New features and latest news on Canaille

by Brunélie Lauret <brunelie@yaal.coop> from Yaal

Our latest news

2024 ended with a lot of new developments on Canaille, funded by NLNet. You can read it all on our dedicated blog post. We went through another round of developments, still under the same fund. You can read it all on this page!

Security audit and improvements

Canaille started 2025 with a security audit, conducted by Radically Open Security. Our main objectives were to know the weaknesses of our product and implement fixes before the end of march.

Better password reset security

The implementation of the flask TRUSTED_HOSTS (see documentation here) configuration variable prevents our "magic links" at user registration and password reset to be falsified and hijacked by a malicious host.

We also improved the way these links are generated to make them more secure and introduce a time limit in their validity.

Logo retrieval vulnerability

We removed a vulnerability that could theoretically permit a server-side request forgery (SSRF) when retrieving the logo of the application.

Better user URL validation

We improved the validation of the user website's URL to make it more restrictive.

Implementation of Content Security Policy

Content Security Policy (CSP) has been implemented on Canaille via Flask-Talisman. CSP makes it harder to disrupt our application, for example with cross-site scripting (XSS) attacks.

OIDC Certification

The OpenID Certification process was expected to be much less trouble than it was. We made a lot of progress on making the certification tests pass but still have a lot to do in order to be certified. We implemented features and fixes as well as raised issues and contributed to Authlib to get better support of the OpenID Specification.

Part of the progress done was:

• Match OIDC specification on redirect URIs validation.
• Update our models to implement attributes required by OIDC.
• Displaying Terms of Service and Privacy policy links if the client requesting authorization issues them.
• Displaying most request errors as JSON error pages.
• Responding with JSON web tokens when requested by the client.
• Improvement on Canaille's handling of JWTs and JWKS.

Packaging: Docker image

Canaille can be tested more easily thanks to a docker image hosted on a public hub docker repository. Users can discover Canaille via an administrator profile.

The creation of this docker image was made possible by building a nix package.

Accessibility audit and improvements

Canaille benefited from an Accessibility audit as well, conducted by HAN accessibility lab. The results provided underlined several contrast issues and lack of differentiation of links from regular text, and a few keyboard navigation issues.

Accessibility improvements

• Most color contrast issues have been fixed.
• Most link differentiation and visual changes on focus and hover have been fixed.
• A skip link has been added at the top of every page.

SCIM Provisioning

Canaille already provided a SCIM server implementation since our last security update. It now also supports SCIM client features, allowing a Canaille instance to automatically broadcast changes on users and groups to client applications. This should make it easier for all applications to remain synchronized without needing additional user intervention.

Thanks for reading, we will keep you updated on our next progress, and you can still read about our other free software contributions on our *seasonal contributions* blog posts.

Lire la suite…

Typage python avec des tableaux numpy ou autre

by François from Linuxfr.org

Bonjour,

Je code une librairie python en utilisant les annotations de type. Elle manipule des tableaux numériques de type Numpy, PyTorch, …

Donc j'ai des fonctions qui peuvent prendre n'importe qu'elle type de tableau et je comprends pas comment faire les annotations. Pour le moment, je fais ça

Array = TypeVar("Array")

def is_array(x) -> TypeGuard[Array]:
    """A TypeGuard for array-like objects."""
    return array_api_compat.is_array_api_obj(x)

def func(inarray: Array) -> Array:
   ...

mais pyright me dit

warning: TypeVar "Array" appears only once in generic function signature. Use "object" instead (reportInvalidTypeVarUse)

Par ailleurs, j'utilise is_array dans mes fonctions

if not is_array(inarray):
    raise ValueError(
        "`inarray` must be a compatible with Array API Standard (eg. numpy, pytorch, ...)"
    )

des_choses_avec_inarray

mais mypy me dit que inarray est de type Never (mais pas pyright)…

Bref, je suis un peu perdu, il semble que l'on rentre dans des subtilités hors de ma portée. Si vous pouvez m'aidez merci !

Commentaires : voir le flux Atom ouvrir dans le navigateur

Lire la suite…

Besoin d’aide pour apprendre l’IA et le Machine Learning avec Python

by Malouek from AFPy discuss

(sujet supprimé par son auteur)

1 message - 1 participant(e)

Lire le sujet en entier

Lire la suite…

Comment OpenDocument enregistre-t-il les cellules des tableurs (`odfpy`)

by yoan from AFPy discuss

Salut,

Je tente de modifier des tableurs ODS existants pour remplir des cellules avec odfpy (paquet pas mis à jour récemment, mais ça a l’air d’être le plus stable et sérieux de PyPI néanmoins ?).

