Il y a huit jours je vous présentais ma toute dernière extension firefox, adaptée d’un idée qui me trottait dans la tête depuis un certain temps et que j’avais eu le temps de développer sur un coin de table à l’arrache de sorte que je puisse la montrer le lendemain à Peter Sünde, co-créateur de Flattr et de visite en France. Sauf que l’extension présentait un certain nombre de bugs que j’ai eu beaucoup de mal à résoudre du fait de leur complexité…

C’est maintenant chose faite et, en installant överallt, vous pouvez désormais intégrer Flattr sur n’importe quel site web 2.0 sans gêner la navigation (c’est mieux quand même ^^) !

Les bugs qui subsistaient

Les bugs en question venaient de deux erreurs que j’ai commises :

Attacher la tâche de remplacement à un évènement beaucoup trop précoce (à la construction du DOM alors qu’elle est maintenant attachée à la fin de chargement de la page); ce comportement avait pour effet de ruiner la structure de la page et d’empêcher certains appels Ajax de se faire (pas d’élément du DOM de destination existant).

Et, plus grave, le remplacement, à la barbare, de l’ensemble du code du body par une version intégrant les boutons Flattr. Ce comportement a été solutionné par un parcours des textNodes du DOM de la page et un remplacement au plus bas niveau du DOM (dans le nodeValue du textNode donc) par explosion de la chaine en 3 parties : avant le code, le code, et après le code. Comme on travaille sur des textNodes aucun évènement ne peut être attaché dessus et mes beaux eventlisteners resteront en place ! J’ai aussi du travailler sur une création maison des boutons Flattr, ne pouvant intégrer une iframe aussi simplement dans le DOM que lorsque je travaille avec un bête innerHTML. Le truc cool c’est que du Js à reverse c’est plutôt simple !

Le fonctionnement du plugin

Le fonctionnement reste inchangé pour l’utilisateur : il suffit d’utiliser un code de la forme [Flattr=2051] (avec 2051 remplacé par votre ID Flattr) pour que les autres utilisateurs d’överallt voient le bouton Flattr permettant de vous récompenser le plus simplement du monde.

Le plugin aura bientôt une nouvelle fonctionnalité suggérée par Olivier Mehani : l’ajout d’une fonctionnalité permettant de sauver son ID Flattr et de pré-remplir les champs des blogs WP proposant le Flattr-comment ainsi qu’un shortcut permettant d’inclure le code överallt correspondant à votre ID plus simplement (on est informaticiens, on est feignants !).

Et pour tester sans attendre : c’est ici !

Et pour finir, ça fait chaud au coeur !

Ce n’est un secret pour personne, je suis en contact régulier avec plusieurs membres de l’équipe de Flattr et leur ai donc envoyé le plugin très vite. Le moins que l’on puisse dire c’est qu’il leur a plu : je vous copie colle des extraits de mails envoyés par Eileen et Linus, respectivement Flattr evangelist et co-fondateur :

Eileen (à propos de Peter Sünde) :

I'm very sorry to hear that Peter didn't have time to sit down and chat with
you (He is often tight for time), but obviously he knows who you are -- and
loves your plugin, so I'm sure he'll try to connect with you soon.

Linus :

Yo!
Nice addon you have made!  We like!

Je vous fait grâce d’une bonne partie des mails envoyés et reçus, mais apparemment l’idée leur plait et ça risque d’aller encore mieux avec cette version stable. A vrai dire l’idée leur plait tellement que j’ai eu un peu de rab d’invitations, donc je vais en distribuer un peu plus que les fois précédentes : 20 !

c1d7798c4230dbbe9
cc112169646c15ae3
cc23e432ce73db5cc
e77e99c68cd4b342c
3dcfaae415428acc5
9da2ac25241f38861
b5910802bad766e8b

c7d19d505639d3dea
62d2c689fa59203ad
fd8b32e76d187127f
26ea3fc8daab92a37
64ff2dd0f9ce3855b
97c8876654d2b060d

74d67584aaf688381
74ef90389b615aecd
e12398d4bd256fdfe
35ebd6fb9a6fb9469
12cb00cf71ee964df
6e64b11c8be193665
670b38eb5d5ca9f11

Et pour les curieux qui se poseraient la question : oui il m’en reste encore après ça

Dans la série, si madame Michu arrive à sécuriser sa connexion Internet je veux bien manger mon chapeau (qu’il va falloir que je récupère un jour), je vous présente la toute dernière faille de sécurité touchant une toute petite boite : Twitter… Après le petit social engineering dont a été victime la startup, qui n’a plus de startup que le nom, Twitter va à nouveau défrayer la chronique à cause d’une faille de sécurité exposant tous ses utilisateurs : une injection XSS toute bête à exploiter.

Lorsque l’on poste sur twitter depuis une application l’API permet d’afficher le nom du logiciel utilisé en ajoutant un petit lien vers le site de l’éditeur dudit logiciel. Véritable tremplin pour les applications du genre, il semblerait que cette fonctionnalité ne soit pourtant pas idéale d’un point de vue sécurité.

