Qu’est ce qu’un fichier de sauvegarde ou un fichier temporaire (ou de sauvegarde automatique) ?

Les fichiers de sauvegarde sont souvent générés par les éditeurs de texte (tels que vim, emacs, gedit, kate, notepad++) pour vous permettre de conserver une ancienne version au moment où vous sauvegardez. Ils ont un nom qui se termine souvent par le symbole “~” (pour une majorité de programmes sous Linux ou provenant du monde Linux/Unix) ou par “.BAK“.

Je ne rentrerais pas dans le détail des extensions car chaque programme peut très bien utiliser une extension qui lui est propre, mais une très grande majorité d’éditeurs possède cette option, assez souvent activée d’origine.

La plupart du temps, cette option est perçue comme une fonctionnalité utile, qui permet parfois de s’en sortir après une erreur. (Je dis bien parfois, ce n’est pas le top pour revenir en arrière à volonté…)

Les fichiers de sauvegarde automatique (“auto save“) sont des fichiers temporaires (parmi d’autres) qui ont vocation à permettre de sauver la situation lorsqu’un problème survient et que l’utilisateur n’a pas préalablement enregistré manuellement son travail.

Bref, tous ces fichiers ont leur utilité, mais leur présence peut également parfois devenir problématique voire dangereuse.

Pourquoi est-ce crucial de restreindre l’accès à ces fichiers ?

Si ces fichiers sont présents sur un serveur, deux types de problèmes peuvent survenir :

1. Il est possible d’accéder à une version antérieure sans forcément que vous l’ayez prévu. Ce type de problème peut toucher aussi les éléments statiques (exemples: “index.html~“, “style.css~“). C’est parfois un problème.
2. L’extension étant différente des fichiers associés, ces fichiers sont bien souvent renvoyés tels quels sans même être interprétés (on voit le source). Cela peut permettre la fuite d’informations très sensibles comme des mots de passe. Un exemple de fichier de sauvegarde que bien peu de personnes partageraient volontiers : wp-config.php~ (fichier de configuration de WordPress qui a de fortes chances de contenir le mot de passe de connexion à la base MySQL).

wp-config.php

Il faut noter que même si votre site ne représente pas un enjeu crucial et que même si tout le monde vous veut du bien, cela ne vous protégera en aucun cas contre certains bots “méchants”, tournant souvent sur des “PCs zombis”, et scannant très vite de manière automatique tous les sites qu’ils peuvent trouver.

Si vous doutez du nombre de PCs zombis, regardez si vous avez du spam dans votre boite email, sinon demandez à des amis s’ils n’ont jamais reçu trop de spam. La majorité du spam est en effet envoyé par des botnets (réseaux de PCs zombis).

Protections “de base” : savoir, identifier, supprimer, ne pas transférer…

Savoir l’existence des fichiers de sauvegarde et savoir ce qu’il peut se passer lorsqu’ils sont accessibles vous évitera naturellement pas mal d’erreurs.

Il est également utile de chercher régulièrement à identifier les éventuels fichiers problématiques.

Depuis le terminal, sous Linux, une fois positionné dans le dossier qui contient les fichiers qui seront mis sur le serveur, vous pouvez par exemple faire un “find . | grep ~$” (attention, cela ne s’occupe que des fichiers qui se terminent par “~”). Si vous n’êtes pas très familier avec les expressions régulières de la commande grep, utilisez la commande less avec sa fonction de recherche qui s’active par la touche [/] et ou vous utilisez [n] pour voir le résultat suivant (pensez à revenir au début après chaque extension testée avec [Début/Home] et quittez less avec [q]).

UPDATE (13/05/2011, merci à chimrod pour son commentaire) : Vous pouvez également détecter les fichiers se terminant par “~” avec “find . -name *~“. Je vous invite à jeter un coup d’oeil à la documentation de find, vous pourrez y trouver pas mal d’options utiles (dont le “ou logique” avec l’option “-o“).

L’idéal, c’est de pouvoir le faire aussi sur le serveur (si vous pouvez vous y connecter en SSH ou si vous hébergez le site sur votre PC par exemple).

Supprimer les fichiers problématique avant d’envoyer des fichiers sur le serveur, ou empêcher qu’ils se génèrent (options de l’éditeur de texte) est plus que souhaitable !

Vous pouvez également tout simplement ne pas transférer certains fichiers lorsque vous envoyer le contenu au serveur, enfin cette méthode n’est pas simple pour tout le monde (si vous utilisez rsync pour envoyer au serveur, ce n’est qu’une petite option).

En cas de problème détecté

Si vous avez trouvé une faille, il faut savoir ce qui a pu (directement ou indirectement) être compromis.

Différentes actions peuvent être à prendre, suivant le contexte :

• Vérifiez l’allure de votre site : c’est bête mais parfois les sites sont défacés, ou plus subtilement des liens sont insérés…
• Vérifiez le code source du site : les liens peuvent être cachés (rendus invisibles par CSS ou javascript). Le but est souvent de s’approprier (directement ou indirectement) du “jus de PageRank” pour l’orienter vers un ou plusieurs sites. Avec des liens en masses et des sites peu recommandables, votre site peu plonger au fond des abimes de Google…
• Changez les mots de passe (base de données, wordpress, etc…)
• Adaptez, réfléchissez, sécurisez. Puis soufflez et surtout revenez-y plus tard !

Protection recommandée sous Apache (httpd)

Si vous utilisez Apache comme serveur, je vous recommande simplement de vous arranger pour que le serveur refuse de fournir les fichiers qui ont certaines extensions.

Il faut pour ce faire compléter votre fichier .htaccess (ou le fichier de configuration au niveau serveur). Voici un exemple (à compléter), de lignes qui peuvent vous épargner de gros soucis :

## Protection partielle, à compléter selon les éditeurs de texte utilisés
<FilesMatch "(\.(swp|SWP)[.[:alnum:]]*|\.bak|\.BAK|\$|~)$">
 order deny,allow
 deny from all
</FilesMatch>

Avec cette solution, qu’il y ait ou non un fichier de sauvegarde qui existe sur le serveur, si l’extension testée par le “méchant pirate” (ou le script) est dans la liste, alors le serveur renvoie une page “Accès interdit” (erreur 403). Il vous faut bien sûr faire attention à vérifier le périmètre d’effet du fichier de configuration ou .htaccess que vous avez édité.

Sécuriser son serveur Apache (en particulier PHP et sites dynamiques) : Bloquer l’accès aux fichiers de sauvegardes et aux fichiers temporaires
(fr) Commenter cet article - Partager - Lire un autre article (Blog de David Dallet)
(en) Comment this post - Share It - Read another post on David Dallet's Weblog

Personnellement, ça m’est arrivé bien plus d’une fois… Si ça vous arrive aussi, rassurez-vous, c’est souvent simple à résoudre !

Qui est le fautif ?

Eh bien, la plupart du temps, cela ne vient pas de la machine sur laquelle vous êtes connecté en ssh… Pas OVH donc, par exemple…

Ensuite, cela ne vient pas forcément de l’infrastructure interne de votre fournisseur d’accès Internet. Sauf à y inclure votre box configuré en routeur NAT…

Les routeurs NAT (box ou non) sont en effet une raison fréquente des coupures des connexions ssh en cas d’inactivité.

Pourquoi ? Tout simplement parce que ssh utilise le protocole TCP, qu’un routeur NAT maintient une table (limitée) des connexions TCP actives, et que pour conserver de la mémoire (et de l’efficacité), les connexions TCP inactives depuis trop longtemps sont coupées…

La parade : faire transiter un minimum de données régulièrement à travers la connexion ssh

En fait, régler ce problème est assez simple : il suffit de s’assurer que des données (très peu) transitent assez régulièrement à travers la connexion ssh, même lorsque vous ne tapez rien au clavier et que rien de nouveau ne doit apparaître à l’écran.

Il s’agit donc de faire passer des données sans grande importance en elle-même, juste pour être sûr que la connexion TCP soit perçue comme active.

Et rassurez-vous, ça se fait de façon automatisée et surtout de façon assez simple !

Un petit tour dans le fichier de configuration du client ssh

Le client ssh en ligne de commande prend ses options de configuration à différents emplacements :

1. Sur la ligne de commande (choix prioritaire) : avec la syntaxe -o option
2. Dans le fichier de configuration personalisée de l’utilisateur (~/.ssh/config)
3. Dans le ficheir de configuration globale du système (choix le moins prioritaire, dans le fichier /etc/ssh/ssh_config)

Personnellement, j’ai choisi de modifier ça dans le fichier ~/.ssh/config.

Le réglage s’applique pour toutes mes connexions ssh sortantes, ça se place donc dans la section (unique) repérée par Host *.

Les réglages choisis sont les suivants :

Host *
ServerAliveInterval 15
ServerAliveCountMax 20
# Sur les valeurs, ça se discute...

Qu’est ce que ça signifie ?

L’option ServerAliveInterval 15 signifie que des données sont transmises toutes les 15 secondes pour demander au serveur de confirmer que la connexion ssh est bien fonctionnelle. En plus de vérifier, cet échange de données permet surtout de maintenir la connexion active (effet collateral voulu).

Un réglage de 15 secondes ça veut dire très souvent : avec 30 ou même 60, j’aurais quand même eu l’effet recherché…

L’option ServerAliveCountMax 20 dit au client ssh d’attendre 20 non-réponses du serveur (20 * 15s = 300s = 5min) pour considérer de lui-même la connexion ssh comme étant morte. Tout simplement parce que mon but n’est pas que la connexion soit coupée plus vite en cas de soucis divers, mais tout simplement d’utiliser ServerAliveInterval pour maintenir la connexion active…

Au final mon fichier ~/.ssh/config ressemble un peu à ça :

Host *
ServerAliveInterval 15
ServerAliveCountMax 20
# (...)
# Autres réglages non précisés s'appliquant
# sur toutes les connexions de l'utilisateur ...

# Puis un réglage plus spécifique pour l'exemple...
Host exemple
Hostname 172.16.123.123
User david-exemple
Port 443
DynamicForward 3333
LocalForward 3336 calvino.freenode.net:6667
# (...) autres réglages de la section

# Puis d'autres section Host
# (...)

Conclusion

Si vos connexions ssh inactives sont souvent victimes de déconnexions, essayez d’utiliser ServerAliveInterval dans votre fichier de configuration du client ssh, c’est simple et bien pratique…

NB :

• Il peut y avoir aussi plein d’autres raisons de déconnexions de sessions SSH, “inactives” ou non… Je n’en ferais pas le tour des causes possibles…
• Je m’intéresse ici au client ssh openssh en mode texte sous GNU/Linux : le procédé diffère un peu pour appliquer le réglage avec Putty sous MS Windows…

SSH : diminuer les deconnexions intempestives avec ServerAliveInterval
(fr) Commenter cet article - Partager - Lire un autre article (Blog de David Dallet)
(en) Comment this post - Share It - Read another post on David Dallet's Weblog

Méthode 1 : Rentrer l’URL directement depuis l’application Android Google Maps

Cette méthode n’est pas la plus astucieuse (sauf copier/coller rapide) mais comme c’est la plus élémentaire, elle mérite d’être en premier dans cette liste.

