~bohwaz/blog/

I'm very happy that finally a new relase of Opera has landed on Linux platforms but it should really have been delayed. There is a lot of bugs and problems.

First, after upgrade my Opera was unable to reach any website. Strange. I had to try to delete my old operaprefs.ini and try to add each line until finding the one doing this. It was "Synchronous DNS Lookup=1" that I had to delete in order to be able to use my Opera.

Secondly, my Thinkpad trackpoint was not scrolling anymore on left and right, only up and down. Pretty weird too. I had to add those lines to my "standard mouse.ini" in order to make it work again:

Button6=Scroll left
Button7=Scroll right

That's a shame as it was already working without those lines in previous version. Finally the interface is really ugly and I'm unable to use Opera anymore on my computer:

What the fuck happened?! My only fault is to use a dark GTK skin (but btw the problem is the same with a black Qt skin). How the hell I'm I supposed to recognize the icons in the toolbar? Or reading my personal bar bookmarks? And I don't even speak of the forms in web pages which I just can't fucking read.

For information here how it looked like in Opera 10.11:

And there's a lot of regressions I noticed and reported on Opera Desktop team blog and Opera bug report wizard and almost none of the have been fixed for final release.

That's a shame, it's a really really bad news because I can't fucking use my browser anymore. I'm using Opera since its 3.5 version, and that's the first time I'm that much angry for a new release. It's rushed, it's buggy and it's not at all a software with the quality it used to have. My advice will be for any Linux user

Come on Opera, please make it what it used to be: the best browser on earth. Please!

New Opera version comes with geolocation ability (based on W3C Geolocation API), which is an interesting feature, but as most of the web browsers, they get your location from Google. In other words, each time a page requests your location, the browser makes a request to Google with different datas (wifi networks around you, your IP address, and other stuff) to know where your are. Yeah that sucks, depending on Google for this simple feature is a shame. And you know that all the datas they gather through this service will be recorded and used by Google for various purposes. So, we need more privacy!

Another thing is that on a desktop computer (usually at work), you don't have wifi nor GPS, so your location will be based on your IP address which is not a very accurate way to give your location and most of the time your location will just be the center of the nearest big city. Not very useful. So, we need more accurate location!

Achieving both of those goals is actually very easy.

The first thing is to know what coordinates you want to send to the browser. To find the latitude and longitude you will send to the browser simply find a good location, like on this useful webpage. You can give any location, like for me I gave the location of Strahan in Tasmania. You don't have to give your real location, that's the cool thing.

The second thing is to create a PHP file on some web server you have, the best would be localhost or a web server on your local network. In this file you will copy this:

<?php
$latitude = '-42.16340';
$longitude = '145.31616';

echo '{"location":{"latitude":'.$latitude.',"longitude":'.$longitude.',"accuracy":10.0}}';
?>

Don't forget to replace the latitude and longitude values with the ones you found at step one. Save file.

Now is step three: instructing Opera to request your own geolocation API instead of the Google one. It's quite easy, go to opera:config#Geolocation and replace the Google URL with the one of your PHP script (for me it's http://localhost/geo.php). Hit the Save button.

And now each time a website will request your location, Opera will send him the location *you* gave. And your privacy will be protected from the evil Google company.

You can try and look at your location on the Opera live map.

Of course the best would be that the web browser itself allows you to specify one fixed location instead of requesting an online API... Maybe in the next release of Opera, Firefox and Chrome?

Pour faire court : je vais me casser, je viens de demander mon RIO, j'attends d'épuiser mon crédit en cours.

