Revue de Presse Xebia

Revue de Presse Xebia

La revue de presse de l’actualité Java/J2EE hebdomadaire proposée par Xebia.

Le coin de la technique

Evènements de notre communauté en France et à l’étranger

Le coin de la technique

Sécurité: OAuth, login en 2 temps et cryptographie quantique

Nous vous parlions récemment des problèmes que Twitter (ou plutôt les développeurs codant des clients Twitter) rencontrait avec son protocole d’authentification basé sur OAuth. Depuis, Eran Hammer-Lahav, le rapporteur pour la spécification OAuth 2.0 s’est épanché sur son blog dans un article intitulé « OAuth 2.0 (sans les signatures) est mauvais pour le Web« .
Pour faire simple, il considère que le groupe définissant le protocole se fourvoie en décidant de ne pas rendre obligatoire le chiffrement de la communication entre le client et le endpoint . Une communication basée sur SSL/TLS pourra toujours être utilisée, mais ne sera pas obligée. Pour Hammer-Lahav, le problème n’est pas tant pour le présent: de nos jours la sécurité d’un site, acceptant par ailleurs une authentification web-based, sera toujours aussi faible que son point le plus fragile, celui-ci étant les l’authentification par cookies. Par ailleurs, de nos jours, les endpoints sont généralement déclarés statiquement. Mais dans un futur proche (il parle de 5 ans), plusieurs problèmes pourraient survenir.
Le premier problème est que le principe de découverte dynamique de services où l’interopérabilité d’API obligerait le client à déterminer par lui-même où il peut envoyer ses tokens. Dés lors que la sécurité doit être assurée au cas par cas coté client, de nombreux risques apparaissent.
Le second risque est que, lors de la création d’un nouveau protocole, ses créateurs pourraient fournir le même argument qu’aujourd’hui: pourquoi améliorer la sécurité d’un coté alors que de l’autre, un point d’entrée basé sur OAuth 2.0 permet des attaques ?
Pour lui, le groupe OAuth ne prend pas les responsabilités qu’il se doit de prendre pour l’avenir: même si la cryptographie est quelquechose extrêmement difficile, c’est un mal nécessaire pour construire des fondations solides. Depuis, Yaron Goland de Microsoft a répondu sur son blog à ces critiques: pour lui, elles sont justifiées mais peuvent être solutionnées sous forme d’extension au protocole de base. Est-ce une bonne solution de ne pas le rendre indispensable et au coeur même du protocole ?

Dans un autre registre, Google a décidé lui aussi de participer à rendre le web plus sûr. Il vient d’annoncer avoir activé sur certaines applications Google App une solution optionnelle de login en 2 temps. Au lieu de nécessiter seulement un mot de passe avant d’autoriser l’accès, ce nouveau système présentera un second écran, après celui de login, dans lequel l’utilisateur devra rentrer un code. Ce code sera obtenu grâce au téléphone portable: il pourra être fourni par une application Android, par SMS ou par appel vocal. Le téléphone est alors le garant que c’est bien la bonne personne qui tente d’accéder aux ressources protégées.
Cette possibilité va à n’en pas douter convaincre certaines entreprises jusqu’alors réticentes à passer une partie de leur infrastructure de mail et de collaboration documentaire chez Google. Pour info, une telle authentification en 2 temps se rencontre déjà régulièrement dans les sociétés travaillant dans des domaines sensibles.

Mais rassurez vous, tous ces problèmes techniques de sécurité sont bientôt derrière nous. Dans une récente réflexion, Nicolas de Loof (celui de l’excellent Apache Maven) nous annonce… la cryptographie quantique ! Bizarre, il n’indique pas le numéro de la JSR censée l’implémenter :) .

Evènements de notre communauté en France et à l’étranger

Open Space au Paris Scala User Group

Petit retour sur la 4ème soirée du Paris Scala User Group qui s’est déroulée la semaine dernière dans nos locaux. Pas de présentations formelles cette fois-ci mais un Open Space.

Au menu, plusieurs sujets divers et variés : Gouvernance de Scala, Scala on GPUs, Lift/Comet + Continuations, Monades, design patterns ou bien encore Akka.
J’ai beaucoup apprécié la session Scala on GPUs, une problématique captivante et surtout des exemples de plugins pour le compilateur Scala. Pour la session Akka, les retours d’expériences suite à la mise en place du framework sont très intéressants et force est de constater que la mise en place de ce type d’outil n’est pas si simple que cela n’y paraît.

Et bien sûr le buffet de fin de soirée avec de nombreux échanges toujours aussi sympa (et l’avant dernier RER :-) ).
Pour la prochaine soirée, j’ai ouïe dire que serait un coding dojo… Inscriptions d’ici quelques jours mais d’avance : venez nombreux !

JavaOne 2010

La version 2010 de JavaOne, sans doute la plus grosse conférence autour de Java, s’est tenue la semaine dernière et la blogosphère a déjà allégrement commenté cet évènement. Oracle en a profité pour donner sa feuille de route. Parmi les annonces les plus commentées on notera celles sur JavaFX et sur Java 7/JDK 7.

JavaFX

JavaFX prend une nouvelle direction avec l’abandon de JavaFX Script pour l’utilisation exclusive de l’API Java. Ces changements seront disponibles dans la version 2.0 prévue d’ici mi-2011. Cette orientation permettrait d’avoir plus de ponts vers les langages tournant sur la JVM (groovy, scala…) et pourrait mieux s’intégrer à Swing. Peut-être que cela donnera un nouvel élan à ce framework qui peine un peu à s’imposer.

Java 7 et JDK 7

Le plan B, dont nous vous avions parlé, a été définitivement adopté, et le périmètre clairement défini. Annoncé par Mark Reinhold, les nouvelles fonctionnalités peuvent être trouvées ici.

Et aussi

Plus à la marge, quelques liens autour de l’événement:

  • Durant son passage à JavaOne, Stephen Colebourne s’est amusé à faire un petit sondage sur les exceptions vérifiées et donne son point de vue
  • John Coomes et Tony Printezis ont fait une présentation sur les mythes entourant le garbage collector
  • une application pour visualiser les différents concepts de l’API concurrent, très didactique
  • James Gosling s’est expliqué sur son départ d’Oracle

Billets sur le même thème :

3 commentaires

  • C’est vraiment sympa que le Paris Scala User groupe commence à marcher, et c’est d’autant plus cool qu’on y rencontre pleins de gens intéressants…

    Merci à Xebia pour les locaux, et à Alexis pour l’organisation !

  • Et merci à Arnaud pour l’animation de l’OpenSpace !

  • Pour ceux qui ont commencé une application en JavaFX Script, quelle est la suite à cours terme ?
    Y aura-t-il un moyen de transformer les scripts automatiquement ?
    Peut-on accéder à des builds en avance pour reprendre l’application en JavaFX 2 et avancer dans le bon sens ?
    Merci d’avance pour vos réponses, je n’ai pas trouvé de véritables informations sur le sujet…

Laisser un commentaire