#### Projet de la Croix-Rouge ouvert aux reviews/contributions sur Github
La Croix-Rouge Française a développé un outil de gestion, planification et projection de moyens humains et opérationnels. Son but est de recenser les disponibilités des bénévoles afin de connaître le plus précisément possible les ressources sollicitables et d'avoir de la visibilité sur les engagements à réaliser. Tout est sur le [Github du projet](https://github.com/crf-devs/resop), qui est ouvert aux reviews et contributions.

#### L'Assistance Publique - Hôpitaux de Paris recherche des volontaires
L'AP-HP centralise les propositions d'aide de citoyens volontaires pour les soutenir pendant la crise. Si vous avez du temps et envie de vous investir, remplissez le [formulaire](https://docs.google.com/forms/d/e/1FAIpQLSfH5ifamfWaTqXuO5ShT7kjleTBSAel_0GbI1d1A8Xkwlt1Yw/viewform) : vous recevrez ensuite par email un lien d'inscription à un Slack, où les demandes d'aide sont répertoriées.
**Des missions de développement, des missions d'UX-design**, des missions de communication ou dans le domaine des ressources humaines sont notamment listées.

#### E-commerce solidaire avec Prestashop
La communauté Friends-of-Presta se mobilise dans le cadre du mouvement #EcommerceSolidaire pour offrir gratuitement aux TPE impactées par le confinement lié au COVID-19 un site de vente en ligne de proximité. Les petits commerces peuvent ainsi écouler leur stock grâce à un site e-commerce standard disposant de fonctionnalités basiques. Envie de rejoindre l'équipe de devs derrière cette action ? Visitez le [site](https://friendsofpresta.org/ecommerce-solidaire?utm_source=membres-automatique&utm_campaign=ca7edffc75-EMAIL_CAMPAIGN_2019_11_25_07_21_COPY_01&utm_medium=email&utm_term=0_d2e068861a-ca7edffc75-413761173) et contactez leur équipe.

#### Donnez vos appareils électroniques inutilisés et aidez le personnel soignant
Si vous profitez du confinement pour faire le tri de vos armoires, l'initiative "[Tri-solidaire](https://tri-solidaire.hellozack.fr/confinement )" est pour vous ! Débarrassez-vous de vos appareils électroniques tout en aidant le personnel soignant. Et ce, sans sortir de chez vous : vous laissez simplement votre paquet dans votre boite aux lettres, où il sera récupéré par les services de la Poste !

#### Appel aux dons par Emmaüs pour aider les jeunes vulnérables
Le collectif #ConnexiondUrgence se mobilise pour équiper et accompagner au moins 10 000 jeunes défavorisés qui ont perdu tout lien avec l’école. Votre entreprise peut aider en donnant du matériel informatique ! Les particuliers peuvent également faire des dons financiers. Toutes les infos sur le site d'[Emmaüs Connect](https://emmaus-connect.org/2020/04/appel-aux-dons-10-000-jeunes-vulnerables/).

**Vous connaissez d'autres actions qui méritent l'attention de la communauté PHP ? **Faites-le nous savoir, envoyez un email à bonjour[at]afup.org . Merci !

Cet article est le troisième d’une série consacrée aux failles de sécurité dans le web, après un premier sur l’injection SQL et un deuxième consacré au cross-site scripting (XSS).

Le principe du CSRF

Les attaques de type cross-site request forgery sont un peu plus malicieuses que celles décrites dans les précédents articles.

Dans ce qu’on avait vu, qu’il s’agisse d’injection SQL ou de XSS, l’idée était globalement de faire entre des données corrompues dans un système, pour le pervertir de l’intérieur. C’est moche, mais quelque part c’est ce qu’on attend d’un hacker.
Les solutions à appliquer étaient presque simples : ne pas faire confiance, filtrer les données entrantes, et échapper les données sortantes.

Si je dis que le CSRF est plus malicieux, c’est parce que ce type d’attaque ne porte pas du tout sur le système visé. Aucune donnée pernicieuse n’est envoyée sur votre serveur, aucun code Javascript vérolé ne sera exécuté sur vos pages web.
Les attaques CSRF profitent de failles dans les systèmes d’authentification, et y ajoutent un peu de social engineering pour faire faire à vos utilisateurs des actions qu’ils ne souhaitent pas exécuter.

