#http

Un argumentaire très détaillé de Bruce Perens (un type important du monde du logiciel libre) contre les mesures techniques anti-NSA et notamment contre le chiffrement systématique envisagé, par exemple, par l’IETF ▻http://seenthis.net/messages/191453 .

Je ne suis pas d’accord du tout mais c’est un intéressant résumé des arguments anti-chiffrement (même s’il charge un peu la barque, y compris en citant le réchauffement planétaire).

▻http://perens.com/works/ietf/perpass/appropriate-response/01.pdf

#chiffrement #NSA #vie_privée #HTTP

Internet architects propose encrypting all the world’s web traffic (Wired UK)
▻http://www.wired.co.uk/news/archive/2013-11/15/encrypting-all-web-traffic

HTTPv2 tout chiffré. Intéressant. À suivre...(Permalink)

#http #http2

Requests for PHP
▻http://requests.ryanmccue.info

Despite PHP’s use as a language for the web, its tools for sending HTTP requests are severely lacking. cURL has an interesting API, to say the least, and you can’t always rely on it being available. Sockets provide only low level access, and require you to build most of the HTTP response parsing yourself.

We all have better things to do. That’s why Requests was born.

Des requêtes #http en #php sans #curl... Cela m’aurait bien aidé il y a quelques années ;-)

The history of the User-Agent: header in #HTTP and how it started from a bad idea to become a very stupid one.

▻http://webaim.org/blog/user-agent-string-history

#humor #protocols #Web #bible

Guzzle | #php HTTP client and #framework for consuming RESTful web services — Guzzle 3.0.0 documentation
▻http://guzzlephp.org

Guzzle takes the pain out of sending HTTP requests and the redundancy out of creating web service clients. It’s a framework that includes the tools needed to create a robust web service client, including: Service descriptions for defining the inputs and outputs of an API, resource iterators for traversing paginated resources, batching for sending a large number of requests as efficiently as (...)

#rest

Le 12 octobre, atelier-café sur la protection des communications pour les nOObs à Montreuil

▻http://simplonco.tumblr.com/post/61656772515/cafe-vie-privee-1-simplonco-surfez-chattez

#retape #vie_privée #chiffrement #SSL #https #pour_ma_mère

Un article récent faisant le point sur la gestion des #erreurs dans une appli #REST, #JSON ou #Atom par exemple. Trouvé par @denisb.

SOA Bits and Ramblings : #Error handling considerations and best practices
▻http://soabits.blogspot.fr/2013/05/error-handling-considerations-and-best.html

A recurring topic in REST and #Web #API discussions is that of error handling ; what information should be included in error responses, how should #HTTP status codes be used and what media type should the response be encoded in?

How would the client know how to decode the error response payload? Actually this seems like an unanswered question for ATOM since the spec is rather vague about this point

Ceci car je posais la question de savoir quoi renvoyer comme contenu (pas l’entête avec le code de statut quoi) lorsqu’une application #AtomPub (#APP) doit renvoyer une erreur (par exemple lorsqu’on veut accéder à une ressource précise qui n’existe pas, ou qu’on a pas les droits). En JSON c’est « facile » : il n’y a pas de norme sur son contenu, on met ce qu’on veut dedans suivant l’application, puis on le documente. Mais en ATOM c’est déjà normé, et on ne sait pas ce qu’on doit faire si une erreur arrive.

L’auteur fait un lien vers une proposition de nouveaux types MIME pour ça : « error+json » et « error+xml », qui seraient à utiliser pour n’importe quelle API basée sur HTTP.
▻https://tools.ietf.org/html/draft-nottingham-http-problem-03

une colle #http : pourquoi #curl ne parvient-il pas à récupérer l’url suivante, alors que #lynx ou #firefox y arrivent ?

