Journal Petit bilan à l'occasion des 11 ans du site

Posté par (page perso) .
Tags : aucun
21
13
juil.
2009
Petit retour sur les 200+ dépêches que j'ai écrites : rien ne se perd, rien ne se créé, tout se transforme ou pas. « (...) l'industrie de la musique et du cinéma promettait des mesures techniques de protection pour décider si et quand et combien de fois je pourrais lire le DVD que j'avais acheté, et avec quel matériel et quel logiciel, en arguant des cataclysmes apocalyptiques et tentaculaires causés par des lycéens de 12 ans ». Non en fait, rien n'a changé c'était pareil avant.

Déjà à l'époque les DRM étaient allègrement contournés, le lot commun des chimères techniques. Déjà la même volonté de clôturer le domaine public, de bloquer les hyperliens...

Retour aussi sur plus de 600 entrées du système de suivi fermées par mes soins, et sur des milliers d'éditions et de modérations de dépêches. Bref une longue histoire entre le site et moi, comme LinuxFr.org sait faire.

La dernière étape est toute fraîche, avec la présentation aux RMLL 2009 à Nantes Retour d'expérience sécurité sur 11 ans de LinuxFr.org.
  • # Mais aussi ...

    Posté par . Évalué à  1 .

    ... un nouveau virus de tribune écrit il y a deux jours par 6ß< et qui va nous valoir un cassage temporaire de cette merveilleuse technologie sous-le-sol qu'est le coincoining :o( Et dire que si le chèque du "Referer:" avait été laissé, le virus n'aurait pas fonctionné !

    « Je vous présente les moines Shaolin : ils recherchent la Tranquillité de l'Esprit et la Paix de l'Âme à travers le Meurtre à Main Nue »

    • [^] # Re: Mais aussi ...

      Posté par (page perso) . Évalué à  3 .

      Avait été laissé par rapport à quoi ? À quand ? La dernière modification sur le sujet date du 5 novembre 2005 (message de commit « Check referer when posting on the board »).

      On avait juste laissé la possibilité de passer si le champ REFERER était absent (ou si le champ validait une regexp), parce qu'à l'époque des moules avaient râlé (comme d'hab') que ça les gênait. Depuis aujourd'hui il faut absolument un champ REFERER qui valide une regexp (à cause d'un boulet, qui a perdu ses accès du coup).

      Pour bloquer les boulets à venir, il faudrait ajouter un « nonce » ( http://en.wikipedia.org/wiki/Cryptographic_nonce ) et cela casserait tous les clients hors navigateur pour la tribune.
      • [^] # Re: Mais aussi ...

        Posté par . Évalué à  2 .

        Et sinon, juste pour ma curiosité personnelle, y aurait moyen d'avoir un peu plus d'information sur cette histoire? Des explications, des liens, sur ce qui s'est passé, sur le comment, ...
      • [^] # Re: Mais aussi ...

        Posté par (page perso) . Évalué à  7 .

        Bon, ca va faire lèche botte, mais tant pis.

        Merci du temps que vous passez tous. Rédacteurs, Admins, modéro, relecteur, femme de ménage, et lecteur.

        Je ne connais aucun site qui rassemble autant la communauté du libre.

        Ps: Tu vois, les moules ne font pas que râler.
        Ps2: Il faut surement mieux des gens qui testent les limites du site "juste for fun" et à ma connaissance sans aucun dégat. Ca bouche les trous pour les gens mal intentionnés qui viendraient ;-)
      • [^] # Re: Mais aussi ...

        Posté par . Évalué à  4 .

        On avait juste laissé la possibilité de passer si le champ REFERER était absent (ou si le champ validait une regexp), parce qu'à l'époque des moules avaient râlé (comme d'hab') que ça les gênait. Depuis aujourd'hui il faut absolument un champ REFERER qui valide une regexp (à cause d'un boulet, qui a perdu ses accès du coup).

        C'est bien ce que je dis, le chèque du "Referer:" n'existait plus, ie sans "Referer:", on pouvait poster sans, d'ailleurs c'est ce que je faisais dans GCoinCoin pour LinuxFr, j'ai dû activer le chèque aussitôt qu'il a été remis en place.

        Pour bloquer les boulets à venir, il faudrait ajouter un « nonce » ( http://en.wikipedia.org/wiki/Cryptographic_nonce ) et cela casserait tous les clients hors navigateur pour la tribune.

        Pourquoi ? Si le navigateur peut gérer le Nonce, je ne vois pas ce qui gène un c² de gérer un Nonce lui aussi : de point du vue du site Web, un client HTTP est un client HTTP et à part si le site se met à chercher des propriétés spécifiques dans les requêtes HTTP (que n'importe quel client HTTP peut éventuellement simuler pour passer au travers d'un éventuel filtre), je ne vois pas en quoi un c² ne pourrait pas s'adapter.

