13.1.2010 par christophe.croisant.

Joomla! est une plateforme très utilisée pour la création de sites dynamiques. Néanmoins, l’utilisation d’un outil “packagé” ne met pas à l’abri des risques de piratage et d’intrusion dans le système. Voici quelques failles à surveiller et à corriger pour assurer une protection de votre site Joomla!

La première (et plus simple) faille du produit est l’URL d’accès à son interface d’administration bien connue des administrateurs du site mais également des pirates potentiels. Il est donc primordial d’avoir un mot de passe fort pour l’administrateur car les pirates vont essayer les mots de passe classiques, les plus utilisés par les internautes peu soucieux de la sécurité.

Ensuite, les pirates vont utiliser les failles des composants, plus que celles du noyau de joomla! Vous devez donc veiller à toujours utiliser la dernière version stable du noyau afin de garantir une prise en compte des dernières failles de sécurité. La dernière version stable est la 1.5.15.

Le piratage se fait donc le plus souvent via une vulnérabilité dans un composant ou un module et en utilisant des méthodes classiques :
- Injection SQL, technique qui consiste à modifier une requête SQL existante pour afficher des données cachées, ou pour écraser des valeurs importantes, ou encore exécuter des commandes dangereuses pour la base.
- Injection de fichier, technique qui consiste à introduire un fichier étranger sur le serveur.
- Vulnérabilité du type cross-site scripting (XSS) et cross-site request forgery (XSRF), autorisant des utilisateurs à effectuer certaines actions par le biais de requêtes HTTP sans vérification de celles-ci. Ces erreurs peuvent être exploitées pour, par exemple, ajouter un nouvel super administrateur de Joomla!.

Donc, pensez à utliser des modules et des composants fiables, testés et n’hésitez pas à consulter la liste des failles répertoriées sur le site http://docs.joomla.org/Vulnerable_Extensions_List

En revanche, sachez qu’il existe également des composants Joomla! qui peuvent sécuriser votre site et même détecter toutes tentatives d’injection !…

Posté dans Web Développement, Sécurité | 1 commentaire »

7.10.2009 par christophe.croisant.

Internet Explorer 8 est disponible depuis quelques mois et certains sites Internet ne s’affichent pas (ou plus) correctement sous cette nouvelle version du navigateur de Microsoft.

Il faut savoir qu’Internet Explorer 8 intègre trois moteurs de rendu pour rester le plus compatible possible avec les sites Internet existants :
1. Quirks : Compatibilité avec Internet Explorer 5.
2. Internet Explorer 7 : Compatible avec Internet Explorer 7 et son comportement JavaScript
3. Internet Explorer 8 : Implémente les dernières fonctionnalités, la compatibilité CSS 2.1
Par défaut, Internet Explorer 8 utilise bien entendu son nouveau moteur de rendu.

Pour que Internet Explorer 8 utilise le moteur de rendu d’Internet Explorer 7, l’internaute peut cliquer sur le bouton à droite de la barre d’adresse :

Cela permet de corriger des problèmes d’affichage comme un mauvais alignement du texte, des images, ou des zones de texte. Cette option sera valable pour le site en question et tous les autres sites continueront à s’afficher avec le moteur de rendu de Internet Explorer 8.
Pour revenir au moteur de rendu Internet Explorer 8, il suffira de cliquer à nouveau sur le bouton de compatibilité.

Côté développeur, il est possible d’ajouter à la page HTML un tag (via une balise META) pour que Internet Explorer 8 utilise directement le moteur de rendu de Internet Explorer 7, afin que l’internaute n’ait pas à changer de mode de rendu manuellement.

Posté dans Web Développement | Aucun commentaire »

2.9.2009 par christophe.croisant.

Dans les solutions de gestion de sources, le modèle client-serveur, avec CVS et surtout SVN, a largement conquis le monde du développement en entreprise. Dans ce modèle, le développeur utilise un client dédié qui permet de se connecter à un serveur pour récupérer une copie locale d’une version précise du projet. Puis, une fois les modifications apportées au projet, le développeur bascule les modifications sur le serveur (Principe du checkout/commit). Enfin, pour éviter les conflits entre les modifications effectuées par différents développeurs, le modèle adopte soit le principe du verrouillage (seul le développeur qui souhaite modifier un source peut le faire), soit le principe de fusion (la dernière version d’un source est fusionnée avec la précédente).

