ça marche

L'Api permet à un script s'exécutant dans une page web de connaître la position du navigateur, via l'appel à une méthode du navigateur. Celui-ci détermine sa position en faisant appel à des services: GPS, Wifi, etc et, avec l'accord de l'utilisateur, communique sa position au script, qui peut lui-même la transmettre au serveur d'origine via une requête asynchrone.

Pour l'heure Geode ne permet de déterminer la position du navigateur qu'en faisant appel à un seul service, fournis par la société SkyHook Wireless, et basé sur la localisation des bornes wifi les plus proches.

L'API

L'APi de géolocalisation du W3C est encore à l'état de brouillon. Elle fournit une interface de haut niveau permettant de communiquer la position du navigateur, indépendamment de la technologie utilisée pour déterminer celle-ci.

La position du navigateur est retournée sous la forme d'un objet comportant les attributs suivants:

latitude : comme son nom l'indique, en degrés;
longitude : idem;
altitude : l'altitude en mètres au dessus du niveau de la mer;
accuracy : la précision en mètres de la latitude et de la longitude;
altitudeAccuracy : idem pour l'altitude;
heading : la direction dans laquelle l'objet est tourné, en degrés par rapport au nord (donc 90 si vous êtes tournés vers le lever du soleil et que j'ai bien compris)
velocity : la vitesse de déplacement en mètres par secondes;
timestamp : l'heure exacte de la mesure sous la forme d'un timestamp;

Ces données sont manipulées via l'interface ClientInformationGeolocation ajouté à window.navigator. Celle-ci retourne un objet implémentant Geolocation, qui possède les propriétés et méthodes suivantes:

lastPosition : la dernière position connue de l'objet;
getCurrentPosition() : retourne immédiatement la dernière position connue de l'objet, puis met à jour la position (une opération qui peut prendre du temps). Elle accepte trois paramètres: le premier est une fonction de callback qui sera appelée en cas de réussite de la mise à jour de la position, la nouvelle position lui étant passée; le deuxième est une fonction de callback appelée en cas d'erreur. Enfin le dernier contient des options;
watchPosition() : retourne immédiatement la dernière position connue de l'objet, puis la met à jour et la surveille, c'est à dire que la fonction passée en premier argument sera appelée à chaque fois que la position de l'objet change;
clearWatch() permet d'arrêter le suivi de la position démarrée par le précédent appel;

Un exemple sera sans doute plus clair:

pour juste connaître la position actuelle du navigateur:

navigator.geolocation.getCurrentPosition(function(pos) {
  alert( pos.latitude + ", " + pos.longitude );
})

pour afficher une alerte à chaque fois que la position change:

navigator.geolocation.watchPosition(function(pos) {
  alert( pos.latitude + ", " + pos.longitude );
})

Enfin, les fonctions getCurrentPosition() et watchPosition() acceptent une option sous la forme d'un objet PositionOptions:

enableHiqhAccuracy : booléen indiquant si on veut une réponse précise ou non;
timeout : la durée (en millisecondes) avant d'estimer que la recherche de la position est infructueuse;

Le service

Pour vous localiser, Geode fait appel à Loki, une technologie développée par SkyHook Wireless qui permet de géo-localiser un objet disposant d'une connexion wifi à partir des adresses MAC des bornes les plus proches. Dans les régions urbaines bien couvertes, la localisation se fait à 20 ou 30 mètres près. C'est ce service qui est déjà utilisé par exemple par les iPhones non munis de GPS. Il est censé être beaucoup plus rapide que le GPS. Reste à savoir quelle est sa fiabilité hors de l'Amérique du nord.

Pour quels usages ?

Les usages sont bien entendus à inventer, et c'est une des raisons d'être de Geode. L'annonce en suggère certains: des classiques, comme trouver des services à proximité de l'endroit où vous vous trouvez, et d'autres plus originaux. Par exemple, votre navigateur pourrait déterminer si vous êtes chez vous ou à votre bureau, et modifier son comportement en fonction (changer le thème, planquer certains marques pages etc). On peux aussi imaginer un renforcement de la sécurité en n'autorisant la connection à une application en ligne que si l'utilisateur est physiquement dans les locaux de l'entreprise (l'Api permet en théorie une géo-localisation précise, y compris en terme d'altitude, pour peu qu'on fasse appel à un service offrant une assez grande précision)

Et ma vie privée dans tout ça ???

C'est évidemment la première question que je me suis posée. Geode implémente une interface utilisateur qui, à chaque fois qu'un script dans une page veut interroger le navigateur pour savoir où vous êtes, vous avertit et vous permet de choisir si vous acceptez de répondre, et avec quelle précision. Si vous acceptez de répondre, Geode va faire appel à SkyHook pour vous localiser. Il ne vous reste plus qu'à faire confiance à la politique en matière de respect de la vie privé de celui-ci. A terme (normalement à partir de FF 3.1), l'utilisateur pourra choisir les services que son navigateur peut utiliser pour déterminer sa position.

Etant un grand sédentaire paranoïaque, je ne pense pas que cette extension va révolutionner mon usage du Net. Mais pour tous les internautes qui ne partagent pas avec moi ces deux détails, je pense que Geode est un grand pas de plus vers l'apparition de services que dans quelques mois vos petits enfants imagineront même pas que vous ayez pu vivre dans un monde sans. Décidément, Firefox, ça déchire !

En vrac

Clochix — Tue, 07 Oct 2008 00:38:00 +0200

La famille du lézard s'agrandit Amis du WYSIWYG, réjouissez-vous, Glazou est de retour et il n'est pas content. Le successeur de Nvu a officiellement été annoncé cette semaine, il s'appellera BlueGriffon. Pour les non-nonagénaires de mon public, Netscape Navigator comprenait jadis un outil permettant de créer des pages oueb, outil repris dans la suite Mozilla. C'est avec lui que papy a créé ses premières pages web, avant d'apprendre HTML. Quand la suite Mozilla a été découpée en Firefox et Thunderbird, l'éditeur HTML a lui aussi pris son autonomie, sous le nom de Nvu, dont Daniel Glazman avait abandonné le développement il y a quelques années, jugeant la base de code obsolète. Il revient aujourd'hui avec BlueGriffon, qui est basé sur les dernières versions de Gecko. Si vous utilisez encore dreammachin, préparez-vous à lui dire au-revoir, et guettez la sortie de la première release du Griffon.

