Nouvelles fonctions de LONGHORN

L’an dernier, lors de la PDC (Professional Developers Conference) de Microsoft, la firme a levé le voile sur ce que pourrait offrir la prochaine version de Windows, dont le nom de code est Longhorn. La nouvelle version attendra peut-être 2006, mais le cycle de développement de Longhorn est bel et bien lancé. Dans ce top 10, je présente dix des nouvelles fonctions les plus notables que Microsoft envisage pour la prochaine version de Windows. (Au cas où vous vous poseriez la question, sachez que Longhorn est le nom d’un saloon près de Whistler Mountain en Colombie britannique, Canada.)

Protection de l’IFS contre les virus

par Phil Coulthard, Mis en ligne le 12/04/2006 - Publié en Novembre 2005

Pendant longtemps, les utilisateurs iSeries ont fait confiance à i5/OS pour repousser les virus, les chevaux de Troie et autres vers, qui assaillent les systèmes Microsoft Windows. Et cela, en grande partie grâce à l’architecture d’authentification basée sur la capacité i5/OS. Bien que cette architecture soit très « mature » (ses origines remontent au S/38 dans les années 1970) et présente parfois quelques faiblesses (que l’IBM traite rapidement), aucun virus n’est jamais parvenu à infecter un programme ou objet natif iSeries.En i5/OS, un objet fichier ne peut pas imiter un programme exécutable et un programme ne peut pas modifier le code binaire d’un autre : une fois créé, un programme est immuable. De plus, les programmes ne peuvent accéder aux objets que par des interfaces sûres et bien définies, et pas directement par l’intermédiaire d’une adresse mémoire ou disque. En matière d’objets natifs, i5/OS rend inopérantes les techniques habituelles des auteurs de virus.

Dans ce propos, le terme vedette est l’adjectif « natif ». La robuste sécurité objet de l’iSeries ne s’étend pas jusqu’aux portions de l’IFS (integrated file system) – particulièrement les portions présentes dans les répertoires racine accessibles à distance par des postes de travail et des serveurs Windows porteurs de virus. Quand un système distant accède à l’IFS, il a le pouvoir d’infecter les fichiers IFS avec un code viral. Les systèmes non infectés qui liront ultérieurement les fichiers infectés pourront eux-mêmes être contaminés. Un virus peut ainsi se répandre dans un réseau d’entreprise en quelques minutes, causant des dégâts incalculables.

Jusqu’à la V5R3, la seule protection antivirus pour l’IFS était constituée de packages antivirus de type PC qui scrutaient la racine IFS à distance, en la traitant simplement comme un autre lecteur disque de PC. Malheureusement, pour pouvoir faire cela, le PC chargé du scanning doit posséder tous les droits objet sur l’IFS : un gros risque pour la sécurité. Le scanning proprement dit doit lire tout le contenu de l’IFS initialement, avec pour résultat de gros volumes de trafic réseau. Et, bien que les scans suivants puissent être limités aux seuls fichiers modifiés depuis le dernier scan, rien ne garantit qu’une infection ne surviendra pas et ne se répandra pas entre les scans.

Avec la V5R3, IBM fait bénéficier i5/OS de la puissance du scanning de virus natif. Moyennant de nouveaux attributs de répertoire et de fichier, valeurs système et programmes de sortie, l’iSeries fournit désormais des points de connexion pour les programmes antivirus tiers qui assurent la protection en temps réel de l’IFS, éliminant le risque d’infection entre des scans. Et comme la protection antivirus est native, elle ne gonfle pas le trafic sur le réseau. Mieux encore, les extensions antivirus i5/OS sont à la disposition de tous : développeurs antivirus commerciaux et non commerciaux. Il sera donc possible de porter un scanner antivirus open-source sur l’iSeries.

Il faut noter que la validation du scanning de virus V5R3 n’inclut pas le logiciel de scanning de virus et de réparation proprement dit. Il faut l’obtenir auprès d’un fournisseur tiers ou écrire le vôtre. Il existe un produit commercial disponible dès à présent – livré, en fait, dans le cadre de la V5R3 – qui permet de bénéficier immédiatement de la protection antivirus natif : StandGuard AV for V5R3 de Bytware. Il est fort probable que d’autres produits antivirus apparaîtront à l’avenir. Pour bien évaluer de tels produits, ou peut-être pour écrire le vôtre, vous devez comprendre les mécanismes de scan de virus de la V5R3.

