Pour les personnes ayant activé le dépôt alternatif debian-multimedia.org, faites attention car le nom de domaine a été racheté par un cybersquatteur ukrainien. Si le dépôt debian-multimedia.org traine encore dans votre /etc/apt/sources.list, il est urgent de le retirer. C'est un bon exemple de l'importance de la cryptologie pour sécuriser les dépôts APT et de ne pas gérer les clefs à la légère !
Pour les détails et l'historique du pourquoi c'est arrivé, nous vous invitons à lire la suite de la dépêche.
NdM : merci à patrick_g pour son journal.
Christian Marillat, un développeur Debian, propose depuis plusieurs années un dépôt alternatif pour héberger divers paquets multimedia (par exemple vlc, ffmpeg, mplayer, etc). À l'origine c'était parce que ces paquets étaient compilés avec des options différentes de ceux de Debian, ou bien parce que le paquet n'était pas du tout disponible dans Debian.
En conséquence de nombreux utilisateurs activaient le dépôt externe debian-multimedia.org afin de pouvoir profiter de ces logiciels. Cela faisait partie des étapes classiques lors de l'installation d'un poste client sous Debian.
Néanmoins, au fil du temps, l'équipe de mainteneurs spécialisés dans ces paquets (pkg-multimedia-maintainers) a incorporé les logiciels manquants. La dernière version stable, Wheezy, propose ainsi la très grande majorité des logiciels qui manquaient dans les versions antérieures.
Le travail de Christian Marillat a donc été perçu comme une duplication inutile du travail et comme un risque de confusion. Le fait d'avoir Debian dans le nom du dépôt risquait de tromper les utilisateurs qui pourraient penser qu'il s'agit là d'un dépôt officiel. De plus il semble évident que les relations se sont tendues au fil du temps entre l'équipe pkg-multimedia-maintainers et Christian Marillat. Il a par exemple été affirmé que l'ajout de debian-multimedia.org dans le /etc/apt/sources.list pouvait provoquer des conflits avec les paquets officiels et causer de graves dysfonctionnements.
Comme Wheezy propose maintenant tout ce qui manquait avant, le précédent leader du projet à envoyé un courriel à Christian Marillat pour parler de ce problème et proposer des solutions.
En premier lieu Stefano Zacchiroli avance que le dépôt de Christian ne devrait contenir que des paquets manquants dans Debian ou qui ne provoquent aucun conflit technique :
You and the pkg-multimedia team reach an agreement on which-packages-belong-where. One way to settle would be that for every package that exist in the official Debian archive, the same package should not exist in d-m.o, unless it has a version that does not interfere with the official packages in "standard" Debian installations. Another way would be to rename packages and sonames.
Seconde solution qui est proposée à Christian, si un accord avec l'équipe pkg-multimedia n'est pas possible, le nom Debian ne devrait pas apparaitre dans le nom du dépôt pour éviter tout risque de confusion :
You stop using "debian" as part of the domain name of your repository, which is confusing for users. That would allow each part to keep on doing what they want in terms of packaging, but at least would remove any of the existings doubts about the official status of d-m.o.
Je vous invite vraiment à lire le courriel de Zack qui est un exemple parfait de clarté et de diplomatie. Du grand art.
La réaction de Christian a été d'opter pour la seconde solution et d'enregistrer le nom de domaine deb-multimedia.org. Zack a fait une seconde tentative pour encourager la coopération et pour, au minimum, transférer l'ancien nom de domaine à Debian. Cela n'a rien changé à la position de Christian qui annonce qu'il ne veut pas s'emmerder à transférer le nom :
I don't want to be bothered, I don't intent to transfert the domain name. I'll delete the DNS entries in six months and not renew the domain name.
C'est dommage de réagir ainsi car cela va entrainer du travail en plus pour Debian. Comme l'explique Zack, au moment de l'expiration du nom il faudra faire la course avec les cybersquatteurs pour récupérer le domaine. En cas de défaite, il faudra se battre juridiquement pour récupérer le nom ce qui risque d'être long et potentiellement coûteux :
Well, you are still a Debian Developer and I was hoping you could take into account that you not wanting to be bothered will result in more work for the Debian Project and its peers, in particular by SPI and myself (or future DPLs) as coordinator. SPI will need to race for registering it after expiration. If that works, fine, but still someone has to keep an eye on that and get the timing right. If that doesn't work, we will have to do arbitration, which we will easily win due to the debian trademark, but it will still cost Debian money and SPI lawyers time (pro bono time, which could better be used for the needs of other free sw projects supported by SPI). All this could be avoided, by you, in a very simple way.
