L'association Nantes GTUG recevait jeudi Salvador Diaz, diplômé de l'école des mines de Nantes, pour nous parler de GWT 2 (et versions supérieures) et HTML 5. Je travaille actuellement sur une application GWT 1.5, donc le sujet m'a particulièrement intéressé.

La conférence s'est déroulée en 2 parties de présentation théorique, couronnées par une démo live de mise en pratique. Un régal !

Sujet lourdement attendu aux TechDays 2012, la vision d’HTML5 et de CSS3 par Microsoft a fait salle comble. Nul doute que le nouveau navigateur Internet Explorer 10 va faire des vagues !

« Le bon, la brute, et beaucoup de truands ! »
Comme souvent à l’arrivée d’une nouveauté, beaucoup de bruits parasites viennent confondre le commun des mortels. IE10 n’échappe pas à cette règle et depuis quelque temps maintenant, le navigateur de Microsoft rejoint HTML5 et CSS3 au cœur des sujets de discussion des professionnels de l’informatique.
A travers cet article, je vais tenter de vous éclairer sur ce qui se cache derrière l’arrivée d’Internet Explorer 10 et sur sa manière d’implémenter les nouvelles spécifications de CSS3 et d’HTML5.

Dans ce post je vais vous présenter les différentes fonctionnalités proposées par la librairie JavaScript jQuery.

Tout au long de cet article pour je vous renverrai vers des documentations en ligne que j’ai pu consulter lorsque j’ai utilisé jQuery sur différents projets. De cette manière vous pourrez vous imprégner avec une granularité plus fine de l’ensemble des fonctions mises à disposition par jQuery.

Plusieurs personnes m'ont demandé comment je fais pour changer mon avatar, celui qui apparait quand je commente sur les blogs comme celui-ci.

Je profite donc de l'occasion pour écrire ce petit tutoriel.

A mes tous débuts en programmation orientée objet il y a quelques années, je me demandais pourquoi il était si nécessaire d'écrire des classes "courtes" et ayant un rôle "spécifique". Certes, oui, il faut respecter la philosophie objet. Mais franchement, c'est tellement plus simple et plus rapide de mettre tout son code dans une seule classe, surtout quand on n'a pas beaucoup de temps... Erreur fatale! Heureusement très vite, après avoir été confronté à de multiples problèmes, j'ai compris l'importance du respect de principes orientés objet comme la cohésion et le couplage.

Dans cette série de billets, je me propose de vous présenter brièvement ces 2 concepts fondamentaux de la programmation orientée objet, en précisant les avantages d'une architecture à "forte cohésion et faible couplage".

APACHE WICKET

1- INTRODUCTION

Le framework Wicket est un projet développé par la fondation Apache (site officiel : http://wicket.apache.org/) ayant pour but de développer des applications web. Certes, il existe déjà une multitude de frameworks équivalent (Struts, Spring MVC, etc...) mais cet outil se démarque des autres outils notamment par quelques caractéristiques. Ainsi les objectifs principaux de ce framework sont :

• La facilité de prise en main : Les composants HTML (label, formulaire, lien hypertexte, etc...) sont représentés par des classes JAVA de type POJO (ex : un formulaire est associée à la classe Wicket wicket.markup.html.form.Form ; cf : http://wicketstuff.org/wicket14/compref/) ; Wicket n'utilise pas de nombreux fichiers XML pour configurer l'application.
• La réutilisabilité de composants Wickets déjà existants (ex : l'autocomplétion avec la classe Wicket AutoCompleteTextField du package org.apache.wicket.extensions.ajax.markup.html).
• Aucun fichier HTML ne contient de lignes de code JAVA ; le développeur doit uniquement « marquer » les composants HTML en leur donnant un identifiant propre à Wicket (« wicket-id »).

Pour illustrer ce concept, examinons la conception d'une application web.

Quel rôle peut jouer Spring Data dans la mise en œuvre d'une base NoSQL ? Quelles sont les contraintes de ce nouveau modèle ? Retour sur la conférence de Chris Richardson de SpringSource.

Retour sur la sortie de la nouvelle version 1.7 de jQuery, indispensable librairie Javascript, présentée lors de Devoxx 2011.

Voici un lien très interessant contenant une documentation très complète sur Git : http://www.alexgirard.com/git-book/index.html

Bonne lecture :-)

Ce lundi s'est déroulé à Lyon un TechEvening consacré à la sécurité des applications Web. Nous avons testé les différentes techniques et outils utilisés par les utilisateurs malveillants. Deux applications ont été utilisées, l'une en J2EE pour la plupart des techniques (WebGoat 5.3 de la fondation OWASP) et l'autre en ASP.NET MVC 3 pour un focus sur les perfides attaques CSRF.

Au programme:

• Injection: diverses techniques d'injection SQL;
• Cross-Site Scripting (XSS): techniques de phishing et de "session hijacking";
• Violation de gestion d'authentification et de session: technique de "session fixation";
• Références directes non sécurisées: techniques d'"AC Bypass" aux niveaux données et métier;
• Cross-Site Request Forgery (CSRF): technique du "Token Bypass";
• Mauvaise configuration de sécurité: technique de "Malicious File Execution";
• Stockage cryptographique non sécurisé: sensibilisation au "hashing" et "salting";
• Manque de restriction URL: technique du "forced browsing";
• Protection insuffisante de la couche transport: "sniffing", "ARP spoofing" et "ARP poisoning"
• Redirections et renvois non validés: techniques du "HTTP splitting" et du "cache poisoning"

Nous avons utilisé les outils suivants:

• Firefox
• Fiddler
• Firebug
• TamperData
• WireShark

Vous pouvez retrouver ci-après tous les supports:

• L'application WebGoat 5.3;
• L'application CSRFDemo ASP.NET MVC 3;
• Les slides (PPTX ou PDF) de présentation;
• Quelques fichiers utilisés pour les attaques;

Pour ceux qui s’intéressent plus globalement à la sécurité des applications .NET (pas qu'en Web), je vous invite à lire l'article suivant sur l'altération des assemblages, l'injection de code et la suppression des signatures cryptographiques. Une vidéo est également disponible.