Windows Vista

Windows Vista est un (le ?) fiasco incroyable de cette année, sans entrer dans les détails techniques, je dirais simplement que je n’ai personne dans mes différents « paysages » : famille, collègues ou clients qui utilisent Vista (certains l’on testé sans le garder).

• Pour le paysage famille, c’est lié au fait qu’il n’y a pas eu de renouvellement de machines (pourquoi upgrader vers Vista sur sa machine courante ?) ou bien qu’ils sont sous Linux (ma filleule de 10 ans en l’occurrence).
• Pour le paysage collègues, c’est lié au fait que les nouvelles machines acquises sont sous Windows XP (licence Downgrade XP), et que cela ne dérange personne (plutôt le contraire).
• Pour le paysage clients, c’est lié également à la livraison de machines avec Windows XP, et aussi à la politique globale des DSI de conserver Windows XP.

J’ai même parfois suscité de l’intéressement de la part de collègues ou de clients avec mon ordinateur utilisant non pas Windows mais Linux / Ubuntu. Intéressement allant même jusqu’à l’installation pour certains, en espérant qu’ils continuent…

Virtualisation

La virtualisation est devenue pour moi (personnellement) très présente en 2008, tant sur mon ordinateur de travail quotidien (avec VirtualBox) pour :

• avoir Windows XP (Home Edition) pour ouvrir certains documents Microsoft et utiliser Adobe Lightroom pour mes photos
• avoir différents environnements de tests (bien souvent des Linux (Centos, Ubuntu ou RedHat))
• pour faire des démonstrations en donnant une formation (WebSphere Administration)

Que sur mes machines/serveurs ‘physiques’ de tests pour :

• tester Liferay (VMWare / Centos)
• mettre en place un cluster Alfresco sur Jboss (VMWare / Centos)
• avoir une machine DVL (VirtualBox / DawnLinuxVulnerable) pour effectuer des tests de sécurité
• tester la mise en cluster de CAS (VMWare / Central Authentification Service)
• etc.

Je n’ai pas fini d’utiliser la virtualisation. Tant mieux, d’autant que les clients commencent à y réfléchir très sérieusement, non pas pour faire des petits environnements de tests comme moi, mais plutôt pour avoir des desktops virtualisés et/ou des environnements serveurs virtualisés. Vmware ESX et le futur oVirt de RedHat vont certainement faire partir des choses à connaître en 2009.

Les performances applicatives, les tests de charges

Dans mon paysage client, tous ont des objectifs de performances pour les nouvelles applications qu’ils lancent. Signe d’une nouvelle maturité ? Oui et non. Certains ont vécus des soucis sur des applicatifs lancés qui se sont révélés peu performants et qui ont nécessité des diagnostics, des corrections et des optimisations à faire dans l’urgence (et souvent sous pression), d’autres n’ont pas envie tout simplement de vivre cela, et incluent le test de performance (de charges) en bout de chaîne avant la mise en production.
Là pour 2009, il va falloir éviter de mettre des « couches supplémentaires » pour palier aux problèmes, mais plutôt inclure la notion de performance et optimisation directement auprès du développeur. Ceci permettant d’avoir des applications avec de la performance en « natif ». Il y a bien des formations pour le développement orientées sécurité, pourquoi pas des formations orientées optimisation…

La sécurité applicative

Pour parler un peu de la sécurité applicative en 2008, je dirais : « encore inconnue » dans la réalité, bien qu’on en parle et que l’on aimerait bien l’avoir dans ses applicatifs, mais pour l’instant on n’a pas le temps de s’en occuper… (je dirais) De toutes les façons, les cabinets d’audit de sécurité vont nous dire quelles sont les failles que nous avons…

Les applications Web
On parle du Web 2.0 (et même d’Entreprise 2.0), des nouvelles façons d’utiliser l’outil Internet. Aujourd’hui (et ici au Maroc), les applications Web sont de « véritables applications ». C’est-à-dire qu’elles fournissent un lot de fonctionnalités important (on s’en doute), de la convivialité (ajax/flex merci), et tout, et tout. Cependant on notera la tendance des clients à demander des interfaces (écrans) qui remplissent complètement la largeur de l’écran de la machine. En gros avoir des applications qui profitent des espaces blancs habituels à gauche et à droite sur les cotés du navigateur (regarder sur ce blog ). Je pense que cela provient 1/ du fait que les écrans de machines (notamment les portables) sont devenus très larges, et 2/ des interfaces de type Gmail/Google qui sont extensibles.

On dit souvent que le navigateur est devenu le « nouveau » système d’exploitation, c’est à dire que finalement l’utilisateur ne voit plus que la dernière couche de ses applications. La tendance des « applications à écrans larges » est juste dans la continuité des choses.

