Avancement

Le code de sylabe à progressé sans cesse même pendant mes vacances, mais les versions intermédiaires ne sont pas encore assez stables pour être mise en ligne.

En changements récents, je mettais en place le Téléchargement et suivi de liens u et suite avec notamment un fichier .htaccess . Mais suite à la réflexion Echanges via http – suite, j’enlève tout ça pour revenir à une solution finalement plus simple…

Il faut attendre encore un peu pour une mise en ligne…

Avancement

Hier soir, j’ai appliqué les modifications d’arborescence proposées dans le précédent post Arborescence sur serveur web.

Tous les serveurs web qui héberge une copie de sylabe ont été modifiés en conséquence, c’est à dire :

Ces sites sont un peu lents dans le traitement de sylabe parce que la validité des liens est vérifiée systématiquement pendant le traitement, y compris la signature… On s’assure ainsi que les liens sur le serveur sont valides, mais c’est beaucoup plus lent. Ce comportement ne sera pas forcément celui par défaut plus tard.

Avancement

Le code n’est pas publié ce soir puisque cela n’a pas encore d’intérêt, mais la fonction _l_lsx sait maintenant supprimer les liens qui ont un lien similaire mais en x, ainsi que les liens x aussi. Ainsi, a notion de suppression de lien devient fonctionnelle dans sylabe.

Par contre, seuls les liens x générés par la même entité signataire sont pris en compte. Il faudra ajouter une sorte de pondération social pour accepter ou non la suppression d’un lien par une entité tierce. C’est à dire gérer les relations de confiances…

Par la suite, on va pouvoir gérer les liens de type u. Et en particulier la mise à jour de code php. On doit pour cela savoir suivre les mises à jours de ces codes, mais aussi de tenir compte de suppressions de ces mises à jours, en cas de problème…

Avancement

Aujourd’hui, correction de quelques petits buggs sur le code de index.php, pas d’évolution.

Dans la vue obj, les objets sont maintenant affichés dans l’ordre alphabétique. C’est un peu plus facile pour retrouver un objet… Mais vue la quantité d’objets, ce n’est certainement pas la vue la plus intéressante. Côté performance, la lecture des objets ainsi que leur réorganisation prend environ une seconde alors que leur affichage reste de l’ordre de la minute pour environ 9000 objets. Il faudra peut-être supprimer l’affichage du type et du nom de chaque objet pour revenir à des temps plus raisonnable… CF http://zulu.nebule.fr/sylabe.php?mod=obj

Avancement

Les images des logos nebule et sylabe qui apparaissent dans les interfaces web ont été encodées pour être intégrées directement dans la page html. Cette méthode évite de traîner la copie de ces images vers de nouveaux sites web. Tout est dans un seul fichier php, ou trois dans le cas de sylabe.
Cependant, ce n’est pas tout à fait neutre pour les performances. Ces images qui auparavant se retrouvaient tout de suite dans le cache du navigateur, et donc n’étaient plus téléchargées par la suite, sont maintenant systématiquement re-téléchargées avec la page html.
Il est prévu pour palier ce petit problème de nébuliser plus tard ces images et simplement d’y faire référence comme objet dans le code php. On résoudra ainsi à la fois le problème de téléchargement multiple et le problème des fichiers images annexes. Il en sera de même pour les différentes petites icônes que l’on trouve un peu partout dans sylabe

Un autre changement a été mis en place. Un changement pas très visible mais assez important.
La page par défaut d’un site web nebule/sylabe référence en fait le fichier index.php . Au lieu de simplement afficher la page par défaut de nebule, cette page commence enfin à devenir une page de démarrage à par entière. Elle peut en effet créer tous les dossiers et fichiers nécessaires à nebule et donc aussi à sylabe. Une partie du code sait télécharger l’entité bachue qui va référencer les programmes de base. Ce n’est que le début, à terme il suffira de poser ce fichier index.php spécifique à nebule pour avoir instantanément la possibilité de mettre en place sylabe ou d’autres interfaces.
L’entité bachue est destinée à gérer la diffusion des différentes implémentations de référence.
La page index.php spécifique à nebule peut appeler par défaut une interface et rester invisible. Mais elle pourra bientôt vérifier aussi que l’interface appelée (un objet nebule) n’a pas été modifiée, dès que sylabe sera intégralement nébulisé.
Cela donne par exemple la page http://stephane.nebule.fr/?bootstrap :

20130819capture

Si on supprime l’option /?bootstrap du lien, on arrive aujourd’hui directement sur sylabe. Cela pourra être personnalisé.

Avancement

Cette fois-ci, la vérification de la signature des liens marche enfin !
C’est une étape importante, la première en fait, puisque c’est ce qui permet de vérifier la validité des échanges, c’est à dire les liens.

