Cela fait quelques que temps que je n'utilise plus Nginx Proxy Manager comme reverse proxy, mais uniquement pour le renouvellement automatique de quelques certificats Let's Encrypt isolés. Malgré tout, il y a quelques temps j'ai dû réaliser un upgrade de la base PostgreSQL17 vers PostgreSQL18 reliée à cette instance via docker. Voila comment je m'y suis pris (la méthode est applicable potentiellement à toutes vos petites instances PostgreSQL mono container que ce soit sur docker ou sur kube).
Cet article suggère que PostgreSQL peut à peu près tout faire et représente donc une solution idéale pour la majorité des boîtes dont les besoins en scalabilité (évolution de la charge) ne seront jamais suffisants pour justifier une infra plus complexe.
C'est l'idée de MVI : minimum viable infrastructure.
J'aime bien le côté pragmatique, même si ça implique, de fait, une très grande maîtrise de PostgreSQL.
Cet article suggère que PostgreSQL peut à peu près tout faire et représente donc une solution idéale pour la majorité des boîtes dont les besoins en scalabilité (évolution de la charge) ne seront jamais suffisants pour justifier une infra plus complexe.
C'est l'idée de MVI : minimum viable infrastructure.
J'aime bien le côté pragmatique, même si ça implique, de fait, une très grande maîtrise de PostgreSQL.
L’entreprise automobile indienne Tata Motors affirme avoir corrigé des vulnérabilités majeures qui exposaient des données internes sensibles, ainsi que celles de nombreux clients et partenaires commerciaux. La découverte provient d’un expert indépendant, Eaton Zveare, qui a mis au jour des failles dans E-Dukaan (le portail d’achat de pièces détachées pour véhicules utilitaires). L’enjeu dépasse la ... Lire plus
Quand je bossais comme consultant y’a genre 10 000 ans, je devais tracker le temps que je passais pour chaque client dans un fichier Excel. Et ça mes amis, c’était super chiant mais nécessaire. Après peut-être que vous de votre côté, vous n’êtes pas tropfliqué mais vous vous imposez l’envoi de messages Slack stratégiques juste avant de vous déconnecter, ou vous faites partir des emails à 23h pour montrer que vous êtes un esclave acharné du capitalisme ?
Bienvenue dans l’ère du grand théâtre de la productivité.
Après quand on est freelance ou qu’on essayer de bien équilibrer son temps de travail, c’est sympa aussi de pouvoir tracker ce qu’on fait en temps réel, pour nous-même, sans forcement que personne d’autre ne regarde.
Hé bien c’est exactement ce que propose
Neura Hustle Tracker
qui est un tracker de temps open-source, écrit en Rust, qui tourne dans votre terminal et stocke TOUT en local sur votre machine dans un PostgreSQL. Comme ça, aucune donnée ne quitte votre ordinateur.
L’idée, c’est donc de reprendre le pouvoir sur vos propres données de productivité en enregistrant automatiquement les applications que vous utilisez, le temps passé sur chacune, et afficher ça sous la forme de graphiques directement dans votre terminal.
Comme ça vous verrez le temps pharamineux que vous passez sur Korben.info ou Slack au lieu de vraiment bosser. Pour l’installer, ça marche sous Windows, macOS et Linux et ça peut tourner dans un Docker.
La doc est ici.
Vous pouvez même le lancer au démarrage de l’ordi, comme ça, le tracking démarre instantanément dès que vous commencez à bosser. Par contre, n’oubliez pas de le couper quand vous voulez faire un truc en dehors des radars hein ^^.
Le projet est encore jeune, mais il évolue rapidement. Adolfo, le développeur principal, a d’ailleurs récemment ajouté des commandes pour naviguer dans l’historique complet (touches h pour history et b pour breakdown) et améliore régulièrement la qualité des visualisations.
Voilà, donc si vous en avez marre que votre productivité soit transformée en KPI pour votre manager, et que vous voulez juste comprendre comment vous passez vraiment votre temps sans avoir à rendre de comptes à personne, Neura Hustle Tracker mérite le coup d’oeil. C’est gratuit, et c’est open-source !
