Bonjour, oui désolé il manquait un A.
Ma compréhension est que REST définit des principes et RESTful vient ajouter de nouvelles contraintes (idempotence, HATEOAS). Est-ce que ces contraintes sont optionnelles ou bien obligatoire pour la mise en place de RESTful?
Le tuto ZDS https://zestedesavoir.com/tutoriels/299/la-theorie-rest-restful-et-hateoas/ explique les différents niveaux.
Mon sujet initial est que l’article parle de construction d’API RESTful, mais l’API Wikipedia citée n’est pas REST ni RESTful (l’API REST Wiki est https://www.mediawiki.org/wiki/API:REST_API, n’est d’ailleurs pas complètement RESTful)
Concernent l’idempotence, c’est plutôt ça : https://restfulapi.net/idempotent-rest-apis/ du coup toutes les opérations à part le POST sont idempotents; après j’avoue ne pas comprendre toute les nuances décrites dans la page.
Désolé, je ne sais jamais si mon premier message sera lu/répondu, du coup je n’argumente pas dès le premier message,dans une optique de gain de temps :)
Sinon, je ne comprends pas bien ta question ? Car à mon connaissance RESTful est une implémentation du modèle REST et HATEOAS est un composant du modèle REST.
Pour ta question sur l’idempotence, on parle bien de cette notion ( https://en.wikipedia.org/wiki/Idempotence ) ? Si c’est oui, quelle opération est doit idempotente ou non ?
Correctifs appliqués dans un premier temps mais qui rendait le système non bootable.
Puis correctif du correctif qui lui fonctionnait !
C’est la première depuis longtemps qu’un patch rend inutilisable une machine Centos (Redhat). Les correctifs existent donc et n’oubliez pas de mettre à jour !
Hello, non, pas de bug. Mon idée était plutôt de faire connaitre l’outil. D’ailleurs, si tu relis l’article, il ne parle pas d’installer influxdb mais de mettre en place chronograf (cf les commandes comme tu dis).
Si tu veux des screenshots de données (factices) il y en a déjà dans la doc, et je n’aime pas de toute façon faire des articles chargés en capture d’écran (comme tu l’auras remarqué si tu lis les autres).
Bonjour, on parle de visualisation de données, mais je ne vois qu’une série de commandes sur comment on installe InfluxDB, il y a pas un bug sur l’article? Merci
Est-ce que l’API wikipedia est justement une API RESTful ou juste REST?
Est-ce que l’idempotence est un critère obligatoire ou conseillé? Idem pour le HATEOS?
Une remarque plus générale pour ce qui relève de la formation dans le domaine du numérique en France. Je suis formateur (Administration Systèmes Linux) depuis 2007, et je suis régulièrement contacté par des boîtes qui veulent quelque chose comme une formation intensive de deux (!) jours pour un niveau débutant (!!) afin que leurs admins soient “opérationnels sous Linux”. En règle générale, je refuse direct en prenant soin d’expliquer le comment du pourquoi aux clients.
Et en ce qui me concerne, je me suis adapté au marché en proposant une formation rapide de six (deux fois trois) jours, en insistant bien qu’il s’agit là de découvrir les fondamentaux par la pratique, et qu’il reste encore beaucoup (!) de chemin à faire.
Cette solution m’avait attiré il y a des années ! En effet, nous avions de grave problème de sécurité dans la boite où je travaillais. Et donc la possibilité de travailler avec d’autre mot de passe que toto ou Password123! me tentait. Après réflexion, le fait de dériver des mots de passe à partir d’un mot unique “Master Key” nous posait problème car le turn over était vraiment important et il aurait fallu changer le mot de passe Master et tous les mots de passe des clients. De plus avec certains clients {:-) nous avions quand même des mots de passe fort et des procédures 2FA (ou une technologie équivalente) et donc le fait de posséder deux référentiels pour les mots de passe nous a arrêter dans la mise en production de LessPass !