(utilisant curl -v je vois qu’il échoue au bout de n redirections sur un domaine www10 inexistant…)

(URL : ►http://opinionator.blogs.nytimes.com/2013/07/14/how-intellectual-property-reinforces-inequality)

Web server in Go Language - ▻http://www.bitbin.it/KHo92ASd

#web #server #go #lang #code #google #dev #static #interface #http

Where did all the HTTP referrers go? (Cyril Aknine)
▻http://smerity.com/articles/2013/where_did_all_the_http_referrers_go.html

Source : Smerity.com

CMIS - Wikipédia
▻https://fr.wikipedia.org/wiki/CMIS

CMIS fourni un #modèle-de-données commun couvrant les types de fichiers et répertoires avec des propriétés génériques pouvant être lues ou écrites. CMIS décrit aussi un système de gestion des droits d’accès, de contrôle de version et offre la possibilité de définir des relations génériques. Il dispose d’un ensemble de services pour modifier ou interroger le modèle de données et peut être utilisé par plusieurs protocoles comme #SOAP et #REST à l’aide de la convention #Atom. Le modèle est basé sur des architectures communes de systèmes de gestion de #documents.

Une idée pour #spip ?

HTTP: The Protocol Every Web Developer Must Know – Part 2
▻http://net.tutsplus.com/tutorials/tools-and-tips/http-the-protocol-every-web-developer-must-know-part-2

In my previous article, we covered some of HTTP’s basics, such as the URL scheme, status codes and request/response headers. With that as our foundation, we will look at the finer aspects of HTTP, like connection handling, authentication and HTTP caching. These topics are fairly extensive, but we’ll cover the most important bits.HTTP …

Source: Web development tutorials, from beginner to advanced

#http #tools_&_tips

Use // instead of http:// or https:// : HTTP client will use whatever protocol the page was fetched with - ▻https://news.ycombinator.com/item?id=5514784 #SSL #HTTP #HTTPS

Alternatives IFTTT
▻http://bouclans.net.free.fr/osyn/index.php?2012/11/27/15/02/23-alternatives-ifttt

Pistes à étudier

Source : Bouclans.net - Eric

#étudier #être #action #admin #admin #administration #alternative #alternatives #automatisation #bien #blank #blog #bonne #cherchant #cityfacts #cityfactsrc #code #compliquée #créer #cron #daemon #deri #deri #fameux #html #http #ifttt #images #incron #incron #inotify #linux #linux #mais #pipes #piste #pistes #pour #présentation #propres #recettes #semble #service #stories #target #tomber #trouvé #utilisation #viens

JSON Web Token (JWT)
▻http://self-issued.info/docs/draft-ietf-oauth-json-web-token.html

JSON Web Token (JWT) is a compact URL-safe means of representing claims to be transferred between two parties. The claims in a JWT are encoded as a JavaScript Object Notation (JSON) object that is used as the payload of a JSON Web Signature (JWS) structure or as the plaintext of a JSON Web Encryption (JWE) structure, enabling the claims to be digitally signed or MACed and/or encrypted.

#seenthis_bug @seenthis, le client #oembed utilisé ne marche pas avec #HTTPS ?

Test :
►https://www.youtube.com/watch?v=_p-LNLv49Ug

RFC 6797 : HTTP Strict Transport Security (HSTS)

La technique #HSTS (HTTP Strict Transport Security), normalisée dans ce #RFC (mais déjà largement déployée) vise à résoudre une attaque contre #TLS. Si un site Web est accessible en #HTTPS, et qu’un méchant arrive à convaincre un utilisateur de se connecter en HTTP ordinaire à la place, le méchant peut alors monter une attaque de l’homme du milieu. Le fait que le site soit protégé par TLS n’aidera pas dans ce cas. Pour éviter cette attaque, HSTS permet à un site de déclarer qu’il n’est accessible qu’en HTTPS. Si l’utilisateur a visité le site ne serait-ce qu’une fois, son navigateur se souviendra de cette déclaration et ne fera plus ensuite de connexions non sécurisées.

►http://www.bortzmeyer.org/6797.html

Ça serait cool pour améliorer la sécurité de SeenThis mais, de toute façon, il faudrait d’abord résoudre <►http://seenthis.net/messages/98342>

Permettre un accès en #HTTPS à Seenthis, c’est très cool (pour les lecteurs situés dans des pays dictatoriaux, ou qui travaillent dans une entreprise qui flique ses salariés, c’est même recommandé par l’EFF). Mais il faudrait un certificat plus sérieux. Mon Firefox me dit :

« The certificate is not trusted because it is self-signed. »

Il faudrait utiliser une AC comme CAcert ou StartSSL ou autre.