Il y a un an je quittais Orange et un forfait bloqué 1h + 1h soir et week-end à 20 euros / mois, où j'étais depuis déjà cinq ans. Au bout de ces cinq ans, ils ne me proposaient aucune offre plus intéressante, rien que des trucs plus chers, avec moins de temps, et un nouvel engagement de 2 ans... Autant dire ils me prenaient pour un con. Mon forfait était bloqué et rechargeable (pratique en cas de surconsommation) avec report des minutes. Le problème c'est que le report des minutes chez Orange c'est un peu du vol. Par exemple si en avril je consommais 10 euros, et qu'en mai je consommais 5 euros, en juin j'aurais au début du mois le forfait de 20 euros du mois et le report du mois précédent : 15 euros. Alors que j'aurais dû avoir 20+20+20-5-10=45. Et oui le report n'est que d'un mois sur l'autre, si on consomme peu (mon cas), on perds de l'argent. Je vous laisse imaginer qu'avec les années ça commençait à faire beaucoup d'argent qui atterrissait dans les poches d'Orange sans même l'avoir utilisé...

J'ai donc décidé de passer en avril 2009 chez Simyo qui semblait être une offre intéressante : pas d'engagement, la minute était à 19 centimes (contre 33 centimes avec mon ancien forfait Orange), crédit valable 3 mois (donc dépense minimale de ~15 euros tous les 3 mois), rechargement automatique quand le compte est bas.

Ma consommation sur un an, de juin 2009 à juin 2010 chez Simyo a bien montré que l'offre d'Orange me coûtait les yeux de la tête puisque je suis passé d'une consommation mensuelle moyenne de 24 euros à 13 euros. Sur un an ça fait tout de même près de 120 euros d'économies. Je suis donc un "petit" consommateur, car je dois consommer dans les 8 euros d'appels et le reste en SMS. Certains mois je consomme moins de 5 euros en tout.

Cependant Simyo ne sont quand même pas très compétents. Leur site a toujours été pété avec Opera, ils l'ont récemment refait et tout ce que ça apporte c'est qu'ils ont perdu toute trace des consommations plus anciennes que 6 mois... Les gros inconvénients sont les tarifs roaming qui sont toujours chers (mais bon c'est cher un peu partout, pour l'international j'ai pris une carte GO-SIM qui est très pratique et à des tarifs très bas partout dans le monde), un site à la masse, une infrastructure peu fiable (parfois le répondeur réponds que le numéro n'existe pas...), l'impossibilité d'envoyer des SMS depuis l'étranger (ça c'est quand même fort), et le réseau Bouygues qui est généralement de la merde en barre. Concernant la recharge auto elle survient parfois quand on ne s'y attends pas, l'alerte de seuil de consommation ne fonctionnant que rarement. Au début ça marchait pas trop mal mais depuis quelques temps je ne la reçoit plus, je reçoit juste le mail m'indiquant que la recharge a été faite.

Pour tous ces inconvénients, et particulièrement le réseau Bouygues ainsi que les SMS de l'étranger, je vais partir, probablement pour aller voir chez Zéro Forfait qui a des tarifs plus bas sur le roaming, pas de recharge automatique (post-paid, on paye ce qu'on a consommé à la fin du mois, je trouve le concept très bien, c'est dommage c'est peu répandu en France), des "packs" à prix imbattable si on veut consommer beaucoup (sans engagement), par exemple une option temps 4 heures pour 19,90 euros (soit 8 cents la minute) ou une option 3000 SMS pour 9,90 euros (0,3 cents le SMS).

Pour ceux qui ne connaissent pas le logiciel de forum "Mesdiscussions.net" c'est celui qui équipe de nombreux forums à forte audience (Doctissimo, Hardware.fr, Fluctuat...). Si au niveau performances ça semble remplir ses promesses (encore que sur Hardware.fr c'est parfois indisponible), au niveau de la sécurité c'est pas la même.

Voilà ce qu'ils promettent sur leur site :

A l'abri des pirates !

Les forums indisponibles pour cause de piratage ou submergés par les messages indésirables sont nombreux. Afin de protéger les données sensibles de votre forum et garantir son accessibilité, MesDiscussions.net a été développé dès l'origine par une seule et même équipe, avec le souci de garantir une sécurité maximale : vous bénéficiez ainsi d'un forum sûr, hermétique aux messages indésirables, et ne nécessitant pas de mise à jour hebdomadaire complexe pour corriger ses failles.

