Internet et l’etat…

April 27th, 2007 Posted in Uncategorized
1 Comment »

Apres les sondages qui s’arretent aux frontiere, maintenant le taxe sur les disques durs qui arrive :
vnunet : Les disques durs bientôt soumis à la redevance pour copie privée

Uniquement pour les disques internes, les externes ne sont pas concernés … Les plus astucieux d’entre vous iront acheter des disques internes et des boitiers externes vides puis inseront le disque interne dans le boitier qui deviendra ainsi externe pour une somme modique.
Demain lorsque google va debouler avec son stockage illimité et gratuit sur internet ils vont faire comment ?
Restera l’achat de disques a l’étranger, comme pour les DVD…

Vont-ils taxer les octets qui transitent sur les réseaux et modifier les usages en prennant le risque de faire prendre du retard a la France ?

Taxe particulière car elle sert en plus a enrichir des personnes privées et non le bien public ce qui est déjà une anomalie.

Allons plus loin, la notion de géographie va être profondement pertubée : nos messageries sont hebergées aux US (google,yahoo…), nous utiliserons des disques durs distants comme des disques locaux, on peut se créer une boutique en utilisant des services d’amazon et se relier aux paiements paypal …
L’approche de certains services consistant a taxer tout ce qu’ils peuvent, de rajouter des contraintes (necessiter de tout tracer…) alors que la France est très en retard ne me semble pas être une stratégie pertinente.
Je ne connais que netvibes comme service français qui soit utilisé sur internet par des millions de personnes. Tout le reste est aux US. Vu les contraintes qu’ilsrajoutent sur les serveurs français, ceux-ci vont finir aux US, Bahamas …

Faut-il attendre qu’il n’y ait plus rien en France pour qu’ils s’arrentent ? Il devient necessaire de comprendre qu’Internet ne s’arrete pas aux frontières françaises …

Read More

Integration par copié/collé

April 23rd, 2007 Posted in intégration wordpress
No Comments

Un nouvel exemple d’intégration de fonction par copié/collé : http://www.wordpress-fr.net/plugins/.

Il est possible d’ajouter de nombreuses fonctions a son blog wordpress de nombreuses fonctions en copiant les fichiers des plug’in dans un répertoire. La seule compétence requise est de savoir copier des fichiers…

L’installation de wordpress ne prend que quelques minutes, temps de téléchargement inclus.

On n’arrete pas le progrès !

Read More

information 1 – hypocrisie et sites mal fait 0

April 23rd, 2007 Posted in elections
2 Comments »

L’information tout d’abord sur les elections présidentielles.

Les sondages ne devaient pas être diffusés en France. Si les nuages radioactifs ne rentrent pas en France ce qui est bien connu, l’information non plus visiblement. Au moins dans la tête de certain dirigeants.
Pourtant si on regarde les problèmes evoqués par LCI les sites belges et suisses se sont écroulés … sous la demande.

Il s’agit la d’une victoire très involontaire des censeurs, de nombreux internautes ont probablement manqué l’information car ces sites n’ont ni anticipé ni n’avaient des sites prévus pour.
* pas anticipé, ils aurraient du disposer d’une simple page web pour n’afficher que les informations voulues ou revoir le dimensionnement de leurs serveurs et bande passante. ca permettait de passer le deluge d’internautes.
* leurs sites pourraient etre mieux pensés, en gérant mieux les caches http … de nombreux internautes devaient demander a mettre a jour les pages pour voir les dernières sondfages, informations réguièrement ce qui est tueur pour les applications mal pensées.

Pour ma part je suis allé en Suisse, le site de la tsr était pour sa part disponible, très performant et a donné les informations dés 17h45.
Le nombre d’internaute a disposer de l’information est probablement très important, probablement quelques millions de Francais ont disposé de l’information qui ont probablement envoyé les estimations par SMS (pic d’activité de 25%). Bref la moitiée de la France devait avoir les résultats entre 18h et 19h. Internet fait sauter les frontières qui sont bien virtuelles … a condition que les serveurs marchent bien entendu …

Read More

présentation simple d’openid

April 18th, 2007 Posted in Uncategorized
No Comments

un blog interessant avec une présentation simple l’openid

Read More

mise en place minimale d’openid

April 17th, 2007 Posted in openid sécurité
No Comments

objectif du jour : disposer d’une authentification valable sur tous les sites compatibles openid.
bien sur je ne veux pas diffuser mon mot de passe a tous ces sites. Idéalement il n’y devrait pas il y avoir pas de mot de passe non plus sur mon serveur pour m’identifier. Mon certificat suffit.

