Je signale au passage que mes commentaires sur le blog signalant le problème ont étés tout simplement supprimés sans la moindre explication. Certes le ton était un peu énervé sur le manque de fiabilité (le fait d'avoir perdu des données pour une connerie n'aide pas a rester zen), mais ça restait soft avec rien d'insultant non plus. Il est dommage de constater que la critique même constructive n'est pas acceptée sur leur blog.
Je suis l'un des administrateurs du blog de Mageia, et j'ai en effet supprimé un certain nombre de commentaires sur le blog anglophone hier, après qu'on m'ait signalé ce qui semblé être un nombre suspect de commentaires tous fait à partir de nœuds Tor le même jour (testés via leur IP et Exonator).
J'ai passé un bon moment à lire tous les commentaires, et bien qu'il y avait un mélange de commentaire négatifs, positifs, et de création de polémique et de jettage d'huile sur le feu dans les deux sens, j'ai en effet noté que la majorité de ceux fait le 15 mai (et certains le 14) venaient de nœuds Tor, contrairement à tous les commentaires que j'ai ensuite vérifié jusqu'à mi Avril.
Comme cela semblait en effet être un effort concerté de désinformation, j'ai décidé de supprimer tous les commentaires fait depuis un nœud Tor ces derniers jours, qu'ils soient positifs, négatifs ou neutres. À noter que cela inclut de nombreux commentaires qui étaient en attente de modération, et pas seulement ceux que vous avez pu voir publiés.
Je suis désolé si vos commentaires étaient légitimes et si leur correspondance avec un nœud Tor était fortuite (ou même si elle ne l'était pas, il est tout à fait acceptable d'utiliser Tor pour sa communication sur Internet, mais on peut comprendre que les personnes d'en face soient sur leurs gardes), mais plutôt que de faire un jugement de valeur sur chacun des commentaires, j'ai préféré simplement cacher tout le contenu en provenance de Tor (d'après Exonator).
On se calme. Un utilisateur indique qu'il a envie de faire un don, personne de Mageia n'a indiqué un problème d'argent ou demandé des dons. Les problèmes d'infra sont strictement humains, on a assez de sous pour améliorer le hardware (ce qu'on a fait récemment avec la machine sucuk, qui tourne sous Mageia et sur laquelle nous migrons les services web).
Il y a du Wordpress pour le blog, mais dans des VM qui n'ont aucun lien avec le reste de l'infra si ce n'est le DNS à ma connaissance (les comptes Wordpress ne sont pas gérés via LDAP).
Même si ton ton condescendant ne donne pas vraiment envie de t'écouter, tu soulèves des points pertinents.
J'ai essayé d'ajouter plus de détails à l'article du blog, et je l'espère de ton point de vue plus d'honnêteté. La première version ne se voulait en aucun cas malhonnête, mais comme Samuel l'indique, était destinée principalement à informer les utilisateurs sur l'indisponibilité des services qu'ils utilisent.
Donc merci pour tes conseils et les risques que tu soulèves, c'est pertinent et ça nous aidera à bien vérifier la sécurité de l'infra une fois les services migrés. Je ne serai néanmoins pas contre un peu plus de bienveillance dans tes commentaires, on peut réaliser qu'on a sous-estimé un problème de sécurité sans forcément avoir besoin d'être présentés comme des malfrats.
Les sysadmins ont été invités, mais aucun n'était présent. Dans une distribution communautaire, tu ne peux pas nécessairement forcer des contributeurs à être présent à un meeting qui d'ordinaire ne les concerne pas, mais pour lequel ils ont finalement été invités le matin même.
Et personne n'essaie de faire bonne figure, le conseil de Mageia se réunit toutes les semaines pour discuter des sujets de la distribution, on fait pas ça pour vous faire plaisir. La thématique de la mise à jour de l'infra n'est pas nouvelle, mais puisqu'elle semblait être une nouveauté pour certains membres du conseil, je l'ai mise à l'ordre du jour.
Pour préciser, ce n'est pas une révélation qui date de lundi que notre infra manque cruellement de mises à jour sur certains composants. Les sysadmins sont depuis longtemps au courant, de même qu'une grande partie des contributeurs (cf. par exemple le commentaire plus haut sur notre MediaWiki qui est aussi bien au delà de son EOL).