Heureusement, les améliorations sont simples et vous les assimilerez rapidement. Il y a deux nouveaux attributs de fichier/répertoire, deux nouvelles valeurs système, et deux nouveaux points de sortie de programme. Quand vous

Les 12 commandements du partage de fichiers

Le partage de fichiers peut être un point d’échange vital pour les fichiers utilisateur en collaboration, trop grands pour être envoyés comme pièces jointes de courriel. Outre la facilité d’accès pour l’utilisateur, ces partages de fichiers existent généralement sur un serveur avec des solutions de stockage redondantes. Ils réduisent le risque de perte de données consécutive à une défaillance du disque, parce que l’on peut sauvegarder les données en un point central plutôt que de sauvegarder le PC client de chaque utilisateur. (Quiconque a payé à un service de récupération de données de 1 000 à 3 000 euros pour extraire des données cruciales d’un disque dur d’un poste PC défaillant appréciera l’intérêt de la redondance du stockage sur le serveur de fichiers.)C’est pourquoi le partage de fichiers est une ressource très utilisée. Mais c’est aussi une pratique à haut risque qui peut mettre en péril les données de l’entreprise si l’on ne maîtrise pas parfaitement l’exercice. J’ai constaté que de nombreux administrateurs système ne savent pas vraiment comment les permissions de partage et de NTFS interagissent et n’ont pas un plan global solide pour leurs ressources de dossiers partagés. Pour vous aider à analyser votre environnement de dossiers partagés actuel et peut-être découvrir quelques nouvelles bonnes pratiques, j’ai recensé les 12 commandements suivants sur le partage de fichiers.

Comprendre et apppliquer le cryptage DB2 UDB

par Kent Milligan Mis en ligne le 01/O3/2006 - Publié en Juillet 2005

Les stratégies de confidentialité des données et les usurpations d’identité ont accentué la prise de conscience de la sécurité tant dans nos services de technologies de l’information que dans nos foyers. Cette sensibilisation oblige les programmeurs et administrateurs iSeries à élaborer de nouvelles méthodes de protection pour le contenu sensibles des bases de données DB2 UDB for iSeries. La V5R3 propose de nouveaux moyens de protection des données, grâce aux fonctions de cryptage et de décryptage DB2.
Mais avant de nous intéresser aux nouvelles méthodes de protection des données, ne négligeons surtout pas la première ligne de protection des données DB2: la sécurité au niveau objet. Les services de sécurité au niveau objet i5/OS jouent un rôle de premier plan dans la protection des données DB2, indépendamment de l’interface d’accès. Dès lors que l’utilisateur final demande davantage d’interfaces d’accès, les sites iSeries ne peuvent plus se contenter de la sécurité basée sur menus, pour contrôler l’accès aux données sensibles. La sécurité au niveau objet empêche tout utilisateur non autorisé d’accéder aux données sensibles (comme les rémunérations) pour les supprimer ou les modifier.Le cryptage des données est une méthode de sécurité qui érige une autre ligne de protection autour des colonnes DB2 contenant des données sensibles. Ce niveau de sécurité supplémentaire s’impose parce que la sécurité au niveau objet ne saurait empêcher des utilisateurs autorisés comme les servant du help desk, de visualiser des données sensibles, ni empêcher un pirate de lire ces mêmes données, au moyen de références (ID et mot de passe) volées à un utilisateur autorisé. Si des données sensibles comme un numéro de carte de crédit sont stockées sous forme cryptée, tous les utilisateurs recevront toujours, par défaut, une chaîne binaire de données cryptées. Pour lire en clair le numéro de la carte de crédit, l’utilisateur devra remplir deux conditions : être autorisé à accéder à l’objet DB2 et connaître le mot de passe de cryptage et la fonction de décryptage.
A l’aide d’un exemple, voyons comment on pourrait utiliser la nouvelle fonction de cryptage et de décryptage DB2 dans ce scénario, pour fournir un degré de sécurité supplémentaire.