Un peu de beauté dans ce monde de merde, je viens de découvrir le blog Sooth Brush, cliquez vite pour aller vous en repaître les mirettes, ça fait du bien;

Travailler autrement : Surletoit est un collectif à géométrie variable de travailleurs du web indépendants qui unissent ponctuellement leurs compétences pour réaliser des projets. Cela leur offre de la souplesse et leur permet, en tant que collectif, de conserver une certaine étique. La démarche et le fonctionnement me plaisent bien,

Informatique sérieuse : Connaissez-vous la notion de PRA ? C'est l'ensemble des dispositions qui permettent à un système informatique de ressusciter après une crise grave. C'est un concept dont je n'avais plus entendu parler depuis que je fais dans la maçonnerie de toile, mais très important dans les domaines où l'informatique ne peut pas se permettre d'avoir la moindre seconde de raté. Le camarade NiCoS a récemment participé à des exercices pour tester le PRA de sa boîte et nous fait part de son retour d'expérience, qu'il en soit remercié

Vroum-vroum : Une info qui va faire plaisir aux automobilistes: Tomtom, fabriquant de GPS, a racheté l'an dernier Tele Atlas, une des principales sociétés fournissant des cartes et des données de navigation. Or les GPS peuvent, j'espère avec l'aval de leurs possesseurs, fournir des informations à Tomtom, données ensuite intégrées aux services de Tele Atlas. Un premier exemple vient d'être annoncé. Grâce aux GPS, Tomtom peut connaître la vitesse moyenne sur de très nombreuses routes, non pas dans l'absolue, mais en fonction du jour et de l'heure. Ces données vont être mises à disposition de Tele Atlas. Ainsi, les logiciels de calcul d'itinéraire pourront fournir des réponses plus fiables, en se basant sur une prévision de l'état réel du traffic. C'est un exemple de plus de crowdsourcing: les utilisateurs de GPS fournissent gratuitement à Tomtom des informations que celle-ci va ensuite leur revendre via des services payants. Espérons qu'un projet libre et ouvert voie le jour, à l'image d'OpenStreetMap. (accessoirement, il me semble que Google a signé un partenariat avec Tele Atlas, donc ils auront peut-être également accès à ces données)

Détente : un bilboquet numérique si vous avez du temps à perdre. A déconseiller aux nerveux... (via ecrans.fr)

Outils : le site GestionDeProjet.Lu propose un compte-rendu d'une rencontre qui s'est tenue il y a quelques mois sur les outils "open source" de gestion de projet. Au menu, une présentation, et une matrice de comparaison des fonctionnalités.

Sécurité: attaque par vol de cookie

Clochix — Sun, 05 Oct 2008 20:13:00 +0200

Je viens de découvrir sur le blog de Mike Perry une intéressante attaque par vol de cookie. Elle n'est pas récente, mais a eu quelques développements ces derniers temps, je vais donc essayer d'en donner une rapide explication ici.

Cette attaque nécessite "juste" que quelqu'un puisse à un moment ou un autre intercepter vos communications. A l'heure du wifi, des LAN, etc, tout le monde est donc potentiellement vulnérable.

Imaginez que vous vous connectiez à votre compte de messagerie via un webmail. Vous êtes prudents et utilisez le protocole https. Vous vous connectez donc à https://www.monmail.net. Le site dépose sur votre disque un cookie qu'il utilisera lors de vos prochaines requêtes pour vérifier que vous êtes bien authentifié. La communication est chiffrée avec https, donc même si quelqu'un l'intercepte il y a peu de risque qu'il puisse en faire quelque chose.

Imaginons maintenant que Bill, un méchant, intercepte vos communications et soit capable d'y injecter du code. Un peu plus tard, vous surfez tranquillement sur un autre site, et Bill modifie la réponse du serveur pour y insérer une image hébergée sur le serveur où se trouve votre webmail:

<img src="http://www.monmail.net" style="display: none" />

Peu importe que l'image existe, il faut juste que son url soit en http. Votre navigateur reçoit la page, interprète le HTML, et envoie des requêtes pour charger toutes les images. Chaque fois qu'il envoie une requête vers un serveur, il ajoute dans l'entête l'ensemble des cookies définis pour ce domaine. Il va donc envoyer en clair au serveur monmail.net une requête contenant le cookie identifiant votre session. Peut importe la réponse du serveur, Bill ne cherche qu'à intercepter la requête de votre navigateur et son précieux cookie en clair. Il pourra ensuite utiliser le cookie pour se faire passer pour vous et accéder à votre compte. Et si, par commodité, le cookie a une durée de vie de quelques jours et que vous ne l'effacez pas vous-même (par exemple en vous déconnectant de votre compte), Bill n'a même pas à faire ça en direct, il pourra utiliser le cookie aussi longtemps qu'il sera valide.

En fait, ce n'est pas si simple, car le protocole HTTP permet d'éviter cette situation, en précisant que le cookie ne doit être transmis que si le canal est chiffré. Il faut pour cela ajouter l'attribut secure à l'entête définissant le cookie:

Set-Cookie: toto1=aaa; path=/
Set-Cookie: toto2=aaa; path=/; secure

Ici, le cookie toto2 ne sera transmis qu'à travers des connexions sécurisées. (cf la RFC 2965).

En PHP, pour positionner cet attribut, il faut utiliser le paramètre secure de la fonction setcookie. Attention, par défaut les cookies utilisés pour les sessions ne sont pas sécurisés, vous devez utiliser le paramètre session.cookie_secure du fichier php.ini.

Malheureusement, d'après Mike Perry, de très nombreux sites web, dont gmail, n'utilisent pas de cookies sécurisés, et sont donc vulnérables à ce genre d'attaques ! Il affirme les avoir prévenus du danger il y a plus d'un an. Malheureusement, bon nombre de sites n'ont pas encore pris les mesures pour corriger ce problème. Pour les inciter à s'activer, Mike a donc développé CookieMonster, un programme permettant d'automatiser ce vol de cookies.

Et vous, est-ce que les sites que vous développez sont vulnérables ?

Pour aller plus loin:

une présentation de l'attaque donnée au mois d'Août;
les nombreux posts de Mike sur le sujet;

En vrac

Clochix — Fri, 03 Oct 2008 13:39:00 +0200

Rapidement et avant que ça ne soit complètement périmé...

Solidarité De chacun selon ses moyens, à chacun selon ses besoins Si les avis sont partagés sur l'auteur de cette citation, elle n'en demeure pas moins pour moi une des bases de l'utopie politique. Et s'applique à merveille au Monde Libre. A chaque fois que j'ai eu besoin, pour moi ou des gens que j'apprécie, d'un outil, je l'ai trouvé dans le Monde Libre. Pour s'exprimer sur le web, l'un des outils les plus pratiques que je connaisse est Dotclear. Il allie la richesse fonctionnelle à une finition et une ergonomie excellentes, et une communauté vivante, réactive, remarquable. Dotclear répond depuis des années à mes besoins. Et c'est lui qui a aujourd'hui besoin de nous. Olivier, l'heureux papa, a annoncé il y a quelques jours que le projet s'autonomise. Pour ne plus dépendre de personne, la communauté va créer une structure lui qui fournira un cadre et d la logistique, en premier lieu l'hébergement d'un serveur. Pour cela, ils ont besoin de soutien financier. Donc, chacun selon nos moyens, aidons-les. Et continuons à suivre de près le blog du projet, après l'argent Olivier a annoncé qu'ils ferait appel à d'autres compétences...

