Si ce n’est pas déjà fait, je vous invite à lire le premier article de cette série. J’y explique le contexte dans lequel j’écris ces articles, et je parle des failles par injection SQL.

Le principe du cross-site scripting

Le cross-site scripting (ou XSS pour faire court) est une faille de sécurité qui arrive assez classiquement lorsque des données saisies par un utilisateur peuvent se retrouver telles quelles dans une page web vue par une autre personne. Si la première personne est mal intentionnée, elle peut ainsi exécuter du code sur le navigateur de la seconde ; c’est la porte ouverte à la récupération d’informations personnelles.

L’usage le plus courant est la récupération des cookies du visiteur, ce qui permet ensuite de se connecter au site en se faisant passer pour cette personne. Cela peut être dramatique sur un site bancaire (détournement d’argent) ou administratif (vol d’identité) ; mais une usurpation d’identité sur un réseau social peut être tout aussi gênante.

Prenons l’exemple d’un site proposant à ses visiteurs de laisser des commentaires. Pour cela, un simple formulaire avec un champ texte fait l’affaire. Le texte saisi par un utilisateur est enregistré en base de données, et lorsqu’un autre internaute consulte la page, les commentaires sont lus depuis la base de données pour être ajoutés dans le corps de la page. Jusque-là tout va bien.
Mais si le commentaire contient du code Javascript, et qu’il se retrouve directement dans la page, il sera exécuté par les navigateurs des visiteurs.

La solution

Normalement, si vous avez fait un minimum de développement web, vous devriez vous dire « Bien sûr, mais personne ne fait ça ! ».
On est d’accord. De manière générale, tout ce qui vient de l’extérieur − saisi par un être humain dans un formulaire, ou bien reçu lors d’un appel à un webservice externe − doit être traité de manière particulière.

La fondation OWASP (Open Web Application Security Project) a écrit une “cheatsheet” sur

Voir la suite

Point de situation sur les dépôts officiels fournissant les Software Collections de PHP pour les utilisateurs de RHEL et de CentOS.

Depuis la publication de RHSCL 3.2, les utilisateurs de RHEL peuvent installer PHP 7.0, PHP 7.1 ou PHP 7.2 sans altérer leur système en utilisant le canal approprié.

Ces paquets sont aussi disponibles pour les utilisateurs de CentOS dans les dépôts SCL, géré par le groupe d'intérêt SCLo (SCLo SIG) :

# yum --enablerepo=extras install centos-release-scl

Le project CentOS fournit donc l'infrastructure et l'hébergement de 4 dépôts:

• centos-sclo-rh : fournissant le même contenu que RHSCL
• centos-sclo-sclo : fournissant des collections supplémentaires maintenues par la communauté
• centos-sclo-rh-testing : fournissant les paquets à tester (version beta de RHSCL)
• centos-scl-sclo-testing : fournissant les paquets à tester maintenus par la communauté

Les utilisateurs de RHSCL souhaitant utiliser les paquets supplémentaires peuvent configurer le dépôt centos-sclo-sclo en utilisant le dépôt Copr centos-release-scl :

# cd /etc/yum.repos.d/
# wget https://copr.fedorainfracloud.org/coprs/rhscl/centos-release-scl/repo/epel-7/rhscl-centos-release-scl-epel-7.repo
# yum install centos-release-scl

Si vous êtes intéressés par ces paquets, je vous recommande de suivre la liste de diffusion sclorg@redhat.com ou sont discutés les éventuels problèmes et annoncées les évolutions. Merci d'utiliser cette liste pour vos retours (paquets en test) et toute autre demande. Les nouveaux contributeurs sont aussi les bienvenus.

Information et documentation sur https://www.softwarecollections.org/.

Le développement est suivi sur le git de sclorg-distgit.

Pour information, voici les paquets supplémentaires disponibles dans centos-sclo-sclo le 1 avril 2020 :

#		Paquet	Version	Distribution	Remarques

Voir la suite

Le report de l'AFUP Day 2020 nous paraît donc désormais incontournable. Maintenir un événement rassemblant parfois cent ou deux cents personnes le 15 mai, quelques jours après la date de reprise des écoles telle qu'évoquée à l'heure où nous vous écrivons, nous paraît aussi improbable qu'inconsidéré. **La santé de nos membres, de vos familles et de votre entourage est notre priorité**, et la première condition à remplir à nos yeux alors que nous travaillons à l'organisation de ce rassemblement. Nous étudions donc l'éventualité d'un report de l'événement à la fin juin, en espérant que ces quelques semaines supplémentaires confirmeront l'accalmie, nous permettant enfin de nous retrouver. Chaque équipe locale de l'AFUP Day 2020 travaille ces jours-ci à l'étude de ce report : disponibilité des salles, des prestataires, et bien sûr, de nos conférencier·e·s. Dès que des informations précises et fiables seront disponibles, nous les communiquerons à la communauté. Toutes les personnes ayant déjà réservé leur place pour l'événement seront bien entendu contactées directement et tenues informées des clauses d'annulation si nécessaire. Besoin de nous joindre ? bonjour[at]afup.org

