PHP-FPM est disponible dans le dernier php (5.3)... mais qu'est-ce-que c'est ?

PHP-FPM (FastCGI Process Manager) est une alternative à PHP FastCGI avec toute une série d'amélioration.

Principalement utile pour les sites à fort taux d'utilisation.

Plusieurs VHosts avec un UID/GID différent et des PHP.ini différents.

FPM permet de faire tourner plusieurs VHosts avec un UID/GID différent et des PHP.ini différents.

Support de l'upload accéléré

Statistique de base

similaire à mod_status d'apache.

Redémarrage de secours en cas de destruction accidentelle de l'opcode

Un header d'erreur

une config style

[ini]
 fastcgi.error_header = "HTTP/1.0 550 Server Made Big Boo"

... provoquera l'envoi de cette erreur au lieu d'en "200 tout va bien" avec une page blanche.

amélioration de la gestion des processus en cas de graceful stop/start

En pratique ca permet de prendre en compte une nouvelle config qui nécessite un redémarrage sans interrompre ce qui avait commencé avec l'ancienne configuration.

Journalisation des scripts lents

avec

[xml]
    <value name="request_slowlog_timeout">5s</value>
    <value name="slowlog">logs/slow.log</value>

donnera

[log]
 Sep 21 16:22:19.399162 pid 29715 (pool default)
 script_filename = /local/www/stable/www/catalogue.php 
 [0x00007fff23618120] mysql_query() /srv/stable/common/Database/class.MySQLRequest.php:20 
 [0x00007fff23618560] getResult() /srv/stable/common/Database/class.Facade.php:106 
 [0x00007fff23618aa0] query() /srv/stable/common/mysite.com/ORM/class.UsersMapper.php:99 

Journalisation de Stdout & stderr

fastcgi_finish_request()

une fonction spéciale pour clôturer la connexion avec le client, mais continuer un traitement php à découvrir en détail ici

Autres points

• PHP-FPM est compatible avec ZendOptimizer

---

à lire aussi

• J'ai commencé une page wikipedia que vous pouvez compléter. ^[1]
• Le site du projet
• http://blog.developpez.com/julienpauli/p8432/php/php-fpm-rejoind-le-svn-de-php/ php-fpm rejoint le svn de php par Julien Pauli
• Le fichier de config de fpm
• dispo pour debian
• Migration vers 5.3
• Sur lindev.fr

Qu'est ce que OAuth?

OAuth permet aux utilisateurs de donner, à une application ou un site "consommateur", l'accès à des informations personnelles sur un site "fournisseur" de service.

OAuth permet de gérer ces autorisations sans avoir besoin de donner son identité. (Wikipedia)

An open protocol to allow secure API authorization in a simple and standard method from desktop and web applications. (oauth.net)

Ressources trouvées avant investigation

• http://oauth.net/
• http://fr.wikipedia.org/wiki/OAuth
• Groupe sur google
• http://www.php.net/manual/fr/oauth.examples.fireeagle.php
• http://www.pdf-search-engine.com/oauth-pdf.html
• http://www.simpleentrepreneur.com/2008/02/11/oauth-un-nouveau-standard-a-surveiller-de-pres/
• Beginners Guide
• Exemple avec Twitter
• Exemple avec Twitter et Zend_OAuth
• Exemple avec Twitter et Zend_OAuth en français

• Une sandbox pour essayer avec google

-- Edit -- suite à la question pertinente d'Hervé j'ajoute ceci

Extrait de Différences entre identification, autorisation et authentification

Identification : OpenID

Dans le cadre d'OpenID, l'identification permet uniquement de dire : cette URL est à moi et peut me représenter. Les providers proposent maintenant d'autres services mais la base c'est uniquement ça, aucune couche de confiance si ce n'est l'assurance d'avoir une URL derrière. Après si vous liez votre OpenID à votre page personnelle, vous ajoutez forcément un certain crédit à votre OpenID car vous garantissez l'appartenance de la page en question.

Il y a aussi des initiatives pour ajouter cette couche de confiance auprès de tiers dits de confiance (Etat, banques, etc) mais c'est une autre histoire.

