Blog Tech

Migrer de HTTP vers HTTPS chez YulPa.io

Système 2
A ce point ?PassableIntéressantYeahExcellent! (Votez !)
Loading...

Pour passer un site web de http vers https il est important de ne pas se rater.

La méthode que je préfère est celle du htaccess, mais j'ai rencontré quelques soucis pour la mise en place. Si vous êtes aussi client YulPa cela devrait vous intéresser. » Lire la suite

[OVH mutu] Comment accélérer le chargement de votre site

Internet 9
A ce point ?PassableIntéressantYeahExcellent! (Votez !)
Loading...

Vous êtes hébergé chez OVH en hébergement mutualisé et votre site se charge lentement ? Plus particulièrement si vous utilisez un CMS lourd (pléonasme ?).

ovh-server

Voici une astuce pour permettre de réduire le temps de chargement d'un site web afin qu'il soit jusqu'à 7 fois moins long. » Lire la suite

PHP embarque son propre serveur web

Système 1
A ce point ?PassableIntéressantYeahExcellent! (Votez !)
Loading...

Depuis la version 5.4 PHP intégre un serveur HTTP, au même titre qu'Apache ou Nginx pour les plus populaires.

Il ne s'agit pas d'un environnement destiné à la production mais uniquement au développement, dans le cadre de tests pour s'affranchir de la mise en place d'un serveur "lourd". » Lire la suite

[PHP] Afficher les règles d’un reverse proxy en temps réel

PHP (My)SQL commenter
A ce point ?PassableIntéressantYeahExcellent! (2 vote(s), 4,50/ 5)
Loading...

Le reverse proxy (proxy inverse) est souvent utilisé en entreprise. Il permet d'atteindre des applications depuis Internet sans laisser entrer le visiteur sur le réseau de l'entreprise. C'est une pierre angulaire de la sécurité dans le cas de l'utilisation de serveurs web.

Je vous présente un script PHP permettant d'afficher les règles actives sur votre reverse proxy Apache.

» Lire la suite

Comment vérifier la validité des en-têtes d’un site

Système 2
A ce point ?PassableIntéressantYeahExcellent! (Votez !)
Loading...

Voici un moyen de vérifier que vos en-têtes sont valides et compréhensibles par les navigateurs et moteurs de recherche.

Un en-tête (header) c'est quoi ?

Dans un paquet de données envoyé via internet, les données (charge utile) sont précédées de headers contenant des informations telles que les adresses IP de l'expéditeur et du destinataire, le protocole de communication utilisé, ainsi que d'autres informations dépendantes du protocole. Le format des headers est décrit dans l'Internet Protocol (IP). (source : wikipedia)

Ce sont grâce à ces en-têtes que l'on précise le code HTTP (redirection par exemple) mais également le codage des caractères informatiques, souvent appelé charset (utf8, iso-8859-1, etc.), la date d'expiration d'une page (qui permettra au navigateur de se créer un cache), la compression, la date de la dernière modification, la signature du serveur (que l'on peut masquer) et la version HTTP 1.1 généralement. D'autres attribuent existent mais tous ne sont pas normalisés.

Les en-têtes ont un rôle très important dans le procole internet (IP) puisqu'ils permettent de contrôleur l'intégrité des données transmises grâce à des calculs sur la longueur du contenu.

Pourquoi est-ce important ?

Les en-têtes sont important car ils précèdent le contenu, et il ne faut pas les négliger. » Lire la suite

Charger des images à la volée (on scrolling)

web 21
A ce point ?PassableIntéressantYeahExcellent! (7 vote(s), 4,14/ 5)
Loading...

Si vous hébergez vos images sur votre serveur et que celles-ci sont nombreuses, votre serveur peut fortement ralentir la cadence d'envoi de ces images à cause de la bande passante nécessaire. Si votre blog/site rencontre une forte affluence, les visiteurs auront tendances à partir en courant si vos images, et donc vos pages sont trop longues à charger (des études l'ont prouvé).

Une page comportant un nombre important d'image est longue à charger et c'est d'autant plus vraie sur les configurations légères (ultra-portable et mobiles). La raison est simple : toutes les images sont chargées d'un coup d'un seul.

La solution : le lazy load

Lazy signifie paresseux (ça y est vous comprenez l'image d'illustration:) ). » Lire la suite

[Linux] Certificat Apache signé sans passphrase au lancement

Système commenter
A ce point ?PassableIntéressantYeahExcellent! (1 vote(s), 5,00/ 5)
Loading...

