Design & Développement web - Le topic des canards qui mangent des cookies

[TKN Jez]

Wé ce serait marrant de faire un listing des dev web canards. Perso je suis dev freelance front/back basé sur Bordeaux. Dans ma trousse à outils j'utilise :

• Sublime Text 3 / Brackets
• Chrome Developer Tools
• SourceTree
• HeidiSQL
• Photoshop CC
• FileZilla
• Git / Bitbucket
• Prepros
• Private Tunnel (quand je suis pas sur un réseau que je connais)
• Copy
• LastPass

Et vous ?

Perso en ce moment :

• Chrome dev tools
• PHPStorm
• git en ligne de co (je bosse sous une debian)
• le client ftp de baaaaase via la ligne de commande quand j'ai besoin (tous les deploys sont automatisés via un outil qu'on utilise)
• Mysql workbench ou la ligne de commande quand faut aller rapide (avec l'autocomplete quand même)

je vois pas quoi rajouter

J'ai chopé une place pour la kiwiparty quelqu'un compte y aller.

Kiwiparty? C'est en Nouvelle Zélande?

J'utilise XAMPP perso, j'ai jamais vraiment cherché les diff...

Sous windows j'ai utilisé WAMP ça marche bien et ça simplifie bien le travail (et fait gagner pas mal de temps de conf / install). Sous nunux j'ai varié : des fois j'ai compilé mon apache et mon php pr n'avoir que ce que je voulais dedans (pas besoin de certains modules), des fois j'ai utilisé les paquets des dépots, en ce moment j'utilise HHVM et NginX, ça drope pas mal, ça marche super bien même :smile:

[Wobak]

Pourquoi mettre un \. ?

[Sharp']

C'est juste pour échapper le point dans l'expression. Mais de toute façon, ça change rien avec ou sans.

[Wobak]

Alors en fait tu veux rediriger les racines de tes sites ou si quelqu'un fait "www.tondomaine.fr/mapage" tu veux le rediriger vers "www.domain.ninja/mapage" ?

Parce que je pense qu'en fait ton www.domain.fr il tombe dans la première condition, et il prend le www dans le "(.*)$" et il le renvoie en $1 dans la réponse.

Si tu vires la 2e ligne, ça ne marche plus du tout le www ?

[Yshuya]

[QUOTE=fastela;8851438]

han mais en fait y'a plein d'autres canards dev ouaib

Wé ce serait marrant de faire un listing des dev web canards. Perso je suis dev freelance front/back basé sur Bordeaux. Dans ma trousse à outils j'utilise :

• Sublime Text 3 / Brackets
• Chrome Developer Tools
• SourceTree
• HeidiSQL
• Photoshop CC
• FileZilla
• Git / Bitbucket
• Prepros
• Private Tunnel (quand je suis pas sur un réseau que je connais)
• Copy
• LastPass

Et vous ?

Keepass à la place de last pass avec l'extension http comme ça tu peux l'avoir partout même sur ton smartphone. Clé maitre sur le drive, db sur dropbox.

1 000 000 000 de fois mieux beaucoup moins de risque.

[tenshu]

Kiwiparty? C'est en Nouvelle Zélande?

Conf orientée front gratos à Strasbourg : http://kiwiparty.fr

[Fastela]

Keepass à la place de last pass avec l'extension http comme ça tu peux l'avoir partout même sur ton smartphone. Clé maitre sur le drive, db sur dropbox.

1 000 000 000 de fois mieux beaucoup moins de risque.

Ah c'est un débat qui pourrait durer des pages et des pages.

Soit dit en passant, je trouve ton système assez limite. Entre la présence de ta clé maître sur un disque et la duplicité possible des données sur Dropbox, tu es loin d'être secure.

J'aime la simplicité d'utilisation de LastPass (je l'utilise notament en collaboration avec d'autres personnes), et j'étais tombé sur quelques posts d'un de leurs dev qui avait expliqué leur méthodologie qui m'avait convaincue.

De plus je l'utilise en double authentification avec une Yubikey. Cela fait trois ans que je suis client chez eux et il n'y a jamais eu un seul problème (à part un souci lié à une perte de paquets).

Après voilà, comme je disais, on pourrait en parler pendant des pages...

[TKN Jez]

C'est assez drôle à cause d'une mauvaise quote au départ t'as fini par t'autoquoter Fastela :smile:

Intéressant tous ces outils, j'vais mater ça de plus près. C'est que zetes paranos de la sécurité les gars?

[Fastela]

Oops, c'est corrigé. ^^

La sécurité c'est passionant. Quand tu commences à aborder des outils comme l'oauth, bcrypt et tout le bazar, c'est vraiment super intéressant. Après ça peut être néfaste car ça peut vite tourner autour du concours de coqs, mais ça reste un sujet cool.

