Techno web serveur

Question 1

Avantages du modèle client/serveur d’HTTP ?

Answer 1

• Permet de séparer les responsabilités
• Si le serveur fait beaucoup de traitement cela facilite la portabilité de l’interface.
• Facilite le passage à l’échelle du serveur
• Découplage fort
• Evolution indépendante

Question 2

C’est quoi être sans état pour un serveur ?

Answer 2

Entre deux requête le serveur oublie la précédente. Une requête ne dépends donc pas des précédentes.

• Pas de contexte client sur le serveur
• Pas obligé de maintenir une connexion avec le serveur

Question 3

Avantages d’être sans état ?

Answer 3

• Visibilité : Facile de monitorer les site (Il suffit de logger les urls)
• Fiabilité : Reprise après panne plus simple
• Évolutivité : Passage à l’échelle
• Moins gourmand pour le serveur
• Implémentation serveur plus simple
• Possibilité d’avoir des intermédiaire (cache, proxy)

Question 4

Inconvénients d’être sans états ?

Answer 4

• Perte de consistance : Pas de moyen de forcer l’ordre des requêtes. Le serveur ne peut pas contrôler le comportement client
• Performances : Répétitions d’information

Question 5

C’est quoi le cache ?

Answer 5

On garde une copie des données pour éviter de refaire une requête plus tard.

Question 6

Avantages du cache ?

Answer 6

• Gain d’efficacité
• Moins de charge pour le serveur
• Réduit la latence.
• Gain de robustesse (Resistance aux pannes)

Question 7

Quel est l’inconvhéniant du cache ?

Answer 7

Baisse de fiabilité (Pas de mise à jour en temps réel possible)

Question 8

Que permet l’Interface Uniforme HTTP ?

Answer 8

• Découplage service/ implémentation
• Evolution indépendante
• Evite d’écrire des méthodes spécifique à chaque application.
• Utilisation du pipe and filter

Question 9

C’est quoi le pipe and filter ?

Answer 9

Unités autonomes (les filtres) qui effectuent des transformations sur des informations transmises par un réseau de connexions (les tubes).

Question 10

Code status HTTP ?

Answer 10

1XX Info
2XX Succès
3XX Redirection
4XX Erreur client
5XX Erreur serveur

Question 11

Quel est l’avantage d’un serveur applicatif plutôt que statique ?

Answer 11

Cela permet de créer une passerelle, de faire des calculs, manipuler la ressource, créer des portail.

Question 12

C’est quoi l’architecture 3-tiers ?

Answer 12

C’est une divisions du serveur applicatif en trois couche :
- Donné
- Traitement
- Présentation

Question 13

C’est quoi un CGI ?

Answer 13

Common Gateway Interface est une spécification standardisée qui dit comment le serveur web va pouvoir parler avec un programme pour faire un traitement.

Question 14

Quel est le but du CGI ?

Answer 14

Mettre a disposition des programmes plutôt que des documents

Question 15

Quel sont les avantages du CGI ?

Answer 15

• Executable normal = Indépendant d’une techno
• Autonome (Pas besoin d’une grosse infrastructure)
• Déploiement (Juste copier coller l’executable au bon endroit)
• Gestion des droits (suexec) (Exécuter le CGI avec les droits de l’utilisateur qui lance la requête)
• Isolation (Chaque requête s’exécute dans un environnement d’exécution différent) (Chaque processus de CGI n’affecte pas les autre processus CGI / le serveur web)

Question 16

Quels sont les inconvénients du CGI ?

Answer 16

• Un sous processus par requête = Coûteux, limité par le nombre de PID possible
• Pas d’état partagé entre les requêtes (C’est cool pour HTTP, mais pas cool pour une connexion BD ou un cache interne)

Question 17

Comment une requête communique avec le CGI ?

Answer 17

• Le serveur va définir un ensemble de variable d’environement qui seront traité par le programme
• Le corps de la requête est envoyé dans stdin
• Le programme doit écrire la réponse HTTP dans stdout

Question 18

A quoi servent les bibliothéques CGI ?