Voici la méthode :

• lancer l’application Android Google Maps (attention : l’application, pas le site web via le navigateur)
• appuyer sur la touche [MENU]
• choisir l’option “Rechercher”
• entrer ou coller l’URL dans la zone de saisie et cliquer sur la loupe pour valider

En images, voici ce que ça donne :

Vous vous en doutez, ce qu’il y a de pas très pratique, c’est la saisie (ou copier/coller, ou autocomplétion via l’historique) à effectuer à chaque fois… D’où les autres méthodes, un peu plus astucieuses…

Méthode 2 : tant qu’à faire on se crée une sorte de favoris (via les contacts)

Sous Android 1.5, je n’ai pas trouvé dans l’application Google Maps d’option type “favoris” ou quoique ce soit de similaire.

Heureusement, il est possible de combler très aisément le manque, en utilisant tout simplement l’application “Contacts”.

Voici globalement la méthode pour se créer un raccourci vers un fichier de type .kml/.kmz :

• lancer l’application “Contacts”, [Menu] puis “nouveau contact”
• dans “nom et prénom”, choisir un nom descriptif (avis perso : je préfixe avec “zzz map” pour ne pas que ça se mélange avec mes contacts “normaux”)
• dans numéro de téléphone, je conseille de mettre un numéro fictif pour ne pas laisser ça vide (parce que il peut y avoir un filtre n’affichant pas les contacts sans numéro, cf options de l’application Contacts) : je met “++” comme ça c’est sûr que ça ne peut appeler personne par erreur (j’avais essayé avec “0″, mais ça m’avait donner un autre problème lors de la recherche inversée du nom de l’expéditeur d’un SMS un peu particulier)
• dans “adresse domicile”, mettre l’URL (adresse Internet) du fichier .kml/.kmz
• ne pas oublier de valider, le contact-raccourci est créé..

Au passage, on remarquera qu’Android permet la recherche sur n’importe quel mot clé présent dans le “nom et prénom” du contact. Autrement dit, si vous tapez “metr”, le faux-contact “zzz map metro tramway lille” peut apparaître, dès lors qu’il est défini…

Amélioration de la méthode 2 : saisie des contacts fictifs depuis l’ordinateur

Même si la “méthode 2″ est déjà bien plus partique que la première, il n’empêche que souvent il peut être préférable de définir les raccourcis vers les fichiers .kml depuis votre PC (ou Mac, peu importe).

Certains auront deviné tout de suite, pour d’autres on rappelle la fonction de Synchronisation des contacts avec ceux de Gmail. (Euh, par hasard si vos contacts n’étaient pas dans la SIM lors de la première mise en marche de votre mobile, j’espère pour vous que vous n’avez pas tout du taper à la main…)

Conclusion

Euh… Pas le genre d’article méritant une longue conclusion philosophique, les .kml avec les téléphones mobiles Android c’est simple quand on sait, maintenant à vous d’essayer…

Astuce Android : Ouvrir facilement des plans au format .kml depuis l’application Google Maps
(fr) Commenter cet article - Partager - Lire un autre article (Blog de David Dallet)
(en) Comment this post - Share It - Read another post on David Dallet's Weblog

Ce post donne quelques tuyaux utiles pour “hacker” la fonera, ainsi que quelques autres qui peuvent être utiles pour libérer d’autres types de routeurs.

La fonera

(Robot fonera : une utilisation peu commune que l’on peut faire d’une fonera. Enfin sur la photo c’est pas la mienne… Credits photo : Gerardo Barbarov, image sous licence Creative Commons CC-BY-SA 2.0)

La fonera, c’est tout simplement le routeur wifi distribué par FON, une entreprise visant à créer une communauté d’internautes (les foneros) partageant leur connexion par wifi.

Il existe différents modèle de fonera. La première fonera ne dispose que d’un port ethernet. La fonera+ offre une seconde prise réseau, et la fonera 2.0 fournit même un port USB.

Je ne rentrerais pas dans le détail en ce qui concerne les caractéristiques complètes des foneras, vous en trouverez d’avantage sur Wikipedia, ainsi que sur pas mal d’autres sites (invitation à “googler”).

Les foneras sont livrés d’origine avec un logiciel interne (firmware) conçu par FON. C’est basé sur un Openwrt, quelque peu adapté mais malheureusement surtout quelque peu verrouillé en ce qui concerne les fonctionnalités. (Par exemple, FON rend par défaut impossible la connexion SSH à la fonera, la désactivation du wifi communautaire ainsi que bien d’autres choses.)

Bref, on peut avoir envie de le changer ce firmware, y compris pour y mettre un vrai openwrt non modifié par FON…

Procédure détaillée pour “hacker” la fonera, sur FoneraHacks

La procédure détaillée pour hacker la fonera est disponible (en anglais) sur le site FoneraHacks. Cela inclut notamment :

• le passage à une version antérieure du firmware (0.7.2 r3 vers 0.7.1 r1), pour pouvoir profiter d’une faille qui permet d’activer SSH
• l’activation de Redboot
• l’accès à redboot pour ensuite pouvoir flasher dd-wrt

Je ne rentrerais pas dans le détail de la procédure (FoneraHacks le fait plutôt bien), mais la suite de ce post fournit quelques précisions qui auraient pu me faire gagner un peu de temps.

Mes tuyaux concernant le hacking de la fonera

Pour commencer, je précise que je passe les conseils très généraux, que je n’insiste pas sur le fait que si vous ne savez pas ce que vous faites vous pouvez facilement bloquer votre fonera, etc… Hacker et reflasher votre fonera se fait à vos risques et périls! (En cas d’erreur vous êtes seul responsable…)

Bon rentrons dans le cœur du sujet!

Downgrade du firmware de la fonera et activation de SSH

Pas grand chose à préciser, c’est assez bien décrit, à part le fait que le DNS à utiliser est celui pointé par kolofonium.datenbruch.de (à la date de l’écriture du post 188.40.206.43 au lieu de 88.198.165.155).

Si vous échouez sans savoir pourquoi avant d’obtenir SSH de façon permanente, n’hésitez pas à réessayer depuis le début. Une erreur de manip’ n’est pas toujours facile à détecter…

Activation de Redboot, et usage de wget

Pour cette étape, pas grand chose à dire à part de ne pas s’inquiéter si vous n’arrivez pas à faire wget.

Si l’erreur est “unknown host”, vous pouvez (si vous y connaissez un minimum en manipulations réseau en ligne de commande) essayer de résoudre le problème sous SSH, redémarrer la fonera (ça peut marcher) ou alors tout simplement démarrer un serveur HTTP sur votre propre PC. Vous adapterez ensuite en remplaçant les noms de domaines par l’IP de votre PC et en adaptant si besoin est les chemins. Inutile de préciser qu’il faut penser à télécharger les fichiers et à les rendre accessibles…

Accès à Redboot via telnet (partie utile également pour d’autres routeurs)

Là encore, FoneraHacks dit presque tout.

Par contre, vous aimerez sûrement pouvoir ré-accéder à Redboot après avoir reflashé le firmware. Si votre PC est sous GNU/Linux et que vous utilisez telnet, vous pourrez avoir des “difficultés très importantes” à faire le ^C (Control-C), même en étant très rapide.

En fait, il vous faut activer le mode line. Voici ce que j’ai mis dans le ~/.telnetrc sur mon pc (attention à préserver l’identation de la seconde ligne):
192.168.1.254 9000
        mode line

Je dois avouer que pour la mauvaise transmission du ^C, j’ai mis quelque temps avant de trouver l’origine du souci…

Serveur tftp sous GNU/Linux (partie utile également pour d’autres routeurs)

Une fois Redboot lancé, si vous souhaitez transférer un nouveau firmware de votre PC vers le routeur, cela se fait par le protocole tftp.

Le package que j’ai choisi d’installer pour avoir un démon tftp sous Ubuntu est tftpd.hpa.

La commande que j’ai utilisé en root pour lancer le démon tftp est :
in.tftpd -L -s dir

À noter que des petits écarts dans la commande peuvent causer des messages d’erreurs peu compréhensible du côté de Redboot. Une erreur facile à commettre est de conserver le chemin absolu du répertoire partagé plutôt que de mettre les fichiers à la racine du serveur tftp (voire éventuellement de cumuler ça avec un souci de permission d’accès…). L’option “-s” a donc un rôle crucial.

C’est tout!

Comme je l’ai dit pas de tutoriel complet pour l’instant. J’espère néanmoins que ces petits tuyaux arriveront à aider efficacement ceux qui veulent rendre la liberté à leur fonera.

Happy fonera flashing!

Redboot, libération de fonera et tuyaux divers
(fr) Commenter cet article - Partager - Lire un autre article (Blog de David Dallet)
(en) Comment this post - Share It - Read another post on David Dallet's Weblog

Cet article décrit brièvement les fonctionalités de ce plugin, que ce soit pour ajouter du texte fixe, des mentions liés au post ou même le résultat d’un script php quelconque.

Paramétrage de base de Better Feed, ajout de texte fixe et d’informations liées au post

Je présuppose que vous êtes capable d’installer et d’activer le plugin WordPress comme un grand.

En ce qui concerne le paramétrage, la plupart du paramétrage de base semble intuitif, cependant je vous conseille fortement de penser à décocher la case Cut the Feed on “Read more” links (<!–more–>) ainsi que la case Cut the Feed on “Next page” links (<!–nextpage–>) à moins que vous souhaitez proposer un flux tronqué en connaissance de cause ce que de nombreux lecteurs n’apprécieront pas.

Ensuite, le gros du paramétrage consiste à choisir ce que vous ajoutez en bas de chaque élément du flux. Tout cela se place bien entendu dans la zone de saisie Feed Item Footer. Pour du simple texte invariant, entrez le tel quel dans la boîte de la même façon que si vous saisissiez un nouveau post à l’aide de l’éditeur html.

