L’information est sortie cette semaine, une faille de sécurité critique dans OpenSSL sur Debian à été découverte.

Extrait de linux.fr :

Le 13 mai, un message publié sur la liste de sécurité Debian identifiait une anomalie impactant le paquet openssl. Ce bug a été introduit par un mainteneur Debian, qui a eu la main lourde en voulant “corriger” des alertes remontées par Valgrind (un logiciel qui audite le code). Résultat des courses : le générateur de nombres aléatoires, composant critique de nombreux systèmes de chiffrements, n’est au final pas si aléatoire que ça, voire carrément prévisible.
En conséquence, tous les certificats et clefs SSL/SSH générés sur une Debian (ou dérivée) depuis 2006 l’ont été à partir d’un univers des possibles très restreint (environ 250 000 clefs, à confirmer) et présentent donc un niveau de sécurité largement inférieur à celui estimé.

Cette vulnérabilité touche Debian ainsi que toutes les distributions utilisant des paquets Debian (Ubuntu, Xandros…).

la suite de l’article …

Que cette faille impacte les Debians depuis 2006 à cause d’un “patch” sur un paquetage aussi sensible qu’OpenSSL, ca me laisse … comment dire … un gout amer aux premiers abords …

Travaillant actuellement sur des Widgets en Flash, j'utilise les sockets via la classe native en AS3 pour m'authentifier sur des services en lignes et diverses autres opérations.

J'ai été confronté récemment a devoir faire des requêtes sur couche HTTPS ... Le seul problème c'est que Flash aujourd'hui, n'as pas de fonction native pour travailler en HTTPS et pour des besoins fonctionnels spécifiques j'ai utilisé les sockets.

La seul librairie que nous avons trouvé pour répondre aux besoins, est celle-ci : as3httpclientlib, un client HTTP/HTTPS pour ActionScript 3, après une bonne phase de R&D sur le principe des échanges clients <-> serveurs (merci les RFC ...), j'ai put mettre en place mes besoins à l'aide de cette librairie, donc si l'info peut servir à d'autre, c'est avec plaisir que je la transmet. 

Pour ceux qui n'ont pas encore eu l'information, O'Reilly France c'est fini . Un peu étonnante cette nouvelle, drôle de se dire qu'un éditeur de "bibles informatique" qui a forgé notre métier de développeur Web disparait de nos librairies ...

Suite à cette situation le livre “Pratique d’ActionScript 3″ par Thibault Imbert ne pourra jamais sortir aux éditions O’Reilly, mais l"auteur à décidé de le laisser en libre téléchargement pour la communauté Flash.

Suite à mon article précédent sur l’installation de SVN et poursuivant la mise en place de ma plateforme LAMP, j’ai pour habitude lors de mes commits SVN de déclencher des scripts hooks pour effectuer diverses opérations (envoi de mails, synchronisation de répertoires, etc).

Mon langage de prédilection étant le PHP, j’écris mes scripts console en mode php-cli.

Pour effectuer des manipulations au niveau du shell en tant que root ou me connecter sur d’autres machines, j’utilise l’extension SSH2 de php, hélas sous Debian point de package disponible, il faut donc compiler cette extension pour en profiter, voici donc un sujet pour un nouveau article.

Dans le cadre de mes projets personnels ou professionnels, l’utilisation d’un système de contrôle de version pour mes développements s’impose, voici donc un petit résumé de la manipulation à effectuer pour installer Subversion en mode multi-projets et les rendrent accessible via HTTPS sur une Debian.

1. Installez les packages nécessaires.

On lance une console et on passe en root, on update nos sources et on télécharge les packages suivants :

apt-get update
apt-get install subversion subversion-tools libapache2-svn