Archives de août 2014

Facebook rajoute Oculus à son Bug Bounty Program Trouvez des failles dans le site web, le SDK ou le casque et obtenez une récompense

En mars 2014, Facebook
a fait irruption dans le
monde de la réalité
virtuelle immersive
avec le rachat d’Oculus
VR pour un montant de 2 milliards
de dollars. D’après nos confrères
chez The Verge, le numéro un des
réseaux sociaux a décidé d’ajouter
Oculus à son programme de chasse
aux bugs ; ainsi, conformément au
règlement, quiconque lui rapportera
des failles dans la sécurité de sa
nouvelle acquisition recevra au
minimum 500 dollars en fonction de
son degré de sévérité et sa
créativité. Pour rappel, Facebook n’a
mis aucun plafond à la récompense
et a fourni des exemples de
problèmes réels ainsi que des
récompenses qui ont été versées aux
chercheurs. L’année dernière,
l’entreprise a déboursé 1,5 millions
de dollars dans le cadre de son
programme.
Near Poole, un ingénieur sécurité
Facebook, a expliqué qu’à l’heure
actuelle la plupart des bugs sont
dans le système de messagerie des
développeurs Oculus et des parties
du site, ce qui ne les rend pas très
différents des bugs trouvés sur le
réseau social. Cependant,
puisqu’Oculus est le premier produit
physique de l’entreprise, l’équipe de
sécurité pourrait rencontrer de
nouveaux types de bug.
« La majorité des difficultés liées à
Oculus ne proviennent pas
nécessairement du matériel pour le
moment », a expliqué Poole. «
Potentiellement dans l’avenir, si les
gens allaient explorer et découvrir
des failles dans le SDK ou le
matériel, il est évident que cela aura
un intérêt pour nous » a-t-il ajouté.
De nombreuses sociétés
technologiques ont recours à ce
procédé pour vérifier leurs codes et
rémunérer au passage des
particuliers, voire des entreprises.
Des évènements sont organisés où
des éditeurs proposent à des
professionnels de briser les défenses
de leurs logiciels. Le programme de
Facebook a été mis sur pied depuis
juillet 2011.
Source : The Verge

Poster un commentaire

Des cybercriminels russes réalisent le plus grand vol de données sur Internet 1,2 milliard de mots de passe collectés par ceux-ci

Des pirates russes ont
réussi l’exploit de
réaliser le plus grand
vol des données des
utilisateurs sur
Internet, selon des chercheurs en
sécurité.
Le groupe mystérieux de pirates
aurait réussi à collecter 1,2 milliard
d’enregistrements uniques
(combinaisons uniques email-mot de
passe) provenant de plus de 420 000
sites Web,
Ces informations ont été recueillies
grâce à un réseau d’ordinateurs qui
ont été piratés à l’aide des logiciels
malveillants, permettant le contrôle
de ceux-ci par les pirates. Ces
ordinateurs ont été utilisés pour
identifier des vulnérabilités
permettant des attaques par
injection SQL au sein de ces sites
Web.
L’analyse des informations collectées
par les pirates a permis d’identifier
4,5 milliards de noms d’utilisateur
et mots de passe contenant
plusieurs doublons, ainsi que 542
millions d’adresses uniques de
messagerie électronique.
Les cibles des pirates seraient assez
diversifiées, allant des sites
importants aux petits sites Web. «
Les pirates n’ont pas uniquement
ciblé des sociétés américaines, ils
ont visé tous les sites internet qu’ils
pouvaient trouver. Cela va des
entreprises référencées dans le
classement Fortune 500 aux très
petits sites », a déclaré le fondateur
de Hold Security, Alex Holden.
Les noms des sites Web touchés
n’ont pas été divulgués, car la
plupart de ceux-ci seraient toujours
vulnérables.
Selon le cabinet de sécurité, les
données collectées n’auraient pas
été vendues par les pirates. Ceux-ci
les auraient utilisées pour distribuer
des spams.
Hold Security affirme également que
les pirates seraient une douzaine de
jeunes dans la vingtaine, repartis en
petites équipes, dont certaines sont
dédiées uniquement à la collecte
des données et d’autres chargées de
la maintenance du botnet utilisé
pour infecter des ordinateurs.
« Même si le groupe de pirates n’a
pas de nom, nous l’avons surnommé
‘CyberVor’, ‘Vor’ signifiant ‘voleur’ en
russe », a précisé Hold Security.
Hold Security a divulgué ces
informations après une enquête de
sept mois.
Suite à ces révélations, les experts
en sécurité de Symantec estiment
qu’il serait temps pour les
entreprises d’abandonner les mots
passe. « Les entreprises doivent à
présent considérer l’authentification
sans mot de passe : ceux-ci sont de
moins en moins sûrs et de plus en
plus difficiles à utiliser avec la
multiplication des terminaux
mobiles. La mobilité est
potentiellement le fer de lance du
changement dans le monde
professionnel sur ce point précis »,
conseillent les experts de Symantec.
Ceux-ci citent notamment des
projets en cours de développements
permettant le recours à la double
authentification sans mot de passe,
ainsi que le BYOA (Bring Your Own
Authentication) qui grâce à
l’intégration de la biométrie aux
terminaux mobiles, serait « une
solution sans mot de passe plus
pratique et plus sûr. »
Source : The New York Times

