2004-09-29

[fr] Debian Security Advisories

Au menu ce soir chez ISS et eEye: soupe à la grimace.

Je viens de me cogner la conversion des avis de sécurité Debian, les "DSA", en NASL (le langage de Nessus).
Les concurrents commerciaux de Nessus qui ont les yeux rivés sur le nombre de tests vont verdir. Nous sommes à 4700 scripts, et nous allons passer à plus de 5200.
Énervant, hein ? Inquiétant, même...

Labels: ,

2004-09-19

[fr] G00gl3 rul3z

La récente paranoïa d'un pote à propos de Google Mail (*) a fait remonter à la surface de ma pauvre cervelle une vieille interrogation.
Google est le plus gros moteur de recherche existant, et il scanne en permanence le web -- je suis fasciné par la vitesse à laquelle il repasse sur ma misérable page perso.
Leur base contient forcément plus d'informations que ce qui est affiché.
En particulier, une superbe collection de sites web troués et de serveurs web vulnérables, qui pourraient tomber très rapidement sous le contrôle de hackers un peu organisés, sans compter diverses informations confidentielles qui sont filtrées par le moteur.

La NSA s'intéresse de près à la technologie de Google. Mais c'est un hasard, hein ?

(*) http://www.gmail.com à qui l'on reproche 1. de fouiner dans les messages pour balancer des pubs, 2. d'archiver indéfiniment.
Lire http://gmail-is-too-creepy.com/

Labels:

2004-09-05

[fr] XML: parsing for dummies

Le cerveau du youzeur contient plus de neurones que prévu et il faut une usine à gaz pour le remplacer.

Je me suis longtemps demandé

  1. d'où venait le succès de XML,
  2. pourquoi je ne le comprenais pas.


Je suis convaincu que bricoler un langage adapté à un problème particulier est (i) terriblement rigolo, (ii) très utile. "Languages shape the way we think" (Dijkstra).

Malheureusement, écrire un parser capable d'avaler le dialecte inventé n'est pas à la portée de n'importe qui, plus par méconnaissance du sujet qu'à cause d'une réelle difficulté technique: les outils existent et il suffit de ne pas se laisser impressionner par le problème.

Comment éviter à Monsieur Toutlemonde de se blesser en écrivant un parser? Tout simplement en lui amenant un truc tout fait: XML.
Le génie de ce bazar, si l'on peut dire, c'est que le parser est universel. Ça se paie cher: les DTD et autres XBZZZ saletés sont de vrais romans pas bien éloignés d'une grammaire Bison, la moindre bibliothèque XML pèse quelques Mo et son API est un vrai plat de nouille plein d'options, de machins et de sous-trucs.

Finalement, XML est presque un langage de programmation. Mais les données sont statiques, contrairement au code: on arrive à comprendre son sens en le regardant bouger.

Autre grand principe méconnu: commenter le code ne sert à rien. Si le code est vraiment illisible, il faut le réécrire. Ce qui est important, c'est d'expliciter la sémantique des structures de données.
Et ça, XML ne l'impose pas.

Labels: