Désinstaller QuickTime , c’est urgent, c’est plein de failles ! Ah bon, mais lesquelles ?

Depuis quelques jours, la toile d’émeut de lire de ci de là qu’il faut désinstaller QuickTime de windows !
quicktime_uninstall_quickAh bon ! Mais pourquoi ?

Tout d’abord, outre le fait que les formats lus par QuickTime de Apple sont lisibles par des logiciels comme VLC, que QuickTime fait la part belle à ses détracteurs qui n’en disent que du mal (outil propriétaire, comme windows d’ailleurs, lent, lourd, pas convivail, moche et compagnie…), QuickTime a longtemps été un outil fiable et de qualité permettant de jouer avec la transparence pour la version pro. C’est également un outil appécié des utilisateurs de Final Cut Pro, et de Adobe Première.

Bref, QuickTime est à désinstaller sur les plateformes windows. Ok, mais pourquoi ?
Tout simplement à cause d’un tweet de TrendMicro :
trend_micro_quicktimeEt ce que dit le tweet : « #Apple ne publiera plus de mises à jour de sécurité pour QuickTime pour Microsoft Windows sur les plates-formes Windows (NDLR : Sic !) ».
Ah, ok ? What else ?

En cherchant ce qui peut pousser à piblier des tweets aussi alarmants, on se rend compte que :
– l’us-cert.gov rapporte en toute logique que tous les logiciels ont un cycle de vie, un début et une fin (même si certains sont à la version V1535), et que Apple a décidé du « zero day » de QuickTime ! (https://www.us-cert.gov/ncas/alerts/TA16-105A)
– que 2 failles existent :
* http://www.zerodayinitiative.com/advisories/ZDI-16-241/
* http://www.zerodayinitiative.com/advisories/ZDI-16-242/
Ces 2 failles sont relatives à QuickTime Atom, que ZDI (zerodayinitiative.com) a largement communiqué avec Apple à ce sujet :

This vulnerability is being disclosed publicly without a patch because vendor indicates that the product is deprecated.

11/11/2015 – ZDI reported 2 vulnerabilities to the vendor
11/11/2015 – The vendor acknowledged receipt of both reports
02/29/2016 – ZDI wrote to the vendor requesting a status update
03/08/2016 – The vendor replied, inviting ZDI to a call
03/09/2016 – ZDI joined a call with the vendor:
ZDI was advised that the product would be deprecated on Windows and the vendor would publish removal instructions for users.
ZDI advised the vendor that the cases would be 0-day.
03/24/2016 – ZDI notified the vendor of the intent to 0-day on or after 4/13
04/01/2016 – The vendor acknowledged and provided a link to their removal instructions

Vendor Response:

https://support.apple.com/HT205771
et a laissé à Apple juqu’au 13 avril pour publier un correctif. Apple a alors tout simplement publié une page d’assistance à la désinstallation du logiciel :
https://support.apple.com/en-us/HT205771

Mais au fait, Movie Atom, c’est quoi ???
je-suis-dubitatifAlors tout d’abord, il faut savoir que l’on parle de format mp4, format très largement répandu, et aujourd’hui utilisés sur toutes les plates-formes ou presque de streaming ou de diffusion de vidéos en logne.
Un fichier mp4 est composé de structures objet, qui sont appelées des « atomes ».
Chacun de ces atomes est défini par un tag unique et une longueur. la plupart de ces atomes décrivent une hiérarchie de métadonnées contenant des informations telles que les points d’index des données pointées, les durées et finalement les données qui pointent sur les données du média. Cette structure d’atomes est contenue dans un atom particulier  : le Movie Atom.
Les données media sont soit dans le fichier mp4 lui-même,et contenues dans 1 ou plusieurs atomes de données média ou « mdat », soit à l’extérieur du fichier mp4 et référencées via des url’s ! Et oui, et c’est là que cela devient intéressant :
Pour boucler la boucle, il faut alors comprendre que pour injecter du code, il faut aller sur un site qui propose du mp4 en streaming (protocole rtmp, port 1935 par exemple) ou pseudo streaming (protocole http, port 80), et il semblerait que pour être exposé à la faille, il faut lire les vidéos avec QuickTime ! Mais quel navigateur aujourd’hui intègre QuikTime comme lecteur ??…

Je suis dubitatif sur le buzz de cet « uninstall », et reste sur ma position : avant de propager quelque chose, il faut le vérifier…

Si on doit enlever ce qui est faillible ou comporte des failles, je vous propose de ne plus aller sur internet (présente potentiellement une faille de sécurité, voir plusieurs et expose à des risques de jeux en ligne, de musique en ligne, de vidéos en ligne, de culture en ligne), je vous propose d’enlever votre système d’exploitation préféré (je n’en nommerai aucun car windows, linux et mac os présentent des failles), je vous propose d’éteindre votre téléphone mobile (présente des failles de sécurité), je vous propose de ne pas allumer votre télévision et d’éteindre le four qui présentent aussi des failles de sécurité !