Certains semblaient ne l'avoir jamais remarqué (ce n'est pas caché, et on n'a jamais cherché à dissimuler cette information, nos meetings et mailing lists ont des logs publics) - l'un d'entre eux à considéré (probablement à juste titre) que le sujet n'avait pas la priorité qu'il devrait avoir et à tiré la sonnette d'alarme sur la mailing list du conseil. Ce qui a eu l'effet escompté puisque nos sysadmins discutent actuellement de la migration de divers services (notamment identity/ldap, le plus critique a priori) sur une machine Mageia 5.
Après j'ai du mal à comprendre le ton moralisateur de beaucoup dans les commentaires. Oui, il y a un problème de sécurité, oui, il est connu, non, l'infrastructure n'a pas été compromise (à ma connaissance), oui, il y a des gens compétents qui bossent sur la question et c'est à eux que reviennent les décisions. Tirer la sonnette d'alarme en prévenant la communauté LinuxFR que l'infra de Mageia n'est pas très sure, c'est une bonne chose. Tirer dans les pieds de la communauté Mageia pour le fun au lieu d'essayer d'être constructif, c'est plus discutable.
Le conseil n'a pas pris de décision car il n'a pas tous les éléments pour le faire. Il ne sert à rien de décider unilatéralement d'éteindre une machine sans avoir eu l'avis des experts. Jusqu'à preuve du contraire, les experts sont les sysadmins qui ont mis en place l'infrastructure, et pas ceux qui spéculent sur sa sécurité avec comme seule base un numéro de version.
C'est aux sysadmins de décider de la marche à suivre, pas au conseil (ou en tout cas pas sans en avoir discuté avec les sysadmins au préalable).
L'utilisateur que tu cites n'est pas un membre du conseil, et sa remarque, évidemment une boutade, était en effet déplacée. Elle ne traduit en rien une position officielle, ce problème est pris au sérieux.
Merci de lire les logs avant de traiter une communauté que l'on ne connait pas d'"enculeur de mouches".
Cela n'a pas été reporté à un meeting suivant, il n'y avait juste aucun sysadmin de présent pour un discuter, et continuer ce bikeshedding aurait effectivement été de l'"enculage de mouches".
La discussion continue sur le canal IRC des sysadmins et leur mailing list. Le meeting du Conseil avait pour but de lever la problématique et d'en faire une priorité, pas de la résoudre sans moyens.
Par ailleurs la version openlugaru de Debian, outre l'utilisation de données non-libres, utilise toujours SDL 1.2 et a divers bugs assez handicapants. Plus vite elle sera remplacée par Lugaru 1.1 et le mieux ce sera pour tout le monde, upstream comme downstream :)
PS : Bug sur macOS Sierra, le jeu crashe lorsqu'on essaye de changer les touches de contrôle.
Si tu as un compte sur GitLab.com, n'hésite pas à ouvrir un rapport de bug. Sinon je pourrais le faire moi-même si tu préfères (mais c'est toujours mieux d'avoir celui qui peut reproduire le bug sous la main :)).
Posté par Rémi Verschelde .
En réponse à la dépêche Lugaru enfin libre.
Évalué à 5.
Dernière modification le 16 décembre 2016 à 08:21.
En effet, on aurait pu/dû mentionner ce qu'est Lugaru :)
Comme indique par Apal, Lugaru est un jeu de combat en 3D et à la 3ème personne, dont la particularité est d'avoir des personnages (jouables et non jouables) qui sont des lapins (et quelques loups) anthropomorphiques, au style de combat plutôt ninja et qui joue bien des particularités du «lapin» (par exemple possibilité de faire de très grands bons, et de courir très vite une fois mis à quatre pattes).
Les personnages ont aussi, selon les scénarios, accès à différentes armes : couteau, épée, bâton, ce qui influe grandement leur style de combat (on peut par exemple faire du lancer de couteau ou bien donner de grand coups de bâton).
La campagne suit Turner, un lapin dont le village se fait attaquer et la famille décimer (niveau scénaristique on peut nuancer le «original» ;)), et qui part ensuite à la traque des agresseurs. Rien de bien sorcier, mais ce n'est pas trop pour l'histoire que l'on y joue, même si les campagnes additionnelles tentent de faire preuve d'un brin d'originalité :)
Oui OpenProject n'a posé que des problèmes à Godot, c'est pour ça que la documentation officielle se trouve maintenant sur http://docs.godotengine.org
Le site que tu donnes en lien est en lecture seule et devrait bientôt être complètement viré, il avait juste été gardé temporairement pour ceux qui ne peuvent vraiment pas se passer d'un forum (le nouveau forum de Godot a été lancé il y a une semaine).
