Les temps sont durs chez TuxFamily.org

Posté par (page perso) . Édité par Benoît Sibaud et palm123. Modéré par Benoît Sibaud. Licence CC by-sa
20
1
avr.
2016
Humour

Dans un courrier envoyé à l'ensemble de ses hébergés, TuxFamily.org propose une approche novatrice pour promouvoir les mises à jour de vos sites web hébergés, notamment du point de vue des failles de sécurité corrigées dans des versions plus récentes des produits que vous avez mis en ligne.

TuxFamily.org est un hébergeur de projets libres proposant des gestionnaires de version pour le code (git, svn… même si certains sont encore sur cvs o_O), espace web permettant de mettre en place forum / wiki / CMS / ce que vous voulez, espaces de téléchargement de 1 Go mais pouvant être augmenté à la demande.

À ce titre, l'équipe de joyeux mythos^W^W^Wde modérateurs et admins dévoués de TuxFamily veut mettre en place dans les prochains jours un système rappelant les bienfaits d'avoir un site à jour avec votre CMS / framework préféré, dans un contexte d'état d'urgence pour éviter les failles qui traîneraient dans de vieilles versions.

À titre expérimental, un exemple est donné sur certains sites sélectionnés(*) avant un déploiement plus général : vous avez de l'ordre d'un mois pour actualiser, avant mise en place effective. Sinon, vous aurez à subir la présence (l'omniprésence) de la trombine d'un des membres de l'équipe si votre site n'a pas été mis à jour : concrètement, elle apparaîtra sur toutes les pages de votre site et suivra le curseur de votre souris (oui, oui, c'est joueur).

Que pensez-vous de cette initiative ?

  • mytho : franchement, ce n'est fait que pour mettre en avant l'équipe !
  • logique : pour promouvoir la sécurité, il faut savoir en arriver à des mises en abîme
  • vous croyez vraiment que je vais mettre à jour mon site qui fonctionne très bien en python 2.4 ? (vécu)
  • hein, TuxFamily.org existe encore alors que tout le monde est sur github^Wgitorious voire auto-hébergé !?
  • autre : les commentaires sont là pour donner votre avis (même si vous n'êtes pas hébergé(e))

La personnalisation proposée est clairement intrusive et sera difficilement compréhensible par les visiteurs de votre site hébergé : l'absurdité de la chose est justement là pour promouvoir les mises à jour de sécurité, mesure d'hygiène qui semblerait naturelle (vous prenez bien une douche le matin ? bin votre site web aussi doit être régulièrement entretenu). Sur simple demande via le panel, après constat effectif que l'hébergé a mis à jour son site dans une version corrigeant les principaux problèmes de sécurité, la « nuisance » disparaîtra d'elle-même, dans une logique méliorative.

En toute autonomie, les hébergés peuvent se coordonner via le forum voire tracer ce qui leur a permis de faciliter la mise à jour dans la faq de chaque CMS / wiki / forum / ….

Merci de votre participation à éviter que vos sites soient troués et éviter de risquer que les données de vos utilisateurs soient volées (ou votre site tout simplement rendu inopérationnel) _o/.

(*) vous aurez compris que les sites présentant ce qui vous attend sont ceux auxquels vous êtes habitués et connaissez bien (ou pas /o\) :

Note : si vous êtes observateurs, certains auront remarqué letsencrypt au passage et (plus difficile à voir directement) que l'IPv6 est bien présent, c'est 2016 l'année de la sécurité, pas de doute !

Concernant les enchères permettant de monétiser une « soirée » avec un membre de l'équipe de votre choix, les discussions sont encore en cours, pour en soutirer le maximum bien sûr (voire vider votre compte en banque et tous vos portefeuilles d'actions surtout), cela n'en rendra que le service meilleur ou permettra enfin de partir aux Seychelles avec le pactole ! Ayez confiance, TuxFamily.org saura trouver ce qui bénéficie au mieux à tous :D

  • # Quelle horreur !

    Posté par . Évalué à 6.

    Surtout que les CMS pas à jour, je m'en fish.

  • # Lute pour la sécurité

    Posté par (page perso) . Évalué à 2. Dernière modification le 01/04/16 à 14:20.