Using Google bq CLI, the following command allows to get the top Pypi keywords from the bigquery-public-data.pypi.distribution_metadata table:
bq query --use_legacy_sql=false 'SELECT keyword, COUNT(*) as keyword_count FROM `bigquery-public-data.pypi.distribution_metadata`, UNNEST(SPLIT(keywords, ", ")) as keyword GROUP BY keyword ORDER BY keyword_count DESC LIMIT 100'
Attention, si vous laissez tourner WebGoat sur votre machine, elle sera “extrêmement vulnérable aux attaques”. C’est en tout cas ce qui est écrit en gros sur
la page de ce projet OWASP
, et c’est pas pour faire joli car WebGoat est une application web délibérément pourrie, truffée de failles de sécurité, créée exprès pour que cous appreniez à les exploiter.
Et c’est génial !!
Car on a enfin un truc qui nous permet d’apprendre vraiment comment les hackers s’infiltrent dans les sites web, sans risquer de finir au tribunal. Parce que bon, scanner le site de votre voisin pour “apprendre”, c’est direct trois ans de prison et 100 000 euros d’amende. Alors qu’avec WebGoat, vous pouvez tout péter tranquille depuis chez vous.
WebGoat
, c’est donc un projet open source maintenu par l’OWASP depuis des années qui vous propose uune application web qui ressemble à n’importe quel site lambda, sauf qu’elle est bourrée de vulnérabilités volontaires telles que des injections SQL, XSS, CSRF, contrôle d’accès défaillant… bref, toutes les saloperies du Top 10 OWASP sont là, prêtes à être exploitées.
Et WebGoat fonctionne comme un cours interactif car pour chaque vulnérabilité, vous avez trois étapes : d’abord on vous explique comment ça marche, ensuite vous devez l’exploiter vous-même via des exercices pratiques, et enfin on vous montre comment corriger le problème. On apprend en faisant !
D’après la doc officielle
, WebGoat couvre presque toutes les vulnérabilités du Top 10 OWASP. Pour ceux qui ne savent pas, le Top 10 OWASP c’est LA référence mondiale des failles de sécurité web.
Au sein de WebGoat se cache aussi WebWolf, une application séparée qui simule la machine de l’attaquant. Ça tourne sur le port 9090 pendant que WebGoat tourne sur le 8080, comme ça, vous avez vraiment la séparation entre ce qui se passe côté victime et côté attaquant. WebWolf vous permet également d’uploader vos payloads ou outils, de recevoir des données exfiltrées, et même de simuler un serveur mail pour les attaques de phishing.
Et pour installer tout ça, le plus simple c’est Docker :
docker run -it -p 127.0.0.1:8080:8080 -p 127.0.0.1:9090:9090 webgoat/webgoat
Ou si vous préférez la version standalone avec Java :
Une fois lancé, vous accédez à WebGoat sur http://localhost:8080/WebGoat et WebWolf sur http://localhost:9090/WebWolf. Vous vous créez un compte (c’est juste en local, pas de panique) et c’est parti pour les exercices !
Les leçons sont vraiment bien foutues. Prenez l’injection SQL par exemple. D’abord on vous montre comment une requête SQL mal protégée peut être détournée. Ensuite vous devez exploiter la faille pour voler des numéros de cartes bancaires (fausses, hein), et à la fin, on vous explique comment utiliser les
prepared statements
pour éviter ce genre de conneries.
Et n’allez pas croire que ça s’adresse uniquement aux pro. Non, les débutants ont des exercices guidés avec des indices, et les plus avancés ont des “challenges” sans aucune aide semblables à des CTF (Capture The Flag).
Et pour les développeurs, c’est vraiment un super outil pour comprendre pourquoi votre chef de projet vous casse encore les pieds avec la sécurité ! Car, croyez-moi, une fois que vous avez réussi à dumper toute une base de données avec une simple apostrophe dans un formulaire, vous ne regardez plus jamais les entrées utilisateur de la même façon.
Attention quand même, WebGoat n’est pas un jouet. Les techniques que vous apprenez sont réelles et fonctionneront sur de vrais sites mal sécurisés. D’ailleurs, l’OWASP est très clair là-dessus : “Si vous tentez ces techniques sans autorisation, vous allez très probablement vous faire choper”. Et n’oubliez pas, comme vous ne faites partie d’aucun parti politique, pour vous y’aura vraiment de la zonzon.
D’ailleurs, petite conseil, quand vous faites tourner WebGoat, coupez votre connexion internet ou au moins assurez-vous qu’il n’écoute que sur localhost, parce que si quelqu’un d’autre sur votre réseau découvre que vous avez une application volontairement vulnérable qui tourne… Disons que ça pourrait mal finir ;-).
Ah et WebGoat s’intègre super bien avec d’autres outils de sécurité. Ça permet du coup de se former aussi dans la foulée sur Burp Suite, OWASP ZAP, ou SQLMap.