[SeanRon]

Conf orientée front gratos à Strasbourg : http://kiwiparty.fr

le sujet de 17h30 avec Jason Statam m'aurait interessé. Si tu y va, je veux bien un petit résumé.

[Sharp']

Alors en fait tu veux rediriger les racines de tes sites ou si quelqu'un fait "www.tondomaine.fr/mapage" tu veux le rediriger vers "www.domain.ninja/mapage" ?

Exactement ça.

Parce que je pense qu'en fait ton www.domain.fr il tombe dans la première condition, et il prend le www dans le "(.*)$" et il le renvoie en $1 dans la réponse.
Si tu vires la 2e ligne, ça ne marche plus du tout le www ?

Si je vire la deuxième ligne, j'accède à mon site normalement mais sans la redirection.
J'ai aussi essayé de placé la deuxième ligne en premier, aucun changement. J'ai même essayé de virer

RewriteCond %{HTTP_HOST} ^domain.fr$ [NC,OR]

Et la aussi même comportement.

J'ai testé avec http://htaccess.madewithlove.be/ et tout est censé bien fonctionner.

Le .htaccess, quand ça fonctionne du premier coup, c'est cool, sinon c'est toujours la misère...

Je pense que j'ai peut être un truc à régler du côté de mon hébergeur avec les domaines et sous-domaines mais il faut que je trouve quoi.

Edit: Finalement je m'en suis sorti !
J'ai juste rajouté en haut du .htaccess

Code:

RedirectPermanent /www/ http://www.domain.ninja/

Ça semble moche mais ça fonctionne, c'est le principal.
Merci quand même Wobak !

[superlag]

Qu'est ce que t'appelles un serveur virtuel ? T'as pas un environnement de travail local (et ça n'a rien d'alambiqué à mettre en place si la réponse est non) ?

Oui voilà, enfin j'avais essayé à une époque, serveur apache tout ça, ça m'avait bien gavé ^^

Mais:

T'es sous Windows ?
T'installes VirtualBox, et tu télécharges une image ici :https://virtualboximages.com/LAMP%2B...x%2BAppliances
Voilà, t'as ton environnement de test.

Mais si c’est aussi simple alors je vais jeter un oeil. Merci.

Franchement, pour ton confort, tu dev' sur ton pc perso/boulot, en installant WAMP si tu es sous windows (je n'ai jamais utilisé ça, mais j'ai vu un collègue non dev' s'en servir et ça s'installe en 20 minutes, avec wordpress).
L'avantage, c'est que c'est plus simple pour debugger, tu n'es pas obligé de sans arrêt faire la navette entre ton logiciel ftp et ton éditeur de code.

Puis, quand tu sens que c'est OK, tu transferts sur le FTP et tu corriges les bugs de déploiement (tu en auras).

Après, comme dit plus haut, c'est du wordpress, c'est pas si dramatique que ça de modifier directement sur le ftp, tu ne vas pas avoir besoin de trifouiller 3 millions de trucs non plus.
Mais c'est quand même plus confortable de bosser en local.

Ok, disons que ce qui me gène le plus avec wordpress en travaillant sur le backoffice, c’est qu'il faut parfois une minute pour que les changements soient pris en compte (même avec shift + R ou F5), du coup ça fait perdre du temps.

---------- Post added at 12h11 ---------- Previous post was at 12h05 ----------

[QUOTE=Yshuya;8854525]

Keepass à la place de last pass avec l'extension http comme ça tu peux l'avoir partout même sur ton smartphone. Clé maitre sur le drive, db sur dropbox.

1 000 000 000 de fois mieux beaucoup moins de risque.

Lastpass je l'ai sur mon smartphone (app officielle android).

[tenshu]

le sujet de 17h30 avec Jason Statam m'aurait interessé. Si tu y va, je veux bien un petit résumé.

Il y aura encore 100 places de lâché le 14 mai à 13h37.
Les 100 premières ont été toppées en moins de 30 secondes (350 connectés pour 100 places).

[SeanRon]

je ne pourrai pas y aller.
mais connaissant les gars d'alsacréation, il se pourrait qu'ils mettent quelques videos à disposition quelques mois plus tard.

[Fastela]

Microsoft vient de lancer Visual Studio Code. C'est très prometteur !!

https://www.visualstudio.com/products/code-vs

[tompalmer]

Yep installé, mais on commence a s'y paumer entre ça, notepad, sublimetext, komodoedit ou adobe edge.

[TKN Jez]

Oops, c'est corrigé. ^^

La sécurité c'est passionant. Quand tu commences à aborder des outils comme l'oauth, bcrypt et tout le bazar, c'est vraiment super intéressant. Après ça peut être néfaste car ça peut vite tourner autour du concours de coqs, mais ça reste un sujet cool.