OpenOffice(.org)

L’intérêt d’OpenOffice, sans forcément donner lieu à des passages vers OpenOffice, est grandissant. Mes interlocuteurs connaissent cette suite bureautique, et ont envie de savoir si c’est « compatible » avec la suite Microsoft Office, d’autant que parfois le passage à Office 2007 n’a pas toujours été bien vécu (pour mes interlocuteurs professionnels). Quant à mon entourage familial, je pratique la conversion à OpenOffice (sous Windows ou Linux) avec une petite formation à l’appui plutôt que leur installer une suite MS Office (je rappelle aussi que c’est payant : en France, ~99 euros pour Office 2007 en pack Etudiant / Famille !). Ensuite on ne me demande plus d’avoir MS Office…

On ajoutera que Microsoft dans le SP2 d’Office 2007 va permettre de lire des fichiers OpenOffice, ce qui viendra ajouter à la compatibilité bi-directionnelle des formats bureautiques.

SPAM

Le SPAM, bien que toujours (et même extrêmement) présents sur les ‘câbles’ Internet, n’est plus l’ennui récurent qu’il était. En effet, les filtres anti-spams tant du côté des serveurs de messageries que du coté des postes clients (outlook, thunderbird) sont devenus performants, à tels points que je n’ai que très épisodiquement un mail de spam sur mes différentes boîtes aux lettres. Merci.

Ubuntu

Sans dire qu’il s’agit de la meilleure distribution pour poste de travail, son petit coté « si il existe des drivers non-opensource pour un périphérique, alors on le distribue aussi » est bien pratique par rapport à d’autres distributions. Toujours est-il que je suis très satisfait d’avoir un poste de travail Linux / Ubuntu qui fonctionne bien, rapide, stable et qui sait profiter de mes 4 Go de mémoire (le coté 64 bits).

La future release de Ubuntu (9.04 Jaunty Jackalope, prévue le 23 avril 2009) s’annonce exceptionnelle avec OpenOffice 3, Xorg 1.6, le dernier noyau Linux 2.6.28, Firefox 3.1, Thunderbird 3, etc… (on en reparlera…)

Je finis ce bilan, par quelques notes :

1. Le blog n’a pas été toujours facile à maintenir à jour cette année, bon gré, mal gré, des événements et actualités professionnelles et personnelles. Mais cela reste très gratifiant à tous les points de vue.
2. JMeter fait son petit bout de chemin, les billets relatifs à ce sujet ont leurs visites qui augmentent de mois en mois. Peut-être est-ce dû au fait qu’il y a peu de documentation francophone sur JMeter (ce blog est assez bien placé sur google.fr avec le mot-clé Jmeter du coup). Le groupe « JMeter en français » n’est pas un groupe très actif, mais se réveille de temps en temps pour soulever des points souvent très intéressants.

Pour conclure, une bonne année 2008 d’un point de vue informatique pour moi. Les choses bougent, Linux est vraiment bien en tant que desktop.

J’en profite pour vous souhaiter une excellente année 1430 (calendrier musulman, car aujourd’hui c’est le 1er Moharem) et une excellente année 2009 (calendrier grégorien/international) !

./

En effet, vous allez développer une application hyper véloce, la faire fonctionner sur des serveurs hyper-rapides, mais votre utilisateur au bout de la ligne vous dit que c’est lent…

Vous (re)faites vos tir de charges, vous mesurez les performances, c’est excellent… sur votre réseau local. Vous placez un injecteur chez votre utilisateur final, et là c’est la surprise… c’est lent.

Le diagnostic est rapide : trop d’octets à transférer pour afficher un écran, avec une bande passante trop petite donc lenteurs. Et impossible d’augmenter la bande passante. Que faire ?

Bien entendu, il est possible (et il faut) optimiser ses pages HTML / XML, le taux de compression des images, etc. de son application. Tout ceci dans l’objectif de réduire le poids général en octets d’un écran.

Il y a aussi une astuce tout simple. La compression des données transitant entre le serveur Web et l’utilisateur final à travers la compression HTTP.

Cette compression basée sur l’algorithme des fichiers ZIP, est effectuée au niveau du serveur Web qui compresse à la volée les données à transmettre. Ensuite la décompression est assurée du coté des navigateurs Web.

Pour que cela marche, il faut bien entendu un navigateur récent (au moins IE 4.0, Firefox 1.0, etc) mais c’est le cas de tout le monde. Pour le serveur Web, il lui aussi doit être relativement récent (au moins IIS 5.0, Apache 2.x, etc). Il y a ensuite une configuration à faire à son niveau pour activer la compression.