Suite à ça, on peut maintenant espérer permettre la génération de nouveaux liens, mais aussi la réception de liens déjà signés. Cette réception marche d’ailleurs, pas la génération, mais si les liens existants sont bien vérifiés, il y a encore un petit bugg qui empêche la vérification d’un lien importé. Ça progresse…
Il y a aussi des variables permettant de désactiver la synchronisation d’objet ou de liens depuis le serveur, mais aussi le transfert d’objet ou de lien vers le serveur. CF upl sur zulu :

capture2013081101

D’un autre côté, il y a des problèmes avec certaines fonctions dans php.
La fonction hex2bin n’est pas reconnu avant la v5.4.0 alors que la fonction inverse bin2hex était déjà présente dans la v4. Il faut à la place utiliser la fonction pack (v4).
La fonction openssl_verify est bien présente depuis la v4.0.4, mais sha256 n’est pas reconnu dans les fonctions de hashage supportées avant la v5.4.8 . Il faut à la place utiliser des fonctions plus basiques comme hash (v5.1.2) et openssl_public_decrypt (v4.0.6). Les anciennes versions stables de Debian et Ubuntu incluaient déjà php en v5.3, je pense que c’est maintenant suffisamment ancien pour ne pas risquer la perte de fonctionnalité.
Donc soit on est compatible uniquement avec des versions très récentes de php, et donc adieux les versions pré-packagées pour serveur (Debian ou Ubuntu par exemple). Bienvenue à la compilation à la demande et tous les problèmes de maintenances inhérents. Soit on utilise d’autres fonctions au prix peut-être de performances moindres, c’est donc le cas pour l’instant, et ça marche :

capture2013081102

Avancement

Je suis toujours en train d’essayer de faire fonctionner la vérification des signatures des liens. Ça ne marche pas mais ça progresse… Je corrige des erreurs au fur et à mesure.

En partant d’un exemple de signature/vérification trouvé sur internet, j’ai pu vérifier que l’ensemble est capable de le faire. C’est ajouté dans le mode log. Cela permet de savoir si le serveur fonctionne correctement et sait signer et vérifier un lien :

capture2013081001

Puisque ce petit bout de code fonctionne, il n’y a pas de raison qu’il ne fonctionne pas ailleurs…

Avancement

Pour cette fois, c’est la possibilité de synchronisation qui a été ajouté. Cela concerne deux choses en fait.

Pour tout objet, on a un lien web dans l’interface qui permet de synchroniser les liens de cet objet sur les entités connues. Ce lien web est présent en haut de la description de l’objet et ouvre un nouvel onglet du navigateur pour afficher l’avancement de la synchronisation. La vérification de la signature des liens n’étant pas encore au point, ces liens ne sont pas inclus localement aux reste des liens.

Pour tout objet dont on ne dispose pas localement d’une copie, on peut essayer de le télécharger chez les entités connues. Ce lien web est présent uniquement avec l’alerte signalant l’absence d’un objet et ouvre aussi un nouvel onglet du navigateur. Si trouvé et valide, le téléchargement de l’objet est effectif.

Voici ce que cela donne, en haut à gauche :

capture01

Et la page de synchronisation ressemble à ça :

capture02

Les liens web dans l’interface, mais surtout cette page, ne sont accessibles que si l’entité est déverrouillée. Cela permet en principe d’éviter le téléchargement d’objets non désirés (malveillant ou autres) sur un serveur.

Avancement

Je galère avec la vérification de la signature des liens. Ces liens sont valides puisqu’ils ont été générés et vérifiés via l’implémentation de référence de nebule en bash.
En fait, je n’ai pas encore trouvé comment transmettre les différentes données à la fonction openssl_verify, si c’est bien celle qui doit être utilisée. Les différentes erreurs qui remontent ne sont pas assez explicites. Les exemples sur le web ne m’aident pas beaucoup, tout le monde copie-colle la documentation du site de php. Et l’exemple ne marche pas.

Il y a aussi un problème de gestion de sha2 par openssl dans php. La variable OPENSSL_ALGO_SHA256 n’est pas reconnu pour php en version inférieur à la 5.4.8 (cf lien). Par défaut, c’est sha1. Par exemple, sous Ubuntu Linux 12.04, la LTS donc, on est en 5.3.10 (cf lien). Il faut passer en 13.04 pour avoir une version suffisante… alors que cela fait maintenant quelques années que l’on préconise l’utilisation de sha2 au lieu de sha1 dans tout nouveau projet!
Pour Debian Linux, ce n’est pas mieux, il faut passer en unstable pour avoir une version suffisante (cf lien). La nouvelle Wheezy ne nous aidera pas.

Avancement

Le déverrouillage (connexion) d’une entité est maintenant fonctionnel. Le mot de passe est vérifié sur la clé privé. Si la clé privée ne peut être lu, la connexion échoue.

Il va maintenant être possible de créer des liens directement depuis l’interface de navigation. Et à terme, il sera possible de déchiffrer des objets.

Avancement

Les changements ne sont pas très visibles sur l’interface, mais ça avance tout de même.