Bref, installez WebGoat ce weekend et amusez-vous à tout casser. Vous m’en direz des nouvelles !!
Franchement merci beaucoup pour ces vidéos. J'ai maintenant fini de suivre tout le cours et c'est vraiment ce genre de cours que je cherchais depuis longtemps. C'est une explications simple mais très complète de la physique quantique. Il y a 'tout ce qu'il faut, sans être obligé d'apprendre le (ou les) formalisme mathématique qui décrit la mécanique quantique.Trop souvent je vois de la vulgarisation trop simpliste, ou alors il faut carrément fait un cours universitaires complet pour aller plus loin. Là il y a le juste milieu.
J'ai appris beaucoup, notamment des points que je n'avais jamais entendu auparavant, comme le fait que l'énergie n'existe pas vraiment au niveau quantique ! C'est une représentation émergente, avec des conditions de transformation. Wouah. Ça me questionne sur le formalisme mathématique que l'on utilise. On devrait aller au delà des équations et décrire la physique quantique avec du code informatique, comme pour les transformations avec la conservation de l'énergie, on place les conditions pour garantir la conservation de l'énergie.
Puis j'ai découvert avec votre magnifique explication de l'expérience d'Alain Aspect que la non localité n'est pas la seule conclusion que l'on peut faire, mais que la rétro-causalité est aussi envisageable ! Très intéressant. C'est là que l'on voit que la vidéo date d'il y a 5 ans déjà et que depuis Aspect a reçu le prix Nobel.
Depuis j'ai aussi eu l'occasion de creuser la théorie de l'espace temps flexible de Philippe Guillemant, et je dois dire que j'aime bien l'idée du fonctionnement du temps un peu comme la métaphore du GPS avec un futur déjà conçu pour nous mener à une destination, mais modifiable hors de l'espace temps pour changer la destination et bifurquer sur un autre futur possible. On a ici une rétrocausalité qui me semble pas du tout problématique. Je ne vois pas d'obstacle majeur à voir ainsi l'expérience d'Aspect nous ouvrir la voie à la rétrocausalité plutôt qu'à la non localité. (voir les deux !!)
C'est aussi grâce à votre explication que j'ai compris le principe de fonctionnement d'une chambre à brouillard ! merci.
Dans votre cours, j'ai aussi beaucoup aimé la fin avec les différentes explications des interprétations de la mécanique quantique. Ce point n'est jamais abordé dans les vulgarisations ! C'est dommage. On voit ici que LA physique quantique n'existe pas. Mais que l'on a une série d'expériences qui nous montrent des faits. Que l'on a des principes de base comme la quantification. (qui a donné son nom à la "quantique") mais que le sens que l'on donne à tout ces faits ne fait pas consensus. Il y a l'interprétation de Copenhague qui est certes majoritaire. Mais là on comprend le flou autour de la physique quantique, quand la plupart des physiciens ne sont pas d'accord entre eux sur le sens de tout ça !!
Perso, j'ai un faible pour l'interprétation relationnelle de la mécanique quantique. Comme vous jusqu'à la préparation de ce cours, si j'ai bien compris. Vous dites que c'est à cause du "flou" du pourquoi du choix d'une particule ou d'une autre dans ce modèle que finalement cette interprétation ne vous convient plus tant que ça.
Là je rebondis sur l'idée de la rétrocausalité, c'est peut être une cause du futur qui nous influence dans le choix !? A méditer.
En tout cas c'est peut être une déformation professionnelle liées à mes connaissance sur les bases de données relationnelles, mais j'ai l'impression qu'on a ici un fonctionnement relationnel similaire.
Dans une base de données relationnelle on pratique la superposition d'état. Le temps n'existe pas. On a toute les données potentielles en même temps et ce n'est que lorsque l'utilisateur (l'observateur) paramètre et lance une requête SQL que l'on crée des jointures entre les tables qui représentes les objets et qu'on créer un ordre de représentation des données et une contextualisation des donnée en fonction de critères passé en paramètre. On linéarise les données pour les lire, d'une certaine manière on crée le temps. On manifeste une seule réalité à partir d'un énorme ensemble de potentialité. L'ordre dans lequel on fait les jointures entre les tables a aussi son importance comme en physique quantique.
Donc contrairement à ce qui est souvent avancé en vulgarisation, perso avec ce genre d'analogie, la physique quantique me semble intuitive. Ce qui est dur c'est le formalisme mathématique !
A cogiter... merci
Connexion
