Si je comprends bien, tu parles de la policy (fichier policy.xml), mais justement, c'est ça que je pige pas.
Je m'attends à ce que ImageMagick, sauf faille de sécurité, soit utilisable sans avoir de fichier policy.xml. Avoir une sandbox est une bonne chose, mais on parle d'ImageMagick, si le logiciel sans fichier policy.xml est troué par défaut, c'est un souci.
Donc quand j'examine le patch en détail, il touche 8 fichiers.
On peut retirer les tests et le mp3 de test qui va avec, ainsi que la modif de application.rb qui est la pour charger un autre fichier.
Il reste 5 modifs. Une est le fichier policy.xml, une pour utiliser le fichier en question. On va mettre ça de coté.
Il reste donc les 3 derniers bouts, à savoir:
- une classe MediaTypeSpoofDetectorExtensions
- une modif de transcoder.rb
- une modif de attachmentable.rb
De ce que je comprends, la derniére modif change juste la validation pour utiliser le type MediaTypeSpoofDetectorExtensions, ce qui permet de ne pas laisser passer certains mp3 mal détectés. C'est curieux d'avoir 2 libs pour trouver le type mime, mais on.
Et il reste que transcoder.rb, qui va échouer si on ne peux pas faire de transcoding au lieu de laisser passer ça à ImageMagick.
Donc on a:
- une meilleur vérification des fichiers transcodés (notament les mp3)
- on arrête le traitement si le transcodage échoue (mais quel traitement ? que fait mastodon à part du retaillage ?)
- une policy qui va bloquer le traitement de tout sauf les fichiers d'images, et qui va interdire le module URL.
Mais donc, les modules en questions, est ce que ImageMagick va les appeler sans demande explicite de l'utilisateur ?
Les fonctions des coders (plutôt des encodeurs et décodeurs) implique aussi de demander de les utiliser. Si je dit "transforme ce jepg en pdf", ça va appeler le coder pdf. Mais ça se fait pas sans une demande explicite via la CLI. Donc je pige pas, surtout que ImageMagick n'est pas directement appelé par le code, mais via paperclip (de ce que je comprends), donc il y a déja une couche d'astraction qu'on peut supposer sur (ou qui n'est pas documenté comme non sure).
Est ce que passer un fichier spécifique à ImageMagick dans sa config par défaut va être un souci de sécurité, ou est ce qu'il s'agit d'une faille dans l'instance si il y a une faille dans IM (auquel cas, il y a pas d'urgence sauf timing de merde, mais je vois personne dire "faut mettre à jour IM tout de suite")
J'ai relu 3 fois mon commentaire, je ne croit pas avoir construit d’hypothèses sur les annonces, j'ai construit des hypothèses sur ce que j'ai constaté depuis des années pour Centos.
Ensuite, effectivement, j'imagine qu'on peut extrapoler des suppositions crédibles pour le futur de Rocky et Alma à partir du passé de Centos, si rien de substantiel ne change.
Et bien sur, peut être que je me trompe, et je serait ravi d'avoir des hypothèses alternatives sur ce qui est arrivé à Centos. Mais je crois que personne ne s'est vraiment penché sur ça, justement car la communauté n'avait pas d'appétence pour l'introspection, étant sans doute trop le nez dans le guidon avec une copie d'une RFC trouvé au Vatican pour en discuter en buvant du thé et échangeant des blagues en Francais.
L'ordre n'importe pas tellement, vu que dans les 2 cas, le résultat est le même, un certain contrôle du board qui va à l'encontre des objectifs affichés d'indépendance.
C'est bien d'avoir une calsue sur les votes, mais bon, la démocracie, c'est pas juste les votes, c'est aussi les discussions sur savoir ce qui est voté, la transparence, etc.
C'est ni la première fois, ni la dernière que ce genre de chose arrive dans le libre (ou ailleurs). Réussir à fédérer des entreprises concurrentes est une tache complexe et difficile. Le chemin choisi en général, c'est de passer par une fondation tierce déjà établie, mais C'est aussi quelque chose qui va te ralentir, donc pas forcément désirable d'un point de vue commercial (et on en revient aux visées commerciales de CIQ, une fois encore). Ou non désirable d'un point de vue fiscal (car il y a des considérations à filer une tonne de thunes à une organisation sans but lucratif qui produit un produit que tu es le seul à vendre, l'IRS n'aime pas ça)
La balance entre faire en sorte que le projet grandisse vite et que le projet grandisse de façon durable est encore une fois dur à atteindre, surtout quand c'est ton premier essai. Contrairement au board d'Almalinux (qui a benny Vasquez, Simon Phipps et Jack Aboutboul au bureau), j'ai pas le sentiment qu'il y a grand monde avec ce genre d'expérience chez Rockylinux. Leur CM me semble plus faire du marketing que de la communauté au sens ou les librites l'entendent (et elle n'est pas au board, ce qui est aussi une bonne indication de l'importance du sujet).
Et si le but est d'avoir un fonctionnement un peu plus communautaire et avec une séparation plus visible, il y a des étapes simples qui ne vont rien changer de substantiel à court terme tout en permettant de donner la bonne direction.
Par exemple, il suffit que CIQ file de l'argent à la RESF pour embaucher certaines personnes qui bossent sur Rockylinux. Ce qui me vient en tête, c'est ce que fait la fondation GNOME, ou la PSF en embauchant des sysadmins.
Autre example, faire en sorte que SUSE file l'argent à la RESF au lieu de prendre un contrat avec CIQ aiderais aussi pas mal sur la question de la diversité et de l'ISF mentionné plus haut.
Ou publier les comptes de façon plus régulières que le minimum légal, et de façon plus visible serait aussi un pas dans la bonne direction.
Il y a plein de choses qui pourraient être fait sans remettre en cause le modèle, mais qui ne sont pas encore faites malgré les 2 ans et demi depuis l'annonce de décembre 2020.
Bah, avant IBM, le méchant, c'était "la bourse" ou "les actionnaires", comme si nos salaires n'avaient rien à voir avec le reste (sauf dans les boites rachetés, auquel cas le méchant, c'était RH, en bref, toujours un truc plus gros et moins humain, jamais son ancien patron).
Ce qui me fait rire avec les allégations à la sauce techrights, c'est à quel point ça simplifie le fonctionnement d'une grande boite.
