Archives 2011

Le ruche qui dit oui!

Dans une émission de France Culture maintenant bien connue par les hackers (Place de la toile). Il y avait une entrevue avec Guilhem Chéron, le fondateur de La Ruche qui dit oui.

Le principe correspondant totalement à la mouvance de consommation qui veut allier les avantages de la consommation locale (la qualité, la prise en compte de l'humain et du vivant et le prix) tout en concevant la simplicité centralisme (celui que nous pratiquons chaque jour avec les supermarché par exemple).

L'idée est de créer des ruches chez des particuliers. On recrée donc un centralisme pour le producteur, car il livre un certain nombre de client en même temps. Chaque membre de la ruche commande sur le site. Le producteur fixe une quantité minimale pour se déplacer, lorsque celle-ci est atteinte, il livre la ruche et les membres sont aussitôt alertés pour venir chercher les produits.

Plus d'infos sur www.laruchequiditoui.fr

PluXml en version 5.1.1 !

PluXml

Si vous n'avez pas encore essayé PluXml (prononcez [Plu X M L]), c'est le moment de vous lancer.
La remise en question permanente et la proximité avec les utilisateurs par le forum ont permis d'aller encore plus loin pour cette version.
Il est désormais possible de redimensionner les images. L'interface a été aussi entièrement repensées, rajeunie, et rendue beaucoup plus pratique. Par exemple l'upload de multiples fichiers n'est plus limité. On note aussi le gestionnaire de plugins afin de décupler les possibilité (simplifier l'installation d'éditeur wysiwyg par exemple). PluXml est aussi disponible en 7 langues : Polonais, Espagnole, Allemand, Portugais, Russe, Roumain, Néerlandais, en plus du Francais.
Tout cela en conservant un poids plume, aucune base de donnée, une installation simple.

Si vous voulez en savoir plus, jetez un œil au changelog.
Téléchargement et informations, comme toujours, sur PluXml.org.

Le RapidQ n'est pas mort ! L'exemple d'une carrière en informatique.

Je suis retourné hier sur le forum rapidq-france.org. C'était l'époque où j'ai commencé la programmation, en 2005. Je ne connaissais n'avais pas de méthode ce qui limitait la taille des projets, mais je cherchais, et me débrouillais. RapidQ me permettait de développer très rapidement des applications fenêtrées. Il y a des milliers d'exemples sur Internet : des jeux on 3D utilisant directx on été développés avec ce langage. La communauté a été très importante. Car il fonctionne sans DLL, ce qui le rend beaucoup plus simple à diffuser que le VisualBasic, qui fonctionne avec un tas de bibliothèques dont on ne possède jamais la bonne version...

RapidQ IDE

RapidQ est né un peu avant 2000. Créé par William Yu, il a su conquérir beaucoup de monde par sa simplicité. Mais voilà qu'un jour son créateur a annoncé la fin du développement. RapidQ est gratuit, mais en aucun cas libre. William Yu a déjà publié un compilateur sous licence GNU, mais il a refusé de le faire pour RapidQ.

Quelques semaines plus tard, William Yu a publié une lettre sur sa liste de diffusion, où il expliquait son choix. William était confronté à un dilemme : vendre son travail à RealBASIC et se faire embaucher, ou continuer à distribuer RapidQ : "The facts are, I could have made more money working at McDonalds than the time spent on Rapid-Q and what Geoff has offered me to stop working on it", déclarait-il dans sa lettre d'Octobre 2000.
Il s'en est suivit une discussion assez mouvementée sur la liste. Certain en ont voulu à Geoff, le directeur général de RealBASIC, car il était très présent sur la liste de diffusion pour parler de sa société. Cela a été vu comme de la publicité gratuite. Certain on dit aussi que Geoff avait tout intérêt à faire disparaitre le langage, et son développeur avec. Lorsque l'on compare ces deux langages, ils se ressemblent en tout point. Il est même possible de créer des fenêtres avec l'éditeur de RapidQ et de compiler le code sans aucune modification sous RealBASIC (Real Studio).

C'était il y a 11 ans, la liberté de diffusion n'était pas encore un argument commercial pour les entreprises, et elle n'avait pas encore cette puissance chez les développeurs. Les amateurs de RapidQ diront que son rachat est une catastrophe car ils pensaient que RapidQ allait devenir un très grand langage. Mais avec un peu de recul, on se rend compte que la version de 2000 n'est pas buggée et qu'elle est toujours compatible avec les dernières version de Windows (et de Linux, puisqu'il existe des versions multiplateforme). Encore une fois, la puissance de ce langage réside dans sa simplicité : il est possible de faire appel très simplement à des DLL, ce qui rend ses possiblités presques infinies.