C’est en effet en ajoutant au nom du logiciel utilisé (Ubertweet visiblement, mais il a aussi pu le modifier en passant) qu’un pirate a réussit à exploiter une faille vielle comme le monde : la fameuse injection XSS. Le principe est très simple : il s’agit d’injecter du code Javascript au texte originellement attendu. Si le site est mal codé (aka si le code est affiché tel quel sans que ne soit pratiqué de vérification sur le contenu) le script va être interprété et peut poser de graves problèmes de sécurité.

Il est notamment tout à fait possible de voler les cookies (et donc le compte) d’un utilisateur du service qui serait connecté au moment où il visualiserait la page !

Pour cela rien de plus simple, il suffit de les envoyer sur une autre adresse en Ajax (non je ne vous donnerai pas le code en question ). Une fois le cookie récupéré il suffit de le forger en local, et hop, on est connecté sans avoir à rentrer un seul login/mdp (admin / admin marche pas en plus !)

Twitter a réagi assez vite puisque le compte en question (@0wn3d_5ys) a été désactivé et que ma tentative d’injecter du code Js en modifiant une requête envoyée par Echofon (en utilisant Tamper Data) s’est soldée par un échec : « Signature non reconnue ». Il semblerait cependant que la modification du nom du logiciel requière une modification d’un autre paramètre : oauth_signature qui est calculée à partir de divers paramètres (surement le timestamp et le nom du logiciel) et que notre ami pirate a du générer. Je ne suis donc pas sûr que la faille soit comblée à l’heure où j’écris ces lignes…

J’ai pu regarder rapidement le code utilisé par le pirate et n’y ai rien vu qui ressemble à un vol de cookie. Cependant, par mesure de précaution et parce que je ne suis pas sûr d’avoir visité tout le Javascript injecté, j’ai décidé de changer de mot de passe (et de me déconnecter / reconnecter vu que les identifications Twitter sont basées sur des sessions dont l’identifiant est stocké en cookie) et vous recommande de faire la même chose si vous avez eu le temps de visiter le compte en question avant sa fermeture…

Accessoirement, et c’est plus grave encore, rien ne garanti que vous n’avez pas, ou n’allez pas, visiter un compte qui aurait utilisé la même méthode de façon plus sournoise pour voler votre compte sans que cela ne se voit… Prudence donc en allant visiter les comptes twitter sur le Web…

J’ai eu la chance d’assister à une table ronde sur les nouveaux modes de financement à l’ère du numérique ce dimanche à Paris et le moins que l’on puisse dire c’est que c’était très intéressant – donc je vous fait un petit compte-rendu des projets qui m’ont plu en passant sur ceux qui m’ont moins enthousiasmé voire carrément dérangé…

Des projets que j’ai décidé de vous présenter deux sont dédiés au financement de la création à priori et deux à la rémunération de la création sur la base du volontariat par l’intégration de widgets sur les sites des éditeurs. Je ne vais pas vous présenter en détail chacun des projets (je sors quand même 6h30 de tables rondes qui m’ont un peu mis à genoux) mais revenir sur les points les plus intéressants des projets en question.

Yoook

Yooook travaille directement avec les artistes : il leur permet de gérer l’hébergement, la production, la diffusion et la monétisation de leur contenu. Jusque là rien de bien original mais c’est en une phrase de son créateur que l’on résume le mieux l’idée : « ne peut être gratuit que ce qui a déjà été payé ».

En effet la production de contenu artistique a un coût et doit aussi générer des marges si l’on veut que le domaine de la création reste attractif.

Yooook propose donc un modèle intéressant sur la base de plafonds de rémunération et de volontariat. Une partie du contenu est gratuit dès le début, une partie payante. Une fois un certain plafond atteint par le paiement lié au contenu payant ou par un système de dons directs, d’autres contenus gratuits sont déverrouillés pour tous. Enfin, passé un certain plafond l’oeuvre peut éventuellement passer dans le domaine du libre intégralement et sous une licence creative commons (obligatoire mais en laissant l’auteur fixer le palier en question).

Les contenus en question (gratuits ou non), les plafonds et les prix sont fixés par l’artiste et Yoook prend une commission de 6% à 20% (en fonction du type de financement et parmi lesquels il faut compter les frais de fonctionnement – Cette commission devrait bientôt baisser considérablement).

Ulule

Ulule permet à un porteur de projet de trouver des financements nécessaires à la réalisation dudit projet. Il ne s’agit pas pour les contributeurs de devenir des actionnaires du projet mais d’aider des idées à voir le jour. Accessoirement, les contributeurs au projet constitueront une première base de clients potentiels / de fans pour le projet une fois que celui-ci aura vu le jour.

Le coût total (la somme à collecter) est déterminé et fixé par son créateur et les contributeurs ne sont débités qu’une fois la somme atteinte en promesse de contributions. Le porteur de projet peut enfin fixer des seuils de contreparties qui donneront aux contributeurs le droit à des avantages définis par le créateur (je n’ai pu m’empêcher de penser à myDorcel à l’évocation de ce principe ).