Franchement, si une grande entreprise avait une hiérarchie aussi efficace et rapide qu'il l'imagine, on le saurait depuis longtemps. Il faut 6 mois pour faire valider l'utilisation d'un hébergement wordpress, mais à coté de ça, la boite a largement le temps de prévoir le truc le plus diabolique possible (comme systemd) juste pour prendre le controle des serveurs en retirant des bouts de bash que personne ne veut maintenir.
(et je le voit aussi avec le fedivers, voir les idées claquées au sol sur les histoires avec threads était assez révélateur)
Encore une fois, la différence entre RockyLinux/CIQ et AlmaLinux me semble assez révélatrice des différences pratiques des 2 groupes.
CIQ profite de l'annonce pour choper 10 millions d'US$ chez un concurrent (car SUSE est un concurrent de CIQ, les 2 visent à fournir du support sur une distro RHEL compatible), et Rockylinux, fortement contrôlée par CIQ (comme on a pu le voir plus haut), décide de viser la compatibilité bug pour bug, un des arguments utilisé commercialement par CIQ. La compat bug pour bug, ça n'a d'importance que pour les vendeurs tierces, le reste du monde est content de voir les bugs corrigés en général (sinon, pourquoi payer le support si c'est.
De manière que je trouve plus maligne sur le long terme, Alma décide de ne pas suivre RockyLinux, et de permettre à la communauté de faire vraiment ce qu'elle veut.
Car viser le "bug pour bug compatible", ça implique aussi de ne jamais rien changer par rapport à RHEL (sinon, c'est plus du bug pour bug), de ne pas fournir de correctif de bug ou de fonction en plus, et donc que la gouvernance technique reste entièrement chez Red Hat. Pour moi, c'est un antipattern de distribution communautaire, ça décourage assez vite les bonnes volontés.
Dans le cas de Centos, venir ouvrir des bugs et qu'on te réponde "on ne corrige rien, faut aller voir avec Red Hat", ça a vite impulsé une dynamique problématique sous forme de découragement.
C'est selon moi un des facteurs principaux de l'état de la communauté Centos vers 2014, à savoir surtout des gens la pour utiliser, et pas des gens pour contribuer au cœur de la distribution (ou ailleurs). Et après 2014, ça s'est aggravé, car quand RH a payé quelqu'un pour organiser les dojos Centos, la communauté a arrêté de s'en occuper après 2 ans en mettant les pieds sous la table.
"RESF shall be structured and governed in a way that ensures that no single entity, organization, corporation, association, etc. will be permitted to have a controlling influence over the RESF or its projects"
C'est une bonne chose, et traduit dans le point 18 de l'article II des statuts, donc on ne peux pas dire que c'est du flan.
Mais malgré ça, en pratique, CIQ emploie plus d'une moitié du bureau affiché sur le site web.
Si on regarde le meeting de mars, ou il y a eu le vote du président, il y a eu 2 membres qui n'ont pas pris par au vote, car affiliés à CIQ. Et donc, en plus des 4 que j'ai listé, je voit que Sherif Negy bosse aussi chez CIQ (ce qui n'est pas sur Linkedin ), ce qui fait donc un total de 5 personnes maintenant au bureau pour le même employeur.
Le meeting du mois de janvier est aussi intéressant, car il n'y a presque personne de CIQ à ce moment (à part Gregory Kurster en tant que membre fondateur, et Brian Clemens en tant qu'externe), donc en 2 mois, il y a eu un quasi takeover du board.
Et je constate que les minutes de meeting de RESF sont globalement vides, publiées avec un retard croissant. Les minutes de mai sont arrivés début juillet, il n'y a rien pour celui de juin sur github. Personne ne semble mettre à jour le site web, car la liste ne montre que 3 mois et s’arrête à mars 2023, (voir en bas de la page). Donc c'est un peu les MM&S brun pour la transparence. Si les trucs sans importances ne sont pas fait, qu'est ce que ça va donner pour le reste :/
Quand je compare avec AlmaLinux, la différence est flagrante. Le board est beaucoup plus diversifié chez Alma, (cf la page sur le wiki ), le poste des membres du bureau clairement affiché (enfin, sauf pour Jack Aboutboul, qui ne dit pas que Moshe Bar, son PDG/ancien PDG, est aussi au board).
On voit aussi que les minutes des meetings sont détaillées, et à jour. Il y a des liens vers les différents documents discutés, et l'agenda du meeting suivant (août 2023) est déjà la. On voit qu'il y a des réunions depuis 2 ans, et que les membres de la communauté peuvent devenir membre du bureau via des élections ouvertes.
Ça me parait beaucoup plus propre et plus communautaire que Rockylinux. Et ça, c'est sans me pencher sur le focus constant sur le fondateur de la distro (Gregory Kurster), qui est pour moi un antipattern comme on a pu le voir avec la FSF en 2021.
Ce qui revient à avoir une faille arbitraire dans ImageMagick, non ?
Le patch semble juste empêcher de faire passer un média arbitraire à ImageMagick.
Je vois bien comment ça pourrait poser probléme parce qu'ImageMagick a régulièrement des soucis (et donc, suffit de passer un fichier vérolé dans un format pourri, et voila), mais en pratique, quel attaque possible ne s'appuie pas sur une faille d'ImageMagick (et je compte le fait d'avoir un write arbitraire d'IM comm une faille d'IM ) ?
Et si on regarde qui est aussi au bureau, le team lead sur l'infra, Neil Hanlon, est développeur chez CIQ, d’après son profil Linkedin. Mustafa Gezen, team lead sur la partie release engineering, est employé par CIQ (toujours linkedin).
Donc sur 8 membres du bureau, 4 sont dans la même boite, avec 3 qui ont un lien de subordination avec le fondateur et président de l'assoce et PDG du sponsor principal. Je sais que quand il y a un sponsor principal, c'est souvent ce qui arrive, car les non employés n'ont pas le temps de faire ce que les employés peuvent faire en terme de réunion et de travail, mais c'est quand même curieux que ça soit le cas pour un projet si récent.
L'investisseur est Two Bear Capital, une boite fondé par un ancien de Sequoia Capital (qui a été une des premières boites à investire dans Facebook, d'aprés WP), et qui a aussi investi dans la biotechnologie.
26 millions, ça semble pas mal, mais CIQ a 77 employés (cf linkedin), donc ça ne fait que 330k par personne, ce qui permet de tenir 1 ou 2 ans. Ça me semble pas ouf niveau finance. Et avec les conditions économiques, il me semble assez clair qu'un autre tour de table ne va pas arriver tout de suite.