What this seems to be, in essence: password = HMAC(key, website).
Why this is bad, compared to an encrypted on-disk key store:
1. A password is now ciphertext, not a block of line noise. Every time you transmit it, you are giving away potential clues of use to an attacker.
2. The search space for possible passwords is bounded if you know the website. You are subject to key guessing attacks. If your key is short, pure serial guessing will break it fast.
3. They don’t need any access to you or your stuff, to guess a key. They don’t even need access to the server, it can be guessed on an unrelated machine. You don’t have the opportunity to detect a break-in and neither does your bank, etc.
4. You only have one password for all the sites, really, underneath, and it’s your secret key. If it’s broken, it’s now a skeleton-key and your digital ass is theirs.
Acte 3
Voici la traduction de monsieur Google :
<<
Ce que cela semble être, en substance: mot de passe = HMAC (clé, site Web).
Pourquoi c’est mauvais, par rapport à un stockage de clés chiffré sur disque:
Un mot de passe est maintenant un texte chiffré, pas un bloc de bruit de ligne. Chaque fois que vous le transmettez, vous donnez des indices potentiels d’utilisation à un attaquant.
L’espace de recherche des mots de passe possibles est limité si vous connaissez le site Web. Vous êtes soumis à des attaques de devinettes clés. Si votre clé est courte, une pure estimation sérielle la cassera rapidement.
Ils n’ont pas besoin d’accéder à vous ou à vos affaires pour deviner une clé. Ils n’ont même pas besoin d’accéder au serveur, cela peut être deviné sur une machine indépendante. Vous n’avez pas la possibilité de détecter une effraction et votre banque non plus, etc.
Vous n’avez qu’un seul mot de passe pour tous les sites, vraiment, en dessous, et c’est votre clé secrète. S’il est cassé, c’est maintenant une clé squelette et votre cul numérique est à eux.
Acte 4
Si j’utilisais cette méthode de mot de passe, vu que mon profil est public sur le journal du hacker, une personne mal intentionnée n’a même pas besoin de se connecter à mon ordinateur pour connaître mon mot de passe !
C’est vrai que la suprématie des GAFAM inquiète. Mais cette inquiétude n’est pas uniquement localisée en Europe. Aux USA, une commission parlementaire examine pour le moment la situation de concurrence et de prédation économique de 4 géants : Amazon, Apple, Google et Facebook. Voici un résumé pour les anglophones : https://www.youtube.com/watch?v=Yf-JsLpebbA
Merci pour le lien sur la transcription : j’ai craqué après 90 minutes et c’est avec plaisir que j’ai poursuivi avec le texte écrit et donc pu me faire une opinion sur l’ensemble plus rapidement.
Très intéressant, c’est vrai que je me suis jamais demandé qui étaient ces elfes qui empaquetaient toutes ces choses pour le bien de la communauté! “Nous vous devons une reconnaissance éternelle”!
C’est pour ça qu’à la toute fin, je propose de désactiver l’accès au compte root, après bien sûr, il y a une armada de possibilités. D’ailleurs j’explique comment journaliser les actions faites avec sudo pour palier à ça! :)
Bonjour, oui désolé il manquait un A. Ma compréhension est que REST définit des principes et RESTful vient ajouter de nouvelles contraintes (idempotence, HATEOAS). Est-ce que ces contraintes sont optionnelles ou bien obligatoire pour la mise en place de RESTful? Le tuto ZDS https://zestedesavoir.com/tutoriels/299/la-theorie-rest-restful-et-hateoas/ explique les différents niveaux.
Mon sujet initial est que l’article parle de construction d’API RESTful, mais l’API Wikipedia citée n’est pas REST ni RESTful (l’API REST Wiki est https://www.mediawiki.org/wiki/API:REST_API, n’est d’ailleurs pas complètement RESTful)
Concernent l’idempotence, c’est plutôt ça : https://restfulapi.net/idempotent-rest-apis/ du coup toutes les opérations à part le POST sont idempotents; après j’avoue ne pas comprendre toute les nuances décrites dans la page.
