Bah, avant IBM, le méchant, c'était "la bourse" ou "les actionnaires", comme si nos salaires n'avaient rien à voir avec le reste (sauf dans les boites rachetés, auquel cas le méchant, c'était RH, en bref, toujours un truc plus gros et moins humain, jamais son ancien patron).
Ce qui me fait rire avec les allégations à la sauce techrights, c'est à quel point ça simplifie le fonctionnement d'une grande boite.
Franchement, si une grande entreprise avait une hiérarchie aussi efficace et rapide qu'il l'imagine, on le saurait depuis longtemps. Il faut 6 mois pour faire valider l'utilisation d'un hébergement wordpress, mais à coté de ça, la boite a largement le temps de prévoir le truc le plus diabolique possible (comme systemd) juste pour prendre le controle des serveurs en retirant des bouts de bash que personne ne veut maintenir.
(et je le voit aussi avec le fedivers, voir les idées claquées au sol sur les histoires avec threads était assez révélateur)
Encore une fois, la différence entre RockyLinux/CIQ et AlmaLinux me semble assez révélatrice des différences pratiques des 2 groupes.
CIQ profite de l'annonce pour choper 10 millions d'US$ chez un concurrent (car SUSE est un concurrent de CIQ, les 2 visent à fournir du support sur une distro RHEL compatible), et Rockylinux, fortement contrôlée par CIQ (comme on a pu le voir plus haut), décide de viser la compatibilité bug pour bug, un des arguments utilisé commercialement par CIQ. La compat bug pour bug, ça n'a d'importance que pour les vendeurs tierces, le reste du monde est content de voir les bugs corrigés en général (sinon, pourquoi payer le support si c'est.
De manière que je trouve plus maligne sur le long terme, Alma décide de ne pas suivre RockyLinux, et de permettre à la communauté de faire vraiment ce qu'elle veut.
Car viser le "bug pour bug compatible", ça implique aussi de ne jamais rien changer par rapport à RHEL (sinon, c'est plus du bug pour bug), de ne pas fournir de correctif de bug ou de fonction en plus, et donc que la gouvernance technique reste entièrement chez Red Hat. Pour moi, c'est un antipattern de distribution communautaire, ça décourage assez vite les bonnes volontés.
Dans le cas de Centos, venir ouvrir des bugs et qu'on te réponde "on ne corrige rien, faut aller voir avec Red Hat", ça a vite impulsé une dynamique problématique sous forme de découragement.
C'est selon moi un des facteurs principaux de l'état de la communauté Centos vers 2014, à savoir surtout des gens la pour utiliser, et pas des gens pour contribuer au cœur de la distribution (ou ailleurs). Et après 2014, ça s'est aggravé, car quand RH a payé quelqu'un pour organiser les dojos Centos, la communauté a arrêté de s'en occuper après 2 ans en mettant les pieds sous la table.
"RESF shall be structured and governed in a way that ensures that no single entity, organization, corporation, association, etc. will be permitted to have a controlling influence over the RESF or its projects"
C'est une bonne chose, et traduit dans le point 18 de l'article II des statuts, donc on ne peux pas dire que c'est du flan.
Mais malgré ça, en pratique, CIQ emploie plus d'une moitié du bureau affiché sur le site web.
Si on regarde le meeting de mars, ou il y a eu le vote du président, il y a eu 2 membres qui n'ont pas pris par au vote, car affiliés à CIQ. Et donc, en plus des 4 que j'ai listé, je voit que Sherif Negy bosse aussi chez CIQ (ce qui n'est pas sur Linkedin ), ce qui fait donc un total de 5 personnes maintenant au bureau pour le même employeur.
Le meeting du mois de janvier est aussi intéressant, car il n'y a presque personne de CIQ à ce moment (à part Gregory Kurster en tant que membre fondateur, et Brian Clemens en tant qu'externe), donc en 2 mois, il y a eu un quasi takeover du board.
Et je constate que les minutes de meeting de RESF sont globalement vides, publiées avec un retard croissant. Les minutes de mai sont arrivés début juillet, il n'y a rien pour celui de juin sur github. Personne ne semble mettre à jour le site web, car la liste ne montre que 3 mois et s’arrête à mars 2023, (voir en bas de la page). Donc c'est un peu les MM&S brun pour la transparence. Si les trucs sans importances ne sont pas fait, qu'est ce que ça va donner pour le reste :/
Quand je compare avec AlmaLinux, la différence est flagrante. Le board est beaucoup plus diversifié chez Alma, (cf la page sur le wiki ), le poste des membres du bureau clairement affiché (enfin, sauf pour Jack Aboutboul, qui ne dit pas que Moshe Bar, son PDG/ancien PDG, est aussi au board).
On voit aussi que les minutes des meetings sont détaillées, et à jour. Il y a des liens vers les différents documents discutés, et l'agenda du meeting suivant (août 2023) est déjà la. On voit qu'il y a des réunions depuis 2 ans, et que les membres de la communauté peuvent devenir membre du bureau via des élections ouvertes.
Ça me parait beaucoup plus propre et plus communautaire que Rockylinux. Et ça, c'est sans me pencher sur le focus constant sur le fondateur de la distro (Gregory Kurster), qui est pour moi un antipattern comme on a pu le voir avec la FSF en 2021.
Ce qui revient à avoir une faille arbitraire dans ImageMagick, non ?
Le patch semble juste empêcher de faire passer un média arbitraire à ImageMagick.
Je vois bien comment ça pourrait poser probléme parce qu'ImageMagick a régulièrement des soucis (et donc, suffit de passer un fichier vérolé dans un format pourri, et voila), mais en pratique, quel attaque possible ne s'appuie pas sur une faille d'ImageMagick (et je compte le fait d'avoir un write arbitraire d'IM comm une faille d'IM ) ?
Et si on regarde qui est aussi au bureau, le team lead sur l'infra, Neil Hanlon, est développeur chez CIQ, d’après son profil Linkedin. Mustafa Gezen, team lead sur la partie release engineering, est employé par CIQ (toujours linkedin).
Donc sur 8 membres du bureau, 4 sont dans la même boite, avec 3 qui ont un lien de subordination avec le fondateur et président de l'assoce et PDG du sponsor principal. Je sais que quand il y a un sponsor principal, c'est souvent ce qui arrive, car les non employés n'ont pas le temps de faire ce que les employés peuvent faire en terme de réunion et de travail, mais c'est quand même curieux que ça soit le cas pour un projet si récent.
L'investisseur est Two Bear Capital, une boite fondé par un ancien de Sequoia Capital (qui a été une des premières boites à investire dans Facebook, d'aprés WP), et qui a aussi investi dans la biotechnologie.
26 millions, ça semble pas mal, mais CIQ a 77 employés (cf linkedin), donc ça ne fait que 330k par personne, ce qui permet de tenir 1 ou 2 ans. Ça me semble pas ouf niveau finance. Et avec les conditions économiques, il me semble assez clair qu'un autre tour de table ne va pas arriver tout de suite.
Ce qui explique aussi pour CIQ tente à tout prix de se diversifier sur les HPC (le rebranding de Singularity en Apptainer, une offre autour de Warewulf via fuzzball), parce que clairement, c'est pas en offrant un OS gratos que les investisseurs vont être content, surtout en ce moment.
Par exemple, dans le cadre du taf, on a voulu démarrer un contrat avec la boite fondé par les fondateurs de Discourse, pour soutenir le projet upstream et nous débarrasser de la question des mises à jours.
On a découvert que notre département juridique demande à avoir des clauses spécifiques dans le contrat, la boite a dit "oui, mais pas pour un contrat mineur" (comprendre moins de XX milliers de dollars US par an). Donc les petits fournisseurs sont pas équipés pour ce genre de choses (on a avait eu le cas avec un dev freelance qui propose de l'hebergement, et à qui la boite voulait demander un contrat d'assurance à la hauteur de 1 million d'US$).
On a aussi hérité d'un compte pour un hébergement wordpress (pris par une collégue avant son départ sans prévenir personne). pour mettre ça en ordre, j'ai du faire le relais entre notre équipe sécu et le support pour qu'il laisse faire un audit de sécurité. La gestion du RGPD et autres lois de ce genre font qu'on doit demander des trucs spécifiques sur la politique de rétention des logs, sur leur backups, etc, etc.
Les grosses boites ont des contraintes dont les plus petites n'ont que faire. Et c'est pas uniquement les USAs, vu que j'ai aussi vu ça tout du long quand j'avais plus de contact avec l'industrie hexagonale. J'ai vu des ministéres négocier les contrats en changeant le texte pendant 3 mois pendant mon stage. J'ai vu des grosses administrations passer par une boite de SSII qui est venu voir la startup ou je bossais pour de la presta (car la SSII avait fait le taf pour le contrat, mais n'avais pas les compétences spécifiques en interne sur ce logiciel).