« The certificate is not valid for any server names. »

Et, en effet, aucun nom de serveur n’est indiqué dans le certificat.

« The certificate expired on 01/12/12 16:37. The current time is 11/20/12 10:41. »

Il faudrait renouveler le certificat (truc : CAcert envoie un rappel automatiquement)

#SeenThis_bug #TLS #X.509

L’article de Otto, Sanchez, Rula et Bustamante, « Content delivery and the natural evolution of the DNS  », est consacré à l’interaction entre les CDN et les résolveurs DNS publics. Un CDN (Content Delivery Network, comme Akamai) utilise souvent le DNS pour router une requête vers le serveur le plus proche de l’utilisateur. Par exemple, si la question DNS vient de France, on donne l’adresse IP d’un serveur en Europe. Les résolveurs DNS publics (comme Google DNS ou OpenDNS) cassent ce schéma puisque l’adresse du client, vue par les serveurs du CDN, n’a pas forcément de rapport avec la localisation du vrai client (le navigateur Web). Cet article est le premier à mesurer cet effet (on lit souvent des phrases comme « l’utilisation du résolveur DNS public XXX permet d’avoir des résolutions DNS plus rapides » mais c’est de la pure publicité, peu de gens ont mesuré).

►http://aqualab.cs.northwestern.edu/component/attachments/download/235

Si on est pressé, on peut sauter à la figure 7 de l’article : elle montre le délai de réponse HTTP pour deux CDN connus, Akamai et Limelight, avec utilisation d’un résolveur DNS local à la machine, celle des résolveurs DNS du FAI, celle de Google Public DNS et celle d’OpenDNS. On voit deux groupes : résolveur local et résolveur du FAI pour le premier et un groupe plus lent, les deux autres (les résolveurs publics). Bref, pour accéder à un CDN, le résolveur public est une mauvaise idée.

En utilisant l’extension DNS - pas encore normalisée - ECS (EDNS Client Subnet), que gèrent Google Public DNS et Akamai, les résultats sont meilleurs, sans toutefois rattrapper les valeurs obtenues avec le résolveur du FAI (figure 11). ECS est pour l’instant peu déployé et, comme toute extension DNS, posera peut-être des problèmes avec des « middleboxes » programmées avec les pieds.

Enfin, les auteurs proposent une solution à eux, qui nécessite de modifier le comportement du résolveur local (mais pas celui du résolveur public, ou du CDN, contrairement à ECS) : le résolveur local s’adresse aux résolveurs publics par défaut, mais interroge directement les serveurs DNS du CDN lorsqu’il détecte un CDN. (L’article est plutôt vague sur comment reconnaître un CDN, ils proposent une liste manuelle ou bien l’heuristique « s’il y a un CNAME, c’est un CDN ».) Leur solution a été mise en oeuvre dans le relais DNS namehelp.

#DNS #HTTP #OpenDNS #GooglePublicDNS #CDN

4 Simple Changes to Stop Online Tracking | Electronic Frontier Foundation
►https://www.eff.org/deeplinks/2012/04/4-simple-changes-protect-your-privacy-online

#publicité #tracking #surveillance #adblock+ #cookies #referers_off #https_everywhere

Très bon coup de gueule sur le délire de soi-disant #sécurité (en fait lié à un mélange de volonté de contrôle et de pure incompétence) qui fait qu’#HTTP est maintenant le seul protocole à passer partout, ce qui fait qu’on réinvente tous les protocoles au dessus de HTTP.

