juin
2009
Tout développeur Web connait le SOP, pour Same Origin Policy. Ces règles qui empêchent notamment un objet XHR de requêter un domaine différent de la page depuis laquelle il est issu, obligeant les développeurs à avoir recours à des proxies ou autres joyeusetés du genre. C’est la même chose avec les cookies, et fort heureusement sinon le Web aurait explosé depuis des lustres. Malheureusement, la protection SOP ne suffit plus aujourd’hui, et XSS règne en […]
Un article de doctorrock 
juin
2009
Enfin, le voila !! Ca fait juste 2 ans qu’on l’attend, et personnellement 1 an / 1 an et demi que je tourne avec pour expérimenter (les versions CVS). Le guide de migration est à lire par tous les développeurs PHP PHP 5.3 est officiellement prévue pour le 30 Juin après un report tout chaud d’une semaine. Même s’il reprend du retard, il est certain qu’il va sortir sur une période très très proche, les […]
juin
2009
Sebastian Bergmann en a parlé il y a pas mal de temps déja et ca a été mergé dans la branche 3.4 de PHPUnit. Rappel : PHPunit lance actuellement chaque test dans le même processus PHP. En gros, il n’y a qu’un seul process PHP pour tester. Ceci a des conséquences, tout d’abord : il est possible, en programmant cela correctement, d’accélérer l’exécution du test. Ensuite, (et c’est plu gênant) si le code testé possède […]
juin
2009
Encore une faille FaceBook (qui semble les collectionner), entre les dumps SQL (lisez ça c’est adorable), les possibles problèmes de leak et le total contrôle des données, les attaques phishing, les failles HTTP et applicatives … Allez, quand même pas une XSS ou CSRF dans le futur, si ? Non, ne m’envoyez pas d’invitation par pitié, je serai au regret de la refuser :’-( Cette faille (comblée) exploite un paramètre de la requête HTTP afin […]
juin
2009
Non, il n’y a pas de coup de gueule sur ce blog Les phrases que je rencontre trop souvent « Dis moi avec Zend tu sais faire ? », « Et en Zend ça se fait comment ? ». Rappel au cas où : Zend est une entreprise. Est ce que vous dites « Et toi, tu sais faire ça avec Peugeot ?? » , « Non, j’arrive pas à le faire en Sony » – C’est un peu ridicule non ? Dieu, […]
juin
2009
Si vous utilisez encore ext/mysql (les fonctions PHP mysql_*) , soit vous êtes sous PHP4 (vous connaissez donc la solution : PHP5), soit vous êtes sous PHP5, mais supportez une vieille application. Je rappelle – et Zend vient de fermer le ticket #ZF-5406 confirmant ceci – : L’extension ext/mysql pour MySQL est vielle, elle est maintenue mais n’est plus développée (enrichie), elle concerne MySQL < 4.1.3. Elle ne fournit pas d’API concernant le traitement des […]
juin
2009
C’est une question qui revient souvent : comment limiter la bande passante en envoi de son serveur ? Les puristes Unix/GNU-Linux vont vous recommander des outils, comme par exemple iptables ou l’excellent tc permettant de faire du traffic shapping (du QOS de bande passante en gros). Sans aller aussi loin, si le serveur web est Apache, alors mod_bandwidth est ce qu’il vous faut. Ce module permet de limiter la bande passante d’envoi d’Apache, de manière […]
juin
2009
Dans un modèle MVC, on a tendance à en demander trop aux contrôleurs. Ceux-ci doivent faire quelques lignes seulement, or on retrouve souvent des responsabilités qui leur sont attribuées à tort : Création des modèles et création des formulaires notamment. Nous allons voir ici comment donner vie à un modèle, et comment décharger le contrôleur tout en simplifiant son API. L’atelier est là Comme d’habitude, quelques idées de personnalisation du ZendFramework, qui sont à débattre […]
mai
2009
Voila une jolie injection SQL de type UNION. Très classique, elle permet de découvrir peu à peu les champs d’une base, et de dumper des données d’une table qui n’était pas prévue dans la requête (à l’aide de CONCAT() ou ses amies). Les screenshots sur la page parlent d’eux-mêmes, la source est http://www.generation-nt.com/orange-photo-mystere-piratage-faille-actualite-745141.html Comme toute injection SQL, c’est très douloureux, et c’est clairement la preuve de négligence tant sur l’architecture Web que sur les requêtes […]
mai
2009
l’OWASP Appsec conference s’est déroulée en Pologne récemment. Je rappelle qu’il s’agit de conférences sur la sécurité du Web, voici plus d’infos sur l’OWASP (Open Web Application Security Project) Bref, un repère de gourous de la sécurité, j’aimerai bien participer à leurs conférences un de ces quatre, quoiqu’il en soit, leurs slides sont désormais en ligne Comme d’habitude, un vrai régal
Commentaires récents
Archives
- novembre 2010
- août 2010
- juillet 2010
- juin 2010
- mai 2010
- avril 2010
- mars 2010
- février 2010
- janvier 2010
- décembre 2009
- novembre 2009
- octobre 2009
- septembre 2009
- août 2009
- juillet 2009
- juin 2009
- mai 2009
- avril 2009
- mars 2009
- février 2009
- janvier 2009
- décembre 2008
- novembre 2008
- octobre 2008
- septembre 2008
- août 2008
- juillet 2008
- juin 2008
- mai 2008
- avril 2008
- mars 2008
- février 2008
- janvier 2008
- décembre 2007
- novembre 2007
- octobre 2007
- septembre 2007
- août 2007
- juillet 2007
- juin 2007
- mai 2007
- avril 2007
- mars 2007
- février 2007