Microclub

Voici le message parvenu dans ma boîte email:

Venant de linkedin, il n’y a pas de méfiance particulière à avoir, bien que je ne connaisse pas ce Michael Brown.

Mais lorsque je clique sur le lien, voici que l’adresse URL devient moins… friendly:

Page malveillante !
La page Web sur deti-solntsaru.704.com1.ru a été signalée comme étant une page malveillante et a été bloquée sur la base de vos préférences de sécurité.

Et si on veut des détails, un bouton donne (voir au bas de l’article) comme quoi, c’etait un « fake » destiné à me harponner, ni plus ni moins! Mais où va-t-on, si des sites de contacts dit sérieux, professionnels servent de réservoir à gogos?

Yves Masur

Navigation sécurisée

Page de diagnostic pour deti-solntsaru.704.com1.ru

Quel est l’état actuel du site deti-solntsaru.704.com1.ru ?

Ce site est répertorié comme suspect. Une visite sur celui-ci peut endommager votre ordinateur.

Une activité suspecte sur une partie de ce site a été détectée 5 fois au cours des 90 derniers jours.

Que s’est-il passé lors de la visite de ce site par le robot Google ?

Sur les 5 pages du site que nous avons testées au cours des 90 derniers jours, un certain nombre (2) entraînait le téléchargement et l’installation de logiciels malveillants sans l’autorisation de l’utilisateur. La dernière visite effectuée par le robot Google sur ce site a eu lieu le 2012-01-09, et le dernier contenu suspect sur celui-ci a été détecté le 2011-12-11.Parmi les logiciels malveillants, les éléments suivants sont présents : 2 scripting exploit(s).

Des logiciels malveillants sont hébergés sur 2 domaine(s), y compris ll-ccc.cz.cc/, stats-co.cz.cc/.

Ce site était hébergé sur 1 réseau(x), y compris AS43146 (AGAVA3).

Ce site a-t-il servi d’intermédiaire pour favoriser la propagation de logiciels malveillants ?

Au cours des 90 derniers jours, deti-solntsaru.704.com1.ru ne semble pas avoir servi d’intermédiaire pour l’infection de sites.

Ce site a-t-il hébergé des logiciels malveillants ?

Non, ce site n’a hébergé aucun logiciel malveillant au cours des 90 derniers jours.

Que s’est-il passé ?

Dans certains cas, des tiers peuvent ajouter du code malveillant sur des sites légitimes, ce qui déclenche l’affichage du message d’avertissement.

Bouger son site perso est une entreprise… pas facile. Surtout si l’on pas d’échéance: on bricole une heure par-ci, par-là en laissant un chantier terrible. Mais par le fait que le site du Microclub, que j’utilisais comme sous domaine depuis (au moins) 2004 a changé d’hébergeur, je me suis retrouvé dans l’obligation d’accélérer le mouvement!!

Pourquoi pas une simple page de redirection? Surtout que l’ancienne structure est toujours visible. Il suffit de connaitre le nom du site principal (www.scdi.org) et le nom « UNIX » de l’utilisateur. Par exemple, l’ancienne structure du microclub visible ici:  http://www.scdi.org/~microclub/ et vous pouvez toujours consulter nos anciennes news (pas trop fraîches!) etc! Alors donc, j’aurai pu me contenter de mettre une page de redirection sur ma structure. Las! Sur l’hébergeur Infomaniak, il n’est pas possible d’indiquer une redirection avec un sous-sous domaine, avec deux points dans l’URL.

Pire, comme le site www.microclub.ch est maintenant motorisé par WordPress, pas moyen d’avoir un petit bout d’arborescence, comme www.microclub.ch/monsite. En effet, WordPress pratique l’URL rewrite: tout ce qui est après le « .ch »  renvoie à un article. Essayez http://microclub.ch/truc pour vous faire une idée.

Bon, je fignole le transport des fichiers sur ma nouvelle adresse. Et viennent les problèmes d’update.

Problème de POST

Une fois les pages copiées, un test me montre que les POST ne fonctionnent pas. En fait, sur le site de SCDI, des variables PHP sont définies, probablement au niveau de Apache:

• $PHP_SELF
• $SCRPT_NAME
• $HTTP_HOST

Mais pas sur le nouveau, hébergé par BigHosting. Pour tester le comportement, j’ai un script ici: http://www.scdi.org/~ymasur/tests/php/web-path.php et copié ici: http://www.yvesmasur.ch/tests/php/web-path.php et là, on voit bien que les variables en question sont vides.