Pour plus de renseignements, vous pouvez lire :

  • https://developer.apple.com/library/mac/documentation/QuickTime/QTFF/QTFFChap2/qtff2.html
  • https://books.google.fr/books?id=WFNPxnkYHvMC&printsec=frontcover&hl=fr#v=onepage&q&f=false
  • https://www.us-cert.gov/ncas/alerts/TA16-105A
  • http://www.hackervoici.com/faille-lave-linge.html

 

 

module prestashop gratuit, connaitre l’environnement php utilisé par prestashop

Module Display PHP Environment PHPINFO() Back Office (1.4x, 1.5.x et 1.6.x) – non testé
141516

Ce module développé par eTiendas.co est vraiment intéressant pour vous aider à travailler sur votre prestashop. En effet, si le traditionnel « phpinfo(); » vous permet d’avoir accès à toutes les variables utilisées de base par votre module php (en module apache, en php-fpm ou hhvm), ce module simple vous permet de connaître les données utilisées dans php après les ini_set intégrés dans prestashop. Ainsi, si vous développez des modules php, ou si vous avez besoin de donner des informations à vos développeurs, ce module vous permettra d’accéder rapidement aux informations nécessaires.

etiendasdisplayphp.zipAuteur : El Patron sur le forum prestashop.com,
site : etiendas.co

Description originale du module :

Description:
PrestaShop will at runtime set php values using ini_set. Using a typical root file phpinfo(); will not display these settings. Also it is not secure to have a stand alone phpinfo(); accessible to others.

Because this runs as back office module, it can only be viewed by authorised agends.
Outputs a large amount of information (tabular form) about the current state of PHP. This includes information about PHP compilation options and extensions, the PHP version, server information and environment (if compiled as a module), the PHP environment, OS version information, paths, master and local values of configuration options, HTTP headers, and the PHP License.

Because every system is setup differently, phpinfo() is commonly used to check configuration settings and for available predefined variables on a given system.

phpinfo() is also a valuable debugging tool as it contains all EGPCS (Environment, GET, POST, Cookie, Server) data.

Prestashop Compatibility : v1.4 – v1.4..11, v1.6 – v1.6.1.4, v1.5 – v1.5.6.2
Core Changes : No
Database Changes : No
Multishop Compliant : Yes

Téléchargement : etiendasdisplayphp

Module prestashop gratuit Video Youtube Responsive

Module Video Youtube Responsive (1.5.x et 1.6.x) – non testé
1516
Ce module permet d’ajouter une vidéo Youtube sur votre portail, avec l’ID youtube, de manière reponsive. Vous pouvez définir les durées de lecture, la hauteur et la largeur de la vidéo.
video-youtubeAuteur : TimShoper
Specificités :

  • Set your module position: right column, left column.
  • Player should play second and then stop.
  • Edited width and height video block.
  • Set your module position: Tab Page or Tab Product page.
  • Configuration – Short name.
  • Tab animation left page.
  • HTML5 markup: scrubbed clean of bulk and infused with semantic power.
  • CSS3 galore: progressively enhanced styles reward modern browsers while staying lean.
  • Stylish and clean design.
  • Fully responsive 100%.
  • Compatible with Prestashop 1.5.x and 1.6.x.
  • Compatiblility(IE8+, Firefox, Opera, Safari, Chrome).
  • Multi-language ready.
  • Mobile compatible.
  • User Guide Documentation.pdf, full documentation.

Télechargement : proyoutube

module prestashop gratuit home vidéo

Module Home Video (1.6.x) – non testé
16
Ce module vous permet d’uploader une vidéo et de l’afficher sur votre portail. J’ai noté dans le code une limite à 400.000.000 d’octets en upload, donc penser à modifier php.ini pour accepter de tels uploads.
homevide1 homevideo2Pas d’autres spécificités connues.
Auteur : Ndiaga
Téléchargement : homevideo

module prestashop gratuit d’impression optimisée

Module CSS d’impression optimisée (1.4.x, 1.5.x, 1.6.x) – testé sur 1.6
141516

Ce module proposé gratuitement par Johann Corbel, permet d’ajouter une feuille de style destinée à l’impression des pages web. J’ai modifié le fichier jc_printcss.php selon les indications données dans ce fil par Eolia.