Mais ça, la plupart des admins ne le voient pas, vu que de mon expérience, c'est pas leur taf (alors que mon chef m'a délégué ça, donc je suis joie…).
C'est comme les devs qui débarquent et ne pigent pas qu'il n'y a pas un quota de 1T par personne, parce qu'un disque dur, ça coûte pas cher à la FNAC (enfin, ce qu'on m'a dit, c'était newegg, mais j'adapte l'histoire). Ils ne voient ni les backups (x2 la taille), ni le RAID (x2 aussi), ni le coût en infra réseau/cpu pour les backups, ni les limites en terme de serveur pour filer 1T pour tout le monde.
C'est un argument assez proche de celui de John D'Emilio, un historien américain, sur les conditions de l'émergence d'une identité gay (et donc, par extension, le militantisme et les droits de la communauté LGBTQ). Il parle de son argument dans une interview de 2020, et sans doute dans quelques bouquins.
Le nœud de la discussion, c'est quantifier le rôle de chaque événements, sachant qu'il s'agit de choses assez peu comparables, et c'est aussi une comparaison politiquement chargé.
Les cabinets de consultants, une moitié de leur boulot, c'est d'être fusible. SI un truc foire, c'est la faute du cabinet. Si un truc marche, c'est grace à toi.
L'autre moitié, c'est de contourner la bureaucratie interne de leur client. Dépenser de l'argent pour un cabinet est bien plus simple qu'embaucher (vu qu'il est plus simple d’arrêter la mission), et c'est aussi censé avoir moins (moins, pas 0) de politique interne. Le cabinet va suivre les ordres du client, bien sur, mais ne va pas avoir autant de considération de politique interne long terme comme des personnes en interne, ni avoir des histoires du à un probléme il y a 5 ans avec un autre département, ce genre de truc.
Une fois que tu piges ce que ça apporte, ça devient assez clair que le cabinet se contente hélas de répondre à une demande (et pour être clair, pas juste le gouvernement, mais aussi n'importe quelle structure assez grosse, une multinationale va aussi avoir les mêmes dynamiques, la différence étant qu'on s'en fout beaucoup par la magie du capitalisme).
Tu as quand même un intermédiaire (l'admin du serveur) qui décide ou pas de répliquer les groupes.
Et je pense que tu as aussi la question de la gouvernance de la hiérarchie, à savoir qui décide que les discussions sur, au pif, Android vont sur fr.android, ou fr.phones.android ou fr.phone.android.
Oui, perso, j'attends plus de la migration hors reddit vers kbin/lemmy que de mastodon et co.
Avec le modèle de mastodon, chaque personne publie son contenu et réponds et entretient un fil via des boost, et chaque personne va suivre les autres. Ça force l'organisation en instances afin d'avoir un fil co-construit autour des personnes.
Dans le modèle Reddit/kbin/lemmy, l'instance est organisé en communauté, donc le fil de publication de la communauté est organisé par un groupe de modérateur autour d'un sujet, et ensuite, chaque post a son fil de discussion.
Ça me parait correspondre plus à ce que je voudrait personellement, et je pense toi aussi.
Ensuite, kbin et lemmy ne semble pas aussi mature que mastodon pour le moment.
Ça ne fonctionne pas, parce que ça va à l’encontre exact de l’instance personnelle.
Ouais, mais ça ne marche pas parce que tu as une instance perso avant tout.
Par contre, pour quelqu'un qui veut ouvrir l'instance (exemple quelqu'un dans la position de mastodon.art ou infosec.exchange, qui sont des instances thématiques ), ça aurait du sens. Si on considère chaque instance comme un réseau autonome (mais connecté), ça passe.
Mais fondamentalement, le souci n'est pas technique. Le souci, c'est que quelqu'un qui veut une instance perso ne veut sans doute pas non plus qu'on lui impose des choses.
Il y a eu des comptes qui ont ralés quand l'appli mastodon sur android a proposé mastodon.social comme choix, alors que ça résout un probléme à savoir "comment choisir l'instance".
J'imagine le bruit si jamais ton instance va chercher dans un endroit centralisé (gasp) des infos d'autres instances pour remplir la timeline. Il suffit de voir le bruit autour de matrix pour ça.
De même, j'imagine le bordel aussi si un logiciel va intégrer une forme de recherche (entre la gamification possible pour une audience, et le besoin de modérer si ça devient un service centralisé).
Donc pour moi, le cas "serveur perso", c'est un cas ou on peut supposer que l'admin sait ce qu'il fait. Mais c'est un peu pourri, parce que même si tu sais ce que tu fais, ça reste trop compliqué.
Je me retrouve donc condamné, par conception, à avoir
Ça pourrait être pire, tu pourrait découvrir que tu ne peux pas filtrer sur le serveur quand tu t'apercois que tu suis quelqu'un qui parle de gouvernance du libre, mais aussi beaucoup de l'équipe de foot féminine de son pays en postant sur ça les soirs de match.
Alors, je pense qu'il faut modérer un peu les chiffres des abonnés, car avoir des abonnés, ça n'implique pas d'avoir de la visibilité en pratique.
Ensuite bien sur, vu les chiffres que tu donnes, Mastodon ne va pas être premier, loin de la, mais vu que l'algo de Twitter est la pour aussi filtrer pour les gens qui s'abonne à trop de truc, il y a aussi ce facteur.
Un point plus intéressant, c'est que Mastodon n'a pas d'outil pour évaluer le nombre de personnes qui a vu ton toot, et risque sans doute de ne pas en avoir vu le zeitgeist du fedivers.
Je veux pas relancer une discussion sur les métriques, etc, mais ça me semble être quelque chose qui va manquer à terme.
Parce que le problème n’est pas « des algorithmes poussant des contenus sur des bases inconnues. » mais l’absence totale de contenus poussés.
Yep. Sur HN, un commentaire parlait de l'utilisation d'invitation pour bootstraper un réseau, et ça serait à mon avis une idée à essayer (proposer d'inviter des gens sur ton serveur, en abonnant au pif à 3 personnes, ou des comptes volontaires + la personne qui donne l'invite).
Le numéro de version public ne va pas changer grand chose quand la faille est public, quelqu'un va tenter et basta. Savoir ce qui tourne est important si tu veux rester discret, mais la, ça va sans doute pas être le cas. J'ai encore vu ce matin qu'on a tenter un exploit wordpress sur un site statique que je gère.
Pour CVE-2023-36461, même avec 7.5, ça va juste bloquer le serveur. C'est chiant, mais je m'affolerais pas.
CVE-2023-36459, c'est une xss et qui semble impliquer un click de quelqu'un (genre, soit avoir une personne qui retoot le message, soit quelqu'un qui fait le site web et le poste). C'est chiant aussi, mais je pense que les divers navigateurs bloquent aussi pas mal de xss de nos jours (je crois). Et surtout, ça laisse des traces.
Le dernier CVE-2023-36460, je pense que ça nécessite aussi une faille dans ImageMagick en plus, non ? Je ne crois pas qu'on puisse avoir de l'execution de code directement en lancant ImageMagick.
Du coup, faut mettre à jour par bonne pratique, mais est ce que j'ai loupé des choses dans les failles annoncées ?
c'est pas tous, mais malheureusement ils sont trop nombreux à fermer les yeux sur les agissement délétère de leur collègue; et en cela ils sont complice.
(même si je pense que si l'EEOC avait eu les moyens de faire son taf au lieu de se faire vider par Reagan, ça rentrerais dans "discrimination raciste" aux USA sans avoir besoin de faire une loi à part)
Il faut appliquer des peines d'incarcération, même courtes (15 jours), car elles ont un impact psychologique chez pas mal de jeunes tout de même, et parce que ça protège la société de ces individus violents pendant un temps.
Ouais, alors le souci avec ce plan, c'est qu'on a aussi signé divers conventions sur les droits de l'enfance depuis 30 ans (1989 pour la CIDE), comme le droit à l'éducation, etc.
Et aussi, comme je le dit sans arrêt, que la privation de liberté doit être une exception, la France a aussi signé des traités sur la liberté, tout ça (article 5 de la CSDHLF signé en 1957).
Même la partie "passer vite fait devant un juge" peut être un souci suivant la façon dont c'est fait, car l'article 6 (para 3.b) dit "disposer du temps et des facilités nécessaires à la préparation de sa défense".
Alors je pense en effet que passer rapidement, au moins au début, c'est important, mais il faut que le jugement se fasse plus tard, car il y a besoin de préparer une défense.
Donc, à rebours de l'idéologie judiciaire, c'est un peu plus à rebours des traités internationaux signés sur les droits humains.
Mais c'est un scénario quand même assez théorique. En pratique, la grande majorité des personnes sur internet n'ont ni une IP fixe, ni même une IP dédié pour leur connexion propre.