J’ai fait un peu d’optimisation de code afin d’accélérer l’affichage des objets, et surtout des liens. Gain qui m’a permit de faire un tri par date des liens à afficher.
Un code de lecture basique des liens avait été copié/collé partout (oui je sais c’est pas bien). Il faut remplacer ce bout de code par l’appelle à une fonction dédiée. Il en reste encore mais le principal est fait.

Et puis il fallait aussi sécuriser un minimum la lecture du contenu des objets qui sont affichés dans la page web. Il ne s’agirait pas de permettre une injection de code via un objet piégé.

Par contre, la crypto, ce n’est pas encore pour cette fois-ci…

Sur la vue d’affichage des liens, chaque lien est directement affiché en tout petit avant sa traduction. C’est vraiment petit, mais le lien est là :

Avancement

Ce week-end, le mode navigation à fait un bond. Maintenant, pour une nÅ“ud, il affiche sous forme d’arborescence les objets qui lui sont liés par des liens de type f.

Cependant, le test réalisé sur un nÅ“ud référençant un grand nombre d’images, cela générait une page web beaucoup trop grande… et faisait planter la modeste machine de test. Pour contourner ce problème, l’affichage des images à été désactivé dans l’arborescence ainsi générée. Plus tard, il faudra mettre en place un affichage des images mais en sélectionnant si possible par défaut une image dérivée de résolution limitée…

Le résultat peut être vu ici.

Cela permet aussi de voir que certaines choses ne devraient pas être intégrées de la même façon dans l’arborescence… et donc cela permet de tester en pratique les relations de dérivation entre objets.

Avancement

Dans les modes d’affichage, il y avait déjà la navigation, les liens, les objets, la connexion et le chargement. Certains était et sont toujours peu ou pas fonctionnels. La connexion est notamment pour l’instant purement simulée.

Ils y a maintenant de nouveaux modes. Ce sont les entités, les nœuds et la recherche.

Le mode entités permet de voir toutes les entités connues et inconnues mais référencées.
Le mode nœuds liste les objets marqués comme nœuds.
Et le mode recherche facilite la recherche sur le contenu des objets. Pour l’instant, la recherche se fait uniquement sur du contenu exacte et complet.

Le mode nœuds appelle à intégrer dans le mode navigation une représentation arborescente des objets attachés à un nœud. La définition des liaisons dans cette arborescence est en cours de réflexion du côté du blog nebule.

Les icônes glossy

Voici quelques icônes utilisées dans les pages web de sylabe :


Ces icônes ont été récupérées dans le répertoire /usr/share/icons/oxygen/ sous Linux. Elles sont sous licence LGPL (GNU Lesser General Public License).

Elles tranchent un peu avec le thème graphique global des pages sylabe. J’attends que Diana n’en redessine des nouvelles plus sobres :-)

Identification/authentification unique

Il y a une chose à implémenter rapidement, une chose assez facile à faire en fait. C’est de pouvoir se connecter sur une instance de sylabe avec une autre entité que celle qui héberge normalement l’instance de sylabe.

En clair, lorsque l’on consulte la page sylabe de son voisin (numériquement), on voit par défaut l’entité de son voisin ainsi que ses objets et liens publiques. Mais on voit aussi les entités qu’il connaît, et notamment la notre. Et si on se connectait avec une autre entité ?

Si la clé privée est publique (mais protégée par mot de passe), alors elle est disponible partout (si on connaît le mot de passe). Ainsi on obtient une authentification unifiée et universelle.

Mais est-ce vraiment nouveau ?
Non, on le faisait déjà avec des annuaires de sécurité (Active Directory, NDS, LDAP, etc…). Mais il n’y a ici rien à ajouter, pas de configuration, pas d’approbation, rien. Enfin si, juste connaître l’entité et ses clés RSA.

Par contre, si la clé privée est enfermée dans une puce cryptographique (type carte à puce par exemple), ça ne marchera pas sans disposer de la puce en question. L’utilisation à distance sur sylabe est donc impossible. Une solution serait de déporter côté poste utilisateur la logique de signature des liens via par exemple du javascript.

Avancement

L’interface introduit des améliorations dans l’affichage des liens. C’est surtout pour les liens dont les objets meta sont connus comme périmés ou manquants. Il n’y a donc presque plus aucun lien de type l qui n’est pas affiché correctement. Reste à faire les autres types de liens…

Une grosse amélioration à aussi été ajouté, la séparation des vues. En bas de l’interface, des liens permettent de basculer sur des vues différentes en fonction de ce que l’on veut afficher. La vue des liens et la vue des objets sont plutôt techniques, alors que la vue de navigation est plutôt destinée à un usager lambda.

Reprise à partir de l’interface existante webcli

L’interface est dérivée du premier essai webcli.php .

Après un bon réarrangement dans le code php et quelques améliorations cosmétiques, l’interface web sylabe ressemble à ça :

Capture d'écran - interface web au 24/06/2013

C’est le fruit d’un travail assez irrégulier commencé le 19 juin…

Voila à quoi ressemblait webcli.php :