Bistro - Elvis n'est pas mort, et on en a enfin une preuve irréfutable ! Les documents d'identité à puce RFID sont dangereux, il permettent non seulement un flicage supplémentaire, mais sont aussi falsifiables et exposent donc au vol d'identité. Il suffit de lire à distance la puce et de la cloner, comme vient de l'expliquer "The Hacker's Choice", un groupe d'experts en sécurité. Et pour fêter ça, l'Etat français vient de décider d'augmenter de 30% à 50% le prix du passeport électronique. Mesure qui ne concerne pas grand monde car qui a encore de nos jours les moyens de voyager ?

Maître du monde - Google a déposé un brevet décrivant un data-center offshore. Les avantage de cette solution seraient de pouvoir utiliser l'énergie marémotrice pour alimenter ses serveurs, l'eau de mer pour le refroidissement, de se connecter directement sur les câbles sous-marins (dans lesquels ils investissent actuellement) et, last but not least, d'héberger des données hors des eaux territoriales, donc d'échapper aux législations nationales. (source: http://www.datacenterknowledge.com/...)

Sécurité - lesnouvelles.net publie un article assez didactique sur un cheval de Troie capable de contourner la plupart des protections qui existent actuellement pour sécuriser une transaction web. Il agit comme un proxy local (à la manière de Privoxy) pour lire et éventuellement modifier à la volée toutes les communications internet. Par exemple, si vous effectuez un virement interbancaire en ligne, il est capable de modifier de façon totalement transparente le numéro du compte destinataire. A diffuser pour expliquer l'importance de protéger sa machine et de ne pas faire n'importe quoi en ligne.

Weberies:
- série d'articles de fond chez Openweb sur les formulaires HTML: comment faire des formulaires accessibles, comment les valider en JavaScript, et comment aller encore plus loin dans cette validation.
- Éric Daspet a mis en ligne le support de l'atelier sur l'optimisation et les performances des sites web qu'il a animé lors du W3café de septembre. Eric animera une session sur le même sujet lors du Forum PHP 2008 organisé par l'AFUP.
- Natalie Downe a donné une excellente présentation sur l'utilisation de CSS, mêlant conseils de design et trucs pratiques. Les slides sans notes n'étant pas toujours simples à comprendre, téléchargez plutôt le PDF.
- Microsoft et Nokia vont intégrer jQuery à leurs plate-formes respectives. Pour rappel, jQuery est une petite bibliothèque JavaScript qui apporte une solution au principal problème de ce langage: sa différence d'implémentation dans les différents navigateurs. jQuery propose une sur-couche orientée manipulation du DOM, qui propose une syntaxe élégante et compatible avec tous les navigateurs. Elle est de plus ouverte et facilement extensible, c'est donc une bonne base pour des développement JavaScript. Bref, si vous ne vous y êtes pas encore mis, il est grand temps, car elle semble promise à un bel avenir.

Quand la liberté devient torture

Clochix — Thu, 02 Oct 2008 00:22:00 +0200

Jean-Marc Rouillan est quelqu'un pour lequel j'ai un profond respect. Il a eu le courage de mettre sa pratique en adéquation avec ses rêves de liberté et de justice sociale. Attention, je ne l'idéalise pas, les surhommes et les héros n'existent que dans les BD et la propagande, je sais que c'est un homme avec ses défauts. Mais je respecte son courage dans un monde où la lâcheté est ce qu'il y a de mieux partagée, et par moi le premier.

Après avoir participé à la défaite du franquisme, Jean-Marc et ses camarades ont hélas perdu une bataille en fRance. Ils l'ont payé très cher, d'un prix à la mesure du danger qu'ils avaient représenté pour ce système et ses puissants bénéficiaires. Aujourd'hui, Joëlle Aubron est morte, Georges Cipriani et Nathalie Ménigon gravement malades.

Étonnamment, 20 années d'acharnement dans les geôles de la République n'ont pas réussi à briser Rouillan. Malgré 20 ans dont chaque seconde était soumise à l'arbitraire total de l'administration pénitentiaire, malgré les années d'isolement, les vexations, les brimades, la répression implacable de chacune de ses parcelles de liberté, il n'a rien renié, il est resté fidèle à ses rêves. Toutes les tentatives pour l'anéantir ayant échoué, l'Etat en a inventé une autre: la semi-liberté.

Emprisonné, condamné à perpet, un homme n'a plus grand chose à perdre. Le système a finalement peu de prise sur lui. Il faut donc lui donner quelque chose pour essayer de retrouver une emprise sur lui. La semi-liberté a été, d'après ses propres dires une déstabilisation complète. Ce que j'avais réussi à créer en prison, ils s'attachent à le détruire.. Elle s'accompagnent en effet de conditions drastiques, notamment l'interdiction de s'exprimer sur l'expérience AD. Elle permet surtout à l'Etat d'essayer de contrôler un peu plus cet homme libre, qui n'a jamais renoncé, jamais rien renié, qui n'a pas trahi, pas abjuré son engagement à changer la société. L'Etat veut contrôler chacun de ses gestes, chacune de ses parole, mieux encore que lorsqu'il était en geôle, en brandissant la menace d'une révocation de la semi-liberté au moindre faux-pas. Ils ont réussi à transformer la Liberté en nouvelle forme de torture. Suprêmement abject.

Le parquet, en agissant ainsi, ne fait qu'apporter une preuve de plus de la justesse du combat mené par AD: un système capable de transformer la liberté en torture ne se réforme pas: il se détruit.

(bande sonore: Le mitard, de Trust)

Quelques nouveautés de Firefox 3.1...

Clochix — Tue, 30 Sep 2008 23:59:00 +0200

Si vous ressentez un petit coup de froid cette nuit, c'est normal, c'est à minuit qu'interviendra le gel du code précédant la sortie de la première béta de Firefox 3.1, Shiretoko pour les intimes. L'occasion de citer en vrac quelques unes de ses nouveautés dont je n'ai pas encore parlé...

Les plus visibles

Les fonctionnalités les plus marquantes sont sans doute TraceMonkey et le support natif du son et de la vidéo. TraceMonkey est une évolution du moteur JavaScript, qui améliore la réactivité des sites très dynamique. Le chantier est en cours, mais Shiretoko bénéficiera de premiers gains de performance. Quant aux balises audio et video, elles permettront d'insérer dans une page web du son et des vidéos qui pourront être lues directement par le navigateur, sans avoir besoin d'installer le moindre plugin. Ces balises sont disponibles dans les compilations nocturnes depuis un petit moment, mais le design de leur interface est en cours de finalisation. De nombreux articles ont déjà été consacrés au sujet, je n'y reviens pas.