Point important :le service est entièrement gratuit et le business model est donc très simple : Ulule ne gagne pas d’argent avec son site – tout est gagné avec Vox.ulule, une plateforme d’aide à la création ainsi que par un accompagnement premium à des porteurs de projets souhaitant en bénéficier.

Kachingle

Kachingle est une start-up américaine qui tire son nom du bruit que font les machines à sous… Personnellement moi j’entends le mot kachinga mais ce n’est pas grave ^^

Le système permet aux éditeurs de sites internet, par le placement d’un widget sur leur site, de donner l’opportunité à leurs lecteurs de montrer leur attachement au contenu du site. Les visiteurs eux payent un forfait de $5 par mois qui sera reversé au prorata du nombre de pages vues par mois et par site apprécié (kachinglé).

Le widget permet aux visiteurs, inscrits ou non, de voir qui aime quoi, et aux inscrits de manifester leur intérêt pour le contenu donc… Bien sûr il est possible de désactiver l’affichage de son nom dans le listing des kachinglers tout en continuant de rémunérer l’éditeur.

Kachingle est assez répandu dans les pays germaniques et aux etat-unis et vient d’accueillir ses premiers membres et sites français.

Sur les $5 mensuels, $4.25 sont reversés aux éditeurs, le reste étant utilisé pour faire vivre le site et payer Paypal.

Flattr

Ai-je encore besoin de présenter Flattr dans ces colonnes ? Je n’ai rien appris de nouveau à leur propos et vous renvoie donc sur ces deux billets : Présentation et intégration de Flattr – Ajout de Flattr comments sur mon blog.

J’ai eu le temps de rapidement présenter överallt à Peter Sünde (avant qu’il ne doive se sauver vers l’aéroport pour attraper son vol) qui avait l’air enthousiasmé par l’idée… Et ça ça fait plaisir !

En bref

En dehors d’une offre que j’ai trouvé à la limite de l’hypocrisie et que je ne citerai donc pas ici, ce qu’il faut retenir c’est que les solutions alternatives se développent à la vitesse grand V, qu’elles proposent toutes des idées intéressantes et qu’il serait dommage, si ce n’est de les adopter, de passer à côté d’un message de fond que tous les « pirates » matraquent depuis des années (DADVSI si tu m’entends, c’est de ta faute tout ça ) : le modèle actuel de distribution et de financement de la création (et plus particulièrement de la culture) est à l’agonie et a un sévère besoin de remplacement… Bonne nouvelle : les solutions existent maintenant, il ne reste plus qu’à achever le mourant !

A part ça ce fut l’occasion de rencontrer de discuter avec des gens dont je partage les idées et que, pour certains, je suis depuis un certain temps déjà… Merci donc à eux d’avoir pris du temps sur leur dimanche pour instruire les foules et les journaleux !

Vendredi soir j’ai eu la joie de voir ma soirée entre potes annulée, alors j’ai pu en profiter coder toute la nuit en bon gros geek… Ca faisait un bout de temps que ce projet me trottait dans la tête à vrai dire et j’ai donc profité de la nuit (couché vers 4h quand même…) pour mettre à exécution mon plan diabolique (mouahahahaha <= rire macabre) !

Bon en vrai le plan en question n’a rien de diabolique et est plutôt fait pour faire avancer les choses dans le bon sens pour ce qui est de l’intégration de Flattr sur les sites 2.0, les forums, … euh en fait partout hein.

D’ailleurs c’est ce qui a motivé le nom, qui n’a rien à voir avec le Klingon et qui est en fait la traduction suédoise du mot « partout ». Parce que c’est là le but d’överallt : permettre à tous d’utiliser Flattr en dehors des sites où c’est initialement prévu.

Le contenu sur le web d’aujourd’hui est créé en grande partie par les utilisateurs : les réseaux sociaux se multiplient, la plupart des sites d’actus (ceux qui ne le font pas ont un gros métro de retard) permettent de commenter lesdites actualités, les plateformes d’hébergement de vidéo ou de fichier sont plus nombreuses que les sexshops à Pigalle, … C’est ce qu’on appelle communément le web 2.0, et c’est plutôt génial !

Sauf que l’utilisateur (et donc contributeur) de ces plateformes est très dépendant de ceux qui possèdent ladite plateforme et qui a finalement droit de vie ou de mort sur un service qu’il propose, proposera ou ne proposera jamais.

Ainsi les blogs (pour prendre cet exemple) proposant à ceux qui postent un commentaire d’y adjoindre un bouton Flattr sont très rares (en France du moins) et la propagation de cette pratique pourtant très intéressante à la fois pour le blogger (qui voit le nombre et la qualité de ses commentaires augmenter) et pour celui qui commente (qui pourra gagner quelques centimes par commentaires) est entièrement à la merci des bloggers…

Sauf si… Je m’emmêle ! Et là ça commence comme à chaque nouveau projet : par une feuille A4 blindée de trucs illisibles, que j’ai décidé de vous montrer pour une fois en la voyant trainer sur mon bureau :

A partir de ces écritures que même Howard Carter aurait du mal à déchiffrer et après une bonne dose de nicotine, au moins autant de caféine et un peu de rhum est né överallt !