D'un point de vue technique, il est également beaucoup plus simple d'avoir un langage de scripting minimal directement implémenté dans le moteur, plutôt que devoir intégrer l'interpréteur python dans les binaires pour toutes les plateformes supportées j'imagine. Pour ce genre d'intégration des langages "légers" comme Lua ou Squirrel sont plus adaptés, mais la FAQ ci-dessus explique aussi pourquoi ils ont été considérés, testés et finalement abandonnés.
# Suppression de commentaires
Posté par Rémi Verschelde . En réponse au journal Mise à jour Mageia: attention danger. Évalué à 10.
Je suis l'un des administrateurs du blog de Mageia, et j'ai en effet supprimé un certain nombre de commentaires sur le blog anglophone hier, après qu'on m'ait signalé ce qui semblé être un nombre suspect de commentaires tous fait à partir de nœuds Tor le même jour (testés via leur IP et Exonator).
J'ai passé un bon moment à lire tous les commentaires, et bien qu'il y avait un mélange de commentaire négatifs, positifs, et de création de polémique et de jettage d'huile sur le feu dans les deux sens, j'ai en effet noté que la majorité de ceux fait le 15 mai (et certains le 14) venaient de nœuds Tor, contrairement à tous les commentaires que j'ai ensuite vérifié jusqu'à mi Avril.
Comme cela semblait en effet être un effort concerté de désinformation, j'ai décidé de supprimer tous les commentaires fait depuis un nœud Tor ces derniers jours, qu'ils soient positifs, négatifs ou neutres. À noter que cela inclut de nombreux commentaires qui étaient en attente de modération, et pas seulement ceux que vous avez pu voir publiés.
Je suis désolé si vos commentaires étaient légitimes et si leur correspondance avec un nœud Tor était fortuite (ou même si elle ne l'était pas, il est tout à fait acceptable d'utiliser Tor pour sa communication sur Internet, mais on peut comprendre que les personnes d'en face soient sur leurs gardes), mais plutôt que de faire un jugement de valeur sur chacun des commentaires, j'ai préféré simplement cacher tout le contenu en provenance de Tor (d'après Exonator).
[^] # Re: Du temps et de son utilisation...
Posté par Rémi Verschelde . En réponse au journal Pas de mises à jour de sécurité depuis 5 ans sur l’infrastructure Mageia. Est‐ce bien raisonnable ?. Évalué à -4.
http://blog.mageia.org/en/2017/04/05/web-services-shut-down-preventively/
Si ça te suffit pas je vois pas ce qu'il te faut.
[^] # Re: Du temps et de son utilisation...
Posté par Rémi Verschelde . En réponse au journal Pas de mises à jour de sécurité depuis 5 ans sur l’infrastructure Mageia. Est‐ce bien raisonnable ?. Évalué à 1.
On se calme. Un utilisateur indique qu'il a envie de faire un don, personne de Mageia n'a indiqué un problème d'argent ou demandé des dons. Les problèmes d'infra sont strictement humains, on a assez de sous pour améliorer le hardware (ce qu'on a fait récemment avec la machine sucuk, qui tourne sous Mageia et sur laquelle nous migrons les services web).
[^] # Re: Et ils continuent de nier le problème ...
Posté par Rémi Verschelde . En réponse au journal Pas de mises à jour de sécurité depuis 5 ans sur l’infrastructure Mageia. Est‐ce bien raisonnable ?. Évalué à 1.
Il y a du Wordpress pour le blog, mais dans des VM qui n'ont aucun lien avec le reste de l'infra si ce n'est le DNS à ma connaissance (les comptes Wordpress ne sont pas gérés via LDAP).
Et ces instances Wordpress sont à jour.
[^] # Re: Et ils continuent de nier le problème ...
Posté par Rémi Verschelde . En réponse au journal Pas de mises à jour de sécurité depuis 5 ans sur l’infrastructure Mageia. Est‐ce bien raisonnable ?. Évalué à 2.
Pareil. Le seul sysadmin qui s'est exprimé ici est Pascal, hier soir.
[^] # Re: Et ils continuent de nier le problème ...
Posté par Rémi Verschelde . En réponse au journal Pas de mises à jour de sécurité depuis 5 ans sur l’infrastructure Mageia. Est‐ce bien raisonnable ?. Évalué à 9.
Même si ton ton condescendant ne donne pas vraiment envie de t'écouter, tu soulèves des points pertinents.
J'ai essayé d'ajouter plus de détails à l'article du blog, et je l'espère de ton point de vue plus d'honnêteté. La première version ne se voulait en aucun cas malhonnête, mais comme Samuel l'indique, était destinée principalement à informer les utilisateurs sur l'indisponibilité des services qu'ils utilisent.