Mon postulat initial était que pour accéder à une cellule, il suffisait de parcourir les éléments du XML dans l’ordre : C5 serait donc la ligne à l’indice 4 (5) puis la colonne 2 (C).

Cette théorie marche bien tant qu’il n’y a pas de cellule fusionnée dans le document. Le cas contraire, ça se complique et je ne comprends plus grand chose.

J’ai fait un test.ods et un notebook ici pour illustrer mon incompréhension. Cela montre que, après des cellules fusionnées (en ligne ou en colonne), les autres cellules subissent un offset, que je ne sais pas expliquer.

Quelqu’un a-t-il déjà manipulé des ODS ainsi ?

7 messages - 3 participant(e)s

Lire le sujet en entier

Lire la suite…

homebrew et .venv

by busterComanche from Linuxfr.org

Bonjour,
lien présentation : https://linuxfr.org/forums/programmation-python/posts/je-me-presente

Alors voilà, je suis sur un tuto YouTube d'assistant virtuel, et bien que j'ai énormément creusé, je souffre. C'est pourquoi je me suis inscrit.

OK pour l'install de packages en cascade…

Mais ma première question concerne le fait que après l'install d'un package réussie, il n'est pas forcément reconnu dans mon code (genre sur l'import, ou plutôt sur l'appel de certaines méthodes), bien qu'il soit présent dans le terminal.

En gros, j'ai bien compris ce que je ne comprenais pas.
2 sujets :
- les installs homebrew
- l'environnement virtuel

J'en dis pas plus pour ne pas surcharger.

Merci d'avance.

Commentaires : voir le flux Atom ouvrir dans le navigateur

Lire la suite…

La nouvelle informatique

by volts from Linuxfr.org

Commentaires : voir le flux Atom ouvrir dans le navigateur

Lire la suite…

Contributions à des logiciels libres par l'équipe Yaal Coop durant l'hiver 2025

by Éloi Rivard <eloi@yaal.coop> from Yaal

Mécénat

• Marco 'Lubber' Wienkoop pour son travail sur Fomantic-UI, un chouette framework CSS que nous utilisons dans canaille. Fomantic-UI est aussi utilisé par d'autres outils sur lesquels nous comptons, comme Forgejo.
• Hsiaoming Yang pour son travail sur authlib, une bibliothèque python d'authentification que nous utilisons dans canaille.

MarkdownMail

Bibliothèque d'envoi d'e-mails dont le contenu HTML est généré automatiquement

• Correction de la capture d'écran, puis publication de la version 0.11.1.

Ergo-L

Disposition de clavier optimisée pour le français, l’anglais et la programmation

• Correction du rendu du '^' comme touche
• Ajout du besoin de pandoc pour générer le site web
• Présentation minimale de l'usage sur la page d'accueil
• Ajout de caractères manquants ('ß' et 'ñ' ) dans le fichier ergo.svg

sphinxcontrib-screenshot

Génération dynamique de captures d'écran pour les documentations Sphinx

• Ability to take screenshots from local WSGI applications
• Pass import path instead of callable in `screenshot_apps
• Python 3.12 and 3.13 GHA
• Pre-commit configuration
• :color-scheme: option
• Tox configuration
• Consider the color scheme when building the image hash
• Implement default size configuration parameters
• Move from setup.cfg to pyproject.toml
• Allow file:// url schemes
• Use the raw URL value to build the image hash
• Add a screenshot_default_color_scheme parameter
• Add :full-page: option
• Custom request headers
• Custom contexts
• Add :browser: option
• Documentation creation
• Documentation fixes
• The screenshot directive inherits from figure

python-libfaketime

Une alternative rapide à freezegun pour mocker les dates, en utilisant libfaketime

• Désactivation de FAKETIME_FORCE_MONOTONIC_FIX
• Mise-à-jour de pre-commit
• Support pour Python 3.13

Authlib

Bibliothèque Python de gestion des identités et des accès

Nous avons publié 2 nouvelles versions durant cette saison.

• Implémentation côté serveur de la spécification RFC9207
• Ajout d'un paramètre kid à generate_id_token
• Migrate de flake8 vers ruff
• Ajout de descriptions à InvalidClientError et UnauthorizedClientError
• Implémentation de la spécification « OpenID Connect Dynamic Client Registration »
• Utilisation de groupes de dépendances pour les tests
• Correction du paramètre iss de la RFC9207

mutmut

Système de tests par mutations

• Annotation des dict mutants pour corriger la compatibilité avec Pydantic
• Évite de muter les métaclasses

scim2-cli

Outil en ligne de commandes pour interagir avec des applications SCIM

Nous avons publié 1 nouvelle version durant cette saison.

