Bluetouff’s blog

Un code exploitant une énorme faille de sécurité dansun composant du CMS Joomla est disponible sur Milw0rm, c’est un 0day que des hackers polonais auraient utiiser pour défacer des sites turques. L’exploit est simple et efficace puisqu’il permet carrément de changer le pass admin.

Je n’ai pas trouvé de correctif officiel ni d’annonce de cet exploit tout frais sur joomla.org.

Vous avez peut être vu passer l’info sur l’Expansion, Clubic, Neteco, Planetwifi, ou plus modestement sur l’un de mes autres sites. Nous avons déployé un réseau wifi maillé assez important aux portes de Paris, au Marché aux puces de Saint-Ouen, au Marché Biron. L’idée était, pour un coût défiant toute concurrence, d’offrir une solution ouverte, open source et performantes. Nous avons réussi notre pari en flashant des foneras avec le firmware Open Mesh. La pose a été assurée par Entreprise Transparence, un autre spécialiste du wifi et de la vidéo-surveillance ip.

Ce type de déploiement est simple à mettre en place et offre l’avantage de mutualiser plusieurs connexions adsl à faible coût au lieu d’investir dans des lignes spécialisées bien plus onéreuses. Toonux y voit également une solution idéale qui, couplée au wimax, pourrait rendre service à bien des communes. Tout pourrait aller pour le mieux dans le meilleur des mondes s’il n’y avait pas la menace de l’HADOPI qui entend que nous posions des dispositifs de filtrage visant à empêcher tout téléchargement “illicites” … Le problème de la responsabilité en cas d’avertissement se pose donc : qui est responsable ? “La personne qui partage sa bande passante” souhaite répondre l’HADOPI, sur le seul principe qu’elle semble reconnaître “une ip, un coupable”.

Si tel était le cas, ce serait bien là la fin de l’aventure des réseaux mesh communautaires et ouverts pour servir les intérêts de maisons de disques et quelques ayants-droit dont une bonne partie ne paye même pas d’impôts en France.

En aucun cas Toonux ne posera des dispositifs de filtrages, pour la simple raison que n’importe quel filtrage d’Internet est aussi efficace qu’un panneau “interdiction de marcher sur le gazon”.

Allez, imaginez un réseau local wifi et maillé, non connecté à internet, crypté … sans aucun coût autre que celui d’un boîtier à moins de $ 50 … plus d’internet, plus de contrôle possible, une multitudes de mini sub-lan échappant à tout contrôle.

SI le net est surveillé, plus personne ne passera par le net et passera ainsi complètement à côté d’une éventuelle offre légale, sujet sur lequel les maisons de disques n’avancent toujours pas …

Jeux set et match pour les pirates.

C’est vous dire à quel point le concept de riposte graduée nous fait rire de par le ridicule des solutions proposées, mortes de l’oeuf. S’attaquer au particulier est la pire des bétises à faire, ça revient à créer artificiellement une masse critique d’utilisateurs pour que des développeurs proposent des solutions d’échanges cryptographiées ou encore encourrager à l’utilisation de Freenet et GNUNet à des fins de piratage.

Dedibox récidive, avec une configuration ultra brutale à moins de 100 euros par mois ! Dans l’annonce faite par email, Dedibox se paie même le luxe d’un clin d’oeil à OVH qui risque de mettre un peu plus de temps à réagir que lors de la sortie des DEDIBOX XL. L’offre est pour l’instant limitée à une peu plus de 300 machines, les premiers arrivés seront les premiers servis … miam !

Voici la configuration

Xeon quad
Mémoire : 8 Go ECC
Stockage : 2x 1 To RAID
Connexion : 2x 1 Gbit/s
Garanties : GTI H+2

Découvrir l’offre complète

A la recherche d’un script de forum open source à la fois performant et simple à prendre en main, je suis tombé sur PunBB, sur les conseil d’un pote, au détour d’une conversation irc.
Je le télécharge, j’installe la version us standard, je suis très vite conquis, PunBB offre les fonctionnalités auxquelles je m’attends, sans superflue. Tout est propre, rapide .. le pied.

Puis vient le moment où je cherche à franciser le forum, étape obligatoire, je me retrouve sur le site de la communauté francophone à la recherche d’info visant à internationaliser le forum… et là c’est carrément du X-Files : FluxBB.fr / PunBB.fr … Mais qu’est ce donc que FluxBB ? Un fork ou le nouveau nom de PunBB ? , Quelle différence entre Pun et Flux ? Ca s’annonce mal, je ne cherchais que des fichiers de traduction pour PunBB et on me propose un FluxBB en français ou des fichiers de traduction pour FluxBB, je ne trouve rien pour mon PunBB. Pour en avoir le coeur net, j’installe un FluxBB full french… l’encodage de mes caractères part en sucette, après vérification je vois que fluxbb m’a créé des tables en latin_swedish … super pour une version française, ça fait sérieux.