►http://jean-pierre-troll.blogspot.fr/2009/07/le-syndrome-http.html

#Internet

RFC 6698 : The DNS-Based Authentication of Named Entities (DANE) Transport Layer Security (TLS) Protocol : TLSA

À chaque seconde, d’innombrables transactions sur l’Internet sont protégées contre l’écoute et la modification malveillante par le protocole #TLS. Ce dernier est capable de chiffrer la session (pour la protéger contre l’écoute par un tiers) et d’authentifier le pair avec qui on parle (pour s’assurer qu’on n’est pas en train de communiquer avec un usurpateur). Comment TLS authentifie t-il ? La méthode la plus courante aujourd’hui est de se servir de certificats #X.509 vérifiés (en théorie) par une Autorité de Certification. Ce mécanisme repose sur une confiance aveugle dans de très nombreuses organisations, et a de nombreuses faiblesses, comme on l’a vu en 2011 où le piratage de plusieurs AC a permis à des attaquants d’obtenir de « vrais-faux » certificats, y compris pour des organisations qui n’étaient pas clientes des AC piratées. La démonstration étant ainsi faite que X.509 n’était pas digne de la confiance que certains lui accordent, il restait à concevoir une meilleure solution. Rendue possible par le déploiement de #DNSSEC, voici #DANE (DNS-based Authentication of Named Entities) et ses enregistrements #DNS #TLSA. DANE permet à chacun de publier de manière sécurisés ses certificats, bouchant ainsi les vulnérabilités de X.509, ou permettant même de s’en passer complètement.

DANE permettrait par exemple, d’accéder à SeenThis sans se faire engueuler par son navigateur. Aujourd’hui, SeenThis est accessible en #HTTPS mais avec un certificat auto-signé, et pour un nom invalide ("SeenThis" et pas "seenthis.net"). Ajouter un enregistrement TLSA à _443._tcp.seenthis.net permettrait de ne plus avoir d’avertissement de sécurité (pour les futurs navigateurs Web avec gestion de DANE/TLSA).

►http://www.bortzmeyer.org/6698.html

#RFC

Info importante apprise en visionnant les vidéos du CMS Day : #Drupal 8 va intégrer plusieurs des modules de base du #framework #symfony !

Le cœur qui implémente super proprement le standard #HTTP dans #PHP, le module de #route #routing pour faire correspondre masques d’#URL, actions HTTP, et action dans le logiciel, plein de trucs supers... qui vont être intégrés directement dans le noyau de Drupal.

Le but est de rajeunir un code vieillissant, de le rendre plus maintenable, plus testable et générique, et plus interopérable puisque le code sera partagé avec d’autres applis, ces morceaux ne seront plus propres à Drupal.

Je trouve cela extrêmement intéressant.
Le but n’est évidemment pas que tous les logiciels se ressemblent et gommer leur personnalité ou ce qu’ils pourraient apporter d’innovant.
En effet, ça intégrerait surtout des éléments bas niveaux, qui sont à priori des bonnes pratiques dans un contexte #REST, quelque soit ce qu’on en fait ensuite.

Voici l’annonce de #Fabien-Potencier, de Symfony :
Symfony2 meets Drupal 8 - Symfony
►http://symfony.com/blog/symfony2-meets-drupal-8

Et l’annonce de #Dries-Buytaert, de Drupal :
The future is a RESTful Drupal
►http://buytaert.net/the-future-is-a-restful-drupal

Des idées pour #SPIP 4 ?

#HTTP Error Status 451 proposed to show legal block
►http://www.h-online.com/open/news/item/HTTP-Error-Status-451-proposed-to-show-legal-block-1616052.html

Google’s developer advocate Tim Bray has proposed a new HTTP Error status code to the IETF as an RFC to bring more transparency to the legal and government blocks and filters of content on the internet. (...) Bray’s proposal is that the 451 code should be returned with an explanation of why the content was unavailable. He offers the following as an example of such a returned message.

HTTP/1.1 451 Unavailable For Legal Reasons

This request may not be serviced in the Roman Province of
Judea due to Lex3515, the Legem Ne Subversionem Act of AUC755,
which disallows access to resources hosted on servers deemed
to be operated by the Judean Liberation Front.

(...) The selection of the 451 code is inspired by the book Fahrenheit 451 by the recently deceased Ray Bradbury.

#censure #internet

Juste pour mémoire : En route pour #HTTP/2.0
►http://linuxfr.org/news/en-route-pour-http-2-0