keul.fr - du web et du code

Le «push to talk»

Keul — Sun, 03 May 2020 18:38:00 +0200

Dans les logiciels de discussion audio, il est souvent utile d’utiliser une touche «Appuyer pour parler» ou «Push to talk» afin de n’activer son micro que lorsque l’on veut être entendu. Pratique pour éviter de faire entendre à tout le monde son éthernuement pendant une réunion.

Mais une problème apparait: quelle touche à utiliser? La plupart effectuent des actions non voulues. La solution? Utiliser la touche F13. Elle n’est plus présente sur les anciens claviers mais aucun logiciel actuel ne l’utilise et conviens parfaitement.

Du coup, l’astuce consiste à rediriger une touche existante peu utilisée vers la touche F13.Par exemple, j’ai redigiré ma touche CTRL droite vers la touche F13. Dans mon logiciel de gestion de souris, j’ai mis pour les touches latérales de souris «utiliser une touche du clavier» puis j’ai appuyé sur la touche CTRL droite de mon clavier, qui pour mon PC correspondait à la touche F13, et cela fonctionne parfaitement après l’avoir configuré dans le logiciel de discussion audio. Il est possible de retirer le mappage par la suite.

Pour rediriger une touche vers F13, deux solations:

La plus simple, exetuter l'un de ces fichiers:

Et pour retirer le mappage

retirer_le_mappage.reg

Un peut plus complexe: le logiciel SharpKey.

Attention, il faut redémarrer windows (ou la session windows) pour que ce soit pris en compte

Article inspiré par http://www.grismar.net/ventrilocapsfix/

Les coulisses d'une convention - Partie 1

Keul — Sun, 10 Feb 2019 15:28:00 +0100

Aller à la partie 2

Cliquez sur les images pour les voir en grand, cliquez à nouveau dessus pour fermer.

Introduction

Les conventions de fan sont des évènements organisés sur un ou plusieurs jours, un peu comme un festival ou un salon, et concernent des thèmes tels que les manga, l'animation, les jeux vidéos, la science-fiction, les comics, le cosplay, etc.

On y retrouve principalement divers stands gérés par des professionnels, des associations ou des particuliers, sur lesquels on peut trouver des activités (jeux, tournois...), de la vente de produits ou diverses créations

Jonetsu 3.33, salle Les Colonnes. Credit: Corti

Il peut aussi y avoir des conférences, projections ou concours, le plus souvent organisés sur une scène ou dans un amphithéâtre.

Jonetsu 3.33, salle Agoreine. Credit:Keul

J'avais rejoint en 2009 l'association Brigade SOS francophone qui a organisé jusqu'en 2016 des activités dans différentes conventions (principalement Epitanime et Japan-Expo). Celle-ci regroupait alors différent membres avec des compétences variées: des jeunes créateurs, des graphistes, des concepteurs de logiciels, des musiciens...

Noizi Itô, dessinatrice japonaise, invitée à Epitanime 2010,
en photo avec les membres de l'association Brigade SOS. Credit:@Smog

Les membres de la Brigade SOS francophone mais aussi d'autres associations telles que Forum Thalie, Kawasoft et Mono-type ont ainsi acquis peu à peu de l'expérience sur le fonctionnement des conventions.

En voyant les problèmes rencontrés par les autres conventions et les directions vers lesquelles elles se dirigeaient, les membres de ces associations ont annoncé lors d'un premier avril qu'ils allaient créer leur propre convention. Le poisson s'étant révélé finalement pas si impossible, l'association Nijikai fut créée.
C'est donc Nijikai, une association de loi 1901, donc le but est de promouvoir la culture visuelle japonaise moderne, qui organise en plus d'autres projets, la convention Jonetsu.
Convention de la Passion (Jōnetsu signifiant Passion en japonais), celle-ci est basée sur deux axes :
- la pédagogie, avec des conférences qui expliquent par exemple les problèmes du piratage, le fonctionnement de l'édition et de la création des oeuvres
- la mise en valeur des jeunes créateurs
Le tout avec des tarifs accessibles et une bonne ambiance.

Les affiches des trois premières éditions. Credit: @Al_Grimm

L’avantage du statut associatif (association de loi 1901, à but non lucratif) est d'avoir une base légale solide pour la communication et la gestion: on gagne en crédibilité avec les éditeurs et professionnels, on clarifie la communication avec les organisateurs et différentes entités et on se défini un objectif: promouvoir une série, promouvoir l'ensemble de la culture visuelle japonaise moderne, informer sur le fonctionnement de celle-ci...

Le départ pour Jonetsu

La veille de la convention, la plupart des membres se rendent sur place par différents moyens. Voitures, train, RER, Gundam...

Dans mon cas, lors de la première édition, j'avais fait le trajet en train, mais vu la quantité de matériel à transporter et l'arrivée à Strasbourg d'un autre membre de l'association, les années suivantes ont été faites en voiture. M'occupant de l'enregistrement des conférences, j'ai pas mal de matériel à transporter depuis la première édition, et en venant à 2, le coffre se remplit du coup vraiment bien, jugez plutôt :

Beaucoup de matériel à transporter. Credit: Keul

L'installation
Arrivé à destination le vendredi après un trajet plus ou moins long, le régisseur nous ouvre les portes de la salle. Le matériel des différents membres qui arrivent au fur et à mesure est rassemblé devant l'accueil avant de se lancer dans l'installation.

Credit:Keul

Il y a en effet beaucoup de matériel: le nécessaire pour la cuisine, le matériel pour la billetterie, l'affichage, l'enregistrement des conférences, les consommables (scotch, sachet poubelle, feutres...).

Une fois les salutations faites et les discussions finies, l'installation commence avec la mise en place des panneaux, des tables et chaises pour les différents stands. Les affiches sont fixées aux murs et chacun procède à son rôle (tests techniques, installation de l'estrade du stand activité Forum Thalie et d'autres stands)

Mise en place des panneaux, tables et chaises pour les stands exposants.. Credit:Keul

L'équipe cuisine effectue le tri et commence à remplir le frigo.

Une cuisine qui commence à bien se remplir. Credit:Keul - @TritTriton

Le matin de la convention, avant l'ouverture, les membres préparent les sandwichs au thon et au fameux poulet.

Crédit: @Chocolatine - Corti

Lors de la troisième édition, les conférences se sont déroulées dans une salle à part: le théâtre de l'Agoreine.
Or celui-ci n'était pas disponible le vendredi soir. Il a donc fallu transporter des ameublements et installer le matériel technique pour les conférences le samedi matin, quelques heures avant l'ouverture

Une belle salle bien vide où le matériel devra être installé rapidement. Crédit: Corti

Une fois installé, voici ce que l'on peut voir de la régie: un bel écran qui affiche:
- le planning de conférences
- l'enregistrement des microphones et du son de l'ordinateur de conférence
- l'affichage de l'ordinateur du conférencier qui est transmis au vidéoprojecteur de la salle
Une table de mixage pour régler le volume des microphones et de l'ordinateur, qui renvoie le son sur les haut-parleurs de la salle et sur les cartes sont d'enregistrement du PC
Astuce pratique: chaque microphone à un bout de scotch de couleur à sa base pour pouvoir savoir rapidement auquel il correspond la ligne sur la table de mixage.

Pour ceux qui ne sont pas au courant, nous enregistrons les conférences à l'aide de caméras (prêtés par des membres et par une association amie, notre budget ne nous permettant pas un tel investissement) ainsi que les microphones. On enregistre aussi ce qui est affiché sur le vidéoprojecteur de la salle en local pour pouvoir l'intégrer efficacement dans les vidéos des conférences (ça fait plus propre que de voir des diapositives filmées sur un écran avec une caméra.

Petite anecdote: Pour éviter le piratage, les ayant droit ont mis en place pas mal de restrictions pour empêcher les copies de leurs oeuvres, plus connues sous le nom de DRM.
Problème: les ordinateurs et tablettes Apple activent par défaut la protection anticopie, même si vous n'êtes pas en train de regarder un Blu-Ray ou NetFlix. Du coup, lorsqu'un conférencier est arrivé avec son Mac pour faire une conférence sur les bruitages dans l'animation, et donc montrer le logiciel qui permet de gérer ces bruitages, ma carte d'acquisition vidéo m'a affiché un écran noir avec en bien grand dessus "HDCP Content protection". Un peu comme si en tentant de prendre votre maison en photo à Noël, votre appareil se mettait à dire: "Les photos des illuminations de la tour Eiffel sont sous droit d'auteur, du coup je ne pends plus de photos d'illuminations".

Comment enregistrer une démonstration d'animation sur un iPad faite par un conférencier? Avec des adaptateurs :D

Solution déployée dans l'urgence: un adaptateur HDMI vers VGA (qui n'est pas protégé par les DRM) branché à un adaptateur VGA vers HDMI, sans oublier l'adaptateur lightning HDMI et la batterie USB pour l'adaptateur VGA/HDMI. Merci Apple.

Le travail en amont:

Oui, parce que si vous voulez un évènement réussi, il faut absolument s'organiser si vous ne voulez pas vous retrouver avec des problèmes inacceptables tels que des exposants qui se retrouvent sans table

En coulisses, il n'y a en fait rien de vraiment spectaculaire avant la convention elle-même, oubliez les voyages d'affaire en jet privé.Vous aurez en revanche pour ceux qui s'en occupent, de nombreux appels téléphoniques, des courriers, des emails et quelques rendez-vous sur place.

Les tâches à prévoir au moins une bonne dizaine de mois à l'avance concerne le démarchage des potentiels invités pour les conférences, les demandes de locations de la salle à la mairie, les demandes de subventions et les demandes de partenariats, parce que:

Pas de budget: pas de salle. Pas de salle: pas de convention. Pas de convention ... pas de convention.

Et plus les mois approchent de la date fatidique, plus vous aurez de réunions, comptez au moins une réunion par semaine dans les 5-6 mois précédents la convention.

En effet, il faut gérer: gérer le site web, la communication sur les réseaux sociaux, ouvrir les inscriptions des exposants, démarcher les professionnels, gérer les repas et le matériel, gérer les staffs(membres) et bénévoles qui viennent en renfort et voir leurs rôles. Ce point n'est pas à négliger, avoir un responsable de stand exposant de qualité qui arrive à gérer des problèmes d'exposant qui se retrouve avec une mauvaise commande est vraiment le bienvenu.(pour l'anecdote, un des exposants s'était retrouvé avec un sandwich "poulet végétarien sans poulet" (pour ceux qui font les commandes, gérez les sandwich spéciaux en premier et à part SVP :/ et pour les exposants, hésitez surtout pas à signaler les problème)

La communication

Indispensable à l'organisation, celle-ci se fait surtout via internet, vu l'éloignement géographique de la plupart des membres. Elle se fait sur différents canaux: sur un forum, via des logiciels de messagerie texte et audio et via des espaces de stockage de documents partagés.

Chacun ayant ses avantages et inconvénients : un forum est assez pratique pour organiser des informations, en les regroupant par sujets de discussion, alors qu'une messagerie, moins organisée, sera par contre plus réactive et spontanée. Les réunions se font en audio afin de pouvoir avoir des discussions efficaces et de pouvoir libérer les mains pour pouvoir travailler en même temps.

En interne, nous utilisons du coup Discord pour les discussions instantanées orales et écrites, Google Drive pour gérer les fichiers et un serveur web qui héberge le site sous Wordpress ainsi qu'un forum SMF (Simple Machines Forum).

Si vous comptez utiliser Google, je vous conseille de créer un compte associatif GSuite gratuit (il faudra diverses informations telles qu'un N° de SIRET) pour pouvoir gérer plus facilement les fichiers et les accès.

Des exemples de choix

Nous avons aussi fait plusieurs choix:

Ne pas accepter les stands de contrefacon ou qui n'ont rien à voir avec notre thématique.

Ne pas trop aller dans la thématique des jeux vidéos, on cherche à se concentrer sur la culture visuelle moderne japonaise.

Pour la nourriture, Jonetsu à choisi de proposer des sandwichs: Certes, ce n'est pas très japonais, mais ça a de nombreux avantages: pas de problème de cuisson, pas de problèmes de couverts et ça permet de nourrir le staff et les exposants sans trop se ruiner.
Nous n'avons pas pour objectif de fournir de la nourriture japonaise en tapant sur le porte monnaie des visiteurs.

La trésorerie et le budget

Organiser un tel évènement demande un gros budget et il sera obligatoire de bien s'organiser.

Le plus difficile généralement est de réussir à trouver des sponsors et des subventions, mais aussi de réussir à les maintenir et même d'en trouver de nouveaux au fils des années. Garder un bon dialogue avec ses contacts, les municipalités et l'administration en montrant la solidité du projet pourra heureusement bien aider. Il ne faudra en tout cas jamais délaisser ce point.