Je me dis que je vais quand même creuser et poser quelques questions sur le forum dédié… mais là encore mauvaise surprise, je ne reçois jamais le mail de confirmation, je ne peux donc pas poster sur le forum.

Puis je tombe enfin sur un thread expliquant la situation. Le créateur de PunBB aurait vendu son âme au diable et PunBB, à en croire les inquiétudes de la communauté française tendrait à se propriétariser ?! … Même pas ! Il est toujours open source, sous licence GPL, mais son créateur aurait cédé ses droits à une société commerciale ce qui a hérissé la communauté française visiblement … Je serai curieux de savoir si cette conception du libre a été aussi appliquée sur MySQL quand le projet a été racheté par SUN, j’ai beaucoup de mal à comprendre les arguments de ce fork, qui montrent une parfaite méconnaissance du financement des applications open source qu’ils utilisent, je cite :

Je l’ai dis, ce que ça change par exemple c’est que lorsque tu as un lien en bas de ton forum, ce n’est plus pour supporter un projet open-source mais c’est de la pub pour une société privé. C’est une première différence.

Une seconde est le fait de faire du logiciel pour faire du logiciel et faire du logiciel pour faire de l’argent. Les deux ne sont pas incompatibles et je ne dénigre ni une vision ni l’autre, simplement je peut comprendre que des bénévoles ne veuillent pas passer du temps à coder pour enrichir d’autres personnes…

(…) y’a quand même une grosse différence entre une société qui achète les droits d’un logiciel pour faire de l’argent et une société mécène qui donne l’argent pour faire avancer le projet (…)

Voilà des explications qui ressemblent plus à une campagne électorale de la LCR qu’à des arguments d’un développeur souhaitant le bonheur de sa communauté et le progrès de son application. Il me semblait que ce genre de comportement à la fois démagogique et sans aucun discernement n’existaient plus depuis bien longtemps dans l’Open Source. Avec ce raisonnement on peut prendre Ubuntu pour une oeuvre caritative conduite par un mécène … Si des société comme IBM ou Oracle investissent dans l’Open Source c’est parce que c’est rentable, ce n’est pas du tout du mécénat, pensez vous que Spip aurait vu le jour sans Le Monde Diplomatique ? N’importe quel CMS a été un jour ou l’autre financé, soit par le biais de financement directs sous forme de dons, soit par des clients qui ont fait confiance au projet et se sont payé une intégration et des développements de nouvelles fonctionnalités.

Si un projet veut se protéger d’un “rachat” de ce type, il existe un moyen simple : créer une fondation, comme c’est le cas pour Plone, mais là encore ce que les forkers n’ont pas compris, et je les invite à en discuter avec les gens de la fondation Plone : l’une des missions de la fondation Plone est aussi de continuer à faire en sorte que des sociétés gagnent de l’argent grâce à Plone et ainsi puissent réinvestir en développements et en retours à la communauté, c’est un cercle vertueux. Maintenant s’il s’agit d’un problème de confiance entre l’équipe de développement et la nouvelle structure commerciale, on peut comprendre le fork, mais il faut être conscient que ce n’est pas en changeant de nom et d’appellations de variables qu’on constitue une alternative sérieuse à un projet open source financé, il va falloir bien plus que ca.

Voilà pour le premier “contact” avec FluxBB qui m’incite à passer mon chemin, malgré toutes les qualités de ce script.
J’ai épluché pas mal les documentations disponibles sur le site qui renvoi tantôt sur un lien cassé (anciens sites dont le domaine est maintenant en parking), tantôt sur des docs pour Flux, tantôt pour des docs pour Pun… le moteur de recherche ne me renvoi aucune occurrence sur les mots clés caractérisant mes soucis, … et cet encoding en Latin_swedish … c’est une vraie déception, ce projet part complètement en live.

Ce script qui a tout pour plaire vient de me montrer son aspect moins cool : il est inutilisable “out of the box” et les inscriptions qui ne fonctionnent pas sur le site de la communauté ne sont pas faites pour me rassurer. En outre, je ne me reconnaît pas du tout dans l’analyse des forkers pour justifier ce fork qui fait grincer des dents certains utilisateurs. C’est franchement dommage, voici une expérience qui se termine en eau de boudin, je ne pouvais pas plus mal arriver qu’à cette période de transition, je vais donc me rabattre sur un autre script, c’est une grosse déception.

Google AppEngine est un nouveau webservice Google à destination des développeurs souhaitant créer leurs application en ligne en se basant sur un framework web. sous le capot c’est carrément allèchant puisque Google AppEngine utilise sur Django un framework en python que nous sommes de plus en plus nombreux à affectionner.