Le p0rn mode devrait finalement être disponible dans la 3.1 finale, mais sans doute pas visible avant la béta 2. Cette fonctionnalité avait dans un premier temps été repoussée, les discussions sur son design n'étant pas assez avancées. Mais comme Chrome et IE8 se gargarisent d'offrir déjà cette fonction, elle a finalement été ré-intégrée à Shiretoko, quitte à en retarder la sortie. Pour les âmes pures qui ne suivent pas, le porn mode donne la possibilité de surfer sur des sites de cul^[1]^[2] sans laisser de traces sur l'ordinateur, ni cookies, ni historique, etc.

Autres nouveautés très visibles, la petite animation quand vous naviguerez entres les onglets à coups de Ctrl-Tab, et des évolutions du système d'onglet, comme par exemple un bouton à droite pour ouvrir un nouvel onglet (j'ai découvert récemment que tout le monde n'utilise pas Ctrl-T pour ça !). Mozilla Links publie un billet assez complet sur le sujet^[3].

Parcours simplifié du DOM

Le DOM est composé de nœuds de 11 types, dont les éléments, les attributs, le texte, etc. Les fonctions habituelles pour se promener dans l'arborescence d'un document (trouver les parents, enfants, frères et sœurs d'un nœud) ramènent l'ensemble de ces nœuds, alors que souvent seuls les éléments nous intéresse. Pour faciliter les choses, le W3C a défini une nouvelle interface, ElementTraversal permettant de ne parcourir que les éléments d'un document. Cette interface ajoute quatre propriétés à chaque nœuds : firstElementChild, lastElementChild, previousElementSibling, nextElementSibling, childElementCount. Pratique, et dans Shiretoko depuis quelques semaines

Chargement des scripts

Chaque fois que dans une page web le navigateur rencontre une instruction lui disant de charger un script externe, il interrompt l'affichage de la page le temps de charger et d'exécuter le script en question. C'est pour cela qu'il est fortement conseillé de placer les scripts externes non pas dans l'entête de la page, mais le plus près possible de la fin, idéalement juste avant le </body>. Si le temps réel d'affichage de la page ne change pas, l'expérience utilisateur est meilleure, puisque l'internaute voit sa page s'afficher plus vite, et ne remarque généralement pas le temps de chargement final des scripts.

Firefox 3.1 proposera une autre méthode, via l'ajout d'un attribut defer à la balise script. Cela indiquera au navigateur de ne charger et exécuter le script qu'une fois la page affichée. L'évènement onload lui ne sera toujours exécuté qu'après le chargement et la fin d'exécution de tous les scripts, qu'ils possède l'attribut defer ou pas. Cf cette explication complète sur l'usage de defer

Gestion des couleurs

Depuis la version 3.0, la gestion des couleurs dans Firefox a été améliorée, et le navigateur peut utiliser le profil ICC d'une image pour mieux restituer ses couleurs. Pour l'instant, cette fonctionnalité est désactivée par défaut, il faut modifier une préférence avancée pour en profiter, car elle cause dans certains cas des problèmes de performance. Problèmes à présent résolus et le nouveau système de gestion de couleurs a été activé par défaut dans Firefox 3.1 pour toutes les images qui possèdent un profil ICC. L'affichage de photos sur des écrans correctement calibrés devrait donc gagner en qualité. Parlez-en à vos connaissances photographes, graphistes et autres amoureux de belles images, si elles sont encore dans l'erreur.

Pour plus d'infos, allez jeter un œil à cette introduction à la gestion des couleurs sur MDC (ainsi qu'à sa page de commentaires ou par exemple à ce billet).

Et aussi

les chaînes JavaScript disposent (enfin) des méthode trim, trimLeft et trimRight, cf la discussion sur l'implémentation et le patch;
on peut à présent modifier "en masse" les mots clés (tags) associés aux marques pages, via le gestionnaire de bookmarks, cf le ticket 412002;
toujours à propos des mots-clés, leur saisie sera simplifiée grâce à une auto-complétion (ça devrait arriver très bientôt, cf le ticket 415960);
les dernières compilations nocturnes atteignent à présent le score de 89/100 au test Acid 3, et Frédéric a montré que si certains patches sont intégrés, la 3.1 pourrait bien atteindre 93/100, voire 97/100 en activant le support de SMIL :-);
Shiretoko proposer peut-être des méthodes JavaScript natives pour sérialiser des objets en JSON et les dé-sérialiser: ces méthodes sont déjà disponibles dans le chrome^[4], mais pas encore accessibles depuis les scripts s'exécutant dans une page web. Pour l'instant, la finalisation de cette fonctionnalité est suspendue au travaux du groupe de travail ECMA sur JavaScript 3.1 (lui aussi) "Harmony", afin que l'implémentation soit conforme à la spécification. Pour voir à quoi ressemble l'implémentation actuelle, tapez simplement l'url resource://gre/modules/JSON.jsm dans votre navigateur: cette fonctionnalité est en effet implémentée directement en JavaScript, via un JavaScript code modules^[5];

Plein de choses sont encore dans les tuyaux, et devraient me donner matière à de prochains billets, par exemple:

les workers JavaScript que j'ai déjà évoqués mais avec lesquels je n'ai pas encore eu le temps de jouer
peut-être la possibilité de faire des requêtes vers un autre site depuis du code s'exécutant dans une page web (c'est possible depuis FireFox 3 pour le code "privilégié", c'est à dire les extensions par exemple. Le spécification étant en plein travaux, je ne sais pas si cela sera finalement dans Shiretoko)
le support de la propriété CSS @font-face, pour permettre de proposer à l'internaute de télé-charger les fontes qui lui manquent pour afficher au mieux un site. Cette fonctionnalité est apparemment déjà disponible chez la concurrence, mais je suis assez partagé: elle va simplifier la vie des travailleurs du web, mais risque de provoquer une inflation de fontes sur le disque des internautes;
et bien plus encore, n'hésitez pas à consulter la liste prévisionnelle sur le wiki.

Notes

[1] je vais bien voir si les stats de ce billet explosent

[2] je vais aussi voir si ce billet vaut à mon modeste journal les foudres de l'Anastasie de ma boîte, car oui, il y a encore des tôles qui infantilisent leurs salariés en leur imposant un logiciel de contrôle parental qui bloque surtout les billets de blogs osant affirmer que telle ou telle chose sucks, oups, pardon.

[3] et je m'étrangle en allant sur le dit billet avec un nightly non protégée par l'indispensable Adblock Plus et en constatant qu'il est tout pollué de publicités Google incitant à télécharger IE. Berk !

[4] c'est à dire les extensions, rien à voir avec le logiciel espion de Google

[5] un concept introduit dans Firefox 3 qui permet de partager des bibliothèques de code entre différentes modules

Apple, c'est fini...