Hélas, comme l'avait annoncé Zack dans son dernier courriel, les cybersquatteurs ont été les plus rapides (c'est un Ukrainien nommé Vitalij Kopich qui a gagné la course). Cela a été annoncé par le nouveau DPL, Lucas Nussbaum, dans son courriel récapitulatif pour le mois de mai.
debian-multimedia.org was an unofficial, popular repository of Debian packages. After a discussion last year, the service moved to another domain. Debian offered to cover costs for the transfer of the debian-multimedia.org domain to prevent it from expiring and falling into a domain squatter's hands (or worse). Unfortunately, the debian-multimedia.org maintainer decided not to cooperate with Debian, and let the domain expire. The domain has now apparently been registered again by someone unknown to Debian (TTBOMK). This is a good example of the importance of the use of cryptography to secure APT repositories (and of the importance of not blindly adding keys).
À titre perso (en tant qu'utilisateur de base) je regrette le comportement de Christian Marillat dans cette affaire. Il était ultra-simple pour lui de transférer le nom de domaine, comme l'expliquait Zack cela ne prend quelques minutes, alors pourquoi n'avoir pas pris cette peine ? D'autant plus qu'il est encore officiellement un développeur Debian et qu'en faisant ça il crée un risque pour certains utilisateurs de la distribution (ceux qui ont désactivé la vérification des signatures GPG).
En tout cas vous savez ce qu'il vous reste à faire si le dépôt debian-multimedia.org traine encore dans votre /etc/apt/sources.list.
Aller plus loin
- Journal à l'origine de la dépêche (1264 clics)
- La synthèse de l'affaire par le DPL sur "bits from the DPL - May 2013" (235 clics)
# Et encore merci pour les paquets !
Posté par j (site web personnel) . Évalué à 10.
Un peu à rebours de
ce journalcette dépêche, je voudrai remercier Christian (que je ne connais pas) d'avoir maintenu à disposition des utilisateurs de Debian, de nombreux paquets particulièrement utiles (J'ai bien noté que certains paquets pouvaient parfois engendrer des problèmes mais … il n'y a que ceux qui ne font rien qui ne se trompent jamais) ; notamment DeCss que je récupère toujours là-bas lors d'une installation de Debian.Les années ont passé (je me souviens de http://marillat.free.fr qu'il faudrait également corriger) et je ne vois pas d'autres fournisseurs …
De plus, je ne comprends pas pourquoi le paquet Debian libdvdread ne contient pas de script install-css.sh comme il y en a dans le paquet Ubuntu. Si quelqu'un a une explication, je suis intéressé.
[^] # Re: Et encore merci pour les paquets !
Posté par alendroi . Évalué à 4.
s/d'avoir maintenu/de maintenir/
Dire que vous vous n'en avez rien à faire de la vie privée parce que vous n'avez rien à cacher, c'est comme dire que vous n'en avez rien à faire de la liberté d'expression parce que vous n'avez rien à dire. Edward Snowden
[^] # Re: Et encore merci pour les paquets !
Posté par kadalka . Évalué à -7.
Parce qu'il ne respecte pas les lois de pas mal de pays ?
( crackage/piratage de DVD ?) DeCSS
Peut-être qu'ubuntu a accepté de payer des droits ?
A moins que les serveurs principaux d'ubuntu ne sont pas dans une juridiction qui interdise le DeCSS ?
[^] # Re: Et encore merci pour les paquets !
Posté par Prosper . Évalué à 6.
Il ne parle pas de fournir la lib css mais de fournir un script qui va chercher la lib css.
[^] # Re: Et encore merci pour les paquets !
Posté par kadalka . Évalué à -4.
Les lois en vigueur en France interdissent qu'on utilise un moyen qui permettent d'utiliser un contournement.
Donc, oui, ce n'est pas une question de lib mais un encouragement via un script pour obtenir la lib, ce qui revient au même du fait de la loi.
Donc non, vous avez tort. Je dit bien : ce n'est pas légal dans certains pays donc on ne peut tout simplement pas le mettre.
[^] # Re: Et encore merci pour les paquets !
Posté par Sygne (site web personnel) . Évalué à 2.
Comme dit ci-dessus, ce genre de scripts est fréquent sur les distributions: Il demande une intervention de l'utilisateur (qui doit le lancer), mais automatise tout le reste.
Et légalement, je trouve cette solution tout à fait satisfaisante. En gros, la documentation indique qu'en lançant ce script, l'utilisateur certifie avoir droit d'installer et d'utiliser les logiciels afférents. Généralement, une fois lancé, le script demande encore à l'utilisateur d'accepter la licence. Cela sert tant pour les bibliothèques soumises à droits dans certains pays que pour les logiciels non redistribuables et donc non empaquetables par la distribution, comme les firmwares de certaines cartes wifi.