L'un des fichiers parmi les plus importants sur notre drive est le Google-sheet du budget, contenant différentes feuilles de calculs.

On liste alors dans la première feuille/onglet:
- les recettes: les entrées visiteurs, les ventes de nourriture, les prix payés par les exposants professionnels et jeunes créateurs, les sponsors et donations.
- les dépenses: la salle, la nourriture, le matériel, l'affichage/publicité, les frais de gestion.
On utilisera les autres feuilles pour les détails de chaque section (entrées, repas, stands...)

On y ajoutera des impondérables: c'est une marge que l'on prévoit dans le cas où il y aurait des imprévus tels qu'un trajet en train ou une nuit d'hôtel à rembourser, ou du matériel à acheter en dernier instant.

Aperçu du budget de Jonetsu 3.33 avec l'onglet de gestion des repas (je vous épargne les formules de l'enfer)

Il faudra aussi prendre soin de bien souscrire à une assurance, au cas où il y aurait du vol ou de la casse de matériel. Il serait intolérable de voir un membre qui ne soit pas remboursé en cas de problèmes avec le matériel qu'il prête (ordinateur portable, tablette Cintiq Wacom, télé...).

À vous de trouver ensuite comment la mettre en forme et de prévoir les dates auxquelles vous recevrez les paiements des stands, des préventes et à quel moment vous aurez à payer les factures et rembourser d'éventuels emprunts.

Et pour résumer, le résultat des dépenses et recettes des trois premières éditions:

Recettes et dépenses des trois premières éditions, sans les flux temporaires (prêts, cautions, fonds de caisse ...).

Sachant que la première avait eu 545 visiteurs, 565 visiteurs pour la seconde et 850 visiteurs pour la troisième.

Edition	type4	repas	billets	stands pro	stands crea	sponsors	salle	equipement salle	invités	autres	impondérables
1	recettes	1627	4115	1680	1155	5750	0	0	0	0	0
1	dépenses	2022	0	0	0	0	9900	918	0	1244	0
2	recettes	968	2825	830	890	2900	0	0	0	0	0
2	dépenses	920	0	0	0	0	2336	582	0	1994	317
3	recettes	1598	3717	302	1460	2820	0	0	0	0	0
3	dépenses	1399	0	0	0	0	3013	0	1148	2116	213

On voit assez vite que la première édition avait un budget assez conséquent, dû au prix de location de la salle qui était assez élevé. Il a pu y avoir des bénéfices (différence de hauteur entre 2 colonnes) grâce aux donations et sponsors.
Sachant qu'il serait plus difficile de trouver des sponsors et donations pour l'édition suivante, il a fallu changer de salle, un peu plus éloignée de paris (mais accessible en RER) mais qui a permis d'être plus confortable financièrement. C'est d'ailleurs qui a permis de baisser le prix de l'entrée de 8€ à 5€ et d'investir plus dans les invités. Nos bonnes relations avec la mairie de Bourg-la-Reine nous a aussi permis utiliser la salle du théâtre de l'Agoreine pour les conférences à un tarif attractif, merci encore à elle!

On notera aussi la diminution de stands professionnels, vu la taille de notre convention, il est difficile pour eux d'être rentable. En effet, contrairement aux stands qui vendent de la contrefaçon (que nous refusons), les stands professionnels légitimes payent les droits d'auteur et s'assurent de fournir des produits de qualité. Du progrès à ce niveau serait en tout cas le bienvenu.

Pour les repas, nous réalisons peu de bénéfices dessus. En effet, en plus du tarif attractif, les bénéfices sur les ventes de boissons et de la nourriture nous servent surtout à payer les menus (sandwich, boisson et barre chocolatée) des membres, des bénévoles, des conférenciers et des exposants (oui, même nos exposants ont le repas offert :D).

Les membres et la transparence

Si l'argent est nécessaire pour pouvoir organiser une convention, les membres sont nécessaires (même s'ils paraissent invisibles, cliquez ici pour un article bien interessant sur les membres de Nijikai) pour pouvoir faire fonctionner une association. Et pour organiser une convention, il faut assez de membres actifs qui puissent s'occuper de l'organisation en amont et pas uniquement de l'évènement sur place le jour J.

Il faudra donc penser à régulièrement faire des campagnes de recrutement pour s'assurer d'avoir une association pérenne, où les membres peuvent participer à la vie de l'association avec une hiérarchie dont le rôle est de guider et de pardonner (vos membres ont le droit de faire des erreurs, ce sont des bénévoles, ne l'oubliez pas), pas de régner.

La transparence devrait être de mise, c'est la politique que nous avons adopté: en dehors des informations sensibles (les codes de carte bancaire ou accès aux virements, les données personnelles des membres ou contacts externes), une association n'a pas à avoir de secret.
Si une association ne peut vous fournir ses relevés bancaires ou garde secrets certains projets ou problèmes à ses membres (après un certain délai), c'est qu'il y a sûrement anguille sous roche.

Pour plus de détails, je vous laisse lire cet article sur ce qu'il faut éviter dans une association pour ne pas perdre des membres: 6 bonnes raisons de fuir votre association loi 1901

Aller à la partie 2

Les coulisses d'une convention - Partie 2

Keul — Sun, 10 Feb 2019 15:26:00 +0100

Aller à la partie 1

Cliquez sur les images pour les voir en grand, cliquez à nouveau dessus pour fermer.

Le gestionnaire de conférences et d'activités

Lors de la première édition de la convention Jonetsu, Kabu s'était occupé de publier sur le site le planning de conférence et le détail de chacune d'entre elles, avec leur description et celles de chaque intervenant. Les visiteurs ayant de plus en plus tendance à consulter les sites web sur leurs mobiles, il devenait aussi obligatoire le support du responsive et d'avoir une présentation agréable.

Mais modifier un tableau complexe en HTML dans l'interface de wordpress peut vite devenir compliqué, surtout quand il s'agit de mettre à jour des informations, telles qu'un changement d'horaires ou de la modification d'un intervenant.

J'avais du coup développé un gestionnaire à l'occasion de la seconde édition de la convention, qui s'avéra très pratique, bien qu'un peu austère.

Une version 2 fût donc développée pour la troisième édition, avec une interface plus accessible

L'ancien et le nouveau gestionnaire, le fonctionnement a été amélioré et le visuel grandement amélioré.

Fonctionnement du gestionnaire

1° les entités

Le gestionnaire est un espace à part sur le site (protégé par un mot de passe) où les membres de l'association peuvent gérer les conférences, mais aussi les activités, les stands et les partenaires.

Pour fonctionner, on commence par renseigner le système en ajoutant plusieurs entités: ce sont des entreprises, des associations, des personnes...

Affichage des entités filtrées par type: professionnel.

Chaque entité à un logo/avatar (avec une version en ratio 2:1), une description, et des informations telles que les réseaux sociaux. Exemple:

Création/modification d'une entité

Le gros avantage est de pouvoir facilement modifier les informations d'un conférencier ou d'une entité sans devoir modifier chaque endroit où elle pourrait se retrouver (dans un article du blog, sur la page de planning, dans la page de détails des conférences).

2° les conférences

On va ensuite créer des conférences, un peu comme les entités, mais avec des détails en plus tels que le type de la conférence et sa catégorie, ainsi que la durée de celle-ci.

La partie des assignations en bas permet d'indiquer les intervenants, chaque ligne correspondant à une entité intervenante (une personne, une association, un professionnel...) et à droite de la ligne, on pourra ajouter des sous-entités (intervenant faisant partie d'une entité).

Cela permet d'avoir des conférences où l'on a à la fois des personnes indépendantes (un traducteur par exemple), ainsi que des personnes liées à un groupe (les employés d'une entreprise par exemple)

Création/modification d'une conférence

Un menu déroulant propose les résultats au cours de la frappe pour pouvoir ajouter facilement un intervenant parmi la longue liste des entités.

Vous noterez en haut de page un encart indiquant le code à copier/coller dans le wordpress pour afficher cette conférence, dans un des articles d'actualité par exemple (un plugin wordpress appellera le gestionnaire pour afficher la page générée correspondante)

On obtiendra alors une liste de conférences ressemblant à ceci:

La liste des conférences, un clic sur l'une d'entre elles permet de la modifier ou supprimer

3° les plannings

On ira ensuite créer un planning journalier:

En haut de la page, on a un menu déroulant permettant de choisir le planning (le planning de conférences du samedi, le planning du stand activité du dimanche ...) ou de créer un nouveau planning. Le bouton modifier permettant de changer le titre et la couleur du planning ou de le supprimer.

On pourra alors y ajouter des conférences ou activités en cliquant sur le bouton rouge, et modifier leurs horaires ou les retirer du planning en cliquant dessus.

4° les exposants

La page des exposants se base sur le même principe que la page de planning à quelques détails près (pas d'horaires), idem pour la page des partenaires.

Ce gestionnaire est amené à évoluer. Je compte transformer ce gestionnaire de conférences et d'activités en gestionnaire de convention. En effet, j'ai aussi codé quelques outils pour gérer les repas et les inscriptions des stands exposants ainsi que les inscriptions au concours de cosplay (a l'origine pour l'association Forum Thalie).
Je compte les rassembler dans ce nouvel outil qui sera un gestionnaire de convention.

Petit aperçu du gestionnaire de stands et de repas

Les réponses soumises sont insérées dans un gsheet (nous ne passons plus par google forms pour ces formulaires, car ils sont trop limités au niveau interactivité et ne permettent pas l'envoi d'images sans compte google).

MAJ: Cette nouvelle version retravaillée est en cours de développement mais le site et les infos sur celui-ci sont déjà disponibles ici: https://keikaku.keul.fr/

Les autres outils

Afin de gérer la liste des membres plus facilement, une autre page a aussi été mise en place. Le système se base sur la base des utilisateurs du forum SMF et des groupes liés: cela permet d'afficher les avatars et d'utiliser la gestion des groupes du forum pour pouvoir gérer les droits d'accès et les statuts des membres. Il permet aussi de gérer les cotisations, bien que Nijikai n'ait plus de cotisation pour les membres depuis la seconde édition. (Vu les sommes en jeu, on préfère se concentrer sur les subventions et sponsorats, les membres ont déjà assez de travail)

* pas de screenshot, les informations personnelles des membres sont privées *

Astuces, en plus de l'adresse email, nous demandons aussi si possible l'adresse Google, afin de faciliter la gestion des invitations dans l'agenda Google, des droits du drive et autre...

Il y a aussi un racourcisseur d'URL (utilisé pour générer les QR-code des affiches situées dans la verrière).

Le Poulet Code

Un petit jeu que j'ai créé, qui a un double usage: La chasse au poulet code.

Il s'agit en fait de petites cartes cartonnées avec un QR-Code imprimé dessus que nos donnons aux exposants qui le souhaitent et qui les cachent sur leur stand. Les visiteurs doivent alors les chercher et les scanner avec leur smartphone. Chaque code scanné fait alors apparaitre dans le navigateur une question avec 4 réponses possibles et les gagnants ont droit à un petit cadeau au bar.

Utilisation de l'API webcam des navigateurs récents pour scanner le code via le smartphone.
(le navigateur demande bien entendu l'autorisation nécessaire, visible dans la barre des notifications)

L'avantage est qu'en plus de divertir les visiteurs, cette activité permet aussi de pousser les visiteurs à s'intéresser au contenu des stands

Je recommande d'ailleurs chaudement aux exposants de lire cette série d'articles de Raynart: MANGA ARTIST LIFE

La communication web

Keul — Thu, 16 Mar 2017 20:25:00 +0100

Concevoir un site web, c'est créer des pages web à afficher aux visiteurs pour leur donner des informations ou leur faire réaliser une action (poster un commentaire, dialoguer, acheter...) via une interface utilisateur.

Ces interfaces peuvent être efficaces ou mal faites (tel que celles rencontrées dans mon dernier article), être plus ou moins adaptées pour les handicapés et utilisé avec des objets connectés, mais pas dans le bon sens. Le web regorge d'articles, avec par exemple le problème des icônes de menu et beaucoup d'autres conseils.

Sauf qu'au-delà de ces interfaces se cache aussi un autre aspect: la relation et l'image retournée.

Regardons ça de plus près.