Il existe des librairies très completes mais avec de nombreuses dépendances inutiles (mysql…). J’ai donc retenu phpmyid qui est amplement suffisant. c’est un petit script php que l’on a juste a mettre sur son serveur.
ensuite mettre une règle de réécriture dans apache du type :
RewriteEngine on
RewriteRule /monuser(.*) /MyID.php?$1 ce qui permet d’avoir monserveur/mon__user

il faut modifier le fichier MyID.php pour y mettre des informations personnelles.
sur unix il faut se générer un mot de passe : echo -n ‘mon_user:phpMyID:mon_password’ | openssl md5
il faut mettre cette cle dans le champ ‘auth_password’ du fichier MyId.php et mettre a jour ‘auth_username’ => ‘mon_user’,

Cet identifiant peut etre testé sur des sites comme live journal.
Sur un site comme live journal vous pouvez utiliser un identifiant openid qui sera du style : http://monserveur/mon_user. D’autres manières d’écrire les url sont possible comme mon_user.mondomaine.com …
Il est prevu de pouvoir mettre un lien dans le fichier index.html (ou autre) qui est a la racine de votre site pour indiquer ou se trouve réellement votre serveur openid. Théoriquement c’est cette ligne : < link rel=''openid.server'' href=''http://mon serveur/ymp'' >
J’ai essayé mais ca n’a pas marché. L’objectif a terme est que l’on ajoute ce lien sur son site ce qui permet ensuite de donner a tous les sites ayant besoin de vous identifier l’url de son site. Même si on change de fournisseur d’identification openid, l’authentification continura de marcher.

La limite importante du script est qu’il faut un fichier MyId.php par utilisateur. Donc par exemple user1.php pour l’utilisateur 1… Si on a peut d’utilisateur cela suffit.
Les plus courageux pourront modifier le fichier pour le rendre multi utilisateurs…

L’autre évolution qui sera a faire est de rediriger vers un site https et avec certificats pour gérer l’authentification en tant que telle avant de rediriger l’utilisateur sur l’url en http.
Comme il n’y a qu’un script et que ce script doit etre utilisable par les serveurs qui ont utiliser votre service d’authentification il faut qu’il soit en http.

Une evolution du script serait de le separer en différentes pages ce qui permettrait de rediriger et reecrire independament les services les uns des autres.
Ce script gere des nombreux services ‘openid’ :

  • associate
  • authorize
  • cancel
  • checkid_immediate
  • checkid_setup
  • check_authentication
  • error
  • id_res
  • login
  • logout

Un autre defaut est qu’il ne gère pas bien les données que l’on souhaite ou non transmettre aux différents sites, ce que gère bien le site de verisign. On peut en effet choisir de diffuser ou non son email, adresse … aux sites qui demandent ces informations.

C’est encore loin d’être parfait mais ca reste etonnant de pouvoir se loguer sur différents sites avec une page hebergée sur un serveur personnel !
A terme ce ne sera pas un SSO distribué a l’échelle du web mais extremement distribué.
On peut imaginer que les freebox, livebox… intègrent un tel service en natif par exemple (le service sera capable de gérer plusieurs utilisateurs), de même que les blogs (myspace…) et des sites qui donneront plus de garanties sur les utilisateurs (verisign…).
Ce service evite également de saisir son email, adresse, ville, pays sur les sites par lesquels on passe, quel gain de temps !
Plus que quelques identfiants (en fonction de ce que l’on fait) utilisables partout sur internet, tout en améliorant la sécurité (pas de diffusion inutile de mots de passe) !

Read More

Banque en ligne: le Crédit Agricole teste l’authentification par carte CD-Rom

April 17th, 2007 Posted in Uncategorized
3 Comments »

grande nouvelle, le crédit agricole va enfin utiliser un certificat pour assurer de la sécurité :
zdnet

la Banque de France le réclame depuis un certain temps pour les particuliers. Le crédit Agricole est le premier a se préparer sérieusement.

