devloop :: blog

Voici une petite collection des poissons d'avril que j'ai croisé en cette journée de premier avril 2010.

LinuxFR.org a mis à jour son interface pour :

• Un look plus "kikoololxpldromgapony!1!1!"
• Un encart vidéo demandant d'installer Flash (lol)
• Un système de géolocalisation des utilisateurs (que l'on espère défectueux car il faut pas trop pousser non plus)
• Un encart publicitaire alacon (tm)
• Un (faux) système de connexion avec Facebook
• Des fausses conditions générales d'utilisation où vous acceptez de vendre votre âme

Une petite capture a été faite ici.

PCInpact quand a lui s'en tient à un article indiquant que la liste des premières personnes alertées par la HADOPI a été publiée au Journal Officiel.
On y retrouve Frédéric Lefebvre et le parti UMP.

Le Journal du Net a refait entièrement sa page principale. Comme chaque année c'est énorme
capture d'écran complète :
Poisson d'avril 2010 du Journal Du Net

ThinkGeek propose des produits à la con parmi lesquels :

• Une tatoueuse programmable
• De la viande de licorne en boite
• Une horloge "Initiative Dharma"

Capture du site

Sur l'Internaute, il y en a tellement qu'on ne sait pas pù donner de la tête, en plus les poissons sont énormissimes. Extrait :

Laure Manaudou a bu la tasse
Au départ du 400m nage libre, Laure Manaudou a perdu son pince-nez. La catastrophe a lieu...

ou encore :

Joséphine Ange-Gardien : le roman enfin
Après les sagas Twilight, Harry Potter, Le Seigneur des anneaux... La France aussi tient son best-seller fantastique. Les aventures de Mimi Mathy enfin disponibles en 5 volumes de chacun 450 pages.

Capture de la page

Opera Space Edition
Le premier navigateur dédié à l'aérospatiale pour surfer dans l'espace

Quelques bétises sur le site Gizmodo comme des carreaux de carrelage en forme de disquette.
La capture de la page est là mais les articles devraient rester en ligne

Google Wave - Un système étonnant de notifications

YouTube en mode texte (style terminal Linux) :
YouTube a rajouté un mode TEXTp sur les vidéos récentes où la sortie est générée à partir de caractères de couleurs.
Exemple avec cette vidéo

Sur le Google US (google.com), le temps affiché pour le calcul des recherches utilise une unité prise aléatoirement, par exemple les "années femtogalactiques" ou les "battement de queue de mouton"...

Google toujours, avec l'application Books.
L'ajout d'une nouvelle fonctionnalité : les pages sont adaptées à la vision avec des lunettes 3D (zones rouges et vertes)... impressionnant

Wikipedia a mis en ligne un article sur une vieille tradition : la vente d'épouse en Angleterre.
Poisson d'avril un peu macho


XKCD a mis un command-prompt sur son site... commandes ls et cd fonctionnent Bien joué

Google.co.uk : parlez le langage des animaux !

Virgin Media va utiliser des furets pour déployer l'accès Internet en zone rurale

Même le site du CERN s'y met avec cette nouvelle :

Les collisions à haute énergie révèlent une paléoparticule.

Plus de poissons peuvent être trouvés sur les sites suivants :
TechCrunch : April Fools 2010
AprilFoolsDayOnTheWeb.com

Comme je suis de près les différentes build de la version d'Opera 10 à venir, je ne pouvais pas échapper au buzz concernant Opera Unite.

J'ai donc mis en service ma page depuis quelques temps déjà et ait eu l'occasion de tester les différents services proposés en standard.

J'ai d'abord rencontré des problèmes pour que la page soit accessible. Bien que l'utilisation de UPnP soit activée dans Opera et sur le routeur, ce dernier ne semblait pas recevoir la moindre demande de port. J'ai donc du NATer moi même le port 8840 pour recevoir les connexions. Il est possible que cela soit corrigé depuis, je n'ai pas réessayé la configuration depuis la première build.

Le Fridge qui permet de laisser des mémos affichés sous la forme de post-it et le Lounge qui est un salon de discussion très sommaire sont plus des gadgets à mes yeux et je les ais désactivé assez tôt. A noter que pour le Loundge je n'ai pas retrouvé dans les dossiers de cache Opera les conversations ce qui est un bon point question vie privée ("privacy"). Bien sûr les données sont transférées en clair sur le réseau et non protégées par SSl/TLS.

Le système de galerie photo et le service faisant office de serveur web sont plutôt sympathiques et permettent à des personnes souhaitant créer un site Internet de le faire facilement et de disposer d'un nom de domaine pour pas un rond
Evidemment on se limite à des pages statiques, il n'est pas question de faire exécuter du PHP ou CGI.

Pour le peu que j'ai regardé niveau sécurité, je n'ai rien remarqué de mauvais. Les cookies ne sont pas définis sur un sous-domaine global mais bien le domaine exact pour la "domiciliation" de l'utilisateur (home, work etc) et l'administration se fait par le protocole spécial unite:// (donc pas d'attaques du type CSRF)

J'ai eu plus de difficultés à faire fonctionner le Media Player mais le problème venait en fait de FlashBlock pour Opera qui cassait l'affichage des pages
Une fois corrigé, les flux passent bien et on ne sent pas les connexions passer depuis la navigateur (évidemment c'est selon le nombre de personnes connectées).

Quand au système File Sharing, il permet à chacun de mettre très simplement à disposition des fichiers. On regrette bien sûr de ne pas pouvoir spécifier plusieurs dossiers de partage.
Les transferts semblent se faire sans problème. Lors d'un test on a même pû transférer un fichier d'environ 700Mo... en revanche ce transfert utilisait la totalité de la bande passsante en upload Opera semble avoir rectifié le coup avec la dernière build en date.