Téléchargement : jc_printcss
Mon retour sur ce module : certaints thèmes comprennent déjà un fichier de d’impression. Ce module mérite d’être optimisé dans le code css, qui est tout simple en fait. Il faut adapter les zones à éditer ou pas… Mais fonctionne. Rien n’est paramétrable, ce n’est que la pose d’un fichier css supplémentaire.

Prestashop, que des modules gratuits !

prestashop

Prestashop, c’est bien… Ou pas trop mal.
Mais de l’avis de tous les développeurs qui posent des modules sur le shop addons, il est normal de payer les modules. Certes, oui ! Mais la liberté de créer un module et de le mettre à disposition d’un public qui cherche une petite fonctionnalité et de manière gratuite devrait être largement faisable ! Mais de plus en plus, les modules gratuits disparaissent du payasage addons, et il n’en reste que moins de 70 sur le market addons.

De nombreux membres du portail prestashop.com, membres actifs du forum, ou divers prestataires de droite et de gauche, de France ou d’ailleurs, proposent des modules gratuits, simples et qui répondent parfaitement à quelques usages particuliers dans les boutiques prestashop.

J’essaie ici même de lister et proposer les modules disponibles, les recenser en les détaillant à minima, et en indiquant les versions de compatibilité, bien évidemment. Le lien sur le portail de l’auteur sera affiché, tant que faire se peut !

Ces modules sont gratuits, et je n’assure aucun support de ces modules. Je laisse la responsabilité de l’usage à l’usager et le copyright à l’auteur.
Avertissement : ces modules vous afficheront à l’installation la fenêtre suivante :
alerte_prestashopCet avertissement est normal, donc pas d’inquiétudes…
Notez bien que cette liste est en évolution constante et en fonction de mes découvertes. Chacun des liens ci dessous vous amène à ouvrir une nouvelle fenêtre dans votre navigateur et vous permettra d’avoir plus de détails sur ces modules gratuits prestashop. J’ai sélectionné ces modules pour l’intérêt qu’ils pourront vous apporter, après en avoir lu des commentaires positifs et en pensant que vous aussi vous apprécierez d’avoir la possibilité d’améliorer les fonctionnalités, le front end, ou le back end de votre vitrine prestashop.

La liste des modules gratuits pour prestashop :

Module CSS d’impression optimisée (1.4.x, 1.5.x, 1.6.x) – testé sur 1.6
Module Display PHP Environment PHPINFO() Back Office (1.4x, 1.5x, 1.6x) – non testé

Module Home Video (1.6.x) – non testé
Module Video Youtube Responsive (1.5.x et 1.6.x) – non testé

Optimiser la balise « title » dans prestashop

Depuis quelques temps je me suis plongé dans le « merveilleux » monde (humour inside !) de Prestashop…
prestashop

Je prendrai le temps d’écrire quelques articles concernant son hébergement, son usage, quelques trucs et astuces (on en découvre pas mal et rapidement !), mais tout d’bord un premier relatif au SEO.

L’outil en lui-même est intéressant à étudier. Outre le fait que ce soit une véritable usine à gaz pleine de « hooks », de « modules », cette machinerie propose d’entrée une optimisation pour le SEO via une mécanique qui me laisse souvent perplexe.

Et pour ouvrir le thème prestashop, j’ai choisi une des plus simples : la balise « title » !

Elle est construite dans le script /classes/Meta.php, et en lisant ce script on réalise bien vite la confirmation d’une observation : le titre est composé de la page en cours de visite, un tiret, et le nom du portail !

Or, Google préconise de ne pas dépasser les 70 caractères. Si je prends l’exemple d’un portail qui serait « j-aime-les-animaux-de-compagnie.fr », nous aurons déjà 34 caractères, et si je vais dans une catégorie « j-aime-les-animaux-de-compagnie.fr/55-je-prends-soin-de-mon-animal-de-compagnie », alors nous avons un joli 80 caractères !
Bref, le référencement prend un coup.

Alors, il faut faire simple, il faut taper dans le code pour corriger tout cela :

On ouvre le script /classes/Meta.php
On cherche tout ce qui est :

et on le remplace par :

Bon, ok, cette modification, ce tuning du code n’est pas compliqué, mais sincèrement ce sera un vrai plus car :
– on évitera de dépasser les 70 caractères qui sont généralement recommandés dans les règles du SEO
– on évite la redondance du nom du site qui n’a aucun intérêt en SEO !

Une explication quand même : cette recherche et modification permet d’aller chercher toutes les expressions dans la page qui sont suivies du nom du portail défini dans la variable PS_SHOP_NAME et de ne pas l’afficher.