Que je sache, il n'y a en France que Free qui donne ça par défaut dans les gros opérateurs grand public, et je pense que c'est aussi rare ailleurs dans le monde. Free avait ~10% de PdM d'après des rapides recherches en 2019, et ne donne plus par défaut des IP fixes et routables, si je me souviens bien.
Sur tout ça, il faut rajouter tout les mobiles avec du CGNat ou l'IP est massivement partagé et recyclé.
Et au dessus, il faut rajouter les connexions pros qui vont souvent être partagé aussi, et ce qui va réduire pas mal ce qu'on peut suivre.
; suffit juste d'en trouver un auquel on a accès au jabber/mail pour retrouver la personne y compris sur un forum où il n'aurait pas laissé trainé cet info
Ça fait un gros "suffit juste". Mais mon point n'est pas que ça n'arrive pas.
J'ai une IP fixe (avec une connec pro) à mon domicile, et un site web sur l'IP, je vois bien comment ça peut être utilisé pour me retrouver. J'ai aussi donné divers présentations sur le sujet au cours des années (par exemple, au FOSDEM), donc je sais comment ça marche.
Par contre, je vois bien aussi que je suis l'exception avant tout, justement parce que j'ai pu voir que seulement avec l'IP, tu peux pas faire grand chose la plupart du temps.
Et surtout, je pense que le point important, c'est pas tant ce qui compte comme PII ou pas devant la loi avec des cas hypothétiques et des "si", mais le résultat en pratique avec des choses qui arrivent hors des cas hypothétiques, surtout avec des choses qu'on ne pense pas être des PIIs.
Pour rester sur les communs numériques, on peut regarder le cas de Commons ou les membres de la communauté postent des photos d'endroits non ouvert au public, avec des tas de metadonnées (marque du tel, date et heure, coordonnées GPS). Ça peut leaker des infos pour retrouver l'identité des personnes.
Par exemple, un certain groupe de personnes avec un compte commun unique a défrayé la chronique en novembre 2019 sur fr.wp. Personne n'a publiquement annoncé avoir trouvé qui était derrière. Mais peut être que personne n'a noté que le même compte a uploadé des photos de l'intérieur d'un bâtiment bien connu du Faubourg-Saint-Honoré, et que ce bâtiment n'est pas exactement ouvert au public.
Pour être clair, je ne dit pas que c'est l'actuel résident du dit bâtiment, mais ça rentre quand même dans une catégorie de fuite d'information que le dit groupe aurait sans doute voulu garder privé, et si on combine avec plus d'analyse, il y a moyen de faire des analyses assez éclairés sur qui était dans le groupe.
Ou est la PII dans tout ça d'un point de vue légal ? Juste le compte affiché pour le droit d'auteur, compte qui ne donne aucune info.
D'où vient le souci ? Des informations autres couplés avec l'identifiant "personnel" (je mets entre guillemets, car si l'identifiant est partagé entre 4 ou 5 personnes comme dans mon exemple, c'est plus vraiment personnel..).
Autre exemple, il y a OSM. Beaucoup de gens vont ajouter des infos à coté de chez eux, car c'est le chemin de moindre résistance couplé à l'obligation d'avoir des infos venant du terrain.
Je suis convaincu qu'à partir de mon compte OSM et des dates/lieux de modif (qui sont des infos publiques), on peut retrouver mon identité vu que ça va coller assez précisément avec les dates de confs ou j'ai participé (ou plus précisément, la ou j'ai mangé). À partir de la, on va déduire où j'ai passé mes vacances vu que je rajoute les infos sur les zones mal remplis, ou via les batchs d'upload de StreetComplete.
Et c'est pareil que dans mon premier exemple, le seul PII est le compte, affiché pour divers raisons, et c'est en couplant avec le reste qu'il y a un souci. Le compte seul sert à rien, les infos servent à rien seules, c'est la combi des 2 et l'usage dans le temps qui posent soucis.
Et c'est mon point, c'est pas que les IPs ne sont pas des PIIs possibles. C'est qu'on fantasme ce qu'on peut faire avec les IPs en oubliant que tout ce qu'on peut faire, on peut le faire aussi facilement avec l'identifiant unique qu'est un compte.
Ton exemple dit "si les IPs sont affichés, on peut faire X". En fait, on peut déjà le faire avec les comptes, vu que je pense que la majorité a tendance à reprendre le même login partout (ou font des liens entre les comptes, par exemple, en postant du un réseau social vers un autre, etc)
Par exemple, pour OSM, si on affiche l'IP d'upload à la place de mon compte pour mes modifs, il va être quasiment impossible de me traquer à travers le monde vu que j'aurais une IP différente à chaque fois.
De même pour Commons, si j'uploade des photos d'un bunker secret sur mon île volcanique sans compte, puis 1 mois plus un selfie de moi avec Kim Jong Un devant la Taedong, faire la corrélation entre les 2 est quasiment impossible, alors que ça serait trivial si j'utilise un compte comme recommandé pour la protection de la vie privée.
(et faut vraiment que je me trouve une vie plutôt que d'écrire des pâtés sur Linuxfr)
Non, je ne te visait pas directement. Primo, tu as donné une source, ensuite, tu as dit que ce n'est pas clair. J'ai vu beaucoup plus de monde qui ont pris moins de précaution que toi, avec plus d'audience. Une personne se plante sur Linuxfr, ça arrive (ça m'arrive aussi, mais personne ne le voit).
25 personnes qui se plantent en une journée, ça devient un fait social.
Ceci dit, la protection de la vie privée va prochainement devenir un de mes objets d'étude à la fac, et l'idée que "tout le monde s'en tape" me chiffonne assez.
Alors, quand je dit tout le monde, je veux pas dire qu'il y a personne qui s'en préoccupe. Mais le souci est aussi que "la vie privée" est un fourre tout qui est agité comme un joker, et "se préoccuper de la vie privée" ne veut rien dire.
Si on se base sur les auto déclarations, beaucoup de monde va dire se préoccuper de sa vie privée. Par contre, je suis sur qu'en pratique, pas grand monde n'arrive à détailler. Un exemple assez frappant, c'est la question des adresses IP sur Wikipedia.
J'ai vu des gens qui disent qu'il faut ouvrir un compte pour protéger ta vie privée, car visiblement, l'IP est perçu comme un token magique qui mettrait cette dernière en danger. La réalité est bien plus complexe.
Primo, ouvrir un compte implique de donner un email. Il y a assez souvent des gens qui leakent leur email, alors que de manière évidente, personne ne peut leaker ce que tu ne donnes pas. Et un email, y a parfois ton nom/prénom, donc l'ouverture de compte entraîne, statistiquement, des leaks.
Ensuite, les IPs sont considérés comme des infos personnels parce que la police peut les utiliser pour retrouver quelqu'un. Le quidam moyen qui connaît le réseau ne va pas en faire grand chose, car il n'a pas le pouvoir de dire à un FAI "file les infos". Il y a parfois des exceptions, mais c'est très rare.
Et donc, pour moi, ça montre que la recommandation n'est pas basé sur une analyse des soucis qui arrivent en pratique (car finalement, les flics qui demandent des trucs à la WMF? c'est assez rare par rapport à la totalité , mais sur une idée déformé de ce qui pourrait arriver.
c'est sans commune mesure avec les violations massives qui ont fait la fortune de Meta et qui ont motivé l'élaboration du RGPD.
Je ne suis pas vraiment sur de ça. Le RGPD a été proposé en 2012 (cf Wikipedia en anglais), et les justifications donnés sont la rénovation des lois existantes datant de 1995 et le fait que l'article 16 du TFEU modifié par le traité de Lisbon (2008) parle explicitement de la protection des données. L'article en question a été renuméroté depuis l'article 286 du TEC qui date de la consolidation d'autres traités par le traité d'Amsterdam (1997).
Et ça, c'est sans rentrer dans les détails historique sur l'article 8 de l'ECHR, car sinon, on peut remonter aux années 80 (quand Mark Zuckerberg avait moins de 10 ans).
Je ne doute pas que Facebook a joué un rôle dans la popularité du RGPD, mais le texte a des racines bien antérieurs à la création de Facebook.
Et le plus gros scandale concernant Facebook, c'est celui de Cambridge Analytica. Il est devenu public en janvier 2018, le RGPD a été voté en avril 2016, avec application en mai 2018. Le timing est en effet pas terrible pour FB, mais on peut pas dire que ça soit ce scandale qui a causé la loi (même si je comprends la confusion).
L'affaire de Kolektiva est un vrai scandale mais je ne trouve pas aberrant qu'elle fasse moins de bruit (elle en a quand même fait pas mal dans mon cercle) que l'arrivée de Threads qui concerne beaucoup plus de monde
Ce n'est pas le manque de bruit qui m'étonne. C'est que dans un cas, on a une violation trivialement démontrable du RGPD via la non notification, et dans l'autre, il y a rien (ou en tout cas, personne n'a montré qu'il y a violation du RGPD aujourd'hui).