Se sera le plus gros deploiement après la DGI qui en utilise déjà pour permettre la saisie et signature de nombreux documents.

Il est probable que les autres banques véxées suivent …

Nous devrions donc avoir assez rapidement des certificats deployés sur nos postes pour gérer différents accès. La démocratisation ces certificats est en marche.

Il est etonnant que les entreprises ne les utilisent pas plus car avec un peu d’organisation ils ne demandent pas plus d’administration que les user/mots de passe. ils apportent par contre sécurité et SSO.

Read More

faire un site d’e-commerce en 5 minutes

April 14th, 2007 Posted in Uncategorized
No Comments

Faire un site de e-commerce en 5 minutes c’est possible. j’y ai même passé moins de temps :

http://ymp.zlio.com/

par cntre je n’ai encre qu’un produit au catalogue !

promis je vais le remplir un peu !

Pour information les bons sites fonctionnant sur la plate-forme zlio vendent 300 produits par mois … mais bon ca prend 5 minutes en même temps.
On touche une toute petite commission lorsque quelqu’un achete sur votre boutique.

Read More

devenir sa propre autorité de certification

April 10th, 2007 Posted in sécurité sso
1 Comment »

Je voulais gérer de l’authentification sur un de mes serveurs Web mais qui serve différentes applications.
exemple www.mondomaine.fr , portail.mondomaine.fr, … le tout sur le même serveur
bien sur je veux une sécurité forte mais qui soit simple (je suis aussi utilisateur), et bien entendu gratuite.
pour pouvoir bookmarker n’importe quelle url il faut que le sso soit sans etat.
dernier point, ca doit marcher depuis un telephone …

solution devenir ma propre autorité de certification. j’ai trouvé de nombreux sites mais il manque toujours des morceaux d’explications qui font que ca ne marche pas.
une autorité de certificat c’est un certificat racine qui permet de delivrer des certificats pour des serveurs web ou des utilisateurs.
l’interet de passer par verisign et autres est que les certificats générés sont reconnus directemet par les browsers car la cle publique du certificat racine est intégrée dans les browsers web. le browser reconnait directement le certificat du serveur web.
en se créant son certificat racine on ne dispose pas de cette facilitée, par contre c’est gratuit pour un nombre de certificats serveurs et clients illimités … et quand ce n’est pas un site web public ce n’est pas très grave !

donc le certificat racine va me permettre de générer les certificats pour les serveurs www.mondomaine.fr … et pour les clients (moi essentiellement !).

l’interet d’un certificat client est qu’il est nominatif, il n’y a que moi a l’avoir.
il permet au serveur avec un peu de configuration (donnée ci dessous) de l’authentifier, pas besoin de user/password ! la solution est plus sécurisée et plus pratique !

comment faire ?

je suis parti au final de cette explication relativement simple http://sewww.epfl.ch/SIC/SA/SPIP/Publications/article.php3?id_article=1124.
ma configuration est une debian sarge comme serveur (version dedibox)
je derecommande cependant d’utiliser leur nommage a moins de vouloir etre perdu au bout de quelques minutes…
pour les serveurs j’ai des noms du type www.mondomaine.fr.req.pem pour une request au format pem et ainsi de suite pour tous les fichiers. pour les utilisateurs j’utilise de DN plutot que nom prenom qui peut preter a ambiguité.

autre astuce pour m’y retrouver, creer un repertoire CAdomaine pour pouvoir gerer plusieurs autorités de certifications facilement plutot que de tout mettre dans demoCA.

piege non expliqué dans la doc … il faut toucher au fichier openssl.cnf
la variable ‘dir’ doit etre configurée pour pointer vers le repertoire que l’on vient de créer (CAdomaine).

ensuite lorsque vous generez des certificats serveurs il faut ses variables dans le fichier openssl.conf :

keyUsage = digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth

et lorsque l’on veut générer des certificats clients :

keyUsage = digitalSignature, keyEncipherment, nonRepudiation
extendedKeyUsage = clientAuth, emailProtection

Il y a peut etre d’autres valeurs possibles mais au moins pour l’authentification client ca fonctionne.