En revanche, dans le domaine des projets communautaires, les développeurs utilisent de plus en plus des solutions utilisant un nouveau modèle : le modèle distribué. C’est le cas de projets comme python ou firefox qui ont adopté la solution Mercurial.

Dans une solution de sources dite “distribuée”, le principe consiste à ajouter un intermédiaire entre la copie de travail et le répertoire distant : le répertoire local, à partir duquel, désormais, vont se faire les checkout/commit classiques avant de transmettre les modifications effectuées au répertoire distant. Quel intérêt me direz vous à utiliser un tel système qui revient à “doublonner” le système C/S ?

En fait, un outil comme Mercurial permet de changer tout simplement d’échelle. Avec SVN, on est au niveau du fichier (au mieux d’une branche) alors qu’avec Mercurial, vous disposez en local d’un véritable “clone” du projet sur lequel vous avez la main pour tester, créer des branches, committer, revenir en arrière, etc. sans impacter forcément toute l’équipe de développement. Chacun peut maintenir sa propre branche dans son coin, avec ses propres patchs.

Un outil de gestion distribuée de versions est un outil qui permet à chacun de travailler à son rythme, de façon désynchronisée des autres, puis d’offrir un moyen à ses développeurs de s’échanger leur travaux respectifs.

Posté dans Web Développement | Aucun commentaire »

13.5.2009 par christophe.croisant.

REBOL, qui se prononce “rebel”, est un langage de programmation script de haut niveau conçu et imaginé par un certain Carl Sassenrath, qui fut, dans les années 80, l’architecte du système d’exploitation de l’Amiga, machine mythique, avant gardiste dont les caractéristiques (multi-tâche préemptif, plug&play, …) ont largement inspiré les PC d’aujourd’hui.

Partant du constat que l’informatique est inutilement compliquée et lourde, Carl Sassenrath crée REBOL, langage extrêmement léger et compact, dont le runtime est composé uniquement d’un exécutable, autonome, sans librairie partagée, d’un poids d’environ 300Ko en mode console et 600Ko en version graphique !

REBOL est un langage de script dynamiquement typé, très expressif et donc à l’écriture concise. Concrètement, il est caractérisé par une grande rapidité de développement et de programmes légers, du fait de son haut niveau d’abstraction. Ainsi une adresse IP, une URL ou une balise HTML sont considérées comme étant un type de base en REBOL et dispose de fonctions de manipulation en propre, ce qui facilite l’écriture des programmes.

REBOL un langage qui propose une implémentation orientée objet particulièrement simple mais très efficace. En effet, il n’y a pas de notion de classe, chaque objet étant instanciable à partir d’un autre. Du coup, le paradigme objet de REBOL est plutôt libre et finalement très souple.

REBOL propose également une fonction très performante (instruction Parse) qui permet de définir simplement un dialecte, c’est à dire un langage métier personnalisé à la syntaxe choisie de manière à résoudre plus facilement un problème pour une tâche et un contexte précis. REBOL emprunte beaucoup à la programmation fonctionnelle, notamment LISP.

REBOL n’est bien sûr pas exempt de défaut, mais coder avec ce langage est plaisant et rapide. A tester sans modération…

Dernière version stable : REBOL 2.7.6 (www.rebol.com)

Posté dans Web Développement | Aucun commentaire »

14.1.2009 par christophe.croisant.

Comme chaque année, la communauté des webmasters désigne le meilleur CMS Open Source.

Joomla! à remporté ce prix en 2006 et en 2007 mais cette année, c’est DRUPAL qui a été élu meilleur CMS open source. Rien de très étonnant dans cette nomination. DRUPAL est effectivement un outil de gestion de contenu moderne et efficace, beaucoup moins formaté que Wordpress qui reste l’outil de référence pour la mise en place d’un blog.

Pour ma part, je trouve que la rapidité de prise en main par les utilisateurs finaux reste à l’avantage de Joomla!, qui finit cette année en 2ème place, devant DotNetNuke, le seul CMS dans le classement final qui est écrit en VB.NET pour l’environnement ASP.NET.

A noter également la nomination de SilverStripe au titre de CMS le plus prometteur devant CMS Made Simple.

Posté dans Outils, Web Développement | Aucun commentaire »

26.11.2008 par christophe.croisant.

AJAX et FLASH sont désormais capable de prendre en charge presque n’importe quel type d’application. Dès lors, quelle technologie utiliser ? Quels sont les points forts et les points faibles de ces deux technologies ?