Son fonctionnement est très simple : chaque fois qu’une page s’affiche dans Firefox (et si överallt est activé) l’addon va modifier à la volée le contenu de la page pour remplacer un certain pattern de texte par le bouton Flattr correspondant. Le pattern en question a été choisi pour sa simplicité : [Flattr=2051] (ou 2051 est l’ID de l’utilisateur Flattr, le mien l’occurrence)…

Ainsi, quel que soit le site que vous visitez ou sur lequel vous postez, l’intégration de Flattr ne dépend plus que de ses membres !

Tout ce qu’il vous faut maintenant ce sont les liens : Sur AMO, et la page du projet ! Spread the word and help share the cake

Et pour fêter ça on va se faire péter 5 invitations ?

8ff1e79555a29d9a5
e0c62a470954b0196
89a911b8ecaf6908e
4f4eb5724adf78860
4d49fcf3f8b536cc8

Ca faisait un bout de temps que j’avais pas écrit sur facebook en découvrant un petit détail pour les chatouiller un peu. Et bien on va résoudre ce problème aujourd’hui en nous penchant sur une partie de l’architecture très importante du réseau social : le FBML.

Et là vous me dites WTF ?

Le FBML est le langage de balises mis à disposition des développeurs par Facebook. C’est une version enrichie du HTML avec des fonctions propres à Facebook en quelques sortes. Je m’en suis relativement peu servi dans mes développements d’applis (en même temps j’en ai relativement peu développé aussi) mais la doc est très complète et assez explicite…

Je me suis intéressé à cette partie des développement sur Facebook pour une raison qui ne vous est pas étrangère si vous êtes un(e) habitué(e) de mon blog : les fanpage dont il faut devenir fan pour voir le contenu.

C’est en effet un seul tag FBML qui s’occupe de faire cela : <fb:if-is-app-user>Contenu à cacher</fb:if-is-app-user>.

Tout le texte contenu entre les deux balises est invisible aux « non-fans » de la page ou de l’application.

Bon on a déjà vu que c’était fait à l’arrache et qu’une simple ligne de javascript permet de réafficher le contenu caché (qui est en fait présent dans la page mais caché par un simple « visibility:hidden » en CSS inline).

Jusque là rien de bien grave, cette fonction étant utilisée principalement pour cacher des contenus ultra-confidentiels tel qu’une revue de photos choc (apparues sur 4chan en 2001)… Mais là où ça se gâte c’est que la doc FBML nous présente plusieurs autres balises du même style :

• <fb:visible-to-user uid=’12345′></fb:visible-to-user>
• <fb:visible-to-owner></fb:visible-to-owner>
• <fb:visible-to-friends></fb:visible-to-friends>

Je vous fait pas la description détaillée des balises je pense que c’est assez explicite comme cela (visible pour un seul user, pour le propriétaire de la page / l’appli, pour les amis du propriétaire de la page / l’appli).

Et sur la doc toujours Facebook de s’empresser d’ajouter la mention suivante :

Do not use this tag to display private or sensitive information. Content inside this tag is rendered to all users’ browsers, including those who have not granted full permissions to the application. For those who have not done so, the content is shown as white space on the page but it is still visible by viewing the page source.

Donc facebook est au courant du fait que des informations potentiellement sensibles peuvent être encapsulées dans ces balises censées justement protéger le contenu et, au lieu de sécuriser lesdites balises au niveau serveur, préfère mettre en garde les développeurs que ce n’est pas une bonne idée d’utiliser leurs technologies…

Hier, 8 juin 2010, une folle rumeur est partie du réseau social twitter : Bernard Montiel serait mort. Comme à chaque fois (avec une apothéose pour le cas M. Jackson), la toile s’enflamme, les articles pleuvent et les vautours se ruent sur wikipedia pour se livrer à une bataille sans merci pour être « celui-qui-aura-édité-la-page-pour-annoncer-la-mort » alors que les modérateurs de ce même wikipédia défont chaque édition patiemment. Si bien d’ailleurs que maintenant les pages concernant des personnalités décédées récemment sont bloquées pour les utilisateurs non enregistrés ou enregistrés de moins de 4 jours.

Bref à la limite ça on s’en fout, c’est pas bien grave, des fausses rumeurs il y’en avait avant le net, il en aura après et personne n’en est mort (pour le coup).

Mais là où ça se gâte c’est que l’évènement semble avoir beaucoup marqué monsieur Montiel qui, dans une interview donnée à 20minutes.fr (qui fait partie des journaux qui se sont rués sur l’annonce pour publier une necro tant que le buzz est chaud), déclare « Je suis pour une levée de l’anonymat sur Internet ».

Donc je suis retourné sur Wikipédia pour voir la page de ce monsieur (ouep je suis pas trop téloche désolé) pour me rendre compte que le monsieur a été présentateur de Vidéo Gag pendant 13 ans… On va dire que ça a laissé des marques et on va mettre ça sur le compte du choc émotionnel combiné à un sens de l’humour TF1…

Mais cet incident me permet de faire un retour sur l’intérêt de l’anonymat sur le net et plus précisément l’inutilité et la dangerosité de son interdiction.