Ce qui explique aussi pour CIQ tente à tout prix de se diversifier sur les HPC (le rebranding de Singularity en Apptainer, une offre autour de Warewulf via fuzzball), parce que clairement, c'est pas en offrant un OS gratos que les investisseurs vont être content, surtout en ce moment.
Par exemple, dans le cadre du taf, on a voulu démarrer un contrat avec la boite fondé par les fondateurs de Discourse, pour soutenir le projet upstream et nous débarrasser de la question des mises à jours.
On a découvert que notre département juridique demande à avoir des clauses spécifiques dans le contrat, la boite a dit "oui, mais pas pour un contrat mineur" (comprendre moins de XX milliers de dollars US par an). Donc les petits fournisseurs sont pas équipés pour ce genre de choses (on a avait eu le cas avec un dev freelance qui propose de l'hebergement, et à qui la boite voulait demander un contrat d'assurance à la hauteur de 1 million d'US$).
On a aussi hérité d'un compte pour un hébergement wordpress (pris par une collégue avant son départ sans prévenir personne). pour mettre ça en ordre, j'ai du faire le relais entre notre équipe sécu et le support pour qu'il laisse faire un audit de sécurité. La gestion du RGPD et autres lois de ce genre font qu'on doit demander des trucs spécifiques sur la politique de rétention des logs, sur leur backups, etc, etc.
Les grosses boites ont des contraintes dont les plus petites n'ont que faire. Et c'est pas uniquement les USAs, vu que j'ai aussi vu ça tout du long quand j'avais plus de contact avec l'industrie hexagonale. J'ai vu des ministéres négocier les contrats en changeant le texte pendant 3 mois pendant mon stage. J'ai vu des grosses administrations passer par une boite de SSII qui est venu voir la startup ou je bossais pour de la presta (car la SSII avait fait le taf pour le contrat, mais n'avais pas les compétences spécifiques en interne sur ce logiciel).
Mais ça, la plupart des admins ne le voient pas, vu que de mon expérience, c'est pas leur taf (alors que mon chef m'a délégué ça, donc je suis joie…).
C'est comme les devs qui débarquent et ne pigent pas qu'il n'y a pas un quota de 1T par personne, parce qu'un disque dur, ça coûte pas cher à la FNAC (enfin, ce qu'on m'a dit, c'était newegg, mais j'adapte l'histoire). Ils ne voient ni les backups (x2 la taille), ni le RAID (x2 aussi), ni le coût en infra réseau/cpu pour les backups, ni les limites en terme de serveur pour filer 1T pour tout le monde.
C'est un argument assez proche de celui de John D'Emilio, un historien américain, sur les conditions de l'émergence d'une identité gay (et donc, par extension, le militantisme et les droits de la communauté LGBTQ). Il parle de son argument dans une interview de 2020, et sans doute dans quelques bouquins.
Le nœud de la discussion, c'est quantifier le rôle de chaque événements, sachant qu'il s'agit de choses assez peu comparables, et c'est aussi une comparaison politiquement chargé.
Les cabinets de consultants, une moitié de leur boulot, c'est d'être fusible. SI un truc foire, c'est la faute du cabinet. Si un truc marche, c'est grace à toi.
L'autre moitié, c'est de contourner la bureaucratie interne de leur client. Dépenser de l'argent pour un cabinet est bien plus simple qu'embaucher (vu qu'il est plus simple d’arrêter la mission), et c'est aussi censé avoir moins (moins, pas 0) de politique interne. Le cabinet va suivre les ordres du client, bien sur, mais ne va pas avoir autant de considération de politique interne long terme comme des personnes en interne, ni avoir des histoires du à un probléme il y a 5 ans avec un autre département, ce genre de truc.
Une fois que tu piges ce que ça apporte, ça devient assez clair que le cabinet se contente hélas de répondre à une demande (et pour être clair, pas juste le gouvernement, mais aussi n'importe quelle structure assez grosse, une multinationale va aussi avoir les mêmes dynamiques, la différence étant qu'on s'en fout beaucoup par la magie du capitalisme).
Tu as quand même un intermédiaire (l'admin du serveur) qui décide ou pas de répliquer les groupes.
Et je pense que tu as aussi la question de la gouvernance de la hiérarchie, à savoir qui décide que les discussions sur, au pif, Android vont sur fr.android, ou fr.phones.android ou fr.phone.android.
Oui, perso, j'attends plus de la migration hors reddit vers kbin/lemmy que de mastodon et co.
Avec le modèle de mastodon, chaque personne publie son contenu et réponds et entretient un fil via des boost, et chaque personne va suivre les autres. Ça force l'organisation en instances afin d'avoir un fil co-construit autour des personnes.
Dans le modèle Reddit/kbin/lemmy, l'instance est organisé en communauté, donc le fil de publication de la communauté est organisé par un groupe de modérateur autour d'un sujet, et ensuite, chaque post a son fil de discussion.
Ça me parait correspondre plus à ce que je voudrait personellement, et je pense toi aussi.
Ensuite, kbin et lemmy ne semble pas aussi mature que mastodon pour le moment.
Ça ne fonctionne pas, parce que ça va à l’encontre exact de l’instance personnelle.
Ouais, mais ça ne marche pas parce que tu as une instance perso avant tout.
Par contre, pour quelqu'un qui veut ouvrir l'instance (exemple quelqu'un dans la position de mastodon.art ou infosec.exchange, qui sont des instances thématiques ), ça aurait du sens. Si on considère chaque instance comme un réseau autonome (mais connecté), ça passe.
Mais fondamentalement, le souci n'est pas technique. Le souci, c'est que quelqu'un qui veut une instance perso ne veut sans doute pas non plus qu'on lui impose des choses.
Il y a eu des comptes qui ont ralés quand l'appli mastodon sur android a proposé mastodon.social comme choix, alors que ça résout un probléme à savoir "comment choisir l'instance".
J'imagine le bruit si jamais ton instance va chercher dans un endroit centralisé (gasp) des infos d'autres instances pour remplir la timeline. Il suffit de voir le bruit autour de matrix pour ça.
De même, j'imagine le bordel aussi si un logiciel va intégrer une forme de recherche (entre la gamification possible pour une audience, et le besoin de modérer si ça devient un service centralisé).
Donc pour moi, le cas "serveur perso", c'est un cas ou on peut supposer que l'admin sait ce qu'il fait. Mais c'est un peu pourri, parce que même si tu sais ce que tu fais, ça reste trop compliqué.