C'est comme mon exemple de WP, c'est une vision à mon sens erroné de la vie privée, avec FB qui sert de méchant caricatural et détaché de la réalité sur lequel certains projettent leurs anxiétés.
Ça ne me parait pas anormal qu'il y ait un principe de proportionnalité quand on discute de ces choses-là.
Un principe de proportionnalité basé sur quoi ?
Car autant, il y a en effet sans doute des différences entre une entreprise (FB) et un particulier (Musk), autant entre 2 particuliers, il ne devrait pas en avoir (un truc sur libre et egaux en droit, tout ça).
Il y a bien des exceptions vis à vis du respect de la vie privé car aucun droit n'est vraiment absolu et il y a souvent une balance à avoir. Par exemple, il y a tout un concept autour des personnalités publiques, lié aux questions de liberté de la presse (par exemple), et je pourrait me laisser convaincre que Elon Musk rentre dans ce genre de catégorie contrairement à une personne trans lambda.
Mais pour enchaîner sur ton exemple, le doxxing de Keffals arrivé l'année dernière concerne aussi une personnalité publique. Elle a une activité dans les médias (pour peu qu'on considère Twitch comme un média), mais aussi via sa courte carrière politique au Canada.
Je ne dit pas que c'est une raison pour ne pas protéger sa vie privée, mais je ne trouve pas de raison qui s'appliquerait à elle et pas à Elon Musk, sauf des arguments à base de "l'une est pauvre, l'autre est super riche, donc c'est ok, il a moins de droit", ou "Elon, ça rime avec con, donc c'est bon" (surtout que ça rime pas).
Il y a plein de questions à se poser, comme savoir si une info publique (la position d'un jet) couplé avec une information privé (son propriétaire) devient publique ou reste privé. Ou savoir si une demande de ne pas publier l'info est un refus de consentement, et ce que ça implique quand aux principes du RGPD (et je précise, les principes, car légalement, il n'y a aucune raison que ça s'applique, vu que c'est 2 citoyens américains).
Mais j'ai pas le sentiment qu'il y a eu un débat sur ça, et c'est pour moi la preuve que les discours sur la vie privée s'évaporent assez vite quand on est face à quelqu'un qu'on aime pas.
; et qu'accuser Meta de mal modérer les "human rights abuse" sur leurs services, c'est un peu léger comme violation de l'article 6 de la CEDH.
Un peu léger sans doute, mais la présomption d'innocence, c'est pas juste quand ça nous arrange.
Surtout que ce que j'ai vu, c'est pas des accusations neutres et non inflammatoires comme "avoir mal modéré dans un pays lointain les abus", car ça serait raisonnable (même si la modération en soit, ça pose des questions dans tout les cas, liberté d'expression, etc). Ce que j'ai vu, c'est des messages comme, je cite, "has been proven to support or at least turn a blind eye to genocide", ou "Conspired to manipulate a presidential election".
C'est quand même un peu plus grave et plus direct que ta formule, et c'est pas loin de "Mark Zuckerberg est responsable d'un génocide", qui aurait le bon goût de retirer la question de la personnalité juridique dans la discussion.
Mais ça me paraît tout de même justifié.
Je pense que ça dépend pourquoi en fait.
Quand c'est basé sur l'histoire de XMPP vu par Ploum, ça me parait non justifié (cf la timeline ici).
Quand c'est basé sur une idée fausse du fedivers et de ce que Meta va pouvoir faire, ça me parait non justifié.
Parce que fondamentalement, le fedivers s'appuie sur un protocole qui s'appelle ActivityPub, pas ActivityPriv.
Et en fait, le souci, c'est qu'on a dit à tout le monde que c'est une alternative à Twitter/Facebook et aux réseaux commerciaux.
Comme ces derniers sont présentés comme problématiques vis à vis de la vie privée (sans dire pourquoi ni comment), alors comme le fedivers n'est pas comme eux, on suppose que c'est bon. Par exemple, la page de joinmastodon dit "That means your data and your time are yours and yours alone.". On insiste bien sur le contrôle, et je pense que dans l'esprit d'une grande partie des gens, c'est synonyme de vie privée.
Sauf que en pratique, non.
Le plus drôle, c'est que dans X années, quand Threads va se casser la gueule parce que Y raisons, le fedivers va se congratuler d'avoir participer en bloquant, un peu comme dans When Prophecy Fails…
D'autres pays ont décolonisé, Belgique, Grande-Bretagne, Italie
Mais tous n'ont pas eu un empire colonial de la même taille, donc la comparaison est un rapide. Si je me souviens bien, l'Italie est arrivé dernière à ce petit jeu, et tandis que toute les semaines, il y a un pays qui fête son indépendance par au Royaume Uni.
Ensuite oui, il y a sans doute d'autres causes historiques, même si dans le cas d'une comparaison France / USA, je ne pense pas que ça soit un axe de comparaison très pertinent.
La question posé à la fin du journal n'est pas "d’où vient la violence en France", même si c'est une bonne question à se poser, mais "pourquoi il n'y a pas les mêmes réactions sur 2 pays".
Dans les 2 cas, il y a eu une histoire avec l'esclavage (voir la même au début).
La différence, c'est que c'est la société française qui a organisé en partie la déportation, et la société des USA l'exploitation (en grande partie, car oui, j'ai pas oublié qu'on s'est mis plein les poches avec la canne à sucre dans les Caraïbes parmi tant d'autres choses).
Du point de vue de la déshumanisation et de ses effets sur la culture, ça me semble équivalent, dans le sens ou il y a eu les mêmes justifications, et ça s'est passé en même temps. La seule différence notable, c'est ce qui est arrivé après la fin du commerce d'esclave. Comme en France, on a pas amener grand monde en métropole, c'était vachement plus facile de fermer les yeux.
Aux USA, avec une population d'esclave estimé à 4 millions sur un total de 31 millions en 1860, c'était difficile de faire l'autruche.
Donc quelque part, je pense que ça rejoint mon point sur la continuité des luttes.
[^] # Re: Comment vont-ils faire ?
Posté par Misc (site web personnel) . En réponse à la dépêche L'affaire des sources : mémo des clones de Red Hat Entreprise Linux (RHEL). Évalué à 5.
Bah, avant IBM, le méchant, c'était "la bourse" ou "les actionnaires", comme si nos salaires n'avaient rien à voir avec le reste (sauf dans les boites rachetés, auquel cas le méchant, c'était RH, en bref, toujours un truc plus gros et moins humain, jamais son ancien patron).
Ce qui me fait rire avec les allégations à la sauce techrights, c'est à quel point ça simplifie le fonctionnement d'une grande boite.
Franchement, si une grande entreprise avait une hiérarchie aussi efficace et rapide qu'il l'imagine, on le saurait depuis longtemps. Il faut 6 mois pour faire valider l'utilisation d'un hébergement wordpress, mais à coté de ça, la boite a largement le temps de prévoir le truc le plus diabolique possible (comme systemd) juste pour prendre le controle des serveurs en retirant des bouts de bash que personne ne veut maintenir.
(et je le voit aussi avec le fedivers, voir les idées claquées au sol sur les histoires avec threads était assez révélateur)
[^] # Re: Selon Insider Intelligence (mai 2023)
Posté par Misc (site web personnel) . En réponse au lien Twitter a perdu près de la moitié de ses revenus publicitaires - letemps.ch. Évalué à 6.
Avec ou sans les dépenses pour procès ?
[^] # Re: ça bouge, ça évolue
Posté par Misc (site web personnel) . En réponse à la dépêche L'affaire des sources : mémo des clones de Red Hat Entreprise Linux (RHEL). Évalué à 7.
Encore une fois, la différence entre RockyLinux/CIQ et AlmaLinux me semble assez révélatrice des différences pratiques des 2 groupes.
CIQ profite de l'annonce pour choper 10 millions d'US$ chez un concurrent (car SUSE est un concurrent de CIQ, les 2 visent à fournir du support sur une distro RHEL compatible), et Rockylinux, fortement contrôlée par CIQ (comme on a pu le voir plus haut), décide de viser la compatibilité bug pour bug, un des arguments utilisé commercialement par CIQ. La compat bug pour bug, ça n'a d'importance que pour les vendeurs tierces, le reste du monde est content de voir les bugs corrigés en général (sinon, pourquoi payer le support si c'est.
De manière que je trouve plus maligne sur le long terme, Alma décide de ne pas suivre RockyLinux, et de permettre à la communauté de faire vraiment ce qu'elle veut.