Clochix — Wed, 24 Sep 2008 23:53:00 +0200

... et dire que c'était les ordinateurs où j'ai écrit mes premières lignes d'assembleur. Au nom de cette nostalgie, j'ai très longtemps fermé les yeux et évité de trop égratigner la pomme ici. Mais tant va la cruche que de petites mesquineries et discrètes censures, à force ça ne passe plus. Et aujourd'hui, ce ne sont plus des balles dans le pied que se tire Apple, mais des rafales de boules de feu.

L'iPhone est censé être une plate-forme sur laquelle peuvent s'exécuter des applications tierces. Première restriction, seules les applications téléchargées via la boutique Apple peuvent être installées. Deuxième restriction, pour être distribuée dans la boutique Apple, il faut être validée par Apple, et le processus est apparemment assez opaque. Par exemple il ne faut pas que l'application en question risque de concurrencer un produit Apple. Deux applications viennent ainsi d'être refusées, ce qui signe leur arrêt de mort sans appel^[1]: un logiciel de gestion de podcasts, sous prétexte qu'il risquait de concurrencer iTune, et une application permettant de lire ses comptes GMail, elle risquait cette fois de faire de l'ombre à Mail.

Dernier épisode en date, Apple vient de rajouter à ses lettres de refus une phrase interdisant aux développeurs qui les reçoivent d'en révéler le contenu. Est-ce que la Pomme aurait peur de s'attirer une mauvaise image de censeur ???

Censure, j'ai dis censure ? Tiens, justement, Apple s'est aussi fait remarquer il y a quelques semaines en interdisant la diffusion d'une DB. Une application, Comic Reader permet de lire des bandes dessinées sur un iPhone. Une première BD compatible est sortie, Murderdrome. et a été soumise à l'Apple Store. Mais elle a été refusée, sous prétexte qu'elle violait les conditions d'utilisation du SDK^[2] qui interdit any obscene, pornographic, offensive or defamatory content or materials of any kind .

Tout cela n'est que la triste suite d'affaires plus anciennes, par exemple toutes les poursuites contre des journalistes et des blogueurs coupables d'avoir osé essayer d'informer au lieu de se contenter de relayer la communication de la firme (souvenez-vous du site thinksecret.com qui a fermé après trois ans de procès...)

Bref, les acheteurs d'iPhone se retrouvent avec un gadget acheté fort cher pour ce qu'il est: un simple robinet à contenus choisis par Apple, sur lequel ils n'ont la liberté ni d'installer les applications qu'ils veulent, ni de consulter les contenus qu'ils veulent, et qu'ils ne peuvent même plus transformer en sabre laser. Comment assassiner un gadget génial dont l'annonce avait provoqué tant d'enthousiasme, quel gâchis

Heureusement que de plus en plus de solutions libératrices arrivent sur les périphériques mobiles, qu'il s'agisse de systèmes complets, comme OpenMoko, ou de Fennec qui permettra de faire tourner des applications XUL.

Tiens, et en plus de ça, Apple installe des logiciels sur les PCs, même quand on le lui interdit. Tout cela est bien triste, la vieillesse est un naufrage, Steve et sa boîte ne sont définitivement plus cools ni sexys.

Bonus: petit dessin expliquant pourquoi l'iPhone va mourir (le dessin met en scène Android, une plate-forme concurrente pour laquelle sort un premier terminal. Une plate-forme lancée par Big Broogle, donc pas vraiment plus attirante...)

Notes

[1] sans compter les heures que leurs auteurs ont passées à les mettre au point en pure perte

[2] au passage ils confondent allègrement application et contenu, à ma connaissance un œuvre littéraire n'est pas concernée par un SDK

There is only XUL !

Clochix — Sat, 20 Sep 2008 23:31:00 +0200

Une fois n'est pas coutume, billet "école des fans". J'ai passé ma journée au premier MAOW, et c'était en tout point parfait. Je voudrais donc remercier chaleureusement:

les organisateurs et organisatrices du MAOW, l'équipe de xulfr et tout particulièrement Paul et Laurent
les intervenants
les participants^[1]
l'espèce de dinosaure rouge qui il y a 10 ans a commencé à secouer la chape de plomb qui aurait pu tuer le web. Aujourd'hui, grâce à Mozilla, le web est re-devenu un espace libre et ouvert où l'on peux rêver de lendemains un peu moins moches.

J'ai rarement passé une journée aussi intéressante:

j'ai pu toucher du doigt (que je ne laverai plus) ces légendes vivantes que sont Tristan, le Président de la Région Europe et Wladimir Palant, le principal développeur d'une des plus utiles extensions FF
j'ai récupéré de cholies posters
accessoirement les conférences étaient passionnantes, et les discutions que j'ai eue avec les autres participants tout autant.

Vivement que Paul mette les slides en ligne, j'ai vu passer des tas de liens sur lesquels j'ai hâte de cliquer (euh, patron, m'attends pas avant quelques jours, j'ai des trucs importants à faire là). Je connaissais l'existence de toutes les technos qui ont été évoquées aujourd'hui, mais cette journée m'a vraiment donné envie d'aller plus loin avec celles que je pratique, et de commencer à explorer les autres. Bref, assez papoté, il est grand temps de se mettre à hacker.

Notes

[1] petit regret, mais non imputable aux organisateurs, j'ai l'impression que la plupart des présents avaient un profil similaire. Par exemple je n'ai compté que 5 ou 6 filles sur plus de 100 personnes. Dommage pour un projet dont le but est de rendre le réseau accessible à tous et toutes.

En vrac

Clochix — Fri, 19 Sep 2008 01:25:00 +0200

Vers l'interopérabilité des carnets d'adresse ?

j'ai découvert il y a quelques jours le projet "Portable Contacts". L'initiative me semble très intéressante et mériterait plus que ces quelques mots, mais comme ça fait une semaine que je me dis que je dois en parler sans en trouver le temps, voici juste une brève introduction pour vous inciter à aller jeter un œil.

Le constat de départ est évident: nous avons de plus en plus de contacts éparpillés sur différents services et réseaux en ligne. Mais évidemment quand on utilise un service et qu'on veut signaler une information à une relation, on n'a son contact que sur un autre site. D'où la nécessité de définir une interface permettant d'accéder facilement à ses différents carnets d'adresse, d'où qu'on se trouve. C'est l'objet du projet Portable Contacts. Le projet ambitionne de définir:

un schéma de description d'un contact;
un mécanisme d'accès aux carnets d'adresse;
des règles d'accès;
tout en restant le plus léger possible. Vaste programme !

L'utilisation de base est très simple: on envoie à l'URI de l'API du service une requête HTTP GET contenant des paramètres, et le service répond en envoyant du XML ou du JSON. Les mécanismes de gestion de l'authentification et des droits reposent sur l'authentification HTTP et OAuth. La requête peut contenir différents paramètres, comme des filtres, des critères de tri et de pagination, et le format de la réponse attendue.