AJAX repose sur Javascript, langage pris en charge par tous les navigateurs et qui, via son accès direct au Document Object Model (DOM), permet des mises en page fixes mais aussi libres. De plus, AJAX permet la prise en charge totale des feuilles de style complexe (CSS). FLASH nécessite un plug-in qui limite le contenu flash à une zone rectangulaire, avec une mise en page fixe et qui utilise peu les CSS. En revanche, le plug-in fonctionne dans tous les navigateurs alors que pour Javascript, des différences majeurs existent entre les navigateurs.

Pour tout ce qui concerne la gestion des polices, images bitmap, images vectorielles, son et vidéo, FLASH domine largement son concurrent. De plus, le modèle de programmation (ActionScript, Flex) et les outils de développement (Flex Builder) offrent aux programmeurs Flash une plateforme de développement du même niveau que d’autres langages orientés objets, comme Java.

En revanche, le code AJAX est ouvert alors qu’une application FLASH reste une boîte noire, d’où des difficultés de maintenance ou de mises à jour. Un autre domaine où AJAX domine son concurrent concerne l’optimisation pour les moteurs de recherche : une application FLASH reste toujours impénétrable aux moteurs alors qu’AJAX permet un contrôle des éléments auxquels les moteurs sont sensibles.

Difficile donc de déclarer un vainqueur. Le choix de l’un par rapport à l’autre doit se faire en fonction de l’application à produire en se posant surtout la question suivante : “Avec quelle technologie et quels outils suis-je le plus familier ?”

L’idéal pourrait être de faire cohabiter les deux. Deux projets travaillent dans ce sens :
- le langage HAXE permet déjà de traduire le même programme en Flash et en JavaScript,
- le projet TAMARIN, soutenu par Mozilla et Adobe, a pour but d’unir ActionScript et JavaScript en un seul et même langage.

Posté dans Web Développement | 2 commentaires »

6.8.2008 par christophe.croisant.

Microsoft lance sa suite Expression Studio en version 2.0, avec de nombreux outils, pour Internet ou les applications.

Rappelons tout d’abord que la suite Expression Studio intègre les logiciels Expression Web 2 (création de site web), Blend 2 (conception d’interfaces riches), Design 2 (Dessin vectoriel), Media 2  (catalogue) et Encoder 2 (encodage de vidéos). Nous nous concentrerons dans ce bulletin sur le logiciel Expression web 2.

De plus en plus respectueux des normes W3C (XHTML,CSS…), la prévisualisation des pages en CSS a été grandement améliorée. Expression web 2 supporte désormais le Framework .Net 3.5 et propose donc via la ToolBox la possibilité d’inclure les nouveaux contrôles d’ASP.NET 3.5. Il propose également un support plus abouti d’ASP.NET Ajax.

Mais surtout, Expression web 2 supporte à présent le langage PHP, ce qui en fait un concurrent sérieux au logiciel Dreamweaver d’Adobe. Il est désormais possible de prévisualiser des sites web PHP à l’aide du serveur de développement de l’outil. A noter que, dans cette version, la prévisualisation des variables locales ou des classes n’est pas supportées.

Expression web 2 supporte également Silverlight 1.0, la technologie de Microsoft, concurrente de la technologie Flash d’Adobe et peut aussi importer les fichiers .PSD de Photoshop avec la prise en compte des différents calques.

Expression web 2 est commercialisé au prix public indicatif de vente de 299$ (prix de vente sur le marché français non communiqué).

Posté dans Outils, Web Développement, Actualité | Aucun commentaire »

23.4.2008 par christophe.croisant.

Google affirme sa volonté de permettre aux logiciels utilisables en ligne de continuer à fonctionner hors-connexion. Technologie open source, Google Gears se présente sous la forme d’une extension pour navigateur qui permet d’utiliser hors ligne des applications normalement exploitées en ligne.

C’est donc en se basant sur Google Gears, que Google compte permettre une telle utilisation de sa suite bureautique Google Documents, qui rassemble des versions allégées de traitement de texte, tableur et présentation.

En utilisant cette technologie, l’utilisateur doit se connecter une première fois au service, afin que l’ordinateur puisse prendre connaissance de ses documents en ligne.
Après cette première synchronisation, il est possible de déconnecter son ordinateur pour continuer à travailler, sans accès à Internet. La suite bureautique reste alors totalement accessible et il est possible de modifier ses documents ou d’en créer de nouveaux.
Lorsque l’utilisateur se connecte à nouveau à Internet, Google Documents se synchronise alors une nouvelle fois pour sauvegarder en ligne les dernières modifications effectuées hors ligne.

