Archives de l’auteur Sébastien HOUZET

ParSébastien HOUZET

C’est quoi AppleScript?

AppleScript est un simple langage de programmation pour Macintosh capable de contrôler et d’automatiser les actions sur votre Mac. AppleScript est déjà disponible sur votre ordinateur avec Mac OS et de nombreuses applications populaires peuvent être automatisées à l’aide de scripts AppleScript. Les scripts écrits pour iTunes peuvent gérer des fichiers et suivre des informations, créer des listes de lecture, interagir avec d’autres applications, effectuer des tâches innovantes et gérer de nombreux types de tâches qui seraient autrement répétitives, laborieuses et / ou chronophages.

Doug’s scripts propose déjà plus de 479 scripts ! Je vous laisse parcourir son site et trouver votre bonheur.

https://dougscripts.com/itunes/index.php

ParSébastien HOUZET

Forcer la redirection en https sur apache

Votre site web répond en HTTP et HTTPS, mais vous aimeriez que l’ensemble des visites se fassent en HTTPS uniquement.

Si votre serveur web est Apache, il vous suffit d’ajouter dans le fichier .htaccess les règles suivantes.

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Le fichier .htaccess doit être placé à la racine du dossier principal de votre site.

ParSébastien HOUZET

Vérifiez les failles de sécurité sur les package npm

Lors de la conception d’application, nous utilisons de plus en plus de packages externe.

Malheureusement, la plupart du temps, personne ne contrôle si les packages sont à jour. Le code marche très bien, alors pourquoi faire la mise à jour d’un package externe.

Votre application marche certainement très bien avec les versions des packages utilisés, mais il y a peut-être des failles de sécurité à corriger !

npm propose une commande très simple permettant de vérifier les failles de sécurités dans vos packages. Pour cela, vous rendre dans un dossier avec un fichier package.json ou package-lock.json. Lancer ensuite la commande suivant dans votre terminal.

# npm audit

Si vous n’avez aucune vulnérabilité, voici le résultat :

Si vous avez des vulnérabilités, voici le résultat :

Pour chaque vulnérabilité, vous avez un tableau détaillant le package concerné.

Pour en savoir plus sur les possibilités de npm audit, je vous recommande de lire la documentation officielle : https://docs.npmjs.com/cli/audit

ParSébastien HOUZET

Faille de sécurité Twig < 2.4.4 - Server Side Template Injection - CVE-2018-13818

Une nouvelle faille de sécurité a été découverte dans les version inférieur à 2.4.4 de Twig.

Il est possible d’injecer du code en GET/POST via le parametre search_key.

Le détail de la CVE : https://www.cvedetails.com/cve/CVE-2018-13818/

ParSébastien HOUZET

Eslint disponible depuis Homebrew

Eslint ? C’est quoi ?

Eslint est un AST-based pattern checker for JavaScript.

ESLint est un utilitaire de linting JavaScript open source créé à l’origine par Nicholas C. Zakas en juin 2013. Le linting de code est un type d’analyse statique fréquemment utilisé pour trouver des modèles ou du code problématiques qui ne respectent pas certaines directives de style. Il existe des linters de code pour la plupart des langages de programmation, et les compilateurs incorporent parfois du linting dans le processus de compilation.

JavaScript, étant un langage dynamique et à typage large, est particulièrement sujet aux erreurs de développeur. Sans le bénéfice d’un processus de compilation, le code JavaScript est généralement exécuté pour rechercher des erreurs de syntaxe ou autres. Les outils de linting comme ESLint permettent aux développeurs de découvrir des problèmes avec leur code JavaScript sans l’exécuter.

ESLint est écrit en utilisant Node.js pour fournir un environnement d’exécution rapide et une installation facile via npm ou brew maintenant 🙂

Le detail de la formule brew : https://formulae.brew.sh/formula/eslint

ParSébastien HOUZET

Installer crowl.tech sur Mac OS

Vous souhaitez utiliser la solution open source de crawl de https://www.crowl.tech/, voici les étapes à suivre pour l’installer en local sur votre machine mac os.

Installer Python

sudo easy_install python

Installer les dépenses

sudo easy_install nose
sudo easy_install tornado
pip install configparser
pip install parse

Installer Crowl

Créer un dossier par exemple crowl et vous positionner dans celui-ci.

mkdir crowl
cd crowl

Télécharger le code source dans le dossier crowl

git clone https://gitlab.com/crowltech/crowl.git .

Lancer l’installation

pip install -r requirements.txt --user
ParSébastien HOUZET

Prestashop faille de sécurité 2018 sur les sessions et cookies

Les utilisateurs de PrestaShop ont été invités à passer à la dernière version après la découverte d’une faille dans la manière dont la plate-forme e-commerce gère les données de session.

Le bogue, découvert par Ambionics Security et détaillé dans un article technique plus tôt cette semaine, pourrait permettre à un attaquant de prendre le contrôle de toute session client, de voler des données commerciales ou d’avoir un accès total au panneau administrateur.

Selon Charles Fol d’Ambionics, au lieu d’utiliser l’ID de session PHP habituel et de stocker des données localement, il s’est avéré que PrestaShop stockait les données de session dans un cookie sans chiffrement adéquat et sans signature cryptographique.

“Pour que le cookie ne soit pas altéré, une somme de contrôle est ajoutée et le tout est alors chiffré”, a noté Fol.

“Le processus est défectueux et permet aux pirates de lire et d’écrire des données de session et donc de détourner des sessions de clients ou d’employés, ce qui entraîne un contrôle partiel ou complet du site.”

La société a été alertée de la vulnérabilité en mai et a résolu le problème dans les versions 1.6.1.20 et 1.7.3.4.

ParSébastien HOUZET

Plugin OAuth 2.0 pour Grav

Grav est un CMS Flat-File puissant, léger et très pratique.

On peut également y trouver plus de 250 plugins afin d’accroître les possibilités de ce bel outil open-source.

J’ai le plaisir de participer au développement de Grav en vous proposons un plugin OAuth 2.0 pour limiter l’accès au CMS par le biais d’une authentification préalable.

Il est aussi possible de l’activer pour la partie Admin afin de créer les utilisateurs en fonction de leur connexion via OAuth 2.0.

Retrouver l’ensemble des informations sur Github : https://github.com/sebastienhouzet/grav-plugin-oauth2

Bonne utilisation et n’hésitez pas à proposer vos améliorations.

Source