du 27 novembre 2018
Date

Choisir une autre édition

Node.js : une bibliothèque populaire vérolée vise un portefeuille de crypto-monnaies

Un reproche de plus en plus fréquent à l’endroit des projets libres, dont ceux fondés sur Node.js, est la forêt de dépendances plus ou moins solides sur lesquelles ils reposent. Certaines, pourtant considérées comme essentielles, sont maintenues par des particuliers sur leur temps libre, voire abandonnées.

C’était le cas d’event-stream pour Node.js, très utilisé. Pourtant, son concepteur Dominic Tarr a cessé son développement depuis longtemps, ouvrant la porte à right9ctrl.

Il a repris le projet et immédiatement publié even-stream 3.3.6, vérolé avec « flatmap-stream 1.1 ». Problème : la bibliothèque est téléchargée jusqu’à 2,4 millions de fois par semaine, selon NPM Stat.

« Il m’a envoyé un email et dit qu’il voulait maintenir le module, donc je lui ai donné. Je n’obtiens rien en maintenant ce module, je ne l’utilise même plus, depuis des années », s’est défendu le créateur de l’outil, face à des pairs dubitatifs. Certains lui ont dit d’archiver son projet sur GitHub s’il n’était plus activement développé ; une précaution oubliée.

Le projet est resté sous le nom de Dominic Tarr sur GitHub. Il ne peut être transféré officiellement à right9ctrl, qui avait déjà ouvert un dérivé (fork). Pourtant, le concepteur a perdu tous droits sur le projet sur npm, le système de distribution de modules de Node.js. Un utilisateur demande à revenir à la version 3.3.4, la dernière mouture sûre connue.

Le code masqué ne fonctionnerait qu’en présence de bibliothèques liées à Copay de Bitpay sur le même serveur. Copay permet de créer des portefeuilles de crypto-monnaies partagés. Le code malveillant inclus dans event-streamer tenterait donc de voler les bitcoins que contient Copay.

Selon NPM, la version 3.3.6 d’event-stream a disparu du dépôt, ne laissant que les moutures 3.3.5 et 4.x. Cette nouvelle branche a été publiée il y a deux mois par right9ctrl.

« La seconde mise à jour (commit) après [la version 3.3.6] retire l’injection et crée une nouvelle version majeure [4.x] pour nettoyer le dépôt GitHub de la présence de flatmap-stream, tout en conservant tous ceux utilisant la branche 3.x affectés », estime FallingSnow, qui a révélé le scandale sur GitHub.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Les annonces se multiplient depuis hier, à l'image de Joe Sponer qui évoque le lancement de Vox Video Lab sur YouTube. Le site a précédemment produit En Bref pour Netflix.

On assiste donc à la suite de la valse des créateurs, qui suivent les plateformes au gré des financements qui leurs sont proposés. Google indique vouloir soutenir la production de contenu d'information avec la déclinaison vidéo de sa News initiative, dotée de 25 millions de dollars.

Dans les projets retenus, on trouve ainsi Der Spiegel, le Financial Times, The Guardian et de nombreux médias américains. Contrairement au fonds DNI, celui-ci n'est en effet pas limitée à l'Europe, et les USA représentent 23 des 87 dossiers retenus (soit plus d'un quart).

En France, Le Monde, qui a déjà bénéficié à trois reprises du DNI, a une nouvelle fois obtenu un financement. Il en est de même pour le média social Brut ou la chaîne HugoDécrypte.

Dans ce dernier cas, Google précise qu'il s'agit d'une émission produite en studio, proposant de débattre de l'actualité, avec des interviews, du fact checking et des experts. Il y a quelques jours, Hugo Travers annonçait le lancement de la chaîne Craft qui ne semble pour le moment pas correspondre à la description faite par YouTube.

Il peut donc s'agir d'un autre programme. Le détail des projets et les sommes fournies par Google n'ont pour le moment pas été précisés.

Copié dans le presse-papier !

Le Joint Electron Device Engineering Council explique que la norme JESD235B est une évolution de la JESD235 pour la High Bandwidth Memory (HBM).

Désormais, les modules peuvent atteindre une capacité de 24 Go avec une vitesse de 307 Go/s, tandis que la bande passante maximale par broche est de 2,4 Gb/s. Tous les détails techniques sont disponibles par ici.

Copié dans le presse-papier !

L’éditeur cherche à simplifier la vie des développeurs qui aimeraient se lancer sur sa plateforme. L’expérience d’accueil a donc été révisée, avec un découpage en plusieurs étapes se voulant simples et plusieurs scénarios courants, avec documentation mise en avant.

Intégration de Facebook Login, débuter avec l’API Pages et implémentation de l’API Marketing : trois scénarios décrits comme classiques par Facebook et affichés dès l’arrivée du développeur. Ce dernier peut les passer s’il les connait déjà par cœur.

Des guides et ressources de développement doivent permettre au nouvel arrivant de mieux s’y retrouver. Pour un néophyte par exemple, Facebook recommandera de se pencher sur les permissions, le processus App Review et la vérification.

L’App Review a d’ailleurs été remanié, lui aussi pour plus de simplicité. Un nouveau tableau liste les permissions et fonctionnalités, pointant celles que le développeur devrait demander. Le statut des requêtes est en outre mieux mis en avant, de même que les permissions déjà accordées.

Ces changements sont déjà en place et disponibles pour tous les développeurs.

Copié dans le presse-papier !

Le fabricant explique que cette mise à jour « vous permet de voir encore plus de données personnelles d'un coup d'œil », mais aussi d'ajouter rapidement votre poids et votre consommation d'eau.

Dix nouvelles applications débarquent au passage, notamment Couch to 5K (du canapé au 5 km), Genius Wrist et MySwimPro. D'autres comme FitBark, Gold’s Amp Mindbody, Noonlight et TRX seront prochainement disponibles.

Les tendances du « suivi de la santé des femmes » arriveront en 2019, avec des informations détaillées sur les cycles menstruels. Enfin, une nouvelle API Fitbit Exercise est aussi présente. Les notes de versions sont disponibles par ici.

Copié dans le presse-papier !

Facebook déploie actuellement une mise à jour de son Messenger contenant plusieurs nouveautés pour le mode caméra.

D’abord une fonctionnalité qui a le vent en poupe : un mode selfie rendant flou l’arrière-plan et censé donner le meilleur éclairage. Un mode que l’on retrouve dans un nombre croissant de smartphones depuis qu’Apple l’a introduit sur l’iPhone X et les versions Plus des iPhone 7 et 8.

Deux autres fonctions sont fournies : le support de Boomerang pour réaliser ces (infernales) vidéos qui se jouent à l’endroit puis à l’envers (en boucle) et un mode réalité augmentée permettant l’insertion de Stickers (les mêmes que dans les conversations) dans une image.

Ces ajouts surviennent environ deux mois après le déploiement de la nouvelle interface, qui s’est étalé sur plusieurs semaines. Ces fonctions se trouvent dans l’interface caméra et n’ajoutent donc pas de boutons dans la principale.

Ces nouveautés ont été diffusées hier et tous les utilisateurs sont censés les avoir reçues depuis en mettant l’application à jour.