But : supprimer le passphrase d'une clé privée (certificat pour Apache)

note aux lecteurs qui n'aiment pas la "technique" : le nombre de billets techniques est assez important en ce moment, ne vous découragez pas cela va se calmer dans les prochains jours.

Si vous utilisez Apache avec le mod_ssl (permettant de joindre un serveur via le protocole HTTP sécurisé ou HTTPS) vous avez le choix de signer vous même votre certificat ou bien de demander à une autorité de certification reconnue de le signer (Verisign, Thawte, Equifax, etc).

Dans le cas où vous avez payé pour qu'une autorité signe votre clé privée, il vous faut intégrer ce type de configuration dans votre virtualhost Apache. » Lire la suite

ReverseProxy : No protocol handler was valid for the URL

Système 6
A ce point ?PassableIntéressantYeahExcellent! (3 vote(s), 4,33/ 5)
Loading...

En installant Apache avec le module ReverseProxy mod_proxy j'ai du faire face à un non fonctionnement. Apache démarrait correctement mais impossible d'utiliser la fonction de reverse proxy.

Concerne : toutes les distributions "connues" (Debian, CentOS, etc.).

Voici ce que me donnait les logs /var/log/apache/error.log :

[shell][warn] proxy: No protocol handler was valid for the URL /mon_url/. If you are using a DSO version of mod_proxy, make sure the proxy submodules are included in the configuration using LoadModule.[/shell]

» Lire la suite

[Linux] Générer facilement un mot de passe .htaccess

Système 3
A ce point ?PassableIntéressantYeahExcellent! (Votez !)
Loading...

Si vous utilisez les fichiers de configuration Apache .htaccess pour protéger l'accès à un répertoire, vous savez que votre fichier .htpasswd doit être composé de :

utilisateur:mot_de_passe_crypte

Sous Linux, il est possible d'obtenir la version cryptée de votre mot de passe via la commande htpasswd :

[shell]# htpasswd -n john
New password:
Re-type new password:
john:8LogwM1oTXRNk[/shell]

Il vous reste à ajouter le couple utilisateur:mot de passe crypté dans votre fichier .htpasswd (john:8LogwM1oTXRNk dans notre cas) à l'aide d'un éditeur tel que vi ou nano.

Mais je trouve cela plutôt fastidieux et en cas d'erreur (espace superflu, faute de frappe, etc.) votre authentification ne fonctionnera pas.

Voici une astuce pour créer ou mettre à jour le mot de passe de l'utilisateur john dans le fichier .htaccess » Lire la suite

Pensez à mettre à jour votre WordPress 2.6.3

Sécurité 4
A ce point ?PassableIntéressantYeahExcellent! (1 vote(s), 4,00/ 5)
Loading...

Une faille dans la version WordPress 2.6.3 vient d'être découverte. Elle ne concerne uniquement les serveurs Apache 2.x virtuels basés sur IP.

Je fais ce billet également pour vous dire que l'on passe de la version 2.6.3 à la 2.6.5 et qu'il n'existera jamais de 2.6.4 tout simplement à cause du fait que des rumeurs avaient circulées sur cette version... Pour éviter toute confusion l'équipe de développement de WP a préférer sauter cette version 2.6.4.

La version française n'étant encore pas disponible sur WordPress-fr (elle le sera peut-être à l'heure ou vous lisez ce billet), vous pouvez soit télécharger uniquement les fichiers modifiés (pas de perte de la langue française), soit re-télécharger la version anglaise complète en version 2.6.5.

Personnellement j'ai seulement mis à jour les fichiers patchés (ce que je fais à chaque fois d'ailleurs pour éviter de perdre certaines personnalisations dans le code source).

Voici la note officielle :

WordPress 2.6.5 is immediately available and fixes one security problem and three bugs. We recommend everyone upgrade to this release.

The security issue is an XSS exploit discovered by Jeremias Reith that fortunately only affects IP-based virtual servers running on Apache 2.x. If you are interested only in the security fix, copy wp-includes/feed.php and wp-includes/version.php from the 2.6.5 release package.

2.6.5 contains three other small fixes in addition to the XSS fix. The first prevents accidentally saving post meta information to a revision. The second prevents XML-RPC from fetching incorrect post types. The third adds some user ID sanitization during bulk delete requests. For a list of changed files, consult the full changeset between 2.6.3 and 2.6.5.

Note that we are skipping version 2.6.4 and jumping from 2.6.3 to 2.6.5 to avoid confusion with a fake 2.6.4 release that made the rounds. There is not and never will be a version 2.6.4.

WordPress-fr
WordPress (officiel)