Prenons un exemple simple. Imaginons que vous ayez créé un site web sur lequel vous publiez des articles (pour l’exemple on imaginera que vous ayez tout développé vous-même plutôt que d’utiliser un CMS existant). Vous avez dû créer une petite interface d’administration, qui permet de créer des articles et de les effacer. Par-dessus, vous avez développé une couche d’authentification, pour restreindre l’accès aux seuls utilisateurs autorisés.

Votre système d’authentification repose peut-être sur la validation d’un couple identifiant/mot de passe. Lorsqu’un utilisateur s’est identifié correctement, vous déposez un cookie sur son navigateur. Ainsi, à chaque fois qu’il va sur une page d’administration, ou qu’il effectue une action à partir de l’interface d’administration, vous vérifiez le cookie avant d’autoriser l’affichage de la page ou l’exécution de l’action.

De cette manière, pour effacer l’article dont l’identifiant est le numéro 18, un administrateur cliquera sur le lien “Supprimer” correspondant. Son navigateur le conduira alors sur l’adresse “/admin/effacer/18”. Le serveur recevra en même temps le cookie servant à identifier l’utilisateur.
Si le cookie est valide, le serveur effacera l’article, puis redirigera l’utilisateur vers la page “/admin” pour le ramener à l’accueil de l’interface d’administration.

Voir la suite

Si ce n’est pas déjà fait, je vous invite à lire le premier article de cette série. J’y explique le contexte dans lequel j’écris ces articles, et je parle des failles par injection SQL.

Le principe du cross-site scripting

Le cross-site scripting (ou XSS pour faire court) est une faille de sécurité qui arrive assez classiquement lorsque des données saisies par un utilisateur peuvent se retrouver telles quelles dans une page web vue par une autre personne. Si la première personne est mal intentionnée, elle peut ainsi exécuter du code sur le navigateur de la seconde ; c’est la porte ouverte à la récupération d’informations personnelles.

L’usage le plus courant est la récupération des cookies du visiteur, ce qui permet ensuite de se connecter au site en se faisant passer pour cette personne. Cela peut être dramatique sur un site bancaire (détournement d’argent) ou administratif (vol d’identité) ; mais une usurpation d’identité sur un réseau social peut être tout aussi gênante.

Prenons l’exemple d’un site proposant à ses visiteurs de laisser des commentaires. Pour cela, un simple formulaire avec un champ texte fait l’affaire. Le texte saisi par un utilisateur est enregistré en base de données, et lorsqu’un autre internaute consulte la page, les commentaires sont lus depuis la base de données pour être ajoutés dans le corps de la page. Jusque-là tout va bien.
Mais si le commentaire contient du code Javascript, et qu’il se retrouve directement dans la page, il sera exécuté par les navigateurs des visiteurs.

La solution

Normalement, si vous avez fait un minimum de développement web, vous devriez vous dire « Bien sûr, mais personne ne fait ça ! ».
On est d’accord. De manière générale, tout ce qui vient de l’extérieur − saisi par un être humain dans un formulaire, ou bien reçu lors d’un appel à un webservice externe − doit être traité de manière particulière.

La fondation OWASP (Open Web Application Security Project) a écrit une “cheatsheet” sur la prévention des failles XSS, qui donne 14 règles à suivre.

Voir la suite

Le report de l'AFUP Day 2020 nous paraît donc désormais incontournable. Maintenir un événement rassemblant parfois cent ou deux cents personnes le 15 mai, quelques jours après la date de reprise des écoles telle qu'évoquée à l'heure où nous vous écrivons, nous paraît aussi improbable qu'inconsidéré. **La santé de nos membres, de vos familles et de votre entourage est notre priorité**, et la première condition à remplir à nos yeux alors que nous travaillons à l'organisation de ce rassemblement.

Nous étudions donc l'éventualité d'un report de l'événement à la fin juin, en espérant que ces quelques semaines supplémentaires confirmeront l'accalmie, nous permettant enfin de nous retrouver.

Chaque équipe locale de l'AFUP Day 2020 travaille ces jours-ci à l'étude de ce report : disponibilité des salles, des prestataires, et bien sûr, de nos conférencier·e·s.
Dès que des informations précises et fiables seront disponibles, nous les communiquerons à la communauté. Toutes les personnes ayant déjà réservé leur place pour l'événement seront bien entendu contactées directement et tenues informées des clauses d'annulation si nécessaire.