autre piege, lorsque l’on genere des certificats, il faut faire attention a l’organisation, il faut prendre toujours la même sinon ca ne marche pas !

coté apache 2 ma configuration est la suivante :

ServerName mondomaine
DocumentRoot /var/www/mondomaine/
SSLEngine on
SSLProtocol all
SSLCipherSuite HIGH:MEDIUM

SSLCertificateFile /usr/lib/ssl/CAdomaine/mondomine.cert.pem
SSLCertificateKeyFile /usr/lib/ssl/CAdomaine/mondomaine.key.pem

SSLVerifyClient none

SSLCACertificatePath /usr/lib/ssl/CAdomaine/
SSLCACertificateFile /usr/lib/ssl/CAdomaine/cacert.pem


SSLVerifyClient require
SSLVerifyDepth 1


cette configuration permet d’avoir du ssl sur le serveur mondomaine ouvert a tous (une fois le certificat serveur accepté). pour acceder au repertoire staff il faut un certificat client.

dernier petit detail pour ceux qui veulent faire du php … il faut rajouter ces options dans le fichier de configuration d’apache :
SSLOptions +ExportCertData
SSLOptions +StdEnvVars

ca permet au code php ou autre de récuperer des informations des certificats.
cette ligne permet d’afficher le DN du certificat client (généralement le username mais on peut y mettre ce que l’on veut).
une fois que vous avez le username, il ne reste plus qu’a l’utiliser pour assurer les habilitations qui restent encore un autre sujet !

Read More

présentation de ‘padawan’ sur les outils collaboratifs en entreprise

April 1st, 2007 Posted in Collaboratif
No Comments

Présentation

et des commentaires ici.

Je ne sais pas pourquoi tout le monde veut faire rentrer les outils internet dans le monde fermé de l’entreprise.

Pourquoi ne pense t-on jamais a faire l’inverse ?
L’entreprise ne peut-elle pas utiliser directement les outils d’internet ? messageries, messageries instantées, outils de gestion de projets, documentaires, utilisation de wiki (une entreprise ne peut pas tout mettre, mais ne rien n’y mettre est-ce mieux ?).

Read More

Le salariat a-t-il un avenir?

April 1st, 2007 Posted in Uncategorized
No Comments

je suis tombé sur un commenaire de Jean-Marc Bondon sur le blog de F. Planque dont le sujet était “de Le salariat a-t-il un avenir?”

Je suis complètement de votre avis, j’ai le même sentiment en apportant quelques modérations. Nous constatons que les entreprises utilisent de plus en plus de prestataires de services externes, pas vraiment des entreprises, souvent de simples indépendants, des consultants, etc.

Je ne pense pas que seules les Nouvelles Technologies soient au coeur de la démarche, à moins que l’on mette en avant la possibilité de travailler à distance. Le facteur clé me semble-t-il est que nous progressons dans une économie du savoir et que ces nouveaux travailleurs, les Knowledge worker, une fois formés, sont de moins en moins liés à leurs entreprise car ils possèdent leurs moyens de production, de la matière grise, leur expérience et un ordinateur portable.

La création d’activité est sans doute plus simple dans ce cas que lorsqu’il faut acheter des machines, des véhicules, etc…. Un peu comme des groupements d’artisants, peut-être verrons nous de nouveaux modèles d’entreprises, associations d’indépendants avec quelques services d’infrastructure mutualisés.

Je termine en disant que dans le cas des Nouvelles Technologies vous oubliez une donnée essentielle : l’impérieuse nécessité de posséder un garage ! En effet, toutes les success story américaines, HP, Google, Microsoft, Apple, ont démarré dans un garage. Ceux qui s’installent dans leur salon n’ont rien compris, travaillez dans votre garage.. :)

La France est sur la bonne voie dans tous les cas, voici comment créer son entreprise : Francois Planque : creer une entreprise c’est facile …

Le premiere etape dans le domaine des services sera probablement l’utilisation d’outils personnels a la place de ceux de l’entreprise au bénéfice des 2 (un simple ordinateur coute bien plus cher dés qu’il est géré par un support informatique que si l’employé achete le sien et s’en occupe lui même).
La seconde etape sera une certaine forme de disparition des entreprises de services qui vont devenir des marques, des coordinateurs d’indépendants.

Read More