Pour saisir du contenu variable lié au post, il vous faut utiliser une notation spéciale. Les deux principales chaînes reconnues sont :

• Enrichissez votre flux RSS/Atom de WordPress avec le plugin Better Feed d’Ozh (ajout de texte quelconque, d’informations liés au post et liens de partage) pour le titre de l’article
• http://www.daviddallet.com/weblog/posts/2009/08/08/wordpress-better-feed-ozh-code-php-lien-partage-social-share/ pour sont URL (permalink)

Pour savoir la signification du reste des tokens reconnus (dont je ne ferais pas la liste exhaustive), utilisez simplement l’éditeur de plugin de WordPress pour consulter le contenu de ozh-better-feed/inc/feed.php. La liste de ce qui est reconnu figure en commentaire en haut de ce fichier.

Si vous avez besoin de tester votre flux RSS rapidement sans agrégateur, le convertisseur RSS to HTML d’ozh vous aidera probablement.

Idées d’utilisation de ce plugin

Les utilisations courantes de ce plugin incluent l’ajout d’une notice de droit d’auteur/copyright, l’indication de la licence (comme par exemple une Creative Commons CC-BY-SA), l’indication dans le flux du nombre de commentaires (et ce sans avoir besoin de feedburner) ainsi que des liens pour promouvoir le post sur del.icio.us, digg, StumbleUpon, twitter ou facebook (ou ailleurs, bien évidemment).

Ozh’s Better Feed avec du code php : exemple avec un lien pour partager via addtoany.com (sans javascript)

Addtoany est un service pour partager simplement vos liens en utilisant un seul bouton pour pouvoir après choisir vos sites de partage préférés parmi la liste assez exhaustive (voir cette liste).

Pour ceux qui publient du contenu cela veut traditionnellement dire un bouton de partage en javascript et pour les autres utilisateurs un bookmarklet (script qui se range dans vos favoris et qui permet de partager la page en cours de consultation).

Il est cependant possible de se passer de javascript en utilisant un simple lien vers “http://www.addtoany.com/share_save” mais par contre je vous conseille vivement de passer à cette page les bons paramètres (faute de quoi le lien ne fonctionnerait pas correctement avec les visiteurs dont le navigateur ne transmet pas le Referrer).

Il vous faut donc utiliser un lien vers une adresse de la forme “http://www.addtoany.com/share_save?linkname=Page%20Name&linkurl=http%3A%2F%2Fsite.example.net%2Ffull-url.html” en encodant correctement le nom de la page et son url.

Sous WordPress avec le plugin Better Feed d’Ozh, c’est facile à faire avec un peu de php.

Pour inclure du code php avec Better Feed, il suffit d’utiliser la syntaxe :

%%<?php /* code php ici */ ?>%%

Pour inclure un lien correct vers le service addtoany.com, voici donc à quoi le code ressemble :

<a href="%%<?php echo("http://www.addtoany.com/share_save?linkurl=" . rawurlencode(post_permalink()) . "&linkname=" . rawurlencode(get_the_title() . " | Nom de votre blog"));?>%%">Partager</a>

La fonction rawurlencode est la fonction php s’occupant du nécessaire encodage des paramètres tandis que post_permalink et get_the_title sont des fonctions définies par WordPress (voir cette page, en anglais).

Conclusion

Sous WordPress, il est donc facile d’enrichir votre flux pour peu que vous installiez le plugin Better Feed.

Le contenu rajouté en footer à vos éléments du flux n’a pour limites que celles de votre imagination : il est en effet possible de déterminer ce contenu dynamiquement en insérant du code php.

Et vous, enrichissez vous le flux rss/atom de votre blog? Utilisez vous la fonction d’ajout de code php d’une façon particulièrement originale? Si oui à l’une de ces deux questions n’hésitez pas à en faire part en commentaire. N’hésitez pas aussi à préciser si vous avez des difficultés sur les points sur lesquels j’ai été bref.

Enrichissez votre flux RSS/Atom de WordPress avec le plugin Better Feed d’Ozh (ajout de texte quelconque, d’informations liés au post et liens de partage)
(fr) Commenter cet article - Partager - Lire un autre article (Blog de David Dallet)
(en) Comment this post - Share It - Read another post on David Dallet's Weblog

Rien de très détaillé donc.

Migration proprement dite de ce blog

Avant le site entier était sur “http://www.ddmdllt.org/” et j’ai décidé de le migrer sous un autre domaine, en l’occurence “http://www.daviddallet.com/”; le reste de la structure a été conservé. Ce weblog se trouve donc maintenant à l’adresse “http://www.daviddallet.com/weblog/“.

N’hésitez pas à changer l’adresse du flux dans votre agrégateur pour que ça soit optimal. Avec une redirection de type statut HTTP 301, l’ancienne adresse continue de fonctionner mais c’est forcément (légèrement) plus rapide avec l’adresse directe : une requête en moins c’est bon pour vous comme pour moi…

La méthode de migration du blog est principalement celle décrite dans l’article “Move your WordPress blog to a new domain in 10 steps!” de yoast.com (il y a une traduction en Français pour ceux qui préfèrent). Je me suis cependant abstenu d’utiliser le plugin Search And Replace.

Pendant le backup (la sauvegarde) de la base de donnée et du répertoire du blog, j’ai désactivé intégralement l’accès au visiteur (à la limite il y avait peut être d’autres solutions, la seule chose que je souhaitait éviter était l’écriture dans la base).

Pour ce faire, j’ai utilisé le fichier .htaccess pour renvoyer les consultations du blog vers une page avec le statut HTTP 500 (utilisé en cas d’erreur) contenant une explication. Cette explication sert à inviter à patienter et à consulter le reste du site (statique) ou un semblant de “mirroir brouillon” (un simple moonmoon avec une seule source à un endroit non indexable par les moteurs respectant le fichier robots.txt). Je suppose (sans en avoir la certitude) que les moteurs n’indexent pas une page au statut 500 (ou n’en actualisent pas la version indexée). Ceci étant donnée la signification usuelle de ce statut HTTP (en général erreur du serveur).

Ce premier dérangement n’a eu lieu que pendant une vingtaine de minutes, j’ai rétabli l’accès (à l’ancien emplacement) dès que j’avais la sauvegarde de la base et du répertoire de WordPress. (Je n’ai pas attendu que la migration entière soit faite).

Ensuite, je me suis occupé de réinstaller ça proprement sur le nouveau domaine, en laissant l’ancien site en fonctionnement habituel. Si j’avais eu des commentaires pendant cette courte période, j’aurais du les transférer manuellement par la suite.

Une fois le site en place et bien testé sur le nouveau domaine, le moment était à la mise en place de la redirection 301 de l’ancien domaine vers le nouveau. Là je me suis un peu planté dans le .htaccess, ce qui aura valu une deuxième période de dérangement (non prévue cette fois) pour mes visiteurs.

Ensuite, la migration proprement dite fut réglée, il ne me restait plus qu’à utiliser l’outil de changement d’adresse des Google Webmaster Tools afin de respecter aux mieux les conseils de Google pour le changement d’adresse d’un site.

Je verrais l’efficacité de cet outil peut être prochainement, Google ayant actuellement en cache (sur le nouveau domaine) une version de robots.txt bloquant l’indexation.

À part le détail concernant l’indexation et le référencement que je ne peux pas évaluer pour l’instant, la migration semble satisfaite.

Anecdotes en vrac

• En fait j’ai fait une upgrade au passage pour être avec la version 2.8.3.
• Lorsque vous ré-activez vos plugins après une migration, pensez à vérifier toute API-key (Akismet, WordPress Stats).
• Je teste depuis plusieurs jours WordPress Stats, que je trouve fortement utile pour savoir la fréquentation. Je n’arrive malheureusement pas à faire autant de recoupement qu’avec Google Analytics (argh), mais en contrepartie j’apprécie les statistiques sur les clics sur les liens sortants (les liens en eux même gardent leur intégrité, c’est pas une bidouille avec un lien interne servant de redirection).
• Je connais l’existence de Piwik (alternative libre à Google Analytics), maintenant faudrait que je m’informe plus à ce sujet et que je teste! (Voire si ça me satisfait en terme de statistiques obtenues, de fiabilité, mais aussi en terme d’utilisation de ressources serveur…).
• Ne me parlez pas de solutions basés sur la seule analyse des logs (sans code javascript) : si cela peut être efficace en terme de ressources serveur, il n’est pas forcément évident d’identifier de façon fiable les visiteurs humains (vis à vis des robots peu reconnaissables). Je préfère ne pas compter les visiteurs sans javascript que d’avoir des chiffres comprenant une proportion difficilement évaluable de “visiteurs” non humains.

Migration du site, expériences en vrac…
(fr) Commenter cet article - Partager - Lire un autre article (Blog de David Dallet)
(en) Comment this post - Share It - Read another post on David Dallet's Weblog

Il ne s’intéresse qu’à la sauvegarde des données contenues dans le Profil Mozilla Firefox, et non à la sauvegarde complète de votre installation de firefox et de tous vos plugins (le cas échéant, c’est souvent facile à refaire depuis le début sans grosse perte).

Pourquoi faire des sauvegardes de votre Profil Firefox ou d’une partie de celui-ci

De façon rapide, je vois trois raisons principales de faire des sauvegardes des données de votre profil Mozilla Firefox :

• pour faire face à une catastrophe due à un bug éventuel dans le logiciel,
• pour faire face à un souci avec votre matériel,
• pour faire face à une erreur humaine de votre part (ou de la part de quelqu’un d’autre utilisant votre pc et le navigateur).

Pour ces trois raisons, et si votre profil stocke des données qui vous sont précieuses, le principe de précaution implique de faire une sauvegarde des données qui vous sont vitales.

Pour ce qui est d’une catastrophe due à un bug dans le logiciel ayant résulté en une perte de tous les mots de passes enregistrés, je crois (sans en avoir la certitude) que cela m’est arrivé une ou deux fois dans le passé.

Pour les conséquences des problèmes matériels, cela ne prévient pas toujours à l’avance et les soucis avec le matériel peuvent parfois avoir des effets assez pervers dont les conséquences ne sont parfois aperçues que bien après. J’ai par exemple le cas d’un disque dur qui me fait parfois des erreurs de lecture/écriture à des emplacements variables mais qui donne la plupart du temps l’impression de bien fonctionner.

Pour les défaillances humaines, il peut (selon le cas) être trop facile de cocher accidentellement la case pour effacer les mots de passes lorsque la boîte de dialogue qui sert aussi à l’effacement de l’historique des cookies à la fermeture du navigateur s’affiche (surtout avec un touchpad).

L’importance de pouvoir être sûr de conserver les données stockées dans votre profil est variable suivant les personnes : certains stockent leurs mots de passe sous Firefox, d’autres non, de même pour les marques-pages.

Sauvegarde du profil complet

Le profil Mozilla Firefox stocke un ensemble d’informations variables telles que les préférences, les mots de passe, les marques-pages, les dernières pages visitées, mais aussi le cache et pas mal d’autres choses.

