Ubuntu-fr

Bonjour/Bonsoir à toutes et tous

J'ai récemment mis en ligne un petit Wordpress pour écrire des articles sur mon développement d'un petit moteur 2D en Javascript et je cherche à avoir un petit feedback.
Ça se trouve là : https://www.morgiver.net/

Le but du développement c'est de découvrir la construction d'un moteur 2D dans les grandes lignes, aborder des concept tels que l'Entity Component System par exemple.
Donc n'allez pas imaginer que je cherche à détrôner Unity ou l'UnrealEngine. En fait, je cherche par moi même, je construis par moi même et une fois que je sens que j'ai un peu fait le tour, je me lancerai peut-être sur un moteur pro déjà existant (mais il faudra que j'ai un projet de jeu vidéo et là franchement, j'ai pas d'idée haha).

Les articles sont donc les résultats de mes dev et mes recherches personnelles. Peut-être que ça se transformera en tutoriels, je ne sais pas.
Pour l'instant j'ai un github privé pour le moteur, en l'état je ne partage pas car c'est encore trop fouillis, mais une fois clarifié, ce sera évidemment open source.

Si certains d'entre vous sont intéressés, n'hésitez pas à me faire un petit feedback, ce que vous penser de ce petit projet, pourquoi pas partager vos idées ou vos critiques

Un grand merci d'avance,

La bonne journée à toutes et tous

Morgiver

Salut,

Je dois prouver la tautologie suivante :

(P v Q => R) <=> (P => R) ^ (Q => R)

Pour l'instant mon développement c'est ça :

<=> ~(P v ~R) ^ ~(Q v ~R)
<=> ~((P v ~R) v (Q v ~R))
<=> ~(P v Q v ~R)
<=> ~P v ~Q v R
<=> ~P v Q => R

Je le prend un peu dans tous les sens mais je n'y arrive pas. J'ai toujours le même résultat.

Où est/sont mon/mes erreur(s) ? Que me manque t-il pour aller un cran plus loin ?

Si quelqu'un sait m'aider, merci d'avance

Morgiver

Edit: Ou pinaise, ce clash de cerveau dans le titre xD (Alègre Booléenne, oui oui)

Salut à tous,

Dans le cadre de mes études et de mon boulot, j'ai choisi d'étudier la mise en place d'une PKI (Public Key Infrastructure).

Contexte :
Je met progressivement en place un projet de gestion de données au sein d'un réseau décentralisé.

Les données qui devraient y transiter sont assez sensibles (informations personnelles de personnes en difficulté financière, juridique, et d'autre). Il va de sois que la sécurité doit être adaptée.

J'ai choisi de développer une infrastructure de serveur avec NodeJS. Un serveur d'Authentification, un serveur de Données et un serveur local pour chaque Utilisateur.
Au delà du fonctionnement de l'infrastructure, j'aimerais m'assurer que les machines sont bien certifiées sur le réseau. En effet, nos bureaux sont décentralisés, on est dispatché sur une commune dans plusieurs quartier, cela présente donc quelques risques.

Objectifs :

• Assurer une certification des machines du réseau

• Assurer un encryptage des communications

• Assurer une authentification des utilisateurs sur le réseau

Contraintes :
Il y a une contrainte relativement lourde, le réseau de base ne nous appartient pas, on profite d'un réseau d'une autre association (elle aussi décentralisée) qui elle même profite d'un réseau MAN. Il faut donc considérer que ce réseau comme étant ouvert.
Nous pouvons installer des serveurs sur lesquels nous avons un contrôle total, on a donc la possibilité de créer un réseau dans le réseau.

Moyens actuels :
Mes moyens actuels sont un ordi personnel suffisamment puissant pour supporter une petite dizaine de machines virtuelles (16Go et 12Threads à disposition).

But de ce post
Ce post doit servir à recueillir des informations (si tant est que des gens le suive) et d'organiser ces informations au jour le jour.
Je ne me considère pas comme un crac de la sécurité et j'ai encore beaucoup à apprendre, en postant ici j'espère pouvoir trouver un petit soutient.
Et puis qui sait, peut-être que cela intéressera quelqu'un.

J'invite donc quiconque aurait des informations, des conseils ou des ressources à partager.

Bref... pour l'instant voici un premier tas de tutoriel et de ressources d'informations diverses.

Liens en vrac :

• Page Wikipédia sur les Infrastructure à clés publiques

• Wikipédia - Norme crypto X.509

• Wikipédia - Le TLS

• Tuto Autorité de Certification (2012)

• Certification sous NodeJS

• Doc Ubuntu - Créer un certificat SSL

• Tuto mise en place PKI (K-Tux)

• Documentation branche master de OpenSSL

• Cookbook sur OpenSSL (ebook gratuit)

Merci d'avance à tous,

Morgiver

Salut,

J'approche le développement d'application REST et pour l'instant je me concentre surtout sur l'authentification avec les Json Web Token.
Il y a un truc qui m'échappe, je n'arrive pas à comprendre comment être sur que même dans une url, on peut balancer un JWT.

Un attaquant pourrait simplement écouter les requêtes et choper le token, il n'aurait plus qu'a l'utiliser pour se faire passer pour moi.
Je ne comprend pas comment le serveur peut valider la source du token étant donné qu'il est encodé coté serveur et non pas coté client.

Si ça se passait avec une pair de clé, j'aurais compris, chacun encode le token et le tour est joué.