        P.S. : au passage, quand on fait un prévisualisation du commentaire avant de le poster, des entités HTML apparaissent au lieu des caractères respectifs, en l'occurrence pour ce commentaire, des entités symboliques "quot" apparaissent.

        « Je vous présente les moines Shaolin : ils recherchent la Tranquillité de l'Esprit et la Paix de l'Âme à travers le Meurtre à Main Nue »

        • [^] # Re: Mais aussi ...

          Posté par (page perso) . Évalué à  3 .

          >>> P.S. : au passage, quand on fait un prévisualisation du commentaire avant de le poster, des entités HTML apparaissent au lieu des caractères respectifs, en l'occurrence pour ce commentaire, des entités symboliques "quot" apparaissent.

          Oui c'est très chiant ça. C'est apparu il y a quelques semaines non ?
          • [^] # Re: Mais aussi ...

            Posté par (page perso) . Évalué à  4 .

            Il y a une entrée dans le système de suivi depuis le 28 avril.

            (Tu y a d'ailleurs fais 2 commentaires le 14 mai).

            « Moi, lorsque je n’ai rien à dire, je veux qu’on le sache. » Raymond Devos

      • [^] # Re: Mais aussi ...

        Posté par (page perso) . Évalué à  2 .

        Je ne voudrais pas prendre parti, mais j'ai du mal à comprendre ce qu'apporterait ce nonce par rapport à la bête vérification du referer. Et j'ai du mal à comprendre à quoi sert une vérification du referer faite à moitié, aussi (en autorisant le referer vide).

        Mais bon, ça fera un bon prétexte pour renforcer la politique sécuritaire de linuxfr vis-à-vis de la tribune.
        • [^] # Re: Mais aussi ...

          Posté par . Évalué à  -3 .

          Praise the lord, he's alive.
        • [^] # Re: Mais aussi ...

          Posté par (page perso) . Évalué à  5 .

          > Je ne voudrais pas prendre parti, mais j'ai du mal à comprendre ce qu'apporterait ce nonce par rapport à la bête vérification du referer.

          Très simple. La faille passe par le navigateur de la victime qui quasiment tout le temps envoie au serveur LinuxFr.org un REFERER (sauf privoxy, proxy, etc.), bref ça suffisait à bloquer la très grande partie des cas. Et la présence d'un bon REFERER aurait pu être systématique si on n'avait pas suivi les demandes des moules à l'époque.

          Quand à la « politique sécuritaire » (sic), on en reparlera quand tu sauras faire la différence entre trouver un bug et le remonter pour correction, et trouver un bug et l'exploiter sans prévenir jusqu'à ce que ce tu te fasses taper sur les doigts. Clairement, il y a plus utile à faire pour le site que devoir intervenir sur les gamineries d'un type qui contribue très peu en contenus (pas de dépêches et juste 2 journaux) : le système de suivi contient suffisamment de tâches à prendre, y a suffisamment d'actus à rédiger en dépêches, le site est en cours de réécriture en RoR, etc. bref j'aimerai autant utiliser mon temps dispo pour LinuxFr.org plus intelligemment.
          • [^] # Re: Mais aussi ...

            Posté par . Évalué à  4 .

            Moi je compte une 20aine de journaux, mais évidement on ne doit pas compter la même chose. Et see.*< est aussi un grand animateur de tribune, c'est au moins aussi important que les dépêches !

            Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.

          • [^] # Re: Mais aussi ...

            Posté par (page perso) . Évalué à  9 .

            Ta première réponse n'explique en rien ce qu'apporte un nonce par rapport à la vérification du referer, il ne fait que confirmer le fait que la vérification du referer doit être faite complètement ou pas du tout, mais la faire à moitié ne sert à rien. Un nonce, tout en étant relativement chiant à implémenter sur un coincoin, ne boucherait aucune faille puisqu'il n'y en a pas, tant qu'on ne fait pas les choses à moitié.


            Quant à la remontée de bugs et la soumission de contenu, on peut noter ce bug que j'ai soumis il y a quelques jours : https://linuxfr.org/tracker/1022.html mais surtout celui-ci : https://linuxfr.org/tracker/621.html que j'ai soumis il y a maintenant deux ans, troisième dans le classement par note, pour lequel je me suis cassé le cul à lire le code de templeet, pour lequel j'ai posté, pas un vrai patch effectivement, parce que je ne me sens pas assez expert pour modifier le code moi-même, mais une indication relativement claire des modifications à faire, et pour lequel je n'ai aucune réponse, aucune réaction.

            J'ai compris il y a bien longtemps que les évolutions ici n'avaient lieu que lorsqu'un événement dérange les administrateurs, ou leur donne une bonne raison de censurer.


            Les journaux, j'en ai fait 24 si j'ai bien compté, la plupart avant le système de notation des journaux, mais tous avec une moyenne des notes de commentaires largement positive. Entre ceci et mon activité sur la tribune (voir la liste des moules bavardes sur DLFP chez khapin [http://khapin.ssz.fr/dlfp/bavards.rhtml] au cours du temps), je pense avoir contribué, modestement certes, mais certainement, à la vie de LinuxFR.
            • [^] # Re: Mais aussi ...