Outre le format des échanges, le brouillon de spécification définit également la structure d'une fiche du carnet d'adresse.

L'initiative est très intéressante, et j'espère qu'elle va prendre, même si elle ne semble pour l'instant supportée que par quelques individus, alors que la plupart des réseaux proposent leurs propres API, propriétaires.

Futurologie

Que ferez-vous en 2022 ? D'après la FAQ du WHATWG, c'est vers cette date que HTML 5 pourrait devenir une recommandation officielle du W3C. Ce qui pourrait sembler être une plaisanterie de geek est en fait une estimation assez sérieuse, en considérant que le processus pour parvenir jusqu'au stade final est de plus en plus complexe. Il suppose entre autres qu'il existe deux implémentations complètes et interopérables de la spécification, et des tests permettant de le prouver^[1]. Le blog du WHATWG se veut rassurant : d'ici là, certains navigateurs auront déjà commencé à intégrer HTML 6 ! (enfin si le grand méchant SilverLight n'a pas mangé le web d'ici là) (source: Ajaxian).

Prison ferme pour de simples administrateurs de sites

D'après Ecrans.fr, l'administrateur d'un tracker bittorrent vient d'être condamné à 18 mois de prison aux USA. Plusieurs autres administrateurs du site avaient déjà été condamnés à des peines de prison. Pour rappel, un tracker n'héberge aucun contenu, c'est juste une sorte d'annuaire listant des fichiers et les adresses IP des machines où les trouver. Aucun contenu ne transite par le serveur, dont les administrateurs n'ont donc aucun moyen de contrôler si les données échangées entre les clients enfreignent une quelconque loi. A part ça ce pays est le champion de la liberté...

La mauvaise pub de Zend

Une nouvelle version de l'éditeur PHP propriétaire et payant de Zend venant de sortir, j'ai été jeter un œil à l'annonce et suis tombé sur cette amusante comparaison entre Zend Studio for Eclipse et PDT, un des IDE PHP libres basés sur Eclipse. Je dis amusante mais le mot malhonnête me brûle les lèvres. En effet, la comparaison omet de signaler que PDT s'appuyant sur Eclipse, il bénéficie de tous les autres modules libres utilisables sur cette plate-forme. Alors effectivement, PDT n'inclut pas nativement le support de Subversion, pas d'éditeur JavaScript, pas de client FTP, etc, mais à quoi bon, puisque ce sont des fonctionnalités implémentées par d'autres modules, que l'on peut facilement installer et utiliser avec PDT. La comparaison de Zend aurait au moins pu préciser que ces fonctionnalités était accessibles à PDT moyennant l'installation d'autres pluggins dans Eclipse. Quand à l'introduction à l'article, elle se passe de commentaires: PDT est un éditeur PHP basique alors que le produit de Zend est l'IDE PHP le plus puissant à ce ce jour. Je ne sais pas ce que vaut l'IDE en question, mais les méthodes utilisées pour le vanter ne me donnent pas du tout envie de l'essayer (bien que les développeurs ne soient pas responsables des méthodes des marketeux).

Notes

[1] au passage on rira (jaune) en pensant à un format récemment normalisé à marches forcé et dans des conditions peut-être un peu scandaleusement discutables, alors qu'il n'en existe aucune implémentation, même pas par la firme qui en est à l'origine...

XUL est-il encore le bon choix pour une application web riche ?

Clochix — Tue, 16 Sep 2008 23:58:00 +0200

Celles et ceux qui suivent un peu ce journal savent que je développe depuis quelques temps une application web^[1] dont l'interface utilise la technologie XUL. Le développement n'avance plus depuis quelques mois parce que je me suis lancé dans une itération de refactoring dont je n'arrive pas à me sortir, entre autre parce que quitte à effacer et ré-écrire des bouts de code, je ne cesse d'élargir le périmètre des travaux, et que j'ai fini par me demander s'il était encore judicieux de continuer à utiliser XUL, ou si je ne devais pas recommencer la partie client en pur HTML. Bref, je suis en plein doute, ce qui explique que je perde mes soirées à traîner sur des blogs et à m'épancher ici au lieu de coder^[2].

Notes

[1] qui vise, soyons modeste, à être un client web universel. Pour l'instant des clients de messagerie électronique (POP et IMAP), instantanée (Jabber) et de base de données sont à peu près utilisables

[2] après mes doutes sur mon envie de continuer à faire du web, on pourrait penser que je suis en pleine crise de la quarantaine. Mais pas du tout, puisque j'ai toujours 10 ans

Quelques éléments de ma réflexion actuelle:

Google prouve tous les jours avec le succès de ses applications bureautiques en ligne (en tête desquelles GMail) que HTML est largement suffisant pour créer des interfaces qui offrent une expérience utilisateur équivalente à celle d'applications en "client lourd". Nul besoin de passer par Flash ou Silverlight;
après des années d'hésitations, le successeur de HTML 4 sera finalement probablement HTML 5, dont des parties du brouillon de la spécification commencent à être intégrées à Gecko et Webkit. Or le A de WHATWG est l'abréviation d'"application". Une importante partie des évolutions de HTML 5 concernent justement les applications web. Bien sûr, XUL profitera des évolutions de Gecko pour intégrer HTML 5 (la plus flagrante à ce jour est je crois le stockage local), mais en tant que langage de description d'interface web, il offrira de moins en moins de fonctionnalités le plaçant au dessus de HTML;
il existe de plus en plus de frameworks clients ou serveurs qui proposent des composants d'interface riches en pur HTML. Je suis pas exemple très impressionné par qooxdoo : allez voir les démos, je trouve qu'elles n'ont rien à envier à une appli réalisée en XUL;
le lancement par Google de son propre navigateur était annoncé depuis des années. Google ayant embauché un certain nombre de développeurs de Gecko, j'espérais que ce navigateur serait basé sur Gecko, qui s'imposerait, via sa présence dans 2 des 3 principales plate-forme d'accès au web, comme la principale alternative à IE. C'est finalement Webkit qui a gagné. Les applications XUL resteront donc cantonnées à Firefox. Et quel que soit le bien que je pense de Firefox, c'est toujours embêtant de dépendre d'un seul logiciel, sans alternative;
XULRunner était l'occasion de déployer des applications web écrites en XUL comme des applications de bureau classique. Mais aujourd'hui Prism ou G-Chrome permettent de le faire pour n'importe quelle application HTML;
les applications web ne font malheureusement pas partie des priorités de la Fondation Mozilla. C'est tout à fait compréhensible, elles ne représentent qu'une petite partie des usages possibles du web, et la fondation a pour but de promouvoir un réseau ouvert et accessible, et non juste un écosystème pour des applications. En ce sens, XULRunner est un peu délaissé en tant que plate-forme^[1], et la fondation n'a pas spécialement cherché à diffuser largement ses technologies propres, comme XUL, par exemple en essayent de les faire normaliser;
et c'est finalement là ce qui m'embête le plus. XUL n'est pas réellement "ouvert". C'est une technologie contrôlée par Mozilla, qui la fait évoluer en fonction de ses besoins, mais ne cherche même plus à la spécifier. La version 1.0 de la spécification est obsolète depuis longtemps, et si les fonctionnalités qui sont régulièrement ajoutées à XUL sont documentées, je n'ai trouvé aucune trace de leur spécification, juste quelques pages de discussion. XUL ne peut donc pas vraiment être considéré aujourd'hui comme un élément d'un web ouvert.

