Mes projets à nouveau en téléchargement

Après avoir été séquestrés pas mal de temp dans ma cave numérique, mes projet peuvent à nouveau regagner l’air libre !

Retrouvez certains de mes projets sous licence libre en téléchargement ! On y trouve essentiellement des logiciels pour le web et pour Ubuntu Linux, jettez-y un oeil.

mai 20, 2008 | Filed Under Android, OS, Planet Libre, Programmation, Python, Référencement, Scoopeo, Ubuntu, XHTML / CSS | Comments 

Vulnérabilité critique dans MessengerFX

MessengerFX est un client populaire pour Windows Live Messenger (anciennement MSN Messenger) écrit en AJAX. Sa spécificité et de permettre de se connecter au réseau via un simple navigateur web.

En voulant coller du code HTML à Edouard, je me suis rendu compte qu’il était interprété par le navigateur. Faille de type XSS ? Effectivement ! Sauf que celle-ci n’est pas bénigne : en plus de pouvoir faire planter le navigateur de n’importe quel utilisateur du service, elle permet d’accéder à toutes les fonctionnalités implémentées par Messenger FX ce qui signifie entre autre : récupérer la liste de contact de l’utilisateur, envoyer des messages en son nom, supprimer, bloquer et débloquer des personnes de sa liste de contact et lui en ajouter, lire les messages, bref : de prendre le contrôle complet du compte MSN de la victime.

Faille de Cross Site Scripting dans MessengerFX

Pire, il est tout à fait possible d’écrire un vers en utilisant les fonctions d’envoi de message. Ce vers pourrait par exemple supprimer tous les contacts de toutes les personnes connectées à Messenger FX… voir faire tomber le réseau MSN dans son ensemble par une attaque de type DDOS.

J’ai envoyé un email au propriétaire du service qui reste à ce jour sans réponse. En attendant une correction, simple comme un htmlspecialchars(), abstenez-vous d’utiliser Messenger FX et préférez-y Meebo ou le client officiel de Microsoft version web !

Edit du 6 octobre 2008 : la faille semble maintenant corrigée.

mai 16, 2008 | Filed Under Programmation, Sécurité, Web 2.0, XHTML / CSS | Comments 

MessengerFX allows your contacts to take control over your WLM

I have paste some HTML code to a Edouard using MessengerFX, a popular web Windows Live Messenger client based on AJAX, and - surprise, the code has been interpreted. Oh?! A XSS vulnerability ? Yes, and such a big one!

Every software’s feature is available through Javascript. Any contact of a MessengerFX user can crash his browser, and furthermore get its contact list, add, remove, ban and unban contacts, read and send messages to any other contact of the victim ! Basically, an attacker just need to be listed in the contacts list of an MessengerFX user and this attacker can take control over the account.

And the worst is coming… Using Javascript, it seems easy to write a worm that will, i.e. recursively delete every contacts of the MessengerFX users - say using the vulnerability to get the contact list and delete them one by one. The worm can also try to shutdown the WLM network with a DDOS attack by a heavy load of messages at the same timeusing infected MessengerFX users WLM accounts.

MessengerFX is popular and growing, such a flaw can be very dangerous for a lot of people. I have send a mail to the development team and I hope they will correct their application soon… Because the fix is as simple as a htmlspecialchars() call. MessengerFX users, don’t use it anymore and try Meebo or the official Microsoft WLM web based client. Web developers, never trust the user-submitted data and always escape thos inputs!!

Edit october 6 2008 : the problem is now corrected.

mai 16, 2008 | Filed Under English, Sécurité, Web 2.0, XHTML / CSS | Comments 

Les archives de Bienvenue chez moi enfin en ligne

Chose promise chose due !

Les archives de Bienvenue chez moi, mon ancien blog, sont désormais disponibles. Tous les commentaires et articles ont étaient restaurés. Vous y trouverez un grand nombre de tutoriels pour Ubuntu et Linux en général ainsi que les anciennes version de Easy Ubuntu, des modules pour PunBB, et des billets traitant de programmation (PHP, Python, DokuWiki, …).

Bienvenue chez moi c’est plus de 100 billets et de 15 000 commentaires, c’est quelques premières pages de Digg, et ce fut une partie de moi pendant un certain temps !

avril 12, 2008 | Filed Under Buzz, Hébergement, PHP, Perso, Programmation, Python, Rock'n'Roll, Référencement, Standards du web, Ubuntu, Web 2.0, XHTML / CSS | Comments 

Des benchmarks sur les toutes nouvelles Dedibox

Iliad à vient d’annoncer une nouvelle mouture de son offre de serveurs dédiés à bas prix. Les Dedibox v2 ne sont plus basé sur des processeurs VIA mais sur des Intel Celeron. Elles se voient dotées de 1 Go de mémoire vive, d’un disque dur de 160 Go et d’une bande passante de 100 Mbits/s. Une nouvelle gamme baptisée Dedibox XL propulsée par des Core2Duo, 3 Go de mémoire, 500 Go d’espace disque et connexion 100 Mbits/s est également disponible.

