GNU/Linux Magazine N°
Numéro
152

Protégez vos applications web

Temporalité
Septembre 2012
Article mis en avant

Résumé

La sécurité web, on peut en rire, ou en pleurer, mais il semble difficile de ne pas s'en soucier au risque de s'en mordre les doigts. La réalité du niveau de sécurité des applicatifs web étant ce qu'elle est, les pare-feu applicatifs deviennent des palliatifs indispensables.

Dans ce numéro...


Mais comment cela a-t-il pu arriver ? Cette question a été posée bien des fois dans l'histoire des civilisations. C'est cette même question que, par exemple, des millions d'Allemands se sont posés peu après 1945 en découvrant les conséquences des dérives d'un régime politique aux ambitions démesurées. Pourtant, chaque fois que cette question est posée, il ne s'agit que de l'épitaphe d'une succession d'événements qui, s'ils avaient été correctement interconnectés au bon moment, auraient clairement dessiné une image de ce qui était à venir. Bien sûr, souvent on préfère ne par faire ces connexions et voir comme des éléments dissociés l'ensemble des indicateurs d'une décadence proche.
En cette fin de période estivale arrive la seconde partie de l'analyse des nouveautés du noyau Linux 3.4. Le voyage commence par une excursion au cœur de la palpitante nouvelle psABI x32, pour se poursuivre, entre autres, dans les tréfonds de la nouvelle infrastructure de support des SoC actuels de type OMAP4, ou encore dans les territoires plus obscurs du seigneur Yama, qui renforce la sécurité de Linux.
Cet article est le premier article d'une série consacrée à la robotique. Nous allons réaliser un robot contrôlé par un arduino et télécommandé via bluetooth par un périphérique sous Android. Une jolie petite usine à gaz pour finalement réaliser quelque chose de très commun ! Il faut toutefois garder en tête que cet article pose les bases d'un projet plus ambitieux qu'un simple véhicule télécommandé...
L'article « P... de proxy» a expliqué comment utiliser tinyproxy pour se simplifier la vie sur un ordinateur nomade. Cette suite (c'est la mode au cinéma) va expliquer comment étendre la solution proposée pour gérer d'autres proxys (genre proxy-cache pour serveur de paquets) et surtout faire une commutation automatique de proxy pour atteindre le Saint-Graal des hackers : la machine s'occupe de tout et moi de rien :-)
Ceci ne devait être qu'un paragraphe dans un article consacré au test d'Android sur plateforme x86, mais finalement, le sujet mérite bien plus. L'objectif primaire était d'installer Android x86 sur un netbook Samsung NB30. La machine équipée d'un disque de 160Go disposait déjà d'un système Debian GNU/Linux parfaitement configuré et à jour, reposant sur une configuration LVM2. Pourquoi faire simple quand on peut faire compliqué et faire une sauvegarde suivie d'une réinstallation/restauration lorsqu'on peut s'amuser à redimensionner tout cela pour libérer un peu d'espace disque afin d'ajouter une nouvelle partition ?
L'annonce récente de la disponibilité d'une version RC (Release Candidate) du projet Android-x86 4.0 est l'occasion de tester ce portage de la plateforme pour smartphones et tablettes de Google en version AOSP. Disons-le clairement, le travail effectué par les développeurs du projet Android-x86 est tout simplement incroyable. Nous avons testé cette RC à destination d'EeePC sur un Samsung NB30 pourtant non officiellement supporté et avons eu le plaisir de constater que, dans les grandes lignes, tout fonctionnait parfaitement.
De la virtualisation dans l'embarqué ? Virtualiser, dans l'acception la plus commune, c'est créer un ou plusieurs environnements logiciels en faisant abstraction du support matériel. En d'autres termes, c'est la capacité à faire fonctionner une ou plusieurs applications - souvent aussi un ou plusieurs systèmes d'exploitation – sur une ou plusieurs machines. Au final, l'exploitant travaille sur des machines virtuelles avec une très grande souplesse pour allouer des ressources (mémoire, puissance CPU) et gérer les défaillances matérielles.
Le PostScript [1] est remarquable, parmi les modes de rendu de graphiques, par le fait qu’il constitue un vrai langage de programmation fournissant la majorité des fonctionnalités attendues par un tel outil de développement. Contrairement au PCL (Printer Command Language – commandes pour certaines imprimantes Hewlett Packard et autres), HPGL (déplacement du stylo d’un plotter1) ou PDF qui ne proposent que des ordres d’affichage [2], le PostScript offre une grammaire complète incluant conditions, boucles, variables, gestion de pile voire même accès aux fichiers, qui en font un réel langage associé à une interface graphique [3].
Pour certains projets web, utiliser un langage dynamique type PHP, un framework comme Ruby on Rails, voire carrément un CMS, c'est un peu utiliser une massue pour écraser une mouche. Et plusieurs types de sites pourraient gagner, en performances entre autres, à se passer d'utiliser ces technologies, en utilisant un générateur de sites statiques comme Middleman [MIDDLEMAN].
Pour permettre aux applications de pouvoir communiquer entre elles, Android fournit une implémentation de protocole de communication entre process au travers des AIDL ou « Android Interface Definition Language ».
Android fournit une fonctionnalité assez intéressante, appelée « Text To Speech » (TTS), qui permet d'énoncer un texte à l'aide d'un synthétiseur vocal. Cette technologie est utilisée dans les applications comme le GPS pour le guidage vocal, ou bien dans les applications pour lire ce qui est affiché à l'écran utilisées par les déficients visuels. Dans cet article, nous allons expliquer comment utiliser le TTS dans une application.
Depuis Android 2.3, une nouvelle classe a été ajoutée ; il s'agit de la classe StrictMode du package android.os.StrictMode. Cette classe peut être utilisée pour activer et renforcer diverses politiques de gestion. Ces politiques de gestion concernent en général les « best practices » sur l'écriture de code ; on peut s'en servir par exemple pour surveiller les actions effectuées dans le thread principal ou du code mal écrit.
Dans cet article, nous parlerons de l'utilisation des Threads et des Handlers dans une application Android.
Dans la réalisation d'applications, on a parfois besoin d'effectuer plusieurs tâches simultanément. La classe AsyncTask dans Android permet d’effectuer les tâches de façon asynchrone, comme la classe Thread, mais de façon plus simplifiée.