Answer 18

• Permet de faciliter l’accès au variable d’environnement
• Parsing de la query string et des formulaires
• Facilite la lecture de stdin
• Gestion plus rigoureuse des codes d’erreur
• Gestion des en-ête plus facile (Analyse d’un objet date par exemple) encodage des valeurs

Question 19

C’est quoi un langage embarqué ?

Answer 19

C’est comme un CGI mais qui permet d’éviter de relancer l’interpeteur à chaque requête on garde juste la version compilé sur le serveur.

Question 20

Quels avantages des langage embarqué ?

Answer 20

• Pas de sous-processus
• Accès direct aux variables (Php le fait pas ex)
• Ajout de fonction utilitaire
• Plus performant qu’un CGI

Question 21

Inconvenient des langages embarqués ?

Answer 21

Pas d’isolation
Dépendant du couple architecture/langage

Question 22

C’est quoi un fastCGI ?

Answer 22

La requête est analysé par le serveur web et lui dit quel daemon (serveur fastCGI) contacter. Ils communique en fastCGI.

Question 23

Quels avantages d’un fastCGI ?

Answer 23

• Pas de sous-processus (Le Daemon tourne déjà)
• Isolation > Sécurité
• Réutilisation (Cache, connexions BD)
• Répartition de charge
• Indépendant du language et du serveur

Question 24

C’est quoi un Daemon ?

Answer 24

Processus qui s’exécute en arrière-plan plutôt que sous le contrôle direct d’un utilisateur / déclanché par une requête.

Question 24

C’est quoi un serveur d’applications ?

Answer 24

• C’est entre le fastCGI et le langage embarqué
• Comme le fastCGI il y a des Daemon qui tourne sur un autre serveur
• La communication entre les Daemon est faites avec des objets reponses/requêtes
• Serveur qui fait tourner pleins d’applications en même temps
• Spécifique à un couple (langage,API) > Accès facilité aux paramètres

Question 25

Desavantage du serveur d’application ?

Answer 25

Très lourd

Question 26

C’est quoi une application autonome ?

Answer 26

• Comme un serveur d’application mais plus léger
• Programme autonome qui embarque le système
• Permet de faire plein de micro-services (Dev par des équipes différentes à des moments différentes)

Question 27

Avantage d’une application autonome ?

Answer 27

• Répartition des charges (Reverse proxy)
• Approche SOA

Question 28

Que veut dire SOA ?

Answer 28

Service Oriented Architecture

Question 29

C’est quoi un cookie ?

Answer 29

• Information envoyé par le serveur (clé, valeur) + méta
• Spécifique à l’application
• Stocké sur le client
• Renvoyé à chaque requête par le client
• Opaque pour le client
• A une durée de validité

Question 30

Que permet de faire le coookie ?

Answer 30

Cela permet au client de maintenir l’état et non le serveur pour respecter HTTP

Question 31

C’est quoi une session ?

Answer 31

• Structure de donnée (Identifiant => Ensemble de Clef/valeur)
• Stocké coté serveur
• On utilise un cookie qui stocke l’identifiant de session de l’agent
• Ressource non référençable (Pas d’url) donc non manipulable

Question 32

Exemple d’utilisation d’un session ?

Answer 32

• Authentification
• Préférence
• Panier de commande

Question 33

Quels sont les problèmes des sessions ?

Answer 33

• Etat coté serveur
• Donc les intermédiaires ne peuvent pas traiter la requête
• Donc le cache ne marche pas
• Perte de la répartition de charge
• On perd la reprise sur panne

Question 34

Solution aux problèmes des sessions ? (A passer)

Answer 34

idk?????

Question 35

C’est quoi un cookie tiers ?

Answer 35

• Cookie dans la réponse d’un serveur tier (pub, image)

Question 36

Quels sont les problèmes de sécurité des cookies tiers ?