Pour ce qui est des autorisations d'accès, c'est pour le moins simple : ressources publiques, protégées par un mot de passe ou privées (seul vous y accèder).
Un système permettant d'uploader des fichiers vers son ordinateur pourrait aussi être sympathique (transfert de fichier dans les deux sens)

En revanche le système dans sa totalité n'est par parfait et il arrive que l'on doive relancer Opera pour refaire fonctionner les services qui ne répondent plus.
J'aime vraiment la possibilité que le service offre à chacun (même des "non-initiés") de pouvoir mettre en place et gérer soit même un petit espace sur Internet

Voici un site totalement inutile... donc indispensable qui ravira les fanboys de la distribution Linux openSUSE :

Geeko Builder

Ce site vous permet de créer vous même votre fond d'écran openSUSE en sélectionnant les différents éléments (décor, vétements, outils) à incorporer.
Par exemple j'ai fait une version Geeko Ninja dans une salle de serveurs

Mieux vaut tard que jamais, j'ai découvert FlashBlock pour Opera. Je l'utilise depuis une semaine et j'en suis très content.
Il est composé d'un UserJS et d'un feuillet de style. Une fois les fichiers copiés dans leurs dossiers Opera, il suffit d'aller dans Afficher > Style et de sélectionner "Flash Blocker" pour l'activer.
L'utilisation est exactement la même que celle du plugin Firefox et en plus c'est compatible avec les dernières build béta d'Opera 10

FlashBlock pour Opera

Alors que Wapiti a dépassé doucement mais surement la barre des 16200 téléchargements sur SourceForge, les plus observateurs auront remarqué la sortie d'une version 2.0.0 béta avant-hier soir.

La question que vous vous posez certainement c'est comment l'on peut passer d'une version 1.1.7-alpha à une version 2.0.0-béta...
Tout simplement avec beaucoup de changements !! Et il s'en est passé des choses depuis la sortie de la précédente version.

Premièrement, le nombre de développeurs est passé de 1 à 3 grace à l'aide de 2 développeurs espagnols de ICT-Romulus.
Leur souhait était de pouvoir apporter des nouvelles fonctionnalités à Wapiti, notamment pour faciliter son intégration dans un projet de framework J2EE basé sur Maven (si j'ai tout compris lol).
Dans tous les cas ils ont proposé de participer au développement de Wapiti afin que tout les utilisateurs puissent profiter de leurs idées et de leurs modifications Cela est passé par la mise en place d'un espace SVN pour le projet pour faciliter le développement.

Leur objectif principal était de travailler sur le rendu final fournit par Wapiti. Ainsi il est possible d'obtenir un compte rendu des vulnérabilités dans 3 formats différents : XML, HTML et texte simple. Pour cela les options -f (format) et -o (output) ont été rajoutés.
Ils ont aussi réussi à séparer les payloads du code, ce qui rend plus simple leur ajout. Le code a été aussi revu et est plus modulaire.
Des règles de détection pour les failles SQL ont aussi été rajoutées.

De mon côté j'ai pû enfin résoudre le problème des boucles sans fin lors du scan d'urls en ajoutant l'option -n (ou --nice) qui permet de définir un "seuil de tolérance" au niveau des urls du même type.
Ainsi si les pages suivantes ont déjà été scannées :
http://server/p?a=x&b=1&c=x
http://server/p?a=x&b=2&c=x
http://server/p?a=x&b=2&c=y

Avec un seuil de 2, quand l'url "http://server/p?a=x&b=3&c=x" sera trouvée, elle sera exclue car déjà 2 urls du même pattern ont déjà été trouvées (http://server/p?a=x&b=*&c=x).
Même chose avec l'url http://server/p?a=x&b=2&c=z.
Par défaut aucun seuil n'est spécifié (ce qui revient à le fixer à 0). A vous de voir la valeur qui vous semble juste (10 me parait en bon compromis pour faire beaucoup de possibilités sans tourner en boucle).

J'ai aussi réussi à faire fonctionner l'authentification HTTP (option -a) en pompant sur le code de sqlmap. Même si les instructions sont sensiblement différentes par rapport à ce que Wapiti faisait, le principe est le même et je ne saurais pas dire pourquoi ça ne fonctionnait pas auparavant (alors que proxies et cookies fonctionnaient)... un des mystères de Python
Malheureusement, étant donné la façon dont les modules urllib2 fonctionnent, il est préférable de retirer l'authentification sur le serveur et d'utiliser Wapiti simplement. En effet pour chaque url, si l'authentification est présente, Python va émettre deux requêtes : une première sans authentification qui va renvoyer une erreur 401. Et une seconde avec les identifiants pour passer la vérification

Enfin la nouvelle méthode de scan XSS est complètement implémentée et la librairie Beautiful Soup a été mis à jour.

Pour la prochaine version, différents changements sont à faire comme pouvoir gérer les erreurs HTTP 500 (nouveau bug), améliorer la qualité des rapports de scan, limiter le nombre de plantages liés au décodage Unicode et enfin travailler sur la vitesse de scan de Wapiti.
En effet lors de certains tests, on s'apperçoit que Wapiti peut avoir un effet DoS sur le serveur web (voir que les 152 process lancés par Apache pour répondre aux requêtes sont tous occupés c'est pas top...) Il faut donc essayer d'envoyer le plus de requêtes possibles par connexion (ou trouver la juste proportion entre les deux)

Dans tous les cas, je ne peux que vous conseiller de passer à cette nouvelle version qui apporte des fonctionnalités importantes

Télécharger Wapiti-2.0.0-béta.