C’est bien beau les annonces, mais vous préférez sûrement les chiffres. Ca tombe bien, Pierre, plus réactif que jamais, vient de publier un benchmark comparant ces nouvellles Dedibox avec les anciennes ainsi qu’avec les offres similaires chez OVH et Gandi. Un autre benchmark, publié par Dediadmin, est également disponible.

avril 9, 2008 | Filed Under Buzz, Hébergement, OS | Comments 

Google héberge gratuitement vos applications web !

Google a annoncé ce matin la disponibilité de App Engine. App Engine c’est à la fois un framework web Python et une solution d’hébergement “scalable” sur l’infrastructure de Google. L’offre de base est gratuite, propose 500 Mo d’espace disque et assez de bande passante comme de temps CPU pour un site à 5 millions de pages vues par mois.

Logo de Google App Engine

Le SDK est libre et gratuitement téléchargeable, il semble basé sur Django. Comme toujours chez Google, la documentation est claire et complète, et une importante logithèque est déjà disponible.

Cerise sur le gâteau, 10 000 développeurs ont pus obtenir gratuitement un compte fonctionnel dès ce matin. Comme lors du lancement de Gmail, Google fait monter le buzz en nous promet une nouvelle vague de comptes prochainement !

avril 8, 2008 | Filed Under Buzz, Planet Libre, Python | Comments 

Changer la couleur du texte sélectionné dans une page web

Comme vous pouvez l’avez peut-être remarqué sur ce blog, il est possible de changer la couleur des sélections dans une page web avec les CSS. Pour créer cet effet sympa, qui ne fonctionne que sous Firefox et Safari, nous devront utiliser les sélecteurs non standardisés ::-moz-selection pour le premier et ::selection pour le second. Ils supportent tous deux les propriétés color et background-color.

Un petit example :

/* Le code pour Firefox / Gecko */
::-moz-selection {
color: white;
background-color: #379CB3;
}
/* Le code pour Safari / Webkit */
::selection {
color: white;
background-color: #379CB3;
}

Vous pouvez aussi changer les couleurs de la sélection pour un élément particulier. Par exemple span::-moz-selection pour les navigateurs basés sur le moteur de rendu Gecko et span::selection pour ceux utilisant Webkit n’affectera que le texte encadré de la balise HTML <span>.

avril 5, 2008 | Filed Under Standards du web, Web 2.0, XHTML / CSS | Comments 

FeedBurner avec votre nom de domaine !

Peut-être utilisez vous FeedBurner pour gérer les flux RSS de votre blog. Savez-vous qu’il est possible d’utiliser votre propre nom de domaine avec les fils générés par ce service ?

Logo de FeedBurner

L’objectif est de faire s’abonner vos lecteurs à vos flux RSS via une adresse du type http://rss.monsite.com plutôt que http://feeds.feedburner.com/.

Pourquoi ça ?

Comment faire ?

Dans l’interface de gestion de votre nom de domaine ou sur votre serveur DNS créez un alias (type CNAME) nommé “rss.monsite.com” qui pointe vers “feeds.feedburner.com.“. Si vous éditez manuellement la configuration de votre serveur DNS, l’entrée doit ressembler à :

rss IN CNAME feeds.feedburner.com.

N’oubliez pas le point final qui indique que l’on fait référence à un chemin absolu. Après avoir attendu que les caches DNS se vident, tentez de vous connecter à votre flux en remplaçant feeds.feedburner.com par rss.monsite.com. Pour mon blog ça donne http://rss.lapin-blanc.net/. Si ça fonctionne, la partie DNS est opérationnel.

Il faut maintenant activer le service dans FeedBurner. Connectez-vous sur feedburner.com et rendez-vous dans My Account puis dans MyBrand, entrez le nom de domaine que vous avez choisi pour vos flux et validez. Voilà, c’est terminé !

Si vous utilisez WordPress et son plugin FeedBurner de Steve Smith, rendez-vous simplement dans Options -> FeedBurner et remplacez les adresses en feeds.feedburner.com par celle que l’on vient de créer !

Happy Burning !

mars 30, 2008 | Filed Under Référencement, Wordpress | Comments 

Plugin Scoopeo pour Wordpress v0.3

Voici une nouvelle version de mon plugin qui permet d’intégrer Scoopeo à Wordpress. Au programme :

Télécharger le plugin Scoopeo pour Wordpress version 0.3

mars 24, 2008 | Filed Under Buzz, Planet Libre, Programmation, Référencement, Scoopeo, Web 2.0, Wordpress, XHTML / CSS | Comments 

Le W3C n’est pas “W3C compliant” !

Le World Wide Web Consortium est l’organisation qui rédige et publie les standards du web. Il est à l’origine de XHTML, CSS et SVG. Le W3C fourni également des validateurs qui test le respect de ses formats par les documents soumis.

Mais même une page importante du W3C comme les spécifications du format SVG échoue lors de la validation : essayez par vous-même ! Peut-être que le W3C devrait utiliser le HTML 5 pour écrire ses pages web…

W3C

mars 22, 2008 | Filed Under Délire, Standards du web, Web 2.0, XHTML / CSS | Comments 

← Previous PageNext Page →