Answer 36

• Dangereux pour la vie privée (Blocage/suppression)
• Autorité globale (Si authentification) = CSRF (Cross-site request forgery) (Faire une requête à la place du client et non voulu par le client)
• Données en clair : Session hijacking, replay (Donc on ajoute un horodatage + chiffrement + signature)
• Faible intégrité

Question 37

C’est quoi une CSRF ?

Answer 37

• Cross-site request forgery
• Faire une requête à la place du client et non voulu par le client

Question 38

C’est quoi le modèle MVC ?

Answer 38

• Modèle : Données et règle métier
• Vue : Présentation et formatage
• Contrôleur : Interaction et connexion Modèle/Vue

Question 39

C’est quoi le routage ?

Answer 39

Mapping (methode, url) au Controleur

Configuration tel méthode sur tel url je vais exécuter tel contrôleur

Question 40

C’est quoi un DAO ?

Answer 40

Data Access Object qui encapsule l’accès aux données BDD

Question 41

C’est quoi un micro-framework/framework ?

Answer 41

Fournis la manière de recoller les morceaux entre les Vue/Controle/Modèle

Mini = fournis le strict minimum

Question 42

C’est quoi un controleur ?

Answer 42

• Le contrôleur gère l’orchestration du système
• Capture les exceptions et retourne un code d’erreur HTTP au client si il y a eu un problème.

• A partir de l’url / en-tête il choisit le modèle qu’il faut instancier à l’aide du DAO
• En fonction du verbe il choisit l’opération à effectuer
  Il va extraire les données du modèles pour les donner à la vue pour découpler les deux
• A partir de l’url / en-tête il va choisir la vue et générer une réponse)

Question 43

Comment le framework regroupe le controleur/modèle/vue ?

Answer 43

• Du code avec des appels explicite d’API / Métadonnées (annotation)
• Via des fichier de configuration
• Ou des conventions dans les nommages

Question 44

Comment fonctionne le modèle de donné ?

Answer 44

• C’est lui qui se charge des règles métiers
• Il est chargé de l’accès aux données et de leur persistance
• Pas de dépendance avec le contrôleur
• Pas de dépendance/notion avec la vue

Question 45

C’est quoi l’Impedance Mismatch ?

Answer 45

Différence de concepts entre modèles objet et relationnel

Objet | Relationnel (BDD)
Référence | Type scalaire
Impératif |Déclaratif
Identité | Egalite

Question 46

Comment contrer l’impedance Mismatch ?

Answer 46

Pour contrer ce mismatch on va utiliser un DAO (Data Access Object) afin d’encapsuler l’accès aux données pour que notre modèle n’ait pas en s’en soucier.

Question 47

C’est quoi le DTO ?

Answer 47

Le Data Transfert Object encapsule les données qui proviennent de la base de donnée, c’est une structure pure (Boite d’attributs). Il donc utilisé pour les transferts.

Question 48

C’est quoi l’ORM ? Quels sont les cas difficile ?

Answer 48

L’Object-Relational Mapper permet déviter d’écrire le DAO (Eviter d’écrire du SQL)

Il suffit de configurer le framework

Cas difficile :
- Many to many (Jointure)
- Synchronisation

Question 49

C’est quoi une template ? Que fait il ?

Answer 49

C’est un moteur de formatage / printf sous stéroïde

• Génération de textes
• Il agit comme un patron (Modèle) qui va fournir la forme générale
• Le moteur de template prend le patron + les données et génère le résultat

Question 50

Différence entre template Illimité/Limité

Answer 50

Illimité :
- Langage complet (Hôte)
- Traitement quelconque
- ❌Peut modifier le modèle

Limité :
- Langage spécifique
- Peut uniquement lire des valeurs

Question 51

Quels sont les modes de fonctionnement des tempalte ?

Answer 51

Pull (Donné a la demande) : Vue > Données
Push (Donné a priori) : Contrôleur > Template

Question 52

C’est quoi une template callback ? Quels sont les inconvenient ?