Car viser le "bug pour bug compatible", ça implique aussi de ne jamais rien changer par rapport à RHEL (sinon, c'est plus du bug pour bug), de ne pas fournir de correctif de bug ou de fonction en plus, et donc que la gouvernance technique reste entièrement chez Red Hat. Pour moi, c'est un antipattern de distribution communautaire, ça décourage assez vite les bonnes volontés.
Dans le cas de Centos, venir ouvrir des bugs et qu'on te réponde "on ne corrige rien, faut aller voir avec Red Hat", ça a vite impulsé une dynamique problématique sous forme de découragement.
C'est selon moi un des facteurs principaux de l'état de la communauté Centos vers 2014, à savoir surtout des gens la pour utiliser, et pas des gens pour contribuer au cœur de la distribution (ou ailleurs). Et après 2014, ça s'est aggravé, car quand RH a payé quelqu'un pour organiser les dojos Centos, la communauté a arrêté de s'en occuper après 2 ans en mettant les pieds sous la table.
[^] # Re: État des lieux
Posté par Misc (site web personnel) . En réponse à la dépêche L'affaire des sources : mémo des clones de Red Hat Entreprise Linux (RHEL). Évalué à 8.
Avoir une B-corp, ç'est classique (la Linux Foundation fait ça, AlmaLinux aussi, ainsi que l'OSI , mais pas la FSF que je sache).
Par contre, le bureau non élu, ça me parait pas super niveau communautaire :/
Et plus je regarde RockyLinux, plus ça me semble un peu louche.
Par exemple, sur la page web de la charte, on peut lire:
"RESF shall be structured and governed in a way that ensures that no single entity, organization, corporation, association, etc. will be permitted to have a controlling influence over the RESF or its projects"
C'est une bonne chose, et traduit dans le point 18 de l'article II des statuts, donc on ne peux pas dire que c'est du flan.
Mais malgré ça, en pratique, CIQ emploie plus d'une moitié du bureau affiché sur le site web.
Si on regarde le meeting de mars, ou il y a eu le vote du président, il y a eu 2 membres qui n'ont pas pris par au vote, car affiliés à CIQ. Et donc, en plus des 4 que j'ai listé, je voit que Sherif Negy bosse aussi chez CIQ (ce qui n'est pas sur Linkedin ), ce qui fait donc un total de 5 personnes maintenant au bureau pour le même employeur.
Le meeting du mois de janvier est aussi intéressant, car il n'y a presque personne de CIQ à ce moment (à part Gregory Kurster en tant que membre fondateur, et Brian Clemens en tant qu'externe), donc en 2 mois, il y a eu un quasi takeover du board.
Et je constate que les minutes de meeting de RESF sont globalement vides, publiées avec un retard croissant. Les minutes de mai sont arrivés début juillet, il n'y a rien pour celui de juin sur github. Personne ne semble mettre à jour le site web, car la liste ne montre que 3 mois et s’arrête à mars 2023, (voir en bas de la page). Donc c'est un peu les MM&S brun pour la transparence. Si les trucs sans importances ne sont pas fait, qu'est ce que ça va donner pour le reste :/
Quand je compare avec AlmaLinux, la différence est flagrante. Le board est beaucoup plus diversifié chez Alma, (cf la page sur le wiki ), le poste des membres du bureau clairement affiché (enfin, sauf pour Jack Aboutboul, qui ne dit pas que Moshe Bar, son PDG/ancien PDG, est aussi au board).
On voit aussi que les minutes des meetings sont détaillées, et à jour. Il y a des liens vers les différents documents discutés, et l'agenda du meeting suivant (août 2023) est déjà la. On voit qu'il y a des réunions depuis 2 ans, et que les membres de la communauté peuvent devenir membre du bureau via des élections ouvertes.
Ça me parait beaucoup plus propre et plus communautaire que Rockylinux. Et ça, c'est sans me pencher sur le focus constant sur le fondateur de la distro (Gregory Kurster), qui est pour moi un antipattern comme on a pu le voir avec la FSF en 2021.
[^] # Re: Quelques remarques
Posté par Misc (site web personnel) . En réponse au journal Vous hébergez un serveur Mastodon ? Mettez-le à jour !. Évalué à 4.
Ce qui revient à avoir une faille arbitraire dans ImageMagick, non ?
Le patch semble juste empêcher de faire passer un média arbitraire à ImageMagick.
Je vois bien comment ça pourrait poser probléme parce qu'ImageMagick a régulièrement des soucis (et donc, suffit de passer un fichier vérolé dans un format pourri, et voila), mais en pratique, quel attaque possible ne s'appuie pas sur une faille d'ImageMagick (et je compte le fait d'avoir un write arbitraire d'IM comm une faille d'IM ) ?
[^] # Re: État des lieux
Posté par Misc (site web personnel) . En réponse à la dépêche L'affaire des sources : mémo des clones de Red Hat Entreprise Linux (RHEL). Évalué à 6. Dernière modification le 16 juillet 2023 à 11:34.
Ça va un peu plus loin, car RESF (Rockylinux Entreprise Software Foundation), l'association qui gère Rockylinux, a pour président Gregory Kurtzer, fondateur de CIQ. Le project manager, listé aussi dans la catégorie Leadership est Brian Clemens, technico-commercial chez CIQ. Les 2 sont membres du bureau de l'assoce, qui contient 8 personnes.
Et si on regarde qui est aussi au bureau, le team lead sur l'infra, Neil Hanlon, est développeur chez CIQ, d’après son profil Linkedin. Mustafa Gezen, team lead sur la partie release engineering, est employé par CIQ (toujours linkedin).
Donc sur 8 membres du bureau, 4 sont dans la même boite, avec 3 qui ont un lien de subordination avec le fondateur et président de l'assoce et PDG du sponsor principal. Je sais que quand il y a un sponsor principal, c'est souvent ce qui arrive, car les non employés n'ont pas le temps de faire ce que les employés peuvent faire en terme de réunion et de travail, mais c'est quand même curieux que ça soit le cas pour un projet si récent.
CIQ a fait un premier tour de table de 26 millions de dollars en 2022, en plus des 4 millions initiales en 2021.
L'investisseur est Two Bear Capital, une boite fondé par un ancien de Sequoia Capital (qui a été une des premières boites à investire dans Facebook, d'aprés WP), et qui a aussi investi dans la biotechnologie.
26 millions, ça semble pas mal, mais CIQ a 77 employés (cf linkedin), donc ça ne fait que 330k par personne, ce qui permet de tenir 1 ou 2 ans. Ça me semble pas ouf niveau finance. Et avec les conditions économiques, il me semble assez clair qu'un autre tour de table ne va pas arriver tout de suite.
Ce qui explique aussi pour CIQ tente à tout prix de se diversifier sur les HPC (le rebranding de Singularity en Apptainer, une offre autour de Warewulf via fuzzball), parce que clairement, c'est pas en offrant un OS gratos que les investisseurs vont être content, surtout en ce moment.
[^] # Re: Comment vont-ils faire ?
Posté par Misc (site web personnel) . En réponse à la dépêche L'affaire des sources : mémo des clones de Red Hat Entreprise Linux (RHEL). Évalué à 5.
Faut arrêter le FUD sur ça et de reprendre les points de techrights.org, le blog complotiste de Roy Schestowitz.
Comme l'a dit un de mes ex-collègues (Ben Cotton)
"I wish folks would stop blaming everything on IBM. Red Hat is perfectly capable of making our own bad decisions."
[^] # Re: État des lieux
Posté par Misc (site web personnel) . En réponse à la dépêche L'affaire des sources : mémo des clones de Red Hat Entreprise Linux (RHEL). Évalué à 9.
Il y a plusieurs raisons pour ça.
Par exemple, dans le cadre du taf, on a voulu démarrer un contrat avec la boite fondé par les fondateurs de Discourse, pour soutenir le projet upstream et nous débarrasser de la question des mises à jours.
On a découvert que notre département juridique demande à avoir des clauses spécifiques dans le contrat, la boite a dit "oui, mais pas pour un contrat mineur" (comprendre moins de XX milliers de dollars US par an). Donc les petits fournisseurs sont pas équipés pour ce genre de choses (on a avait eu le cas avec un dev freelance qui propose de l'hebergement, et à qui la boite voulait demander un contrat d'assurance à la hauteur de 1 million d'US$).
On a aussi hérité d'un compte pour un hébergement wordpress (pris par une collégue avant son départ sans prévenir personne). pour mettre ça en ordre, j'ai du faire le relais entre notre équipe sécu et le support pour qu'il laisse faire un audit de sécurité. La gestion du RGPD et autres lois de ce genre font qu'on doit demander des trucs spécifiques sur la politique de rétention des logs, sur leur backups, etc, etc.
