Archives de catégorie : Web 2.0

Pourquoi le décret d’application de la LCEN devrait être inutile

C’est une des infos chaudes du moment (pour les initiés, madame Michu s’en tamponne joyeusement le coquillard) : plusieurs années après la promulgation de la loi pour la confiance en l’économie numérique, son décret d’application vient de paraitre et il est relativement scandaleux sur un point (au moins). En effet il est prévu que les plateformes techniques protégées par le fameux article 4 (hébergeurs et FAI inclus donc) aient à sauver un certain nombre de données personnelles parmi lesquelles le mot de passe (ou son hash) et un historique du changement de celui-ci.

Pour les autres cela me scandalise, pour moi-même je m’en tamponne autant que madame Michu. Pas parce que cela ne me gêne pas que l’on conserve les hash de mes mots de passe, mais parce que ça fait bien longtemps que j’ai adopté un mode de fonctionnement qui rend cette mesure inintéressante au possible pour atteindre son but.

L’idée est en effet de pouvoir retracer quelqu’un qui masque son IP et utilise de fausses infos dans son profil (pseudo, adresse mail, …) en comparant son mot de passe à celui collecté sur d’autres sites.

Dans la pratique c’est déjà très drôle : j’imagine bien la quantité de données à crawler en espérant que la personne utilise un mot de passe suffisamment évolué pour qu’il soit le seul dans ce cas… Mais là où cela devient encore plus critique c’est que si la personne a pris soin de masquer son IP et de fournir de fausses informations je doute qu’elle utilise le même mot de passe que sur son compte Facebook (auquel les autorités n’auraient de toutes façons pas accès, Facebook étant à l’étranger toussa toussa, il faut passer par le FAI !).

Comment alors fonctionnent ces gens dont je fais parti pour avoir un mot de passe unique par site et / ou service ?

Il suffit d’avoir un jeu de mots de passe initiaux, le plus vous en avez, le mieux vous vous portez ! Est-il besoin de préciser que le nom de votre petit dernier, votre date de naissance, … ne sont pas de bons mots de passes ? L’idéal est d’utiliser un outil sur votre machine pour générer le mot de passe, typiquement l’outil présent dans PHPMyAdmin est assez intéressant si vous y ajoutez des caractères spéciaux.

Ces mots de passes sont ensuite déclinés en fonction d’un élément du site ou service sur lequel vous vous enregistrez selon un ou plusieurs schéma.

L’exemple souvent pris est de prendre la première et dernière lettre du nom du site, de les ajouter au mot de passe initial et bingo, vous avez un mot de passe différent par site, en général suffisamment couillu pour résister à du bruteforce…

Petite précaution intéressante à prendre aussi : dès votre inscription à un site, utilisez le formulaire de récupération du mot de passe. Si celui-ci vous retourne votre mot de passe au lieu de vous faire suivre une procédure pour le changer, demandez la suppression de toutes vos données personnelles et fuyez ! Les mots de passes ne doivent pas pouvoir être récupérés depuis l’information stockée en base de données ! J’ai aussi vu des sites interdisant les caractères spéciaux dans le mot de passe, c’est une hérésie et si vous avez vraiment besoin d’utiliser ce service suivez le conseil suivant.

Dernière petite chose : si vous utilisez des services juste pour les essayer, des choses dans lesquelles vous n’avez pas confiance, utilisez un mot de passe différent de ceux que vous utilisez pour vos mails par exemple…

Sur le motif de ce stockage par contre je suis dubitatif : si un hash de mot de passe peut constituer une piste (son sérieux sera évalué par des juges hein !) sa sacralisation au niveau de preuve m’inquiète autant que ce qui est arrivé à l’adresse IP dans le cadre de la Hadopi…

Enfin, en tant que développeur, je n’utilise jamais un hash MD5 (obsolète) ou sha1 pur pour stocker les empruntes des mots de passe. Il suffit de « saler » le mot de passe (y ajouter une chaine connue) et le hash devient unique. Cela, aussi, rend cette mesure débile – mais nous n’en sommes pas à la première mesure prise sans consulter un seul spécialiste !

Överallt / Flattr everywhere (enfin) en version stable !

Il y a huit jours je vous présentais ma toute dernière extension firefox, adaptée d’un idée qui me trottait dans la tête depuis un certain temps et que j’avais eu le temps de développer sur un coin de table à l’arrache de sorte que je puisse la montrer le lendemain à Peter Sünde, co-créateur de Flattr et de visite en France. Sauf que l’extension présentait un certain nombre de bugs que j’ai eu beaucoup de mal à résoudre du fait de leur complexité…

C’est maintenant chose faite et, en installant överallt, vous pouvez désormais intégrer Flattr sur n’importe quel site web 2.0 sans gêner la navigation (c’est mieux quand même ^^) !

Les bugs qui subsistaient

Les bugs en question venaient de deux erreurs que j’ai commises :

Attacher la tâche de remplacement à un évènement beaucoup trop précoce (à la construction du DOM alors qu’elle est maintenant attachée à la fin de chargement de la page); ce comportement avait pour effet de ruiner la structure de la page et d’empêcher certains appels Ajax de se faire (pas d’élément du DOM de destination existant).