Cela prend un peu de place donc vous ne verrez pas forcément un intérêt à conserver trois ans de sauvegardes journalières du dossier de profil mais il reste bon de faire une sauvegarde de temps en temps.

Trouver le dossier d’un profil Mozilla Firefox

De façon générale, il y a un dossier global pour stocker les données des applications mozilla qui contient un dossier pour stocker les données de Mozilla Firefox qui contient les dossiers des différents profils de l’utilisateur.

L’emplacement du “dossier Mozilla” est variable suivant le système d’exploitation (et l’utilisateur en cours).

Sous GNU/Linux, il s’agit de “~/.mozilla/” (“~” représente le répertoire personnel de l’utilisateur, très souvent cela prend la forme “/home/nomdutilisateur/“). Pour les autres systèmes d’exploitations (Windows, Mac OS X), le tableau de la MozillaZine Knowledge Base vous renseignera (si vous ne comprenez pas l’anglais, contentez vous de regarder le tableau, et si vous vous trouvez dans le méchant cas où il y a %APPDATA%, utilisez la fonction exécuter de votre système d’exploitation pour trouver l’emplacement de %APPDATA%).

Le “dossier Mozilla” contient les dossiers de différentes applications Mozilla. En règle général le dossier de Firefox s’appelle tout simplement “firefox”, mais il peut y avoir des exceptions (surtout si vous avez ou avez eu plusieurs versions installées). J’ai par exemple installé Mozilla Firefox 3.5.2pre (“nom de code” : Shiretoko) depuis les dépôts backports d’ubuntu 8.04 LTS Hardy Heron (en fait j’utilise kubuntu avec kde 3.5), et j’ai depuis le droit à un dossier “~/.mozilla/firefox-3.5/” en plus de “~/.mozilla/firefox/” (logique j’ai deux versions différentes de firefox installées sur le même système).

Enfin le dossier des données de firefox contient lui-même différents dossiers : un pour chaque profil. Ces dossiers de profil peuvent avoir des noms tels que “vw9u87cq.default” ou “7r4m7slt.profile2″. Chaque dossier correspond à un profil différent, mais il se peut que vous n’en ayez tout simplement qu’un seul (c’est le cas de la plupart des gens qui ont un seul profil sélectionné par défaut au démarrage).

Sauvegarder le où les profils

L’opération de sauvegarde est simple : il suffit d’avoir une copie intégrale du dossier de profil (voire du dossier contenant tous les profils).

Vous pouvez faire une simple copie de dossier, ou créer une archive. Sous GNU/Linux, évitez toutefois de faire une copie brute vers un support au format FAT : ce type de système de fichier est totalement incapable de se souvenir des différents droits d’accès. Si vous utilisez une archive de type .tar (ou .tar.gz, .tgz, .tar.bz2, etc.) vous n’aurez pas de soucis.

Pensez également qu’une sauvegarde de profil contient pas mal d’informations (dont éventuellement des mots de passe) : vous ferez donc attention à ne pas mettre ça sur un supporta accessible par le premier venu à moins de prendre des précautions en chiffrant les données (voire suite).

Restauration de profil

C’est toujours bien de faire la sauvegarde de ses données vitales, encore faut-il être capable de les restaurer.

Si vous n’avez que peu d’expérience ou si vous êtes hésitant, je vous conseille de faire une autre sauvegarde avant la tentative de restauration, pour être sûr de ne rien empirer.

Vous pouvez tenter la restauration du profil complet, ou bien ne prendre que certaines parties (voire suite) en n’utilisant judicieusement que certains fichiers de la sauvegarde de départ.

Pour plus de sécurité, si vous choisissez la restauration complète, je vous conseille de la faire de la manière suivante :

• création d’un nouveau profil depuis firefox (démarrage de firefox en ligne de commande si nécessaire avec les options “-no-remote -P”, et création du nouveau profil depuis l’interface de sélection)
• identification de l’emplacement du nouveau profil (vous aurez noté le nouveau dossier qui apparaît dans le dossier contenant les différents profils, en cas de doute/fausse manip supprimer le nouveau profil depuis l’interface et recommencer à l’étape précédente)
• fermeture de toute instance de firefox
• vidage intégral du nouveau dossier de profil (et pas d’un autre)
• recopie du contenu du dossier de profil sauvegardé dans le dossier que vous venez de vider

Cette méthode est présentée en Anglais dans un article de la MozillaZine Knowledge Base.

Pour la restauration sélective, plus de détails dans la suite…

Sauvegardes/restaurations sélectives depuis l’interface graphique

En ce qui concerne les réglages, au pire pour les personnes inexpérimentées il reste la bonne vieille méthode : tous les recopier sur papier, ou utiliser copies d’écrans+copier/coller.

Les marques-pages (bookmarks) peuvent eux être sauvegardés et restaurés avec les fonctions d’exportation et d’importation du gestionnaire de marques-pages. Suivant la version, Firefox peut même effectuer de façon automatique une sauvegarde (en local, dans le dossier de profil) de vos bookmarks que vous pouvez ensuite réutiliser aisément.

Pour les mots de passe, cela se complique : il n’y a pas de façon native des fonctions d’import/export facilement accessibles. Il est toujours possible de regarder la liste et de copier ça sur une feuille de papier (attention toutefois à la sécurité… personnellement je préfère ne jamais le faire) ou de faire des copies d’écran (même remarque et toujours peu pratique à la “restauration”).

Il existe aussi des extensions (Add-ons) permettant d’exporter les mots de passe dans un fichier CSV ou XML, puis de les restaurer, le tout depuis fierefox avec une interface conviviale : par exemple Password Exporter.

Ceci-dit, aussi agréable que peut être une belle interface par rapport à une ligne de commande, cela a un gros inconvénient : une succession de clics de souris ça prend du temps et ça se scripte (s’automatise) très mal.

Sauvegardes et restaurations judicieuses des bons fichiers

Au contraire de la méthode consistant à passer par l’interface, la méthode consistant à aller chercher les bons fichiers est naturellement moins intuitive, à déconseiller au débutants, et pire, un changement de version peut impliquer des changements dans les fichiers à sauvegarder.

Cela dit, au final, cela peut permettre de réaliser des scripts simples qui peuvent se révéler beaucoup plus efficaces et agréables (dans une utilisation courante) que la méthode des clics successifs depuis l’interface.

De plus, il devient même possible d’effectuer les sauvegardes sans même y penser (en planifiant l’exécution du script de sauvegarde).

La page de référence (en Anglais) pour les manipulations décrites ci dessous est l’article “Transferring data to a new profile – Firefox” de la MozillaZine Knowledge Base.

Sauf indication contraire, les fichiers décrits ci-dessous se trouvent à l’intérieur du dossier de profil (voir indications précédentes).

Fichier(s) contenant les marques-pages (ou bookmarks) de Mozilla Firefox

Les marques-pages de Mozilla Firefox sont contenus dans un fichier dont le nom varie suivant les versions du navigateur :

• Sous firefox 2 : le fichier contenant les marques-pages est logiquement nommé bookmarks.html : il ne contient que les marques-pages (l’historique de navigation de firefox est conservée dans le fichier history.dat).
• Sous firefox 3, marques-pages et historique de navigation sont conservés dans le même fichier places.sqlite. Si vous ne souhaitez sauvegarder que les marques-pages, il vous faut vous assurer que l’historique de navigation est vide au moment de faire la copie du fichier.

(Notez que bookmarks.html peut continuer à exister en plus sous firefox 3 mais il n’est à priori pas mis à jour.)

En plus du fichier principal contenant les marques-pages, firefox conserve des copies de secours éventuelles en cas de problème.

Ces copies de secours sont conservées dans le sous-répertoire bookmarkbackups. Si vous souhaitez simplement restaurez les marques-pages depuis une sauvegarde faite par vos soins, il n’est pas indispensable d’avoir le contenu de ce dossier.

La sauvegarde ou la restauration des données se fait de façon simple, respectivement en copiant le fichier ailleurs ou en écrasant le fichier actuel avec la version que l’on veut récupérer.

Si vous avez besoin de ne restaurer qu’une partie ou de conserver les marques-pages présents avant restauration, créez simplement un nouveau profil et déplacez-y le fichier contenant le contenu à restaurer. Ensuite, utilisez des deux côtés (par sécurité) les fonctions d’export intégrés à firefox et importez au profil cible le contenu manquant.

Fichiers contenant les mots de passe de Mozilla Firefox

Pour sauvegarder les mots de passe de Mozilla Firefox, il vous faut sauvegarder un couple de fichier : key3.db et soit signons2.txt, soit signons3.txt (ou même signons.txt, suivant les versions).

Le fichier key3.db contient une clé avec laquelle les mots de passe contenus dans le fichier signons(num).txt sont chiffrés. Si vous n’avez pas les deux fichiers vous êtes coincés. Il vous faut bien sûr en plus la connaissance du mot de passe maître (ou Master Password) qui garantit la sécurité de l’ensemble des mots de passe stockés par firefox.

Lorsque vous sauvegardez, vous sauvegardez le tout, et de façon logique lorsque vous restaurez vous restaurez le tout.

Considérations diverses

Fiabilité des sauvegardes

Prennez toutes les précautions qui vont de soit concernant la fiabilité nécessaire à vos sauvegardes.

La première règle avec les sauvegardes est probablement de penser à les faire (et de les faire).

Ensuite, il va de soit que vous devez toujours avoir une sauvegarde récente sur un support à l’extérieur de votre PC. Le reste dépend surtout de votre niveau d’exigence et de la valeur que vous accordez à vos données.

Assurer que vos données restent connues de vous seules

Vos sauvegardes peuvent contenir des données qui doivent rester exclusivement entre vos mains (en particulier pour les mots de passe).

Le mieux à mon sens reste de chiffrer vos sauvegardes avec un système de chiffrement réputé fiable.

À titre personnel, dans mes scripts, j’utilise la commande tar les données sauvegardées ne vont pas directement vers un fichier mais vers un tuyau (ou pipe) qui est reçu par la commande gpg. Les données sont donc chiffrés à l’aide de ma clé publique (et j’ai bien entendu à plusieurs endroits des sauvegardes de ma clé privée, chiffrés à l’aide d’un chiffrement cette fois-ci symétrique contrôlé par passphrase).

Dans vos scripts (sous bash, interprétateur de commande courant sous GNU/Linux) la ligne faisant le gros du travail de sauvegarde des mots de passe peut ressembler à :

pushd ~/.mozilla/firefox/ \
&& tar -cvvz */signons* */key* \
| gpg \
-ae -R KEY_ID -o \
/path_to_backup_dir/firefox_passwords_$(date_ok_in_filenames.sh).tar.gz.asc \
&& popd

Il vous faut remplacer KEY_ID par l’identifiant de votre clé publique. $(date_ok_in_filenames.sh) est simplement un de mes scripts qui renvoit la date et l’heure courante sous un format qui convient pour les noms de fichiers.