Un retour sur la LCEN

La loi de confiance en l’économie numérique avait cela de bien qu’elle créait un statut de « prestataire technique » pour les éditeurs de sites internet dont le contenu est créé par les internautes. C’est ce statut qui permet à des plateforme comme Wordpress (la plateforme, pas le CMS) d’exister : si un membre écrit un article diffamatoire, ce n’est pas Wordpress qui est responsable mais l’auteur du billet incriminé.

Ca peut paraitre normal, mais jusque là, ça ne l’était pas.

Avec l’obligation pour un blogueur anonyme d’avoir un responsable de publication, ce statut de prestataire technique va sauter de fait pour un nombre considérable de plateformes qui venaient tout juste de s’en réjouir : il est invraisemblable d’imaginer une seconde Wordpress demander une photocopie de carte d’identité pour s’inscrire sur son réseau. Alors je vous laisse imaginer Skyrock…

Accessoirement, cette solution, si elle devait-être mise en place, aurait un air de déjà vu : en Chine il est maintenant obligatoire de fournir une photocopie de ses papiers pour enregistrer un nom de domaine en .cn – vous savez la Chine, ce pays des droits de l’Homme…

L’anonymat a son intérêt

Il y a surement autant de raisons de vouloir être anonyme que de personnes ayant choisi de l’être, aussi cela va être compliqué d’en faire le tour ici… Mais rappelons que l’anonymat préserve du monde extérieur et permet de s’exprimer librement.

Alors oui certains en profitent pour faire des blagues sur la mort de Bernard Montiel…

Mais d’autres se servent de cet anonymat pour combattre des régimes totalitaires de l’intérieur – j’ai encore en mémoire tous les évènements récents qui nous ont permis de suivre les élections iraniennes autrement que via les médias vendus au pouvoir en place.

D’autres s’en servent pour écrire librement sur des faits d’actualité sans outrepasser la liberté d’expression mais en conservant une limite claire entre leur vie privée et cette chronique qu’ils tiennent sur le web (je pense notamment à « C’est la gêne » que je vous conseille d’ajouter à votre flux RSS si ce n’est déjà fait), …

Pour ma part j’ai choisi de bloguer sous mon vrai nom parce que j’ai toujours eu du mal à choisir des pseudos… Mais je comprends tout à fait que l’on souhaite garder son anonymat et il faut que cette possibilité reste pour que tout le monde ait accès à sa liberté d’expression sans qu’elle ne soit limitée par un cadre existant IRL (bien geek cette phrase).

Soit dit en passant je passe sur l’inapplicabilité de la chose : il suffirait de se dire anonyme et citoyen suédois, d’éditer un blog hébergé en suède traitant de politique française en français pour avoir le champ libre : l’anonymat doit encore être autorisé dans quelques pays…

De très mauvaises motivations

Au delà de la mesure en elle même, qui est sommes toutes juste débile, je m’interroge sur les réelles motivations qui poussent nos deux trublions du web à demander ce type de mesure : ils se sentent tous les deux impuissants face aux critiques / rumeurs les concernant et publiées sur internet.

Alors je peux comprendre que l’on se sente désemparé, moi même je me sentirai très con si des membres de ma famille m’appelaient pour me demander si j’étais vraiment mort ou pas… Mais il faut vivre avec son temps, les blagues pipi – caca ont évolué et il n’est pas possible d’envisager de sanctionner judiciairement tous ces dérapages.

Je vois internet comme une école : internet fourmille d’informations (dont les trois quart ne servent à rien, comme quoi le parallèle avec l’école n’est pas si mauvais). On peut y faire des rencontres, bonnes ou mauvaises (*sic*). Il y a des rumeurs qui circulent. Il y a des petites brutes aussi, …

Alors l’échelle n’est pas la même et, par essence, on est anonyme sur internet ou dans une foule. Mais cet anonymat est aussi relatif sur Internet que dans une école : s’il s’y passe quelque chose de grave on trouve le coupable et il est puni (dans un cas c’est le coin, dans l’autre le placard).

Sauf que ce qui est arrivé à nos deux compères n’est pas grave ! Grow up !

(Petit trait d’humour : il semblerait qu’aujourd’hui c’est Jordy qui a eu le droit de mourir sur twitter…)

Parce que c’est bien beau de passer son temps à critiquer mais que d’apporter des solutions des fois ça aide aussi un peu j’ai décidé de vous présenter une solution que je juge valable pour assurer la rémunération des créateurs : j’ai nommé Flattr.

Présentation rapide

Le système a été créé par une certain Peter Sunde, porte parole d’un petit tracker bittorrent peu connu et basé en suède : the pirate bay (avant que ça troll, oui je sais que c’est un peu connu hein ).

Le principe est relativement simple et se décompose en plusieurs étapes comme suit :

• Vous ouvrez un compte Flattr (sur invitation mais j’ai une bonne nouvelle pour vous sur ce point en fin d’article)
• Vous virez de l’argent sur ce compte (via paypal qui s’en met un peu dans les fouilles au passage pour changer)
• Vous choisissez combien vous allez dépenser de cet argent par mois
• Et puis vous surfez !