Tout le monde connaît le logiciel libre Mozilla Firefox. C'est un logiciel que vous pouvez librement utiliser, étudier, modifier et redistribuer. À un détail près: vous ne pouvez pas utiliser les dénominations Mozilla ou Firefox qui ont été déposées comme marques. En effet, Paint.net qui était sous licence libre MIT permettait à n'importe qui de modifier le logiciel et même de le revendre, ce qui pouvait porter atteinte à l'image du logiciel d'origine (qui est du coup passé carrément en logiciel propriétaire)

Apple soigne d'ailleurs bien son image de marque: avec un contrôle strict sur son appstore et son suivi du matériel, ils peuvent éviter des problèmes assez gênants qu'a pu avoir Microsoft. En effet, qui n'a jamais pesté devant un écran bleu et maudit Windows? Sauf qu'en réussissant à décortiquer le message qui indiquait une erreur (violation d'accès mémoire) dans le code de driver de mon clavier qui provoquait cet écran bleu, j'ai vite compris que le fautif n'était du coup pas vraiment Microsoft mais plutôt le fabricant du clavier. Ce qui a d'ailleurs poussé Microsoft à revoir sa gestion des drivers.

C'est aussi un peu ce qui permet à Nintendo de survivre : même en ayant une qualité graphique moins bonne que ses concurrents, elle s'en démarque en retournant une image d'innovation et de recherche d'un autre public pour ne pas avoir à se battre sur le terrain de la course à la puissance qu'elle aurait du mal à gérer.

Avoir un bon suivi permet aussi d'éviter des drames.

Du coup, que se passe-t-il quand on ne soigne pas son image et où l'on cherche comme unique but la rentabilité et les affaires? On se tire une balle dans le pied. Au début, ça peut fonctionner, mais sur le long terme ça peut devenir catastrophique.

En effet, si pour l'instant les personnes ont du mal à s'en rendre compte sans passer par du visuel, cela devient vite dangereux.

Exemple: exiger des clients d'envoyer une lettre recommandée avec accusée de réception pour annuler un abonnement peut sembler une bonne idée pour les dissuader de se désabonner, mais la méthode devient dangereuse: les clients commencent à avoir peur de ne pouvoir facilement annuler leurs abonnements et décident de passer par d'autres solutions, dont une assez pratique : Paypal. En effet, pour pouvoir arrêter de payer, il suffit de se rendre dans l'interface web plutôt que de devoir s'embêter à passer par un courrier postal. Maintenant, regardez les frais de transaction Paypal et pleurez.

Pareil pour la publicité: inonder les visiteurs de publicité sans même contrôler qu'elle n'était pas vérolée et remplie d'arnaque à poussé ceux-ci à se méfier et à installer des ad-blockers.

Même combat pour les opérateurs téléphoniques qui en prenant leurs clients pour des pigeons ont fait le pari très risqué de se retrouver dans une situation difficile, qui est arrivé le jour de la sortie de freemobile.

Ceux qui me suivent sur Twitter ont dû remarquer d'ailleurs ce qui m'est arrivé et qui m'a même poussé à écrire ce billet.

Mon hébergeur a implémenté une fonctionnalité payante (76€/an environ) intéressante: le support d'anciennes versions du langage de programmation PHP en corrigeant eux même les failles de sécurité plutôt que de devoir rendre leurs applis compatibles avec les nouvelles versions de PHP (mettre à jour une appli pour qu'elle supporte une version plus récente de PHP peut coûter plusieurs milliers d'euros, en fonction du code deprecated qui peut se trouver dedans), ce qui est plutôt cool.

Ce qui est moins cool, enfin, très dangereux même, c'est d'activer l'option par défaut. Vous souscrivez à un service et on vous ajoute une option sans vous demander votre accord (opt-out) et où la désactivation doit se faire de manière active (qui en plus ne se fait pas simplement, car exigeant changement de configuration des versions avant de devoir faire une désinscription).

Alors bon, quand on se fait avoir parce qu'on faisait confiance au prestataire (étant client depuis 10ans) au lieu de vérifier chacune des dernières factures en détail, et qu'en plus c'est dans un domaine qu'on est censé gérer, ça fout bien la rage. Il y'a bien eu un geste pour annuler la dernière facture, mais pas les précédentes, ce qui m'a donc coûté l'équivalent de 6 mois d'hébergement. Et qui leur coûte un client fidèle aussi qui repart bien dégoûté.

Il ne leurs restera plus qu'a mesurer les conséquences de ces effets, à savoir si ça va rester minoritaire ou si le jeu risque de devenir dangereux pour la suite, mais qui saurait réellement capable de mesurer ça et de prédire l'avenir?

L'interface utilisateur

Keul — Fri, 02 Dec 2016 00:00:00 +0100

Suite à la sortie d'un film sacrément attendu, je suis passé sur le site d'UGC pour réserver ma place de cinéma.

Armé de ma carte bancaire, d'une carte de fidélité UGC basique (je vais 2-3 fois par an au cinéma) et d'un compte que j'avais créé sur le site à l'époque, je m'apprête à réserver ma place.Généralement, j'achète sur place, mais vu qu'il s'agit d'une avant-première de Your Name, la réservation était nécessaire.

Et là, c'est le drame.

"Pas assez de places chargées sur la carte"?

What? La salle de cinéma est pleine et sur la carte de la salle ils ne trouvent plus de place??? Y'a des places dans ma carte bancaire?

Après discussion avec le CM d'UGC, il s'avère que le système a cherché des places dans ma carte de fidélité, qui n'a pas de crédits de place étant donné qu'il s'agit d'une carte basique. Si le message d'erreur avait précisé qu'il s'agissait d'une carte de fidélité, ça aurait déjà plus aidé.

Enfin, le drame, c'est surtout de tomber sur ce genre d'erreur APRÈS avoir saisi ses données bancaires sur le site de paiement.

Et comment cette erreur est-elle possible? Grâce à une interface utilisateur vraiment mal faite.

Cliquez sur l'image pour agrandir.

En effet, entre le mélange des places, des cartes de fidélité et des cartes de paiement on ne s'en sort plus. On se retrouve avec des cartes de fidélitée "dans le panier", la section ajouter une carte dont l'intitulé prête à confusion.

C'est tellement peu clair que du texte explicatif a dû être ajouté, un comble.

Et pourtant, utiliser 3 sections auraient suffit: Panier, Méthode de paiement, et bonus point de fidélité.

Et puis bon sang, est-ce vraiment nécessaire d'avoir autant de cartes de fidélité? Une par personne suffit, on met un identifiant client dessus et on dématérialise ses forfaits/options.

Enfin, l'étape de paiement est assez habituelle par contre.

Pour ceux qui veulent rigoler, 3D secure n'est pas là pour protéger les clients, mais les vendeurs (en plus de ne pas être vraiment secure). En effet, le vendeur qui utilise 3D secure s'assure à peu près que la banque ne lui demandera pas un remboursement pour un paiement effectué avec une carte volée. Sauf que 3D secure n'étant pas obligatoire, les voleurs peuvent toujours utiliser les cartes bancaires chez les vendeurs n'ayant pas adopté ce système (paie ta logique d'ailleurs, quand une voiture est volée, le concessionnaire doit rembourser???).

Bon, votre paiement est effectué? Tout se passe bien? Affichons un peu de publicité, l'utilisateur aime bien les agressions visuelles (à lire avec un ton ironique).

Parfait, il est temps de vérifier qu'il reste des places libres.

...

Je rappelle qu'un produit non disponible alors que l'utilisateur à validé le paiement est l'une des pires expériences utilisateur.

Surtout que la solution est assez simple, réserver la place AVANT la demande de paiement, quitte à l'annuler si le paiement n'est pas effectué dans les 5 minutes.

Enfin, la délivrance.

Frais de gestion : 1€

Mise en place d'un Wiki

Keul — Thu, 27 Oct 2016 22:05:00 +0200

CodePen est pratique pour partager des astuces mais il se limite à ce qui est JavaScript, CSS et HTML.

J'ai une collection de fichiers textes qui contiennent des bouts de code, astuces et autres exemples de script ainsi que de la documentation que j'utilise assez souvent.

J'ai donc installé un wiki histoire d'avoir une interface plus agréable et facile à gérer pour administrer tout ça.

C'est disponible en lecture seule ici: http://wiki.keul.fr

Bien entendu, je vais importer et trier au fur et à mesure de mon temps libre mes fichiers.

Auto-complete en JavaScript

Keul — Fri, 02 Sep 2016 20:18:00 +0200

S'il existe des systèmes pour faire de l'autocomplétion en javascript, tous ont le même défaut: ils ne sont pas capable de detecter des fautes de frappe ou de proposer des résultats qui s'approchent de la recherche voulue.

Mailcheck propose un système qui s'en approche: il permet de corriger les fautes de frappe dans un nom de domaine par exemple. Il utilise une fonction venant de sift3 : Super Fast and Accurate string distance algorithm. Dans la version 4 (sift4), la version Simplest gère les rempalcement/ajout/suppression de caractère (Distance de Levenshtein) . La version common gérant les transpositions (Distance de Damerau-Levenshtein).

Cet algorythme se base sur le calcul de la plus longue distance de chaine commune. Hors il reste un problème : imaginons que notre mot à chercher dans une liste de phrase ne soit pas unique mais que l'on souhaites chercher plusieurs mots, avec d'éventuelles fautes de frappe.

J'ai donc mis en place un petit script qui calcule pour un mot chercher un score pour chaque phrase d'une liste. Ce score est d'autant plus élevé que les sous-chaines de la recherches trouvées dans les phrases sont longues et nombreuses.

Il est disponible ici: http://codepen.io/keul/pen/rrNpAA

Bouts de code javascript: on va passer par codpen

Keul — Fri, 13 May 2016 14:03:00 +0200

Les blogs ne sont pas très efficaces pour afficher du code et en faire des démo rapidement, j'ai donc préféré mettre quelques-uns de mes bouts de code javascript sur codepen: http://codepen.io/keul/

Bien entendu, c'est du Vanilla JS, donc pas besoin de JQuery ou autres librairies javascript et s'assurer de bonnes performances.

Un des scripts permet d'avoir des cases à cocher dans un menu déroulant (dont la version native est assez moche, n'étant aps déroulante): c'est dispo ici.

Un second script permet d'avoir des entêtes de tableau fixes comme dans els tableurs. disponible ici, et une variante pour les tableaux trop larges est disponible là.

J'ai fait une sauvegarde ici au cas où ils ne seraient plus accessibles sur codepen

L'accélération du web

Keul — Thu, 21 Apr 2016 12:20:00 +0200

À gauche, une voiture qui peut être moins performante dû à la grosse remorque qu'on peut lui atteler grâce à son attache remorque
À droite, une voiture performante qui vous assure par son absence d'attache remorque que rien ne vous ralentira.

Qui irait acheter une nouvelle voiture sans attache-remorque pour s'assurer que celle-ci a toujours de bonnes performances? Personne?

Maintenant, si l'on suit cet article de Génération-nt: "AMP HTML : Google dope le Web mobile"
On se rend compte que Google propose un "sous-ensemble de HTML avec par exemple des restrictions fortes au niveau de JavaScript"
Grosso-modo, en retirant les scripts (souvent dispensables, charger jQuery, un script d'une centaine de Ko pour animer un menu déroulant), la plupart des pubs (avec script qui font de l'analyse, du tracking et plus) et d'autres idioties, HTML AMP permet de meilleures performances.

<putaclick> Vous ne devinerez jamais ce qu'a fait Google pour accélérer le web </putaclick>

Qui irait refaire son site web dans une version sans attache-remorque pour s'assurer que celle-ci a toujours de bonnes performances?
"Twitter, Pinterest, WordPress.com ou encore LinkedIn sont de premiers partenaires technologiques qui vont intégrer des pages AMP HTML. Une trentaine d'éditeurs sont d'ores et déjà dans la boucle parmi lesquels la BBC, BuzzFeed, Financial Times, The Guardian, Mashable, The Washington Post ainsi que Les Échos."

Est-ce que ça va marcher?
Je ne sais pas, google fait son forcing, mais comme google plus, ça n'attirera que ceux qui se soucient de leurs référencements.

Comment en est-on arrivé là?
Est-ce un problème technologique?
Non, c'est le résultat de personnes bornées, qui ne réfléchissent pas à l'avenir et qui comprennent mal ce qui se passe réellement.
Se retrouvant face à un mur, elles ne se remettent pas en question, n'admettent pas leurs erreurs et préfèrent accuser la technologie.

