du 14 décembre 2018
Date

Choisir une autre édition

Le chercheur Tavis Ormandy, connu pour être un actif participant du Project Zero de Google, avait découvert en septembre des problèmes de sécurité dans l’application Options de Logitech, qui permet de personnaliser le comportement des claviers et souris maison.

Cette personnalisation se faisait via l’ouverture d’un serveur WebSocket local très mal protégé, acceptant des commandes potentiellement dangereuses, démarrant automatiquement avec le PC et ne fournissant qu’un système d’authentification décrit comme « apathique », presque inexistant.

Le chercheur dit avoir rencontré les équipes de Logitech le 18 septembre pour leur exposer les différents problèmes. Le constructeur aurait bien pris note et compris ses erreurs. Mais en octobre, la nouvelle version d’Options ne contenait aucun correctif.

S’agissant du Project Zero, Logitech avait 90 jours pour corriger le tir après découverte des failles. Ce délai écoulé, Tavis Ormandy a publié les détails de ses découvertes… provoquant une réaction de Logitech en moins de 48 heures.

Le constructeur a en effet publié la version 7.00.564 d’Options. Il confirme sur Twitter qu’elle corrige bien les soucis soulevés par le chercheur. Sur Twitter, certains notent qu’ils n’étaient donc pas si longs à réparer, soulignant le délai total de réaction.

Dommage une nouvelle fois qu’une entreprise, avertie depuis deux mois, ne réagisse à un problème de sécurité qu’après en avoir été exposée aux détails de manière publique.

 Logitech forcé de réagir après la publication détaillée de failles dans Options
chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

L’environnement de développement aura donc sa version finale dans un mois et demi. Microsoft vient de confirmer l’information, en même temps que la tenue d’un évènement spécial pour fêter l’occasion.

La nouvelle est tombée juste après la publication de la Preview 3, qui corrige un nouveau lot de bugs, améliore les performances de certains composants (notamment F#), affine la nouvelle interface et fournit d’autres améliorations générales, comme un SDK unifié via le paquet NuGet Microsoft.VisualStudio.SDK.

Cette troisième préversion abandonne également le support du déploiement vers Windows 10 Mobile des applications Universal Windows Platform (UWP). Les développeurs qui en auraient encore besoin doivent donc rester sur Visual Studio 2017.

Copié dans le presse-papier !

Première nouveauté : « Les onglets de navigation privée peuvent dorénavant exister à travers plusieurs sessions, ce qui signifie que si l'on ouvre un onglet de navigation privée puis que l'on quitte l'application, Firefox se lancera automatiquement en navigation privée la prochaine fois que cette même application sera ouverte ».

Cette nouvelle mouture permet aussi d’ouvrir un nouvel onglet via la liste des marque-pages, ou bien depuis Firefox Home (avec les sites favoris et les pages Pocket). La personnalisation de Firefox Home est également revue : « Tous les onglets peuvent être réorganisés en faisant glisser un onglet dans la barre d'onglets ou le panneau d'onglets ».

Copié dans le presse-papier !

La bibliothèque Bootstrap, open source et dédiée à tout ce qui touche au design de sites et applications, vient de paraître en version 4.3. On y trouve plusieurs nouveautés importantes, l’équipe en profitant pour annoncer des décisions radicales sur la future mouture 5.0.

On trouve plusieurs nouveaux utilitaires internes, notamment .stretched-link qui permet d’affecter automatiquement à une ancre la taille de son plus proche parent position: relative. On note aussi plusieurs améliorations, comme l’utilisation de null pendant la compilation CSS pour les variables héritant leur valeur d’autres éléments.

Le plus gros apport de Bootstrap 4.3 reste cependant l’arrivée des tailles de polices « responsive ». Dans ce mode, la taille est automatiquement calculée en fonction des dimensions de la surface d’affichage. Par exemple, un smartphone ou une fenêtre de navigateur que l’on redimensionne.

Toutes les propriétés font-size ont donc été basculées vers le mixin @include font-size(), la configuration Stylelint bloquant l’utilisation de l’ancienne propriété. Le mode responsive est cependant désactivé par défaut, et il faudra basculer la variable booléenne $enable-responsive-font-sizes pour l’obtenir.

En marge de cette annonce, l’équipe en a fait plusieurs autres sur Bootstrap 5.0, en préparation et a priori déjà bien avancé. Elle confirme par exemple le passage de Jekyll à Hugo pour tout ce qui touche à la documentation.

Bootstrap 5.0 abandonnera également jQuery au profit du classique JavaScript. La pull request est d’ailleurs presque prête. Il s’agit surtout selon l’équipe de se débarrasser de sa dernière grosse dépendance côté client. Elle promet des détails supplémentaires prochainement.

Copié dans le presse-papier !

JP Morgan Chase est devenue la première banque à créer sa cryptomonnaie maison, le JPM Coin. Celle-ci a pour particularité d'avoir sa valeur garantie à un dollar, et de cibler un marché très précis : celui des transferts d'argent interentreprises.

La banque y fait transiter chaque jour quelque 6 000 milliards de dollars, au travers du vieillissant réseau Swift, pouvant causer parfois des délais d'une journée pour la prise en compte d'une transaction. Avec son JPM Coin, la banque veut permettre à Facebook et à ses autres clients de pouvoir transférer quasi immédiatement les fonds nécessaires à leurs opérations, comme le versement des salaires dans le monde entier.

Le JPM Coin trouverait également un intérêt dans le domaine des smart contracts, très en vue dans le domaine de l'assurance. Ils permettraient là aussi de procéder instantanément à des versements lors de l'exécution d'un contrat, plutôt que de passer par le réseau bancaire classique et ses délais.

Il n'est pour l'instant pas prévu que les particuliers puissent se procurer des JPM Coin. Pour l'heure, la cryptomonnaie n'est qu'en phase de test grandeur nature avec quelques entreprises triées sur le volet.

Copié dans le presse-papier !

Voilà un mouvement que l’on n’attendait pas : plutôt que de publier une première build de la branche 19H2 (pour la seconde mise à jour semestrielle de 2019), Microsoft a fourni hier soir une préversion pour la branche 20H1. Soit celle qui devrait aboutir à l’April 2020 Update, si l'éditeur garde la nomenclature actuelle.

Cette build 18836 est réservée aux testeurs qui se sont inscrits dans le canal Skip Ahead, qui permet de sauter la branche de développement en cours pour se concentrer sur la suivante.

Microsoft n’explique pas son choix. Il pourrait exprimer un prochain recentrage des canaux de distribution avec des builds 19H1 dans le canal lent et des 19H2 dans le canal rapide. Mais il reste encore au moins un bon mois de test avant la version finale de la 19H1, soit l’April 2019 Update.

Quant à cette préversion 18836, elle n’apporte en elle-même aucune nouveauté, uniquement des corrections de bugs. Une situation habituelle, les premières builds d’une nouvelle branche n’ayant jamais d’apports significatifs.

Mais quelles que soient les explications, on reste bien sur un comportement nouveau. Après tout, l’April 2019 Update n’est pas terminée, on ne sait rien de la branche 19H2 mais une build 20H1 est disponible.

La conférence Build en mai serait une bonne occasion d’éclaircir la situation. À tout le moins, on peut tabler sur des prévisions à long terme : peut-être la version 20H1 doit-elle accueillir d’importantes nouveautés qui nécessiteront des tests poussés sur une plus longue période.

Notez que Microsoft publie habituellement les nouvelles préversions du canal rapide le vendredi soir. Il se pourrait donc que les testeurs en aient une nouvelle ce soir, qui embarquerait alors les mêmes correctifs que la 18836.