Quelqu'un saurait m'aider à comprendre ?

Un grand merci d'avance

Morgiver

Bonjour à tous

Je suis actuellement en train de taper un rapport sur la situation informatique de ma boite. Je dois pouvoir décrire les besoins de chacun et pouvoir proposer des solutions en fonction des profils.

La situation actuelle n'est pas vraiment désastreuse pour la majorité des travailleurs, tous équipé d'au moins un i3 2120 (3.3Ghz), 4Go de mémoire vive et d'au moins 512To à 1To de disque dur.

Mais pour mon service, on galère. Graphiste et développeur n'ont aucun accès administrateur, on ne peut pas télécharger de ressources externe (le moindre zip, ou fichier exécutable, tout est bloqué au téléchargement).
Le graphiste à une bonne machine, mais vieille de 4 ans au moins et pour le développement d'application de gestion de données, du site web et d'autre trucs, je tourne sur une machine basique comme celle décrite plus haut.

Dans mon rapport je décris trois problème principaux :

• L'accès aux ressources sur internet

• Le contrôle total de nos machines

• La puissance de calcul adaptée à notre travail

N'ayant jamais travailler dans une boite pro IT avant, j'aimerais savoir ce qu'on y trouve comme matos pour du développement et du graphisme, pourriez-vous si possible décrire le matériel dans vos configs, ainsi que les périphériques (nombre d'écran, type d'écran, type de clavier, etc...).
N'hésitez pas non plus à décrire ce que vous faites comme boulot, cela m'aiderait à cibler le profil.

J'aimerais pouvoir faire une comparaison réaliste d'une situation "normale" pour un service dont l'outil principal est l'ordinateur.

Je vous remercie d'avance,

Morgiver

Salutation,

J'ai un soucis avec une promesse sous angularjs.

Je suis en train de tenter d'intégrer l'utilisation d'OpenPGP et Socket.io, le but étant de fournir une petite application AngularJS communiquant avec un serveur Socket.io de manière sécurisée.

Pour cela, j'ai créé un service fournissant l'accès à OpenPGP et une factory qui me permet définir mes socket basique et leur encodage.

Vous pouvez voir le code sur le pastebin suivant :
http://pastebin.com/dkcUQVBP

Coté serveur, en ligne 16, ça fonctionne bien, il créé bien ses clés, les variables prennent bien leurs valeurs.
Coté client, sous AngularJS en ligne 157 c'est tout autre chose.
C'est comme si les données refusaient de sortir de la promise (les clés sont bien générée, j'ai testé avec un console.log() dans la promise).

Je vous avoue ne pas être très à l'aise avec les promises et je ne comprend où se situe le chmilblik

Quelqu'un pour m'aider ?

Merci d'avance pour le soutient et les conseils fourni

Morgiver

Yop,

Je suis en train de calculer la mise en place d'un éventuel service d'hébergement pour mes futurs client.

En gros l'idée c'est de fournir du site web et hébergement. Le site web aurait son propre prix et l'hébergement aurait le sien.
Le client aurait le loisir de choisir ou non une solution complète ou juste un site web.

Cela me permettrait de faire fonctionner les sites de mes clients sur un même genre de plateforme et pourrait plus facilement imposer le choix des technologies et des techniques utilisées pour le développement des sites web (HTML, CSS, Javascript, NodeJS, MongoDB). 
En fait j'essaye de créer un environnement de travail homogène que je maîtrise complètement afin d'offrir un service complet, stable et sécurisé.

Question hébergement, je me vois bien prendre un serveur chez Gandi, leurs système fonctionnant entièrement en cloud, cela me permettrait d'avoir un système adapté aux besoins réels du moment et de pouvoir upgrader à chaud si besoin.

Ce que je compterais fournir comme service :

- Hébergement du site web
- Monitoring 24/7 du site web et intervention rapide en cas de problème (site down, defaced, bug, analyse anti-virus, etc..)
- Mise à jours critique du site (faille, bug majeur, etc... Précisons ici que cela ne concerne en rien de nouvelles fonctionnalités)
- Système d'ip Fail over (à chaque nouveau serveur, un serveur parallèle est mis en place pour permettre un hébergement sans interruption, en cas de problème du système, mise à jour des serveurs, etc...). Ca coûte plus cher, mais au moins le service est continu, même en cas de problème.

Pour cela je proposerais un prix de 25€ HT/mois minimum (prix à adapter en fonction de la consommation de l'application ou du site web).

Est-ce réaliste ? Le prix est-il trop haut/bas ? Des idées pour améliorer les services ? Autres ?

Merci d'avance pour vos interventions

Morgiver

Bonjour,

Je suis en train de faire un site pour un client, sa boite veut pouvoir permettre aux client de s'enregistrer sur le site et d'avoir une fonction d'upload de document PDF et XLS.

Je m'interroge sur la façon d'analyser un fichier. Par exemple, que faire dans le cas d'un envoi d'un fichier compromis par une backdoor ou un virus ?
Est-ce possible de lancer une procédure d'analyse anti-virus ? (vu l'efficacité des AV, j'aurais une protection contre les kiddies, mais contre les types doués, ça va être une autre paires de manches).

Ma première solution est d'empêcher l'exécution dans le dossier. Mais je ne pense pas que cela soit suffisant, que me conseilleriez-vous ?

Merci d'avance pour vos conseils avisés

Morgiver

EDIT : Modification du titre du topic, pas adapté.