Désolé, je ne sais jamais si mon premier message sera lu/répondu, du coup je n’argumente pas dès le premier message,dans une optique de gain de temps :)
Et si vous utilisez Nix et/ou NixOS , utilisez nix-shell
Un article du même tonneau dans la langue de Shakespear : https://modelpredict.com/python-dependency-management-tools
Hello, je suppose que tu veux dire HATEOAS ? ( https://en.wikipedia.org/wiki/HATEOAS )
Sinon, je ne comprends pas bien ta question ? Car à mon connaissance RESTful est une implémentation du modèle REST et HATEOAS est un composant du modèle REST.
Pour ta question sur l’idempotence, on parle bien de cette notion ( https://en.wikipedia.org/wiki/Idempotence ) ? Si c’est oui, quelle opération est doit idempotente ou non ?
Merci pour tes éclaircissements ?
Correctifs appliqués dans un premier temps mais qui rendait le système non bootable.
Puis correctif du correctif qui lui fonctionnait !
C’est la première depuis longtemps qu’un patch rend inutilisable une machine Centos (Redhat). Les correctifs existent donc et n’oubliez pas de mettre à jour !
Bon travail à tous !
Hello, non, pas de bug. Mon idée était plutôt de faire connaitre l’outil. D’ailleurs, si tu relis l’article, il ne parle pas d’installer influxdb mais de mettre en place chronograf (cf les commandes comme tu dis).
Si tu veux des screenshots de données (factices) il y en a déjà dans la doc, et je n’aime pas de toute façon faire des articles chargés en capture d’écran (comme tu l’auras remarqué si tu lis les autres).
Cordialement.
C’est triste, mais à lire l’article ils ont quand même bien géré la suite, notamment avec leur “hall of fames” des devs licenciés… C’est toujours ça.
Bonjour, on parle de visualisation de données, mais je ne vois qu’une série de commandes sur comment on installe InfluxDB, il y a pas un bug sur l’article? Merci
Est-ce que l’API wikipedia est justement une API RESTful ou juste REST? Est-ce que l’idempotence est un critère obligatoire ou conseillé? Idem pour le HATEOS?
Une remarque plus générale pour ce qui relève de la formation dans le domaine du numérique en France. Je suis formateur (Administration Systèmes Linux) depuis 2007, et je suis régulièrement contacté par des boîtes qui veulent quelque chose comme une formation intensive de deux (!) jours pour un niveau débutant (!!) afin que leurs admins soient “opérationnels sous Linux”. En règle générale, je refuse direct en prenant soin d’expliquer le comment du pourquoi aux clients.
Et en ce qui me concerne, je me suis adapté au marché en proposant une formation rapide de six (deux fois trois) jours, en insistant bien qu’il s’agit là de découvrir les fondamentaux par la pratique, et qu’il reste encore beaucoup (!) de chemin à faire.
Acte 1
Cette solution m’avait attiré il y a des années ! En effet, nous avions de grave problème de sécurité dans la boite où je travaillais. Et donc la possibilité de travailler avec d’autre mot de passe que toto ou Password123! me tentait. Après réflexion, le fait de dériver des mots de passe à partir d’un mot unique “Master Key” nous posait problème car le turn over était vraiment important et il aurait fallu changer le mot de passe Master et tous les mots de passe des clients. De plus avec certains clients {:-) nous avions quand même des mots de passe fort et des procédures 2FA (ou une technologie équivalente) et donc le fait de posséder deux référentiels pour les mots de passe nous a arrêter dans la mise en production de LessPass !
Acte 2
Lecteur assidus de new, quel ne fut ma surprise de tomber sur cette critique à https://news.ycombinator.com/item?id=12889807 :
<<
What this seems to be, in essence: password = HMAC(key, website).