(L'emphase est de mon fait.)

Si on s'intéresse plus en profondeur au logiciel on va avoir de mauvaises surprises. D'abord au niveau du code, car le forum est fourni chiffré, il faut installer ionCube PHP Loader pour pouvoir exécuter le code. Si c'est ça qu'ils entendent par un forum "sûr" c'est pas des masses rassurant, la sécurité par l'obscurité n'étant jamais une bonne idée.

Au niveau sécurité je n'ai pu découvrir de failles d'injection SQL, mais je me suis arrêté avant la fin de l'audit sur un problème digne d'un débutant, actuellement (car mon audit date de 2007) toujours visible sur le forum hardware.fr (au moins, j'ai pas vérifié les autres) : le site n'utilise pas de sessions mais stocke à la connexion 2 cookies pour identifier l'utilisateur :

user: bohwaz
passs: 721a9b52bfceacc503c056e3b9b93cfa

Le mot de passe (ici 'coucou') est simple hashé en MD5, sans salt ni rien. Il est facile d'imaginer à partir de là de nombreux angles d'attaques :

• On pourrait sniffer la connexion d'un wifi ou la sortie d'un nœud tor, récupérer les cookies et les rejouer dans son navigateur, permettant de se connecter à la place de l'utilisateur, poster à sa place, etc.
• Idem en sniffant on peut aussi matcher le hash avec une base de données de hash existants (au hasard celle-ci) et retrouver le mot de passe de la personne. Ainsi on pourrait changer le mot de passe du compte, et utiliser ce mot de passe pour essayer de se connecter sur le compte mail associé au compte forum (vu que beaucoup de gens ont le même mot de passe partout).
• Enfin on pourrait essayer de trouver le mot de passe d'un utilisateur par brute force de manière très simple vu qu'il suffit de renvoyer un hash différent en cookie.

Bref une erreur de base qui ne devrait pas exister. PHP propose un système de sessions tout à fait correct et s'il ne convient pas il est toujours possible d'en faire un soi-même. Stocker les données personnelles de l'utilisateur (même "cachées" comme ici) est une très mauvaise idée. Et l'image de forum sûr en prends directement un coup...

On a 64M server. All those shells can be installed on debian with a simple apt-get install.

And the winner is... dash !

Brand new Mini-URL application version 0.3 (last update before was 2006).

What's new?

• Completely rewritten
• Custom URL identifier could be 255 characters long (only 32 before)
• 72 characters allowed, allowing to do very short URLs
• API with JSON, Javascript, XML and plaintext support
• Preview feature

How to use the API?

Just request the service URL with those parameters:

• api (mandatory, could be js, json, xml or text)
• url (mandatory, url to shorten)
• id (optional, wanted id in shortened url)

Answer is two elements, first is success of URL creation, either 0 or 1. Second is error message in case of request failure or created URL in case of success.

How to use the preview feature?

Just append &preview at the end of the shortened URL.

Download: http://svn.kd2.org/svn/misc/apps/mini-url/mini-url.php

Demo: http://kd2.org/r/

Setup: just place the file on your server and run it in a web browser. You just need PHP5 with SQLite installed.

I've published some PHP functions useful for IP stuff on KD2 SVN : http://svn.kd2.org/svn/misc/libs/tools/ip_utils.php

The first one, normalize_ipv6 is used to get a normalized notation of an IPv6 (following the RFC), eg. ::1 will be transformed in 0000:0000:0000:0000:0000:0000:0000:0001 and 2001:db8:85a3::8a2e:370:7334 in 2001:0db8:85a3:0000:0000:8a2e:0370:7334. It's useful for storing or parsing IPv6 addresses.

Then the other functions are useful for making your visitors more anonymous than usual or do some fun stuff. get_random_ip will return a random IP, either IPv4 or IPv6 depending on the arguments you're passing. You can also generate a unique random IP address from an existing one.