Je me retrouve donc condamné, par conception, à avoir
Ça pourrait être pire, tu pourrait découvrir que tu ne peux pas filtrer sur le serveur quand tu t'apercois que tu suis quelqu'un qui parle de gouvernance du libre, mais aussi beaucoup de l'équipe de foot féminine de son pays en postant sur ça les soirs de match.
Alors, je pense qu'il faut modérer un peu les chiffres des abonnés, car avoir des abonnés, ça n'implique pas d'avoir de la visibilité en pratique.
Ensuite bien sur, vu les chiffres que tu donnes, Mastodon ne va pas être premier, loin de la, mais vu que l'algo de Twitter est la pour aussi filtrer pour les gens qui s'abonne à trop de truc, il y a aussi ce facteur.
Un point plus intéressant, c'est que Mastodon n'a pas d'outil pour évaluer le nombre de personnes qui a vu ton toot, et risque sans doute de ne pas en avoir vu le zeitgeist du fedivers.
Je veux pas relancer une discussion sur les métriques, etc, mais ça me semble être quelque chose qui va manquer à terme.
Parce que le problème n’est pas « des algorithmes poussant des contenus sur des bases inconnues. » mais l’absence totale de contenus poussés.
Yep. Sur HN, un commentaire parlait de l'utilisation d'invitation pour bootstraper un réseau, et ça serait à mon avis une idée à essayer (proposer d'inviter des gens sur ton serveur, en abonnant au pif à 3 personnes, ou des comptes volontaires + la personne qui donne l'invite).
Le numéro de version public ne va pas changer grand chose quand la faille est public, quelqu'un va tenter et basta. Savoir ce qui tourne est important si tu veux rester discret, mais la, ça va sans doute pas être le cas. J'ai encore vu ce matin qu'on a tenter un exploit wordpress sur un site statique que je gère.
Pour CVE-2023-36461, même avec 7.5, ça va juste bloquer le serveur. C'est chiant, mais je m'affolerais pas.
CVE-2023-36459, c'est une xss et qui semble impliquer un click de quelqu'un (genre, soit avoir une personne qui retoot le message, soit quelqu'un qui fait le site web et le poste). C'est chiant aussi, mais je pense que les divers navigateurs bloquent aussi pas mal de xss de nos jours (je crois). Et surtout, ça laisse des traces.
Le dernier CVE-2023-36460, je pense que ça nécessite aussi une faille dans ImageMagick en plus, non ? Je ne crois pas qu'on puisse avoir de l'execution de code directement en lancant ImageMagick.
Du coup, faut mettre à jour par bonne pratique, mais est ce que j'ai loupé des choses dans les failles annoncées ?
c'est pas tous, mais malheureusement ils sont trop nombreux à fermer les yeux sur les agissement délétère de leur collègue; et en cela ils sont complice.
(même si je pense que si l'EEOC avait eu les moyens de faire son taf au lieu de se faire vider par Reagan, ça rentrerais dans "discrimination raciste" aux USA sans avoir besoin de faire une loi à part)
[^] # Re: Quelques remarques
Posté par Misc (site web personnel) . En réponse au journal Vous hébergez un serveur Mastodon ? Mettez-le à jour !. Évalué à 3.
Si je comprends bien, tu parles de la policy (fichier policy.xml), mais justement, c'est ça que je pige pas.
Je m'attends à ce que ImageMagick, sauf faille de sécurité, soit utilisable sans avoir de fichier policy.xml. Avoir une sandbox est une bonne chose, mais on parle d'ImageMagick, si le logiciel sans fichier policy.xml est troué par défaut, c'est un souci.
Donc quand j'examine le patch en détail, il touche 8 fichiers.
On peut retirer les tests et le mp3 de test qui va avec, ainsi que la modif de application.rb qui est la pour charger un autre fichier.
Il reste 5 modifs. Une est le fichier policy.xml, une pour utiliser le fichier en question. On va mettre ça de coté.
Il reste donc les 3 derniers bouts, à savoir:
- une classe MediaTypeSpoofDetectorExtensions
- une modif de transcoder.rb
- une modif de attachmentable.rb
De ce que je comprends, la derniére modif change juste la validation pour utiliser le type MediaTypeSpoofDetectorExtensions, ce qui permet de ne pas laisser passer certains mp3 mal détectés. C'est curieux d'avoir 2 libs pour trouver le type mime, mais on.
Et il reste que transcoder.rb, qui va échouer si on ne peux pas faire de transcoding au lieu de laisser passer ça à ImageMagick.
Donc on a:
- une meilleur vérification des fichiers transcodés (notament les mp3)
- on arrête le traitement si le transcodage échoue (mais quel traitement ? que fait mastodon à part du retaillage ?)
- une policy qui va bloquer le traitement de tout sauf les fichiers d'images, et qui va interdire le module URL.
Mais donc, les modules en questions, est ce que ImageMagick va les appeler sans demande explicite de l'utilisateur ?
Les fonctions des coders (plutôt des encodeurs et décodeurs) implique aussi de demander de les utiliser. Si je dit "transforme ce jepg en pdf", ça va appeler le coder pdf. Mais ça se fait pas sans une demande explicite via la CLI. Donc je pige pas, surtout que ImageMagick n'est pas directement appelé par le code, mais via paperclip (de ce que je comprends), donc il y a déja une couche d'astraction qu'on peut supposer sur (ou qui n'est pas documenté comme non sure).
Est ce que passer un fichier spécifique à ImageMagick dans sa config par défaut va être un souci de sécurité, ou est ce qu'il s'agit d'une faille dans l'instance si il y a une faille dans IM (auquel cas, il y a pas d'urgence sauf timing de merde, mais je vois personne dire "faut mettre à jour IM tout de suite")
[^] # Re: ça bouge, ça évolue
Posté par Misc (site web personnel) . En réponse à la dépêche L'affaire des sources : mémo des clones de Red Hat Entreprise Linux (RHEL). Évalué à 4.
J'ai relu 3 fois mon commentaire, je ne croit pas avoir construit d’hypothèses sur les annonces, j'ai construit des hypothèses sur ce que j'ai constaté depuis des années pour Centos.
Ensuite, effectivement, j'imagine qu'on peut extrapoler des suppositions crédibles pour le futur de Rocky et Alma à partir du passé de Centos, si rien de substantiel ne change.
Et bien sur, peut être que je me trompe, et je serait ravi d'avoir des hypothèses alternatives sur ce qui est arrivé à Centos. Mais je crois que personne ne s'est vraiment penché sur ça, justement car la communauté n'avait pas d'appétence pour l'introspection, étant sans doute trop le nez dans le guidon avec une copie d'une RFC trouvé au Vatican pour en discuter en buvant du thé et échangeant des blagues en Francais.