• Implémentation du paramètre --no-verify pour éviter les vérifications de certificats

scim2-models

Sérialisation et validation de ressources SCIM avec Pydantic

Nous avons publié 1 nouvelle version durant cette saison.

• Correction des limites basses de startIndex et count
• ListResponse.total_results est un paramètre obligatoire

Canaille

Serveur d’identité et d'autorisations ultra-léger

Nous avons publié 8 nouvelles versions durant cette saison.

• Option CLI --version
• Implémentation du paramètre --all de la commande get
• L'interface CLI peut afficher les mots de passes chiffrés
• Migrations SQL avec flask-alembic
• Correction du remplissage automatique du champs de mot de passe à la réinitialisation
• Intégration HTMX avec le formulaire de confirmation d'emails
• Ajout automatique de captures d'écran dans la documentation
• Implementation de la commande run qui lance un serveur hypercorn
• Le paramètre SECRET_KEY est facultatif
• Commande d'export de la configuration
• Fichier unique exécutable
• Correction de la commande d'installation en SQL
• Correction de l'internationalisation dans l'exécutable unique
• Paramètre kid dans le JWKS
• Gestion du paramètre jwks lors de l'enregistremnet dynamique des clients OIDC
• Implémentation de la RFC7523
• Utilisation d'une image docker LDAP personnalisée pour la démo
• Implémentation du paramètre de configuration LOGIN_ATTRIBUTES
• Implémentation de la norme « OIDC Dynamic Client Registration »
• Émission de signaux lors des évènements importants des objets
• Mise-à-jour vers Fomantic 2.9.4
• Implémentation de RFC9207 avec Authlib
• Renommage de Client.preconsent vers Client.trusted
• Maintien de l'ordre d'ajout dans les tables SQL relationnelles
• Implémentation naïve de la commande restore
• La commande delete prends des paramètres de filtrage
• Correction de la command restore avec LDAP et des données partielles
• Les comptes verrouillés ne peuvent pas réinitialiser leurs mots de passe
• Suppression d'un correctif temporaire pour l'affichage d'icônes en CSS
• Découverte automatique des serveurs SMTP locaux
• Enrichissement des paramètres de permissions par défaut
• Correction de diverses erreurs dans l'interface web lorsqu'un utilisateur n'a aucune adresse email définie
• Résoud de l'enregistrement de clients sans périmètre
• Correction: Autorise un client à accéder à "userinfo" avec le périmètre openid
• Résoud "S'assurer que le lien de redirection du client ne contient pas de composant fragment à l'enregistrement"
• Correctif de sécurité : Il n'y a plus de lien magique dans la réinitisation de mot de passe si la variable TRUSTED_HOSTS n'est pas configurée
• Résoud "Ensure authorization requests have a valid redirect URI"
• Résoud "Accessibilité : Ajout d'un lien d'évitement dans toutes les pages"
• Remplace la regec par urlparse dans validate_uri
• Utilisation de HMAC pour construire les hashes
• Résoud "Accessibilité : Corrige le ratio de contraste sur les boutons et les textes"
• Amélioration de la lisibilité des paginations
• Affiche les liens vers la politique de confidentialité et les conditions d'utilisation sur les pages d'autorisation client, si définis
• Les erreurs d'URI avec fragments sont maintenant affichées en json

PSPSDK

Ensemble d'outils et de bibliothèques pour la console PSP de Sony

• Ajout de descriptions sur des bibliothèques

Lire la suite…

Winter 2025 FOSS contributions from by the Yaal Coop team

by Éloi Rivard <eloi@yaal.coop> from Yaal

Sponsoring

• Marco 'Lubber' Wienkoop for his work on Fomantic-UI, a nice CSS framework we use in canaille. Fomantic-UI is used on other tools we rely on, like Forgejo.
• Hsiaoming Yang for his work on authlib, a python authentication library we use in canaille.

MarkdownMail

Library to send e-mails with generated HTML content

• Fix screenshot picture, then release 0.11.1.