Vous pouvez simplement remplacer cette partie par $(date +%Y%m%d_%H%M%S).

Bien entendu ceci n’est qu’un exemple qui doit être adapté.

Vérifiez que vos scripts fonctionnent (et ce régulièrement)

Si vérifier une première fois que ce que vous faites fonctionne parait une évidence, ici il faut même le faire assez régulièrement.

En particulier :

• vérifiez que le nom des fichiers contenant les données voulues ne changent pas avec une mise à jour de firefox (voir la référence (en anglais) sur kb.mozillazine.org)
• si vous réinstallez une autre version de firefox en plus, il se peut que le dossier contenant les données change, voire qu’il y en ait plusieurs (ce fut le cas pour moi lorsque j’ai installé firefox 3.5 depuis les dépôts backports).

Conclusion

Avec un tout petit peu de travail à la base, la sauvegarde de vos données importantes de vos profil Mozilla Firefox devient un jeu d’enfant.

Rassurez-vous cependant, mettre en place mes scripts que j’utilise pour faire la sauvegarde m’a pris bien moins de temps que d’écrire cet article.

Et vous, avez-vous déjà eu besoin de restaurer une sauvegarde des données de Mozilla Firefox? (Et le cas échéant, la question qui peut faire mal, avez vous bien eu une sauvegarde récente à votre disposition?)

Pourquoi et comment sauvegarder les données vitales de votre Firefox (mots de passes et marques pages)
(fr) Commenter cet article - Partager - Lire un autre article (Blog de David Dallet)
(en) Comment this post - Share It - Read another post on David Dallet's Weblog

Ce post traite de la façon d’optimiser simplement le référencement d’un site, en utilisant WordPress et ses plugins.

WordPress

Le logiciel libre WordPress (site officiel WordPress.org, en anglais) est un système de gestion de contenu (Ou CMS en anglais pour Content Management System). Son usage le plus courant est de servir de moteur de blog, mais il est tout à fait envisageable de s’en servir pour créer des sites ne ressemblant pas vraiment à des blogs.

WordPress est très probablement le moteur de blog le plus utilisé par ceux qui gèrent eux-mêmes leur blog sans passer par une plate-forme (telle que blogspot, typepad, et souvent pour les très très jeunes skyblog). Toutefois, certaines plateformes d’hébergement de blog utilisent également le logiciel libre WordPress (ou sa version WordPress MU) : c’est bien sur le cas de WordPress.com, mais aussi le cas des blogs offerts aux abonnés du journal Le Monde, et de bien d’autres. De nombreux hébergeurs Internet proposent souvent également une installation de WordPress en quelques clics.

WordPress fournit, en intégré, une richesse énorme en terme de possibilités et de fonctionnalités. Toutefois, il arrive que l’on souhaite un peu plus : pour cela on utilise des plugins. Grâce à ces plugins, vous pourrez par exemple disposer de fonctionnalités spécifiques qui ne sont pas forcément utiles à tous les utilisateurs de WordPress.

Parmi les logiciels libres concurrent de WordPress, le plus connu est probablement DotClear, surtout utilisé pour des blogs francophones.

WordPress (de base) et SEO

L’acronyme SEO (Search Engine Optimization) désigne l’optimisation d’un site ou de pages afin d’être facilement trouvé par un moteur de recherche (en particulier Google).

Sans même à avoir à installer le moindre plugin, il est possible de faire quelques optimisations.

Le pré-requis indispensable : autoriser l’indexation

Il vous faut bien sûr vérifier que vous n’avez pas de fichier robots.txt (statique ou généré dynamiquement par le serveur) pouvant faire obstacle à l’indexation de votre blog.

Ensuite, vérifiez que l’option d’autoriser l’indexation par les moteurs de recherche (“Settings/Privacy”) est activé. Dans le cas contraire, des balises meta pourraient empêcher l’indexation de votre blog.

Ping XML RPC

Ce réglage permet de notifier certains services que des nouveaux posts sont présents. Un lien vers votre post pourra apparaître dans des sites comme weblogs.com et cela peut aider quelques robots d’indexation à prendre connaissance de votre site.

Néanmoins, les effets en terme de visites apportées ou d’indexation par Google sont souvent très limités. Cela semble donc être un plus à prendre sans pour autant être une optimisation majeure.

Un réglage courant pour prendre ce plus est d’avoir http://rpc.pingomatic.com/ dans “Settings/Writing/Update Services”.

Titres et contenu

Cela va sans dire, mais le titre et le contenu auront une influence capitale sur le référencement naturel et sur la capacité à être trouvé par un visiteur.

Même si il est possible d’utiliser certains outils pour améliorer les termes employés (le générateur de mots clés de Google Adwords ou Google Keyword Tool est par exemple souvent utilisé à des fins de SEO), je vous conseille néanmoins de faciliter la lecture par des humains. Essayer d’être “bien vu” par des robots est certes utile, mais au final vos lecteurs ciblés restent humain. Ce sont souvent ces lecteurs humains qui, si ils sont satisfaits, pourront être la cause de liens entrant sur des pages à bon PageRank, et bénéficier de ces liens accroîtra vos résultats.

Ne sacrifiez donc pas la qualité de ce que vous créez pour rajouter une tonne de mots clés.

Par ailleurs, votre contenu doit de préférence être original : lorsque Google a plusieurs fois le même texte, il a une forte tendance à ne l’indiquer qu’une seule fois dans les résultats. Ce phénomène est connu sous les termes de Duplicate Content(terme anglais signifiant contenu dupliqué). N’hésitez pas toutefois à placer votre contenu sous licence libre : Google semble bien s’en tirer pour indiquer très souvent le contenu original en bonne position (et vous y gagnerez en lien entrants).

Optimiser les URLs de vos posts (permalinks)

Voici quelques exemples possibles pour l’URL (fictive) d’un post :

• (1) http://www.example.net/blog/index.php?p=1984
• (2) http://www.example.net/?p=1984
• (3) http://www.example.net/blog/2010/12/25/creer-vos-cartes-de-voeux
• (4) http://www.example.net/blog/2010/12/creer-vos-cartes-de-voeux
• (5) http://www.example.net/blog/2010/12/25/p1984-creer-vos-cartes-de-voeux
• (6) http://www.example.net/creer-vos-cartes-de-voeux
• (7) http://www.example.net/p1984-creer-vos-cartes-de-voeux

Il va sans dire que la première URL a moins belle allure que les URLs (3) à (7).

Bien choisir le réglage permet d’aider à ce que les moteurs de recherche perçoivent bien quels mots vous souhaiter cibler. Cela a également une influence sur le visiteur humain lorsqu’il voit l’adresse (dans les résultats de Google ou même en dehors de tout moteur de recherche).

Le choix d’inclure ou non la date est également un choix stratégique : d’un côté cela donne au visiteur une information utile avant même qu’il visite votre site, de l’autre en incluant la date vous prenez le risque de dissuader (consciemment ou inconsciemment) certains visiteurs potentiels de jeter un coup d’œil à des posts jugés trop anciens.

Suivant les versions de WordPress, et le nombre de post, il peut toutefois être conseillé (dans des buts de performance du serveur) d’inclure autre chose que le titre dans le permalink.

Bref, ce choix est complexe, et la référence (en anglais) vous aidera à bien choisir le réglage dans “Settings/Permalinks”. N’oubliez pas de vérifier que les réglages de votre serveur web sont bien compatibles avec votre choix.

Pingbacks/Trackbacks

Cela n’est pas souvent du SEO à proprement parler (à moins que les sites les recevant ne pratiquent pas le “nofollow”), mais bien utilisé cela peut vous permettre d’avoir un peu de trafic en plus sur votre site.

L’usage général et approprié est d’indiquer votre post comme une réponse à d’autres posts (un peu comme les commentaires, sauf que vous répondez sur votre propre blog et que sur le post auquel vous répondez on ne voit en général qu’un court extrait).

N’en abusez pas toutefois : le “spam” est toujours mal vu et avoir une réputation de spammeur ne vous aidera pas à obtenir spontanément des liens externes provenant de sites et blogs “influents” en terme de PageRank.

Indexation : WordPress seul c’est bien, avec plugin c’est mieux…

Comme indiqué plus haut, il y a pas mal de paramètres influençant l’indexation avant même d’installer le moindre plugin.

Toutefois, pour aller (beaucoup) plus loin, les plugin vous seront utiles.

Titres et balises meta : un coup de pouce avec All In One SEO

Bien choisir le titre (balise title en html/xhtml) et le contenu de la balise meta description est sûrement une des mesures les plus efficace en terme d’optimisation pour les moteurs de recherche.

Notez qu’il ne faut pas confondre titre de l’article avec titre de la page html générée (ou balise title). Par exemple, la balise title contient en général également le nom de votre blog. Ce n’est pas forcément les grosses lettres en haut du post mais plutôt ce qui est souvent ajouté à la barre de titre de votre navigateur. Le contenu de la balise title est généralement le titre dans les résultats Google.

La description s’affiche souvent sous Google à la place d’extraits correspondant aux termes recherchés. Bien soigner votre description permet d’indiquer aux moteurs de recherche les termes sur lesquels votre article accorde de l’importance.

N’en faites cependant pas une soupe de mots-clés : non seulement ça peut être mal vu (et pénalisé) par Google, mais en plus une description naturelle et agréable à lire peut attirer le clic et permettre de se distinguer des autres résultats.

Pour tout cela, le plugin All In One SEO vous sera d’une aide précieuse.

Plugin XML Sitemaps : indexation rapide (même sans lien entrant)

Vous connaissez le principe des Sitemaps XML?

En gros cela consiste à avoir un fichier recensant (pour un site quelconque, pas forcément un blog) la liste des pages présentes (enfin leur URL), leur date de dernière modification, leur valeur relative (par rapport aux autres pages du site), etc…

Cela aide considérablement les moteurs de recherche, car dès qu’ils accèdent au fichier Sitemaps, ils peuvent déterminer quelles pages méritent le plus d’être visitées (par le moteur) : ainsi ils peuvent raréfier les visites des pages non modifiées et découvrir facilement une liste de pages nouvelles ou mises à jour.

Mais cela n’est pas tout : vous pouvez aussi “pinger” les principaux moteurs de recherche avec l’adresse de votre ou vos Sitemaps : cela permet de leur signaler des Sitemaps qu’ils ne connaissent pas encore, ou de leur dire que le Sitemaps a été mis à jour.

N’espérez pas manipuler le PageRank d’une page grâce à votre ou vos Sitemaps, mais en revanche vous pouvez espérez avoir plus de pages indexées (car les robots d’indexation savent où les trouver).