Poster un commentaire

PHP : une spécification formelle du langage de programmation voit le jour Le projet supervisé par Facebook

Plusieurs langages de
programmation les plus
populaires évoluent en
fonction des
spécifications qui ont
été établies au préalable. Dans ce
registre, on peut citer les langages
de programmation comme Java, C++,
JavaScript ou encore C#.
La spécification pour un langage de
programmation est la source de
référence pour sa syntaxe et son
utilisation. Elle contient des
informations détaillées sur tous les
aspects du langage et définit un
cadre pour son implémentation.
Le langage PHP, bien que jouissant
d’une importante popularité dans le
monde du développement Web
depuis 1995, n’a jamais eu droit à
une spécification officielle, se
limitant à offrir aux utilisateurs du
langage une vaste documentation.
De plus, à la suite de la création du
moteur de script Zend Engine (qui
était la référence pour avoir une
idée sur le fonctionnement du
langage), plusieurs alternatives avec
des implémentations assez
différentes ont vu le jour afin
d’améliorer les performances du
langage.
Il était donc devenu nécessaire de
nos jours d’offrir une spécification
formelle du langage de
programmation, qui définira ce qui
est attendu des moteurs de script.
C’est ainsi qu’un groupe de
développeurs a lancé un projet de
spécification pour PHP, afin de
mettre au point une définition
complète de la sémantique et de la
syntaxe de PHP.
Le groupe est dirigé par Facebook et
on y retrouve Andi Gutmans, le PDG
de Zend Technologies et créateur de
Zend Engine, ainsi que le créateur
de PHP Rasmus Lerndorf.
« La prochaine version de PHP – PHP
7 – est en cours de développement.
Afin de garantir le respect complet
des scripts PHP existants, il est
important de savoir ce qui est
attendu du moteur », a déclaré Sara
Golemon de Facebook. « En outre,
avec des implémentations
alternatives comme HHVM, il est
important de garder un minium de
divergence pour faciliter la
compréhension de ce à quoi devrait
ressembler un moteur. »
Pour rappel, HHVM (HipHop Virtual
Machine) est un projet développé
par Facebook afin d’accélérer la
vitesse de rendu des pages PHP.
HHVM est un compilateur PHP Just
In Time (JIT) qui offrirait, selon
Facebook, des performances six fois
supérieures à celles de Zend Engine.
Avec les futures évolutions de PHP et
la sortie imminente de PHP 5.6,
Facebook a besoin d’avoir des
informations détaillées sur tous les
aspects du langage pour offrir une
implémentation de HHVM qui sera
cohérente avec ces évolutions.
Une première ébauche de la
spécification est déjà disponible sur
la plateforme d’hébergement des
projets open source GitHub et à
long terme, le document sera élaboré
à côté de la mise en œuvre de PHP.
La spécification formelle de PHP
Et vous ?