Why this is bad, compared to an encrypted on-disk key store:
1. A password is now ciphertext, not a block of line noise. Every time you transmit it, you are giving away potential clues of use to an attacker.
2. The search space for possible passwords is bounded if you know the website. You are subject to key guessing attacks. If your key is short, pure serial guessing will break it fast.
3. They don’t need any access to you or your stuff, to guess a key. They don’t even need access to the server, it can be guessed on an unrelated machine. You don’t have the opportunity to detect a break-in and neither does your bank, etc.
4. You only have one password for all the sites, really, underneath, and it’s your secret key. If it’s broken, it’s now a skeleton-key and your digital ass is theirs.
Acte 3
Voici la traduction de monsieur Google :
<< Ce que cela semble être, en substance: mot de passe = HMAC (clé, site Web). Pourquoi c’est mauvais, par rapport à un stockage de clés chiffré sur disque:
Un mot de passe est maintenant un texte chiffré, pas un bloc de bruit de ligne. Chaque fois que vous le transmettez, vous donnez des indices potentiels d’utilisation à un attaquant.
L’espace de recherche des mots de passe possibles est limité si vous connaissez le site Web. Vous êtes soumis à des attaques de devinettes clés. Si votre clé est courte, une pure estimation sérielle la cassera rapidement.
Ils n’ont pas besoin d’accéder à vous ou à vos affaires pour deviner une clé. Ils n’ont même pas besoin d’accéder au serveur, cela peut être deviné sur une machine indépendante. Vous n’avez pas la possibilité de détecter une effraction et votre banque non plus, etc.
Vous n’avez qu’un seul mot de passe pour tous les sites, vraiment, en dessous, et c’est votre clé secrète. S’il est cassé, c’est maintenant une clé squelette et votre cul numérique est à eux.
Acte 4
Si j’utilisais cette méthode de mot de passe, vu que mon profil est public sur le journal du hacker, une personne mal intentionnée n’a même pas besoin de se connecter à mon ordinateur pour connaître mon mot de passe !
C’est vrai que la suprématie des GAFAM inquiète. Mais cette inquiétude n’est pas uniquement localisée en Europe. Aux USA, une commission parlementaire examine pour le moment la situation de concurrence et de prédation économique de 4 géants : Amazon, Apple, Google et Facebook. Voici un résumé pour les anglophones : https://www.youtube.com/watch?v=Yf-JsLpebbA
Merci pour le lien sur la transcription : j’ai craqué après 90 minutes et c’est avec plaisir que j’ai poursuivi avec le texte écrit et donc pu me faire une opinion sur l’ensemble plus rapidement.
Effectivement oui, je vais regarder ça cette semaine. Merci pour le feedback.
Très intéressant, c’est vrai que je me suis jamais demandé qui étaient ces elfes qui empaquetaient toutes ces choses pour le bien de la communauté! “Nous vous devons une reconnaissance éternelle”!
La transcription : https://www.april.org/souverainete-numerique-la-douche-froide-tariq-krim-et-bernard-benhamou-thinkerview
Et si tu veux aller plus loin, tu peux activer l’accès en Gît par SSH, j’avais documenté la procédure ici : https://becauseofprog.fr/article/activer-serveur-ssh-gitea-gogs
Génial ! Et c’est quoi Gitea ?
Genre 2 lignes d’intro pour éviter aux feignasses en mon genre d’avoir à utiliser leur DDG pour savoir.
C’est pour ça qu’à la toute fin, je propose de désactiver l’accès au compte root, après bien sûr, il y a une armada de possibilités. D’ailleurs j’explique comment journaliser les actions faites avec sudo pour palier à ça! :)
sudo -i et hop t’es root et à ma connaissance pas de traces des commandes !
http://img113.xooimage.com/files/e/7/e/2020-07-30_23-14-57989f9.png
Mais il faut bien configurer sudo :)