Et, plus grave, le remplacement, à la barbare, de l’ensemble du code du body par une version intégrant les boutons Flattr. Ce comportement a été solutionné par un parcours des textNodes du DOM de la page et un remplacement au plus bas niveau du DOM (dans le nodeValue du textNode donc) par explosion de la chaine en 3 parties : avant le code, le code, et après le code. Comme on travaille sur des textNodes aucun évènement ne peut être attaché dessus et mes beaux eventlisteners resteront en place ! J’ai aussi du travailler sur une création maison des boutons Flattr, ne pouvant intégrer une iframe aussi simplement dans le DOM que lorsque je travaille avec un bête innerHTML. Le truc cool c’est que du Js à reverse c’est plutôt simple ! Continuer la lecture

Twitter subit une faille XSS

Dans la série, si madame Michu arrive à sécuriser sa connexion Internet je veux bien manger mon chapeau (qu’il va falloir que je récupère un jour), je vous présente la toute dernière faille de sécurité touchant une toute petite boite : Twitter… Après le petit social engineering dont a été victime la startup, qui n’a plus de startup que le nom, Twitter va à nouveau défrayer la chronique à cause d’une faille de sécurité exposant tous ses utilisateurs : une injection XSS toute bête à exploiter.

Lorsque l’on poste sur twitter depuis une application l’API permet d’afficher le nom du logiciel utilisé en ajoutant un petit lien vers le site de l’éditeur dudit logiciel. Véritable tremplin pour les applications du genre, il semblerait que cette fonctionnalité ne soit pourtant pas idéale d’un point de vue sécurité.

C’est en effet en ajoutant au nom du logiciel utilisé (Ubertweet visiblement, mais il a aussi pu le modifier en passant) qu’un pirate a réussit à exploiter une faille vielle comme le monde : la fameuse injection XSS. Le principe est très simple : il s’agit d’injecter du code Javascript au texte originellement attendu. Si le site est mal codé (aka si le code est affiché tel quel sans que ne soit pratiqué de vérification sur le contenu) le script va être interprété et peut poser de graves problèmes de sécurité.

Il est notamment tout à fait possible de voler les cookies (et donc le compte) d’un utilisateur du service qui serait connecté au moment où il visualiserait la page ! Continuer la lecture

Nouveaux financements : Yoook, Ulule, Kachingle, Flattr et les autres…

J’ai eu la chance d’assister à une table ronde sur les nouveaux modes de financement à l’ère du numérique ce dimanche à Paris et le moins que l’on puisse dire c’est que c’était très intéressant – donc je vous fait un petit compte-rendu des projets qui m’ont plu en passant sur ceux qui m’ont moins enthousiasmé voire carrément dérangé…

Des projets que j’ai décidé de vous présenter deux sont dédiés au financement de la création à priori et deux à la rémunération de la création sur la base du volontariat par l’intégration de widgets sur les sites des éditeurs. Je ne vais pas vous présenter en détail chacun des projets (je sors quand même 6h30 de tables rondes qui m’ont un peu mis à genoux) mais revenir sur les points les plus intéressants des projets en question.

Yoook

Yooook travaille directement avec les artistes : il leur permet de gérer l’hébergement, la production, la diffusion et la monétisation de leur contenu. Jusque là rien de bien original mais c’est en une phrase de son créateur que l’on résume le mieux l’idée : « ne peut être gratuit que ce qui a déjà été payé ».

En effet la production de contenu artistique a un coût et doit aussi générer des marges si l’on veut que le domaine de la création reste attractif.

Yooook propose donc un modèle intéressant sur la base de plafonds de rémunération et de volontariat. Une partie du contenu est gratuit dès le début, une partie payante. Une fois un certain plafond atteint par le paiement lié au contenu payant ou par un système de dons directs, d’autres contenus gratuits sont déverrouillés pour tous. Enfin, passé un certain plafond l’oeuvre peut éventuellement passer dans le domaine du libre intégralement et sous une licence creative commons (obligatoire mais en laissant l’auteur fixer le palier en question). Continuer la lecture

Överallt / Flattr everywhere débarque sur firefox !

Vendredi soir j’ai eu la joie de voir ma soirée entre potes annulée, alors j’ai pu en profiter coder toute la nuit en bon gros geek… Ca faisait un bout de temps que ce projet me trottait dans la tête à vrai dire et j’ai donc profité de la nuit (couché vers 4h quand même…) pour mettre à exécution mon plan diabolique (mouahahahaha <= rire macabre) !

Bon en vrai le plan en question n’a rien de diabolique et est plutôt fait pour faire avancer les choses dans le bon sens pour ce qui est de l’intégration de Flattr sur les sites 2.0, les forums, … euh en fait partout hein.

D’ailleurs c’est ce qui a motivé le nom, qui n’a rien à voir avec le Klingon et qui est en fait la traduction suédoise du mot « partout ». Parce que c’est là le but d’överallt : permettre à tous d’utiliser Flattr en dehors des sites où c’est initialement prévu.

Le contenu sur le web d’aujourd’hui est créé en grande partie par les utilisateurs : les réseaux sociaux se multiplient, la plupart des sites d’actus (ceux qui ne le font pas ont un gros métro de retard) permettent de commenter lesdites actualités, les plateformes d’hébergement de vidéo ou de fichier sont plus nombreuses que les sexshops à Pigalle, … C’est ce qu’on appelle communément le web 2.0, et c’est plutôt génial !

Sauf que l’utilisateur (et donc contributeur) de ces plateformes est très dépendant de ceux qui possèdent ladite plateforme et qui a finalement droit de vie ou de mort sur un service qu’il propose, proposera ou ne proposera jamais.

Ainsi les blogs (pour prendre cet exemple) proposant à ceux qui postent un commentaire d’y adjoindre un bouton Flattr sont très rares (en France du moins) et la propagation de cette pratique pourtant très intéressante à la fois pour le blogger (qui voit le nombre et la qualité de ses commentaires augmenter) et pour celui qui commente (qui pourra gagner quelques centimes par commentaires) est entièrement à la merci des bloggers…

Continuer la lecture