Donc en gros, ce n’est pas la peine d’espérer être premier sur un mot-clé ultra visé uniquement à l’aide d’un fichier Sitemaps, mais si vous produisez du contenu textuel unique, vous pourrez probablement obtenir quelques visites d’internautes ayant cherché une expression un peu plus complexe pour peu que votre texte s’en rapproche bien.

Pour gérer facilement les Sitemaps sous WordPress, n’hésitez pas à installer le plugin Google XML Sitemaps Generator for WordPress créé par Arne Brachhold.

Il gère de façon native la construction du Sitemaps (compressé ou non, en plus il y a une feuille de style associé au fichier XML), et la soumission à Google (semble OK tout le temps), Yahoo (sous réserve de s’inscrire gratuitement au service Yahoo pour avoir une clé), Bing (ex. Live Search, le malheureux moteur de recherche de Microsoft qui change souvent de nom) et Ask.com (pour des raisons que j’ignore, la soumission me semble échouer une fois sur deux sur ce moteur, néanmoins c’est mieux que rien).

En ce qui concerne les réglages de ce plugin, n’hésitez pas à désactiver la construction en arrière plan (“background process”) si vous constatez des erreurs avec votre hébergement. Par ailleurs, je conseille de désactiver le calcul automatique de priorité des posts, sauf si le nombre de commentaire reflète vraiment l’importance de vos posts. (Vous pouvez aussi le laisser activer mais en augmentant la priorité minimale pour réduire l’influence du nombre de commentaire…)

Pour avoir fait quelques tests, j’ai pu constater qu’il est possible d’indexer ainsi rapidement (dans les heures qui suivent) un blog totalement nouveau et sans aucun lien entrant.

De plus, bien qu’il y ait des similarités de principe, cela semble être d’une efficacité bien supérieure à celle de la fonctionnalité intégrée à WordPress de ping XML RPC (voir plus haut).

Conclusion

WordPress (tout comme d’autres logiciels libres comme DotClear, Drupal, etc) dispose de pas mal d’atout en terme d’optimisation pour les moteurs de recherche.

Choisir les bons réglages et utiliser les bons plugins vous facilitera la vie si vous souhaitez indexer au mieux votre site.

Néanmoins, puisqu’on parle de SEO, je rappelle qu’il existe des pratiques mauvaises et peu recommandables (ayant surtout pour but d’augmenter le PageRank). Ne les utilisez pas et respectez les conseils de qualité fournis par les moteurs de recherche, cela diminuera grandement le risque de vous prendre des pénalités que peuvent infliger les moteurs de recherche. Par ailleurs méfiez vous de tout prestataire vous promettant des résultats en terme de Ranking (classement) : les bons professionnels proposent généralement audit de référencement et suggestions de modifications de votre contenu tandis que certains aux pratiquent douteuses suggèrent qu’ils peuvent vous obtenir un fort trafic et/ou une bonne place sans rien changer à votre site.

Si des optimisations (et une promotion correcte de votre site) peuvent aider, rappelez vous que le succès de votre site repose de façon conséquente sur son contenu.

WordPress + plugins : la bonne indexation simplifiée
(fr) Commenter cet article - Partager - Lire un autre article (Blog de David Dallet)
(en) Comment this post - Share It - Read another post on David Dallet's Weblog

You have to know what is hotlinking (or “direct linking” or “inline linking”) and you should have some web hosting related skills. I’ve written a more detailed post in French.

Before choosing to use this method, you have to be sure that you did your possible to contact the webmaster of the infringing site to explain the problem. You have to identify (or at least verify) each infringing website manually (using your logs) : don’t rely on a too simple .htaccess Apache mod_rewrite rule if it may cause problems to readers accessing you rss/atom feeds through Google Reader, Netvibes, or any Web-based aggregator.

Well known methods

Well known methods using .htaccess include :

• forbidding users to get the image/ressource if the browser send a referrer associated to the infringing website
• replacing the picture with another one : you can alert the readers of the infringing website

The 401 HTTP Status Method

You can easily use the 401 HTTP Status to send a message to visitors of the infringing website.

The PHP code follows :

<?php
  header('WWW-Authenticate: Basic realm="Go to http://hotlinking.example.net/ (abusive use of our content/hotlinking issue)"');
  header('HTTP/1.0 401 Unauthorized');

You may use a .htaccess Apache mod_rewrite rule to execute the PHP code to answer requests associated to the specific referrer field.

The result looks like that (in firefox) :

Demo

You can view how you browser reacts to the previous 401 HTTP Status by visiting this demo post (use password “iwanttotest”, without quotes).

Abusive Hotlinking : How To Answer Efficiently Using Apache+PHP (When No More Discussion Is Possible – 401 HTTP Status Method)
(fr) Commenter cet article - Partager - Lire un autre article (Blog de David Dallet)
(en) Comment this post - Share It - Read another post on David Dallet's Weblog

C’est spécifiquement à la lutte contre le hotlinking (qui peut nuire à votre bande passante et à vos ressources serveur) que ce post s’intéresse. Les exemples donnés font référence à une configuration de serveur HTTP avec Apache+PHP.

Rappels sur le hotlinking

Hotlinking, direct linking, inline linking, kesako?

Selon Wikipédia (version à la création du post): “Le direct linking ou hotlinking consiste à utiliser l’adresse d’un fichier publié sur un site web, le plus souvent une image, pour l’afficher sur un autre site, sur un blog, dans un forum, etc. En d’autres termes, au lieu d’enregistrer l’image et de l’installer sur son propre serveur web, le hotlinkeur crée un lien direct vers le serveur d’origine.”

C’est par exemple si un webmaster gérant le site http://site1.example.net/ insère une balise de type <img src=”http://autre-site.example.com/picts/useful-picture.png” alt=”texte alternatif” /> pour insérer sur son site une image hébergée sur un autre serveur.

Ainsi, pour fournir l’image lorsqu’un visiteur est sur site1.example.net, c’est bien le serveur de autre-site.example.com qui donne sa bande passante et qui consomme des ressources (CPU, mémoire, etc…).

Est-ce correct d’hotlinker?

La réponse à cette question est variable suivant les situations.

Si vous n’avez pas l’autorisation (explicite ou implicite), vous devez considérer que cela n’est pas correct. C’est au minimum du vol de bande passante.

Notez qu’une licence libre n’autorise pas à hotlinker. Ce n’est pas parce qu’un site vous autorise à copier son contenu qu’il vous donne le droit d’utiliser de n’importe quelle façon les ressources de son serveur. Un exemple où cette distinction est clairement indiquée est Wikimedia commons (en anglais).

Par autorisation “explicite” j’entends les cas où un site vous autorise explicitement à hotlinker, par “implicite” je désigne les cas courants (bannières de soutien, etc…) où un site vous donne par exemple du code qui, utilisé sur votre site, fera du hotlinking.

Hotlinking et méthodes similaires

Il peut être mal vu également d’utiliser les cadres (frames, i-frames) pour afficher une page extérieure sans l’autorisation du propriétaire du site.

C’est très variable suivant les utilisations. Si vous pensez que votre utilisation est légitime, essayez au minimum de fournir un lien permettant d’afficher la page tierce en dehors de tout cadre (frame). Par ailleurs pour le visiteur il ne doit y avoir aucune ambiguïté.

(Des exemples d’utilisation corrects incluent certains moyens d’échange de liens sur réseaux sociaux. Le plus connu est volontairement non cité.)

Détection du hotlinking abusif

Certain vous diront que c’est simple…

Le hotlinking produit, dans la très grande majorité des cas, des traces aisément détectables sur le serveur sur lequel se trouve l’image ou la ressource accédée.

En effet, la grande majorité des navigateurs incluront dans leur requête au serveur, l’information “Referrer” qui indiquera quelle page a fait référence à l’objet. Notez que cette en-tête est le même que lorsque le visiteur accède à une page en utilisant un lien provenant d’une autre page.

La détection peut donc se faire très souvent en observant le champ referrer dès que la ressource accédée n’est pas une page web.

Dans un fichier de log provenant d’Apache, cette information est usuellement reprise dans une des colonnes (selon configuration). Pour le fichier .htaccess et les RewriteCond, il vous faudra utiliser la variable HTTP_REFERER.

RSS, Atom, et tant pis pour la détection automatique

Le souci avec ce qui est marqué au dessus, c’est que dès que vous avez un flux rss ou atom, les lecteurs de flux en lignes en ligne (ou web-agrégateurs, en gros Google Reader, Netvibes et les concurrents) feront aussi envoyer par le navigateur du visiteur un champ referrer faisant penser à du hotlinking.

Cependant, dans ce cas l’utilisation est légitime (il n’y a pas de raison de considérer déloyal le fait d’utiliser un lecteur de flux en ligne plutôt qu’une application spécifique).

De plus, on ne peut pas connaître la liste des sites faisant office de lecteurs de flux en ligne (pour la bonne raison que chacun peut en installer un sur son site si cela lui plaît).

Je ne peux donc que déconseiller (pour les sites ayant un flux) les méthodes qui visent à faire un filtrage brut (et ici, exemple du très connu blog presse-citron) pour contrer de façon automatisée les hotlinkers.

Donc au final, on fait comment pour détecter?

Je conseille de faire de la détection après coup, en examinant régulièrement les fichiers de logs.

Le schéma de la méthode est le suivant :

• Commencez par extraire de façon automatique les lignes correspondants à du possible hotlinking (avec le HTTP_REFERRER, uniquement pour ce qui n’est pas une requête de page web).
• Supprimez tout ce qui correspond à un lecteur de flux en ligne connu.
• Triez les cas par ordre décroissant de requêtes (ou de bande passante utilisée) : autant vérifier en priorité (ou uniquement) ce qui vous consomme le plus de ressources…
• Rendez vous sur les sites mentionnés pour vérifier manuellement.

Une fois que vous avez détecté du hotlinking abusif

Contacter, Vérifier, etc.

Souvent, le webmaster responsable de hotlinking ne le fait pas volontairement. Pensez donc à prendre contact et à vérifier qu’il s’agit vraiment de hotlinking abusif avant d’utiliser les méthodes les plus radicales…

Dans la suite on supposera que vous connaissez la source du hotlinking, et que vous avez fait les vérifications nécessaires.

Agir : Méthode 1 : Remplacement d’images

Je considère ça comme étant une méthode soft. Il s’agit de remplacer l’image par une autre pour avertir le lecteur de la page du site fautif. Le blog presse-citron donne un peu plus de détails à ce sujet…

Cette méthode étant classique et facile à mettre en œuvre, je ne la détaille pas plus.