Bon tuning à vous !

OVH occulté dans les benchs 1and1

Très récemment, j’ai voulu faire un tour sur mon panel admin 1and1 pour un domaine qui est encore hébergé chez eux.

Mon attention fût alors attirée par une pseudo pub pour leurs VPS (Je suis consommateur de VPS avec mes relais SMTP, hébergement de micro services divers et variés bien utiles !).
cloud-pub-1and1-2016-02-25 09-16-21Cette pub met en avant la qualité des VPS 1and1, et tout ce qui peut faire que l’on choisira 1and1 pour prendre un VPS. Cette pub est confortée par une page du blog 1and1 où l’on retrouve leurs VPS classés number one pour leur performance et leur rapport qualité/prix:
http://blog.1and1.fr/2016/01/15/11-serveur-cloud-classe-leader-de-letude-cloud-spectator-2016/

Ah bon ?
surpris
Etant donné que j’ai des services de domaines, de VPS et de dédiés hébergés chez OVH, je m’empresse de rechercher OVH dans le classement proposé :
cloud-score-ou-est-ovh
Vous le voyez ? Pas moi !

Pourquoi ? Je ne sais pas, tous les mails envoyés à 1and1 pour poser la question restent « mails morts », sans réponses, etc… Bref, pas cool.

Alors je mène mon étude.
Les perfs, je vais paraître un peu bleu, mais je n’ai pas envie de tester, le choix des distributions en 64 bits me fait mal aux yeux  :
– ubuntu 14.04
– Centos 6 ou 7
– Debian 7
choix-distrib
Et ?
Ben c’est tout ! Oui, 4 distrib en 64 bits (2 en 32 bits : Debian 7 et Centos 6, et 2 en windows, server 2008 et 2012).

Chez OVH, les distributions sont proposées selon le choix de l’orientation du client (distribs nues, orientées E-commerce, desktop, avec CMS préinstallés, Panels ou développement), et j’ai compté 7 distributions nues (17 choix au total !) :

VPS Windows, Linux - 17 distributions au choix - OVH 2016-02-25 09-39-44

Mon choix : OVH pour le choix, et bonus pour l’aide au choix pour OVH !

1and1 : 0, OVH : 2

Un critère à prendre en compte lorsque l’on choisit un serveur, un VPS, un hébergement mutulisé, c’est la localisation du serveur ! Vous savez, c’est ce qui fait qu’un site hébergé en France sera senti par Google comme étant à présenter aux français et accessoirement aux francophones…

1and1 héberge ses serveurs… en Allemagne. Et oui, 1and1 est allemand, et ce qui explique que certains sites aient de jolies fréquentations dans leurs belles statistiques qui ont pour origine l’Allemagne… Oui, mais quand tu vends des légumes dans les monts du Lyonnais, tu t’en fiches pas mal d’avoir des visites qui ont pour origine Berlin ou Frankfurt…  Ce petit marchand de légumes aurait dû choisir un VPS en France ! Et qui héberge en France ? OVH bien sûr (et d’autres, oui, mais là, on cherche à comprendre pourquoi OVH a été écarté…)

Mon choix : OVH pour la localisation :

1and1 : 0, OVH : 3

Enfin, dernier point, le prix !

Aujourd’hui, les disques, ça ne vaut plus rien ! Ce qui est toujours couteux, c’est la RAM et le CPU… Même si ça se discute…
OVH propose 3 produits dans sa gamme :

Le premier prix 1and1 est 40% moins cher mais avec 4 fois moins de RAM !
Comparativement au haut de gamme OVH à 29,99 euros, 1and1 propose sa première machine 8Go de RAM et 4vCores à 49,99 euros, avec pour seule différence 60Go d’espace disque ! 60 Go à 20 euros par mois, voilà l’espace disque le plus cher du web, ou presque !..
Non, là ça fait vraiment trop mal ! De plus, et pour finir, proposer des 16vCore de 48Go de RAM à 350 euros par mois, non, franchement, je ne comprends pas, mais alors pas du tout !

gamme-1and1-VPS-2016-02-25 09-50-03

Pour le prix, j’accorde 1 point à OVH.