Prenons une image bien connue:

N'est-ce pas super? On n'a rien à payer pour la grange.
Ouais! Et même la nourriture est gratuite.
Cochons discutant du modèle "Gratuit"

La plupart des sites web gratuits affichent de la pub aux visiteurs et essayent de récolter leurs données personnelles afin de les revendre aux publicitaires. Le visiteur est donc comparé à un cochon, à un produit qu'on vend au "client", le "publicitaire".
Puis, il y a eu des incidents: à force de mal nourrir et entretenir les animaux, ceux-si sont devenu malades et de piètre qualité.
Pour le web, c'est pareil, à force de mal respecter les visiteurs, en leurs mettant des publicités abusives,contenant des virus, ralentissant la navigation et bourrant les quotas, ceux-ci ont commencé à s'équiper en logiciels de blocage de publicité.
Et plutôt que de se remettre en question, ceux-ci persévèrent et se mettent à bloquer ceux qui bloquent la publicité, ce qui les risque de mener à la pire des solutions pour eux, non plus le retrait des publicités, mais le retrait des liens menant vers des pubs qui abusent avec la publicité. (à l'image de WoT)

Hacking da HTeuMeuLeu

Keul — Mon, 29 Oct 2012 13:57:00 +0100

1. Installez Stylish pour Firefox (ou Stylish pour Chrome). (Sytlus pour Firefox et Chrome, version open-source)
2. Cliquez sur le bouton "Installer" dans cette page
3. Allez sur un skyblog
4. ????
5. PROFIT!!!

Complément

Changer le logo google

Changer le logo de Wikipédia

Mettre Yuki Nagato dans PhpMyAdmin

Explications

Les pages web sont basées sur le langage HTML qui est prévu pour s'adapter au support.
Les navigateurs peuvent ainsi se débrouiller pour afficher la page web sur votre ordinateur, smartphone, tablette ou tout autre appareil.
Ils redimensionnent alors les blocs de texte pour les adapter à la taille de l'écran et peuvent aussi s'adapter aux utilisateurs ayant des handicaps (voir la section Chrome), en mettant un fond sombre, en imposant une taille de texte minimale, en permettant la synthèse vocale...
Certains navigateurs vont plus loin, et rendent le bidouillage possible en modifiant leurs configuration et en gérant des modules supplémentaires. Le module Stylish permet par exemple de facilement modifier l'apparence et la mise en forme du contenu grâce à des règles CSS (note: c'est aussi possible sans module en modifiant le fichier userContent.css, mais c'est moins pratique, vu qu'il faut redémarrer le navigateur à chaque modification).

En quoi est-ce utile? En quoi est-ce pratique?
Pour mes parents, j'ai configuré leur navigateur en utilisant ce style, Il retire tout soulignage et force le soulignage de tous les liens cliquables. Ils peuvent donc facilement savoir ce qui est cliquable en naviguant sur internet.
Certes, tous les liens dans les menus sont soulignés, ça devient moche à en tuer des graphistes mais bon.

Un peu de philosophie

En fin de compte, ce qui est très intéressant, c'est que HTML est un langage ouvert, documenté et librement utilisable, qui devient ainsi plein de possibilités:

les webmasters peuvent inclure des données et modules d'autres sites, gérer une identification externe...
les créateurs de logiciels peuvent effectuer des traitements de manière automatique (les linuxiens adorent l'outil wget)
les visiteurs peuvent très facilement profiter du bidouillage des codeurs grâce aux extensions des navigateurs.

Bien entendu, tout ceci n'est possible facilement qu'avec des protocoles et logiciels libres. Apple ne vous laisse pas la possibilité de bidouiller dans sa cage dorée iOS, contrairement à Google qui permet un minimum le bidouillage sous Android en autorisant l’installation applications tierces, même si les bidouilles restent assez limitées, par la volonté des constructeurs.

En effet, les constructeurs sont des sociétés capitalistes dont le but est la recherche du profit et l'accumulation du capital, en concevant certes de beaux produits qui "it just works", abrités des virus et des bidouilles, mais qui ne font pas forcément avancer l’humanité.

Avec un système libre, vous enverrez un satellite dans l'espace. Avec un système verrouillé, vous enverrez des piafs sur des cochons.

Le coté technique

Mettez dans un nouveau style sous stylish les lignes suivantes:

* {background:grey !important;}
a {border:1px solid red !important;}

Si vous relancez le navigateur, vous verrez que la couleur de fond à changée et que les liens sont encadrés en rouge

Explications:

A gauche, nous avons l'élément HTML modifié: "*" corresponds à tous les éléments, "a" aux liens, "img" aux images (liste des tags)...
Nous avons ensuite une accolade indiquant ce qui sera affecté à l'élément HTML
Nous avons ensuite une ou plusieurs propriété(s) (liste des propriétés) et ses(leurs) valeurs
Puis le mot clef "!important", qui force la valeur à être appliqué (on augmente son importance)
Puis la fin de l'accolade

Essayez maintenant de mettre tous les textes en noir et les liens en bleu.

Afficher Solution

It's Time for Some Piracy!

Keul — Thu, 06 Sep 2012 13:18:00 +0200

source : Mōretsu Pairētsu screenshot

En France, nous avons droit à la Hadopi, la "Haute Autorité pour ~~la Création,~~ la Distribution~~Diffusion~~ des Œuvres, ~~du Savoir~~ et la Protection des ayants-droits sur Internet."
Je sais pas si les artistes arrivent à mieux remplir leurs frigo et si la culture est accessible à tous ou si ce sont juste de riches qui parviennent à s'enrichir encore plus.

source: Quantum Diaries
Parce que le savoir est relatif et à toute son importance

Ce que je sais en tout cas, c'est que pour mener leur mission à bien et s'assurer qu'internet ne soit plus utilisé pour télécharger illégalement, la Hadopi a décidé de responsabiliser le titulaire de l'abonnement internet face à un défaut de sécurisation.
Sauf que là, la Hadopi veut punir le titulaire au bout de trois avertissement par une coupure de la ligne pendant au minimum un mois, parce qu'il n'a pas réussi à sécuriser sa connexion.
Bon ben entendu, on ne va pas punir Sony, Sarkozy, les banquiers, les techniciens des centrales nucléaires iraniennes... Et ne pensez pas qu'ils veulent juste vous mettre à poil.

Enfin, si vous lisez cet article, je pense que vous êtes plus intéressés par la sécurité que la Hadopi et ses histoires de piratage. Entrons donc dans le vif du sujet.

Internet et la sécurité

Les ordinateurs, prévus à l'origine pour faire fonctionner de gros systèmes dans des entreprises, se sont forgés une place dans les foyers grâce aux progrès technologiques et à leurs polyvalence: jeux, traitement de texte, tableurs, retouche d'images, lecteur multimédia, connexions en réseau local.

(Ancien modèle d'iMac - source)

Mais c'est surtout l'arrivée du réseau mondial Internet qui les ont rendu plus populaires.

Celui-ci a en effet de gros arguments: le savoir et les idées d'une personne pouvaient alors êtres transmises vers une audience mondiale, limités par la seule barrière physique de la langue. Le courrier électronique, les groupes de discussionla messagerie instantanée, les sites web, les forums... n'ont alors cessé de se développer.

Hors, si les ordinateurs n'avaient à l'origine pas besoin d'une grande sécurité, étant isolé dans leurs entreprise et foyer, celle-ci s'est révélé indispensable avec Internet et l’arrivée des hacker et crackers, débutants ou vrais experts.

Le hacker, souvent confondu avec le cracker, se caractérise par l'informaticien qui cherche à agir pour le bien d'autrui.
Son but sera donc

D'informer l'utilisateur des risques de sécurité
D'améliorer la sécurité des systèmes existants
D'aider le peuple et les journalistes en proposant des systèmes anonymes, cryptés et décentralisés...

Le cracker lui se caractérise par l'informaticien qui cherche à agir uniquement pour lui.
Son but sera:

D'utiliser des systèmes anonymes pour agir sans se faire repérer et identifier.
De causer des dommages en détruisant des données ou du matériel
De dérober des données, souvent dans un but lucratif
D'usurper une identité...

Avec l'arrivée des tablettes, plus simple d'utilisation pour Mme Michu, qui n'a plus à savoir comment insérer un CD d'installation, la sécurité s'est faussement accrue en en empêchant certes les logiciels tiers d’accéder trop facilement à tout le système, mais en autorisant le vendeur à faire ce qu'il veut, ce qui est gênant en cas de piratage et même dangereux quand c'est volontaire.Les serveurs avec leurs bases de données deviennent aussi la proie des crackers.

Le piratage

ATTENTION: le faite de s'introduire dans un système informatique est illégal et est puni par la loi.
Si vous voulez acquérir des connaissances en piratage, vous ne pourrais le faire que sur le matériel vous appartenant, ou uniquement dans le cadre d'un audit de sécurité (renseignez-vous sur le sujet).

On va parler de trois cas que j'ai pu rencontrer.

Premier cas: défaçage de blog.

C'est arrivé à un ami, qui utilisait un blog basé sur Nucleus et qui n'avais pas été mis à jour suite à la découverte d'une faille de sécurité.
Le hacker ayant simplement recherché l’exploit permettant d'utiliser la faille de sécurité, puis recherché sur google les blogs qui utilisent une version qui n'est pas à jour.
Il a ensuite utilisé l'exploit pour défaçer le site web
Lire l'article

Second cas: faille Cross Site Scripting

J'avais découvert par hasard qu'un site contenait une faille de type Cross Site Scripting.
Des entrées de formulaires ne filtraient pas le caractère <, et permettaient donc d'afficher du code javascript sur le site.
Je les ai contacté par e-mail et ils ont pu corriger rapidement la faille de sécurité.

Attention par contre: si vous trouvez une faille de sécurité par hasard, et même si vous ne l'exploitez pas, faites attention en contactant la société gérant le site web.
Car même si vous n'avez rien fait de moralement répréhensible, elle pourrait tenter de vous attaquer.
Il peut être intéressant dans ce cas de passer par un intermédiaire comme zataz qui vous protégera et qui saura traiter le cas correctement (il vaut mieux être équipé en huissier et avocat)

Troisième cas: défaçage de site.

Attention, c'est du lourd. Un jour, je reçois le mail suivant avec un fichier en attache:

Oui, il a bien mis dans l'URL la variable "auth" que le visiteur peut modifier à loisir.

Après un gros facepalm, je lui demande si je peux récupérer le reste du site pour vérifier si c'est bien ça la faille.

Fausse alerte, la variable "auth" était juste là pour indiquer au visiteur que le mot de passe est incorrect dans l'interface de connexion.

Je regarde les autres fichier pour voir s'il n'y aurais pas un problème et ...

$_GET['id'] est le contenu de la variable transmise dans l'URL. Donc si j'ai: monsite.com/repertoire/page.php?id=42 ma variable $_GET['id'] aura la valeur 42.
Sauf qu'il n'a absolument pas protégé sa requête contre les injections SQL.

Après avoir récupéré le fichier access.log, j'ai vu de belles requêtes. Vous pouvez regarder un extrait (j'ai retiré le nom de domaine)
Problème trouvé, faille comblée, je pensais que s'en était fini là.
On y voies donc les injections sql, et même l'utilisation d'un logiciel qui cherche toutes les pages d'administration qui pourraient exister.

Et pourtant, le délir continue.
Si on regarde bien dans le fichier access.log, on voie clairement dans le champ user-agent qu'il utilise ...
... Internet Explorer 8!

J'ai aussi récupéré l'URL d'une image envoyée par le hacker sur la page de défacage et pointant vers cette image : /public/up312971987391.jpg
Donc le cracker à comme pseudo "Morrocan-alien", et si on faisait une recherche sur google?
http://www.experienzia.com/Newsletter/
"always able te break the security"
http://www.semia-autun.com/
"hacking is my game"
Bon
Point commun entre toutes les pages hackées?
la MÊME faille, la même injection SQL.
Donc son "always", j'en doute très fortement.

http://www.atcoroglio.it/interni/aziend.php?id_azi=1
"hello admin"
"this is just a minor warning"
"just to let you know how weak your"
"security is"
Bon, vous remarquez les problèmes de formatage de page?
Regardez la source de la page, et vous devriez voir rapidement un :
"urn:schemas-microsoft-com:office:word"

Il utilise des documents MICROSOFT WORD pour insérer son texte dans des pages web!!!

Un script kiddie qui utilise Word et IE8? Manquerait plus qu'il installe OpenOffice comme pare-feu.

Conclusion :

Si vous créez un programme local, il n'y a généralement pas trop de risque, l'utilisateur cherchant rarement à causer des dommages à sa propre machine. Par contre, si votre programme doit traiter des fichiers téléchargés ou se connecter à internet, faites attention à les traiter avec prudence.
Si vous créez un programme/site pour un serveur, le risque sera plus grand et il vous faudra à tout prix respecter cette règle:
NE FAITES CONFIANCE A PERSONNE.
Le visiteur vous envoie une requête? un fichier? dites-vous qu'il peut contenir n'importe-quoi, c'est le visiteur qui choisit ce qu'il vous envoie.
Il convient donc de traiter avec la plus grande prudence les variables $_GET, $_POST, $_FILES, $_COOKIE, $argc, $agrv... et de ne pas oublier que si vous comptez afficher du texte dans une page web, Un javascript contenu dans celui-ci pourrait aussi être exécuté.