Pas d’autre solution que de modifier les scripts en recherchant une technique propre pour initialiser ce qu’il faut. Le pire est ma page admin, qui se transforme en un gouffre: plus de login/password pour accéder à l’interface! l’horreur…

Même ceci réparé, je constate que le script limitant la durée en enregistrant l’IP et date, heure ne limite rien du tout… Il faut que le fichier qui l’enregistre aie les droits rw-rw-rw (666 pour les intimes à UNIX).

Problème de DB

Et la base de donnée? Le plus simple est de copier par un fichier SQL, via l’interface PHPMyAdmin, et de le pousser sur le nouveau site. Et ça marche. Il faut bien sûr changer le fichier de config qui initialise les données de DB, Tables, User, Password pour y accéder.

Mais voilà, les références des liens indiqués dans les news sont faux! La correction est de tout effacer, modifier au niveau texte dans le fichier SQL, et rebalancer le tout. Voilà que l’accès à la DB m’interdit de sucrer les tables! Je dois donc travailler via l’interface « officiel » de BigHosting pour pouvoir effacer la DB. Et importer le fichier SQL. Mais là, on me demande l’encodage qui par défaut est UTF-8. Hé bien ce n’est pas le bon, d’après le résultat ou chaque news s’arrète au premier apostrophe. Rebelote pour effacer et importer…

Conclusion

Il n’y a rien de neuf sur mon site, mais il va plus vite! Il reste toutefois quelques petits problèmes de lien cassés. Et de fonctionnalités que je ne vais pas m’amuser à reproduire.

IziSpot – le must?

Suite à l’excellente présentation des frères Francey sur ce sujet,  je télécharge le produit: IziSpot 4.3.1, l’installe sans problème. Juste une chose étrange, W7 me demande à chaque lancement si ce logiciel peut modifier les données de l’ordi – je suppose que c’est un soft encore au style XP; bien que les données se trouvent dans les paramètres utilisateur. Puis je me lance dans l’édition d’un site comportant 3 pages:

• accueil, logo des sponsors
• info, tableau avec des liens
• contact, avec formulaire

Édition des pages

La première chose est de faire son layout, très bien indiqué comme « charte graphique »: image, logo, menus, couleurs de fond. Ceci est facilité en observant des modèles, forts nombreux; voir en en prenant un pour le modifier – ce que je fait.

Une fois la page d’accueil construite, pour me simplifier la vie je la copie, en vue d’avancer la page « info ». Mal m’en prend… la page d’accueil est spéciale, reconnue comme tel. Après une heure d’essais de toute sorte, qui me font passer en revue tous les menus, je fini par voir que la page d’accueil et/ou sa copie ne peuvent pas être supprimée. L’ édition de la copie trouble IziSpot! En effet, le contenu est différent et présenté par l’environnement correctement, mais le test avec le browser montre 2 x la page d’accueil initiale.

Heureusement, le fichier .IZI qui contient l’ensemble du site et les paramètres peut être facilement sauvé, copié et numéroté pour en avoir une version. Même si l’environnement semble assez solide (mis a rude épreuve avec mes essais!), il vaut mieux sauver souvent, il n’y a pas de « undo ». Sans en avoir la certitude, il semblait que les éléments qui composent cet environnement est basé sur des web-services. Vu avec l’excellent « Process Explorer », on peut voir sans ambiguïté que des instances de Explorer sont actives dès qu’on édite.

On voit dans ce menu mes copies malheureuses de la page d’accueil, renommée en information-old. Pour finir, j’ai refait une « Info » depuis la page blanche. Par contre je n’ai pas eu besoin de remettre les éléments (tableau, images, liens) depuis zéro. En effet, en copiant le HTML de la page informations-old, la nouvelle page « Info » a tout repris!

Certes, cet environnement est au départ un peu déconcertant. Il ne faut pas confondre le nom de la page IziSpot, le nom de la page WEB telle qu’affichée dan le browser et le nom dans le menu cliquable. Cliquer sur une des pages (active ou non) lance l’édition wisiwig, confortable et bien pensée.