Tout cela n'enlève rien aux nombreuses qualités de XUL, mais je me demande si c'est encore un choix pertinent aujourd'hui pour créer des applications en ligne.

J'attends avec impatience vos arguments, et j'espère qu'on pourra en discuter de vive voix samedi au MAOW. (car je n'ai pas du tout l'intention d'abandonner l'écosystème Gecko, bien au contraire, il m'offre une occasion de me remettre à des langages un peu plus exigeants comme C++, après des années de p(hp)aresse, et là pour le coup c'est un troll )

Notes

[1] depuis sa version 3, Firefox n'est "plus qu'"une application s'exécutant au dessus de XULRunner, mais ça n'a pas du tout été mis en avant dans la communication, et le déploiement massif de XULRunner que cela a entraîné n'a pour l'instant pas été suivi d'effets

Pas besoin d'être paranoïaque pour se méfier de Google Chrome

Clochix — Mon, 15 Sep 2008 23:01:00 +0200

Le cas est fréquent: vous développez un site web pour un client, et pour lui permettre de le tester, vous déposez le site sur un serveur connecté à la vaste toile. Le client n'arrivant pas à se dépatouiller avec l'authentification HTTP, vous la désactivez, en vous contentant de protéger le site avec une adresse difficilement devinable. Et quelques jours avant la mise en production, vous vous apercevez qu'il y a déjà des visiteurs sur le site. Une rapide analyse des logs vous apprend que c'est Google qui les a menés là, et qu'il indexe déjà tout le nouveau site. C'est gênant à plus d'un titre:

les contenus sur un site de pré-production ne sont pas toujours "corporate". Bien que cela m'ait déjà joué de vilains tours, je continue à utiliser des photos de Tux jusqu'en pré-prod. Ennuyeux si vos contenus de test se retrouvent indexés;
si le site devait accompagner un lancement, l'info est éventée avant l'annonce officielle, et le client pas content. Et quand client pas content...
une fois le site en ligne, il vous faudra gérer des re-directions propres pour que Google indexe la bonne adresse.

Les fora regorgent de théories pour pour essayer de comprendre comment Google a pu découvrir ces adresses. Est-ce la faute au navigateur du client sur lequel est installé l'indiscrète barre d'outil Google ? Via des referer ? L'activation trop précoce de Google Analytics ? un test de la sitemap ? ou une preuve de plus du complot et de l'omniscience de Big Google... Le débat continue.

Désormais, un risque de plus existe: Google Chrome. En effet, sous prétexte de minimiser l'interface, Google a fusionné la barre d'URL et la barre de recherche. Or les barres des recherche des navigateurs modernes proposent une fonctionnalité de suggestion: chaque caractère que vous tapez est envoyé au moteur de recherche de votre choix qui vous suggère en retour des recherches parmi les plus courantes. En fusionnant la barre de recherche et la barre d'adresse, cette fonctionnalité est étendue à tout ce que vous tapez dans la barre d'adresse, que ce soit une recherche ou l'adresse d'un site web^[1]. Ainsi donc, par défaut, si vous saisissez preprod.monclient.com, Google aura connaissance de cette adresse, et il pourra envoyer ses robots l'indexer. Même punition par exemple pour l'adresse de l'interface d'admin, et tant pis si en pré-production vous n'avez pas choisi de mot de passe assez sécurisé.

Bref, grâce à Chrome, Google pourrait bien se mettre à indexer à votre insu bien des contenus que vous pensiez masqués. Bien sûr, il y a toujours moyen de désactiver l'auto-complétion, ou de choisir un autre moteur que Google. Mais qui le fera ?

Une solution pour essayer d'empêcher l'indexation prématurée d'un site est de penser à créer un fichier robots.txt spécifiques à vos sites de test pour en interdire l'accès aux araignées, ou, plus radical, de gérer cela dans un htaccess à coup de règles de ré-écritures basées sur HTTP_USER_AGENT. M'enfin, pensez-y, un chat échaudé en vaut deux.

(source: Google Chrome privacy worse than you think via Tristan)

Notes

[1] apparemment sauf si vous tapez explicitement http:

Les transformations CSS3 seront aussi dans Firefox 3.1

Clochix — Sun, 14 Sep 2008 15:39:00 +0200

A l'automne 2007, Apple a proposé de nouvelles propriétés CSS permettant d'effectuer des transformations (translations, rotations, redimensionnement) sur des éléments, et en a implémenté une partie dans Webkit. Certaines de ces nouvelles propriétés sont en train d'atterrir dans Firefox 3.1.

La spécification

Elle définit des transformations en 2 et 3 dimensions. Elle transpose en CSS un certain nombre de fonctionnalités disponibles en SVG.

Les transformations n'affectent pas le flux, c'est à dire que les éléments alentours ne seront pas déplacés après la modification, par exemple si l'élément occupe plus de place qu'avant la transformation. La propriété overflow déterminera le rendu dans ce cas. Un objet auquel s'applique une transformation influence le positionnement de ses enfants comme s'il était en position:relative.

La spécification propose un certain nombre de nouvelles propriétés et de fonctions.

Les propriétés

transform : elle permet de lister une série de fonctions à appliquer à l'élément;
transform-origin : par défaut, les transformations s'effectuent dans un référentiel dont l'origine est le coin bas gauche de l'élément. Cette propriété permet de modifier cette origine;
transform-style : définit l'affichage des enfants dans le cas de transformations en 3D. La propriété peut valoir flat pour les "applatir" ou preserve-3d, pour simuler des fonctions dans un espace en 3 dimensions;
perspective : applique une fonction de transformation de perspective aux enfants de l'élément (et non à l'élément lui-même);
perspective-origin : définit les coordonnées d'origine de la mise en perspective;
backface-visibility : est-ce que l'arrière de l'élément est visible ? Par exemple, si on utilise ces propriétés et javascript pour faire tourner un cube, selon la valeur de cette propriété le cube sera transparent ou opaque;

Les fonctions

matrix et matrix3d permettent de définir une matrice de respectivement 6 ou 16 valeurs pour décrire précisément une transformation en 2 ou 3 dimensions (je vous renvoie à vos cours de maths, que je commence à regretter d'avoir passés à regarder par la fenêtre)
translate et translate3d : déplace l'élément dans un référentiel en 2 ou 3 dimensions;
translateX, translateY, translateZ : déplace l'élément sur un seul axe;
scale et scale3d : redimentionne l'élément;
scaleX, scaleY, scaleZ : comme leur nom l'indique;
rotate et rotate3d : fait effectuer à l'élément une rotation;
rotateX, rotateY, rotateZ se passent de commentaires,
skew, skewX et skewY : met en biais ? je ne sais comment traduire, allez jeter un œil à la démo avec un navigateur compatible pour comprendre;
perspective : met l'élément en perspective.