Notons cependant que, provisoirement sans doute, toutes les fonctions ne sont pas disponibles une fois hors ligne et que, pour l’instant, cette fonctionnalité n’est offerte que sur la version anglophone (US) de Google Documents.

Avec Google Gears, Google sort donc de sa spécificité purement Internet, en proposant une réelle alternative (pour des besoins toutefois limités) à des applications plus connues type OpenOffice.org ou même la suite Office de Microsoft, qui a toujours misé sur le logiciel traditionnel, à installer sur son disque dur..

Rappelons également que la version 4.0 de Firefox intégrera Prism, une solution qui devrait permettre l’utilisation d’un Web Service directement depuis le bureau, sans avoir besoin d’une connexion à Internet active et qui devrait, selon Mozilla, « rendre Google Gears obsolète ».

Posté dans Web Développement, Actualité | Aucun commentaire »

12.3.2008 par christophe.croisant.

Depuis 2004, deux groupes de travail s’opposaient sur l’avenir du langage HTML. D’un côté, l’organisme international W3C voulait imposer XHTML 2.0 sans parvenir pas à le finaliser. Mais le format XHTML 2 suscitait la contreverse, outre le fait qu’il soit incompatible avec les précédents standards, on lui reprochait son orientation purement document alors que le Web devient 2.0 et a besoin de plus en plus d’applications et utilise des médias variés.

De l’autre, un groupe de travail indépendant WHATWG, soutenu par Apple, Mozilla et Opera, travaillait à la définition d’un format de page Web standard destiné à remplacer à la fois HTML 4 et XHTML, tout en gardant une compatibilité partielle : le HTML 5. HTML 5 s’intéressait donc aux applications Web. D’ailleurs cette version s’appelait à l’origine Web Application 1.0 avant de changer de nom pour mieux se poser en successeur de HTML 4.

Finalement, la guerre de tranchées entre le WhatWG et le W3C n’aura pas lieu. Ce dernier vient en effet de publier un document de travail dans le but de rassembler tous les principaux acteurs du web (Microsoft était en effet absent du WhatWG) mais également de recueillir l’avis de tous les utilisateurs et développeurs du web afin de s’assurer que la spécification HTML 5.0 répondra bien aux besoins du plus grand nombre, et pas seulement à ceux d’Apple, Opera et Mozilla.

HTML 5 standardise enfin les architectures web 2.0, notamment la notion de RIA et de client multimédia. Il supprime les balises de présentation (align, bgcolor, etc.) qui sont théoriquement remplacées par les feuilles de styles. Les frames disparaissent. Par conséquent les balises frame, frameset, noframe ne font plus partie du format.

Mais surtout, HTML 5 introduit une flopée de nouvelles APIs (interfaces de programmation) car le web permet désormais de développer des applications en ligne. Ces APIs s’étendent de la création de dessins en 2D, au contrôle de flux audio et vidéo, en passant par le mode déconnecté. Elles intègrent aussi nativement le support des événements utilisateur, du glisser-déplacer, l’édition de la page directement dans le navigateur, et le support des événements serveur.

Parmi les plus intéressantes, citons :
Canvas : C’est un canevas sur lequel on peut dessiner, et donc ajouter de nouveaux éléments graphiques à l’interface. Sur le canvas on peut effectuer des transformations d’agrandissement, rotation, translation… On dispose de figures variées: rectangles, courbes de Bézier, arc, avec les fonctions de remplissage et d’épaisseur de trait.

Audio et video : La balise video permet d’intègrer une vidéo dans le document. Elle s’accompagne d’un attribut src pour désigner le fichier, mais aussi d’attributs comme start, stop, autoplay etc qui définissent le comportement de la vidéo. La balise audio est l’équivalent pour les fichiers sonores.

Section : Les balises section permettent de diviser (ou subdiviser) un document en parts sémantiques. Elles servent à créer un plan, une table des matières. Les sections peuvent être des chapitres. Elles se différencient des balises div qui ont un rôle de présentation.

Mais HTML 5.0 va encore plus loin en proposant que les documents (page HTML, donc potentiellement une application AJAX) soient capables de dialoguer directement entre eux selon une logique peer-to-peer. D’autres architectures et technologies pourraient être intégrées à HTML 5. C’est le cas notamment des microformats (RDFa), des widgets (Widgets), de XMLHttpRequest (au coeur de l’architecture AJAX), mais aussi d’OpenID.