C'est net surtout en ce moment avec tout ce qu'il se passe au Pays, les dernières lois votées, etc ça fait vite beaucoup je trouve :x après chacun voit midi à sa porte pour le "combat de coqs" perso j'ai pas d'avis là dessus (du genre "oui ça c'est mieux que ça et que ça") je connais que trop peu ce genre de systèmes. Hormis VPN quand je suis pas sûr du réseau sur lequel je suis (ou réseau ouvert). Ici ça m'a servi 2 3 fois car on a tourné pas mal dans le pays les 2 premiers mois pr visiter (on a déménagé en NZ y'a 5 mois) et comme tout backpacker qui se respecte j'ai oversquatté les réseaux ouverts des bibliothèques kiwis. Par contre y'a des fois où impossible de connecter le VPN sur certains réseaux, j'me demande comment ça se bloque hormis du DPI pr analyser les paquets (sachant que HTTP / HTTPS passaient). Du coup sur ceux là hormis consulter les news, nada

C'est vrai que quand on y pense c'est vite le bordel avec la vie privée, un pote a même fait un pitit projet / site là dessus qui est je trouve vraiment bien foutu et super intéressant à lire.

[Yshuya]

Ah c'est un débat qui pourrait durer des pages et des pages.

Soit dit en passant, je trouve ton système assez limite. Entre la présence de ta clé maître sur un disque et la duplicité possible des données sur Dropbox, tu es loin d'être secure.

J'aime la simplicité d'utilisation de LastPass (je l'utilise notament en collaboration avec d'autres personnes), et j'étais tombé sur quelques posts d'un de leurs dev qui avait expliqué leur méthodologie qui m'avait convaincue.

Euh... Comment dire clé maître d'un côté sur mon google drive, sur ma dropbox ma db et mon mot de passe uniquement dans ma tête, je vois mal ce qui ferait plus sécure dans le cadre d'une utilisation partout tout le temps.

Last pass, j'ai eu que des problèmes (dont un hack) et les dev font ce qu'ils veulent, le jour où ils se font hacker. Tu l'auras dans l'os. J'aime pas cet solution ou tu donnes une part importante de ta vie à une entreprise encore plus quand le service est gratuit.

Quand c'est gratuit, le produit, c'est toi !

[tompalmer]

Lastpass n'est pas gratuit (y'a un service payant a pas cher pour l'avoir sur mobile, ce qui est quasi indispensable)
Et s'ils se font hacker ça ne change rien, ils ne connaissent pas tes passwords, ils les ont en crypté AES 256 sur leurs serveurs

[Cowboy]

J'utilise Keepass 10 fois par jour depuis des années, je ne connaissais pas Lastpass.
"user password management in the cloud", la bonne blague.

[moimadmax]

perso j'utilise clipperz.is. C'est pas mal. Un peu jusqu'au boutiste pour le no knowledge. Mais ça me va.
Il faut fouiller un peu pour trouver la version mobile par contre.

[war-p]

Lastpass n'est pas gratuit (y'a un service payant a pas cher pour l'avoir sur mobile, ce qui est quasi indispensable)
Et s'ils se font hacker ça ne change rien, ils ne connaissent pas tes passwords, ils les ont en crypté AES 256 sur leurs serveurs

Haha, aes256...

[Fastela]

Euh... Comment dire clé maître d'un côté sur mon google drive, sur ma dropbox ma db et mon mot de passe uniquement dans ma tête, je vois mal ce qui ferait plus sécure dans le cadre d'une utilisation partout tout le temps.

Last pass, j'ai eu que des problèmes (dont un hack) et les dev font ce qu'ils veulent, le jour où ils se font hacker. Tu l'auras dans l'os. J'aime pas cet solution ou tu donnes une part importante de ta vie à une entreprise encore plus quand le service est gratuit.

Quand c'est gratuit, le produit, c'est toi !

Voilà exactement pourquoi je refuse de parler sécurité sur un forum en général.

[Yshuya]

Lastpass n'est pas gratuit (y'a un service payant a pas cher pour l'avoir sur mobile, ce qui est quasi indispensable)
Et s'ils se font hacker ça ne change rien, ils ne connaissent pas tes passwords, ils les ont en crypté AES 256 sur leurs serveurs

Donc il est gratuit sur ordinateur quand je l'ai utilisé, je n'avais pas le mobile et il n'avait d'ailleurs pas développer cet application.
Sinon d'accord avec Cowboy.

En parlant de cryptage, j'ai récupéré 3 go de donné d'une personne sur un vieux DD.