Besoin de nous joindre ? bonjour[at]afup.org

Dans cet article nous allons voir comment mettre en place un workflow CI/CD pour un projet Symfony à l'aide des actions GitHub. Nous couvrirons de la configuration de PHP sur la machine hôte, au lancement des tests unitaires et fonctionnels de l'application Symfony.

**Hélène, tu participes au sous-titrage de vidéos de l'AFUP. Merci pour ton investissement ! Peux-tu nous expliquer ce qui te motive dans ta démarche ?**

J'ai la sensation d'avoir pris conscience assez tardivement de l'importance de l'accessibilité. J'avais déjà entendu parler des sujets comme le RG2A et les préconisations d'accessibilité Opquast mais tout ça restait très abstrait pour moi. Et puis, j'ai croisé des gens (notamment à Sud Web) qui ont bien voulu prendre le temps de m'expliquer ce qui était déjà une évidence pour elleux : l'importance de rendre le web (et le monde en général) accessible.
Et puis mon réseau s'est agrandi sur Twitter, et j'ai commencé à lire des témoignages de personnes handicapées et j'ai commencé à regarder le web de façon différente. Pour moi, le web c'était ce truc formidable qui reliait le monde entier (parler en temps réel à quelqu'un qui habite à l'autre bout de la planète), qui permettait de faire tout un tas de choses plus facilement et plus rapidement (sa déclaration de revenus par exemple !) et d'avoir accès à et partager tout un tas de savoirs (grâce aux blogs, vlogs) y compris professionnels gratuitement (par exemple, certaines conférences web comme l'AFUP, mettent gratuitement en ligne les vidéos des interventions)... et en fait, j'ai commencé à me rendre compte que c'était pas le cas pour tout le monde. Et j'ai réalisé qu'il restait encore beaucoup de choses à faire, que moi-même je n'aidais pas et que je pourrais sûrement trouver un moyen de faire mieux.


**Tu donnes de ton temps à l'AFUP, et pourtant tu n'es même pas développeuse ! Ca nous touche d'autant plus : peux-tu nous parler de ce qui te donne envie de t'impliquer à nos côtés ?**

Je ne suis pas développeuse mais je connais pas trop mal le milieu du web ! J'ai la chance d'avoir un mari développeur (entre autres) qui a toujours beaucoup parlé de son métier, qui a toujours pris le temps de répondre à mes questions, de m'expliquer tout un tas de choses sur le développement (avec des petits croquis et des métaphores !). Du coup, j'ai aussi commencé à m'y intéresser, j'ai appris quelques bases de programmation pour faire mon blog à l'époque (moche, parce que par contre je suis nulle en design !). Bref, quand j'ai vu le [tweet de l'AFUP](https://twitter.com/afup/status/1213013376068018176) qui proposait aux gens d'aider pour le sous-titrage, je me suis dit que c'était une belle opportunité de donner un peu de mon temps pour aider.


**Les membres de notre équipe en charge du sous-titrage sont libres de choisir les vidéos qu'ils souhaitent sous-titrer. Comment choisis-tu les sujets auxquels tu t'attaques ?**

En général, je regarde d'abord les titres. Si le titre a l'air de parler d'un sujet hyper technique, j'évite. Pour les autres, je visionne des extraits (en général 5 minutes cumulées) : si la plupart des slides sont blindées de code ou si ce que dit le speaker a l'air vraiment technique, pareil, j'évite. Comme dit plus haut, je ne suis pas développeuse (de près ou de loin, je veux dire, je ne travaille pas du tout dans ce milieu) donc je ne suis pas capable de sous-titrer correctement des conférences trop techniques, et je ne veux pas faire perdre du temps au relecteur qui devra corriger tout ce que j'ai mal ou pas compris.

Voir la suite

#### Au sujet de l'annulation du Super Apéro PHP 2020
Dès la première semaine de mars, le pôle antennes et les responsables d'antennes étaient vigilants quant à l'évolution de la situation. **La santé de nos membres**, et surtout la **santé des personnes à risque parmi nos membres et dans leurs familles**, nous paraissaient comme la priorité, tout particulièrement au vu de la force de contagion du virus.
L'allocution du Président de la République du jeudi 12 mars n'a fait que confirmer notre sentiment et nous avons pris la décision le même soir, en collaboration avec l'ensemble de nos antennes, d'annuler le Super Apéro PHP 2020. L'information vous a été communiquée immédiatement. Si avant les précisions du gouvernement, notamment sur les interdictions de rassemblement, notre annonce a pu sembler brève, n'oubliez pas que nos équipes, dont les membres sont bénévoles, devaient également s'organiser pour faire face aux impacts du virus sur leur vie personnelle !