Chaque fois que vous croisiez un bouton Flattr (comme celui présent en haut de cet article à côté du bouton tweetmeme) et que ce bouton est attaché à un contenu qui vous plaît et que vous voulez récompenser par une petite participation, vous cliquez sur le bouton en question.

A la fin du mois Flattr va calculer le nombre de clics que vous avez effectué un peu partout sur la toile, diviser la somme que vous souhaitez dépenser par mois par ce nombre de clics, et payer les éditeurs de contenu en fonction. De telle sorte que pour vous, visiteur, cela représente une somme ridicule (à partir de 2€ / mois, je dépense plus cher en café par jour !) mais multiplié par un grand nombre de participants c’est la culture qui y gagne…

A terme on pourrait même envisager que ce système se généralise et qu’il vienne se substituer à la publicité si gênante pour certains sur le web !

Intégration sur votre site

Si vous êtes éditeur de contenu vous même vous pouvez être intéressé par l’intégration de Flattr sur votre site / blog. C’est bien évidemment possible : il suffit de se rendre sur cette page et de suivre les instructions qui y sont données. Il existe déjà un plugin pour Wordpress, très simple d’utilisation et d’installation que j’utilise sur ce site.

Sous wordpress toujours, vous pouvez avoir envie de positionner différemment le bouton de ce que la configuration par défaut du bouzin vous fait toute seule. Pour ce faire c’est très simple : décochez les cases de l’administration du plugin (« Insert Flattr button into posts automagically » et « Insert Flattr button into pages automagically ») et éditez votre thème pour y ajouter la fonction suivante à l’endroit où vous voulez voir apparaître le bouton :

<?php the_flattr_permalink() ?>

Des invitations

Mais c’est surtout ce paragraphe qui m’a poussé à la rédaction de cet article : le système a été lancé il y a quelques semaines déjà et j’ai plutôt tendance à éviter les billets au format news ici… J’ai été contacté par Flattr pour vous distribuer des invitations sans qu’il m’ait été précisé de limite de quantité… Donc le plus simple c’est de me demander sur twitter @Paul_Da_Silva.

Ou pourquoi sont-ils complètement incompétents ?

Vous n’avez pas pu passer à côté de ce fait d’actualité : Skyrock, par le biais de la plateforme Waka mise en place en partenariat avec le gouvernement pour en apprendre un peu sur les jeunes kikoulol qui peuplent le site, a subit une attaque informatique qui aurait résulté en un vol de données confidentielles parmi lesquelles les informations de connexion de 32 millions de comptes – mots de passe non chiffrés…

Outre le fait que stocker des mots de passe en clair soit une ineptie j’ai envie de soulever un autre point qui m’a un peu chatouillé quand j’ai entendu parler de l’affaire : la quantité des données volées.

En effet on parle là de 32 millions d’enregistrements dans une base de données… Ce qui représente, malgré le fait qu’il ne s’agisse que de texte, un fichier d’une taille assez raisonnable !

Je me suis donc livré à une série de petits calculs en me basant sur le formulaire d’inscription de skyrock pour estimer la taille du fichier que le pirate aurait réussi à sortir au nez et la barbe de la deuxième plateforme communautaire francophone (la première étant facebook).

En se basant sur le formulaire d’inscription du site on peut estimer la taille minimale d’un enregistrement. Pour ce faire je suis en considérant les choses suivantes : bases encodées en ANSI et tous les champs remplis par leur valeur la plus courte possible.

En assumant que le pirate n’ai récupéré que les données sensibles que sont le login, le mot de passe et l’adresse email (utile pour revendre ou pour se connecter à des sites sur lesquels l’email fait office de mot de passe) on part sur une base composée par une entrée de ce type :

012,012345,0@12.34,

Soit, avec le retour à la ligne final un total de 21 octets en ANSI. Ce qui fait, si l’on multiplie par les 32 millions de comptes un dump total de 640Mo…

Mais poussons le vice un peu plus loin : considérons des enregistrements de taille plus raisonnables : un login de 5 caractères, un mot de passe de 8 et un email d’une taille un peu plus répandue :

01234,0123457,01234@56789.012,

Soit, encore une fois avec un retour à la ligne final un total de 32 octets toujours en ANSI. En multipliant par les 32 millions de comptes on arrive cette fois à un fichier de près d’un gigaoctet.

