Il est de plus en plus courant de concevoir des architectures full services managés. Les avantages sont nombreux : sécurité, réduction des coûts d'exploitation, gestion simplifiée, rapidité de déploiement, scalabilité, ...

Chez AWS par exemple, on peut déployer des services de type API REST via Elastic Container Services (ECS) ou Elastic Kubernetes Services (EKS), les exposer via une API Gateway pour gérer la sécurité via l'IdP de l'entreprise en OAuth2, déployer la partie Frontend dans un bucket S3 et utiliser un RDS Aurora pour la base de données. Aucun serveur n'est déployé, pas de machine à gérer. On ajoute une touche de CloudFront et de Certificate Manager pour gérer l'accès en HTTPS et le tour est joué !

Généralement on développe les services en local puis on les déploie sur un environnement d'intégration dans le Cloud. Pour certains services c'est assez simple : la base de données peut être locale, le contenu statique du front servi par npm-serve ou express, les services via express ou docker...

Intégration du fournisseur d'identité Open IDC de l'entreprise

Pour les autres et notamment les API, cela devient vite difficile de réaliser les tests et de développer des interactions en local sur son poste de développement dès lors que l'on utilise des briques de l'entreprise. Par exemple : un service qui récupère les informations de l'utilisateur authentifié. Il est difficile de connecter son environnement local sur le fournisseur d'identité (Identity Provider - IdP) de l'entreprise. Seules solutions :

• Récupérer des tokens d'authentification (p.ex. AccessToken JWT) de l'IdP pour les utiliser localement. C'est fastidieux...
• Connecter l'IdP avec un environnement local. C'est compliqué...

C'est ce dernier cas qui nous intéresse. Généralement, on utilise localhost ou 127.0.0.1 pour accéder à notre API. Avec express en NodeJS par exemple, on accéderait à notre service via http://127.0.0.1:3000/api/users/me. Inutile de vous dire qu'il n'est pas viable de ne pas utiliser le HTTPS même en local. Premièrement par ce que ce n'est pas une bonne pratique d'avoir un environnement de développement différent des autres environnements : cela amène des problématiques de sécurité (CORS, CSP, HSTS, ...) et que c'est généralement un prérequis pour s'intégrer à un IDP.

Caddy 2 pour simuler un environnement local

C'est ici que Caddy intervient. Caddy, actuellement dans sa version 2, est un serveur Web production-ready avec gestion du HTTPS par défaut. Il est écrit en Go et est sous licence Apache 2.0. L'avantage de Caddy par rapport à Apache ou Nginx voir Traefik, est qu'il ne nécessite qu'un binaire et un simple fichier Caddyfile pour le configurer.

La configuration est encore plus simple qu'un Nginx. Par exemple, pour servir des fichiers en HTTPS, il suffit de faire :

 caddy file-server --domain example.com

Une configuration plus poussée passe par l'écriture d'un fichier Caddyfile dont la syntaxe ressemble étroitement à du JSON mais sous forme de blocs d'options. Dans notre cas, voici la configuration qui nous intéresse :

www.dev.company.com {
  	tls webcert.crt webcert.key

	reverse_proxy localhost:5000 {
		header_up Host                {host}
	    header_up Origin              {host}
	    header_up X-Real-IP           {remote}
	    header_up X-Forwarded-Host    {host}
	    header_up X-Forwarded-Server  {host}
	    header_up X-Forwarded-Port    {port}
	    header_up X-Forwarded-For     {remote}
	    header_up X-Forwarded-Proto   {scheme}
	}
}

api.dev.company.com {
  	tls apicert.crt apicert.key

	reverse_proxy localhost:3000 {
		header_up Host                {host}
	    header_up Origin              {host}
	    header_up X-Real-IP           {remote}
	    header_up X-Forwarded-Host    {host}
	    header_up X-Forwarded-Server  {host}
	    header_up X-Forwarded-Port    {port}
	    header_up X-Forwarded-For     {remote}
	    header_up X-Forwarded-Proto   {scheme}
		header_down Access-Control-Allow-Origin       https://www.dev.company.com
	    header_down Access-Control-Allow-Credentials  true
	}
}

Pour démarrer caddy avec cette configuration, il suffit de lancer caddy dans le répertoire qui contient la configuration ou de lui spécifier en ligne de commande via --config. Auparavant, il faudra générer les certificats SSL via une commande OpenSSL car les certificats Let's Encrypt ne sont pas utilisables en local :

openssl req -new -newkey rsa:2048 -sha256 -days 365 -nodes -x509 -keyout webcert.key -out webcert.crt
openssl req -new -newkey rsa:2048 -sha256 -days 365 -nodes -x509 -keyout apicert.key -out apicert.crt

L'idée ici est d'exposer deux services :

• https://www.dev.company.com pour accéder au Frontend,
• https://api.dev.company.com pour exposer les API REST.