C’est très discrètement et sans faire de pub que Google a lancé 100 000 comptes Google AppEngine pour les plus impatients d’entre vous !

Attention, 100 000 comptes c’est pas beaucoup à l’échelle de Google, alors si vous avez envie de tester ce nouveau service : ruez vous dessus !

C’est PAR ICI

C’est le premier point vraiment négatif actuellement sur les dedibox … impossible de faire un transfert de fichier un peu lourd avec un scp sans que ça plante carrément le réseau … génial quand on fait des sauvegardes, perte de réseau en plein backup donc données altérées.

cat /var/log/syslog | grep eth0

kernel: NETDEV WATCHDOG: eth0: transmit timed out
kernel: eth0: Transmit timeout, status 00000005 00000000

… et c’est comme ca tous les jours… si vous avez comme moi 9 dedibox à gérer, il y a de quoi être excédé pour moins.

Le responsable à première vue est la carte sis qui équipe les dedibox qui ne sont à la base pas vraiment réputées pour leur fiabilité. Mais en grattant un peu dans le syslog, on s’apperçois que que l’outil de monitoring de la Dedibox, le Dedibox Monitoring Agent (DMA) a peut être un rapport de cause à effet avec ces plantages exaspérants .

Quelles solutions ?

• Compiler son propre kernel en attendant un officiel qui vienne corriger le problème
• Faire un script qui check le reseau toutes les n minutes et qui le restart ifconfig eth0 down puis ifconfig eth0 up au cas ou on a une réponse négative du probe.
• passer sur BSD

Voilà c’est pas super joyeux pour l’instant mais l’offre des V2 et des XL est très récente et innovante … c’est le revers de la médaille.

Je suis tombé sur l’excellente traduction d’ElPadawan de la non moins excellente analyse d’un développeur Microsoft, Moishe Lettvin. On y apprend le process de développement de petites briques fonctionnelles dans Windows Vista et les problèmes organisationnels de Microsoft sont ici expliqués.

Il est acquis que Vista représente une masse impressionnante de code et que les process de validation, puis d’intégration sont forcement complexes et suivent des circuits qui ne sont pas forcemment toujours “naturels”. A ces problèmes naturellement induis par la masse, viennent se greffer des problèmes “d’organigrammes” incroyables.

Un témoige d’un “insider” vraiment interessant qui me passe une fois de plus l’envie de confier mes données à un système comme Vista, aussi opaque dans sa conception que dans son utilisation.

Plone est un système de gestion de contenu professionnel écrit en langage Python. “Professionnel’”, ça veut dire en clair qu’il dispose de fonctionnalités avant tout tournées vers les professionnels, à mi chemin entre sytème de gestion de contenu et framework permettant le développement d’applications métiers, il offre des conforts que l’on retrouve dans aucun autre CMS écrit en PHP puisqu’il s’appuie sur un socle applicatif robuste et ultra riche, Zope.

Je dois avouer que depuis la sortie de Plone3, j’attendais impatiemment la sortie de Plone3.1, même si grâce à Trollfot, j’ai pu avoir plus qu’un avant goût de ce qui manquait à plone 3.0.

Plone 3.1 est une version de maintenance qui vient corriger quelques bugs mineurs mais qui apporte surtout son lot de nouveautés, plus de portlets, des fields supplémentaires : le field image pour les portlets (les petites boites autour de la zone de contenu) faisait cruellement défaut mais grâce à StructuredDocument je pouvais déjà jouir de cette indispensable fonctionnalité.

• Voir la liste des 17 améliorations majeures
• Télécharger la béta de Plone 3.1

On les croyait tous morts depuis l’explosion de la bulle internet, oui mais voilà, avec tous ces nouveaux outils ultras conviviaux que sont facebook, mySpace, les blogs bidule et trucmuche, les trackbacks, le ixaimelle, le airaissaisse, … on assiste au retour en force de soit disant professionnels qui s’adonnent à des pratiques détestables… les plaies du Net ont encore de l’avenir. Petite plongée de le monde palpitant des startups du 2.0

Le spam :

Le spam c’est mal tout le monde le sait, surtout quand il est opéré par bots à l’intelligence ultra relative surpassant miraculeusement celle du commanditaire. C’est comme ça qu’après le spam régulier de fils de commentaires ou de forums sur certains de mes sites, j’ai décidé d’agir.