Magazines précédents

GNU/Linux-Magazine N°151
Installez votre groupware Kolab
GNU/Linux-Magazine N°150
Créez votre VPN avec OpenVPN
GNU/Linux-Magazine N°148
Émulez une nouvelle machine dans QEMU
GNU/Linux-Magazine N°147
Visite au coeur de l'émulateur QEMU
GNU/Linux-Magazine N°146
Débarassez-vous de votre serveur mail !

Les derniers articles Premiums

Les derniers articles Premium

Stubby : protection de votre vie privée via le chiffrement des requêtes DNS

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

Depuis les révélations d’Edward Snowden sur l’espionnage de masse des communications sur Internet par la NSA, un effort massif a été fait pour protéger la vie en ligne des internautes. Cet effort s’est principalement concentré sur les outils de communication avec la généralisation de l’usage du chiffrement sur le web (désormais, plus de 90 % des échanges se font en HTTPS) et l’adoption en masse des messageries utilisant des protocoles de chiffrement de bout en bout. Cependant, toutes ces communications, bien que chiffrées, utilisent un protocole qui, lui, n’est pas chiffré par défaut, loin de là : le DNS. Voyons ensemble quels sont les risques que cela induit pour les internautes et comment nous pouvons améliorer la situation.

Surveillez la consommation énergétique de votre code

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

Être en mesure de surveiller la consommation énergétique de nos applications est une idée attrayante, qui n'est que trop souvent mise à la marge aujourd'hui. C'est d'ailleurs paradoxal, quand on pense que de plus en plus de voitures permettent de connaître la consommation instantanée et la consommation moyenne du véhicule, mais que nos chers ordinateurs, fleurons de la technologie, ne le permettent pas pour nos applications... Mais c'est aussi une tendance qui s'affirme petit à petit et à laquelle à terme, il devrait être difficile d'échapper. Car même si ce n'est qu'un effet de bord, elle nous amène à créer des programmes plus efficaces, qui sont également moins chers à exécuter.

Donnez une autre dimension à vos logs avec Vector

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

Avoir des informations précises et détaillées sur ce qu’il se passe dans une infrastructure, et sur les applications qu'elle héberge est un enjeu critique pour votre business. Cependant, ça demande du temps, temps qu'on préfère parfois se réserver pour d'autres tâches jugées plus prioritaires. Mais qu'un système plante, qu'une application perde les pédales ou qu'une faille de sécurité soit découverte et c'est la panique à bord ! Alors je vous le demande, qui voudrait rester aveugle quand l'observabilité a tout à vous offrir ?

Body