Toujours plus fort, supposons que le pirate n’ai pas pris la peine de trier les informations et qu’il ai carrément dumpé la table des utilisateurs. En se basant sur le formulaire d’inscription on arrive à un schéma de données qui doit ressembler à ceci :

pseudo : varchar(3, 24),
email : text(7, ?),
mdp : varchar(6, 16),
langue:varchar(5),
sexe:tinyint(1),
prenom:varchar(0, 100),
nom:varchar(0,100),
date_naissance:date,
pays:varchar(2),
code_postal:varchar(1, 16),
tel_mobile:text(0, ?),
pub_mail:tinyint(1),
pub_tel:tinyint(1),
allow_search:tinyint(1)

Ce qui veut dire, qu’à minima, en considérant que tous les champs de tous les enregistrements sont remplis à leur minimum par chacun des 32 millions d’utilisateurs (oui moi non plus j’y crois pas hein, c’est pour l’exemple) on arrive à un enregistrement qui comporte 38 caractères et 14 virgules ainsi qu’un retour à la ligne… Soit 53 caractères… On reste en ANSI et on obtient un total de 54 octets (l’arobase du mail est codée sur deux octets). Soit, pour nos 32 millions de piégés : 1.6Go !

Et parce que je n’ai pas envie de vous achever ce soir, on va finir avec une base qui me parait raisonnable en utilisant les valeurs suivantes :

pseudo : varchar(5),
email : text(15),
mdp : varchar(8),
langue:varchar(5),
sexe:tinyint(1),
prenom:varchar(5),
nom:varchar(7),
date_naissance:date,
pays:varchar(2),
code_postal:varchar(5),
tel_mobile:text(7),
pub_mail:tinyint(1),
pub_tel:tinyint(1),
allow_search:tinyint(1)

Il s’agit là d’estimations à la louche qui ressemblent aux données que j’ai pu voir sur les diverses applications sur lesquelles j’ai été amené à travailler… Je pense encore être en dessous de la vérité et il y a des chances pour que certains champs soient cachés (IP, statut, date_creation, …).

Bref avec ma petite estimation que je sors de nulle part (un peu comme les chiffres sur le piratage annoncés par les maisons de disques) on arrive à un joli total de 73 caractères, toujours pour 14 virgules et un retour à la ligne. Soit 89 octets par enregistrements et un total de tout pile 2Go.

En fonction de ce que le pirate a pu sortir de la base de données il aurait donc du générer et télécharger entre 640Mo et 2Go de données, pour des estimations qui sont de toutes façons très en dessous de la taille réelle de la table en question (qui doit être en utf-8, comporter des caractères spéciaux dans les noms et prénoms, des mails, pseudos et mots de passe bien plus longs que ceux envisagés ici et des champs que nous n’avons pas considérés ici).

Aussi ma question est la suivante : sur une architecture prévue pour héberger des blogs dont le contenu fait au maximum quelques Mo, comment les admins ont-il pu ne pas remarquer une connexion persistante téléchargeant plusieurs Go de données ?

C’est pas parce que je n’ai pas eu le temps d’écrire cette semaine que j’ai mis de côté mes projets divers et variés : je travaille sur un framework PHP, plusieurs sites et le bouquin BDG avance petit à petit…

Mais je m’arrête pas à si peu de projets, vous me connaissez !

Aussi je me suis mis en tête de reprendre un plugin jQuery abandonné par son créateur pour l’adapter à mes besoins et, accessoirement, pour l’adapter aux besoins de la société pour laquelle je travaille puisqu’une partie du dev de ce nouveau jouet a été effectué sur mon temps de travail (la société en question, AMJ Groupe, a bien sûr donné son accord pour que je publie mon travail – et je l’en remercie).

Trêves de blabla je vais vous donner le lien directement et on va ensuite discuter des fonctionnalités que j’ai ajouté à la version originale : jdPicker – The ultimate datepicker (Ouais le SEO ça se travaille).

Comme il faut rendre à César ce qui est à Jonathan, je vous donne aussi le lien vers le plugin d’origine : jQuery Date Input. Il est par ailleurs crédité sur chacune des pages du site de présentation du plugin, dans les crédits et un peu partout sur le site : sans son travail je n’aurai probablement pas réussit à aller si loin dans les évolutions effectuées.

J’ai donc rajouté un certain nombre d’options de configuration dont j’avais besoin ainsi que plusieurs comportements que j’avais vu demandés sur la page du plugin du site jQuery (pas très claire cette phrase).

Deux nouveaux comportements :

Dans le cas d’un champ type « text », la saisie est contrainte par le date input : au focus on rend le champ non éditable grâce à un attribut readonly que l’on dégage au blur. Cette méthode a été choisie pour que le champ ne soit pas bloqué si un visiteur a désactivé javascript.

Il a donc fallu rajouter un « bouton » (qui est en fait un &times;) pour remettre à zéro le champ.

Dans le cas d’un champ de type « hidden », le calendrier va se charger en mode inline : il sera intégré à la page comme un composant <div> classique.

Ces deux évolutions avaient été demandées par des membres de plugin.jquery.com…

De nombreuses options pour s’adapter à tous les besoins

Comme vous pouvez en avoir un aperçu sur la page documentation du plugin, j’ai rajouté toute une série d’options permettant la personnalisation du comportement du plugin : on peut choisir le format de la date utilisée, si l’on veut afficher les numéros de semaine, interdire la sélection de certains jours précis ou de dates tous les ans, et éventuellement choisir de sélectionner une semaine complète.

Pour cela il suffit de spécifier ces options à la création d’une nouvelle instance du date picker ou changer les options par défaut directement dans le fichier javascript…

Le tout est gratuit… et libre of course !