J'expliquerai dans un prochain article comment sécuriser son code PHP.

Bonux:

http://hmm-la-bd.eu
Cliquez sur le bouton admin en haut à droite
Regardez l'URL
testez
...

Conseil aux blogeurs

Keul — Sat, 31 Mar 2012 23:58:00 +0200

L'article de ce mois est publié ur le blog Meido-Rando pour son quartier libre.

Consulter l'article

LibreScale [fr]

Keul — Wed, 29 Feb 2012 13:11:00 +0100

On utilise souvent des échelles de notation pour pouvoir donner rapidement un avis sur quelque-chose.

Certains sont automatiques, comme l'Acid test et d'autres dépendent plus d'un jugement personnel (notation de jeux vidéos).

Or si on commence à avoir une évolution sur le point de vue écologique (capacité de recyclage, consommation énergétique, ...), on ne dispose pas vraiment de système de notation pour juger si un système électronique/informatique est ouvert ou fermé/propriétaire.

J'ai décidé d'inventer donc une échelle, qui bien entendu sera amenée à évoluer :

librescale.php [en+fr] V1.0

LibreScale [en]

Keul — Wed, 29 Feb 2012 13:10:00 +0100

We frequently use notation scales to give an opinion on something.

Some are automatic, like the Acid test, and some depends more on personal opinion (like video games).

Or if we get a better evolution on the ecological side (recyclable, power consumption, ...), we don't have a scaling system to define if an electronic/informatics is open or closed/proprietary.

So I've decided to create a scale, and it will evolve :

librescale.php [en+fr] V1.0

Internet mobile

Keul — Fri, 27 Jan 2012 08:15:00 +0100

Internet

Internet est un réseau mondial comparable aux réseau routier, crée par des scientifiques pour faciliter la communication de l'information entres différents ordinateurs. Reliant au début les laboratoires militaires, scientifiques, ainsi que les universités et les écoles, il se rependit ensuite au grand public avec les cybercafés et l'arrivée chez les particuliers en utilisant les réseaux téléphoniques existants. Il permet de transférer de la voix, des images, du texte, des vidéos ou tout autre donnée à travers le monde en utilisant un protocole (langage) commun appelé IP, (Internet Protocol).

Or, les différents gouvernements, à la ramasse et obéissant plus aux commerciaux et entreprises qu'aux scientifiques causèrent quelques problèmes: un manque de législation efficace contre les problèmes de peering, de spam, d'arnaques et une absence d'éducation contre les dangers (on n'accepte pas de "bonbons" d'un inconnu, donc on fait aussi attention aux réseaux sociaux).

Les mobiles

Des version mobile de sites web furent disponibles, dans un format WAP, version ultra allégée d'HTML prévu pour des téléphones de l'époque, qui coutaient une centaine d'euros. La performance exceptionnelle (une minute pour charger une page WAP de 10Ko) allié à des prix comparables au minitel (1€ la dizaine de pages) attira peu le grand public en dehors des geeks curieux.

Un climat sans concurrence stabilisa les prix et laissa les responsable marketing faire joujou avec leurs délires. Pendant que l'ADSL passais de 512k à 30Méga, en incluant le téléphone, la télé, puis la fibre optique, les offres mobile évoluaient peux, proposant difficilement les appels illimités* (dans la limite de 3 correspondants) et de l'internet illimité* et des SMS illimités*

Avec l'arrivée du wifi, de forfaits 2G/3G et des écrans tactiles (bien mieux qu'un clavier) et d'un gros budget, l'HTML amputé de flash pouvais se pointer sur smartphone. Pour mieux faire passer le budget, les opérateurs ~~planquèrent du crédit sur~~ subventionnèrent le smartphone dans des offres avec engagement.

Internet n'est pas que l'affichage de pages web avec une option mail. Internet, c'est: le web, le mail, les discussion en direct, les visioconférences, les jeux, les newsgroups, le P2P, le partage de connexion (ou thethering), le cryptage, le respect des protocoles.

On pourra donc féliciter Free d'être le premier opérateur téléphonique à fournir une véritable connexion Internet en dehors des offres professionnelles précises (les offres grand-public étant pour moi une pauvre rustine), en plus de l'illimité à bas pris. Ils auront été plus efficace que l'état pour aller dans al bonne voie et éviter les problèmes que j'avais déjà souligné dans mon article sur IPV6.

Les limitations

On pourrait se demander pourquoi ces limitations? Les réponses sont simples:

Le blocage du partage de connexion leurs a permis de vendre des forfaits clefs 3G pour plusieurs dizaines d'euros par mois
Le blocage des e-mails a évité la mort du MMS et des sms payés à l'unité
Le blocage de la VOIP leurs a permis d'éviter la baisse de prix de la communication audio. Une heure d'audio, c'est environ une trentaine de méga en qualité téléphonique (64kb/s = 8Ko/s = 28Mo/h).
Le blocage de la VOIP leurs a aussi permis de faire payer des suppléments pour l’international à prix démentiel (a croire que les entreprises profitent bien du mondialisme pour faire travailler des petits chinois avec des salaires ridicules, et ne se privent absolument pas pour imposer un zonage)

J'en profiterai aussi pour féliciter Orange qui m'a bien fait rigoler en ventant ses boutiques qui ne m'ont pas vraiment servi, avec les conseillers ne vous aident pas à trouver le meilleur forfait et vous renvoient systématiquement vers le service client surtaxé pour les problèmes techniques.

Vous aimez spammer?

Keul — Tue, 17 Jan 2012 13:38:00 +0100

Si vous êtes tombé sur cette page parce qu'on vous a donné un lien, c'est que vous avez fait fait une grosse erreur: vous avez envoyé du SPAM, généralement appelé "courrier indésirable". Pour les autres, ça sera de la prévention.

Afin de ne plus recommencer, suivez ces conseils:

Si vous envoyez un e-mail à une seule personne, il n'y a généralement pas de problèmes, vous contactez la personne pour une raison précise et elle a donc de forte chance d'être intéressée.
Si vous envoyez un e-mail à plusieurs personnes, vous risquez très fortement d'envoyer un spam. Tournez donc votre mulot trois fois autour du clavier et posez-vous la question suivante : Suis-je sûr que TOUS les destinataires désirent recevoir cet e-mail?

La règle d'or est de RÉFLÉCHIR. Ne faites pas CONFIANCE, les ragots et arnaques sont monnaie courante et un peu de bon sens suffit à les éviter.

Une petite aide :

Si vous voulez envoyez une blague (à plusieurs personnes), c'est généralement du spam.
Si vous voulez envoyer une combine pour gagner de l'argent facilement, c'est du spam. Allez plutôt voir l'ANPE.
Si vous n'avez pas vérifié l'information (avec google), c'est du spam
Si vous voulez les prévenir qu'un virus va tout faire péter, c'est du spam
Si vous l'envoyez à tout votre carnet d'adresse, c'est du spam (hors changement d'e-mail)

En cas de doute, demandez à votre entourage.

Les noms de domaine

Keul — Sat, 31 Dec 2011 16:10:00 +0100

Petit résumé rapide: Les différents ordinateurs et appareils peuvent communiquer sur internet grâce à des adresse IP, un peu équivalent aux numéros de téléphone. (exemple : 176.31.232.221 ou 2001:41d0:2:f9dd::1).
Vu la difficulté pour retenir, un système de nom de domaine, équivalent à l'annuaire a été crée et permet de remplacer une adresse IP par un nom plus facile à retenir (exemple: nanami.fr).
Lorsque l'on possède un nom de domaine, on peux créer des sous-domaines, gérés par le possesseur du nom de domaine d'origine. (exemple: forum.nanami.fr).

Lorsque l'on crée un compte sur un site pour avoir une adresse e-mail, un site web, un blog ou tout autre service, on deviens généralement dépendant de son fournisseur de service. Si je crée un site chez Free, je deviens dépendant de l'administrateur du nom de domaine free.fr. SI je me crée une adresse Gmail, je deviens dépendant de gmail.com et de leurs service (donc de leurs éventuels dérapages...).
Pour éviter de changer de nom de domaine, on pourrait être tenté de prendre un service de redirection. Un tel service à déjà existé : @fairesuivre.com. Manque de bol, ils ont fermé, laissant leurs clients dans l'impasse.
Or, le système de nom de domaine possède un attribut non négligeable: le transfert de nom de domaine. En effet, si vous achetez un nom de domaine chez un fournisseur et que celui-ci ne vous conviens plus ou fait faillite, vous pouvez alors transférer le nom de domaine chez un autre fournisseur.

Un nom de domaine permet alors d'avoir une identité (e-mail, site internet, ...) et son indépendance à vie pour une dizaine d'euros par an. Il ne vous reste plus qu'à savoir si vous êtes prêt à mettre un peu d'argent pour être certain de garder votre identité et votre indépendance.

Chargement d'une image avec Ajax

Keul — Wed, 30 Nov 2011 19:20:00 +0100

Dans mon précédent billet, j'expliquais comment charger du texte avec Ajax.

Pour charger de l'XML avec, il suffit de remplacer responseText par responseXml, retournant alors un objet javascript plutôt que du texte.

AJAX n'est pas prévu pour transférer des données binaires mais uniquement du texte. Une solution pourrait être de transférer l'image en l'encodant en base64 et de l'intégrer via les data-uri en utilisant un code ressemblant à ceci :

imgtest=new Image();
imgtest.src="data:image/jpeg;base64,/9j/4AAQSkZJRgABAgAAZABkAAD/7AARRHV..."

Problème : une image encodé en base64 prends 33% de place en plus.

La solution est en fait plus simple et était déjà utilisa avant l'apparition d'ajax: le préchargement d'images avec l'utilisation d'onload pour s'avoir quand elle a fini son chargement

imgtest=new Image();
imgtest.src="https://keul.fr/post/example.com/image.jpg"
imgtest.onload=function(){ imgtest.style.display='block'; }

On pourra alors combiner les deux méthodes pour charger par exemple une image et sa description.

Les données dans "le cloud"

Keul — Tue, 04 Oct 2011 13:07:00 +0200

Suite à un article de Tristan Nitot, j'ai pas mal réfléchi sur le sujet et j'ai donc décidé de publier un article sur les données dans le cloud et la vie privée.

Quand on veux mettre ses données dans le cloud pour pouvoir y accéder de partout, on se retrouve face à plusieurs solutions :

un système tel que forumactif/skyblog ne vous permet pas d’accéder à vos données (certains s'en approprient même les droits comme un certain réseau social) (vie privée : catastrophe)
un système tel que googledoc permet d'acceder à vos données, mais de manière peu pratique : il faut passer par l'interface web pour télécharger un .zip (vie privée : pas terrible du tout)
un système tel que gmail permet de sauvegarder facilement et régulièrement ses mails en local via imap/pop, mais l'hébergeur peux facilement exploiter les données (vie privée : pas terrible du tout)
un système tel qu'un forum SMF/PHPBB hébergé chez un hébergeur gratuit ou payant permet de sauvegarder facilement les fichiers via SFTP et la base de donnée (vie privée : je ne connais pas d'hébergeur s’autorisant dans ses GCU la fouille d'un FTP à des fins publicitaires, c'est donc pas mal au niveau vie privée)
un système ftp/dropbox/ubuntuone avec une surcouche de cryptage (vie privée : le must)
un système de fichier, décrypté coté navigateur, avec des applications certifiées et que l'on peux CHOISIR (par la communauté, pas par un market ou un certain UEFI avec des certificats non gérables par l'utilisateur (contrairement au certificats dans firefox, totalement éditables)) : (ultime)

Le problème est ensuite celui de l'application qui va utiliser ces données :

Quand un ami partage un album photo via un service web, je suis obligé de passer par l'application web de visualisation des photos, alors qu'à la base, il devrait uniquement indiquer un répertoire web avec un système de métadonnées standardisé et ouvert.

Plutôt que de chercher à utiliser des surcouches de logiciel, je pense qu'il vaudrait mieux revoir l'architecture des OS qui ne permettent pas avec une interface "user friendly"

En effet, l'idée du chromebook est une mauvaise idée, on transforme le navigateur en gestionnaire d'applications qui deviens un intercepteur d'applications javascript. Chaque application est téléchargée par le fournisseur de service qui se retrouve à avoir un contrôle total sur l'application et les données!

