Autoriser le téléchargement de fichiers avec une extension non répertoriée sous IIS7

Après quelques recherches, et suite à une demande d’un client ayant besoin de proposer en téléchargement des fichiers avec une extension .cgi_ ou .exe_ , j’ai trouvé qu’il ne suffisait pas de rajouter ces lignes dans le fichier web.config du site :

<system.webServer>
<handlers>
<add name="Client cgi" path="*.cgi_" verb="*" modules="StaticFileModule" resourceType="File" />
<handlers>
<system.webServer>

Il fallait aussi ajouter l’extension dans les types MIME (comme sous IIS6) via ce bloc toujours dans <system.webServer> :

<staticContent>
<mimeMap fileExtension=".cgi_" mimeType="application/octet-stream" />
</staticContent>

En espérant que cela fasse gagner du temps à certains d’entre vous 😉

Free Mobile et la loi Chatel

Etant passé chez Free Mobile depuis le 16/1/2012, j’ai remarqué dans mon entourage que nombreux étaient ceux qui n’osaient pas changé d’opérateur mobile à cause de leur engagement.

Et je leur ai donc appris que la « loi Chatel » permettait, dans le cadre d’un engagement de 24 mois, de partir avant la fin en ne payant que 25% des sommes encore dues.

Il y a d’ailleurs un site qui fait le calcul pour vous, et vous dira à quelle date il est préférable de s’abonner : Je prends Free

A mon avis, vous verrez qu’il est intéressant de partir assez vite en général, même s’il est sage d’attendre un peu jusqu’à ce que l’afflux des nouveaux abonnés se calme, et surtout que la société qui gère les portabilités puissent sortir la tête de l’eau 😉

En tout cas, très content de pouvoir enfin utiliser mon smartphone en tant que modem sans payer un prix exhorbitant, et sans risquer le hors forfait !

Swiffy : conversion de SWF en HTML5

Avec de plus en plus de demandes pour éviter le Flash dans les sites web, afin qu’il soit totalement compatible avec les Smartphones notamment, on ne peut qu’espérer qu’un outil comme celui-là soit rapidement mature :

http://googlecode.blogspot.com/2011/06/swiffy-convert-swf-files-to-html5.html

Mais pour une première version, c’est déjà pas mal du tout ;o)

Enregistrement du numéro de carte bancaire pour des paiements récurrents

J’ai longtemps cherché des informations fiables sur ce qu’on avait le droit de faire, et surtout de ne pas faire, concernant l’enregistrement d’un numéro de carte bancaire sur un site de ecommerce.

A priori, la référence à suivre est la norme PCI DSS, et j’ai trouvé ici un résumé des meilleures pratiques à suivre :

  • Traitez les transactions immédiatement sur le site ou externalisez cette tâche auprès de votre banque ou d’un PSP (Payment Service Provider).
  • Ne stockez pas les numéros de carte de crédit. Si ces numéros doivent être stockés, vous devez absolument suivre à la lettre les recommandations du PCI DSS en les chiffrant fortement (AES-256, RSA-2048…). Nous recommandons fortement de ne pas stocker les numéros sur les cartes de crédit. Le marchand est cependant autorisé à conserver un hash du numéro de carte (de préférence SHA-256), cela lui permet de pouvoir confronter a posteriori un numéro de carte. Le marchand peut également conserver les 6 premiers et les 4 derniers chiffres du numéro de carte.
  • Ne stockez jamais les cryptogrammes visuels CVV2. Ces codes constituent des champs de validation utilisés par les systèmes bancaires pour protéger vos paiements et contrôler la validité de la carte. [Ce sont en quelque sorte les mots de passe de la carte].Le stockage de ces données est strictement interdit par le PCI DSS. Le marchand stockant ces codes d’une façon volontaire ou non s’expose à de très fortes amendes.
  • Minimisez l’environnement de traitement des cartes. En d’autres mots, utilisez un seul serveur identifié pour toutes les opérations sur les cartes et sécurisez-le de façon drastique : patchs de sécurité, mots de passe complexes et surveillance.
  • Supprimez tous les accès d’administration externes. La majorité des cas de piratage de données bancaires a été réalisée via une interface d’administration laissée accessible depuis Internet (interface http ou ligne de commande ftp/ssh/…). Interdisez donc tous ces types d’accès depuis Internet : les administrateurs doivent être physiquement dans les locaux ou alors utilisez un jeton d’authentification non-rejouable de type RSA SecurId.

Et pour ceux qui, comme moi, utilisent le module « Paybox Direct Plus » pour mettre en place des paiements récurrents, pensez bien à utiliser le code d’activité ‘027’, qui indique un paiement récurrent et ne nécessite donc pas l’envoi du CVV2, qui ne doit surtout pas être conservé !

Image aléatoire définie dans un CSS

Pour donner l’impression qu’un site est dynamique, même s’il ne l’est pas vraiment, on utilise souvent des images aléatoires, qui changent à chaque visite du site. J’ai eu une demande pour mettre ça en place alors que l’image était définie à l’intérieur d’un style CSS, ce qui empêchait l’utilisation de javascript ou de code côté serveur.

Je suis alors tombé sur ce petit article : http://www.alistapart.com/articles/randomizer/
Et vous pouvez voir un exemple d’application sur un de nos sites : http://www.fredyonnet.com

J’espère que ça vous fera gagner du temps 😉

Antivirus gratuit pour Mac

Même si je n’utilise mon MacBook quasiment que pour tester nos sites web dessus, et vu l’augmentation des « malwares » sur cette plateforme, je vous conseille d’installer un antivirus, et pourquoi pas un qui est gratuit ? 😉

J’ai mis celui-là sur ma machine : http://www.sophos.fr/products/free-tools/free-mac-anti-virus/support.html

Le gros pb de la sécurité sur Mac, c’est que les utilisateurs se pensent à l’abri de toute menace. Mais en sécurité informatique, le pire c’est de croire qu’on est sécurité justement … Et des menaces comme le phishing par exemple touchent tout le monde, quelque soit son système d’exploitation préférée.

Mise à jour : Avast vient également de sortir une version gratuite pour Mac. Dès qu’elle ne sera plus en « beta », je pense que je l’utiliserai à la place de Sophos …
Et quand on lit cet article, on voit que les Mac sont clairement devenus une cible : http://blogs.mcafee.com/mcafee-labs/mac-malware-monsoon-in-may

Nouveau serveur de mails chez Push It Up

Dans la nuit du jeudi 19 au vendredi 20 mai, certains de nos clients ont sans doute dû s’apercevoir d’une coupure de l’accès de leurs mails. Mais ceci était pour une bonne cause 🙂

En effet, notre serveur de mails que nous utilisions depuis nos débuts commençaient à atteindre ses limites. Il tournait sur un vieux Windows 2003 Server 32 bits. A présent, les mails sont hébergés sur un tout nouveau serveur Windows 2008 Server 64 bits, et ils ont gagné un peu de marge au niveau de l’espace disque.

En espérant que vous apprécierez le changement si vous faîtes partie de nos clients 😉