Tous les fichiers finissent par ecc donc crypté et j'ai trouvé ce message à différent endroit du disque :

What happened to your files ?
All of your files were protected by a strong encryption with RSA-2048 using CryptoWall 3.0.
More information about the encryption keys using RSA-2048 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)


What does this mean ?
This means that the structure and data within your files have been irrevocably changed, you will not be able to work with them, read them or see them,
it is the same thing as losing them forever, but with our help, you can restore them.


How did this happen ?
Especially for you, on our server was generated the secret key pair RSA-2048 - public and private.
All your files were encrypted with the public key, which has been transferred to your computer via the Internet.
Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.


What do I do ?
Alas, if you do not take the necessary measures for the specified time then the conditions for obtaining the private key will be changed.
If you really value your data, then we suggest you do not waste valuable time searching for other solutions because they do not exist.


For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:
1.http://7oqnsnzwwnm6zb7y.icepaytor.com/28ipz
2.http://7oqnsnzwwnm6zb7y.ptiontor4pay.com/28ipz
3.http://7oqnsnzwwnm6zb7y.waytopaytor.com/28ipz
4.http://7oqnsnzwwnm6zb7y.suntorpaymoon.com/28ipz

If for some reasons the addresses are not available, follow these steps:
1.Download and install tor-browser: http://www.torproject.org/projects/torbrowser.html.en
2.After a successful installation, run the browser and wait for initialization.
3.Type in the address bar: 7oqnsnzwwnm6zb7y.onion/28ipz
4.Follow the instructions on the site.


IMPORTANT INFORMATION:
Your personal page: http://7oqnsnzwwnm6zb7y.icepaytor.com/28ipz
Your personal page (using TOR): 7oqnsnzwwnm6zb7y.onion/28ipz
Your personal identification number (if you open the site (or TOR 's) directly): 28ipz

Vous connaissez une solution pour récupérer les données ? J'ai vu que la première version de ce virus laissait la clé de décryptage sur l'ordinateur mais c'était avant avril 2014.

[Akajouman]

J'arrive après la guerre mais pour un serveur local, deux outils portables qui fonctionnent très bien :

http://www.uwamp.com/fr/
http://www.uniformserver.com/

(J'utilisais surtout Uniform Server, que je trouvais un peu plus léger)

[tompalmer]

J'utilise Keepass 10 fois par jour depuis des années, je ne connaissais pas Lastpass.
"user password management in the cloud", la bonne blague.

Si tu savais comme c'est pratique.

D'autant que l'appli inclut des conseils de sécurités (force a générer des passwords uniques et te gronde quand t'utilise deux fois le même password). Elle te prévient aussi quand ton nom d'utilisateur est trouvé au fin fond d'un paste.bin
Si tous le monde utilisait ce genre de solution y'aurait moins de pleurs.

[Yshuya]

Si tu savais comme c'est pratique.

D'autant que l'appli inclut des conseils de sécurités (force a générer des passwords uniques et te gronde quand t'utilise deux fois le même password). Elle te prévient aussi quand ton nom d'utilisateur est trouvé au fin fond d'un paste.bin
Si tous le monde utilisait ce genre de solution y'aurait moins de pleurs.

Tu crois que Keepass fait quoi ? La différence notable, c'est que tu es seul maître à bord concernant tes données.

[tompalmer]

Vraisemblablement tu ne connais pas ce que tu critique, c'est sain de se méfier, mais faut pas déconner.

[Yshuya]

Vraisemblablement tu ne connais pas ce que tu critique, c'est sain de se méfier, mais faut pas déconner.

Je connais très bien, je l'utilisais encore il y a moins de trois mois.

[Cowboy]

Si tu savais comme c'est pratique.

D'autant que l'appli inclut des conseils de sécurités (force a générer des passwords uniques et te gronde quand t'utilise deux fois le même password). Elle te prévient aussi quand ton nom d'utilisateur est trouvé au fin fond d'un paste.bin
Si tous le monde utilisait ce genre de solution y'aurait moins de pleurs.

Je crois que tu a un gros soucis avec le principe de vie privée.
Si les cryptages était fiables, on serait encore au WEP/MD5/SSL 1.0.

L'AES 256, c'est plus pour rassurer que pour crypter. Les gars qui tiennent la boite ne veulent pas acheter des machines plus puissante pour faire de l'AES 4096. C'est un service gratos, faut pas déconner.
Et puis même si ils disent que c'est crypter, rien n'est sur. Quand tu vois que certaines boites ne crypter même pas les mot de passe et sauvegarde les numéros de CB dans leur base, il y a de quoi se poser des questions.

Par contre, tu fais comment pour l'utiliser ? Via l'app mobile ? Pourquoi pas l'addon firefox sur mobile ?