dolmen

#SeenThis_TODO : le #favicon de SeenThis est tout petit : 16x16. C’était suffisant il y a quelques années, mais il serait préférable aujourd’hui qu’il soit disponible en différentes tailles. Le favicon est notamment utilisé par les navigateurs comme icône de favori, et les bureaux modernes affichent ces icônes avec bien plus que 256 pixels. Par exemple, un bureau Windows ou la page d’acceuil d’un téléphone Android.
Le format idéal pour cela est le format .ico de Microsoft car il peut embarquer plusieurs images bitmap en différentes tailles. Voir comme exemple le favicon de DuckDuckGo qui est en taille 16x16, 32x32 et 48x48 : http://duckduckgo.com/favicon.ico

Un boulot pour #SeenThis_TODO, canonicaliser les URI enregistrés ?

RFC 6596 : The Canonical Link Relation

Depuis le RFC 5988, il existe un mécanisme standard pour exprimer les types des liens entre deux ressources sur le #Web. Ce très court RFC spécifie un nouveau type de lien, canonical, qui permet d’indiquer quel est l’URI canonique d’une ressource Web.

http://www.bortzmeyer.org/6596.html

Le modèle de sécurité d’#Android, quoique bien plus sérieux que celui d’iOS, a de sérieuses faiblesses. Notamment le fait qu’on ne peut pas refuser une permission à une application (pas de mode dégradé) et celui qu’une fois une permission donnée (« oui, client SIP, tu peux accéder à l’Internet et à mon carnet d’adresses »), il n’y a pas de moyen de savoir si elle n’est pas abusée (« mais je ne t’ai pas dit d’envoyer mon carnet d’adresses à spammer@biz.ru »).

Mais voici un nouveau piège : tout ce que peut faire une application qui n’a pas de permission du tout.

http://leviathansecurity.com/blog/archives/17-Zero-Permission-Android-Applications.html

Rappel : sur la sécurité d’iOS et sur les mécanismes de sécurité d’Android
http://www.bortzmeyer.org/malware-iphone.html

It looks very interesting, specially for road warriors.

Mosh (mobile shell). Remote terminal application that allows roaming, supports intermittent connectivity, and provides intelligent local echo and line editing of user keystrokes.

Mosh is a replacement for SSH. It’s more robust and responsive, especially over Wi-Fi, cellular, and long-distance links.

Mosh is free software, available for GNU/Linux, FreeBSD, and Mac OS X.

http://mosh.mit.edu

@seenthis : #Bug dans les mails de notification. Du moins celui qui m’a été envoyé à « Tue, 20 Dec 2011 21:56:09 +0100 » : l’entête « From » contenait une répétition imbriquée de tous les entêtes. Résultat : l’expéditeur apparaît comme étant « text/plain ».

A 3-lines zsh backup script
http://slashdot.org/comments.pl?sid=2075060&cid=35756350
#backup #linux #Ubuntu #zsh #rsync

Le « hall of shame » des extensions Firefox : un classement selon leur impact sur le temps de démarrage.
https://addons.mozilla.org/fr/firefox/performance

Anatomy of a Crushing (Pinboard Blog)
http://pinboard.in/blog/173

L’histoire d’un #delicious-like (ou #seenthis-like) qui a bien profité de l’exode des utilisateurs de #delicious, mais a failli crasher.

Quelques erreurs lui ont coûté cher :

Too many tasks required typing into a live database
We had no public status page
I assumed slaves would be within a few minutes of the master

et d’autres aspects lui ont sauvé la mise :

We used dedicated hardware
We charged money for a good or service

Bilan :

ten million bookmarks, eleven thousand new users, forty-odd refunds, and about a terabyte of newly-crawled data.

http://cpansearch.perl.org/src/DOMIZIO/Template-Magic-1.39/lib/Template/Magic.pm

the “Perlish” coding style

Illisible !
Et on voit la déception de l’auteur lorsqu’il ne peut plus l’utiliser à cause d’AutoSplit :

no fancy coding here :-(

#Perl #Perl-style #CodingConventions

Un article de Rue89 sur la complicité de #Microsoft dans les piratages de Facebook et de Gmail effectués par la dictature de Ben Ali : pahttp://www.rue89.com/2011/03/18/tunisie-microsoft-complice-de-la-censure-numerique-par-ben-ali-195693

L’article de Rue89 n’a pas été relu par un expert. Il est bourré d’erreurs et Microsoft a beau jeu de les relever : http://www.microsoft.com/france/espace-presse/evenements/tribune.aspx

Et les remarques de Microsoft sont quasiment toutes correctes. Pas facile de faire du journalisme sérieux, la moindre des choses est de faire vérifier par quelqu’un qui connait.

#X.509

Quelques bons articles sur la faille « Comodo » (une autorité de certification #X.509 qui laisse un de ses revendeurs émettre de vrais-faux certificats pour des sites sensibles comme addons.mozilla.org, un site qui est utilisé pour les mises à jour automatiques de Firefox).

Le meilleur article technique est celui du projet Tor : https://blog.torproject.org/blog/detecting-certificate-authority-compromises-and-web-browser-collusi

Une synthèse non-technique pas trop mauvaise : http://www.zdnet.com/blog/security/microsoft-warns-fraudulent-digital-certificates-issued-for-high-value-websites/8488

Le message officiel de Mozilla, dont les logiciels ont désormais en interne une liste noire de certificats frauduleux : http://blog.mozilla.com/security/2011/03/22/firefox-blocking-fraudulent-certificates

Le communiqué officiel de Comodo : http://www.comodo.com/Comodo-Fraud-Incident-2011-03-23.html

Contrairement à ce que dit ce communiqué, l’exploitation ne nécessite pas le #DNS : https://listes.cru.fr/sympa/arc/dns-fr/2011-03/msg00047.html

Comodo se vante que les vrais-faux certificats aient été annulés mais personne ne teste les révocations : http://www.imperialviolet.org/2011/03/18/revocation.html

Le craqueur (oui, c’est probablement lui) a expliqué comment il avait
fait : http://pastebin.com/74KXCaEZ

Et une très bonne analyse non-technique de la sécurité est en : http://erratasec.blogspot.com/2011/03/comodo-hacker-releases-his-manifesto.html

L’étude de l’#EFF montrant que la plupart des autorités de
certification signent n’importe quoi : http://www.macworld.co.uk/business/news/index.cfm?newsid=3273112&pagtype=allchandate

Il y a aussi des mauvais articles (comme celui de Wired), je ne les cite pas.