Nonante-septième épisode dans la communication entre les différents intervenants autour du site LinuxFr.org : l’idée est de tenir tout le monde au courant de ce qui est fait par les rédacteurs, les admins, les modérateurs, les codeurs, les membres de l’association, etc.
L’actu résumée ([*]
signifie une modification du sujet du courriel) :
Avertissement
Ceci est un second message pour prévenir certains de nos visiteurs qui nous transmettent inutilement des infos sensibles via leur lecteur de flux RSS/Atom, infos qui se retrouvent stockées dans nos logs web.
Format par défaut d'un log du serveur web Nginx (source) :
log_format combined '$remote_addr - $remote_user [$time_local] '
'"$request" $status $body_bytes_sent '
'"$http_referer" "$http_user_agent"';
Certains utilisateurs nous transmettent leur nom d'utilisateur distant (pas forcément gênant, mais inutile).
Par contre, certains nous transmettent leur nom d'utilisateur ET leur mot de passe. On a ainsi leur nom d'utilisateur dans le champ remote_user
mais aussi leur nom d'utilisateur et leur mot de passe en clair dans le champ http_referer
, sous la forme http://login:pass@linuxfr.org/journaux.atom
ou https://login:pass@linuxfr.org/news.atom
. Cela concerne 6 utilisateurs différents (tous utilisateurs de FreshRSS), dont 1 a été identifié et contacté en privé. Pour les cinq autres, à savoir Jeoffrey
, jm
, lionel
, SVNET
et titoko
, je vous suggère d'arrêter de nous envoyer votre mot de passe, puis de changer de mot de passe étant donné qu'il a fuité, et aussi d'utiliser préférentiellement la version HTTPS du flux souhaité. N'hésitez pas à me contacter en privé si vous avez des questions (oumph CHEZ linuxfr.org).
La version FreshRSS 1.11.0 du 2018-06-03 corrige ce problème Strip HTTP credentials from HTTP Referer in SimplePie #1891.
Statistiques
Du 16 au 31 mai 2018
- 1371 commentaires publiés (dont 11 masqués depuis) ;
- 344 tags posés ;
- 99 comptes ouverts (dont 9 fermés depuis) ;
- 33 entrées de forums publiées (dont 1 masquée depuis) ;
- 32 liens publiés (dont 1 masqué depuis) ;
- 26 dépêches publiées ;
- 30 journaux publiés (dont 1 masqué depuis) ;
- 3 entrées nouvelles, 1 corrigée dans le système de suivi ;
- 0 sondage publié ;
- 2 pages wiki publiées (dont 1 masquée depuis).
Listes de diffusion (hors pourriel)
Liste webmaster@ - [restreint]
- R.A.S.
Liste linuxfr-membres@ — [restreint]
- R.A.S.
Liste meta@ - [restreint]
- R.A.S.
Liste moderateurs@ - [restreint]
- [Modérateurs] Dépêche Refaire linuxfr
- [Modérateurs] contenu problématique
- [Modérateurs] nfsw
- [Modérateurs] URL d'une dépêche
Liste prizes@ - [restreint]
- R.A.S.
Liste redacteurs@ - [public]
- R.A.S.
Liste team@ - [restreint]
- [team linuxfr] Optimize MySQL
- [team linuxfr] Login/mot de passe envoyé en clair dans une URL HTTP sur LinuxFr.org
- [team linuxfr] Login/mot de passe envoyé en clair dans une URL HTTP sur LinuxFr.org
- [team linuxfr] Login/mot de passe envoyé en clair dans une URL HTTP sur LinuxFr.org
- [team linuxfr] Test passage en Jessie
- [team linuxfr] Joker.com: Your domains are about to expire (expiration report)
Liste webmaster@ — [restreint]
- R.A.S.
Canal IRC adminsys (résumé)
- mises à jour de sécurité
- le support sécurité normal pour Debian GNU/Linux 8 Jessie s'arrête au 17 juin
- expiration du certificat au 3 juin et discussion sur le renouvellement
- deux conteneurs mis à jour en Jessie, en attendant le passage en Stretch
- le conteneur de développement redirige tout le trafic en HTTPS désormais
- une boucle de courriels entre un système de ticket et notre gestionnaire de liste de diffusion
- travaux en cours pour nettoyer le dépôt git d'administration système (avec des fichiers générés par l'outil d'automatisation Ansible notamment)
Tribune de rédaction (résumé)
- Migration de GIMP vers GitLab ajoutée dans la dépêche sur la 2.10.2
- Demande de retours sur la dépêche GrafX2 par le développeur principal
- Une correction post-publication
Tribune de modération (résumé)
- du spam (dont un robot réutilisant des extraits de phrases)
- modération d'une image déplacée
- expiration de notre certificat X509 Gandi Wildcard au 3 juin
- évocation du renouvellement du CNNum (on aurait pu mentionner les entrées au comité de prospective de la CNIL)
- migration de deux conteneurs en Debian Jessie
Commits/pushs de code https://github.com/linuxfrorg/
- Merge pull request #222 from fredplante/master
- Fix typo
- (svgtex) fixes duplicate xlink attribute on svg result
- (epub) Use https for LinuxFr.org URLs
Divers
- Geek Faëries du 1 au 3 juin : conférence « LinuxFr.org, 20 ans que ça geeke » et table ronde « Ces plates‐formes du Libre qui soutiennent les communautés » avec l'Agenda du Libre et En Vente Libre. Plein de mercis à Bookynette pour le Village du libre, à l'équipe organisatrice des GF, et à Marco et Marius pour l'hébergement.
- Proposition de conférence soumise + table ronde + demande de stand pour les RMLL 2018 Strasbourg
# comptes fermés
Posté par ZeroHeure . Évalué à 10.
Comme Benoît ne l'indique pas (la modestie sans doute ?), précisons que beaucoup de commentaires et comptes supprimés concernent des spammeurs qu'il détecte plus vite que tous les autres modérateurs réunis.
Et MERCI à lui d'être allé au Geek Faëries, nouvelle passée à peu près inaperçue je crois.
"La liberté est à l'homme ce que les ailes sont à l'oiseau" Jean-Pierre Rosnay
# Bonne intention, mauvaise action ?
Posté par Axioplase ıɥs∀ (site web personnel) . Évalué à 2.
Maintenant que j'ai le nom des utilisateurs dont le client leak le mot de passe en clair, il ne me reste plus qu'à les cibler pour obtenir leur MDP qui est probablement le même que pour leur banque et adresse email, non ? Il aurait été préférable de dire un truc genre "clickez ici" qui indique si on doit changer son MDP, avec un lien accessible uniquement si on est loggué…
[^] # Re: Bonne intention, mauvaise action ?
Posté par Benoît Sibaud (site web personnel) . Évalué à 4.
Si on suppose qu'ils ont réellement des comptes chez nous (rien ne le prouve), que le login correspond (visiblement pas tous sinon je saurais peut-être les contacter, sauf adresse invalide), que le mot de passe était valide quelque part (ici ou ailleurs, rien ne le prouve), qu'ils n'ont pas réagi aux avertissements passés ici (donc pas changé ledit mot de passe), oui. Dans les autres cas, bon courage avec (juste) un prénom par exemple…
# RMLL 2018 Strasbourg
Posté par Benoît Sibaud (site web personnel) . Évalué à 4.
La conférence LinuxFr.org : les 20 ans d'un espace d'apprentissage, de communication et d'échange
La table ronde Ces plateformes du Libre qui soutiennent les communautés (même thème que celle tenue aux Geek Faëries)
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.