La manipulation de tableau est – comme dans nombre de concurrent – dépendante du contexte; par contre, on sait particulièrement bien si on s’adresse au tableau dans son entier ou une cellule, ou un groupe de cellules sélectionnées. On peut aussi agir directement dans le HTML, voir intégrer des script. Pour ce faire, le nom de la page WEB pourra obtenir l’extension .php, ou . asp.

Créer un formulaire est très simple: on détermine les champs, indiquant ceux qui sont obligatoires et la page de retour. Par contre, il faut savoir que l’émail passera par le site izisoftware.com:

if (err==1) {alert (erreur)} else {document.envoi.action='http://users.izisoftware.com/Sharing/Form/Default.aspx';document.envoi.submit()}

Organisation du site

L’organisation des pages via le menu, (icône clef 6 pans) est également très facile à utiliser:

Des flèches permettent de déplacer la page; également dans une arborescence (max 4 niveaux). Depuis ce menu, on peut également changer de charte graphique par page.

Mise en ligne

Elle est facilitée par un interface ftp, qui permet de garder les nom et password associés au projet. Un fenêtre montre les commandes ftp et un ascenseur indique la progression. En option, le fichier .izi peut également être déposé sur le serveur à titre de sauvegarde. Bien entendu, il est possible de tout relire le code généré. Par contre, il faut résister à la tentation de le modifier, car à la prochaine mise à jour, les corrections seront perdues!

Heureusement, l’option « mise à jour partielle » permet de ne renvoyer sur le site de production que les fichiers touchés, ce qui permet une accélération de la mise à jour d’un site qui devient complexe et plus lourd au fil du temps. L’édition wisiwig et la prévisualisation via browser (choix entre IE et Firefox) permet de finaliser les pages avant leur mise en ligne.

Qu’en est-il de la conformité du code généré? Il y a forcément pas mal de javascript pour lier et faire fonctionner le tout. Avec le site à 3 pages (www.giron2011.ch) la validation indique 16 erreurs. Elle concerne des balises unique qui devraient être fermées, tel que, ou des tirets excédentaires dans des commentaires. Des images n’ont pas de « alt ». Pas de quoi en faire un drame…

Conclusion (provisoire)

Cet environnement – gratuit!! l’option pour un site marchand est seule payante – mérite attention. Il est en progression constante, si l’on en juge le forum très vivant. Et ce qui pas désagréable, énormément d’efforts en français et pour les langues en général sont faits. Il soutient sans rougir la comparaison avec des outils bien plus complexes et onéreux. Une fois passé l’obstacle (mais est-ce évitable?) des menus et génération de fichiers, il est rapide et agréablement efficace.

Attention!

La prochaine conférence aura lieu au Port-Franc 18, administration communale de Lausanne. Pour les éventuels retardataires: un téléphone public est à disposition vers la porte, composez l’interne 3820.

Agrandir le plan

Wow! Regardez ça : j’insère dans cet article une image dont l’URL est: http://chart.apis.google.com/chart?cht=p&chd=s:world5&chs=200×125&chl=A|B|C|D|E|F

Et le résultat est là :

Nos amis chez Google ont réalisé une fonction géniale : en décrivant un graphique (= « chart » en anglais) dans l’URI d’une image, leur serveur produit l’image à la demande !

Evidemment il est possible de produire plein de types de graphique différents, et avec un peu de code en PHP ou autre, un site peut afficher des graphique variables au gré de données pêchées dans une base de données, tout ça hyper facilement. La syntaxe à utiliser pour créer les graphes est expliquée avec beaucoup d’exemples ici : Google Chart API

Tout ça est gratuit, et même sans aucune inscription pour autant que votre site ne fasse pas plus de 50’000 requêtes de graphique par jour.

Google est vraiment une boite intéressante …

 Ceci est un « proto de faisabilité » destiné à évaluer si le site www.microclub.ch pourrait être propulsé par WordPress à l’avenir, en ajoutant ainsi des fonctionnalités de blog.

Si vous voulez (essayer de) publier des articles sur ce blog pour vous faire une idée, il faut :

1. vous créer un compte sur www.wordpress.com
2. m’informer par e-mail à microclub.AT.goulu.DOT.net en me transmettant l’e-mail utilié pour la création du compte wordpress et je vous créerai un compte d’auteur sur ce blog