Pour moi, chaque ordinateur devrait avoir un système d'exploitation qui va s'occuper de la gestion des drivers, des programmes, des utilisateurs et du système de fichier.
Quand un utilisateur se connecte à l'ordinateur, il se connecte à son profil crypté sur le web, qui:

va indiquer quels applications installer en local en supplément (si elles ne sont pas déjà disponibles)
va gérer un cache local crypté (un peu comme un GIT crypté)

Quand l'utilisateur quitte le poste, il peux choisir :

de supprimer ses données locales
de les conserver en cache en évitant des les effacer (pour ceux qui compte le réutiliser)
de les conserver en cache, mais qu'ils peuvent êtres effacés (pour ceux qui veulent garder un cache mais ne pas gêner le propriétaire s'il a besoin de place

Pour l'instant, on en est loin et le libre à du mal à rattraper les commerciaux avec leurs services privatifs en ligne où les utilisateurs ne voient pas les problèmes futurs, en espérant que les commerciaux n'arriveront pas à se débarrasser du libre en revendant de l'UEFI avec la liste de certificats non éditable alors qu'ils n'hésitent pas à faire tourner leurs serveurs sous linux.

(personnellement, ce n'est pas à Microsoft de demander aux constructeurs de pouvoir désactiver l'UEFI ou mettre un certificat custom, mais à l'État d'interdire la vente de carte mères avec UEFI ne prenant que des certificats Microsoft, et interdire la vente de téléphone portable sans procédure pour le rootkiter (quitte à perdre la garantie) après un certain délai comme le désimlocage)

Stockage de mots de passe

Keul — Tue, 04 Oct 2011 13:01:00 +0200

En informatique, il deviens très rapidement nécessaire de gérer son identités sur plusieurs sites et systèmes.

Et actuellement, on se retrouve à retenir plein de mots de passe, vu qu'il n'existe pas encore de solution unique et complète. En effet, j’estime qu'il faut :

un système pérenne qui résiste à la suppression de compte mail (en quittant son ancien FAI), du nom de domaine (comme un certain wikileaks), de son téléphone...
un système qui permettes un certain anonymat : si mon compte ebay et mon compte google utilisent la même adresse e-mail ou la même URL pour openID, ils peuvent me suivre à la trace.
un système blindé : en cas de vol/perte de mot de passe, il doit y avoir des systèmes de révocation.

OpenID et BrowserID n'y répondent pas vraiment et pour moi, la solution réside dans les certificats GPG et un principe de fonctionnement tel que décrit :

Sur un PC (de préférence sécurisé, en live CD et non connecté au net), on génère un trousseau de clef A B C D (qu'on peux imprimer voir une master qui signe toutes ces clefs) ... chacune signe des clefs A1 B1 C1 D1 qu'on stocke sur une clef USB

On utilise alors les clefs A1 B1 C1 D1 pour s'authentifier sur les sites. Si la clef B1 est corrompue, on retourne sur le netbook et on génère une clef B2 qui révoquera la clef B1 et qui servira de nouvelle clef d'authentification.

Le système est indépendant d'un quelconque compte mail ou nom de domaine
un système qui permettes un certain anonymat : si mon compte ebay et mon compte google utilisent la même adresse e-mail ou la même URL pour openID, ils peuvent me suivre à la trace.
un système blindé : en cas de vol/perte de mot de passe, il doit y avoir des systèmes de révocation.

En attendant qu'un tel système soit utilisable, on se retrouve à gérer plein de mots de passe. Problème, je n'ai pas de serveur chez moi où héberger en permanence ce fichier, et je n'ai pas envie de le stocker en clair chez mon hébergeur. Je pourrais le crypter chez mon hébergeur, mais ça signifierais envoyer le mot de passe par le réseau (et je n'ai pas de https disponible dans mon offre).

Solution: effectuer le cryptage/décryptage coté navigateur. Ceux-ci ne gérant pas les fonctions cryptographiques en natif, j'ai dû recourir à une librairie en javascript.
Le script ci dessous effectue des copies de sauvegardes du fichier crypté.

Télécharger le script (WTFPL)

Ce script php génère donc une page HTML avec un champ textarea crypté, qui se décrypte via javascript quand vous aurez saisi la bonne clé. Vous pouvez saisir de nouvelles informations , une autre clef et cliquer sur save pour envoyer la nouvelle version cryptée sur le serveur.
Le script est fourni sans garantie (ne l'utilisez pas pour des trucs trop importants sans vérifier le code source)

Démontage de netbook Acer eMachines M350

Keul — Wed, 28 Sep 2011 13:23:00 +0200

Ayant du démonter mon netbook récemment, j'en profite pour mettre quelques photos ici.

Il y a 2 attaches qui coulissent à droite, il faut commencer à le détacher par la gauche pour libérer l'emplacement du HDD.

Ici, il faut forcer un peu sur le haut pour soulever la plaque, les attaches du bas coulissent

Aperçu des encoches à forcer pour libérer l'emplacement

On tire sur la languette du disque dur pour l'aider à s'extraire du port SATA.

La barrette de RAM se retire facilement en poussant sur l’extérieur les 2 encoches métalliques

L'une des partie les plus dur : détacher le clavier avec un tournevis plat/une pince fine en le faisant sortir des encoches (visibles dans les photos suivantes)

Les encoches qui retenaient le clavier

On retire la nappe du clavier

D'autres encoches qui maintiennent la carcasse en plastique sur le haut

On détache la carte wifi en retirant la vis et en la soulevant.

Le connecteur sers à l'alimentation de l'écran.

On retire la nappe du lecteur de carte SD et le connecteur du haut-parleur

On retire les 2 vis qui maintiennent la carte-mère

Il ne reste pus qu'à nettoyer le ventilateur

Les numéros de version

Keul — Wed, 17 Aug 2011 19:22:00 +0200

S'il y a bien un problème avec les logiciels, c'est leurs système de numération de versions qui peut causer bien des problèmes.

Source

Capitalisme oblige, les versions permettent d'amasser pas mal d'argent avec la vente de logiciels, plus concurrentiels, plus performants, plus fonctionnels, plus jolis, plus efficaces, plus lourds... Difficile donc de se débarrasser avec élégance.

Si ce n'est pas un problème avec les sites web dont les logiciels qui le génère tournent coté serveur (hors navigateur), ça l'est beaucoup plus avec les logiciels coté utilisateur.

Et ça, Google l'a bien compris et sait que l'utilisateur ne veux pas s'embêter avec ce genre de détails, en mettant le tout à jour sans trop l'annoncer à l'utilisateur. Je ne sais pas à quelle version est Google Chrome, ni Gmail, ni Google Earth... La seule exception étant Android, mais ça tiens plus aux limites matérielle (j'ai un smartphone d'entrée de gamme) et à la flemmardise des constructeurs. En tout cas, quand je vais sur un PC, que je vois Chrome à jour, Firefox 3.6 et IE6, je comprends vite le bug.

Je pense qu'il serait temps pour Mozilla de mettre automatiquement ses logiciels à jours de manière silencieuse (comme Chrome), MAIS en proposant néanmoins dans les options le choix de désactiver cette fonctionnalité (contrairement à Chrome).

Les développeurs doivent aussi éviter autant que possible la vérification du numéro de version pour se baser uniquement sur la présence de la fonctionnalité.

Une solution élégante est aussi celle adopté par ubuntu, utilisant la date : on sais facilement si on a à faire à une version à jour, il n'y a pas de concours d'e-penis.

J'en ferai d'ailleurs un article sur les bonnes pratiques de programmation web.

XML soupe(SOAP) ?

Keul — Sun, 31 Jul 2011 23:33:00 +0200

L'informatique, c'est de la rigueur.

Bon, après, y'en a qui ne comprennent pas et qui publient des trucs foireux. Donc quand dans un flux XML vous avez des personnes qui utilisent le caractère & autrement que comme entitée HTML (&, &acute, <…) en oubliant par exemple de parser une URL, on obtiens une belle erreur en exploitant le flux.

Solution pour corriger si le responsable du bug met 15 plombes à réagir :

//Attention, patch honteux
$pattern = "/(&[^a-zA-Z\#])|(&\#[^0-9])|(&[a-zA-Z]+[^;a-zA-Z])|(&\#[0-9]+[^;0-9])/";//bullshit pattern
$replacement = "&$2";//rustine grosse comme ma B
if( preg_match_all ($pattern, $raw_flux, $matches) > 0 ) {
//A chaque fois que le script entre dans cette boucle, Dieu tue un chaton (Shami inclus)
$datas=explode('<![CDATA[',$raw_flux);//on ne fait des remplace que sur les parties hors de <![CDATA[ * ]]>
foreach($datas as $key => $cdt) {
if($key>0) {
$ct=explode(']]>',$cdt);
$ct[1] = preg_replace ($pattern, $replacement, $ct[1]);
$datas[$key]=implode(']]>',$ct);
} else {
$datas[$key] = preg_replace ($pattern, $replacement, $cdt);
}
}
$raw_flux=implode('<![CDATA[',$datas);
}

Le web et les données

Keul — Wed, 29 Jun 2011 18:10:00 +0200

Certaines entreprises se mettent à tenter de prendre possession de vos données tout en voulant garder les leurs. La loi étant (normalement) la même pour tous, on se retrouve avec certains concepts intéressants :

- Blizzard tente de s'approprier votre réseau en vous interdisant d'analiser le traffic circulant sur celui-ci à la section 12.3 de leurs contrat.
Blizzard ne serait donc pas compatible avec la LOPPSI et avec tout réseau de plus d'un utilisateur. Si un membre de ma famille joue à un jeu blizzard, rien ne m’empêche de lancer wireshark sur le PC, n'ayant pas accepté leurs contrat. FAIL.

- Facebook/twitterpic/... veulent s'approprier les droits sur les images postées par leurs utilisateurs. Manque de bol, on ne peut pas récupérer ce que les autres ne possèdent pas. S'ils disent qu'ils possèdent les droits de publier l'image, répondez leurs simplement : "cette image/texte/vidéo est sous copyright et a été posté par un membre de ma famille sur votre site. Je ne vous ai donc jamais donné de droits sur cette œuvre vous prie de bien vouloir la retirer rapidement, conformément aux lois sur le copyright."

Enfin, j'attends quand-même de voir ce que va donner la loi hadopi quand elle va se mettre à couper les connexions à internet pour défaut de sécurisation et qui cherche à rendre le visionnage de streaming illegal (hop, mettons en prison tout ceux qui se sont fait rick-roller XD)

Ma vision du panneau d'options dans firefox

Keul — Tue, 31 May 2011 23:52:00 +0200

(english version below)

Personnellement, j'ai adoré le concept d'avoir mis les modules de Firefox dans une fenêtre du navigateur et non plus dans un popup souvent limité en taille.

Par contre, je pense qu'il faudrait revoir l'organisation des options.

J'ai donc réalisé une petite interface dans une page web montrant comment je verrai bien la configuration de Firefox, avec quelques idées :

- La gestion des profils, avec un mode débutant qui n'affiche pas les options avancées

- Un test de connexion internet avec un bouton permettant de corriger les problèmes de connexion (effectuant une détection automatique du proxy)

- Un système de test du filtrage de contenu, indiquant par exemple si le navigateur passe par un proxy, si certains protocoles sont bloqués ou certains sites sensibles (en utilisant une liste personnalisable de sites à tester)

- Une section social, permettant facilement de publier dans son réseau social un article sans que celui-ci ne doives proposer plein de boutons pour chaque réseau social existant.

- Une gestion de l'interface du navigateur triée (vidéo/audio/images/texte/...)

http://fichiers.keul.fr/firefox-options.html

I loved the concept of putting the Firefox module manager in the browser window rather than in a popup limited in size.

But I think that we need to organize the management of options.

I've made a small interface in a web page showing how I see the new Firefox option panel, with some ideas :

- Profil management, with a beginner mode that hide advanced options.

- Internet connectivity test with an auto-configure button that correct connectivity problems (with an automatic proxy configuration detection)

- A system that detect content filtering, displaying for example the use of a proxy, the protocols that are blocked or some sensible websites (using a custom list to test)

- A social section, that permits to link in the user social network a web page without using a lot of buttons for all social networks existing.

- The management of the web browser interface better sorted (vidéo/audio/pictures/text/...)

http://fichiers.keul.fr/firefox-options.html

La signature électronique et le cryptage

Keul — Mon, 18 Apr 2011 18:41:00 +0200

L'informatique est basé sur la gestion des données, qui sont converties (clavier/écran/haut-parleur), transmises(cables), stockées(RAM, HDD) et traitées(CPU, circuits intégrés).
Et ces données sont précieuses. Gérés par d'énormes systèmes informatiques, elles ont fait la fortune de Microsoft, Google, Apple, Facebook, Twitter...