Agir : Méthode 2 : Refus de délivrer l’image

Pareil : simple et classique. Ça a l’avantage d’économiser de la bande passante, par contre ce n’est pas très dissuasif…

Agir : Méthode 3 (quelque peu plus offensive) : Utilisation du statut HTTP 401 (lié à l’authentification)

Cette méthode est à la fois économe en bande passante et très dissuasive.

Au lieu de donner l’image (ou autre ressource), une autre image, ou de refuser directement de la donner, il est possible de demander au visiteur de la page du site fautif de “s’identifier” auprès de votre serveur (qui contient la ressource accédée de façon douteuse).

En fait, il ne s’agit pas d’attribuer un login+mot de passe à la ressource, mais simplement de faire afficher au navigateur une belle boite bien visible contenant un message de votre choix. Message qui bien entendu n’a aucune obligation d’être du goût du webmaster commettant des abus (enfin respectez la loi et n’insultez pas injustement non plus…).

Pour cela, il suffit de mettre dans votre fichier .htaccess une règle correspondant à l’accès interdit (correctement identifié) pour rediriger vers un fichier php contenant le code suivant (à modifier à votre guise) :

<?php
  header('WWW-Authenticate: Basic realm="Go to http://hotlinking.example.net/ (abusive use of our content/hotlinking issue)"');
  header('HTTP/1.0 401 Unauthorized');

L’effet est bien visible (au moins sur firefox) et est à mon avis quelque peu plus dissuasif qu’une image modifiée…

Vous pouvez voir une démo en visitant ce lien avec le mot de passe “iwanttotest” (sans guillemets).

Pensez bien entendu à créer sur votre site une page expliquant le problème du hotlinking et à pointer vers elle dans le code précédent modifié.

Conclusion

Le hotlinking abusif, c’est mal. Lorsqu’il est commis de mauvaise foi, il n’y a aucune raison d’hésiter à prendre les moyens nécessaires pour le contrer.

Plutôt que de prendre le risque de faire des victimes collatérales (ceux qui vous lisent à travers un lecteur de flux en ligne), je préconise de cibler après avoir vérifié manuellement. Par contre, je considère normal de taper fort lorsque c’est mérité. La méthode basé sur le statut http 401 (ci-dessus) me semble particulièrement adaptée pour cela.

Note: version (très résumée) en anglais.

Hotlinking / Pillage de contenu et de ressources : Méthode Apache+PHP radicale pour le contrer
(fr) Commenter cet article - Partager - Lire un autre article (Blog de David Dallet)
(en) Comment this post - Share It - Read another post on David Dallet's Weblog

This post is password protected. To view it please enter your password below:

Password:

Protected: Demo (see next posts for password)
(fr) Commenter cet article - Partager - Lire un autre article (Blog de David Dallet)
(en) Comment this post - Share It - Read another post on David Dallet's Weblog

Cependant, il est absolument indispensable de placer ce fichier à la racine. Comme l’explique le site de référence (en anglais), cela pose problème dans le cas où l’on ne contrôle qu’une partie du site (par exemple tout ce qui commence par http://domain.example.net/~username/) et qu’on ne peut pas placer de fichier à la racine.

Or avec les offres ovh mutualisés, un même site peut souvent être disponible depuis plusieurs URLs.

Par exemple, j’utilise un 90plan, et le site principal était par défaut accessible par les URLs suivantes :

• http://www.ddmdllt.org/ : l’adresse principale
• http://90plan.ovh.net/~ddmdllt/
• https://ssl2.ovh.net/~ddmdllt/

Les deux dernières URLs étaient donc insensibles au fichier robots.txt (http://90plan.ovh.net/~ddmdllt/robots.txt ne sert à rien par exemple).

Il y a plusieurs solutions face à ce “problème” :

• utiliser la balise meta pour appliquer document par document un “noindex” (ne peut pas fonctionner pour tous les types de documents…)
• se passer des URLs commençant par http[s]://90plan.ovh.net/ et http[s]://ssl2.ovh.net/

J’ai choisi cette deuxième solution, facile à mettre en œuvre avec le fichier .htaccess, pour tout rediriger vers http://www.ddmdllt.org/ à l’aide d’une redirection de type 301/302.

Pour ce faire, j’ai simplement ajouté le code suivant en fin du .htaccess :

RewriteCond %{HTTP_HOST} ^90plan\.ovh\.net$ [NC]
RewriteRule .* http://www.ddmdllt.org/ [L,R=301]

RewriteCond %{HTTP_HOST} ^ssl2\.ovh\.net$ [NC]
RewriteRule .* http://www.ddmdllt.org/ [L,R=301]

Et c’est réglé.

Mutualisé ovh : lorsque le robots.txt ne suffit plus
(fr) Commenter cet article - Partager - Lire un autre article (Blog de David Dallet)
(en) Comment this post - Share It - Read another post on David Dallet's Weblog

Je viens un peu au hasard de tomber sur diverses sources indiquant qu’une des version de Windows Seven (Starter Edition), aurait une limitation à trois applications à la fois…

Je vous laisse jeter un coup d’œil au deux liens pour voir en images ce que ça pourrait donner si on essaie d’ouvrir une quatrième application… Restons en au fond, même si il m’est difficile de garder un ton sérieux à la lecture d’une telle nouvelle…

Mon premier point de vue de libriste convaincu, à chaud

Vouloir implémenter des restrictions plus stupides les unes que les autres, pour faire acheter une version plus chère, c’est typique du logiciel propriétaire. Chez Microsoft, ils en arrivent visiblement à montrer ouvertement qu’ils font du travail pour rendre leur produit moins agréable. Mais est-ce si nouveau?

Si ces limitations devaient être spécifiques des versions pour “pays pauvres”, comme l’indiquent les rumeurs, ce serait encore plus pervers. Les utilisateurs de pays “en voie de développement” n’ont nulle besoin d’une efficacité bridée artificiellement, au contraire.

Mais bon, je ne vais pas épiloguer sur la partie idéologique (voir logique tout court) de l’absurdité d’une telle décision. Par contre, j’avoue que ça éveille quelque peu ma curiosité sur la façon dont ils vont réussir à monter cette usine à gaz, sachant que du logiciel libre pour Windows, ça existe encore…

Trois applications à la fois? Sans aucun privilège? Dur d’y croire

Tenter de (re)définir l’application…

Définir ce qu’est une vraiment application n’est pas forcément une chose évidente à faire. Lorsqu’on sait qu’il n’y en aura que trois à la fois, on se dit que forcément on ne compte pas tout… De plus, le système d’exploitation ne voit pas les choses du même point de vue conceptuel que l’utilisateur : les seules définitions qui peuvent valoir ici sont celles compatible avec un comptage par un algorithme.

La définition d’application sera probablement bancale : hors de question de compter tout l’éco-système qui tourne en tache de fond sous un PC sous Windows. On est donc tenté de dire forcément : exit le comptage bête et méchant des processus, limité à trois ça ne tient pas.

Mais que pourront donc compter les algorithmes stupides intégrés à cette version particulière de Windows Seven?

Je serais tenté de dire : seulement les processus associés à une entrée sur la barre des tâches (et “avec le titre, pas juste l’icône en bas à droite”). C’est la seule définition (tordue) que je vois pour que les applications puissent tenter de faire un ménage à trois sur un PC sous Windows au 21ème siècle.

Zut, ça ne tient pas…

Et là, c’est le drame. En apparence, et si l’on fait attention de ne pas penser à tout, ça peut “tenir”. Mais c’est vraiment oublier certains scénarios possibles de l’usage courant d’un PC, y compris par des non-geeks.

Mademoiselle Michu Junior est lycéenne et doit faire un beau rapport dans une des matières qu’elle étudie (à l’époque où j’étais lycéen, c’était le cas en E.C.J.S. : Éducation Civique Juridique et Sociale).

Pendant 20 minutes, elle a réussi à se contenter des trois applications au maximum dans la barre des tâches : une encyclopédie, le navigateur Internet, et bien sûr le traitement de texte. Voyez quoi? J’arrive même à faire semblant de penser comme un utilisateur lambda!

Et là, le cas redouté arrive : une application “en sommeil” se manifeste : un(e) ami(e) ou un membre de sa famille, vivant sur un autre continent, tente de joindre Mlle Michu Junior à l’aide de Skype (logiciel propriétaire douteux, enfin passons…). Supposons que Skype a besoin de se réveiller et d’afficher sa fenêtre immédiatement (après tout, “un coup de fil” n’attend pas forcément de trouver une solution propre de fermeture d’une autre application) : on rencontre là un premier problème, sans réponse évidente.

Soit il y a un système de passe-droit (genre bon, toi tu as le droit de te réveiller et on ne te compte pas, ou alors on bloque “le prochain”), soit Skype est compté dès le lancement du processus (même s’il est en sommeil) auquel cas où il faut composer avec uniquement deux autres applications.

Des problèmes similaires se posent avec des logiciels de messagerie instantanée de type Windows Live Messenger, Pidgin, et autres… Mais faire tourner de tels programme sera t-il qualifiable de “confort non adapté à la version économique”?

Bon après tout… Pourquoi se poser trop de questions sur les exemples précédents alors qu’il y aura des exemples plus flagrants! Scénario un peu modifié : avec ses trois “programmes ouverts”, Mlle Michu Junior reste à la limite. Mais là c’est l’antivirus ou le pare-feu qui a besoin d’afficher une fenêtre pour une décision qui n’attend pas… Toujours convaincu qu’il sera facile de définir la limite de façon rigide?

Personnellement, tous ces exemples peu recherchés me laissent penser qu’il y aura forcément un système de passe-droit : certaines applications pourraient passer instantanément au premier plan sans attendre une fermeture d’application parmi les trois déjà lancées. (Enfin je suppose qu’il y a des limites à la “mauvaise pub” que Microsoft peut se permettre d’obtenir volontairement…)

Et le développeur de logiciel libre, il fait comment?

Supposons que par nécessité il y ait ce système de passe-droit. On arrive à un autre problème : soit le système d’exploitation bridé doit compter sur la coopération des applications pour ne pas “crever le plafond” de façon malicieuse (enfin dans l’intérêt de l’utilisateur), soit le système doit définir une “liste blanche” d’applications autorisée (par exemple grâce à un système de signature numérique d’application).

Le procédé de la liste blanche – dès maintenant et rien que pour ça – serait quand même un peu gros, même si Microsoft et l‘informatique de confiance/défiance peuvent être bons amis…

Il reste la solution de faire confiance aux logiciels pour se plier volontairement à des règles absurdes. Et dès lors qu’un logiciel libre / open-source contient la recette pour dépasser la limite (on peut encore espérer que des logiciels libres de type antivirus, pare-feu ou messagerie instantanées arrivent à coexister avec cette version de Windows Seven), il est très difficile d’empêcher toute autre application se refuse à collaborer pour maintenir la limite.