Les grosses boites ont des contraintes dont les plus petites n'ont que faire. Et c'est pas uniquement les USAs, vu que j'ai aussi vu ça tout du long quand j'avais plus de contact avec l'industrie hexagonale. J'ai vu des ministéres négocier les contrats en changeant le texte pendant 3 mois pendant mon stage. J'ai vu des grosses administrations passer par une boite de SSII qui est venu voir la startup ou je bossais pour de la presta (car la SSII avait fait le taf pour le contrat, mais n'avais pas les compétences spécifiques en interne sur ce logiciel).
Mais ça, la plupart des admins ne le voient pas, vu que de mon expérience, c'est pas leur taf (alors que mon chef m'a délégué ça, donc je suis joie…).
C'est comme les devs qui débarquent et ne pigent pas qu'il n'y a pas un quota de 1T par personne, parce qu'un disque dur, ça coûte pas cher à la FNAC (enfin, ce qu'on m'a dit, c'était newegg, mais j'adapte l'histoire). Ils ne voient ni les backups (x2 la taille), ni le RAID (x2 aussi), ni le coût en infra réseau/cpu pour les backups, ni les limites en terme de serveur pour filer 1T pour tout le monde.
[^] # Re: eh, pas lu ni regarder ?
Posté par Misc (site web personnel) . En réponse au lien La réalité oubliée derrière l'émancipation des femmes - Véra Nikolski. Évalué à 4.
C'est un argument assez proche de celui de John D'Emilio, un historien américain, sur les conditions de l'émergence d'une identité gay (et donc, par extension, le militantisme et les droits de la communauté LGBTQ). Il parle de son argument dans une interview de 2020, et sans doute dans quelques bouquins.
Le nœud de la discussion, c'est quantifier le rôle de chaque événements, sachant qu'il s'agit de choses assez peu comparables, et c'est aussi une comparaison politiquement chargé.
# Les journalistes du monde sont moins confiants
Posté par Misc (site web personnel) . En réponse au lien Le Parlement européen a adopté la loi (amendée) de restauration de la nature . Évalué à 5.
Je cite:
"Mais ils ont réussi à largement vider de sa substance ce texte qui devait permettre de restaurer les espaces terrestres et marins abîmés."
https://www.lemonde.fr/planete/article/2023/07/12/au-parlement-europeen-la-loi-sur-la-restauration-de-la-nature-sauvee-mais-amoindrie_6181698_3244.html
[^] # Re: saikoi
Posté par Misc (site web personnel) . En réponse au lien Lessons From the Catastrophic Failure of the Metaverse. Évalué à 6.
Faut que la valeur de Meta chute plus vite que celle d'Elon Musk, c'est pas vraiment gagné vu que le 2nd est hors concours pour dopage sur ce sujet.
[^] # Re: Je suis soulagé ⸮
Posté par Misc (site web personnel) . En réponse au lien Lessons From the Catastrophic Failure of the Metaverse. Évalué à 6. Dernière modification le 12 juillet 2023 à 12:08.
Les cabinets de consultants, une moitié de leur boulot, c'est d'être fusible. SI un truc foire, c'est la faute du cabinet. Si un truc marche, c'est grace à toi.
L'autre moitié, c'est de contourner la bureaucratie interne de leur client. Dépenser de l'argent pour un cabinet est bien plus simple qu'embaucher (vu qu'il est plus simple d’arrêter la mission), et c'est aussi censé avoir moins (moins, pas 0) de politique interne. Le cabinet va suivre les ordres du client, bien sur, mais ne va pas avoir autant de considération de politique interne long terme comme des personnes en interne, ni avoir des histoires du à un probléme il y a 5 ans avec un autre département, ce genre de truc.
Une fois que tu piges ce que ça apporte, ça devient assez clair que le cabinet se contente hélas de répondre à une demande (et pour être clair, pas juste le gouvernement, mais aussi n'importe quelle structure assez grosse, une multinationale va aussi avoir les mêmes dynamiques, la différence étant qu'on s'en fout beaucoup par la magie du capitalisme).
[^] # Re: Mastodon, dans l’état actuel, n’est pas accueillant pour les créateurs
Posté par Misc (site web personnel) . En réponse au lien Mastodon for Creators. Évalué à 4.
Tu as quand même un intermédiaire (l'admin du serveur) qui décide ou pas de répliquer les groupes.
Et je pense que tu as aussi la question de la gouvernance de la hiérarchie, à savoir qui décide que les discussions sur, au pif, Android vont sur fr.android, ou fr.phones.android ou fr.phone.android.
[^] # Re: Mastodon, dans l’état actuel, n’est pas accueillant pour les créateurs
Posté par Misc (site web personnel) . En réponse au lien Mastodon for Creators. Évalué à 3.
Oui, perso, j'attends plus de la migration hors reddit vers kbin/lemmy que de mastodon et co.
Avec le modèle de mastodon, chaque personne publie son contenu et réponds et entretient un fil via des boost, et chaque personne va suivre les autres. Ça force l'organisation en instances afin d'avoir un fil co-construit autour des personnes.
Dans le modèle Reddit/kbin/lemmy, l'instance est organisé en communauté, donc le fil de publication de la communauté est organisé par un groupe de modérateur autour d'un sujet, et ensuite, chaque post a son fil de discussion.
Ça me parait correspondre plus à ce que je voudrait personellement, et je pense toi aussi.
Ensuite, kbin et lemmy ne semble pas aussi mature que mastodon pour le moment.
[^] # Re: Mastodon, dans l’état actuel, n’est pas accueillant pour les créateurs
Posté par Misc (site web personnel) . En réponse au lien Mastodon for Creators. Évalué à 4.
Ouais, mais ça ne marche pas parce que tu as une instance perso avant tout.
Par contre, pour quelqu'un qui veut ouvrir l'instance (exemple quelqu'un dans la position de mastodon.art ou infosec.exchange, qui sont des instances thématiques ), ça aurait du sens. Si on considère chaque instance comme un réseau autonome (mais connecté), ça passe.
Mais fondamentalement, le souci n'est pas technique. Le souci, c'est que quelqu'un qui veut une instance perso ne veut sans doute pas non plus qu'on lui impose des choses.
Il y a eu des comptes qui ont ralés quand l'appli mastodon sur android a proposé mastodon.social comme choix, alors que ça résout un probléme à savoir "comment choisir l'instance".
J'imagine le bruit si jamais ton instance va chercher dans un endroit centralisé (gasp) des infos d'autres instances pour remplir la timeline. Il suffit de voir le bruit autour de matrix pour ça.
De même, j'imagine le bordel aussi si un logiciel va intégrer une forme de recherche (entre la gamification possible pour une audience, et le besoin de modérer si ça devient un service centralisé).
Donc pour moi, le cas "serveur perso", c'est un cas ou on peut supposer que l'admin sait ce qu'il fait. Mais c'est un peu pourri, parce que même si tu sais ce que tu fais, ça reste trop compliqué.
Ça pourrait être pire, tu pourrait découvrir que tu ne peux pas filtrer sur le serveur quand tu t'apercois que tu suis quelqu'un qui parle de gouvernance du libre, mais aussi beaucoup de l'équipe de foot féminine de son pays en postant sur ça les soirs de match.
[^] # Re: Révocation
Posté par Misc (site web personnel) . En réponse au journal Copie d'une pièce d'identité. Évalué à 3.
Je suppose qu'on leur laisse le choix entre vérifier ou perdre un procès pour négligence :p
[^] # Re: Mastodon, dans l’état actuel, n’est pas accueillant pour les créateurs
Posté par Misc (site web personnel) . En réponse au lien Mastodon for Creators. Évalué à 4.
Alors, je pense qu'il faut modérer un peu les chiffres des abonnés, car avoir des abonnés, ça n'implique pas d'avoir de la visibilité en pratique.
Ensuite bien sur, vu les chiffres que tu donnes, Mastodon ne va pas être premier, loin de la, mais vu que l'algo de Twitter est la pour aussi filtrer pour les gens qui s'abonne à trop de truc, il y a aussi ce facteur.
Un point plus intéressant, c'est que Mastodon n'a pas d'outil pour évaluer le nombre de personnes qui a vu ton toot, et risque sans doute de ne pas en avoir vu le zeitgeist du fedivers.
Je veux pas relancer une discussion sur les métriques, etc, mais ça me semble être quelque chose qui va manquer à terme.
Yep. Sur HN, un commentaire parlait de l'utilisation d'invitation pour bootstraper un réseau, et ça serait à mon avis une idée à essayer (proposer d'inviter des gens sur ton serveur, en abonnant au pif à 3 personnes, ou des comptes volontaires + la personne qui donne l'invite).
# Quelques remarques
Posté par Misc (site web personnel) . En réponse au journal Vous hébergez un serveur Mastodon ? Mettez-le à jour !. Évalué à 10.