Moi non plus je ne comprend pas que Debian relègue encore hors de la distribution toutes ces bibliothèques, indispensables aujourd'hui, et parfaitement légales dans beaucoup de pays.
Je ne comprends pas tous les tenants et aboutissants, de cette histoire, mais àmha, si Debian voulait véritablement régler le problème, il n'y aurait pas besoin d'aller chercher des bibliothèques chez Marillat. Àmha, si Marillat voulait vraiment aider les utilisateurs de Debian, il aurait depuis longtemps milité pour que Debian ait un dépôt officiel pour ces logiciels.
[^] # Re: Et encore merci pour les paquets !
Posté par claudex . Évalué à 7.
Vu comment sont accueillies ses contributions, j'ai un doute que ça aurait changé grand chose.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Et encore merci pour les paquets !
Posté par Sygne (site web personnel) . Évalué à 3.
Je n'en sais rien. Mais je ne peux pas croire que les erreurs ne sont pas partagées.
# Commentaire supprimé
Posté par Anonyme . Évalué à 4.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: encore plus simple
Posté par zebra3 . Évalué à 6. Dernière modification le 06 juin 2013 à 23:07.
Plus son problème, plus son problème…
Le gars est quand même dév Debian : s'il plombe la distribution sur laquelle il bosse, ça va lui retomber dessus et ça redevient un petit peu son problème.
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: encore plus simple
Posté par arnaudus . Évalué à 4.
Bah, je pense que la seule solution pour acter le problème est de le démissionner. Il est évident qu'il a sciemment nuit au projet suite à des désaccords avec le reste de l'équipe, et je doute que Debian puisse accepter un tel comportement de la part d'un de ses développeurs. C'est dommage d'en arriver là, mais c'est normal que dans un projet comme celui-là, il existe une certaine discipline.
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 3.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: encore plus simple
Posté par mazkagaz . Évalué à 3.
Quand je vous lis, j'ai l'impression d'observer ma mère en train de commenter un reality show. C'est un troll, c'est ça ? Parce que sinon, désolé pour cette petite note d'agressivité, mais franchement, il ne serait pas encore beaucoup plus simple de laisser les gens concernés prendre les décisions qu'ils jugent nécessaires sans jouer les concierges ?
[^] # Re: encore plus simple
Posté par arnaudus . Évalué à 3.
Euh, la réalité c'est quand même que de la bonne gestion du projet dépend la stabilité et la pérennité du système d'exploitation que certains de nous utilisent, directement ou indirectement (si debian disparait, je ne sais pas si Ubuntu survivra, par exemple). Du coup, c'est pas pareil que de commenter un Reality-Show, c'est plutôt de commenter un débat politique, et c'est plutôt sain, non?
En gros, la question est la suivante : est-il préférable de laisser dans le système des mainteneurs de paquets compétents mais qui ne sont pas fiables? La réponse à une telle question peut être significative pour la confiance qu'on peut accorder à la distrib.
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 3.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: encore plus simple
Posté par Littleboy . Évalué à 2.
Les projets ou tu peux faire ce que tu veux et ou tu es "proprietaire" de ton perimetre et peut completement ignorer les retours des autres developpeurs c'est pas non plus super courant dans le libre (avec des contre-exemples flagrants comme la glibc ou ffmpeg/libav). Dans tous les projets ou je participe, si je m'amusais a faire ca, je me ferais ejecter rapidement.
Le probleme en question est quand specifique a l'organisation de Debian ou chaque developpeur est tres independant. Ca marche bien tant que les personnes veulent bien travailler ensemble et sont pret a passer le relais quand leur temps libre devient limite. Dans le cas contraire, ca donne l'episode Python ou le comite technique a mis 2 ans et demi pour rendre un avis demandant gentillement au developpeur d'essayer de travailleur avec les autres.
[^] # Re: encore plus simple
Posté par Croconux . Évalué à 6.
Je ne vois pas en quoi le fait d'avoir des activités en dehors du projet Debian le disqualifie en tant que mainteneur. Quand il travaille sur des paquets officiels, il suit les règles du projet. Ca ne l'empêche pas d'avoir une vie à côté, de faire des petits paquets persos. Personnellement, je n'ai jamais eu de soucis avec ses paquets mais même s'ils y en a, ce sont des paquets d'une source externe qu'il faut ajouter soi-même.