Answer 52

• Mélange code/template (Donc on a du changement de contexte)
• Appel de code natif
• Mode Pull
• ❌Mélange logique et présentation
• ❌Plusieurs représentation = Duplication

Question 53

C’est quoi une template pipeline ? C’est quoi les avantages ?

Answer 53

• Patron externe
• Interprété (Pas besoin de recompiler si on recompile le fichier de données)
• Mode Push
• Langage spécifique
• ✅Sépare logique et présentation
• ✅Affichage cohérent même sans exécuter la logique métier
• ✅On ne duplique que la présentation

Question 54

C’est quoi MVCR (Renderer) ?

Answer 54

Model Vue Controller Renderer

toString sous stéroide

Conversions de valeurs (Date, nombre à virgule) en chaine de caractère.

Question 55

C’est quoi l’interface Uniforme HTTP ?

Answer 55

Ensemble des “verbes” dans les requêtes et code retour.

Question 56

Qui utilise le renderer ?

Answer 56

• Le contrôleur pour fournir à la vue que des chaines de caractères
• Le moteur de template directement

Question 57

C’est quoi l’internationalisation ? On le fait combien de fois ?

Answer 57

C’est le fait de rendre le code adaptable = Tout doit être adaptable en fonction de la locale. C’est ce que fait le renderer (Une fois pour toute)

Question 58

C’est quoi la localisation ? On le fais combien de fois ?

Answer 58

C’est le fait de traduire le code, les locales, faire des styles css (différents pour chaque langue.)

Question 59

Que défini la locale ?

Answer 59

Cela défini :
- Langue
- Sans d’écriture
- Ordre alphabétique
- Formatages des nombres
- Formatages des dates
- Formatage des monnaies
- Règles typographiques

Question 60

C’est quoi la négociation HTTP ?

Answer 60

Le client donne une liste de préférence et le serveur va donner une représentation de la ressource qui correspond le mieux.

Question 61

C’est quoi un caractère ?

Answer 61

C’est un élement abstrait qui “décrit un symbole”

Question 62

C’est quoi un jeu de caractères / Charmap ?

Answer 62

Bijection entre caractère et code numérique

Question 63

C’est quoi un encodage ? Donner un exemple

Answer 63

Représentation du code d’un jeu de caractère (nb de bits..)

Exemple : UTF-8

Question 64

C’est quoi une fonte ?

Answer 64

Lien entre caractère et glyphe

Question 65

C’est quoi un glyphe ?

Answer 65

Dessin d’un caractères

Représentation d’un caractère dans une fonte

Question 66

C’est quoi le BOM ?

Answer 66

Byte order mark permet de savoir où est le bit de poids fort (Petit/gros boutiste) pour UTF-16/32

Question 67

Quels sont les 3 parties de gestions de l’accès à une ressource ?

Answer 67

• Identification
• Authentification
• Autorisation

Question 68

C’est quoi l’identification ?

Answer 68

• Associer une identité / un identifiant à l’utilisateur
• Pas forcément un compte
• Pas forcément une identité physique

Question 69

Donner des exemples d’identification

Answer 69

• Recherches récentes > Recommandations
• Caddie
• Statistiques comportementales
• Corrélation de requêtes

Question 70

Comment on peut implémenter une identification ?

Answer 70

• Une en-tête
• Un cookie
• Implicite (Comportemental)

Question 71

C’est quoi une authentification ?

Answer 71

C’est le fait de garantir l’identité

Question 72

Donner des exemples d’authentification

Answer 72

• Mot de passe (HTTP, sessions)
• Jeton

Question 73

C’est quoi une autorisation ? Qu’utilise t’elle ?

Answer 73

Défini ce que l’utilisateur peut faire. Elle utilise les ACL

Question 74

C’est quoi un ACL ?