[^] # Re: ça bouge, ça évolue
Posté par Misc (site web personnel) . En réponse à la dépêche L'affaire des sources : mémo des clones de Red Hat Entreprise Linux (RHEL). Évalué à 2.
Les sources sont sur https://gitlab.com/redhat/centos-stream/ depuis la release, non ?
[^] # Re: État des lieux
Posté par Misc (site web personnel) . En réponse à la dépêche L'affaire des sources : mémo des clones de Red Hat Entreprise Linux (RHEL). Évalué à 6.
L'ordre n'importe pas tellement, vu que dans les 2 cas, le résultat est le même, un certain contrôle du board qui va à l'encontre des objectifs affichés d'indépendance.
C'est bien d'avoir une calsue sur les votes, mais bon, la démocracie, c'est pas juste les votes, c'est aussi les discussions sur savoir ce qui est voté, la transparence, etc.
C'est ni la première fois, ni la dernière que ce genre de chose arrive dans le libre (ou ailleurs). Réussir à fédérer des entreprises concurrentes est une tache complexe et difficile. Le chemin choisi en général, c'est de passer par une fondation tierce déjà établie, mais C'est aussi quelque chose qui va te ralentir, donc pas forcément désirable d'un point de vue commercial (et on en revient aux visées commerciales de CIQ, une fois encore). Ou non désirable d'un point de vue fiscal (car il y a des considérations à filer une tonne de thunes à une organisation sans but lucratif qui produit un produit que tu es le seul à vendre, l'IRS n'aime pas ça)
La balance entre faire en sorte que le projet grandisse vite et que le projet grandisse de façon durable est encore une fois dur à atteindre, surtout quand c'est ton premier essai. Contrairement au board d'Almalinux (qui a benny Vasquez, Simon Phipps et Jack Aboutboul au bureau), j'ai pas le sentiment qu'il y a grand monde avec ce genre d'expérience chez Rockylinux. Leur CM me semble plus faire du marketing que de la communauté au sens ou les librites l'entendent (et elle n'est pas au board, ce qui est aussi une bonne indication de l'importance du sujet).
Et si le but est d'avoir un fonctionnement un peu plus communautaire et avec une séparation plus visible, il y a des étapes simples qui ne vont rien changer de substantiel à court terme tout en permettant de donner la bonne direction.
Par exemple, il suffit que CIQ file de l'argent à la RESF pour embaucher certaines personnes qui bossent sur Rockylinux. Ce qui me vient en tête, c'est ce que fait la fondation GNOME, ou la PSF en embauchant des sysadmins.
Autre example, faire en sorte que SUSE file l'argent à la RESF au lieu de prendre un contrat avec CIQ aiderais aussi pas mal sur la question de la diversité et de l'ISF mentionné plus haut.
Ou publier les comptes de façon plus régulières que le minimum légal, et de façon plus visible serait aussi un pas dans la bonne direction.
Il y a plein de choses qui pourraient être fait sans remettre en cause le modèle, mais qui ne sont pas encore faites malgré les 2 ans et demi depuis l'annonce de décembre 2020.
[^] # Re: Comment vont-ils faire ?
Posté par Misc (site web personnel) . En réponse à la dépêche L'affaire des sources : mémo des clones de Red Hat Entreprise Linux (RHEL). Évalué à 5.
Bah, avant IBM, le méchant, c'était "la bourse" ou "les actionnaires", comme si nos salaires n'avaient rien à voir avec le reste (sauf dans les boites rachetés, auquel cas le méchant, c'était RH, en bref, toujours un truc plus gros et moins humain, jamais son ancien patron).
Ce qui me fait rire avec les allégations à la sauce techrights, c'est à quel point ça simplifie le fonctionnement d'une grande boite.
Franchement, si une grande entreprise avait une hiérarchie aussi efficace et rapide qu'il l'imagine, on le saurait depuis longtemps. Il faut 6 mois pour faire valider l'utilisation d'un hébergement wordpress, mais à coté de ça, la boite a largement le temps de prévoir le truc le plus diabolique possible (comme systemd) juste pour prendre le controle des serveurs en retirant des bouts de bash que personne ne veut maintenir.
(et je le voit aussi avec le fedivers, voir les idées claquées au sol sur les histoires avec threads était assez révélateur)
[^] # Re: Selon Insider Intelligence (mai 2023)
Posté par Misc (site web personnel) . En réponse au lien Twitter a perdu près de la moitié de ses revenus publicitaires - letemps.ch. Évalué à 6.
Avec ou sans les dépenses pour procès ?
[^] # Re: ça bouge, ça évolue
Posté par Misc (site web personnel) . En réponse à la dépêche L'affaire des sources : mémo des clones de Red Hat Entreprise Linux (RHEL). Évalué à 7.
Encore une fois, la différence entre RockyLinux/CIQ et AlmaLinux me semble assez révélatrice des différences pratiques des 2 groupes.
CIQ profite de l'annonce pour choper 10 millions d'US$ chez un concurrent (car SUSE est un concurrent de CIQ, les 2 visent à fournir du support sur une distro RHEL compatible), et Rockylinux, fortement contrôlée par CIQ (comme on a pu le voir plus haut), décide de viser la compatibilité bug pour bug, un des arguments utilisé commercialement par CIQ. La compat bug pour bug, ça n'a d'importance que pour les vendeurs tierces, le reste du monde est content de voir les bugs corrigés en général (sinon, pourquoi payer le support si c'est.
De manière que je trouve plus maligne sur le long terme, Alma décide de ne pas suivre RockyLinux, et de permettre à la communauté de faire vraiment ce qu'elle veut.
Car viser le "bug pour bug compatible", ça implique aussi de ne jamais rien changer par rapport à RHEL (sinon, c'est plus du bug pour bug), de ne pas fournir de correctif de bug ou de fonction en plus, et donc que la gouvernance technique reste entièrement chez Red Hat. Pour moi, c'est un antipattern de distribution communautaire, ça décourage assez vite les bonnes volontés.
Dans le cas de Centos, venir ouvrir des bugs et qu'on te réponde "on ne corrige rien, faut aller voir avec Red Hat", ça a vite impulsé une dynamique problématique sous forme de découragement.