Les services sont exposés par Caddy de manière sécurisée (HTTPS). Ce dernier proxifie les requêtes vers les différents instances de services locaux. A noter que www.dev.company.com et api.dev.company.com doivent rediriger vers 127.0.0.1. C'est faisable en ajoutant des entrées dans le fichier HOSTS local ou en créant une entrée A dans les enregistrements DNS du domaine company.com.

Le service ainsi exposé via https://www.dev.company.com est compatible avec le fournisseur d'authentification de l'entreprise car il est exposé en HTTPS et fait référence à un vrai domaine et non à localhost.

Caddy est vraiment une alternative à un Apache ou Nginx pour du développement local même si Traefik peut s'avérer plus intéressant dès lors que l'on souhaite disposer d'une infrastructure dynamique à base de Kubernetes ou Docker.

Vous allez me dire que le bureau virtuel ou bureaux multiples n'est pas nouveau. En effet, cela existe depuis pas mal de temps aussi bien sous Linux que sous Mac OS. Depuis Windows 10, c'est aussi en standard.

Les bureaux virtuels ne sont pourtant pas "simples" à utiliser au quotidien. Même s'ils simplifient le travail sur plusieurs applications, l'accès via les raccourcis clavier n'est pas aisé. Il faut d'ailleurs les connaitre pour pouvoir utiliser cet outil.

Pour accéder aux bureaux virtuels, il suffit de faire Windows + D.

Ce raccourci pourrait suffire pour gérer les applications ouvertes sur les différents bureaux mais il n'optimise pas le flux de production. Pour aller plus loin, il existe 10 raccourcis clavier pour gérer au mieux ses fenêtres :

1. Windows + flèche gauche: la fenêtre occupe la moitié gauche de l’écran.
2. Windows + flèche droite: la fenêtre occupe la moitié droite de l’écran.
3. Windows + flèche du haut ou du bas (après 1 ou 2) : la fenêtre se place dans le quadrant supérieur ou inférieur de l’écran.
4. Windows + flèche du haut (sans exécuter les numéros 1 ou 2) : maximiser la fenêtre.
5. Windows + flèche du bas (sans exécuter les numéros 1 ou 2): minimiser la fenêtre.
6. Windows + Tab: afficher tous les bureaux virtuels.
7. Windows + Ctrl + D: créer un nouveau bureau virtuel.
8. Windows + Ctrl + F4: fermer le bureau virtuel en cours d’utilisation.
9. Windows + Ctrl + flèche droite: aller vers le bureau virtuel suivant.
10. Windows + Ctrl + flèche gauche: aller vers le bureau virtuel précédent.

Et si ces raccourcis ne vous plaisent pas ou que vous souhaitez aller plus loin avec les bureaux virtuels, il existe d'autres applications comme Sysinternals Desktop v2 ou Dexpot.

Honnêtement, avec un peu d'entrainement, le gestionnaire de bureaux virtuels de Windows 10 fonctionne très bien et à l'avantage d'être gratuit en plus d'être bien intégré.

Le Tamagotchi est un petit animal de compagnie électronique créé en 1996 par Bandai. Nous en possédions tous un lorsque j'étais au collège. Il fallait le nourrir, le laver, et lui donner un peu d'amour pour qu'il vive le plus longtemps.

Aloz Jakob, un développeur Serbe, a créé un clone de Tamagotchi sur Arduino : le Tamaguino. Cette fois-ci c'est d'un dinosaure qu'il faut s'occuper.

Vous pouvez commencer à le prototyper sur un Arduino Uno mais pour aller plus loin et réaliser un modèle autonome sur batterie, il faudra sûrement investir dans un Arduino Pro mini et un batterie.  Et si vous avez une imprimante 3D à la maison, sachez qu'il est possible d'imprimer le boitier :

Il fournit le code source du programme, les plans hardware et même les modèles 3D pour imprimer le boitier. Que demander de plus ? Un site pour vous aider au montage ? Des démos ? Tous est disponible... Il existe même des portages en cours vers d'autres plateformes :)

Tamaguino

Tamagotchi clone for Arduino

Tamagotchi clone for Arduino

alojzjakob/Tamaguino

Tamagotchi pet clone for Arduino. Contribute to alojzjakob/Tamaguino development by creating an account on GitHub.

GitHubalojzjakob

Je vous propose dans cet article de réaliser un tunnel permettant d'accéder en SSH à des machines situées dans un réseau privé derrière un pare-feu en passant simplement par un tiers de confiance.

Des tunnels SSH et du port forwarding

Créer un tunnel SSH pour accéder à une machine située derrière le pare-feu d'une entreprise depuis l'extérieur peut vite devenir compliquer dès lors que l'installation d'outils externes n'est pas autorisé ou que des ports exotiques sont bloqués.