Answer 74

(Access control list) qui définit ce que chaque utilisateur à le droit de faire

Question 75

Quels sont les deux moyen pour faire remonter le mot de passe au serveur ?

Answer 75

• Formulaire et sessions
• HTTP Natif

Question 76

Points positif/négatif des formulaire et sessions pour faire remonter le mot de passe au serveur ?

Answer 76

• ✅ Formulaire personnalisé
• ✅ Page oubli / création
• 😕 Authentification persistante
• ❌ Automatisation
• ❌ Cookie (On peut voler le cookie)
• ❌ Le mdp passe en clair (TLS)
• ❌ Vol de session
• ❌ Créer un état sur le serveur

Question 77

Points positif/négatif de l’HTTP natif pour faire remonter le mot de passe au serveur ?

Answer 77

• ✅ Standard
• ✅ générique
• ✅ Automatisation
• ✅ Sans état
• 😕 Oubli / Création (Page 401/403 personnalisé)
• ❌Formulaire natif pas beau (Donc pas ouf pour une SPA)

Question 78

Quels sont les différents type d’authentification en HTTP natif ?

Answer 78

• Basic : mdp en clair (Même jeton tout le temps)
• Digest : mdp chiffré (Jeton à usage unique en md5 (Ne pose pas problème ici car le jeton est unique par défaut))
• Bearer : Opaque

Question 79

C’est quoi un jeton/token ?

Answer 79

C’est une suite de caractère unique qui permet d’authentifier l’utilisateur

Question 80

Si on créer son propre système pour la connexion on viole quels principe ?

Answer 80

• ❌ Don’t reinvent the wheel
• ❌ Don’t repeat yourself
• ❌ Intégration, portail, SSO (Single Sign-On)
• ❌ SécuritéS

Question 81

Comment doit on stocker les mots de passe ?

Answer 81

• Le mdp doit être
  
  • Salé / Poivré
    
    • Chaîne quelconque (Unique par utilisateur et par service)
    • Appli ou utilisateur
    • Stockée à part
    • Concaténé au mdp avant de le haché
  • Haché
    
    • “Unique”
    • Non reversible
    • ❌ MD5
    • ❌ SHA1
    • ✅ SHA256

Question 82

C’est quoi TLS ?

Answer 82

• Historiquement SSL (Secure Socket Layer)
• TLS (Transport Layer Security) (Entre HTTP et TCP)
• Permet de faire du https
• Indépendant de l’algo
• ❌Pas d’intermédiaire (Mort pour les caches partagé)

Question 83

C’est quoi un chiffrement symétrique ?

Answer 83

Principe : 2 clés
- Clé publique : Peut être divulguée sert à coder le message
- Clé privée : Gardée secrète (mot de passe) set à décoder le message

Pour chiffrer un message: On chiffre avec la clef publique de l’autre et l’autre déchiffre avec sa clef privé

Question 84

C’est quoi les but du chiffrement symérique ?

Answer 84

But :
- Authentification du serveur > Le serveur qui envoie la réponse a bien le certificat du nom de domaine.
- Chiffrement des communications
- Intégrité des données
- Authentification du client

Question 85

C’est quoi une signature ?

Answer 85

Signature : Garantir l’expéditeur et contenu (Intégrité et non répudiation)

Question 86

Comment fonctionne une signature ?

Answer 86

On hash et on chiffre avec sa clef privé puis on l’envoie. L’autre déchiffre avec la clef publique de l’expéditeur.

Question 87

C’est quoi un chiffrement symetrique ?

Answer 87

• Plus rapide que l’asymétrique
• Clé secrète qui chiffre et déchiffre

Question 88

C’est quoi un certificat ?

Answer 88

• Clé publique
• Méta-données
• Signé par une CA (Certification authority)

PKI (Private Key Infrastructure)

Question 89

C’est quoi les desaventage des certificats ?

Answer 89

• 😕 Certificats auto-signés
• ❌ Certaines CA fournissent à d’autre gens (NSA) des certificats root (Racine)