SET ENCRYPTION PASSWORD
INSERT IN INTO customer
VALUES('JOSHUA', ENCRYPT('1111222233334444'))

SET ENCRYPTION PASSWORD
SELECT name, DECRYPT_CHAR(card_nbr)
FROM customer

Ici, l’instruction Set Encryption Password fournit à DB2 la clé qui servira pour crypter les données et pour les décrypter. L’instruction suivante montre comment la fonction de cryptage DB2 sert à coder le numéro de carte de crédit sensible avant de l’écrire dans la table DB2. La dernière instruction montre les étapes nécessaires pour visualiser la valeur originale du numéro de carte de crédit '1111222233334444'. En premier lieu, la clé de cryptage doit être mise à la même valeur que celle qui a servi à crypter le numéro. Ensuite, il faut utiliser l’une des fonctions de décryptage pour convertir la valeur cryptée binaire en valeur caractère initiale.
Dans cet exemple, on remarquera tout particulièrement l’absence de mots-clés SQL ou DDS ordonnant à DB2 UDB de crypter et de décrypter automatiquement les données. Des changements d’application sont donc nécessaires. La raison en est que le cryptage et le décryptage automatiques ne fournissent pas un degré de sécurité supplémentaire. Si DB2 décrypte le numéro de carte de crédit pour tous les utilisateurs qui lisent la table Customer, alors le numéro de carte de crédit sera aussi visible aux yeux des utilisateurs que s’il n’y avait pas de cryptage. On ne peut tirer parti du cryptage qu’en changeant les applications et les interfaces de manière à décrypter sélectivement les données pour un sous-groupe d’utilisateurs autorisés. DB2 apporte une valeur ajoutée en la matière : ces nouvelles fonctions facilitent le cryptage et le décryptage. Les applications se contentent d’invoquer une fonction SQL simple au lieu de coder des appels adressés à des API et des services de cryptographie complexes.

RPG ET L’IFS : FICHIERS STREAM BINAIRES

par Scott Klement Mis en ligne le 07/02/2006 - Publié en Juin 2005

Cet article est le quatrième de la série RPG et l’IFS. Le premier article (« Introduction aux fichiers stream », janvier 2005, ou www.itpro.fr Club Abonnés) expliquait les principes de base des fichiers stream – comment les ouvrir et comment les lire et y écrire. Le deuxième article (Fichier texte : une première », mars 2005 ou www.itpro.fr expliquait un style particulier de fichiers stream appelé fichiers texte. Le troisième article (« Fichier texte dans le monde », avril 2005 ou www.itpro.fr ) démontrait quelques utilisations de fichiers texte dans des applications de gestion. Le présent article explique les fichiers stream binaires : des fichiers stream qui contiennent des types de données autres que du texte.Sur l’iSeries, chaque objet disque a un type d’objet particulier, comme *FILE, *PGM, *DTAARA ou *SAVE. Cependant, les plates-formes comme Unix ou Windows n’ont que deux types d’objets disque : fichiers et répertoires. Ces fichiers, appelés fichiers stream, ne servent pas qu’aux données. Ils contiennent aussi des programmes exécutables, des images, du son, de la vidéo et tout ce que l’on peut imaginer d’autre. Les fichiers texte, comme ceux que j’ai présentés dans le précédent article, ne conviennent évidemment pas pour cela. On aura parfois besoin d’un fichier capable de stocker plus que du texte, et c’est là que les fichiers stream binaires ou (« binaires », en abrégé) entrent en scène.

News iSeries – Semaine 2 – 2006

Toutes les actualités de la semaine du 9 au 15 Janvier 2006

Les services Web peuvent-ils vous servir?

par Aaron Bartell - Mis en ligne le 07/12/2005 - Publié en Mars 2005

Vous vous demandez peut-être « Pourquoi parle-t-on autant des services Web dans le monde de la technologie ? Après tout, il y a belle lurette que nous faisons du développement orienté service modulaire et que nous nous connectons à  d'autres systèmes distants. Il y a tellement de moyens différents de communiquer avec l'iSeries (DDM, DRDA, FTP, ODBC, JDBC, « raw sockets »). Devons-nous vraiment nous encombrer d'une technologie de plus ? Pourquoi ne pas simplement adopter l'une des méthodes de communication existantes et continuer à  progresser ? Pourquoi les services Web ? Pourquoi maintenant ? Pourquoi toutes ces nouvelles technologies et nouveaux standards déroutants ? »

Conférences Sécurité & Stockage

Vos données et vos applications sont sous la menace constante des virus, des hackers, des sinistres, d'une malveillance ou encore d'une erreur de manipulation.
Pour vous aider à répondre à ces enjeux, HP et Microsoft en partenariat avec Windows IT Pro Magazine organisent un tour de france thématique afin de présenter leurs dernières solutions de sécurité et de stockage.
 