Merci aux antennes pour leur réactivité, merci à vous pour votre compréhension : on vous donnera rendez-vous prochainement pour lever notre verre à PHP.


#### Au sujet de l'AFUP Day 2020
À l'heure où nous écrivons, l'AFUP Day 2020 est maintenu le vendredi 15 mai.
Nous attendons la fin de cette (première ?) période de confinement et les recommandations sanitaires qui suivront pour faire un choix concernant le maintien, l'éventuel report ou l'annulation de l'événement. **Toutes les personnes ayant déjà acheté leur billet seront contactées dès la décision du bureau prise.**

En attendant, nous continuerons de diffuser les [interviews des speakers programmés](https://event.afup.org/category/afup-day-2020/), pour qu'ils et elles partagent avec nous leur passion, leurs conseils, leur parcours professionnel et leur vision de notre communauté, venant illuminer votre matinée en télétravail !


#### Dans nos antennes
Bien entendu, tant que les rassemblements sont interdits, pas de meetups à venir prochainement dans nos antennes. Pensez au Slack Membres pour échanger avec les membres de votre ville, dans le channel de votre antenne !

Nous ne pouvons que vous encourager à suivre scrupuleusement les règles sanitaires en place pour que la période de confinement soit la moins longue possible : **restez chez vous** ! Et gardez la forme et le moral.

#### Télétravail et mentorat
Besoin de soutien ou de conseils pour instaurer le télétravail au sein de votre équipe ou pour vous organiser à la maison ? Les mentors participant au [programme de mentorat](https://afup.org/p/1038-programme-mentorat) de l'AFUP peuvent sans doute vous aider ! Évidemment, gardons nos distances : ces accompagnements se tiendront par Slack, Skype ou tout autre outil permettant de vous mettre en relation sans risque de contagion.


#### Continuez à progresser grâce aux captations
Formez-vous grâce aux [vidéos](https://afup.org/talks/) de l'AFUP. Pas de meetups dans les prochaines semaines, mais les captations de nos conférences peuvent palier au manque. Il y en a sûrement quelques-unes que vous n'avez pas encore regardées.


#### Serrons-nous les coudes !
Luttons contre l'isolement. Le confinement n'est facile pour personne, et encore moins pour les personnes vivant seules, hypersensibles ou faisant partie de la population à risque pour ce virus. Échangeons sur le Slack Membres dans le channel #aleatoire, utilisons l'outil pour organiser des calls "Apéros Slack", prenons un break au travail pour discuter autour d'un café virtuel avec la communauté.


#### Le bon moment pour se rappeler nos valeurs
Mettons à profit ce temps pour resserrer les liens de la communauté. Ce virus nous incite à nous rappeler nos priorités et nos valeurs. Si le temps et l'organisation à la maison nous le permettent, engageons-nous enfin dans ce projet open source qu'on remet toujours au lendemain, partageons les résultats du [baromètre des salaires en PHP](https://barometre.afup.org/report/2019/) pour que chacun puisse valoriser ses capacités à leur juste valeur, aidons les personnes malentendantes en intégrant [l'équipe en charge du sous-titrage des vidéos](https://twitter.com/afup/status/1213013376068018176) des captations du Forum PHP 2019.


Vous avez d'autres idées pour aider les membres de la communauté en cette période difficile ? N'hésitez pas à nous contacter, par Slack ou par email (bonjour[at]afup.org), pour discuter de votre idée ! Bon courage à toutes et tous. Respectez les consignes de confinement, prenez soin de vous et de votre entourage et on se retrouve au plus vite, en pleine forme, promis ?

Dans cet article, nous allons voir comment faire en sorte pour que dans un projet Symfony, les dépôts Doctrine soient automatiquement configurés comme services sans avoir à ajouter la moindre configuration.

Il m’est arrivé de récupérer les accès à une machine sans réussir à m’y connecter depuis l’extérieur. Certains hébergeurs proposent des connexions spécifiques à travers un terminal web (comme KVM). Les firewalls correctement configurés vont limiter les points d’entrée et il est parfois nécessaire d’en ajouter un nouveau. Voici deux petits commandes qui permettent grâce […]

L’article Comment autoriser la connexion depuis une IP avec iptables est apparu en premier sur CH Studio - Stéphane Hulard / PHP, Laravel, Symfony, Sécurité, API.