Il existe d'autres dépôts annexes et on n'a jamais pourri les mainteneurs pour ça. A une époque KDE avait mis en place un dépôt pour des paquets expérimentaux. On ne les a pas incendiés. Il y a eu aussi un dépôt pour xorg alors que Debian avait encore Xfree86. Là au niveau instabilité, c'était d'un autre calibre. On ne les a pas pourri non plus.
Bref, faire partie d'un projet n'est pas forcément entrer en religion. Quand on fait quelque chose pour un projet/une assoc/son travail/etc on le fait dans le cadre défini. Ce qu'on fait en dehors ne regarde que soi. Et puis, soit dit en passant, la plupart des contributeurs du noyau ont une vie à côté. Beaucoup sont employés par des boîtes qui font aussi du proprio. Les salauds ! On devrait les tuer à la naissance, tient !
[^] # Re: encore plus simple
Posté par patrick_g (site web personnel) . Évalué à 3.
Mais alors il ne faut pas intituler son dépôt et le site web associé avec le nom de la distribution. Comme tu le dis toi même c'est en dehors du projet (et ça risque de casser des choses) donc pas question de mettre le nom Debian dedans. Et il faudrait aussi spécifier sur la page de dons que le projet n'est pas un projet Debian officiel.
Ces demandes me paraissent parfaitement légitimes…pourtant Christian Marillat a choisi de les ignorer en grande partie. On voit toujours le nom Debian partout sur le site et aucune info n'a été ajoutée sur la page de dons.
Et je ne parle même pas du refus catégorique de transfert du nom de domaine. Il a préféré le laisser expirer à la sauvage avec les conséquences qu'on sait.
[^] # Re: encore plus simple
Posté par claudex . Évalué à 6.
Et il est censé mettre quoi à la place de Debian pour que les gens comprennent quand même la distribution cible ?
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: encore plus simple
Posté par Spyhawk . Évalué à 3. Dernière modification le 07 juin 2013 à 23:59.
Je note par ailleurs que le Projet Debian a demandé à Marillat de ne pas utiliser l'appellation "Debian", alors qu'il aurait pu lui demander d'utiliser "Unofficial Debian Multimedia Package" (par exemple) qui aurait tout à fait convenu à tout le monde, et qui aurait été bien plus diplomate que la solution proposée.
Quand aux "conséquences que l'on sait", je ne sais toujours pas. L'argument de la distribution au service des utilisateurs inconscients, je n'y crois pas. Soit Debian prends ses utilisateurs pour des débiles profonds, soit le but de l'opération était de dégommer le dépôt de Marillat qui fait simplement trop d'ombre aux paquets officiels.
[^] # Re: encore plus simple
Posté par zebra3 . Évalué à 2.
Bah mettre « pour Debian » plutôt que juste « Debian », ça serait déjà plus clair, non ?
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 3.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: encore plus simple
Posté par Zenitram (site web personnel) . Évalué à 1.
Tiens, c'est rigolo cette manie de démissionner les gens…
Qu'il le virent alors.
En attendant, il n'y jamais aucune raison de démissionner car les autres ne sont pas d'accord. Si il a envie de rester, qu'il reste, on ne démissionne pas quelqu'un (drôle de position "démocratique" que de démissionner quelqu'un…)
[^] # Re: encore plus simple
Posté par zebra3 . Évalué à 5.
Surtout qu'ici on parle de méritocratie : le mec a suffisamment fait ses preuves pour qu'on lui pardonne une connerie, tout le monde peut en faire.
Mais lui-même pourrait aussi faire amende honorable en reconnaissant ses torts ; c'est tout de même lui qui a créé cette situation et n'a rien fait pour arranger les choses.
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à -3.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: encore plus simple
Posté par loste . Évalué à 1. Dernière modification le 19 juin 2013 à 15:11.
La demande de virer son domaine a dû l'emmerder, surtout qu'il s'agissait visiblement d'en prendre le contrôle à son profit pour le projet Debian. Devoir en demander un nouveau aussi… les utilisateurs ont aussi été emmerdés à grenouiller dans la config apt.
Bref, pas de raison de servir ca sur un plateau et aux demandeurs de prendre en charge les conséquences de leurs demandes: Ca se défend amha.
Car au final, pourquoi emmerder le monde pour avoir les compléments que chacun souhaite sur un desktop mais que l'orthodoxie Debian se refuse à donner même en se bouchant le nez dans un dépôt non-libre?
Et pendant ce temps, Ubuntu and co donne tout cela, diverge sur X et Gnome… et vit sur la bête Debian et ses principes.