Le numéro de version public ne va pas changer grand chose quand la faille est public, quelqu'un va tenter et basta. Savoir ce qui tourne est important si tu veux rester discret, mais la, ça va sans doute pas être le cas. J'ai encore vu ce matin qu'on a tenter un exploit wordpress sur un site statique que je gère.
Pour CVE-2023-36461, même avec 7.5, ça va juste bloquer le serveur. C'est chiant, mais je m'affolerais pas.
CVE-2023-36459, c'est une xss et qui semble impliquer un click de quelqu'un (genre, soit avoir une personne qui retoot le message, soit quelqu'un qui fait le site web et le poste). C'est chiant aussi, mais je pense que les divers navigateurs bloquent aussi pas mal de xss de nos jours (je crois). Et surtout, ça laisse des traces.
Le dernier CVE-2023-36460, je pense que ça nécessite aussi une faille dans ImageMagick en plus, non ? Je ne crois pas qu'on puisse avoir de l'execution de code directement en lancant ImageMagick.
Du coup, faut mettre à jour par bonne pratique, mais est ce que j'ai loupé des choses dans les failles annoncées ?
[^] # Re: france identité
Posté par Misc (site web personnel) . En réponse au journal Copie d'une pièce d'identité. Évalué à 8.
Le souci, c'est qu'il faut passer par un store. J’espère qu'à terme, ça sera dispo aussi sur f-droid.
[^] # Re: incomparable
Posté par Misc (site web personnel) . En réponse au journal [société] France, la République aveugle ?. Évalué à 5.
Par exemple:
https://www.francetvinfo.fr/faits-divers/police/violences-policieres/flic-pourquoi-le-livre-du-journaliste-valentin-gendrot-infiltre-dans-la-police-parisienne-suscite-la-polemique_4095617.html
Ou on reproche au journaliste de ne pas exposer sa couverture, mais rien sur les autres flics qui n'ont rien fait aussi.
[^] # Re: incomparable
Posté par Misc (site web personnel) . En réponse au journal [société] France, la République aveugle ?. Évalué à 3.
Ou https://madame.lefigaro.fr/celebrites/le-crown-act-la-loi-qui-va-interdire-la-discrimination-liee-a-la-chevelure-aux-etats-unis-20220324
(même si je pense que si l'EEOC avait eu les moyens de faire son taf au lieu de se faire vider par Reagan, ça rentrerais dans "discrimination raciste" aux USA sans avoir besoin de faire une loi à part)
[^] # Re: Des statistiques ethniques
Posté par Misc (site web personnel) . En réponse au journal [société] France, la République aveugle ?. Évalué à 3.
Ouais, alors le souci avec ce plan, c'est qu'on a aussi signé divers conventions sur les droits de l'enfance depuis 30 ans (1989 pour la CIDE), comme le droit à l'éducation, etc.
Et aussi, comme je le dit sans arrêt, que la privation de liberté doit être une exception, la France a aussi signé des traités sur la liberté, tout ça (article 5 de la CSDHLF signé en 1957).
Même la partie "passer vite fait devant un juge" peut être un souci suivant la façon dont c'est fait, car l'article 6 (para 3.b) dit "disposer du temps et des facilités nécessaires à la préparation de sa défense".
Alors je pense en effet que passer rapidement, au moins au début, c'est important, mais il faut que le jugement se fasse plus tard, car il y a besoin de préparer une défense.
Donc, à rebours de l'idéologie judiciaire, c'est un peu plus à rebours des traités internationaux signés sur les droits humains.
[^] # Re: Pas grand chose d'étonnant
Posté par Misc (site web personnel) . En réponse au lien Vous voulez supprimer votre compte Threads ? Dites adieu à Instagram (et autres magouilles). Évalué à 3.
Mais c'est un scénario quand même assez théorique. En pratique, la grande majorité des personnes sur internet n'ont ni une IP fixe, ni même une IP dédié pour leur connexion propre.
Que je sache, il n'y a en France que Free qui donne ça par défaut dans les gros opérateurs grand public, et je pense que c'est aussi rare ailleurs dans le monde. Free avait ~10% de PdM d'après des rapides recherches en 2019, et ne donne plus par défaut des IP fixes et routables, si je me souviens bien.
Sur tout ça, il faut rajouter tout les mobiles avec du CGNat ou l'IP est massivement partagé et recyclé.
Et au dessus, il faut rajouter les connexions pros qui vont souvent être partagé aussi, et ce qui va réduire pas mal ce qu'on peut suivre.
Ça fait un gros "suffit juste". Mais mon point n'est pas que ça n'arrive pas.
J'ai une IP fixe (avec une connec pro) à mon domicile, et un site web sur l'IP, je vois bien comment ça peut être utilisé pour me retrouver. J'ai aussi donné divers présentations sur le sujet au cours des années (par exemple, au FOSDEM), donc je sais comment ça marche.
Par contre, je vois bien aussi que je suis l'exception avant tout, justement parce que j'ai pu voir que seulement avec l'IP, tu peux pas faire grand chose la plupart du temps.
Et surtout, je pense que le point important, c'est pas tant ce qui compte comme PII ou pas devant la loi avec des cas hypothétiques et des "si", mais le résultat en pratique avec des choses qui arrivent hors des cas hypothétiques, surtout avec des choses qu'on ne pense pas être des PIIs.
Pour rester sur les communs numériques, on peut regarder le cas de Commons ou les membres de la communauté postent des photos d'endroits non ouvert au public, avec des tas de metadonnées (marque du tel, date et heure, coordonnées GPS). Ça peut leaker des infos pour retrouver l'identité des personnes.
Par exemple, un certain groupe de personnes avec un compte commun unique a défrayé la chronique en novembre 2019 sur fr.wp. Personne n'a publiquement annoncé avoir trouvé qui était derrière. Mais peut être que personne n'a noté que le même compte a uploadé des photos de l'intérieur d'un bâtiment bien connu du Faubourg-Saint-Honoré, et que ce bâtiment n'est pas exactement ouvert au public.
Pour être clair, je ne dit pas que c'est l'actuel résident du dit bâtiment, mais ça rentre quand même dans une catégorie de fuite d'information que le dit groupe aurait sans doute voulu garder privé, et si on combine avec plus d'analyse, il y a moyen de faire des analyses assez éclairés sur qui était dans le groupe.
Ou est la PII dans tout ça d'un point de vue légal ? Juste le compte affiché pour le droit d'auteur, compte qui ne donne aucune info.
D'où vient le souci ? Des informations autres couplés avec l'identifiant "personnel" (je mets entre guillemets, car si l'identifiant est partagé entre 4 ou 5 personnes comme dans mon exemple, c'est plus vraiment personnel..).
Autre exemple, il y a OSM. Beaucoup de gens vont ajouter des infos à coté de chez eux, car c'est le chemin de moindre résistance couplé à l'obligation d'avoir des infos venant du terrain.
Je suis convaincu qu'à partir de mon compte OSM et des dates/lieux de modif (qui sont des infos publiques), on peut retrouver mon identité vu que ça va coller assez précisément avec les dates de confs ou j'ai participé (ou plus précisément, la ou j'ai mangé). À partir de la, on va déduire où j'ai passé mes vacances vu que je rajoute les infos sur les zones mal remplis, ou via les batchs d'upload de StreetComplete.
Et c'est pareil que dans mon premier exemple, le seul PII est le compte, affiché pour divers raisons, et c'est en couplant avec le reste qu'il y a un souci. Le compte seul sert à rien, les infos servent à rien seules, c'est la combi des 2 et l'usage dans le temps qui posent soucis.
Et c'est mon point, c'est pas que les IPs ne sont pas des PIIs possibles. C'est qu'on fantasme ce qu'on peut faire avec les IPs en oubliant que tout ce qu'on peut faire, on peut le faire aussi facilement avec l'identifiant unique qu'est un compte.
Ton exemple dit "si les IPs sont affichés, on peut faire X". En fait, on peut déjà le faire avec les comptes, vu que je pense que la majorité a tendance à reprendre le même login partout (ou font des liens entre les comptes, par exemple, en postant du un réseau social vers un autre, etc)
Par exemple, pour OSM, si on affiche l'IP d'upload à la place de mon compte pour mes modifs, il va être quasiment impossible de me traquer à travers le monde vu que j'aurais une IP différente à chaque fois.
De même pour Commons, si j'uploade des photos d'un bunker secret sur mon île volcanique sans compte, puis 1 mois plus un selfie de moi avec Kim Jong Un devant la Taedong, faire la corrélation entre les 2 est quasiment impossible, alors que ça serait trivial si j'utilise un compte comme recommandé pour la protection de la vie privée.
(et faut vraiment que je me trouve une vie plutôt que d'écrire des pâtés sur Linuxfr)
[^] # Re: Pas grand chose d'étonnant
Posté par Misc (site web personnel) . En réponse au lien Vous voulez supprimer votre compte Threads ? Dites adieu à Instagram (et autres magouilles). Évalué à 5. Dernière modification le 08 juillet 2023 à 00:26.