Ce tour de France sera à Lyon le 18 Avril, Nantes le 20 Avril, Strasbourg le 25 Avril, Bordeaux le 27 Avril et à Paris le 10 Mai 2006.
Découvrez ici le enregistrez vous.

A la conquête des limites intégrées d’ACTIVE DIRECTORY

Plus on utilise Active Directory (AD), et plus on risque de subir une ou plusieurs des limites imposées soit par AD lui-même, soit par une interface servant à l’administrer. Ces limites visent principalement à optimiser les performances d’AD et elles n’ont que peu de rapport avec le nombre d’objets possible. Par exemple, le maximum de comptes utilisateur possibles dans un domaine Windows NT était de 40 000. Le nombre de comptes utilisateur possibles dans un domaine AD est énorme. Je ne connais pas le maximum, mais Korea.com (portail Internet proposant des services Web aux citoyens coréens) a une implémentation d’AD couvrant 8 millions de comptes utilisateur. Nous allons voir quelques-unes des limites d’AD actuelles et comment s’y adapter, ou comment s’en affranchir si elles devaient s’avérer gênantes.

Trucs & Astuces : Envoyer du courriel au moyen du RPG

Les trucs & astuces de la semaine du 20 au 26 février 2006

Considérations technologiques pour les applications Java de type Web

par Don Denoncourt Mis en ligne le 07/02/2006 - Publié en Juin 2005

Avant d’embarquer votre site dans le développement d’une application Java de type Web, songez à utiliser diverses technologies Java côté serveur : en particulier HTML, JavaBeans, Java Server Pages (JSP) et les servlets. Vous avez probablement aussi entendu parler de Struts et du modèle de conception MVC (Model/View/ Controller), mais que savez-vous sur JavaScript, JSP Standard Tag Library (JSTL) et la dernière trouvaille de Sun, JSF (JavaServer Faces) ? Cet article vous permettra de choisir la combinaison technologique la mieux adaptée à votre application.

Trucs & Astuces : iSeries Access for Windows

Les trucs & astuces de la semaine du 9 au 15 Janvier 2006

[V4-V5]SQL Server Actualités – Semaine 49 – 2005

Les actualités SQL Server pour le mois de Décembre 2005

[V4-V5]News iSeries – Semaine 45 – 2005

Toutes les actualités du 7 au 13 Novembre 2005

[V4-V5]News iSeries – Semaine 42 – 2005

Toutes les actualités du 17 au 23 Octobre 2005

[V4-V5]News Exchange : Semaine 40 – 2005

Toutes les actualités d'Octobre 2005 pour Exchange Server

[V4-V5]Trucs & Astuces : Power Tips, 550 Access Denied

Les trucs & astuces de la semaine du 19au 25 Septembre 2005

[V4-V5]Nouveaux Produits Exchange – Semaine 36 – 2005

Les nouveaux produits de Septembre 2005 pour Exchange Server

LPAR : la solution à  vos besoins de consolidation ?

par Jeff Yanoviak - Mis en ligne le 13/07/2005 - Publié en Octobre 2004

Le partitionnement logique (LPAR, logical partitioning) se prête naturellement à  la consolidation. En effet, il permet d'isoler les charges de travail, mais aussi d'utiliser différents langages primaires, fuseaux horaires et versions OS/400, sur un seul iSeries physique. Mais, pour prendre des décisions en matière de consolidation, il faut prendre en compte d'importants facteurs sur le plan économique, performance et disponibilité. Voyons donc quelques points à  considérer si vous envisagez d'utiliser LPAR dans un projet de consolidation ...Le partitionnement logique (LPAR, logical partitioning) se prête naturellement à  la consolidation. En effet, il permet d'isoler les charges de travail, mais aussi d'utiliser différents langages primaires, fuseaux horaires et versions OS/400, sur un seul iSeries physique. Mais, pour prendre des décisions en matière de consolidation, il faut prendre en compte d'importants facteurs sur le plan économique, performance et disponibilité. Voyons donc quelques points à  considérer si vous envisagez d'utiliser LPAR dans un projet de consolidation.

[V4-V5]Nouveaux Produits SQL Server – Semaine 25 – 2005

Les nouveaux produits SQL Server pour le mois de Juin 2005