Pour Apache, par exemple, c’est le module mod_deflate (et aussi mod_gzip) qui assure cette fonction. On peut ainsi ajouter dans son virtual host, les lignes suivantes (tirées que la documentation Apache) pour compresser tous les flux sauf les images.

# Insert filter

SetOutputFilter DEFLATE

# Netscape 4.x has some problems...

BrowserMatch ^Mozilla/4 gzip-only-text/html

# Netscape 4.06-4.08 have some more problems

BrowserMatch ^Mozilla/4\.0[678] no-gzip

# MSIE masquerades as Netscape, but it is fine

BrowserMatch \bMSIE !no-gzip !gzip-only-text/html

# Don't compress images

SetEnvIfNoCase Request_URI \

\.(?:gif|jpe?g|png)$ no-gzip dont-vary

Après le redémarrage du serveur Apache, le résultat donne, par exemple, pour la page d’accueil de ce blog (juste le contenu HTML) :

• Avant, sans compression : 50 198 octets transférés
• Après, avec compression : 11 903 octets transférés

Soit une diminution de 38 ko (-76%) à transférer sur le réseau ! C’est pas mal comme optimisation ? Et en plus c’est transparent pour tout le monde.

Ainsi, avec l’activation de la compression, les bons temps de réponses de son application ne seront pas masqués par les temps de transferts réseaux importants, et l’utilisateur au bout trouvera l’application rapide.

[Quelques pointeurs]

• Apache – module mod_deflate
• Wiki : la compression HTTP
• La compression HTTP par son inventeur

./

]]> http://blog.milamberspace.net/index.php/2008/07/06/compression-http-ou-comment-reduire-le-temps-reseau-dans-les-performances-dune-application-80.html/feed 2 http://blog.milamberspace.net/index.php/2008/03/18/csrf-ou-comment-voir-des-images-pour-adultes-tout-en-aidant-les-pirates-spammers-68.html http://blog.milamberspace.net/index.php/2008/03/18/csrf-ou-comment-voir-des-images-pour-adultes-tout-en-aidant-les-pirates-spammers-68.html#comments Tue, 18 Mar 2008 00:11:29 +0000 Milamber http://blog.milamberspace.net/index.php/2008/03/18/csrf-ou-comment-voir-des-images-pour-adultes-tout-en-aidant-les-pirates-spammers-68.html C’est quoi le CSRF (cross site request forgeries) ? c’est une technique ‘assez’ nouvelle pour contourner les protections de type CAPTCHA afin de (par exemple) créer des comptes d’email protéger par le système captcha. Ce dernier est une image qui fait apparaître des caractères / chiffres qui sont compréhensibles par un « humain » afin de s’assurer que la personne est bien un « humain » et non une moulinette informatique.

Le principe du CSRF est simple. On attire un internaute avec des images « pour adulte » et pour voir la suivante, on doit saisir un code de caractères de type CAPTCHA. Cette image de caractères a, en fait, été détournée, et provient d’un site « honnête ». L’internaute saisie le code (attiré par l’envie d’une nouvelle image), et permet ainsi au pirate / spammers d’avoir un code captcha validé afin par exemple de créer un compte email sur un webmail afin d’envoyer des emails SPAM.

Comment peut-on mettre cela en place ?
En utilisant l’injection de IFRAME (un peu comme le XSS (cross site scripting)) tout simplement. En effet, beaucoup de sites internet ne vérifient pas la possibilité d’exécuter du code HTML / XHTML dans les paramètres de formulaires.

Mieux que des discours, quelques captures d’écrans pour démonstration :

Commençons par une recherche sur Google sur une adresse IP qui sert de plateforme de piratage. Ici, le mot-clé est l’adresse IP, mais il suffit de chercher sur d’autres mots-clés « honnêtes » pour tomber sur ce type de lien.

Un clic sur l’un de ces liens, renvoi vers un site « honnête » :

Mais attention, vous allez être redirigé automatiquement vers un site avec des images pour adulte. On remarquera l’ajout de la chaîne « <IFRAME src=//ADRESSE_IP> aux mots-clés du champ recherche. C’est inclut depuis la recherche de Google…
On arrive sur cette page qui présente une grande photo pour adulte, ainsi que des thumbnails pour « montrer la marchandise ».

Il ne reste plus qu’a cliquer sur le lien Suivant pour voir la prochaine.
C’est là que l’internaute va devoir travailler pour le pirate. Et oui, une image Captcha apparaît et l’internaute doit saisir le code pour voir la prochaine image.