L’insuccès de XHTML 2 et ses limitations ouvrent donc la voie à HTML 5 qui n’est pas seulement une amélioration de HTML 4 et XHTML 1 mais aussi une réponse et une alternative à l’environnement Silverlight. Le W3C a démarré la standardisation du nouveau HTML. Il faudra sans doute longtemps avant qu’il ne devienne une recommandation (on parle de 2010), mais la plupart de ses fonctionnalités seront implémentées par de nombreux navigateurs rapidemment, certaines le sont même déjà sur les navigateurs basés sur Gecko 1.8, comme Firefox 1.5, Opera 9 ou une version récente de Safari.

Posté dans Web Développement, Actualité | Aucun commentaire »

23.1.2008 par christophe.croisant.

Quant on parle de RIA ou Rich Internet Application (Application Internet Riche), on parle essentiellement d’interface. L’interface RIA se veut aussi ergonomique et riche visuellement qu’une application Windows installée sur son poste de travail. Mais, en RIA, l’application s’exécute à l’intérieur d’un navigateur, à l’aide d’un plug-in compatible.

De nombreux langages et plate-formes se bousculent sur le marché prometteur de la RIA. Commençons par Ajax qui propose aujourd’hui des solutions matures. Cependant, le manque de spécifications standard pour unifier l’ensemble pose un réel problème. Ajax n’est pas porté par de grands éditeurs et la communauté éclatée manque de cohésion.

La seule plate-forme RIA actuellement éprouvée est Flex de l’éditeur Adobe. Déjà en version 2, la v3, en cours de développement devrait asseoir la technologie. Adode Flex est un ensemble d’outils incluant un framework de développement d’applications en Flash. La technologie est basée sur le langage XML de description MXML et les actions représentant le comportement de l’application sont décrites grâce au langage orienté objet ActionScript3. Le code est ensuite compilé et génère un fichier swf.

Silverlight est la technologie concurrente de Microsoft. Silverlight est un plug-in multi système d’exploitation et multi navigateur. La description de l’interface est écrite en XAML (grammaire XML) mais le point fort de cette technologie réside dans la gamme d’outils permettant de créer des applications riches : Microsoft Expression et Visual Studio. De plus, Silverlight intègre la DLR (Dynamique Language Runtime) , machine virtuelle .NET dans laquelle on peut utiliser d’autres langages tels que Ruby ou Python.

JavaFX est la RIA de Sun. Il s’agit d’une suite de produits et de technologies autour de Java qui permet à la large communauté de développeurs de faire leurs propres applications riches. On trouve pour le moment JavaFX Mobile qui est une plate-forme permettant l’exécution de code Java sur des supports mobiles et JavaFX Script qui est un langage de script pouvant décrire une interface. La grosse différence avec les technologies précédemment citées est qu’il ne s’agit pas d’une grammaire XML mais d’un langage plus déclaratif.

OpenLaszlo est une plate-forme de développement RIA en open source. OpenLaszlo reprend le principe de description d’interfaces via un langage basé sur une grammaire XML, appelé le LZX et un langage de script, en l’occurence le Javascript. OpenLaszlo a l’avantage de ne pas être dépendant d’un système d’exploitation. En revanche, il n’existe pas réellement d’outils pour développer en LZX.

On constate donc que les technologies deviennent de plus en plus nombreuses et surtout matures. Mais laquelle choisir ? Il n’y a pas de solution idéale mais plutôt des avantages pour certaines d’entre elles en fonction de nombreux paramètres. Flex permet de cibler une population plus importante du fait du large taux de pénétration du Flash Player alors que Silverlight, du fait de son plug-in encore peu déployé sur Internet, est plus réservé à un marché de niches. OpenLaszlo est une alternative intéressante de par sa double capacité à produire du Flash et du DHTML mais sa communauté moins importante et l’absence d’un environnement de développement le pénalise pour le moment.

En conclusion, on peut dire qu’Adobe a une longueur d’avance (grâce à son expérience dans le domaine graphique) sur ses concurrents (Microsoft et SUN) qui viennent seulement d’arriver sur ce domaine. Mais l’intérêt de ces éditeurs pour les RIA montre que ces technologies feront certainement partie de l’avenir du Web.

Posté dans Web Développement | Aucun commentaire »