Donc merci pour tes conseils et les risques que tu soulèves, c'est pertinent et ça nous aidera à bien vérifier la sécurité de l'infra une fois les services migrés. Je ne serai néanmoins pas contre un peu plus de bienveillance dans tes commentaires, on peut réaliser qu'on a sous-estimé un problème de sécurité sans forcément avoir besoin d'être présentés comme des malfrats.
[^] # Re: Tu ne sais pas
Posté par Rémi Verschelde . En réponse au journal Pas de mises à jour de sécurité depuis 5 ans sur l’infrastructure Mageia. Est‐ce bien raisonnable ?. Évalué à 9.
En effet, les serveurs concernés ont été interrompus le temps de pouvoir traiter proprement ce problème de migration.
[^] # Re: A ceux qui critiquent....
Posté par Rémi Verschelde . En réponse au journal Pas de mises à jour de sécurité depuis 5 ans sur l’infrastructure Mageia. Est‐ce bien raisonnable ?. Évalué à 10.
Les sysadmins ont été invités, mais aucun n'était présent. Dans une distribution communautaire, tu ne peux pas nécessairement forcer des contributeurs à être présent à un meeting qui d'ordinaire ne les concerne pas, mais pour lequel ils ont finalement été invités le matin même.
Et personne n'essaie de faire bonne figure, le conseil de Mageia se réunit toutes les semaines pour discuter des sujets de la distribution, on fait pas ça pour vous faire plaisir. La thématique de la mise à jour de l'infra n'est pas nouvelle, mais puisqu'elle semblait être une nouveauté pour certains membres du conseil, je l'ai mise à l'ordre du jour.
Pour préciser, ce n'est pas une révélation qui date de lundi que notre infra manque cruellement de mises à jour sur certains composants. Les sysadmins sont depuis longtemps au courant, de même qu'une grande partie des contributeurs (cf. par exemple le commentaire plus haut sur notre MediaWiki qui est aussi bien au delà de son EOL).
Certains semblaient ne l'avoir jamais remarqué (ce n'est pas caché, et on n'a jamais cherché à dissimuler cette information, nos meetings et mailing lists ont des logs publics) - l'un d'entre eux à considéré (probablement à juste titre) que le sujet n'avait pas la priorité qu'il devrait avoir et à tiré la sonnette d'alarme sur la mailing list du conseil. Ce qui a eu l'effet escompté puisque nos sysadmins discutent actuellement de la migration de divers services (notamment identity/ldap, le plus critique a priori) sur une machine Mageia 5.
Après j'ai du mal à comprendre le ton moralisateur de beaucoup dans les commentaires. Oui, il y a un problème de sécurité, oui, il est connu, non, l'infrastructure n'a pas été compromise (à ma connaissance), oui, il y a des gens compétents qui bossent sur la question et c'est à eux que reviennent les décisions. Tirer la sonnette d'alarme en prévenant la communauté LinuxFR que l'infra de Mageia n'est pas très sure, c'est une bonne chose. Tirer dans les pieds de la communauté Mageia pour le fun au lieu d'essayer d'être constructif, c'est plus discutable.
[^] # Re: A ceux qui critiquent....
Posté par Rémi Verschelde . En réponse au journal Pas de mises à jour de sécurité depuis 5 ans sur l’infrastructure Mageia. Est‐ce bien raisonnable ?. Évalué à 7.
Le conseil n'a pas pris de décision car il n'a pas tous les éléments pour le faire. Il ne sert à rien de décider unilatéralement d'éteindre une machine sans avoir eu l'avis des experts. Jusqu'à preuve du contraire, les experts sont les sysadmins qui ont mis en place l'infrastructure, et pas ceux qui spéculent sur sa sécurité avec comme seule base un numéro de version.
C'est aux sysadmins de décider de la marche à suivre, pas au conseil (ou en tout cas pas sans en avoir discuté avec les sysadmins au préalable).
L'utilisateur que tu cites n'est pas un membre du conseil, et sa remarque, évidemment une boutade, était en effet déplacée. Elle ne traduit en rien une position officielle, ce problème est pris au sérieux.
[^] # Re: A ceux qui critiquent....
Posté par Rémi Verschelde . En réponse au journal Pas de mises à jour de sécurité depuis 5 ans sur l’infrastructure Mageia. Est‐ce bien raisonnable ?. Évalué à 8. Dernière modification le 05 avril 2017 à 10:18.