    Les botnets participent aux fraudes telque, phishing, blanchiment d'argent, vol de carte bancaire, spam et DDOS (ces deux derniers sont très problématique pour les admin sys).
    Donc que le site soit vieux c'est pas un problème mais la personne doit s'engager à maintenir le site sans faille, dans le cas contraire: fermeture (avec préavis, …).

    Mon projet libre: http://ultracopier-fr.first-world.info/, mon jeu libre: http://catchchallenger.first-world.info/

    • [^] # Re: Lute pour la sécurité

      Posté par . Évalué à 3.

      Sécurité vs Liberté… vieux débat…

      Ils passent côté Sécurité donc. Au moins, c'est clairement affiché, c'est déjà ça.

      • [^] # Re: Lute pour la sécurité

        Posté par . Évalué à 2.

        euh, 1er avril ? :D
        La trombine qui suit le curseur, ça serait énorme, avec un index qui va de droite à gauche en faisant "hein hein hein, vous n'avez pas dit le mot fais l'update magique "

        Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

      • [^] # Re: Lute pour la sécurité

        Posté par (page perso) . Évalué à 3.

        Sécurité vs Liberté

        Analogie :
        - le maire d'une commune sicilienne (bonne grosse caricature ? Aucune idée. C'est pour donner un contexte reconnaissable facilement) n'a pas envie de dépenser de l'argent pour rénover la mairie : c'est une liberté
        - la mafia pénètre régulièrement dans les locaux afin de consulter les informations sur les citoyens. Le maire de la commune n'a pas envie de dépenser de l'argent pour rénover/renforcer : est-ce un problème de liberté ? C'est un problème de police+justice, certes, et la mairie ne devrait pas avoir à se préoccuper de cela. Seulement dans la vraie vie c'est une autre histoire. Je pense que c'est seulement en partie de la liberté, mais je n'arrive pas à nommer l'autre partie. Une idée ?

        • [^] # Re: Lute pour la sécurité

          Posté par (page perso) . Évalué à 3.

          Mon analogie n'est pas terrible (c'est l'inconvénient classique des analogies) car la mairie est au moins partiellement responsable de la sécurité des informations qu'elle détient. Mais c'est toujours pareil : on est responsable jusqu'à quel point ? Si on peut entrer en deux minutes avec un pieds de biche et une masse on estime que c'est une faute (pourquoi ? C'est interdit, donc pourquoi être responsable du résultat des actions de ceux qui enfreignent la loi ?), alors que s'il est nécessaire d'y aller au chalumeau pendant une heure on estime que c'est ok (pourtant c'est interdit pareil).

          Cela dit : la mairie est au moins partiellement responsable de la sécurité de ses données, admettons. Tout comme un site web est responsable de la sécurité de ses capacités processeur/réseau/etc ? Il y a peut-être à creuser.

          Je propose une autre analogie :
          - Eurotunnel n'a pas envie de dépenser de l'argent pour avoir une belle clôture : c'est une liberté
          - Eurotunnel n'a pas envie de dépenser de l'argent pour construire une méga-clôture destinée à limiter les migrations humaines clandestines : c'est clairement à l'état de prendre cela en charge. Donc ce n'est pas une histoire de liberté de la part d'Eurotunnel (mais pour les clandestins si : la liberté de faire un truc interdit. Encore un truc pas clairement tranché)

          Je suis bien embêté car je trouve que ne pas mettre à jour est une faute. Je n'ai pas d'argument, c'est un ressenti.
          Et d'un autre côté je trouve qu'on ne peut pas être tenu responsable des agissements d'autrui.
          Mais, il y a un « mais », je trouve que les agissements « prévisibles » doivent avoir des conséquences limitées, et que c'est une responsabilité collective. Le pépin est : quelles sont les limites ?

          Exemple d'agissements prévisibles : on sait qu'un jour ou l'autre on a un disque-dur qui pête. On sait que certaines personnes se « laissent avoir » par le tabac. On sait qu'il y a des voleurs, depuis aussi loin que nous avons des traces écrites de l'humanité.

          • [^] # Re: Lute pour la sécurité

            Posté par . Évalué à 3.