Dans cet article nous allons voir comment mettre en place un workflow CI/CD pour un projet Symfony à l'aide des actions GitHub. Nous couvrirons de la configuration de PHP sur la machine hôte, au lancement des tests unitaires et fonctionnels de l'application Symfony.

**Hélène, tu participes au sous-titrage de vidéos de l'AFUP. Merci pour ton investissement ! Peux-tu nous expliquer ce qui te motive dans ta démarche ?** J'ai la sensation d'avoir pris conscience assez tardivement de l'importance de l'accessibilité. J'avais déjà entendu parler des sujets comme le RG2A et les préconisations d'accessibilité Opquast mais tout ça restait très abstrait pour moi. Et puis, j'ai croisé des gens (notamment à Sud Web) qui ont bien voulu prendre le temps de m'expliquer ce qui était déjà une évidence pour elleux : l'importance de rendre le web (et le monde en général) accessible. Et puis mon réseau s'est agrandi sur Twitter, et j'ai commencé à lire des témoignages de personnes handicapées et j'ai commencé à regarder le web de façon différente. Pour moi, le web c'était ce truc formidable qui reliait le monde entier (parler en temps réel à quelqu'un qui habite à l'autre bout de la planète), qui permettait de faire tout un tas de choses plus facilement et plus rapidement (sa déclaration de revenus par exemple !) et d'avoir accès à et partager tout un tas de savoirs (grâce aux blogs, vlogs) y compris professionnels gratuitement (par exemple, certaines conférences web comme l'AFUP, mettent gratuitement en ligne les vidéos des interventions)... et en fait, j'ai commencé à me rendre compte que c'était pas le cas pour tout le monde. Et j'ai réalisé qu'il restait encore beaucoup de choses à faire, que moi-même je n'aidais pas et que je pourrais sûrement trouver un moyen de faire mieux. **Tu donnes de ton temps à l'AFUP, et pourtant tu n'es même pas développeuse ! Ca nous touche d'autant plus : peux-tu nous parler de ce qui te donne envie de t'impliquer à nos côtés ?** Je ne suis pas développeuse mais je connais pas trop mal le milieu du web ! J'ai la chance d'avoir un mari développeur (entre autres) qui a toujours beaucoup parlé de son métier, qui a toujours pris le temps de répondre à mes questions, de m'expliquer tout un tas de choses sur le développement (avec des petits croquis et des métaphores !). Du coup, j'ai aussi commencé à m'y intéresser, j'ai appris quelques bases de programmation pour faire mon blog à l'époque (moche, parce que par contre je suis nulle en design !). Bref, quand j'ai vu le [tweet de l'AFUP](https://twitter.com/afup/status/1213013376068018176) qui proposait aux gens d'aider pour le sous-titrage, je me suis dit que c'était une belle opportunité de donner un peu de mon temps pour aider. **Les membres de notre équipe en charge du sous-titrage sont libres de choisir les vidéos qu'ils souhaitent sous-titrer. Comment choisis-tu les sujets auxquels tu t'attaques ?** En général, je regarde d'abord les titres. Si le titre a l'air de parler d'un sujet hyper technique, j'évite. Pour les autres, je visionne des extraits (en général 5 minutes cumulées) : si la plupart des slides sont blindées de code ou si ce que dit le speaker a l'air vraiment technique, pareil, j'évite.