# Porter plainte contre l'ukrainien est-il envisageable ?
Posté par kadalka . Évalué à -1.
deb-multimedia.org a été la solution retenue par Marillat.
Et vous l'écrivez…
Pourquoi debian ne porterait-il pas tout simplement plainte contre ce site Ukrainien ?
Parce que le nom de debian est utilisé pra ce site délictueux pour pourrir la vie des autres et donc la réputation de debian.
On peut toujours demander à ce que ce site soit interdit un peu à la manière dont KIM dot com a été bloqué.
Est-ce possible même si c'est en ukraine ?
Si la marque debian a été déposée cela ne devrait pas poser de problème pour faire interdire le site.
Ce n'est pas pour rien que Mandrake a du changer son nom…
Maintenant si SPI n'a pas déposé le nom de debian, ce qui est étonnant, je pense que debian ira au devant de vrais problèmes…
[^] # Re: Porter plainte contre l'ukrainien est-il envisageable ?
Posté par patrick_g (site web personnel) . Évalué à 4.
C'est sans doute ce qui va être fait. Mais c'est dommage parce que ça va coûter de l'argent et mobiliser des ressources juridiques qui auraient pu être employées ailleurs avec plus de profit pour le libre.
C'est ce que disait Zack dans son mail: we will have to do arbitration, which we will easily win due to the debian trademark, but it will still cost Debian money and SPI lawyers time.
[^] # Re: Porter plainte contre l'ukrainien est-il envisageable ?
Posté par Spyhawk . Évalué à -3. Dernière modification le 06 juin 2013 à 22:45.
Et pourquoi Debian ne ferait tout simplement… rien? Comme remarqué dans le journal, le dépôt n'était plus actif depuis plusieurs mois, tous ceux qui devaient migrer l'ont déjà fait. Les seuls susceptibles d'avoir des soucis (potentiellement) sont ceux qui le mériteraient (désactivation du contrôle des signature GPG).
Sinon, je m'étonne que ce journal soit passé en dépêche. Le journal en question est relativement bien noté, mais je trouve que l'auteur a une grosse part de parti pris, et se focalise sur les derniers mails officiels du Projet Debian en ne voyant que (en ou n'ayant que vu, ou en ne voulat que voir… :P) l'arbre qui cache la forêt. Bref, un journal signé patrick_g n'est pas forcément synonyme de qualitay, et personnellement celui ci ne vaut qu'un envoi direct vers /dev/null.
[^] # Re: Porter plainte contre l'ukrainien est-il envisageable ?
Posté par kadalka . Évalué à -2.
Prendre LinuxFR pour des demeurés, il faut oser quand même…
Personnellement, je trouve normal qu'on le mette dans la zone dépêche pour une raison très simple.
Beaucoup de personnes ne savent tout simplement pas configurer une source list.
Tout ceux qui veulent du multimédia, et ils sont très nombreux, notamment la partie libdvdcss, peuvent parfaitement vouloir reconfigurer leur source list en utilisant un outil graphique où ils ajouteront une ligne debian-multimedia.
Il suffit de se mettre à la place des utilisateurs qui sont loin d'être des maîtres ès debian.
Ils utilisent une distribution à base de debian qui n'a pas debian-multimedia par exemple.
Ils font une recherche sur Google genre "multimedia debian" et il y a de grandes chances qu'ils tombent sur ce site " vérolé " [spyware? rootkit? malware? etc.] à ce que j'ai compris.
En tout cas, j'ai très bien compris la gravité du problème de debian.
Merci à LinuxFR.
[^] # Re: Porter plainte contre l'ukrainien est-il envisageable ?
Posté par Prosper . Évalué à 3.
Ben voyons… patrick_g détient la vérité universelle ?
Si ils ont réussi a mettre debian-multimedia dans synaptic , ils ont deja réussi a le replacer par deb-multimedia , ca fait juste un an que le domaine renvoie une erreur hein.
Non t'as rien compris justement. Le site est pour l'instant squatté , rien de plus.
[^] # Re: Porter plainte contre l'ukrainien est-il envisageable ?
Posté par kadalka . Évalué à -2.
Et vous ?
Vous n'avez toujours pas compris vous.
Synaptic est la seule chose qu'ils utilisent ?
Et qui vous dit que ce n'est pas un ami qui a justement fait les installations et qu'il est parti ?
Tout le monde connaît linux peut-être ?
La plupart, utilisent ce qui est installé par une autre personne.
C'est aussi bien le cas des parents et autres oncles que les personnes âgées…
Si une personne a mis du debian-multimedia, l'utilisateur n'aura pas forcément le reflexe de l'enlever…
Parce qu'il ne connaît pas…
[^] # Re: Porter plainte contre l'ukrainien est-il envisageable ?
Posté par Prosper . Évalué à -1.
Je ne pretends rien , contrairement a toi .
Bouarf, j 'ai failli m'étouffer… tu sors dont on ne sait ou que le site debian-multimedia.org est vérolé , mais c'est moi qui comprends rien..
C'est toi qui parle de synaptic, je ne fait que reprendre ton hypothèse.
Ok et si ma tante en avait ça serait mon oncle.
[^] # Re: Porter plainte contre l'ukrainien est-il envisageable ?
Posté par modr123 . Évalué à 2.
non mais ça fait 6 mois que quand il fait ses maj il a un message d'erreur et ça lui fait rien ?
[^] # Re: Porter plainte contre l'ukrainien est-il envisageable ?
Posté par kadalka . Évalué à -3.
Et encore si et seulement si il fait des mis à jour.
Si c'est une personne qui a installé chez une personne qui ne connaît rien, il ne fera rien tout simplement.
Dans mon cas, je fais les MAJ manuel, sinon il ne fait pas parce que je préfère contrôler la MAJ.
Peut-être que justement c'est le cas des autres aussi…
Donc, ils ne verront rien tout simplement.
[^] # Re: Porter plainte contre l'ukrainien est-il envisageable ?
Posté par vv222 (site web personnel) . Évalué à 1.
J'ai installé des Debian pour différentes personnes de mon entourage.
La plupart ne savent pas ce qu'est une mise-à-jour, mais pour ceux-là il n'y a pas lieu de s'inquiéter.
Par contre, d'autres personnes savent qu'il "faut les faire" mais n'ont pas les connaissances nécessaire à la compréhension d'un message d'erreur et pour ceux-là le problème peut se poser.
Tu raisonnes trop rapidement en te disant que Debian n'est utilisée que par des "power users", mais quid de Mamie Julou qui ne fait pas la différence entre système d'exploitation, navigateur Web, moteur de recherche et page Web ?
[^] # Re: Porter plainte contre l'ukrainien est-il envisageable ?
Posté par claudex . Évalué à 8.
Elle n'arrive pas à faire la différence entre tout ça mais a quand même réussi à désactiver la signature des paquets ?
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Porter plainte contre l'ukrainien est-il envisageable ?
Posté par vv222 (site web personnel) . Évalué à 2.
J'ai bien vu un des utilisateurs à qui j'avais installé une Debian m'appeler pour un problème pour le démarrage de son PC portable…
Verdict : le bonhomme, sans même savoir ce qu'est un BIOS, a réussi à protéger le démarrage de celui-ci par un mot de passe (dont évidemment il n'a aucune idée) !
Depuis, je préfère ne plus douter de rien ;)
Mais tu as sûrement raison sur ce point, même quoi qui administre des Debian depuis plusieurs années je n'ai aucune idée de la méthode pour désactiver la vérification des signatures de paquets…
[^] # Re: Porter plainte contre l'ukrainien est-il envisageable ?
Posté par Argon . Évalué à 4.
Parce que des gens font parfois des choses dangereuses il ne faut pas les informer ? Et surtout comme c'est de leur faute ils peuvent rester sur le banc de touche ? C'est un façon de voir les choses mais ce n'est surement pas la mienne. Bref je trouve ta réflexion un peu "idiote"… tant qu'à être extrême on pourrait dire que proposer une option pour désactiver le contrôle des signatures GPG c'est mal et que Debian finalement ne mérite plus d'exister…
de même que nous profitons des avantages que nous apportent les inventions d'autres, nous devrions être heureux d'avoir l'opportunité de servir les autres au moyen de nos propres inventions ;et nous devrions faire cela gratuitement et avec générosité
[^] # Re: Porter plainte contre l'ukrainien est-il envisageable ?
Posté par Sygne (site web personnel) . Évalué à 8.
Franchement, attendre des dépêches de linuxfr qu'elles soient neutres, c'est comme attendre du canard enchainé qu'il se contente de relayer les annonces de l'afp.
Oui, Patrickg a son avis sur la question, et c'est tant mieux, car sans lui, 1) personne n'en saurait rien, 2) ça ouvre la discussion.
C'est triste ton avis sur l'avis d'autrui.
[^] # Re: Porter plainte contre l'ukrainien est-il envisageable ?
Posté par patrick_g (site web personnel) . Évalué à 9. Dernière modification le 07 juin 2013 à 11:34.
C'est pour ça que j'avais posté le texte en tant que journal. Comme j'avais une opinion sur la question et que je voulais l'exprimer, il m'a semblé qu'un journal perso était plus approprié.