Poster un commentaire

PHP 7 sera la prochaine version majeure de PHP Il n’y aura pas une version 6 pour le langage de programmation

PHP passera
directement de la
version 5.x à la version
7.x, sans passer par
une version 6.x. C’est
ce qui ressort d’un vote dans une
RFC (requests for comments) sur le
Wiki du langage de programmation
Web.
Après un long processus de votes,
sujet à des discordes, qui avait
débuté le 20 juillet 2014, avant
d’être subitement annulé pour des
raisons qui ne sont pas claires, les
responsables du projet ont adopté
PHP 7 comme la prochaine version
majeure du langage. Le second vote
s’est déroulé entre le 23 et le 30
juillet, et 58 voix contre 24 ont été
favorables à l’utilisation de « PHP 7
» à la place de « PHP 6 ».
Pourquoi avoir opté pour PHP 7 alors
que logiquement, la prochaine
version du langage devrait être
baptisée « PHP 6 », puisqu’on est
actuellement à la version « 5.x » ?
Retour en 2005, les développeurs de
PHP se lancent dans la création
d’une nouvelle version majeure du
langage, qui allait avoir pour nom «
PHP 6 » et devait avoir comme
nouveauté majeure l’intégration
d’Unicode (standard informatique
qui permet des échanges de textes
dans différentes langues, à un
niveau mondial). Face à d’énormes
difficultés rencontrées dans la mise
en œuvre d’Unicode, le projet est
abandonné en 2010, et les autres
nouveautés et améliorations de PHP
prévues pour cette version sont
intégrées dans « PHP 5.3 » et « PHP
5.4 ».
C’est alors que nait une certaine
confusion. Alors que PHP 6 ne voit
pas le jour, plusieurs ressources en
ligne font référence à PHP 6 pour
évoquer ses fonctionnalités, y
compris des livres. La prochaine
version de PHP étant construite sur
de nouvelles bases, il était
important pour les développeurs du
projet de se distancer de la version
6, qui avait déjà été beaucoup
médiatisée.
Plusieurs raisons ont été évoquées
pour justifier ces changements, dont
voici l’une : « La version 6 est
généralement associée à l’échec
dans le monde des langages
dynamiques. PHP 6 a été un échec,
Perl 6 a été un échec. Il est
également associé à l’échec en
dehors du monde des langages
dynamiques : MySQL 6 existait, mais
n’a jamais été publié. La perception
de la version 6 comme un échec –
pas comme une superstition, mais
un fait réel mondial (similaire à
l’association du mot « Vista » à
l’échec) – reflète mal cette version
de PHP ». Il faut noter que Windows
Vista était la version 6 de Windows.
Les défenseurs de la version 6,
quant à eux, soutenaient que les
gens allaient se poser la question de
savoir comment PHP était passé
subitement à la version 7, sans avoir
une version 6.
Le débat est désormais clos et a fait
place aux discussions sur les
fonctionnalités qui seront intégrées
à cette prochaine version majeure
de PHP, qui succédera à PHP 5.6.
Parmi celles-ci, pourrait figurer « PHP
Next Generation », un projet dont le
but, est de procéder à une refonte,
à l’optimisation et au nettoyage du
code de base de PHP pour le rendre
plus efficace et permettre d’avoir
recours à un compilateur JIT. La
refactorisation du code de PHP dans
le cadre de ce projet avait déjà
entrainé une augmentation des
performances d’applications comme
Wordpress 3.6 de 20 % et Drupal 6.1
de 11,7 %.
Source : site du projet PHP

Poster un commentaire

Les développeurs Web ne respecteraient pas les standards sur mobile Microsoft obligé

Microsoft a été critiqué
pendant plusieurs
années par des
développeurs pour le
nom respect des
standards du web pour son
navigateur Internet Explorer pour
Desktop. La société a fait des efforts
dans les récentes versions de son
navigateur pour se conformer aux
normes.
Actuellement, c’est la situation
inverse qui est effectuée par la
société sur le mobile. Afin d’offrir
une meilleure expérience utilisateur
aux mobinautes, la société a
optimisé IE sur Windows Phone, en y
ajoutant même des fonctionnalités
qui ne font pas partie des standards
du Web, afin de supporter un
nombre important de sites Web
mobiles.
Dans un billet de blog sur les
améliorations qui ont été apportées
à Internet Explorer 11 dans la mise
à jour Windows Phone 8.1 Update 1,
la firme explique que les
développeurs lors de la création des
versions mobiles de sites Web, ont
concentré leurs efforts sur la prise
en charge d’une plateforme
particulière, au détriment de la prise
en charge des standards du Web.
« Contrairement au Desktop qui est
basé sur le support des standards,
de nombreuses pages Web mobiles
modernes ont été développées pour
iOS et l’iPhone. Cela a eu comme
conséquence une expérience souvent
dégradée pour les utilisateurs
d’autres systèmes », explique
Microsoft. Parmi ces systèmes, on
retrouve Windows Phone et Firefox
OS.
Après avoir testé un nombre
important de sites mobiles
populaires, Microsoft a constaté que
son navigateur sur mobile affichait
parfois les versions Desktop des
sites, parce que ceux-ci ne
reconnaissaient pas IE 11 comme
navigateur mobile. Le navigateur
fournissait un mauvais rendu des
sites Web parce que plusieurs
utilisaient de anciennes
fonctionnalités préfixées de webkit,
qui ont été remplacées par des
normes, ainsi que celles qui ne sont
pas normalisées. Il y avalait
également des fonctionnalités de
rendu spécifiques à Safari sur iOS
qui n’étaient pas prises en charge
par IE11.
La firme s’est lancée dans un travail
d’optimisation de son navigateur
mobile, afin d’offrir aux utilisateurs
un rendu similaire que sur iOS et
Android, les deux plateformes
majeures de l’écosystème du mobile.
Plus de cent améliorations ont été
apportées par l’éditeur à IE 11 dans
Windows Phone 8.1 Update 1.
« Nous croyons que s’est une
approche plus pragmatique pour
l’exécution du Web mobile qui est
moins normalisé actuellement »,
note la firme, qui explique qu’IE 11
dans Windows Phone 8.1 Update 1
améliore considérablement la
compatibilité avec les sites les plus
populaires du Web mobile.
« Nous avons testé plus de 500 sites
Web populaires en version mobile
pour apporter des améliorations à
l’expérience sur plus de 40% d’entre
eux », affirme Microsoft. Parmi ces
sites, on retrouve Twitter, Baidu,
Hawaiian Airlines ou encore le New
York Times, qui ont désormais sur
IE11 un rendu identique à celui qui
est observé sur l’iPhone.
À titre illustratif, ci-dessous un
rendu des sites
http://www.hawaiianairlines.com, et
http://www.nytimes.com pour lesquels les
versions desktop sont affichées sur
IE11 et Firefox OS.
Le nouvel rendu après sur IE11 dans
Windows Phone 8.1 Update 1,
comparé à l’affichage sur iPhone.
Microsoft invite néanmoins les
développeurs à prendre en charge
les normes sur mobile. « Ce n’est
pas notre objectif de soutenir les
préfixes et API Webkit. Nous
continuerons nos efforts de
sensibilisation pour encourager ces
sites à fonctionner sur la base des
normes. Le support que nous avons
ajouté aujourd’hui est nécessaire
pour faire fonctionner le Web mobile
», explique la société.
Windows Phone 8.1 Update 1 sera
disponible dès la semaine prochaine
pour les développeurs et dans
quelque mois pour le grand public.
Source : Microsoft

Poster un commentaire