J'avais déjà expliqué qu'il était important de pouvoir posséder ses données, parce-que devoir les récupérer ensuite peut être une véritable plaie (10H pour importer un forumactif propriétaire avec perte des mots de passe contre 15min d'import d'une galerie d'images sans perte).
Mais en plus de les posséder, il faut aussi les sécuriser, avec des méthodes adaptées.

En informatique, on dispose de deux méthodes :

Le cryptage ou chiffrement qui traite une données afin qu'elle ne soit lisible que par les personnes voulues.
La signature ou le hashage qui permet de certifier une donnée.

Le chiffrement peut être symétrique, le message est donc chiffré et déchiffré avec la même clef, n'importe-qui ayant cette clef pouvant décoder le message.

Le chiffrement peut aussi être asymétrique, chiffré par une clef publique, et déchiffrable uniquement par une clef privé correspondante. On peux donc facilement distribuer des clef publique à la vue de tous (la confidentialités n'est pas nécessaire, seul l'authenticité compte.)

La signature permet elle de certifier l'authenticité du contenu.
Si je prends par exemple que la signature de Insurance.aes256 est cce54d3a8af370213d23fcbfe8cddc8619a0734c, si jamais vous téléchargez le fichier, vous pourrez vérifier que le fichier est bien celui dont je parle en comparant la signature sha1 avec celle que j'ai donnée ci-dessus. Si jamais vous téléchargez un autre fichier, ou le même fichier, mais corrompu (intentionnellement ou pas), la signature ne sera pas la même.

Pour faire simple : je possède une paire de clef publique et privée GPG. N'importe-qui peux donc en utilisant ma clef publique chiffrer un document, dont je serai le seul à pouvoir déchiffrer à l'aide de ma clef privée. Je peux ensuite signer un document avec ma clef privée, et toute personne disposant de la clef publique pourra vérifier que c'est bien moi qui l'ai signé.

Comparé à un document papier,
- La signature d'un fichier correspond à la certification de celui-ci au bit près, en assurant qu'il n'a pas été altéré depuis la signature.
- Si vous signez une feuille de papier, je doute que cette signature disparaissent ou soit invalidée si jamais la feuille est modifiée (on peut éventuellement ajouter une clause dans un espace vide sur un contrat), là, l'employé sera protégé uniquement parce-qu'il aura la copie du contrat signé par l'entreprise sans cette clause).

- Par contre, une signature n'est jamais fiable à 100%, vu qu'il y a toujours possibilité de piratage de l'ordinateur (des solutions très sécurisées existent, à vous de juger la sécurité requise face à la convivialité: un live-cd linux/BSD ne stocke rien sur disque-dur et donc est plus sécurisé, mais reste moins pratique qu'une version installée) ou la faille humaine (Si vous n'avez pas laissé votre mot de passe sur un post-it, on peux toujours passer par la méthode forte)

Suite aux twitts de Maitre Éolas, une réponse technique s'impose :

Un fichier zip, c'est comme une enveloppe qui permet de rassembler plusieurs documents et de les compacter.
Imaginons trois fichiers contenant "AAAAA", "BBBCC" et "DDDEE"
De manière très simple, un fichier zip contiendrais "ZIP A5-B3C2-D3E2 ZIP" (je simplifie, en réalité, c'est plus compliqué)

Vous pouvez signer sur l'enveloppe ou signer chacun des documents qu'il contiens, vous connaissez le résultat.
Quand vous signez le fichier zip, vous ne signez pas l'"enveloppe" du fichier "ZIP_" mais TOUT le document.
On peux donc dire que signer une archive zip reviens à avoir TOUS les fichiers de cette archive signé.

ATTENTION par contre. La signature étant "étalée" sur tous les fichiers de l'archive, la signature n'est valide que si vous disposez de l'archive complète.

En gros, signer un fichier zip reviens à étaler tous les documents d'une enveloppe et faire une grosse signature sur tous les documents en même temps

La faille restant tiens ensuite de la sécurités de l’algorithme et de la fiabilitée du processus.

Dropbox

Keul — Sat, 26 Mar 2011 23:12:00 +0100

Pour pouvoir travailler facilement de manière collaborative au sein de mon association, on m'a conseillé d'utiliser Dropbox. Suite aux incompréhensions devant mon refus de l'utiliser, j'ai décidé de rédiger un article expliquant les problème du logiciel.

Pour ceux qui ne connaissent pas, Dropbox est un service d'hébergement de fichiers en ligne permettant de partager des fichiers, d'en gérer différentes versions, de les synchroniser avec des dossiers locaux... Dans la présentation et les fonctionnalités, il y a quelques points que je ne tolère pas par contre :

Dropbox replaces:

Using USB drives to move files between computers

Dropbox passe par ma connexion internet qui ne fonctionne pas toujours et son pauvre méga d'upload (128Ko/s). Mes clef/disques USB, mon réseau gigabit et mon wifi sont ~~vingt fois plus rapide et~~ autonomes. EDIT : argument invalide, Dropbox sais utiliser les transferts via LAN.

Complicated backup software and hardware

Dropbox ne fait PAS de backup. Le backup, c'est ÇA : http://www.taobackup.com.

Security & Privacy : Dropbox uses military grade encryption methods to both transfer and store your data.

Security & Privacy n'est pas possible avec un logiciel propriétaire.

On a donc les avantages suivants :

On peux toujours avoir une copie des données, donc c'est tolérable.
C'est simple à utiliser (comme un Ipad/Facebook/...)
C'est gratuit si on se contente de 2Go (extensible à 8Go par parrainage sur mails jetable)

Et les inconvénients suivants :

Espace limité (Impossible de dépasser les 100Go)
Peu adaptable (impossible de relier à d'autres outils pour avoir une gestion unifiée de comptes et de systèmes contrairement à FTP/SFTP...)
Pas de sécurités des données (impossible de vérifier dans le code source que les données ne sont pas exploitable par la société Dropbox, contrairement à Firefox sync)
Vous n'avez pas de contrôle sur le serveur, l'hébergeur peut faire ce que bon lui semble, en bien ou en mal. N’espérez pas héberger les câbles de WikiLeaks dessus ou une copie de FairUse4WM.

Conclusion :
Tant qu'il y aura de la concurrence, vous pourrez utiliser drop-box si vous voulez.
Personnellement, ça ne m’intéresse pas, je préfère FTP/SFTP qui est libre et extensible à tout, après, on a des CVS plus évolués aussi (plus complexes aussi, mais on n'a pas rien sans rien).

Passer de Danbooru à Shimmie

Keul — Thu, 24 Mar 2011 12:55:00 +0100

Après mon script de conversion de forumactif vers SMF, un autre petit outil de conversion pour passer de Danbooru à Shimmie

Télécharger le script

MAJ : cette version recalcule les occurences de tags: Si votre migration est déjà faite, executez juste cette requête :

UPDATE tags
        SET
        `count`=
           (SELECT COUNT(image_id) 
           FROM image_tags
           WHERE image_tags.tag_id=tags.id  
           GROUP BY tags.id)

Attention, shimmie utilise l'ID 1 lorsque l'utilisateur est anonyme, ce qui correspond au premier utilisateur de danbooru.

INSERT INTO `config` (`name`,`value`) VALUES ("anon_id",-1) ON DUPLICATE KEY UPDATE value=-1

Remplissez les variables de configuration et roulez jeunesse.

Détails techniques :

Importe les utilisateurs (pas les mots de passe par contre)
Importe les tags et aliases
régénéré les miniatures
copie les images dans les bons répertoires
importe les commentaires des images

J'ai converti une base de 8000 images environ en un quart d'heure. Il est possible de conserver les mots de passe avec quelques modifications pour que Shimmie puisses les utiliser.

J'ai aussi un patch de liaison avec SMF qui permet d'utiliser les login/pass de SMF et de gérer les commentaires dans le forum.

Hashage et signatures

Keul — Sat, 12 Feb 2011 13:34:00 +0100

Les données corrompues

En informatique, on est souvent amené à traiter les données. compression avec pertes, compression sans perte, chiffrement (en cryptogtraphie)

Lors de la transmission d'une grande quantité de données, on peut être amené à vouloir vérifier qu'il n'y a pas eu de dommages lors du transfert ou du stockage sur un support physique.

L'une des méthode les plus basique est l'ajout d'un bit de parité, mis à 1 lorsque le nombre de bits présent dans les données à transmettre est impair. Très facile à implémenter, il peut s'avérer insuffisant si trop de données sont corrompues.
On utilisera alors des algorithmes plus complexes, tel que le crc qui peux détecter de manière plus fiable si des données sont corrompues. On le voit généralement lors de l'utilisation de CD-ROM rayés ou endommagés.
Il est même possible de pouvoir corriger des erreurs éventuelles avec les codes correcteurs dans le cas où une faible partie des données seraient corrompues. On les trouve non seulement sur les CD-ROM mais aussi sur usenet (fichiers Parchive) ou dans les systèmes RAID qui incluent cette redondance capable de récupérer les données corrompues.

=> Je vous conseille vivement l'utilisation de RapidCRC pour vérifier par exemple après gravure/stockage que les fichiers n'ont pas été corrompus en ayant préalablement mis le CRC dans le nom du fichier.

Les données corrompues intentionnellement

Un autre aspect est le problème des dommages intentionnel qui peuvent apparaitre sur les données. Une personne mal intentionnée serait alors capable de modifier les données sans que le système qui détecte la corruption ne s'en rende comptes.

On utilisera alors des algorithmes plus évolués qui rendront très difficile la modification intentionnelle, au cout de calculs supplémentaires et d'une augmentation de la taille de la "signature".
Il existe plusieurs algorithmes plus ou moins fiables, les plus connus étant md5 et sha128.

=> Si vous distribuez des fichiers sur votre site web par exemple, vous pouvez donner les signatures md5 correspondantes. (on pourra voir par exemple le fichier md5sums de bigbuckbunny.org qui avec le logiciel rapidCRC permet de vérifier que les autres fichiers ne sont pas corrompus, intentionnellement ou pas.)

La protection des mots de passe

Ces algorithmes ont permis d'améliorer la sécurité dans le stockage des mots de passe : En effet, la "signature" permet de vérifier que les données transmises n'ont pas été modifiées, mais ne permettent pas de les connaitre. On pourra donc utiliser la signature du mot de passe d'un utilisateur, et la comparer à la signature du mot de passe fourni lors de son authentification pour vérifier que les mots de passe sont identique, sans pouvoir les connaitre.

On pourrait alors penser à utiliser la "signature" md5 d'un mot de passe, mais un gros inconvénient apparait : l'attaque par table arc-en-ciel qui consiste à chercher dans une liste pré-calculée et optimisée d'une grande taille (prévu pour tenir sur un DVD généralement) de signatures si un mot de passe corresponds. Une parade est alors d'inclure une donnée supplémentaire qui sera mixée avec et stockée en supplément : un sel.

Cette contre-mesure empêche donc l'attaque par table rainbow, mais il reste un problème : md5 et sha128 sont prévu pour pouvoir facilement vérifier la signature de fichiers, qui peuvent atteindre plusieurs centaines de Mo. Mais ils peuvent, à l'aide des processeurs actuels et les processeurs de carte graphiques adaptés calculer la signature de plein de mots de passe potentiels par force brute en l'espace de quelques jours et avec les technologies de type CUDA, c'est encore plus rapide!

On passe alors à de nouveaux algorithmes dont le but est de demander plus de calculs afin de ralentir l'attaque par force brute, au point qu'une attaque par force brute ne prendrais pas quelques jours mais quelques centaines de siècles, et qui se paient même le luxe de pouvoir définir manuellement le niveau de complexités pour s'adapter à la montée en puissance incessante de nos ordinateurs. Grosso modo, on aurait par exemple, md5 qui calcule la signature d'un film en quelques dizaines de secondes, et des mots de passe en quelques microsecondes, et crypt qui calcul un mot de passe en dixièmes de secondes (vous pouvez donc vérifier le mot de passe d'un utilisateur qui s’authentifie en quelques dixièmes de secondes, où une attaque par force brute serait alors inefficace).

=> Pour protéger les mots de passe de vos utilisateurs, utilisez l'une des deux fonctions prévues pour: password-hash ou crypt

Edit:

Suite à une discussion avec Axel et aux problèmes de compatibilité entre différents systèmes, je vous rappelle que la fonction crypt génère des hash contenant un identifiant d’algorithme utilisé et qu'il est donc possible avec un autre logiciel de pouvoir utiliser la même authentification alors que les mots de passe hashés avec un algorithme perso ne le permettent pas.

Enfin, vu le succès et les défauts d'OpenID ainsi que les autres méthodes d'authentification, il reste encore beaucoup de travail dans la gestion de l'authentification des utilisateurs.