Dans le DOM

La spécification ajoute également des objets et des méthodes au DOM:

Point : un point, caractérisé par ses coordonnées X et Y;
window.convertPointFromPageToNode et window.convertPointFromNodeToPage pour déterminer les coordonnées d'un point par rapport à la fenêtre ou à un nœud;
CSSMatrix : une matrice composée de 16 valeurs et des fonctions pour les manipuler: multiply, inverse, translate, scale, rotate, rotateAxisAngle;
CSSTransformValue : la valeur retournée par la nouvelle propriété transform de la méthode window.getComputedStyle qui permet de connaître les styles appliqués à un élément. Elle possède une méthode getCSSMatrix() qui retourne une CSSMatrix décrivant l'ensemble des transformations appliquées à l'objet;

Dans Firefox

Keith Schwarz a commencé l'implémentation cette été, et ses patchs viennent d'intégrer les compilations nocturnes (depuis la nuit dernière, à partir de la version 20080914020350), vous pouvez donc commencer à jouer avec

Application pratique

On peut maintenant réaliser ce genre de choses directement en HTML + CSS :

(oui, c'est laid, mais c'est la transposition d'un machin que j'ai du intégrer récemment, en image pour le coup. Si le code vous intéresse, voyez la pièce jointe)

Plus intéressant, cela ouvre aussi la porte à la réalisation de calligrammes.

Alors ?

Ce qui m'embête, c'est qu'au regard du W3C, cette spécification n'est même pas encore un brouillon : This module is currently (summer 2008) under consideration for inclusion in the next charter of the CSS working group. (source). Rien ne garantit donc qu'elle deviendra un jour un standard et que tous les navigateurs la supporteront :-S. Mais c'est l'habituel problème de l'innovation qui va plus vite que les normes. Des pans entiers de spécifications en cours de rédaction, comme CSS3 ou HTML5, sont déjà implémentés dans Gecko et Webkit.

Pour ne pas interférer avec la possible future spécification, chaque moteur utilise un espace de nom spécifique pour les propriétés qu'il implémente avant leur validation. Dans webkit, elles s'appelleront -webkit-*, dans gecko -moz-*, etc. Pour faire fonctionner les exemples que je cite plus bas, il faudra donc les adapter au moteur que vous utilisez.

Accessoirement, les développeurs web vont devoir d'urgence revoir les bases de la géométrie dans l'espace (ou demander de l'aide aux flasheurs et flasheuses, plus habitués à cette gymnastique).

Références:

la spécification CSS Transform proposée par Webkit;
le ticket pour suivre son implémentation dans Gecko;
une démonstration des transformations CSS pour webkit (donc pour essayer avec Firefox vous devez renommer toutes les propriétés -webkit-* en -moz-* )
des tests: transformation dynamique d'une image, d'un formulaire (tests pour Firefox pour si vous utilisez webkit vous devez...);

Alertez les bébés

Clochix — Sat, 13 Sep 2008 19:13:00 +0200

Connaissez-vous TrixieTracker ? C'est un logiciel et un site web édités par une compagnie étasuniennes qui proposent aux parents de saisir de nombreuses informations sur leurs bébés, afin de les comparer aux données des autres membres et à des "normes" pour détecter tout problème de développement de leur enfant. Les données collectées sont de tous ordres: sommeil, couches, alimentation, de la durée de chaque allaitement au volume des biberons et à la composition des repas), problèmes de santé et médicaments... Bref, le site propose de mettre en fiche toute la vie de bébé dès ses premières heures.

On assiste là à un fichage particulièrement insidieux et dangereux. L'Etat a l'intelligence d'une matraque^[1] : quand il veut quelque chose, il utilise la force, et cela donne Edvige, Cristina et des dizaines d'autres fichiers de polices. Les entreprise elles, ne disposant pas encore du monopole de la violence, sont obligées d'être un peu plus intelligente. Et pour parvenir à leurs fins, d'obtenir le consentement des gens, les inciter à se ficher eux-même et à considérer ce fichage comme positif, utile, souhaitable.

Trixie Tracker joue sur la peur, la peur d'être de mauvais parents, de gâcher la vie de leur enfant en ne détectant pas à temps un problème de santé ou de comportement. Et il parvient ainsi à collecter bien plus d'informations que les flics les plus curieux n'en rêveraient. Et les parents paient même pour ficher leurs enfants !

Outre la mise en place dès la naissance d'un fichage accepté, consenti, "positif" pour reprendre le mot à la mode, Trixie Tracker est aussi à placer dans le contexte de certaines idées qui fleurissent aux USA et commencent malheureusement à traverser l'Atlantique. Comme par exemple tous les délires sur le dépistage précoce de la criminalité, des comportements antisociaux, de la déviance, etc. Des comportements qu'il faut détecter le plus tôt possible pour essayer de les corriger ou pour en protéger la société. En France, ce genre de théorie et ses mises en œuvres ont jusqu'à présent provoqué un tollé et de fortes résistances (cf par exemple les critiques contre le rapport Bénisti ou la base élève), parce que le fichage était mis en place de façon autoritaire.

Un site comme TrixieTracker est aussi une bénédiction pour les nombreux laboratoires pharmaceutiques qui essaient de bourrer les enfants de pilules dès leur plus jeune âge. Aux USA, des millions d'enfants et d'adolescents sont diagnostiqués comme hyper-actifs et placés sous psychotropes, comme la tristement célèbre Ritaline (cf par exemple cet article)^[2]. Même sans revendre les informations saisies par ses membres aux laboratoires, le site peut tout à fait, dans le cadre de "partenariats", placer judicieusement des liens vers les produits de ces labos. Votre enfants ne fait pas ses nuits ? C'est mauvais pour sa santé, vous devriez peut-être essayer de lui donner un somnifère...

Il serait bon de commencer à réfléchir aux problèmes posés par ce genre de site avant qu'ils n'essaiment par ici.

(source: Internet Actu)

Notes

[1] attribut auquel il se réduit de plus en plus à mesure que disparaissent les services publics et les mécanismes sociaux

[2] si vous cherchez des infos, attention, de nombreuses sectes dont la scientologie sont très actives sur le sujet, et éditent une palanquée de sites au nom d'associations de défense des droits humains ou autres)