C'est selon moi un des facteurs principaux de l'état de la communauté Centos vers 2014, à savoir surtout des gens la pour utiliser, et pas des gens pour contribuer au cœur de la distribution (ou ailleurs). Et après 2014, ça s'est aggravé, car quand RH a payé quelqu'un pour organiser les dojos Centos, la communauté a arrêté de s'en occuper après 2 ans en mettant les pieds sous la table.
[^] # Re: État des lieux
Posté par Misc (site web personnel) . En réponse à la dépêche L'affaire des sources : mémo des clones de Red Hat Entreprise Linux (RHEL). Évalué à 8.
Avoir une B-corp, ç'est classique (la Linux Foundation fait ça, AlmaLinux aussi, ainsi que l'OSI , mais pas la FSF que je sache).
Par contre, le bureau non élu, ça me parait pas super niveau communautaire :/
Et plus je regarde RockyLinux, plus ça me semble un peu louche.
Par exemple, sur la page web de la charte, on peut lire:
"RESF shall be structured and governed in a way that ensures that no single entity, organization, corporation, association, etc. will be permitted to have a controlling influence over the RESF or its projects"
C'est une bonne chose, et traduit dans le point 18 de l'article II des statuts, donc on ne peux pas dire que c'est du flan.
Mais malgré ça, en pratique, CIQ emploie plus d'une moitié du bureau affiché sur le site web.
Si on regarde le meeting de mars, ou il y a eu le vote du président, il y a eu 2 membres qui n'ont pas pris par au vote, car affiliés à CIQ. Et donc, en plus des 4 que j'ai listé, je voit que Sherif Negy bosse aussi chez CIQ (ce qui n'est pas sur Linkedin ), ce qui fait donc un total de 5 personnes maintenant au bureau pour le même employeur.
Le meeting du mois de janvier est aussi intéressant, car il n'y a presque personne de CIQ à ce moment (à part Gregory Kurster en tant que membre fondateur, et Brian Clemens en tant qu'externe), donc en 2 mois, il y a eu un quasi takeover du board.
Et je constate que les minutes de meeting de RESF sont globalement vides, publiées avec un retard croissant. Les minutes de mai sont arrivés début juillet, il n'y a rien pour celui de juin sur github. Personne ne semble mettre à jour le site web, car la liste ne montre que 3 mois et s’arrête à mars 2023, (voir en bas de la page). Donc c'est un peu les MM&S brun pour la transparence. Si les trucs sans importances ne sont pas fait, qu'est ce que ça va donner pour le reste :/
Quand je compare avec AlmaLinux, la différence est flagrante. Le board est beaucoup plus diversifié chez Alma, (cf la page sur le wiki ), le poste des membres du bureau clairement affiché (enfin, sauf pour Jack Aboutboul, qui ne dit pas que Moshe Bar, son PDG/ancien PDG, est aussi au board).
On voit aussi que les minutes des meetings sont détaillées, et à jour. Il y a des liens vers les différents documents discutés, et l'agenda du meeting suivant (août 2023) est déjà la. On voit qu'il y a des réunions depuis 2 ans, et que les membres de la communauté peuvent devenir membre du bureau via des élections ouvertes.
Ça me parait beaucoup plus propre et plus communautaire que Rockylinux. Et ça, c'est sans me pencher sur le focus constant sur le fondateur de la distro (Gregory Kurster), qui est pour moi un antipattern comme on a pu le voir avec la FSF en 2021.
[^] # Re: Quelques remarques
Posté par Misc (site web personnel) . En réponse au journal Vous hébergez un serveur Mastodon ? Mettez-le à jour !. Évalué à 4.
Ce qui revient à avoir une faille arbitraire dans ImageMagick, non ?
Le patch semble juste empêcher de faire passer un média arbitraire à ImageMagick.
Je vois bien comment ça pourrait poser probléme parce qu'ImageMagick a régulièrement des soucis (et donc, suffit de passer un fichier vérolé dans un format pourri, et voila), mais en pratique, quel attaque possible ne s'appuie pas sur une faille d'ImageMagick (et je compte le fait d'avoir un write arbitraire d'IM comm une faille d'IM ) ?
[^] # Re: État des lieux
Posté par Misc (site web personnel) . En réponse à la dépêche L'affaire des sources : mémo des clones de Red Hat Entreprise Linux (RHEL). Évalué à 6. Dernière modification le 16 juillet 2023 à 11:34.
Ça va un peu plus loin, car RESF (Rockylinux Entreprise Software Foundation), l'association qui gère Rockylinux, a pour président Gregory Kurtzer, fondateur de CIQ. Le project manager, listé aussi dans la catégorie Leadership est Brian Clemens, technico-commercial chez CIQ. Les 2 sont membres du bureau de l'assoce, qui contient 8 personnes.
Et si on regarde qui est aussi au bureau, le team lead sur l'infra, Neil Hanlon, est développeur chez CIQ, d’après son profil Linkedin. Mustafa Gezen, team lead sur la partie release engineering, est employé par CIQ (toujours linkedin).
Donc sur 8 membres du bureau, 4 sont dans la même boite, avec 3 qui ont un lien de subordination avec le fondateur et président de l'assoce et PDG du sponsor principal. Je sais que quand il y a un sponsor principal, c'est souvent ce qui arrive, car les non employés n'ont pas le temps de faire ce que les employés peuvent faire en terme de réunion et de travail, mais c'est quand même curieux que ça soit le cas pour un projet si récent.
CIQ a fait un premier tour de table de 26 millions de dollars en 2022, en plus des 4 millions initiales en 2021.
L'investisseur est Two Bear Capital, une boite fondé par un ancien de Sequoia Capital (qui a été une des premières boites à investire dans Facebook, d'aprés WP), et qui a aussi investi dans la biotechnologie.
26 millions, ça semble pas mal, mais CIQ a 77 employés (cf linkedin), donc ça ne fait que 330k par personne, ce qui permet de tenir 1 ou 2 ans. Ça me semble pas ouf niveau finance. Et avec les conditions économiques, il me semble assez clair qu'un autre tour de table ne va pas arriver tout de suite.
Ce qui explique aussi pour CIQ tente à tout prix de se diversifier sur les HPC (le rebranding de Singularity en Apptainer, une offre autour de Warewulf via fuzzball), parce que clairement, c'est pas en offrant un OS gratos que les investisseurs vont être content, surtout en ce moment.
[^] # Re: Comment vont-ils faire ?
Posté par Misc (site web personnel) . En réponse à la dépêche L'affaire des sources : mémo des clones de Red Hat Entreprise Linux (RHEL). Évalué à 5.