Après les autres membres de l'équipe ont décidé de pousser ce journal en dépêche mais je n'y suis pour rien (et je n'ai évidemment pas pris part au vote sur l'approbation ou le refus de la dépêche).
Il est probable que si j'avais rédigé dès le début en visant une dépêche, je n'aurais pas exprimé ainsi mon opinion de façon aussi tranchée et je m'en serai tenu aux faits bruts.
[^] # Re: Porter plainte contre l'ukrainien est-il envisageable ?
Posté par j (site web personnel) . Évalué à 5.
> Comme j'avais une opinion sur la question et que je voulais l'exprimer, il m'a semblé qu'un journal perso était plus approprié. Après les autres membres de l'équipe ont décidé de pousser ce journal en dépêche mais je n'y suis pour rien (et je n'ai évidemment pas pris part au vote sur l'approbation ou le refus de la dépêche).
Lorsque j'étais modérateur, j'ai été étonné par le fait que certains journaux soient transformés en dépêches sans demander l'avis de l'auteur. Mais comme tu es toujours modérateur, je présume que si tu avais exprimé un avis négatif sur la "promotion" en dépêche de ton journal, les autres modérateurs auraient tenu compte de ton opinion.
[^] # Re: Porter plainte contre l'ukrainien est-il envisageable ?
Posté par Spyhawk . Évalué à 1.
Oui, j'imaginais bien que tu n'y étais pour rien pour la dépêche :)
Je remarque aussi à l'instant que je parlais plus haut du "journal" en référence à /dev/null, mais mon intention initiale était bien de critiquer le passage en "dépêche" lui même.
Ça, par contre, c'est une vrai question. En pratique, il n'y a aucun incidence sur l'utilisateur. Le seul risque se porte sur des utilisateurs idiots/inconscients, qui n'ont pas fait de mise à jour depuis un an, qui ont désactivé le contrôle GPG et uniquement pour autant que le squatter Ukrainien n'ait pas autre chose à faire que de monter une copie du miroir vérolée. Qu'est ce qui justifierait de débourser des frais de justice (ou des frais dans un accord à l'amiable avec le squatter qui n'attend que ça) au lieu d'employer ces ressources ailleurs, avec plus de profit pour le libre?
[^] # Re: Porter plainte contre l'ukrainien est-il envisageable ?
Posté par Zenitram (site web personnel) . Évalué à 7.
Sans doute le prix à payer d'avoir embêté le monsieur sur le nom "Debian" dans son URL, qu'on aurait pu laisser comme ça.
Je ne dis pas que le Monsieur est parfait, mais les torts ne sont pas forcément 100% d'un seul côté, et qu'il y a eu peut-être un pousse au crime un peu éludé du fait du parti pris de l'auteur du journal.
# Expiration du domaine debian-multimedia.org
Posté par j (site web personnel) . Évalué à 5.
> Attention au dépôt debian-multimedia.org !
Ce titre me parait franchement exagéré. "Attention" avec ce point d'exclamation comme si quelque chose allait exploser ou endommager un système Debian. Alors qu'il n'en est rien. Autrement dit je trouve ce titre presque insultant.
> Pour les personnes ayant activé le dépôt alternatif debian-multimedia.org
Activé ? On active pas ce dépôt en un clic dans Synaptic comme on peut le faire avec 'contrib' et 'non-free'
Ceux qui ont ajouté ce dépot l'ont fait manuellement, en connaissance de cause.
> faites attention car le nom de domaine a été racheté par un cybersquatteur ukrainien.
Nom de domaine racheté mais non utilisé. Pour l'instant il n'y pas de cybersquattage.
("The domain has now apparently been registered again by someone unknown to Debian").
> Si le dépôt debian-multimedia.org traine encore dans votre /etc/apt/sources.list, il est urgent de le retirer.
10/05/**2012** : New domain name deb-multimedia.org
You must edit your /etc/apt/sources.list to replaces the old repository name by the new one.
Ça fait plus d'un an. Le dépôt avec l'ancien domaine ne fonctionne simplement plus. Quelqu'un qui l'aurait encore dans son sources.list verrait un message d'erreur.
> C'est un bon exemple de l'importance de la cryptologie pour sécuriser les dépôts APT et de ne pas gérer les clefs à la légère !
Yes. Comme l'a dit l'actuel chef de projet Debian (qui est français) "This is a good example of the importance of the use of cryptography to secure APT repositories (and of the importance of not blindly adding keys)." http://lists.debian.org/debian-devel-announce/2013/06/msg00000.html
[^] # Re: Expiration du domaine debian-multimedia.org
Posté par Sidonie_Tardieu . Évalué à 1.