Pour respecter la license choisie originalement par Jonathan je diffuse le projet sous la license MIT qui est décrite sur la page à propos du plugin. Vous êtes donc libre de l’utiliser pour en faire ce que bon vous semble à partir du moment où cette license reste en place…

Sur ce : enjoy jQuery jdPicker, le date picker ultime, mon premier plugin jQuery !

En règle générale j’évite d’écrire sur l’actualité pour la simple et bonne raison que beaucoup de monde s’en charge déjà et que ça ne m’intéresse pas d’entrer dans une guerre de positionnement sur de la news.

Mais pour écrire cet article en particulier je vais devoir rebondir sur l’actualité de ces derniers jours : la mise à mal successive des deux plus gros réseaux sociaux actuellement en place par des failles à la limite du 0day et surtout la façon dont les deux start-ups devenues multinationales ont su (ou pas d’ailleurs) gérer la crise.

Les failles

Petit retour sur les deux failles dont je vais vous parler ici afin que vous puissiez suivre la gravité de la situation si vous étiez dans un igloo cette semaine.

Facebook

Mercredi dernier (le 5 mai donc), Techcrunch publie un article expliquant qu’une simple manipulation permet de voir le chat Facebook d’autres comptes que le sien. L’exploit est ultra-simple et permet aussi d’avoir accès aux dernières demandes d’ajout, derniers messages et dernières notifications. Il suffit pour cela de se rendre dans la partie « Privacy settings » (Paramètres de confidentialité) et d’utiliser la fonctionnalité permettant de voir son profil comme le voit un de ses amis.

En allant un peu plus loin on se rend compte qu’il suffit d’ajouter le paramètre ?viewas=[id du profil cible] à l’url de son profil personnel pour avoir accès à toutes ces informations sensibles – que l’on soit ami avec la personne ou non.

Twitter

Hier (le 10 mai donc), Gizmodo publie un article (supprimé depuis mais dont vous pouvez retrouver l’essence du contenu chez l’ami Korben – en français en plus !) expliquant que l’on peut, depuis l’interface web de twitter, et sans aucune connaissance en informatique là encore, forcer n’importe qui à devenir l’un de vos followers.

Il suffit pour cela, en lieu et place de votre statut, de taper « accept username » où username serait le nom d’utilisateur twitter de la personne que vous voulez voir apparaître dans votre liste de followers – « accept Paul_Da_Silva » par exemple…

La gestion de la crise

Ces deux failles sont énormes et simplicimes d’exploitation, vous en conviendrez. Il y a d’ailleurs du y avoir quelques personnes qui se sont fait taper sur les doigts dans les HQ des deux sociétés concernées… Du coup très vite les articles pleuvent un peu partout sur la toile et, compte tenu de la simplicité des failles, les deux sociétés doivent agir dans l’urgence pour éviter que l’anarchie s’empare de leurs sites respectifs.

La réaction Facebook

« Euh… Sérieusement les gars ?! » C’est à peu près la réaction que j’ai eu en voyant les mesures prises par Facebook pour protéger notre vie privée face à cette faille énorme. En effet, les petits gars de Zuckerberg se sont contenté de désactiver le chat – sans explication et en laissant le reste de la faille ouverte le temps de patcher tout cela. La bonne solution aurait été de carrément désactiver la fonctionnalité « viewas » qui posait problème non ? Et franchement niveau code une bête ligne aurait suffit à cela :

if(isset($_GET['viewas'])) $_GET['viewas'] = 0000;

La réaction twitter

Là c’est un peu plus compliqué : la faille permet de réellement altérer le fonctionnement de Twitter et les abonnements de diverses personnes devaient déjà avoir été modifiés. La solution du petit oiseau bleu : on remet tous les compteurs à zéro (followers et following) le temps de patcher la faille et de tracker les vilains profiteurs qui se sont ajouté des following.

Niveau communication ça donne quoi ?

Si twitter a assez vite réagi en publiant un message sur leur blog suivi de plusieurs updates au fur et a mesure de la résolution du problème, Facebook est resté complètement muet sur le problème qu’ils ont subi, prétextant une maintenance pour justifier de la désactivation du chat pendant plusieurs heures.

Si l’on peut apprécier la transparence de twitter, on est en droit de se demander si la politique de Facebook n’a pas aussi ses avantages : même s’ils ont volontairement caché une faille de sécurité mettant (encore un peu plus) à mal la confidentialité des données présentes sur son réseau, beaucoup moins de monde a pu en profiter que s’ils avaient publié un message sur la homepage de tous les utilisateurs précisant les raisons de la désactivation du chat…

Bref en un mot il n’y a pas de solution miracle de gestion de la crise, mais une fois ladite crise passée il aurait été appréciable que Facebook informe les utilisateurs du fait que leurs données avaient été rendues « publiques » l’espace de quelques heures. Solution surement écartée pour éviter une vague de désinscription qui est déjà bien amorcée.

En passant, j’en profite pour vous inviter à me suivre sur twitter, vu que je ne peux plus vous ajouter moi même : @Paul_Da_Silva