A l'aide d'une commande SSH, nous allons créer un tunnel de l'ordinateur A vers le serveur. Une fois le tunnel établie, l'ordinateur B établie à son tour un tunnel vers le serveur. Vu qu'il s'agit de connexions sortantes classiques, elles ne seront pas bloquées par le pare-feu. Une fois les 2 tunnels établis, je peux, via une nouvelle commande SSH, me connecter à l'ordinateur B depuis l'ordinateur A.

C'est là que Serveo intervient...

Sereo est un outil qui permet d'exposer des serveurs locaux sur Internet. En utilisant l'utilitaire Serveo  en ligne de commande (CLI) et avec l'aide d'un serveur accessible depuis Internet, il est tout à fait possible de monter une passerelle d'accès sécurisée pour se connecter à distance en SSH. Serveo est un peu l'équivalent de NGRok pour les connaisseurs. A l'instar de ce dernier, Serveo ne nécessite pas l'installation d'un client sur l'hôte distant et ne passe pas par le serveur d'un tiers. Avec Serveo, une simple commande SSH suffit pour créer un tunnel. Seul prérequis : disposer d'un serveur accessible sur Internet pour  y démarrer le serveur Serveo.

Serveo s'installe facilement en téléchargeant le CLI via http://serveo.net/#self-host.

Une fois installé sur notre serveur our_server.com, il suffit de le démarrer :

sudo ./serveo-linux-amd64 -private_key_path=ssh_host_rsa_key -port=2222 -http_port=8080 -https_port=8443

Ensuite on créer le tunnel de B vers le serveur our_server.com:

ssh -R B:22:localhost:22 yohann@our_server.com -p 2222

On se connecte sur le serveur our_server.com sur le port 2222 et on crée un tunnel de type remote pour rediriger le port SSH 22 de la machine B sur le serveur. Le port 22 de la machine B est alors accessible sur le serveur our_server.com.

On peut donc se connecter à B depuis A via la commande :

ssh -o ProxyCommand="ssh -W B:22 -p 2222 our_server.com" root@B

Encore une fois, une seule commande SSH suffit pour se connecter à B via notre serveur our_server.com

En conclusion

La mise en place de ce type de tunnel nécessite une petite gymnastique mais permet de créer rapidement un tunnel pour accéder à une machine dans un réseau d'entreprise via une simple commande SSH.
A noter qu'il existe un équivalent open source nommé sish mais que je n'ai pas eu le temps de tester. Et vous ?

Téléchargements et informations :

• Serveo en self hosté
• Alternative open source Sish
• Le bon vieux ngrok

Voici une petite astuce pour sécuriser votre ordinateur sous Windows 10 à l’aide du Bluetooth et de votre téléphone mobile. Une option nommée Verrouillage dynamique ou Dynamic Lock permet à Windows d’utiliser les appareils couplés à votre PC pour savoir quand vous êtes absent. Cette option fait partie du mécanisme de sécurité Windows Hello :

Si vous oubliez de verrouiller votre PC ou votre tablette lorsque vous vous éloignez, Windows Hello peut utiliser un téléphone couplé à votre appareil pour le verrouiller automatiquement dans les secondes qui suivent le moment où vous sortez de la portée Bluetooth. Pour procéder à la configuration, vous devrez utiliser le Bluetooth pour coupler votre téléphone à votre PC, puis cocher la case sous Verrouillage dynamique.

Pour mettre en œuvre cette option bien pratique et sécuriser encore mieux son PC (et éviter le croissantage fort connu des ESN), rien de plus simple…

Appairer son téléphone mobile / smartphone

1. Ouvrez le menu démarrer et tapez paramètres pour vous rendre dans les paramètres Windows :

2. Rendez-vous dans la section Périphériques –> Appareils Bluetooth et autres:

3. Ajoutez votre Smartphone en cliquant sur “Ajouter un appareil Bluetooth ou un autre appareil”

4. Sélectionnez son mobile et l’appairer suivant la procédure indiquée. Une fois réalisé, le Smartphone devrait apparaître dans la liste des terminaux Bluetooth de votre ordinateur comme suit :

Activer le verrouillage dynamique

1. Dans les paramètres Windows, choisissez la section Comptes

2. Dans les options de connexion, se rendre au niveau de la section Verrouillage dynamique

3. Cochez la case Autoriser Windows à détecter quand vous êtes absent et à verrouiller automatiquement l’appareil.

Maintenant, lorsque vous vous éloignerez de votre ordinateur avec votre Smartphone, celui-ci se verrouillera de manière autonome sous quelques secondes. Cependant, l’inverse n’est pas automatique : vous devrez vous loguer de nouveau pour accéder à votre ordinateur. C’est toujours un pas de plus vers la sécurité.

Le site Generated Photos qui permet d'accéder à une banque d'image gratuites de plus de 10 000 visages générés par une IA lance son API REST.