Voir la suite

#### Au sujet de l'annulation du Super Apéro PHP 2020 Dès la première semaine de mars, le pôle antennes et les responsables d'antennes étaient vigilants quant à l'évolution de la situation. **La santé de nos membres**, et surtout la **santé des personnes à risque parmi nos membres et dans leurs familles**, nous paraissaient comme la priorité, tout particulièrement au vu de la force de contagion du virus. L'allocution du Président de la République du jeudi 12 mars n'a fait que confirmer notre sentiment et nous avons pris la décision le même soir, en collaboration avec l'ensemble de nos antennes, d'annuler le Super Apéro PHP 2020. L'information vous a été communiquée immédiatement. Si avant les précisions du gouvernement, notamment sur les interdictions de rassemblement, notre annonce a pu sembler brève, n'oubliez pas que nos équipes, dont les membres sont bénévoles, devaient également s'organiser pour faire face aux impacts du virus sur leur vie personnelle ! Merci aux antennes pour leur réactivité, merci à vous pour votre compréhension : on vous donnera rendez-vous prochainement pour lever notre verre à PHP. #### Au sujet de l'AFUP Day 2020 À l'heure où nous écrivons, l'AFUP Day 2020 est maintenu le vendredi 15 mai. Nous attendons la fin de cette (première ?) période de confinement et les recommandations sanitaires qui suivront pour faire un choix concernant le maintien, l'éventuel report ou l'annulation de l'événement. **Toutes les personnes ayant déjà acheté leur billet seront contactées dès la décision du bureau prise.** En attendant, nous continuerons de diffuser les [interviews des speakers programmés](https://event.afup.org/category/afup-day-2020/), pour qu'ils et elles partagent avec nous leur passion, leurs conseils, leur parcours professionnel et leur vision de notre communauté, venant illuminer votre matinée en télétravail ! #### Dans nos antennes Bien entendu, tant que les rassemblements sont interdits, pas de meetups à venir prochainement dans nos antennes. Pensez au Slack Membres pour échanger avec les membres de votre ville, dans le channel de votre antenne ! Nous ne pouvons que vous encourager à suivre scrupuleusement les règles sanitaires en place pour que la période de confinement soit la moins longue possible : **restez chez vous** ! Et gardez la forme et le moral.

#### Télétravail et mentorat Besoin de soutien ou de conseils pour instaurer le télétravail au sein de votre équipe ou pour vous organiser à la maison ? Les mentors participant au [programme de mentorat](https://afup.org/p/1038-programme-mentorat) de l'AFUP peuvent sans doute vous aider ! Évidemment, gardons nos distances : ces accompagnements se tiendront par Slack, Skype ou tout autre outil permettant de vous mettre en relation sans risque de contagion. #### Continuez à progresser grâce aux captations Formez-vous grâce aux [vidéos](https://afup.org/talks/) de l'AFUP. Pas de meetups dans les prochaines semaines, mais les captations de nos conférences peuvent palier au manque. Il y en a sûrement quelques-unes que vous n'avez pas encore regardées. #### Serrons-nous les coudes ! Luttons contre l'isolement. Le confinement n'est facile pour personne, et encore moins pour les personnes vivant seules, hypersensibles ou faisant partie de la population à risque pour ce virus. Échangeons sur le Slack Membres dans le channel #aleatoire, utilisons l'outil pour organiser des calls "Apéros Slack", prenons un break au travail pour discuter autour d'un café virtuel avec la communauté. #### Le bon moment pour se rappeler nos valeurs Mettons à profit ce temps pour resserrer les liens de la communauté. Ce virus nous incite à nous rappeler nos priorités et nos valeurs. Si le temps et l'organisation à la maison nous le permettent, engageons-nous enfin dans ce projet open source qu'on remet toujours au lendemain, partageons les résultats du [baromètre des salaires en PHP](https://barometre.afup.org/report/2019/) pour que chacun puisse valoriser ses capacités à leur juste valeur, aidons les personnes malentendantes en intégrant [l'équipe en charge du sous-titrage des vidéos](https://twitter.com/afup/status/1213013376068018176) des captations du Forum PHP 2019. Vous avez d'autres idées pour aider les membres de la communauté en cette période difficile ? N'hésitez pas à nous contacter, par Slack ou par email (bonjour[at]afup.org), pour discuter de votre idée ! Bon courage à toutes et tous. Respectez les consignes de confinement, prenez soin de vous et de votre entourage et on se retrouve au plus vite, en pleine forme, promis ?

Dans cet article, nous allons voir comment faire en sorte pour que dans un projet Symfony, les dépôts Doctrine soient automatiquement configurés comme services sans avoir à ajouter la moindre configuration.

Il m’est arrivé de récupérer les accès à une machine sans réussir à m’y connecter depuis l’extérieur. Certains hébergeurs proposent des connexions spécifiques à travers un terminal web (comme KVM). Les firewalls correctement configurés vont limiter les points d’entrée et il est parfois nécessaire d’en ajouter un nouveau. Voici deux petits commandes qui permettent grâce […]

L’article Comment autoriser la connexion depuis une IP avec iptables est apparu en premier sur CH Studio - Stéphane Hulard / PHP, Laravel, Symfony, Sécurité, API.

Nous nous rattraperons en temps et en heure pour célébrer les 20 ans de notre association, mais également les 25 ans de PHP. Nous remercions nos antennes pour leur compréhension ainsi que leur travail sur l'organisation de cet événement. Nous tenons à remercier également Frédéric Bouchery pour l’énergie mise en place dans la réalisation du quiz.