Il n'en est rien maintenant et il n'en sera sans doute rien.
Mais ça aurait pu se passer autrement. J'imagine qu'il y a toujours dans la nature des machines qui font leur travail et qui n'ont pas été mises à jour parce qu'elles fonctionnaient bien, jusqu'au moment où quelqu'un décide de mettre à jour et paf le point d'exclamation : )
Donc, ne serait-ce que pour un, deux ou mille ordis, ça vaut le coup de prévenir du risque "d'endommagement", et c'est heureux que les admins continuent à se préoccuper de cette histoire.
Si, on est en plein dedans, là, p.i.l.e. p.o.i.l.
Pour un sextumvirat ! Zenitram, Tanguy Ortolo, Maclag, xaccrocheur, arnaudus et alenvers présidents !
[^] # Re: Expiration du domaine debian-multimedia.org
Posté par modr123 . Évalué à 1.
et les maj de securites ?
# HS pardon d'avance
Posté par antistress (site web personnel) . Évalué à 1.
J'en profite pour poser une question car je n'ai pas trouvé ce qui coinçait si c'est vraiement HS merci d'ignorer ce commentaire.
Sous Sid j'ai depuis quelques temps (15j ?) ce message dans Synaptic
mon /etc/apt/sources.list :
merci d'avance
[^] # Re: HS pardon d'avance
Posté par Tarnyko (site web personnel) . Évalué à 3.
Il n'existe pas (encore) de section "testing-updates".
Si tu es aventureux, tu pourrais utiliser "testing-proposed-updates" :
testing étant déjà activé par ailleurs, je pense qu'il est inutile de te recommander la prudence…
[^] # Re: HS pardon d'avance
Posté par claudex . Évalué à 4.
Le testing-updates n'a pas l'air d'exister http://ftp.fr.debian.org/debian/dists/
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: HS pardon d'avance
Posté par -=[ silmaril ]=- (site web personnel) . Évalué à 2.
Quel drôle de source.list …
Si tu est sous sid, nul besoin de tout cela, les paquets de testing/testing-updates sont publiés avant sur unstable, et ceux de stable/stable-update sont d'abord passés par testing/testing-update et donc par unstable.
[^] # Re: HS pardon d'avance
Posté par MrLapinot (site web personnel) . Évalué à 3.
Il fait peut-être du pinning ?
[^] # Re: HS pardon d'avance
Posté par vv222 (site web personnel) . Évalué à 2.
Et quand un paquet de Sid est bogué/absent ? ;)
Avec son sources.list complet antistress peut se rabattre sur des versions propres présentes en testing ou en stable.
Avec ton sources.list où tu n'as déclaré que sid (je ne fais bien sûr que supposer) tu vas te retrouver coincé en cas de paquet disparaissant des dépôts sid (temporairement ou non) ou en cas de bogue bloquant.
Autre point important : les mises-à-jour de sécurité peuvent arriver en stable mais traîner plus longtemps avant d'arriver en sid.
[^] # Re: HS pardon d'avance
Posté par antistress (site web personnel) . Évalué à 2. Dernière modification le 09 juin 2013 à 13:40.
Oui, en effet, j'ai suivi ce conseil : https://www.isalo.org/wiki.debian-fr/Sources_de_paquets_:_les_bases#les_branches
Sinon je ne fais pas de pinning que je ne maîtrise pas. Mais très rarement je vais piocher un paquet experimental (geary par exemple, pour essayer)
[^] # Re: HS pardon d'avance
Posté par syntaxerror . Évalué à 2.
stable-updates n'est autre que la version devenue officielle (avec squeeze) de debian volatile
http://www.debian.org/News/2011/20110215
Le but est de distribuer pour "stable" des paquets réclamant une mise à jour fréquente, hors correctifs de sécurité. Principalement clamav.
On trouvera donc stable-updates et maintenant oldstable-updates, mais pas de testing-updates puisque la mise à jour des paquets de testing est faite continuellement depuis unstable
Tu peux virer testing-updates de ton sources.list ;)
[^] # Re: HS pardon d'avance
Posté par antistress (site web personnel) . Évalué à 3.
Merci à tous, j'ai supprimé testing-updates c'est parfait :-)
# Une seule solution...
Posté par osmedts . Évalué à 6.
Il faut envoyer une mise en demeure à cet ukrainien !
# Pinaillage ?
Posté par zebra3 . Évalué à 6.
Juste une remarque sur les tags : debian et pinaillage, c'est un pléonasme, non ?
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.