Prados Philippe

Prados Philippe

Data scientiste, consultant senior, architecte - OCTO Technology

65 article(s)
Description

Autodidacte depuis l'âge de 12 ans, Philippe Prados a touché à pratiquement toutes les technologies depuis plus de 40 ans.

Il publie des articles depuis 1999 dans différentes revues, particulièrement GNU/Linux Magazine sur tous les sujets techniques qu'il rencontre, afin de partager ses expériences et ses recommandations.

Signature
Data scientiste, consultant senior, architecte - OCTO Technology
Photo
prados-philippe
Articles de l'auteur

XPATH pour SAX

Magazine
Marque
GNU/Linux Magazine
Numéro
128
Mois de parution
juin 2010
Résumé
XML est un langage de description de document textuel formidable par sa simplicité, mais pas toujours facile à manipuler. Une vue superficielle ne fait apparaître que des marqueurs ouverts ou fermés, et quelques zones de texte. C'est en réalité beaucoup plus complexe. Un arbre XML est composé de différents nœuds, de différents types, reliés les uns aux autres par des agrégations ou des relations via l'emploi des attributs ID et IDREF. Ce n'est pas un langage de description de structure, mais de documents textuels. Une représentation DOM (Document Object Model) permet de naviguer entre les nœuds de différents types.

Les technologies clusters

Magazine
Marque
GNU/Linux Magazine
Numéro
123
Mois de parution
janvier 2010
Résumé
Le terme cluster désigne non pas une technologies précise, mais un ensemble de mécanismes, de principes et de technologie. Voilà pourquoi on parle de technologie clusters. Voyons maintenant tout ce qu'il faut savoir sur ces dernières pour appréhender un domaine bien plus complet qu'il n'y paraît.

Porte dérobée dans les serveurs d'applications JavaEE

Magazine
Marque
MISC
Numéro
45
Mois de parution
septembre 2009
Spécialité(s)
Résumé

Soixante-dix pour cent des attaques viennent de l'intérieur de l'entreprise. L'affaire Kerviel en a fait une démonstration flagrante. Les projets JavaEE sont très présents dans les entreprises. Ils sont généralement développés par des sociétés de services ou des prestataires. Cela représente beaucoup de monde pouvant potentiellement avoir un comportement indélicat. Aucun audit n'est effectué pour vérifier qu'un développeur malveillant ou qui subit des pressions n'a pas laissé une porte dérobée invisible dans le code. Nous nous plaçons dans la peau d'un développeur Java pour étudier les différentes techniques d'ajout d’une porte dérobée à une application JavaEE, sans que cela ne soit visible par les autres développeurs du projet.

Porte dérobée dans les serveurs d'applications JavaEE

Magazine
Marque
GNU/Linux Magazine
Numéro
119
Mois de parution
septembre 2009
Résumé
Lors de notre présentation au SSTIC en juin, nous avons démontré qu'il était possible d'injecter une porte dérobée à une application JavaEE, par la simple présence d'une archive JAR. Nous avons baptisé ces attaques « Macaron ». Une démonstration est disponible en ligne, sur le site du projet : http://macaron.googlecode.com.Le numéro 45 de MISC décrit les techniques d'attaques utilisées. Cet article décrit les outils proposés pour apporter des solutions contre ces menaces. Pour résumer, il existe différentes techniques de pièges, permettant d'exécuter du code sans que l'application ne le demande explicitement. Une fois un piège déclenché, il existe plusieurs approches pour s'injecter dans le flux de traitement de chaque requête HTTP. Il est alors possible d'analyser chaque requête HTTP pour identifier une valeur particulière dans la valeur d'un paramètre. Cela permet d'ouvrir la porte dérobée et donne accès au serveur. La démonstration propose différents agents, dont un agent permettant d'exécuter un shell sur le serveur, contrôlé par le navigateur. La communication entre le navigateur et la porte dérobée est quasi indiscernable d'un flux légitime de l'application.

La sécurité de Java

Magazine
Marque
MISC
Numéro
45
Mois de parution
septembre 2009
Spécialité(s)
Résumé

Depuis l'origine, Java utilise différentes technologies pour protéger les postes utilisateurs contre du code malveillant. Combinées, elles permettent une réelle sécurité, rarement mise en défaut. Regardons les différentes barrières mises en place dans une JVM pour interdire l'utilisation de code malveillant.

JCR269 : L'API de gestion d'annotations de Java 5

Magazine
Marque
GNU/Linux Magazine
Numéro
117
Mois de parution
juin 2009
Résumé
Les annotations sont une nouveauté de la version 5 de Java. Elles permettent d'ajouter des méta-informations aux éléments du langage (classe, attribut, méthode, paramètre, variables). Ces données peuvent être exploitées à l'exécution, par introspection des classes, mais elles peuvent également être utilisées lors de la compilation. Le JSR269 propose une architecture permettant la prise en compte des annotations lors de la compilation pour générer des fichiers de paramètres ou de nouvelles classes.