From that you can use the filter_remote_client function, it will replace automatically IP addresses by anonymous ones in all $_SERVER headers. A simple example:

_SERVER remote client IPs unfiltered:
[REMOTE_ADDR] => 2001:e05a:2439:5460:10c:e4ff:fe30:6481
[HTTP_X_FORWARDED_FOR] => 8.8.8.8

_SERVER remote client IPs filtered:
[REMOTE_ADDR] => ebd1:2901:58d6:150f:6b5c:0841:e6e1:37f0
[HTTP_X_FORWARDED_FOR] => 173.196.178.203

You'll always get the same values for the same original adresses. If you put this in a prepend_file of your php.ini, your PHP applications will never know the true IP address of the client but that won't matter to them, they will still get valid IP addresses and as long as the real client IP address won't change, the fake one won't change either.

Re-use this code as long as you want, it's under the do what the fuck you want public license.

Note: here's more ideas on how to store IPv6 addresses and other stuff.

Relevé dans le Bien Public du vendredi 14 mai 2010, en page 3, à propos de la marée noire et son coût pour BP : « (...) la marée lui avait coûté 450 millions de dollars, soit 530 millions d'euros ».

Même pas capable de faire une conversion correcte... N'importe quel site vous donnera la conversion correcte, qui à ce jour est de 366 millions d'euros. Je soupçonne le journal d'avoir multiplié le nombre en dollars par le taux de l'euro au lieu de diviser...

Une erreur qui pourtant saute aux yeux et n'aurait jamais dû être publiée.

C'est un grand événement, leur dernier EP "Bogue" datant de 2004. Une tournée précède la sortie de l'album, hélas très peu de dates, et toutes sont loin de chez moi...

Plus d'infos sur le site du label Ici d'ailleurs. A noter un pack très intéressant album + t-shirt pour 20 euros sur le site de VPC du label.

Jamendo, dans le cadre de sa politique de réduction des coûts après s'être plantés complètement financièrement, a décidé de supprimer le support d'Ogg Vorbis sur son site. Arguant du fait que Vorbis n'est pas populaire, que personne ne télécharger les fichiers au format Ogg Vorbis et que ça coûte trop cher à maintenir. Mais est-ce vraiment une surprise quand on connaît la démarche de Jamendo vis à vis de ce format. Alors qu'on peux télécharger les albums en MP3 directement, pour le Ogg Vorbis on ne peux les télécharger que via BitTorrent, une technologie qui n'est pas accessible aux néophytes, sans compter que le téléchargement d'un album peut mettre plusieurs semaines, là où en MP3 il ne faut que quelques minutes. Est-ce vraiment le format qui n'est pas populaire ou le fait qu'il soit quasiment impossible de télécharger un album en Vorbis chez eux ?

Du coup ils proposent à la "communauté" d'héberger eux-même les albums en Ogg Vorbis sur leurs propres serveurs (je rappelle au besoin que Jamendo est une société commerciale privée, alors bon la "communauté" voilà quoi), et on peut constater le coût phénoménal que doit représenter le support d'Ogg Vorbis pour eux en voyant la quantité de données. En effet cela représente 1,2To de données. Soit à peu près un serveur bas de gamme... On constate tout de suite que le problème n'est pas technique ni financier mais simplement un choix politique de leur part.

Quand au succès du format, pour situer, sur Altermusique.org le MP3 représente 39% des téléchargements d'albums, FLAC 34% et Ogg Vorbis 27%. Ce n'est donc pas le format le plus populaire pour le téléchargement d'album et ça se comprends aisément, car le MP3 est le plus connu et utilisé (et lisible sur tous les baladeurs), et on préfère toujours télécharger un album en FLAC pour avoir la meilleure qualité possible, mais le Ogg Vorbis avec près de 30% des téléchargements est loin d'être insignifiant quand même ! Mais encore faut-il le mettre en avant et ne pas saborder son utilisation qui décourage les gens à l'utiliser...