              Posté par (page perso) . Évalué à  1 .

              Concernant le referer, la possibilité de laisser passer sans était une demande des moules, car les clients dédiés à la tribune n'avaient pas la fonctionnalité. Le souci est que le test obligatoire du referer aurait dû être imposé par la suite (après avoir laissé un temps raisonnables aux clients de tribune de se mettre à jour). En attendant les navigateurs web étaient protégés, mais pas les clients de tribune qui n'avaient pas activé le renseignement du referer.

              D'un autre côté le nonce traite le problème différemment et peut servir dans tous les formulaires pour éviter tout envoi direct vers la soumission sans passer le formulaire (par contre il faut modifier les clients dédiés, comme les clients de tribune, les clients de soumission de dépêches, etc.). Le test du nonce côté serveur est beaucoup plus strict que le test de referer qui est juste un champ renvoyé par le client (potentiellement modifiable).

              Concernant la remontée de bugs, je répète ce n'est pas en ne le remontant pas qu'il sera corrigé (et merci pour ceux remontés). Ensuite une fois remonté, la correction peut être bien plus compliquée que l'utilisateur ne le pense, et on a largement plus d'entrées à traiter que de gens motivés pour le faire.

              > J'ai compris il y a bien longtemps que les évolutions ici n'avaient lieu que lorsqu'un événement dérange les administrateurs, ou leur donne une bonne raison de censurer.

              C'est effarant de mauvaise foi, de non-reconnaissance du boulot fait, et par ailleurs et surtout très contre-productif. Mais bref passons, il y aura toujours des gens pour ne pas savoir discuter...

              Concernant tes journaux, ta page https://linuxfr.org/~see/ (utilisateur See) en dénombre 2. Après les multis...
              • [^] # Re: Mais aussi ...

                Posté par (page perso) . Évalué à  10 .

                Concernant le referer, la possibilité de laisser passer sans était une demande des moules, car les clients dédiés à la tribune n'avaient pas la fonctionnalité. Le souci est que le test obligatoire du referer aurait dû être imposé par la suite

                Je ne mets pas en doute ta bonne foi là-dessus mais cela m'étonne grandement, parce que justement les clients se sont adaptés très vite, et d'ailleurs j'étais pour ma part persuadé que le check était toujours actif. Wmcc et pycc l'ont implémenté aussitôt à l'époque, tout comme les c² plus récents tels que gcc et olcc.

                Quant à la râlerie des moules bien entendu ça ne m'étonne pas :-) ce qui m'étonne en revanche c'est le retour arrière en réaction à cette râlerie. La tribune dlfp est tout de même celle qui a le plus bougé au cours du temps et a eu le plus de particularités, loin devant tous les autres moteurs de tribune, entre les changements dans le backend, les balises particulières, l'encodage qui change, etc. A chaque fois les coincoins étaient plus ou moins gravement impactés, à chaque fois bien sûr les moules ont râlé (pas forcément contre dlfp d'ailleurs, surtout par dépit de voir leur joujou cassé), mais à chaque fois les clients se sont adaptés - et c'est bien normal, a priori c'est leur rôle en tant que clients.

                Maintenant, concernant le "virus" en particulier. Je ne me rends peut-être pas compte de toutes les implications, mais je vois mal en quoi celui-ci posait un réel problème. Son potentiel de nuisance était limité, en ce qu'il requérait un clic explicite d'un utilisateur pour fonctionner. Bien sûr cela a engendré de la pollution sur la tribune, mais je crois pouvoir dire que les moules sont capables de pollution manuelle équivalente voire bien pire en temps normal.
                Le surcroît de charge pour le serveur me paraît inexistant, et les premiers embêtés sont les moules elles-mêmes qui vont donc, après avoir certes joué un temps, se lasser très vite et cesser de propager l'url.
                Enfin, d'expérience, ce genre de truc meurt de lui-même très rapidement. Gle< avait fait un virus semblable qui poste sur la tribune bouchot.org, qui doit être encore fonctionnel, et dont on doit croiser l'url au grand maximum une fois tous les 6 mois...

                Encore une fois, il se peut que je mesure mal la nuisance réelle occasionnée. Je vois bien, toutefois, qu'en tant qu'utilisateur du site on ne se rend pas forcément toujours compte du fil à retordre qu'on peut donner aux admins et qu'on est plus prompts à se plaindre qu'à saluer le boulot effectué :-)
                Je finis donc en remerciant tous ceux qui prennent de leur temps pour administrer, développer, maintenir le site. Après tout, si on n'aimait pas ce qu'ils font, on ne serait pas autant à continuer à s'accrocher dessus (et à râler comme dans un vieux couple :-))

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.