            Je suis bien embêté car je trouve que ne pas mettre à jour est une faute. Je n'ai pas d'argument, c'est un ressenti.

            Laisses-moi t'aider en ce cas.

            Ne pas mettre à jour des correctifs de sécurité si l'on héberge des données d'un tiers (les logs inclus), c'est une faute car cela risque de compromettre la sécurité d'autrui.

            D'un autre côté, mettre à jour vers une version majeure ou mineure, c'est aussi une faute si la seule raison invoquée est la sécurité, car comme tout le monde ici le sait, tout ajout de fonctionnalité ajoute son lot de bugs également.

            Du coup, je trouve la politique de tuxfamily difficilement soutenable point de vue sécurité, il est connu après tout que le vieux code est bien plus sécurisé, ayant été relu par de nombreux experts. Typiquement, OpenSSL est un outils extrêmement sécurisé, et le mettre à jour pour avoir de nouvelles fonctionnalités ou de nouveaux protocoles serait une erreur. (hé ho, j'ai encore 30min!)

  • # Fondation Free ?

    Posté par . Évalué à 3.

    En trainant sur leur site j'ai vu un petit lient vers la fondation Free comme quoi il était l'un de leur sponsor. Du coup je suis allé voir quel autres projet cette fondation supportait. Outre notre site de moule préféré je n'ai pas retrouvé TuxFamily.
    http://www.fondation-free.fr/projets-soutenus/
    Alors qui a tort ?

    • [^] # Re: Fondation Free ?

      Posté par (page perso) . Évalué à 2.

      On a bien 2 machines à la fondation free depuis plus de 10 ans ;-) Avant même que la fondation existe d'ailleurs.

      On doit pas être assez important pour être indiqué, on a vraiment que 2U dans un petit coin.

      Sylvain

      • [^] # Re: Fondation Free ?

        Posté par (page perso) . Évalué à 5.

        on a vraiment que 2U dans un petit coin.

        Attention aux fuites d'eau alors

      • [^] # Re: Fondation Free ?

        Posté par . Évalué à 4. Dernière modification le 01/04/16 à 21:00.

        on a vraiment que 2U dans un petit coin.

        je la connaissais avec pas avec 2U dans un petit coin,
        je la connaissais comme ça:

             +------------------+
             |UL              UL|
             |                  |
             |                  |
             |                  |
             |                  |
             |                  |
             |UL                |
             +------------------+
        

        (il manque UL dans un coin)

        • [^] # Re: Fondation Free ?

          Posté par (page perso) . Évalué à 0. Dernière modification le 01/04/16 à 21:23.

          Pour qu'il manque UL dans un coin \_o<, il faut d'abord que soit spécifié la nécessité d'avoir un UL dans chaque coin.
          Donc ça ne colle pas. Ouf, je ne risque rien.

  • # sékurité

    Posté par . Évalué à 4.

    2016 est l'année de la sécurité

    Faux ! Tout le monde s'en balance que sur la mailing list de diplomatie entre, entre autre, le noyau et grsec, Linus Himself soit intervenu pour la première fois hier en disant «good point» TOUT LE MONDE.

    Car 2016 c'est l'année du Desktop !

    Et na !

    • [^] # Re: sékurité

      Posté par (page perso) . Évalué à 3.

      pas seulement :-)

      Pour quoter plus complètement :

      Note : si vous êtes observateurs, certains auront remarqué letsencrypt au passage et (plus difficile à voir directement) que l'IPv6 est bien présent, c'est 2016 l'année de la sécurité, pas de doute !

      Un grand merci à tous ceux nous ayant prodigué leurs encouragements et remerciements (même si en fait nous ne faisons cela que pour la gloire ! o_O). Même si à un moment ou un autre nous finirons par indiquer que « github m'a tuer », nous ne pouvons que vous recommander nos amis de http://framasoft.net (allez les chatons !), de https://gna.org ou https://gitorious.org (qui renvoie désormais sur https://gitlab.com/explore/) ou https://Toile-Libre.org selon vos affinités et en complément au besoin.

  • # Léa-Linux a aussi publié son poisson d'avril ;-)

    Posté par . Évalué à 2.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.