Autorisation : OAuth

L'autorisation consiste à laisser l'accès ou pas à une donnée, que ce soit avec des tokens (comme OAuth), avec des URLs cachées, bref ce que vous voulez en fonction de la criticité de la donnée en question.

Aucune notion d'identité derrière ça, du moment qu'il a les clés on le laisse passer.

Ici aussi, il y a des initiatives pour combiner l'autorisation et l'identification, reste à voir comment prendre en compte l'ergonomie au passage.

FireCAT (Firefox Catalog of Auditing exTensions) en version 1.2 est disponible.

FireCAT c'est une sélection d'extensions firefox orientées sécurité.

On y trouve 60 extensions. FireCAT a déjà dépassé les 40 000 download.

• FireCAT 1.2 Source (FreeMind) (Zip - 3.9 kb)
• FireCAT 1.2 HTML Browsable (Zip - 76.4 kb)
• FireCAT 1.2 PDF (PDF - 164.7 kb)

Pour la petite histoire, tout cela est parti d'un article écrit en février 2007 .

• Un campus virtuel avec la solution libre Claroline

Grace à sa modularité, le logiciel peut convenir à la formation en entreprise, à la gestion de projets ou comme espace de partage d'information. Olivier Chêne, vnunet 07-09-2007

http://www.vnunet.fr/fr/vnunet/news/2007/09/04/un-campus-virtuel-solution

• Analizando Claroline 1.8.6 (es)

http://www.karpicius.com.ar/?p=79

• Open Source eLearning and eWorking platform (en)

http://chasesagum.com/open-source-elearning-and-eworking-platform

Et un peu partout

• Alerte sécurité pour une faille corrigée depuis la 1.8.6

http://www.certa.ssi.gouv.fr/site/CERTA-2007-AVI-386/CERTA-2007-AVI-386.html

Claroline 1.8.6 (31 Juillet, 2007)

Alleï c'est pas le soleil qui revient qui va empêcher les sorties

Profitez en, les étudiants bronzent, les profs aussi.

Mettez à jour.

En bonus le chinois de Taïwan et pour célébrer la saison des saucisses cuites à la braise, le hongrois (pays du barbecue, pour ceux qui ont pas capté)

J'annonçais la semaine dernière la parution du livre sur la Sécurité PHP 5 et MySQL.

Sachez que la table des matières et 4 chapitres sont disponibles en pdf chez l'éditeur (Eyrolles)

• Risques liés aux applications web
  • Introduction à la sécurité des applications web
  • Vulnérabilités des pages web
  • Formulaires et téléchargement ; valider les données
  • Cookies et sessions
• Mesures de sécurité pour PHP
  • Installation et configuration de PHP
  • Intégrité des scripts PHP
  • Risques liés aux bases de données
  • Vulnérabilités des base de données
  • Mesures de sécurité pour MySQL
• Mesures de sécurité pour les technologies connexes
  • Mesures de sécurité côté serveur
  • Techniques de sécurisation des applications web
  • Mener un audit de sécurité
• Annexes
  • A. Fonctions de sécurité et caractères spéciaux
  • B. Sauvegardes
  • C. Ressources web

Livre Sécurité PHP 5 et MySQL
Il est sorti. Il donne des conseils, des idées, des conduites, des approches, à chacun d'en tirer les leçons et développer les réflexes.

Disponible chez eyrolles.

Une petite présentation sur toutes les partiques qui mènent à ouvrir quelques fonctionnalités aux rares malveillants qui fréquentent notre beau web. La sécurité, ca se vit déjà tous les jours, alors pourquoi se donner plus de travail, alors qu'une série de bonnes pratiques permettent de s'éviter pas mal de problèmes.

Généralement quand un ordinateur fait quelque chose pour vous, pour vous faciliter la vie de gestionnaire ou codeur ou administrateur, alors il aura probablement aidé aussi les malveillants.

Il y a souvent des articles sur le sujet dans direction PHP mais aller voir les slides pour continuer cela

Damien Seguy nous a décliné cela.

Enfin je peux le dire. Ca y est on est inscrit.

Lire la suite...

GnuPG pour Windows (OpenPGP en français)

Il faut aussi prendre les plugin pour thunderbird