Ergo-L

Keyboard layout optimised for French, English and programming

• Fix '^' rendering as key pressed
• Add pandoc requirement to generate the website
• Explain basic usage on the homepage
• Add missing characters ('ß' and 'ñ' ) in ergo.svg file

sphinxcontrib-screenshot

Generate dynamic screenshots in Sphinx documentation

• Ability to take screenshots from local WSGI applications
• Pass import path instead of callable in `screenshot_apps
• Python 3.12 and 3.13 GHA
• Pre-commit configuration
• :color-scheme: option
• Tox configuration
• Consider the color scheme when building the image hash
• Implement default size configuration parameters
• Move from setup.cfg to pyproject.toml
• Allow file:// url schemes
• Use the raw URL value to build the image hash
• Add a screenshot_default_color_scheme parameter
• Add :full-page: option
• Custom request headers
• Custom contexts
• Add :browser: option
• Documentation creation
• Documentation fixes
• The screenshot directive inherits from figure

python-libfaketime

A fast time mocking alternative to freezegun that wraps libfaketime.

• Disable FAKETIME_FORCE_MONOTONIC_FIX
• Pre-commit update
• Python 3.13 support

authlib

The ultimate Python library in building OAuth, OpenID Connect clients and servers. JWS,JWE,JWK,JWA,JWT included.

We published 2 releases during this season.

• Server-side RFC9207 implementation
• kid parameter for generate_id_token
• Migrate from flake8 to ruff
• Add descriptions to InvalidClientError and UnauthorizedClientError
• OpenID Connect Dynamic Client Registration
• Use dependency groups for tests
• Fix RFC9207 iss parameter

mutmut

Mutation testing system

• Annotate mutant dicts and solve Pydantic compatibility
• Avoid to mutate metaclasses

scim2-cli

SCIM application development CLI

We published 1 release during this season.

• Implement --no-verify to avoid perform certificate checks

scim2-models

SCIM resources serialization and validation with Pydantic

We published 1 release during this season.

• Fix startIndex and count lower limits
• ListResponse.total_results is required

Canaille

Lightweight identity and authorization management software

We published 8 releases during this season.

• --version CLI option
• feat: implement --all option of get command
• CLI commands can dump hashed passwords
• SQL migrations with flask-alembic
• Fix password field auto-refilling when input is reset
• HTMX integration with the email confirmation form
• Add automatic screenshots in the documentation
• Implement run server command based on hypercorn
• SECRET_KEY is optional
• Configuration export CLI
• Single binary bundle
• SQL install command fix
• Fix bring i18n in the Canaille executable
• Fix dynamic kid parameter for JWKs
• jwks parameter management with OIDC client dynamic registration
• Implement RFC7523 client JWT authentication and grant
• Use a custom LDAP docker image for the demo
• Implement the LOGIN_ATTRIBUTES configuration parameter
• Full OIDC Dynamic Client Registration implementation
• Signals on object lifetime events
• Update to Fomantic 2.9.4
• Implement RFC9207 with authlib
• Rename Client.preconsent in Client.trusted
• Order SQL relationship tables
• Naive restore command implementation
• The delete command can take filter parameters
• Fix the LDAP restore command with partial payloads
• Prevent locked accounts from resetting their password
• Remove CSS action label icons hotfix
• Automatic discovery of local SMTP server
• Set-up good default ACLs
• Fix various crashes in the web interface when users have no email configured
• Resolve "Handle registration of clients without scopes"
• fix: allows client to access userinfo with openid scope
• Resolve "Ensure that client redirection URI does not have a fragment component at registration"
• Security fix : magic link is not anymore in reset password e-mails unless TRUSTED_HOSTS is configured
• Resolve "Ensure authorization requests have a valid redirect URI"
• Resolve "Accessibility : Add a skip link in base template"
• Replace regex with urlparse in validate_uri
• Use HMAC to build hashes
• Resolve "Accessibility : Fix contrast ratio on buttons and text"
• Improve pagination legibility
• Display policy and terms of service uri in client authorization page if set
• URI with fragments error at client registration now returns a json error page

PSPSDK

Collection of tools and libraries written for Sony's Playstation Portable (PSP) gaming console

• Add description to libraries

Lire la suite…

Sur Paris — Meetup le 14 mai

by mdk from AFPy discuss

J’ai reçu un message d’Édith (Documentation, logiciel libre et pérennité en arts numériques @ PyConFR 2023) qui passe sur Paris, c’est donc l’occasion de faire un meetup !

Reste à trouver un lieu

3 messages - 2 participant(e)s

Lire le sujet en entier

Lire la suite…

Sur Paris — Meetup le 14 mai à l'April

by mdk from AFPy discuss

J’ai reçu un message d’Édith (Documentation, logiciel libre et pérennité en arts numériques @ PyConFR 2023) qui passe sur Paris, c’est donc l’occasion de faire un meetup !

Lieu : locaux de l’April, 44/46 rue de l’Ouest, Bâtiment 8, 75014 Paris (voir la localisation sur OpenStreetMap).

16 messages - 6 participant(e)s

Lire le sujet en entier

Lire la suite…