Notre premier winner du mois s’appelle Teslogos.com, opéré par la société “onlinedev” …
Mode opératoire : un posteur fou qui vient pourrir vos threads de discussion dont certains carrément techniques avec un message de ce type :

“bonjour j’adore ton site, viens visiter le mien http://teslogos.com” (on ajoute 2 lol, un kikoo et 9 smiley, ce qui nous donne :

• Soit un échappé d’MSN qui s’est égaré sur le web
• Soit un bot spammeur méthodique pluggué sur le réseau neuronal d’un skyblogger

… fallait pas me le demander deux fois, je suis allé visiter leur site, une belle application de vente en ligne en php (gestion des clients, gestion des annonces, gestion d’une régie publicitaires ….) avec un “petit oubli” qui conduit à la fuite des données personnelles de tous les clients de teslogos.com et à un trou béant qui m’aurait permi comme vous allez le découvrir, de faire ce que je voulais sur ce site web… Mais je suis quelqu’un de bien élevé, même si j’ai une dent contre ce pourisseur de blogs, je me suis borné a envoyer un petit mail aux auteurs du site (dont les bureaux sont situés juste à côté de chez moi …), ce mail est parti le 6 février et , presque un mois plus tard, toujours pas de réponse, le courant d’air numérique sur le site est toujours présent, une grande preuve de professionnalisme, bravo.

Je me suis donc demandé si teslogos continuait à spammer, comme Google est mon copain je lui demande; pour mémoire, j’avais trouvé en février 25 000 occurrences de leur spam et de pas mal de variantes comprises. Aujourd’hui nous en sommes à 31400, … et oui Teslogos.com continue allègrement le spam.
Je n’avais pas souhaité publier quoi que ce soit mais puisque teslogo n’a pas eu la courtoisie de répondre, que les bonnes pratiques ne sont pas respectées, et enfin que le trou signalé est toujours présent, je trouve normal d’alerter ses clients … donc voilà, vos données personnelles sont accessibles en deux clics par la négligence de ce site web, en voici un screenshot :

Notez que ce screen est bien daté d’aujourd’hui

Voilà, ça devrait suffire pour la partie “je fais du marketing 2.0 de la mort”

Passons maintenant à Zetetic, attention tenez vous bien “agence de communication interactive”, terme que je n’avais plus croisé depuis 1996, à l’époque où des agences de communication manifestement incompétentes, composaient des pages html sous MS-Frontpage (beurk) et les compilaient sur un cdrom avec un petit flash à deux balles si le budget dépassait les 50 000 francs, je me suis intéressé à Zetetic suite à un petit article d’un blog que j’apprécie et qui faisait état de plagiat manifeste de ses contenus par la dite agence de communication interactive.

Pomper les contenus de petits jeunes talentueux sans même poser un lien sur la source SAYMAL!

J’ai donc voulu en savoir un peu plus et je me suis baladé sur leur site web histoire de comprendre de visu ce qui se passait et évidemment, je suis tombé sur une belle bande winners. Là encore pas de doute possible il s’agit bien de rescapés de l’éclatement de la bulle internet qui essayent de refaire surface avec le web2.0 … attention séquence émotion :

• copiés/collés de contenus sans citation de la source
• Comme on connaît pas trop les machins en ajax là, on fait un gros blob en flash avec des effets de transparence qui rappellent étrangement jQuery, ouai mais voilà ça c’est du 2.0 canada dry, le flash c’est une techno du 20e siècle pour les sites web.
• Je passe ensuite sur les aspects techniques (code html indigne de professionnels, parfaite méconnaissance des moteurs de recherche, …) et le baratin commercial avec des fautes alors qu’il n’y a que 3 pages au site web, je cite : “Nous vous proposons de développer des logiciels sur mesure pour vous aidez dans vos projets”… ouai ben non merci hein, je vais m’occuper du dev et de ma communication tout seul finalement, même si je suis loin d’être une bête en orthographe….
• Je finis par découvrir un blog Wordpress bien planqué sur lequel je découvre les articles pompés du blog lejournaldublog, pas une référence, pas un lien … oui c’est carrément malhonnête de leur part.

D’un autre coté, comme je l’explique dans mon commentaire sur lejournaldublog, la rédaction n’a vraiment pas à s’en faire vu que c’est mis en place par de supers amateurs et que le journaldublog est de tout points de vue d’une qualité nettement supérieures à Zetemachin à qui je recommande vivement de faire une proposition d’embauche aux auteurs du journal du blog qui connaissent les standars web, ajax, les balises métas, le comportement de bots référenceurs, ne collent pas du style dans leur html, rédigent de vrais contenus…

Bref si vous avez besoin d’un beau site web et d’une communication sur le net efficace, allez plutôt passer un mail chez lejournaldublog pour voir ce qu’ils peuvent faire pour vous au lieu d’aller chercher à faire confiance à des “morts vivants”, comprenez des entités du Net qui l’on pensait disparues depuis 1999.

Voilà, ce sera tout pour aujourd’hui, si vous avez de remarques, des excuses à formuler, des insultes à proférer, n’hésitez pas