du 08 janvier 2018
Date

Choisir une autre édition

En octobre 2016, la société White Fir Design relevait la présence d'une porte dans 14 plugins pour WordPress, permettant l'exécution de code à distance… depuis au moins 2014.

Ces extensions ont été désactivées au sein du dépôt officiel de WordPress, qui présente depuis peu une page pour ces outils abandonnés. Bleeping Computer relève qu'à fin décembre 2017, des centaines de sites disposent toujours de ces plugins vérolés, jusqu'à plus de 500 pour page-google-maps ou wp-handy-lightbox.

Pour nos confrères, il s'agit surtout de sites abandonnés, pour lesquels les responsables ont perdu tout intérêt. Il y a quelques jours, il a été découvert qu'un plugin installé sur 300 000 sites ouvrait leurs portes. L'équipe de WordPress avait pris sur elle de revenir à une version sans le code incriminé, en attendant une éventuelle réaction du concepteur.

WordPress : des centaines de sites utilisent toujours de vieux plugins vérolés
chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

MongoDB ouvrait hier sa conférence dédiée aux développeurs. Comme on pouvait s’y attendre, plusieurs annonces ont été faites, à commencer par une préversion de la mouture 4.2.

Elle apporte plusieurs nouveautés de taille, dont le support des transactions distribuées, la possibilité de gérer tous les déploiements MongoDB depuis un même plan de contrôle Kubernetes ou encore le chiffrement FLE (Field-Level Encryption). Ce dernier est indépendant de la base de données et n’est géré que via les pilotes côté client. Les administrateurs n’ont donc plus de droit d’accès aux données sans accord explicite.

MongoDB s’aventure également hors de son territoire habituel et lance Atlas Data Lake, permettant de lancer des requêtes en MongoDB Query Language (MQL) vers des instances S3 d’Amazon. Lac de données oblige, le format des données n’a pas d’importance (JSON, BSON, CSV, TSV, Parquet, Avro…).

Autre nouveauté, Full Text Search. Comme son nom l’indique, il autorise des fonctions avancées de recherches. MongoDB n’a pas réinventé la roue, préférant baser son produit sur Lucene 8, un projet open source d’Apache.

Realm, base de données mobile rachetée en mai, s’intègre davantage dans l’offre globale. Elle est fusionnée avec l’offre serveless Stitch, sous marque Realm. Son protocole de synchronisation permettra la connexion aux bases de données Atlas (cloud). La bascule est attendue pour 2020.

Copié dans le presse-papier !

L'ESA (Entertainment Software Association) a publié un premier bilan de l'E3 qui se déroulait la semaine dernière : environ 66 100 visiteurs et 200 exposants.

L'année dernière, ils étaient 69 200 à faire le déplacement. C'est également moins qu'en 2017 où 68 400 visiteurs étaient venus. Impossible de comparer avec les années précédentes puisqu'en 2017 le salon était pour la première fois ouvert au public.

Copié dans le presse-papier !

Cette modification concerne aussi bien l'Assistant du géant du Net que les produits dérivés comme le Nest Hub. Une campagne d'information est en cours auprès des clients.

D'après Google, « les utilisateurs étaient impatients d'adopter le mot clé "Hey Google" utilisé dans les campagnes de communication  internationales ». Par contre, « suite à ce changement, le mot clé "Dis Google" ne fonctionnera plus en France », sans en préciser la raison.

Dans les commentaires de l'annonce, la même demande revient en boucle : pouvoir laisser le choix du mot clé à l'utilisateur.

Copié dans le presse-papier !

La Haute autorité en charge de lutter contre le téléchargement illégal a adopté en mars dernier une charte de déontologie (PDF), applicable aux membres de son collège comme à ses agents.

Le texte, tout juste mis en ligne, précise que ceux-ci sont tenus de « faire preuve de dignité, d’intégrité, de probité, d’impartialité et de neutralité ». Ce qui signifie qu’ils ne peuvent par exemple pas « tirer un profit personnel » de leur position au sein de l’institution.

Le texte évoque également les cadeaux et autres invitations (repas, voyages...) pouvant être offerts à la Rue du Texel. « Les objets reçus en cadeaux peuvent être acceptés en toute transparence dès lors qu’ils sont dénués de caractère répétitif et qu’ils sont soit d’une valeur purement symbolique (agendas, calendriers, menus articles de bureau, etc.) soit de faible valeur (à titre indicatif, 60 € maximum) sauf cas exceptionnels appréciés par le président, pour les membres, ou par le secrétaire général, pour les agents. »

Copié dans le presse-papier !

Google enrichit l’actuel Chrome 75 de deux fonctions dédiées à la sécurité, l’une intégrée, l’autre disponible sous forme d’extension, toutes deux liées à Safe Browsing.

D’abord, une nouvelle page d’avertissement quand l’adresse visitée a toutes les apparences d’une tentative de tromperie. Google cite un exemple classique : go0gle.com au lieu de google.com. Le service se réfère à l’historique pour s’assurer que le site n’est pas visité régulièrement afin de ne pas bloquer un site finalement légitime.

Ensuite, une extension peut être installée pour signaler manuellement tout site suspect à Safe Browsing. L’avertissement est pris en compte, Google promettant une analyse de l’adresse et du comportement du site.

Google compte donc sur les utilisateurs pour enrichir son service de protection, en faisant presque appel au civisme : « Si le site est ajouté aux listes de Safe Browsing, vous ne protègerez pas seulement les utilisateurs de Chrome, mais également ceux des autres navigateurs ».