Bilan, hors tests, benchmark et cie :

1and1 : 0, OVH : 4

Oui, d’accord, mais bon, et ceux cités dans le Cloud Specs Score tels qu’Amazon Web Services, Microsoft Azure, Google Compute, Rackspace, IBM SoftLayer, Ubiquity, CloudSigma, Interoute, Peer1, etc…

J’ai voulu obtenir ce fameux rapport cité par 1and1, mais il ne coute que la bagatelle de 1500 dollars US (http://cloudspectator.com/cloud-performance-reports/2016-performance-collection/) et seuls quelques clichés sont disponibles sur le site.
En me balldant sur les presta VPS Cloud, voilà ce que j’ai pu trouver (je reste sur un créneau de 8Go de RAM pour être cohérent dans les comparaisons) :
Microsoft Azure : 2 coeurs, 7Go de RAM, 100Go SSD : 185,84 euros /mois
RackSpace :1 VPS Cloud Linux, 8Go de RAM… 274,13 US$ /mois (pas encore mis de bande passante ni espace SGBD !!!)
Ubiquity : 4 vCPU, 8Go de RAM, 200Go HDD : 80 US$/mois
CloudSigma : 4 vCPU, 8Go de RAM, 80Go SSD : 105 US$/mois
Peer1 : 2 vCPU, 8 Go de RAM, 60Go HDD : 98,05 US$/mois…

En bref : j’arrête de chercher, les VPS cloud sont hors de prix (l’avenir de l’argent facile dans l’hébergement au détriment du vrai service ?!), 1and1 est clairement bien placé par rapport à tous ces prestataires, mais je suis désolé, OVH, l’est encore mieux sur ce segment bienc précis !

Il faudra également expliquer à cette société américaine que OVH est une société internationale, française mais implantée dans le monde (serveurs au Canada par exemple !) et qu’il serait judicieux d’inclure notre fleuron dans ses comparatifs !

Pour moi, le vrai gagnant est :
logo-ovh-avec-150DPI
PS : il est volontaire de ma part de ne pas avoir pris en compte les instances cloud OVH, qui sont de toute façon clairement moins chères et mieux profilées !

 

Let’s Encrypt, du SSL (vert !) gratuit pour tous

Ça y est !

Depuis le 3 décembre, le glas des prestataires de certificats SSL a sonné… Ou presque !
En effet, jusqu’à ce 3 décembre, avoir un beau certificat vert dans la barre d’adresse lorsque l’on affichait son site était forcément fait contre monnaie sonnante et trébuchante !
lets_encrypt

Aujourd’hui, la démocratisation du SSL est en marche,.. A quelques conditions…

Je ne vais pas parler technique (à venir), mais bien théorie.

Edward Snowden déclarait en juin 2013 qu’une réflexion sur la sécurité informatique était lancée, et le projet porté par l’Electronic Frontier Foundation en collaboration avec la fameuse Université du Michigan démarre. Ce projet sera rejoint par Mozilla qui alors ensemble créent « Let’s Encrypt », donc la naissance est officialisée le 18 novembre 2014.
lets-encrypt

Aujourd’hui, le projet est en beta publique et permet à chacun de générer des certificats gratuits X.509 pour le protocole cryptographique TLS.

Donc, la limite de ce système est la garantie financière que proposent les prestataires de certificats, qui est donc là inexistante,… Normal !

Par contre, pour le référencement, c’est le top ! Et si comme moi vous êtes à la recherche de performances, que vous voulez utiliser HTTP/2 ou autres TLS via Nginx, alors il ne faut plus hésiter… Foncez ! Les certificats sont reconnus par tous les navigateurs, sauf apparemment sur windows XP IE8 pour le simple motif que XP n’est plus mis à jour.

Je ferai un debrief sur mes futures installs un peu plus tard, le modus operandi d’installation étant très bien fait sur le site de Let’s Encrypt :
https://letsencrypt.readthedocs.org/en/latest/intro.html

A lire en français, un résumé via wikipédia :
https://fr.wikipedia.org/wiki/Let%27s_Encrypt

Quelques questions réponses résumant la situation :
Qui soutient le projet ?
Ce projet est gratuit, open source, et est soutenu par des organismes, fondations sociétés tels que Facebook (depuis le 3 décembre 2015), Mozilla, Akamai, Cisco, etc… Bref, des monstres du net…
LetsEncryptSponsors
Wilcard ?
– non, mais il suffit d’indiquer à la génération des certificats tous les domaines concernés
Mieux que StartSSL gratuit ?
– pas mieux sur la certification, mais en tout cas, possibilité de gérer les sous-domaines, les multi-domaines, etc… Gratuitement (mais sans garanties financières !)
Quid du renouvellement de certificat ?
– une génération automatique est possible pour le renouvellement (à voir, je testerai), « Let’s Encrypt » vous averti de l’expiration par mail (donné à la génération des clés)

lets-encrypt

Voilà, maintenant, je ne souhaite que voir votre joie à découvrir vos magnifiques A sur SSL Labs :letsencryptssllabsa

A plus !