IPv6

Keul — Wed, 02 Feb 2011 20:37:00 +0100

L'IANA viens d'assigner ses deux dernier bloc d'adresses ipv4 et les différents RIR fonctionnent désormais sur leurs réserves.

"Un bloc d'adresse IPv4 entre dans un bar : 'Un CIDR bien fort s'il vous plait, je suis épuisé.'" (source)

La seule solution est donc un passage au Minitel 2.0.

Enfin, pour ceux qui veulent retourner au minitel. Pour les autres, l'alternative consiste à passer à IPv6, qui pour résumer :

Dispose de beaucoup plus d'adresses.
Gère le QOS (les discussions et jeux auront une priorités supérieur au streaming qui aura une priorité supérieur au téléchargements, évitant ainsi les coupures et saccades.
Gère nativement l’encryption afin d'éviter d'avoir recours à des protocoles dédiés comme ssh, sftp et https qui dans certains cas peuvent êtres complexes.
S'auto-configure.
Et quelques autres détails intéressants...

Qu'est-ce qui nous attends alors?

Testez votre connectivitée IPv4 et IPv6 ici : http://ipv6-test.com/

Si votre FAI ne peut vous fournir une connectivité ipv6, ou si votre switch/routeur/point d'accès wifi, ainsi que votre OS et vos logiciels ne supportent pas ipv6, vous ne verrez pas de problème dans l'immédiat.

Par contre les problèmes vont apparaître au fil du temps :

Impossible d'utiliser Skype ou tout logiciel de VoIP avec certaines personnes.
Impossible de jouer à certains jeux avec certaines personnes.
Impossible de se connecter à son poste en contrôle distant (VNC, ssh, administration de NAS)
Impossibilité de se connecter à certains serveurs/sites web

Et ces problèmes vont perdurer en s'aggravant jusqu'à ce que l'on supporte tous IPv6 et on en a pour quelques années.
En fait, ipv4 et ipv6 sont incompatibles.

Si vous supportez les deux, vous n'aurez aucun problème.
Si vous n'êtes qu'en ipv4, vous ne pourrez pas parler à quelqu'un en ipv6 directement (a moins de passer par un serveur disposant d'ipv4 ET ipv6)
Si vous n'êtes qu'en ipv6, vous allez regretter de voir aussi peu de serveurs compatibles ipv6 et de ne pouvoir vous connecter directement à certaines personnes.

Certains FAI iront sûrement utiliser des méthodes pourries comme du NAT à leurs niveau, vous faisant partager votre adresse IP avec d'autres client. Personnellement, je n'y crois pas trop vu les systèmes de sécurités basés sur l'adresse IP et aux délires supplémentaires que ça provoquerait à la Hadopi.

En tout cas, si ça ne fonctionne pas, n'hésitez pas à vous plaindre à votre FAI ou à changer.
Lui ne fera rien tant que vous ne lui demanderez pas car ça lui coute de l'argent et qu'il s'en fout de la concurrence chez laquelle le client n'ira pas (à 15KM d'un DSLAM, le RTC et l'ADSL à 200ms de ping n'est pas un concurrent pour Numéricable).
Les clients ne sont pas assez informés, l'état étant plus préoccupés par le fait que certains riches pourraient perdre de l'argent à cause du piratage, de la concurrence déloyale et du manque d'action face à des entreprises qui bougent leurs cul (certes, leurs systèmes ont des DRM et sont imparfaits, mais il proposent autre chose qu'une technologie vieille de 30ans).

Et pourtant, le problème est grave:
- La neutralité du net est fragile, surtout lorsqu'elle est géré par des fournisseurs à but lucratif et sans scrupules et non plus par les militaires, universités ou associations.
- Des opérateurs téléphoniques limitent Internet et ne vous donne accès qu'au web (http et https parmi des milliers de services possibles : IRC, MSN, jeux, email ...), essayant même de vous faire payer pour les e-mails.
- Et proposent des forfaits minitel débiles donnant accès à 3 sites internet parmi les milliard de milliards disponibles sur internet.
- Ils pourraient même faire des offres mobiles IPv6 uniquement avec IPv4 en option pour avoir plus d'Internet.

Bientôt, on pourra rajouter : Adresse IPv4 pour vous connecter à l'Old Internet.

Ne tombez pas dans leur piège, demandez un accès au réseau des réseaux, pas un accès au minitel.

Plus d'informations ici : https://www.apnic.net/community/ipv4-exhaustion

Les standards

Keul — Mon, 31 Jan 2011 13:05:00 +0100

mp3, Internet, web, DVD, USB, Divx ou document word font parti de standards tellement répandu que même les personnes qui touchent peu à la technologie connaissent. On en a beaucoup parlé et ils sont énormément utilisés.

Ils sont devenus des standards massivement adoptés suite à des avantages importants :

La simplicité (à moins de le rendre obligatoire comme l'administratif français)
Le faible coût (ou étalé comme dans un abonnement mobile ou MMORPG)
La compatibilité et fonctionnalité
Les ajouts/innovations
La concurrence

Les standards qui tentent de s'imposer :

Ogg Vorbis : tente de luter vaillamment face au mp3 super connu et implanté partout et à l'aac (DRMisé)
OpenDocument : La prise de conscience aide les gens à se tourner vers l'open document face aux documents de la suite office de Microsoft
WebP : le nouveau format d'image développé par Google, en lute face au JPEG
WebM : Dans une bataille qui fait rage face à h264 et Theora

Et qu'en est-il de ces formats?

Bien qu'ogg Vorbis commence à être de plus en plus utilisé dans les jeux, les lecteurs mp3 freinent son déploiement et les constructeurs s'amusent à implémenter de l'aac qui s'oriente vers la haute définition, mais se voit plombé de brevets. A croire que les entreprises préfèrent perdre de l'argent dans les brevets plutôt que d'en dépenser dans la recherche. Au moins, Vorbis et FLAC existent et permettent aux indépendants et débutants de partir sur de bonnes bases.

Le format OpenDocument commence à prendre de l'ampleur : Avec l'arrivé de LibreOffice (fork d'OpenOffice), son utilisation par l'administration française, son format exploitable par les webmaster et disponible dans GoogleDocuments, l'avenir des standards est positif de ce coté. Pourvu que ça continues dans ce sens.

Google s'amuse lui aussi avec les formats, et à donc sorti "WebP" pour une meilleur qualité que le JPEG.
Manque de bol, même si la qualités est meilleur, les appareils photos numériques, les télévisions et énormément d'appareils gèrent nativement le JPEG. Il lui faudra énormément de temps pour s'imposer mais Google pourrait y arriver avec un grand coup de marketing (faire comprendre aux gens l’intérêt de passer à ce format) pour que es gens puissent facilement l'utiliser tous les jours.
Personnellement, et à part son nom à la con "WebP"??? Ils auraient pu l'appeler PicturePro ou PictureHQ, il leur faudra énormément de temps pour arriver à un succès, mais ce n'est pas impossible vu le manque de concurrents.

Pour WebM, et à la vue des récents évènements, il est indéniable qu'il sortira grand gagnant :
h264 est plombé par les brevets, ne sera plus disponible sous Google chrome, n'est pas compatible avec la GPL et ne peux donc être integré dans Firefox
WebM est lisible en natif par Firefox, Chrome et Opera, et sera lisible sous IE et Safari grâce à des plugins, de plus, des puces de décodages matérielles sont en cours d'élaboration/déploiement. Google aura été exemplaire sur ce coup.

Et je leurs tire mon chapeau quand je vois les services qu'ils proposent : leurs moteur de recherche, Gmail, GoogleDocuments, Google maps et passe pour un ange face à Facebook et Apple.
Certes, on peut les accuser d'ogre absorbant toutes nos informations en se nourrissant de publicité mais il s'agit d'une entreprise qui fonctionne dans une société de capitalisme et qui ne peut pas être exempte de défauts.
Je me demande par contre s'il ne serait pas intéressant d'avoir un site de présentation du libre connu et complet montrant les projets intéressants, avec non seulement Wikipédia ou Firefox, mais aussi des projets moins connus tels qu'OpenStreetMap, DMoz, DocumentFoundation...

En tout cas, n'oubliez pas de rester libre

Astuces PHP

Keul — Fri, 31 Dec 2010 21:57:00 +0100

Quelques astuces PHP pour :

Traitemer des dates
Obtenir le résumé d'un texte UTF-8 (sans couper les mots)
Envoyer un mail en texte HTML en UTF-8
Connexions à une base de donnée

Le tout dans un unique fichier

Traitemer des dates :

//conversion unix en date
date('(G)H: i:     s        (j)d/(n)m/(y)Y ',$timestamp);
//    heure:minute:seconde  jour/mois/année   ()=sans zero initiaux
date('N          W             U    c',$timestamp);
//   joursemaine semaineannée  unix ISO-8601
//conversion date en unix
$timestamp=mktime($heure,$minutes,$secondes,$mois,$jour,$annee))
//gestion de dates dans mySQL
$date_MYSQL=date('Y-m-d G:i:s',$timestamp);
$timestamp=strtotime($date_MYSQL);
//travail sur les dates
$timestamp=strtotime("+6 day",$timestamp);

Obtenir le résumé d'un texte UTF-8 (sans couper les mots) :

function utf8summary($str,$l) {
   if (mb_strlen($str) > $l && $l) {
      $s = preg_split('/([\s]+)/u',$str,-1,PREG_SPLIT_DELIM_CAPTURE);
      $res = '';
      $L = 0;
      if (mb_strlen($s[0]) >= $l) {
         return mb_substr($s[0],0,$l);
      }
      foreach ($s as $v) {
      $L = $L+strlen($v);
         if ($L > $l) {
            break;
         } else {
         $res .= $v;
         }
      }
      return trim($res).'[...]';
   }
   return $str;
}

Envoyer un mail en texte9HTML en UTF-8 :

function mail_html_utf8($dest,$sujet,$contenu,$cc='',$bcc='') {
   $eol=strtoupper(substr(PHP_OS,0,3) == 'WIN') ? "\r\n" : "\n";
   //message en HTML
   $message = "--main boundary".$eol;
   $message .= "Content-Type: text/html; charset=UTF-8".$eol;
   $message .= "Content-Transfer-Encoding: 8bit".$eol.$eol;
   $message .= $contenu.$eol.$eol;
   //message en texte
   $message  = "--main boundary".$eol;
   $message .= "Content-Type: text/plain; charset=UTF-8".$eol;
   $message .= "Content-Transfer-Encoding: 8bit".$eol.$eol;
   $message .= strip_tags($contenu).$eol.$eol;
   //fin messages alternatifs
   $message .= "--main boundary--".$eol;
   //gestion des cc/bcc
   $cc=($cc!='')?'Cc: '.$cc.$eol:'';
   $bcc=($bcc!='')?'Bcc: '.$bcc.$eol:'';
   //envoi du mail (fonction mail)
   $mailsend = mail($dest,'=?UTF-8?B?'.base64_encode($sujet).'?=',$message,
   'From:'.$config['email_sender'].$eol.$cc.$bcc.
   'Reply-To: '.$config['email_sender'].$eol.
   'X-Mailer: PHP'.phpversion().$eol.
   'MIME-Version: 1.0'.$eol.
   'Content-type: multipart/alternative;  boundary="main boundary"');
   return $mailsend;
}

Connexion à une base de donnée :

//proteger texte
function db_esc($txt) {
   global $db;
   return mysql_real_escape_string($txt,$db);
}
//connection à la base
function db_connect($file, $line, $host, $port, $user, $password, $dbname) {
   if (!function_exists('mysql_connect'))
   die('Le module PHP mySQL n\'est pas installé.');
   if (($this->db = @mysql_connect($host.':'.$port,$user,$password,true)) === false)
   die(sprintf('Impossible d\'établir une connection avec la base de données à l\'adresse %s:%s.',$host,$port));
   //base de donée en utf-8
   mysql_query("SET NAMES 'utf8'",$db);
   mysql_query("SET CHARACTER SET utf8",$db);
   if(!@mysql_select_db($dbname, $db))
   die(sprintf('Impossible de sélectionner la base de données %s à l\'adresse %s:%s.',$name,$host,$port));
}
//requête
function db_query($file, $line, $query) {
   $GLOBALS['lastrequest']=$query;
   $ressource=@mysql_query($query,$this->db) or die(sprintf('Erreur avec une requête [%s (ligne %s), requête «%s»: %s]',$file,$line,$query,mysql_error($db)));
   $retour=array();
   while($data = mysql_fetch_assoc($ressource))
   $retour[]=$data;
   return $retour;
}
//Exemple
$sql = "SELECT .....";
db_query($sql,__FILE__,__LINE__);