Le vice est poussé assez loin, puisque si le code est erroné, un message d’erreur apparaît et l’internaute ne verra pas l’image suivante…

Ainsi, l’internaute quand il saisit correctement les caractères du code Captcha, aide le pirate à créer des comptes de messagerie pour faire du spam (par exemple)…
C’est du donnant-donnant (ou de l’échange de services)

Il y a quelques petites années, seul Internet Explorer régnait en maitre sur la navigation Web, après que Microsoft ait effectué son virage Internet et ‘ecrasé’ Netscape Navigateur en livrant Internet Explorer avec Windows. Mais la donne a changé. Firefox a ouvert la voie avec sa version 1.0. Il a montré qu’un navigateur doit permettre bien sûr de surfer sur Internet, mais en suivant l’évolution de son utilisation par les internautes.

En effet, Internet des années 2000 n’est plus le même que l’Internet des années 2005, le Web 2.0 en est le résultat. Et l’évolution ne s’arrêtera pas (peut-être même jamais).

Le panorama des navigateurs sur environnement Windows donnait, il y a quelques temps : Internet Explorer, Firefox et Opéra. Maintenant il s’est ajouté Netscape Navigator 9, et à coup d’annonce marketing, la version béta de Safari, le navigateur venant du monde d’Apple et revendiquant 1 million de téléchargement (pour la version Windows).

Le développeur Web va avoir du mal à s’assurer que ses pages Web s’affichent correctement dans ces navigateurs ? Normalement, pas trop de soucis à se faire, les normes du W3C sont là, et le navigateur a franchi une étape de son évolution avec le Web 2.0.

Le terme de « navigateur 2.0 » pourrait donc s’appliquer aux navigateurs d’aujourd’hui, qui servent d’environnement d’exécution d’application à part entière. Le navigateur est ainsi devenu une nouvelle « couche » au dessus du système d’exploitation. Cette couche simplifie l’utilisation de l’outil informatique par ces nouveaux utilisateurs qui n’ont besoin que de consulter leurs emails, voir/éditer quelques documents bureautiques et consommer de l’information sur le Web.

Pour revenir sur un langage plus technique, l’AJAX, les technologiques de clients riches (Flex, etc.) permettent de faire des applications conviviales, autonomes mais surtout suffisantes en terme de fonctionnalités pour les utilisateurs aujourd’hui. De plus la tendance va vers des applications pouvant fonctionner en mode connecté et déconnecté.

Ces applications Web 2.0 viennent ainsi « masquer » et simplifier l’ordinateur pour les nouveaux utilisateurs de l’Internet. Ces derniers n’ayant qu’une connaissance très partielle de l’ordinateur. En effet seul « Internet » a été vulgarisé depuis les années 2000, et non l’ordinateur, le système d’exploitation, etc.

Google l’a bien compris, devenant le premier fournisseur au monde d’applications pour navigateurs. Avec un compte Google, on peut par exemple, consulter ses emails, communiquer par messagerie instantanée, éditer ses documents Word ou Excel, voir (et bientôt éditer) ses documents Powerpoint, gérer ses photos prises avec son appareil numériques, gérer ses propres flux d’actualités, etc., etc., etc.

Le tout sans « réellement » devoir maitriser le système d’exploitation dessous. Tout devient possible avec son navigateur et les applications « en ligne ». Les onglets du navigateur deviennent ainsi la « barre des tâches » des applications lancées. On pourrait même masquer la vraie barre des tâches de Windows ou Linux.

On peut même supposer que l’engouement vers les postes Linux provient qu’il n’est plus nécessaire d’utiliser un système d’exploitation « payant » alors que l’open source fournit la même chose : un environnement permettant d’avoir un navigateur Web : dernière couche de l’ordinateur.

Et donc, Apple ou AOL dans une moindre mesure, ont compris que le ‘rôle’ du navigateur est une des clés de l’avenir de l’informatique online.

On peut le voir aussi à travers les types d’intégration applications online / navigateur (par exemple les barres d’outils spécifiques, l’intégration des moteurs de recherches, etc.) pour les offres d’applications en ligne (qui sont l’un des principes des sociétés Web 2.0).

Pour conclure et sans s’étendre davantage, le navigateur est devenu le moyen d’accès principal des internautes pour leurs utilisations de l’informatique. Il est bien normal que les éditeurs en soient conscients et veillent à avoir une part de marché… tant que le Web 2.0 ne sera pas remplacé par une nouvelle version.

[Quelques pointeurs]

• Apple livre une version bêta instable de son navigateur Safari pour Windows
• Gmail intègre un lecteur de fichiers Powerpoint
• Safari pour Windows, une question d’argent ?
• La suite bureautique Thinkfree disponible hors ligne
• La Fondation Mozilla réfute la vision duopolistique d’Apple