Biensûr, j'aurais aimé qu'il en soit autrement, que le langage soit publié en GNU. Mais l'informatique n'est-elle pas un secteur où l'on peut devenir célèbre ? Où son tallent (car c'est bien de cela qu'il s'agit pour William Yu) peut être reconnu, et permettre de s'élever socialement ?
Finalement, William Yu a gagné le respect de milliers de développeurs, et a trouvé un emploi dans une société implantée dans 7 pays. Une belle carrière dans l'informatique, non ?

Que faire si j'ai trouvé une faille sur un site à 3M de visiteurs par mois ?

Le 26/05/2011 à 15h

dailybooth inc.

Connaissez-vous Dailybooth ?
Il s'agit d'un réseau social à la Twitter, sauf qu'il est centré sur les images. Il ne comptait pas moins de 3 millions de visiteurs uniques par mois en 2009.
Sur un compte, j'ai découvert une curieuse erreur dans la sidebar.

Je regarde donc le code source de la page pour en savoir plus :
Il se trouve que j'ai accès à un dump d'un certain nombre de variables, dont :

  • Le nom d'utilisateur
  • L'adresse email du compte
  • Le hash du mot de passe (le mot de passe sous une forme crypté)
En a peine 3 minutes sur un moteur de recherche, je trouve le mot de passe. (allez-y, confiez vos infos personnelles à n'importe qui).

Et maintenant, je fais quoi ?

Je viens de contacter dailybooth par Twitter, et par courriel. J'espère qu'ils sauront être réactif. J'ai aussi contacté les utilisateurs concernés pour qu'ils changent les mots de passe de leur autres comptes (pas celui de Dailybooth, j'y ai accès).

Une erreur très critique qui touche plusieurs comptes

Je découvre d'autres comptes atteints. Ça frise la catastrophe.

Il faut attendre qu'ils corrigent la faille

Maintenant, il n'y a plus qu'une chose à faire : attendre qu'ils corrigent la faille. Il ne faut surtout pas alerter d'autres personnes. D'ailleurs, je pense que mon twit est de trop. J'écris cet article en attendant, mais le laisse bien sagement dans les brouillons.

Temps de réaction

  • h+0h39 : Pas de réponse, le message d'erreur est toujours visible.
  • h+1h00 : toujours rien. Si j'avais été black hat, qu'aurais-je eu le temps de faire ? Ça laisse rêveur, mais l'éthique vaut beaucoup plus.
  • h+24h : Rien. Contact de deux employés par Twitter et about.me.
  • h+29h : Le contact avec les deux employés semble avoir porté ses fruits. Voilà les erreurs ne s'affichent plus.
  • h+33 : J'ai une réponse de Brian, le directeur général de Dailybooth me remerciant. Ils se chargent de corriger le problème.

Des conclusions ?

Encore un exemple de ce que tout le monde répète depuis des années : utilisez des mots de passes différents pour tous les services ! Il ne faut pas oublier que si on a le mot de passe d'une boite mail, on peut accéder à quasi n'importe quel service qui y sont reliés (facebook, youtube...).

Deuxième conclusion, j'aurai peut être fais gagner 24h à l'entreprise si j'avais contacté directement les employés, bien qu'après tout, ce n'est peut être pas à moi de faire ça : je n'ai même pas de compte sur ce réseau ! Mais c'est l'esprit white hat, que voulez-vous !

Edito du 27 mai 2011 : des cours et des mises à jour

Le projet PluXml avance a grand pas vers la release en ce moment.
Je suis en train de préparer quelques cours :
J'ai mis à jour la fiche sur la méthode MERISE. Elle gagné en clarté.
Le fiche de lecture/analyse sur Ethique en toc de Didier Daeninckx a été revue et corrigée.

Pour les nouveautés, je viens d'ajouter un essai d'explication imagée du calcul (algèbre simple), il est adapté à un niveau 5ème, et permet de faire passer la notion de nombre relatif.
Je vais aussi mettre en ligne d'ici quelques jours une "machine à boucle" midi, entièrement codée en C. Pour les amateurs de musique.

Excellent weekend à toi !