30.9.2009 par christophe.croisant.

Lorsque vous vous connectez à un site Internet pour y saisir votre nom d’utilisateur et votre mot de passe, celui-ci ouvre une session qui va rester ouverte jusqu’au moment où vous cliquez sur “déconnexion” ou fermez le navigateur. La gestion des sessions se fait suivant plusieurs techniques, la plus utilisée utilise les cookies, petites variables nommées, associées à des URLs et possédant une limite de validité dans le temps. Le serveur produit le cookie et le navigateur le transmet à chaque requête HTTP. Ainsi, si votre connexion n’est pas chiffrée, un attaquant qui vous dérobe ces fameux cookies accède simplement à votre session.

Pour obtenir cette information, l’attaquant capture (par différentes méthodes) tout ou partie du trafic entre le serveur HTTP et le client pour ensuite faire apparaître les transactions qui comportent une transmission de cookie et enfin déterminer quel est le cookie de session. Le service Google Mail, comme iGoogle utilise par exemple un seul cookie appelé GX pour identifier la session.

Sous Firefox 3, les cookies sont désormais stockés dans un fichier SQLite 3 sur lequel il est très facile de procéder à tous types de requête SQL. Un script permet ensuite la transposition d’un hôte cible à un autre en insérant un enregistrement adéquat dans la table et hop, le tour est joué ! l’attaquant est désormais identifié comme étant l’utilisateur de la session ouverte.

La solution pour éviter un tel vol est d’imposer systématiquement le chiffrement des communications (HTTPS pour le web, VPN pour les autres applications nomades,…). Il est également important de penser à “effacer ses traces” de navigation.

Posté dans Sécurité | 1 commentaire »

23.9.2009 par christophe.croisant.

Edison est la version gratuite d’un logiciel payant proposé par l’éditeur américain Verdiem aux grandes entreprises qui souhaitent limiter la consommation énergétique de leurs parcs de PC.

Une fois installé, Edison fonctionne en permanence et vous propose de faire des économies d’énergie en contrôlant les dépenses énergétiques de votre ordinateur. Il vous suffit d’indiquer le temps d’utilisation et les horaires où vous utilisez le moins votre PC et l’application se chargera de mettre tous les éléments en veille sans passer par le mode classique de mise en veille. Selon les paramètres choisis, Edison éteint l’écran, arrête la rotation des disques durs ou met l’ordinateur en veille à des intervalles de temps prédéfinis.

Afin de sensibiliser l’utilisateur, Edison affiche instantanément les économies réalisées sur un plan financier (celles-ci sont calculées automatiquement en euros en tenant compte du prix du kWh moyen pratiqué dans le pays de l’utilisateur, soit 0,164 euro en France) mais aussi sur un plan environnemental (énergie non consommée en kWh et poids de CO2 non émis).

Actuellement disponible pour Vista en téléchargement sur Microsoft.com/environment, Windows 7 intégrera Edison en standard et sera activé par défaut. Couplé à une accélération des entrée/sortie de veille (30% à 40% gain par rapport à Vista), Microsoft souhaite inciter les gens à mettre au repos leur PC lorsqu’ils ne s’en servent pas pendant de longues minutes (l’heure du déjeuner par exemple).

Posté dans Green IT | Aucun commentaire »

16.9.2009 par christophe.croisant.

eGroupWare est un logiciel de travail collaboratif (groupware) Open Source (sous licence publique générale GNU) de qualité professionnelle. Conçu nativement avec une interface Web qui vous permet d’accéder à vos données de n’importe où, eGroupWare permet :
- de gérer vos contacts, vos plannings et vos tâches,
- de gérer vos projets en mode collaboratif,
- de partager une base de connaissance,
- de partager des ressources (véhicules, salles de réunion…).

eGroupWare communique et se synchronise avec Outlook, ainsi que les principaux clients de messagerie ou avec votre téléphone portable ou votre PDA.

eGroupware est indépendant de la plate-forme. Le serveur, développé en langage PHP, fonctionne sur Linux, Mac, Windows et du côté client, un navigateur web tels que Firefox, Chrome ou Internet Explorer suffit. Le logiciel peut également s’appuyer sur des bases de données différentes : MySQL, Oracle, PostgreSQL, … L’authentification peut se faire aussi bien à travers les comptes clients internes par SQL ou LDAP mais également à partir de systèmes externes comme, par exemple, un serveur de messagerie ou Active Directory.

La simplicité et la convivialité de son interface, associées à la richesse des modules fonctionnels disponibles, font de eGroupWare la solution idéale pour améliorer la communication interne et la gestion d’une organisation. Par ses nombreuses applications, eGroupWare est une alternative crédible à des applications commerciales comme Lotus Notes et Microsoft Exchange.

Posté dans Outils | Aucun commentaire »

9.9.2009 par christophe.croisant.

Des chercheurs en informatique des universités d’Hiroshima et de Kobe au Japon ont affirmé avoir mis le doigt sur une méthode permettant de craquer en moins d’une minute le système de chiffrement WPA (pour Wi-Fi Protected Access).

Cette technique pourrait s’appliquer à certains types de routeur Wi-fi.

Source: Le Journal du Net

Posté dans Sécurité | Aucun commentaire »

2.9.2009 par christophe.croisant.

Dans les solutions de gestion de sources, le modèle client-serveur, avec CVS et surtout SVN, a largement conquis le monde du développement en entreprise. Dans ce modèle, le développeur utilise un client dédié qui permet de se connecter à un serveur pour récupérer une copie locale d’une version précise du projet. Puis, une fois les modifications apportées au projet, le développeur bascule les modifications sur le serveur (Principe du checkout/commit). Enfin, pour éviter les conflits entre les modifications effectuées par différents développeurs, le modèle adopte soit le principe du verrouillage (seul le développeur qui souhaite modifier un source peut le faire), soit le principe de fusion (la dernière version d’un source est fusionnée avec la précédente).

En revanche, dans le domaine des projets communautaires, les développeurs utilisent de plus en plus des solutions utilisant un nouveau modèle : le modèle distribué. C’est le cas de projets comme python ou firefox qui ont adopté la solution Mercurial.

Dans une solution de sources dite “distribuée”, le principe consiste à ajouter un intermédiaire entre la copie de travail et le répertoire distant : le répertoire local, à partir duquel, désormais, vont se faire les checkout/commit classiques avant de transmettre les modifications effectuées au répertoire distant. Quel intérêt me direz vous à utiliser un tel système qui revient à “doublonner” le système C/S ?

En fait, un outil comme Mercurial permet de changer tout simplement d’échelle. Avec SVN, on est au niveau du fichier (au mieux d’une branche) alors qu’avec Mercurial, vous disposez en local d’un véritable “clone” du projet sur lequel vous avez la main pour tester, créer des branches, committer, revenir en arrière, etc. sans impacter forcément toute l’équipe de développement. Chacun peut maintenir sa propre branche dans son coin, avec ses propres patchs.

Un outil de gestion distribuée de versions est un outil qui permet à chacun de travailler à son rythme, de façon désynchronisée des autres, puis d’offrir un moyen à ses développeurs de s’échanger leur travaux respectifs.

Posté dans Web Développement | Aucun commentaire »