Faut arrêter le FUD sur ça et de reprendre les points de techrights.org, le blog complotiste de Roy Schestowitz.
Comme l'a dit un de mes ex-collègues (Ben Cotton)
"I wish folks would stop blaming everything on IBM. Red Hat is perfectly capable of making our own bad decisions."
[^] # Re: État des lieux
Posté par Misc (site web personnel) . En réponse à la dépêche L'affaire des sources : mémo des clones de Red Hat Entreprise Linux (RHEL). Évalué à 9.
Il y a plusieurs raisons pour ça.
Par exemple, dans le cadre du taf, on a voulu démarrer un contrat avec la boite fondé par les fondateurs de Discourse, pour soutenir le projet upstream et nous débarrasser de la question des mises à jours.
On a découvert que notre département juridique demande à avoir des clauses spécifiques dans le contrat, la boite a dit "oui, mais pas pour un contrat mineur" (comprendre moins de XX milliers de dollars US par an). Donc les petits fournisseurs sont pas équipés pour ce genre de choses (on a avait eu le cas avec un dev freelance qui propose de l'hebergement, et à qui la boite voulait demander un contrat d'assurance à la hauteur de 1 million d'US$).
On a aussi hérité d'un compte pour un hébergement wordpress (pris par une collégue avant son départ sans prévenir personne). pour mettre ça en ordre, j'ai du faire le relais entre notre équipe sécu et le support pour qu'il laisse faire un audit de sécurité. La gestion du RGPD et autres lois de ce genre font qu'on doit demander des trucs spécifiques sur la politique de rétention des logs, sur leur backups, etc, etc.
Les grosses boites ont des contraintes dont les plus petites n'ont que faire. Et c'est pas uniquement les USAs, vu que j'ai aussi vu ça tout du long quand j'avais plus de contact avec l'industrie hexagonale. J'ai vu des ministéres négocier les contrats en changeant le texte pendant 3 mois pendant mon stage. J'ai vu des grosses administrations passer par une boite de SSII qui est venu voir la startup ou je bossais pour de la presta (car la SSII avait fait le taf pour le contrat, mais n'avais pas les compétences spécifiques en interne sur ce logiciel).
Mais ça, la plupart des admins ne le voient pas, vu que de mon expérience, c'est pas leur taf (alors que mon chef m'a délégué ça, donc je suis joie…).
C'est comme les devs qui débarquent et ne pigent pas qu'il n'y a pas un quota de 1T par personne, parce qu'un disque dur, ça coûte pas cher à la FNAC (enfin, ce qu'on m'a dit, c'était newegg, mais j'adapte l'histoire). Ils ne voient ni les backups (x2 la taille), ni le RAID (x2 aussi), ni le coût en infra réseau/cpu pour les backups, ni les limites en terme de serveur pour filer 1T pour tout le monde.
[^] # Re: eh, pas lu ni regarder ?
Posté par Misc (site web personnel) . En réponse au lien La réalité oubliée derrière l'émancipation des femmes - Véra Nikolski. Évalué à 4.
C'est un argument assez proche de celui de John D'Emilio, un historien américain, sur les conditions de l'émergence d'une identité gay (et donc, par extension, le militantisme et les droits de la communauté LGBTQ). Il parle de son argument dans une interview de 2020, et sans doute dans quelques bouquins.
Le nœud de la discussion, c'est quantifier le rôle de chaque événements, sachant qu'il s'agit de choses assez peu comparables, et c'est aussi une comparaison politiquement chargé.
# Les journalistes du monde sont moins confiants
Posté par Misc (site web personnel) . En réponse au lien Le Parlement européen a adopté la loi (amendée) de restauration de la nature . Évalué à 5.
Je cite:
"Mais ils ont réussi à largement vider de sa substance ce texte qui devait permettre de restaurer les espaces terrestres et marins abîmés."
https://www.lemonde.fr/planete/article/2023/07/12/au-parlement-europeen-la-loi-sur-la-restauration-de-la-nature-sauvee-mais-amoindrie_6181698_3244.html
[^] # Re: saikoi
Posté par Misc (site web personnel) . En réponse au lien Lessons From the Catastrophic Failure of the Metaverse. Évalué à 6.
Faut que la valeur de Meta chute plus vite que celle d'Elon Musk, c'est pas vraiment gagné vu que le 2nd est hors concours pour dopage sur ce sujet.
[^] # Re: Je suis soulagé ⸮
Posté par Misc (site web personnel) . En réponse au lien Lessons From the Catastrophic Failure of the Metaverse. Évalué à 6. Dernière modification le 12 juillet 2023 à 12:08.
Les cabinets de consultants, une moitié de leur boulot, c'est d'être fusible. SI un truc foire, c'est la faute du cabinet. Si un truc marche, c'est grace à toi.
L'autre moitié, c'est de contourner la bureaucratie interne de leur client. Dépenser de l'argent pour un cabinet est bien plus simple qu'embaucher (vu qu'il est plus simple d’arrêter la mission), et c'est aussi censé avoir moins (moins, pas 0) de politique interne. Le cabinet va suivre les ordres du client, bien sur, mais ne va pas avoir autant de considération de politique interne long terme comme des personnes en interne, ni avoir des histoires du à un probléme il y a 5 ans avec un autre département, ce genre de truc.
Une fois que tu piges ce que ça apporte, ça devient assez clair que le cabinet se contente hélas de répondre à une demande (et pour être clair, pas juste le gouvernement, mais aussi n'importe quelle structure assez grosse, une multinationale va aussi avoir les mêmes dynamiques, la différence étant qu'on s'en fout beaucoup par la magie du capitalisme).
[^] # Re: Mastodon, dans l’état actuel, n’est pas accueillant pour les créateurs
Posté par Misc (site web personnel) . En réponse au lien Mastodon for Creators. Évalué à 4.
Tu as quand même un intermédiaire (l'admin du serveur) qui décide ou pas de répliquer les groupes.
Et je pense que tu as aussi la question de la gouvernance de la hiérarchie, à savoir qui décide que les discussions sur, au pif, Android vont sur fr.android, ou fr.phones.android ou fr.phone.android.
[^] # Re: Mastodon, dans l’état actuel, n’est pas accueillant pour les créateurs
Posté par Misc (site web personnel) . En réponse au lien Mastodon for Creators. Évalué à 3.
Oui, perso, j'attends plus de la migration hors reddit vers kbin/lemmy que de mastodon et co.