A l'origine de ce site, un Argentin et une vingtaine de personnes dont, entres autres, des photographes et des data scientists. Pour entraîner et obtenir un modèle viable, ils ont utilisés par moins de 29 000 photos issues de 69 modèles différents. Le tout, calculé sur des ressources NVidia.

L'API permet d'accéder à la banque d'images de manière programmatique directement dans vos applications via l'URL : https://api.generated.photos/api/v1/faces?api_key=YOUR_API_KEY.

Il est possible de passer des paramètres pour choisir, par exemple, l'émotion, la couleur des cheveux, le sexe, l’ethnie ou bien l'âge.

L'API renvoi un résultat de ce type :

{ 
   faces:[ 
      { 
         id:"5dd09cb3def8b400084dc561",
         urls:[ 
            { 
               32:"https://images.generated.photos/c3HDiZxu1D_Gqwtty0aXmYiG7u1UU_P9rQNwDF_wrDY/rs:fit:32:32/Z3M6Ly9nZW5lcmF0/ZWQtcGhvdG9zLzA5/OTk4MDcuanBn.jpg"
            },
            { 
               64:"https://images.generated.photos/fvdixqevCLj6eoT8rbkUQDiiRvp6nccjM7lDVHw7P40/rs:fit:64:64/Z3M6Ly9nZW5lcmF0/ZWQtcGhvdG9zLzA5/OTk4MDcuanBn.jpg"
            },
            { 
               128:"https://images.generated.photos/jx1ho14kdbTDsCgncsZXezi4i4uWM1zigaa-GHVO5pQ/rs:fit:128:128/Z3M6Ly9nZW5lcmF0/ZWQtcGhvdG9zLzA5/OTk4MDcuanBn.jpg"
            },
            { 
               256:"https://images.generated.photos/1JcKjAHdJJa-ysgNxQQlf7KM-x6S0KJrbjr-IKF0NLA/rs:fit:256:256/Z3M6Ly9nZW5lcmF0/ZWQtcGhvdG9zLzA5/OTk4MDcuanBn.jpg"
            },
            { 
               512:"https://images.generated.photos/DQ4EKrAPT-e5slG3cXmSw20uJ2AwwhOzJeVnpI9tlMA/rs:fit:512:512/Z3M6Ly9nZW5lcmF0/ZWQtcGhvdG9zLzA5/OTk4MDcuanBn.jpg"
            }
         ],
         meta:{ 
            confidence:0.018248872831463814,
            gender:[ 
               "female"
            ],
            age:[ 
               "young-adult"
            ],
            ethnicity:[ 
               "white"
            ],
            eye_color:[ 
               "blue"
            ],
            hair_color:[ 
               "blond"
            ],
            hair_length:[ 
               "long"
            ],
            emotion:[ 
               "joy"
            ]
         }
      }, 
 [...]
}

En utilisation gratuite, l'API est limitée à 500 appels par mois. Au delà, il faudra consulter la grille tarifaire. Il faut compter 100 $, 200 $ et 600 $ respectivement pour 10 000, 25 000 et 100 000 appels par mois.

Après avoir rédigé pas loin de 2 500 articles en tout genre sur mon blog Spawnrider.Net entre 2006 et 2017, j'ai décidé de tout arrêter. Plus de motivation ni de temps à consacrer à mon blog. Il faut dire que rédiger des articles de qualité prend du temps... Et le temps je le consacre à autres choses : la famille, le travail ou mes autres occupations.

J'ai pourtant toujours envie d'écrire et de partager mes découvertes, créations ou mes coups de cœurs. J'ai donc décidé de faire de mon domaine Ciurlik.com, un blog technique essentiellement tourné vers le High-Tech, les gadgets, la domotique, et tout ce que je découvre au quotidien. C'est aussi un peu la faute de mon très cher ami Ludovic de Geeek.org que j'ai décidé de m'y remettre tout en essayant le CMS Ghost. Une nouvelle façon plus épurée et pratique de partager des articles, dans la lignée de Medium, plateforme que j'apprécie beaucoup. Et puis rédiger des articles, cela détend et permet de prendre un peu de recul sur son quotidien. C'est aussi faire l'effort de bien rédiger et de prendre de la hauteur pour se faire comprendre et partager vers une large communauté.

Au programme de 2020 et des années à venir : des articles sur mon quotidien, de la domotique, du hardware (arduino, esp8266, m5stack, ...), du Linux, des geekeries et pleins d'autres surprises. Pas d'articles sponsorisés pour des shampoings ou du nsfw pour faire de l'audience. De la pure tech à l'état pur. Pour le rythme, inutile de vous dire que cela dépendra de ma motivation. Mais une chose est sûre, ce n'est que le début ;) A bientôt donc pour de nouvelles aventures :)