Merci de lire les logs avant de traiter une communauté que l'on ne connait pas d'"enculeur de mouches".
Cela n'a pas été reporté à un meeting suivant, il n'y avait juste aucun sysadmin de présent pour un discuter, et continuer ce bikeshedding aurait effectivement été de l'"enculage de mouches".
La discussion continue sur le canal IRC des sysadmins et leur mailing list. Le meeting du Conseil avait pour but de lever la problématique et d'en faire une priorité, pas de la résoudre sans moyens.
[^] # Re: Installation sous Debian
Posté par Rémi Verschelde . En réponse à la dépêche Lugaru enfin libre. Évalué à 1.
Par ailleurs la version openlugaru de Debian, outre l'utilisation de données non-libres, utilise toujours SDL 1.2 et a divers bugs assez handicapants. Plus vite elle sera remplacée par Lugaru 1.1 et le mieux ce sera pour tout le monde, upstream comme downstream :)
[^] # Re: Excellentes nouvelles pour les nostalgiques !
Posté par Rémi Verschelde . En réponse à la dépêche Lugaru enfin libre. Évalué à 1.
Si tu as un compte sur GitLab.com, n'hésite pas à ouvrir un rapport de bug. Sinon je pourrais le faire moi-même si tu préfères (mais c'est toujours mieux d'avoir celui qui peut reproduire le bug sous la main :)).
[^] # Re: Excellentes nouvelles pour les nostalgiques !
Posté par Rémi Verschelde . En réponse à la dépêche Lugaru enfin libre. Évalué à 5. Dernière modification le 16 décembre 2016 à 08:21.
En effet, on aurait pu/dû mentionner ce qu'est Lugaru :)
Comme indique par Apal, Lugaru est un jeu de combat en 3D et à la 3ème personne, dont la particularité est d'avoir des personnages (jouables et non jouables) qui sont des lapins (et quelques loups) anthropomorphiques, au style de combat plutôt ninja et qui joue bien des particularités du «lapin» (par exemple possibilité de faire de très grands bons, et de courir très vite une fois mis à quatre pattes).
Les personnages ont aussi, selon les scénarios, accès à différentes armes : couteau, épée, bâton, ce qui influe grandement leur style de combat (on peut par exemple faire du lancer de couteau ou bien donner de grand coups de bâton).
La campagne suit Turner, un lapin dont le village se fait attaquer et la famille décimer (niveau scénaristique on peut nuancer le «original» ;)), et qui part ensuite à la traque des agresseurs. Rien de bien sorcier, mais ce n'est pas trop pour l'histoire que l'on y joue, même si les campagnes additionnelles tentent de faire preuve d'un brin d'originalité :)
[^] # Re: doc en français so lag
Posté par Rémi Verschelde . En réponse à la dépêche Publication de la version 2.0 du moteur de jeu libre Godot Engine. Évalué à 1.
Comme Julian l'indique, le focus est à l'amélioration de la documentation anglophone avant de penser trop à faire sa traduction dans diverses langues.
La section francophone du site OpenProject était principalement une coquille vide, il doit y avoir une ou deux pages traduites mais pas beaucoup plus.
[^] # Re: doc en français so lag
Posté par Rémi Verschelde . En réponse à la dépêche Publication de la version 2.0 du moteur de jeu libre Godot Engine. Évalué à 2.
Oui OpenProject n'a posé que des problèmes à Godot, c'est pour ça que la documentation officielle se trouve maintenant sur http://docs.godotengine.org
Le site que tu donnes en lien est en lecture seule et devrait bientôt être complètement viré, il avait juste été gardé temporairement pour ceux qui ne peuvent vraiment pas se passer d'un forum (le nouveau forum de Godot a été lancé il y a une semaine).
[^] # Re: GDscript ?
Posté par Rémi Verschelde . En réponse à la dépêche Publication de la version 2.0 du moteur de jeu libre Godot Engine. Évalué à 10. Dernière modification le 07 avril 2016 à 15:08.
C'est en anglais, mais ça donne déjà de bons éléments de réponse : Frequently Asked Questions
D'un point de vue technique, il est également beaucoup plus simple d'avoir un langage de scripting minimal directement implémenté dans le moteur, plutôt que devoir intégrer l'interpréteur python dans les binaires pour toutes les plateformes supportées j'imagine. Pour ce genre d'intégration des langages "légers" comme Lua ou Squirrel sont plus adaptés, mais la FAQ ci-dessus explique aussi pourquoi ils ont été considérés, testés et finalement abandonnés.