Avec le modèle de mastodon, chaque personne publie son contenu et réponds et entretient un fil via des boost, et chaque personne va suivre les autres. Ça force l'organisation en instances afin d'avoir un fil co-construit autour des personnes.
Dans le modèle Reddit/kbin/lemmy, l'instance est organisé en communauté, donc le fil de publication de la communauté est organisé par un groupe de modérateur autour d'un sujet, et ensuite, chaque post a son fil de discussion.
Ça me parait correspondre plus à ce que je voudrait personellement, et je pense toi aussi.
Ensuite, kbin et lemmy ne semble pas aussi mature que mastodon pour le moment.
[^] # Re: Mastodon, dans l’état actuel, n’est pas accueillant pour les créateurs
Posté par Misc (site web personnel) . En réponse au lien Mastodon for Creators. Évalué à 4.
Ouais, mais ça ne marche pas parce que tu as une instance perso avant tout.
Par contre, pour quelqu'un qui veut ouvrir l'instance (exemple quelqu'un dans la position de mastodon.art ou infosec.exchange, qui sont des instances thématiques ), ça aurait du sens. Si on considère chaque instance comme un réseau autonome (mais connecté), ça passe.
Mais fondamentalement, le souci n'est pas technique. Le souci, c'est que quelqu'un qui veut une instance perso ne veut sans doute pas non plus qu'on lui impose des choses.
Il y a eu des comptes qui ont ralés quand l'appli mastodon sur android a proposé mastodon.social comme choix, alors que ça résout un probléme à savoir "comment choisir l'instance".
J'imagine le bruit si jamais ton instance va chercher dans un endroit centralisé (gasp) des infos d'autres instances pour remplir la timeline. Il suffit de voir le bruit autour de matrix pour ça.
De même, j'imagine le bordel aussi si un logiciel va intégrer une forme de recherche (entre la gamification possible pour une audience, et le besoin de modérer si ça devient un service centralisé).
Donc pour moi, le cas "serveur perso", c'est un cas ou on peut supposer que l'admin sait ce qu'il fait. Mais c'est un peu pourri, parce que même si tu sais ce que tu fais, ça reste trop compliqué.
Ça pourrait être pire, tu pourrait découvrir que tu ne peux pas filtrer sur le serveur quand tu t'apercois que tu suis quelqu'un qui parle de gouvernance du libre, mais aussi beaucoup de l'équipe de foot féminine de son pays en postant sur ça les soirs de match.
[^] # Re: Révocation
Posté par Misc (site web personnel) . En réponse au journal Copie d'une pièce d'identité. Évalué à 3.
Je suppose qu'on leur laisse le choix entre vérifier ou perdre un procès pour négligence :p
[^] # Re: Mastodon, dans l’état actuel, n’est pas accueillant pour les créateurs
Posté par Misc (site web personnel) . En réponse au lien Mastodon for Creators. Évalué à 4.
Alors, je pense qu'il faut modérer un peu les chiffres des abonnés, car avoir des abonnés, ça n'implique pas d'avoir de la visibilité en pratique.
Ensuite bien sur, vu les chiffres que tu donnes, Mastodon ne va pas être premier, loin de la, mais vu que l'algo de Twitter est la pour aussi filtrer pour les gens qui s'abonne à trop de truc, il y a aussi ce facteur.
Un point plus intéressant, c'est que Mastodon n'a pas d'outil pour évaluer le nombre de personnes qui a vu ton toot, et risque sans doute de ne pas en avoir vu le zeitgeist du fedivers.
Je veux pas relancer une discussion sur les métriques, etc, mais ça me semble être quelque chose qui va manquer à terme.
Yep. Sur HN, un commentaire parlait de l'utilisation d'invitation pour bootstraper un réseau, et ça serait à mon avis une idée à essayer (proposer d'inviter des gens sur ton serveur, en abonnant au pif à 3 personnes, ou des comptes volontaires + la personne qui donne l'invite).
# Quelques remarques
Posté par Misc (site web personnel) . En réponse au journal Vous hébergez un serveur Mastodon ? Mettez-le à jour !. Évalué à 10.
Le numéro de version public ne va pas changer grand chose quand la faille est public, quelqu'un va tenter et basta. Savoir ce qui tourne est important si tu veux rester discret, mais la, ça va sans doute pas être le cas. J'ai encore vu ce matin qu'on a tenter un exploit wordpress sur un site statique que je gère.
Pour CVE-2023-36461, même avec 7.5, ça va juste bloquer le serveur. C'est chiant, mais je m'affolerais pas.
CVE-2023-36459, c'est une xss et qui semble impliquer un click de quelqu'un (genre, soit avoir une personne qui retoot le message, soit quelqu'un qui fait le site web et le poste). C'est chiant aussi, mais je pense que les divers navigateurs bloquent aussi pas mal de xss de nos jours (je crois). Et surtout, ça laisse des traces.
Le dernier CVE-2023-36460, je pense que ça nécessite aussi une faille dans ImageMagick en plus, non ? Je ne crois pas qu'on puisse avoir de l'execution de code directement en lancant ImageMagick.
Du coup, faut mettre à jour par bonne pratique, mais est ce que j'ai loupé des choses dans les failles annoncées ?
[^] # Re: france identité
Posté par Misc (site web personnel) . En réponse au journal Copie d'une pièce d'identité. Évalué à 8.
Le souci, c'est qu'il faut passer par un store. J’espère qu'à terme, ça sera dispo aussi sur f-droid.
[^] # Re: incomparable
Posté par Misc (site web personnel) . En réponse au journal [société] France, la République aveugle ?. Évalué à 5.
Par exemple:
https://www.francetvinfo.fr/faits-divers/police/violences-policieres/flic-pourquoi-le-livre-du-journaliste-valentin-gendrot-infiltre-dans-la-police-parisienne-suscite-la-polemique_4095617.html
Ou on reproche au journaliste de ne pas exposer sa couverture, mais rien sur les autres flics qui n'ont rien fait aussi.
[^] # Re: incomparable
Posté par Misc (site web personnel) . En réponse au journal [société] France, la République aveugle ?. Évalué à 3.
Ou https://madame.lefigaro.fr/celebrites/le-crown-act-la-loi-qui-va-interdire-la-discrimination-liee-a-la-chevelure-aux-etats-unis-20220324
(même si je pense que si l'EEOC avait eu les moyens de faire son taf au lieu de se faire vider par Reagan, ça rentrerais dans "discrimination raciste" aux USA sans avoir besoin de faire une loi à part)