Et si les solutions de contournement existaient déjà?

Petite note aux futurs commentateurs : même si l’on parle bien d’une future hypothétique usine à gaz déjà dépassée, les références au projet de loi HADOPI sont hors-sujets ;)

Revenons en aux choses sérieuses : il est possible de faire tourner Ubuntu depuis Windows (bien sûr je serais tenté de dire tant qu’à faire, passez vous de Windows). C’est légitime, et a priori pas trop compliqué. (Il est possible également d’utiliser des machines virtuelles…)

Le truc, c’est qu’il y a fort à parier que Windows Seven ne saura pas compter les applications réelles tournant sur ce Ubuntu. Il risque fort bien de considérer le tout comme étant une seule application, pour le plus grand bonheur de l’utilisateur.

Passons sur les éventuels problèmes de lourdeur et cela parait même un très bon choix : un bon nombre d’utilisateurs utilisent Firefox une bonne partie de leur temps, alors quitte à se faire “décompter” une application, il vaut peut être mieux que ça soit pour Firefox + l’ensemble des applications disponibles pour Ubuntu, non?

Pour conclure

Cette idée de limiter à trois “applications” me semble donc être non seulement une abération, mais également une source de gags. J’ai peut être passé un peu de temps à mettre en évidence quelques aspects, mais vous pouvez être sûr que chez Microsoft, le temps humain dépensé sera bien multiplié…

Windows Seven SE et ses 3 applications : Antivirus et clients IM en logiciels libres, possible?
(fr) Commenter cet article - Partager - Lire un autre article (Blog de David Dallet)
(en) Comment this post - Share It - Read another post on David Dallet's Weblog

• HADOPI est au cœur de l’info : Tuxfamily annonce des expérimentations sur le filtrage avec le projet VAlbanel
• Ne comptez plus sur Maitre Eolas pour vous défendre, il changera de place dans les salles d’audiences
• Google annonce CADIE (lien en Anglais), un projet lié à l’intelligence artificiel assez particulier
• Bientôt vous pourrez visiter lepremieravril.ovh
• Vous ne trouverez pas plus complet que cette liste, non vraiment pas!

UPDATE: Je ne pouvais oublier le partenariat Chtinux – Microsoft…

Poissons d’Avril 2009 (pour geeks)
(fr) Commenter cet article - Partager - Lire un autre article (Blog de David Dallet)
(en) Comment this post - Share It - Read another post on David Dallet's Weblog

(Example of web banner)

Visual appearance

• Color and tastes : You have your own judgement ;) But don’t forget that your banners may be used on very different pages. So it’s better to offer multiple choices!

The (x)html code

It’s good practice to provide high quality (x)html code that won’t break other people web pages.

The following is advice concerning the img element :

• Width and height attributes : Do not ommit them! It’s a shame when a page can’t render quickly just because the server providing one picture is too slow/busy.
• The “alt” attribute : It’s useful for blind people, useful when the picture can’t display, and useful for SEO (Search Engine Optimization). You have no excuse to forget it!
• Close the img element :use </img>. It’s html compliant, xhtml compliant and it works with nearly all web-browsers.

Hosting the banner

• Once a banner is available, avoid modifications : In particular, you should never modify the picture’s size because it may break something for people who have used the old code. You should avoid modifying the content too : people who have included your banner may don’t like if you modify what appears on their site without asking first. If you want to modify the picture, consider making a copy of it (under another filename) and then modify the copy.
• Availability of the picture over time : You don’t want that something breaks in the sites of people helping you, right?
• Consider encouraging people to use a local copy of the picture instead : It may help you to reduce traffic costs and some webmasters may prefer it. (Note: it reduces what you can log too, but you’re not very interested in gathering personal data, are you?)

Internet is not a paradise

If you use some banners that you’ve not done yourself, do check first (and fix?).

7 Tips For A Web Banner
(fr) Commenter cet article - Partager - Lire un autre article (Blog de David Dallet)
(en) Comment this post - Share It - Read another post on David Dallet's Weblog

Dans le .htaccess, et sous réserve d’une configuration apache qui s’y prête :

#L'IP est à modifier et celle invalide donné en exemple ne vise personne, bien entendu
RewriteCond %{REMOTE_ADDR} ^192\.168\.257\.256$
RewriteRule .* http://www.dailymotion.com/related/x73zwf/video/x73zzg_episode-3-de-dede-ca-va-couper-loi_fun [L,R=302]

Je vous laisse regarder la vidéo pour vous faire une idée de vers quelle page sera redirigé votre bien aimable visiteur ;)

PS: Il y a quelque chose de vraiment mal avec ça : un lien vers une vidéo utilisant flash…

Méthode alternative pour se débarasser d’un “relou des commentaires” à coup d’apache mod_rewrite
(fr) Commenter cet article - Partager - Lire un autre article (Blog de David Dallet)
(en) Comment this post - Share It - Read another post on David Dallet's Weblog

Amongst them, the most frequent are the 200 code (OK: no error), the 404 error (document not found) and the 301/302 redirections.
There is also the 401 status, which is used for HTTP Authentication.

The server may return the 401 status code when you try to access a page, but also when your browser try to access images embed in a page with the img tag. This blog post deals with some unwanted browser behaviour that may occur with “images” returning a 401 status code.

Scenario

What I try to study is just how the browser behave when it loads a page referencing an important number of “pictures” (xhtml/html img element) returning a 401 status code.

The 401 status code could either be intentional or result of a misconfiguration of the server hosting the pictures.

I focus here on testing with “images”, although CSS, external javascript code, [i]frames and a lot of other techniques are likely to have a similar effect.

Behaviour observed in Mozilla firefox 3.0.6 (running on kubuntu 8.04) and Epiphany 2.22

It’s not nice at all.

If there are 40 “images” returning a 401 status, there may be 40 username/password prompts. The number of prompts is not the real problem however.

A minor problem is that it is impossible to navigate correctly inside a page during a prompt, before pressing the “cancel” button. (Although you may think “well, this page contains references invalid images after all”, it is still a problem : for example if an annoying guy posts 200 [img] tags inside his post on a forum.)

A major problem is that it is impossible to access the browser menu or to switch tab before closing the 40 (or more…) dialog boxes. Any browser able to manage multiple tabs should be designed to avoid a “crash” (or an unusable state) when one or more tabs are associated with invalid content.

With other OSes, other browsers…

To be completed… Don’t hesitate to tell what you get, I’m waiting for your comments.

Doing the test

You may test your browser by visiting a test page on this blog at http://www.ddmdllt.org/weblog/posts/2009/02/27/firefox-problem-demo-password-protected/.

Warning : This page may obviously cause a bad behaviour from your web browser. Proceed at your own “risk”. You are likely to just have to click 10 times on “cancel” before being able to leave.

To avoid accidental visits, the post is password protected. The password is “iKnowWhatIAmDoing” (copy/paste, without the quotes).

(I noticed that some people tried to break the password. I’ll just say them that I don’t plan to use wordpress password protected posts to put private things here.)

A bug? So where is the bug report?

I’ve filled a bug report on launchpad. Since some people have told me that the problem appear with other OSes, it would be worth reporting it in other places… However, a discussion on the #firefox IRC channel (on freenode) learned me that this problem is known for a long time (and still not fixed). A very quick search on bugzilla show me that a related bug is reported at least since 2003.

Quotation (Comment #5 From Chris Casciano):

“at no point in the series of 10 dialogs can you interrupt, you just have to cancel through all 10. At 10 it becomes a chore, at 50 it becomes a denial of use.”

Your browser (for example firefox) and the management of HTTP 401 status/error code
(fr) Commenter cet article - Partager - Lire un autre article (Blog de David Dallet)
(en) Comment this post - Share It - Read another post on David Dallet's Weblog

This post is password protected. To view it please enter your password below:

Password:

Protected: Firefox problem (demo) : password : please read http://www.ddmdllt.org/weblog/posts/2009/02/27/browser-401-img-firefox-epiphany-others/
(fr) Commenter cet article - Partager - Lire un autre article (Blog de David Dallet)
(en) Comment this post - Share It - Read another post on David Dallet's Weblog

Différents trucs que j’ai vu (en vrac)

• la conférence d’ouverture “Welcome to FOSDEM“, le Samedi à 10h
• “Free, Open, Future?” dans la même salle et juste après
• (bien sûr pas mal de stands…)
• plusieurs conférences concernant Jabber/XMPP
• la conférence “What’s after Firefox 3.1“
• la conférence “Programming is fun with Qt“
• un bout de la conférence sur Oni, pour faire de la programmation concurrente en javascript
• les conférences “Rising to the Sun(bird)” et “Thunderbird 3“
• la conférence sur Ext4, animé par le très célèbre Theodore Ts’o
• un bout de la conférence “Help, my system is slow“
• (…)

Différents trucs que j’ai râté ou pas pu voir

• la Key Signing Party (GPG et Cacert) : faut mieux prévoir à l’avance que l’on compte y aller (voir les différents détails)
• la conférence “Google SoC” par la très célèbre Leslie Hawthorn (a notamment le titre de Google’s Open Source Program Manager)
• trop de trucs pour tout mentionner !

Deux points choisis parmi ce que j’ai relevé lors des conférences

• les projets Mozilla recherchent des développeurs et surtout des testeurs (il y a très peu de personnes dans la Quality Assurance pour l’instant)
• en 2003, environ 98% des visites des sites webs se faisaient avec l’horrible Internet Explorer, les choses changent !

Retour (tardif) sur le FOSDEM 2009
(fr) Commenter cet article - Partager - Lire un autre article (Blog de David Dallet)
(en) Comment this post - Share It - Read another post on David Dallet's Weblog

$ xrandr --output VGA --off

En principe cela coupe le signal de votre sortie VGA (ça se vérifie sur votre écran externe), que votre écran soit LCD ou CRT.

Il se peut que vous ayez à re-fixer la résolution virtuelle (écran virtuel par exemple plus grand que l’écran physique de l’eeepc). Voir à ce sujet la commande :

$ xrandr --fb 1024x600

N’oubliez pas de redimensionner les fenêtres le cas échéant (utilisez la touche Alt si nécessaire pour les déplacer).

Sinon, pour le reste, xrandr est une commande beaucoup plus puissante. Je m’en sert par exemple depuis longtemps pour gérer un affichage différent sur deux écrans. J’espère avoir un peu plus le temps de faire un topo dessus prochainement.

Tuyau rapide : désactiver la sortie écran sur l’eeepc (sous Linux)
(fr) Commenter cet article - Partager - Lire un autre article (Blog de David Dallet)
(en) Comment this post - Share It - Read another post on David Dallet's Weblog