Non, je ne te visait pas directement. Primo, tu as donné une source, ensuite, tu as dit que ce n'est pas clair. J'ai vu beaucoup plus de monde qui ont pris moins de précaution que toi, avec plus d'audience. Une personne se plante sur Linuxfr, ça arrive (ça m'arrive aussi, mais personne ne le voit).
25 personnes qui se plantent en une journée, ça devient un fait social.
Alors, quand je dit tout le monde, je veux pas dire qu'il y a personne qui s'en préoccupe. Mais le souci est aussi que "la vie privée" est un fourre tout qui est agité comme un joker, et "se préoccuper de la vie privée" ne veut rien dire.
Si on se base sur les auto déclarations, beaucoup de monde va dire se préoccuper de sa vie privée. Par contre, je suis sur qu'en pratique, pas grand monde n'arrive à détailler. Un exemple assez frappant, c'est la question des adresses IP sur Wikipedia.
J'ai vu des gens qui disent qu'il faut ouvrir un compte pour protéger ta vie privée, car visiblement, l'IP est perçu comme un token magique qui mettrait cette dernière en danger. La réalité est bien plus complexe.
Primo, ouvrir un compte implique de donner un email. Il y a assez souvent des gens qui leakent leur email, alors que de manière évidente, personne ne peut leaker ce que tu ne donnes pas. Et un email, y a parfois ton nom/prénom, donc l'ouverture de compte entraîne, statistiquement, des leaks.
Ensuite, les IPs sont considérés comme des infos personnels parce que la police peut les utiliser pour retrouver quelqu'un. Le quidam moyen qui connaît le réseau ne va pas en faire grand chose, car il n'a pas le pouvoir de dire à un FAI "file les infos". Il y a parfois des exceptions, mais c'est très rare.
Et donc, pour moi, ça montre que la recommandation n'est pas basé sur une analyse des soucis qui arrivent en pratique (car finalement, les flics qui demandent des trucs à la WMF? c'est assez rare par rapport à la totalité , mais sur une idée déformé de ce qui pourrait arriver.
Je ne suis pas vraiment sur de ça. Le RGPD a été proposé en 2012 (cf Wikipedia en anglais), et les justifications donnés sont la rénovation des lois existantes datant de 1995 et le fait que l'article 16 du TFEU modifié par le traité de Lisbon (2008) parle explicitement de la protection des données. L'article en question a été renuméroté depuis l'article 286 du TEC qui date de la consolidation d'autres traités par le traité d'Amsterdam (1997).
Et ça, c'est sans rentrer dans les détails historique sur l'article 8 de l'ECHR, car sinon, on peut remonter aux années 80 (quand Mark Zuckerberg avait moins de 10 ans).
Je ne doute pas que Facebook a joué un rôle dans la popularité du RGPD, mais le texte a des racines bien antérieurs à la création de Facebook.
Et le plus gros scandale concernant Facebook, c'est celui de Cambridge Analytica. Il est devenu public en janvier 2018, le RGPD a été voté en avril 2016, avec application en mai 2018. Le timing est en effet pas terrible pour FB, mais on peut pas dire que ça soit ce scandale qui a causé la loi (même si je comprends la confusion).
Ce n'est pas le manque de bruit qui m'étonne. C'est que dans un cas, on a une violation trivialement démontrable du RGPD via la non notification, et dans l'autre, il y a rien (ou en tout cas, personne n'a montré qu'il y a violation du RGPD aujourd'hui).
C'est comme mon exemple de WP, c'est une vision à mon sens erroné de la vie privée, avec FB qui sert de méchant caricatural et détaché de la réalité sur lequel certains projettent leurs anxiétés.
Un principe de proportionnalité basé sur quoi ?
Car autant, il y a en effet sans doute des différences entre une entreprise (FB) et un particulier (Musk), autant entre 2 particuliers, il ne devrait pas en avoir (un truc sur libre et egaux en droit, tout ça).
Il y a bien des exceptions vis à vis du respect de la vie privé car aucun droit n'est vraiment absolu et il y a souvent une balance à avoir. Par exemple, il y a tout un concept autour des personnalités publiques, lié aux questions de liberté de la presse (par exemple), et je pourrait me laisser convaincre que Elon Musk rentre dans ce genre de catégorie contrairement à une personne trans lambda.
Mais pour enchaîner sur ton exemple, le doxxing de Keffals arrivé l'année dernière concerne aussi une personnalité publique. Elle a une activité dans les médias (pour peu qu'on considère Twitch comme un média), mais aussi via sa courte carrière politique au Canada.
Je ne dit pas que c'est une raison pour ne pas protéger sa vie privée, mais je ne trouve pas de raison qui s'appliquerait à elle et pas à Elon Musk, sauf des arguments à base de "l'une est pauvre, l'autre est super riche, donc c'est ok, il a moins de droit", ou "Elon, ça rime avec con, donc c'est bon" (surtout que ça rime pas).
Il y a plein de questions à se poser, comme savoir si une info publique (la position d'un jet) couplé avec une information privé (son propriétaire) devient publique ou reste privé. Ou savoir si une demande de ne pas publier l'info est un refus de consentement, et ce que ça implique quand aux principes du RGPD (et je précise, les principes, car légalement, il n'y a aucune raison que ça s'applique, vu que c'est 2 citoyens américains).
Mais j'ai pas le sentiment qu'il y a eu un débat sur ça, et c'est pour moi la preuve que les discours sur la vie privée s'évaporent assez vite quand on est face à quelqu'un qu'on aime pas.
Un peu léger sans doute, mais la présomption d'innocence, c'est pas juste quand ça nous arrange.
Surtout que ce que j'ai vu, c'est pas des accusations neutres et non inflammatoires comme "avoir mal modéré dans un pays lointain les abus", car ça serait raisonnable (même si la modération en soit, ça pose des questions dans tout les cas, liberté d'expression, etc). Ce que j'ai vu, c'est des messages comme, je cite, "has been proven to support or at least turn a blind eye to genocide", ou "Conspired to manipulate a presidential election".
C'est quand même un peu plus grave et plus direct que ta formule, et c'est pas loin de "Mark Zuckerberg est responsable d'un génocide", qui aurait le bon goût de retirer la question de la personnalité juridique dans la discussion.
Je pense que ça dépend pourquoi en fait.
Quand c'est basé sur l'histoire de XMPP vu par Ploum, ça me parait non justifié (cf la timeline ici).
Quand c'est basé sur une idée fausse du fedivers et de ce que Meta va pouvoir faire, ça me parait non justifié.
Parce que fondamentalement, le fedivers s'appuie sur un protocole qui s'appelle ActivityPub, pas ActivityPriv.
Et en fait, le souci, c'est qu'on a dit à tout le monde que c'est une alternative à Twitter/Facebook et aux réseaux commerciaux.
Comme ces derniers sont présentés comme problématiques vis à vis de la vie privée (sans dire pourquoi ni comment), alors comme le fedivers n'est pas comme eux, on suppose que c'est bon. Par exemple, la page de joinmastodon dit "That means your data and your time are yours and yours alone.". On insiste bien sur le contrôle, et je pense que dans l'esprit d'une grande partie des gens, c'est synonyme de vie privée.
Sauf que en pratique, non.
Le plus drôle, c'est que dans X années, quand Threads va se casser la gueule parce que Y raisons, le fedivers va se congratuler d'avoir participer en bloquant, un peu comme dans When Prophecy Fails…
[^] # Re: Puis que tu le demandes
Posté par Misc (site web personnel) . En réponse au journal [société] France, la République aveugle ?. Évalué à 5.
Mais tous n'ont pas eu un empire colonial de la même taille, donc la comparaison est un rapide. Si je me souviens bien, l'Italie est arrivé dernière à ce petit jeu, et tandis que toute les semaines, il y a un pays qui fête son indépendance par au Royaume Uni.
Ensuite oui, il y a sans doute d'autres causes historiques, même si dans le cas d'une comparaison France / USA, je ne pense pas que ça soit un axe de comparaison très pertinent.
La question posé à la fin du journal n'est pas "d’où vient la violence en France", même si c'est une bonne question à se poser, mais "pourquoi il n'y a pas les mêmes réactions sur 2 pays".
Dans les 2 cas, il y a eu une histoire avec l'esclavage (voir la même au début).
La différence, c'est que c'est la société française qui a organisé en partie la déportation, et la société des USA l'exploitation (en grande partie, car oui, j'ai pas oublié qu'on s'est mis plein les poches avec la canne à sucre dans les Caraïbes parmi tant d'autres choses).
Du point de vue de la déshumanisation et de ses effets sur la culture, ça me semble équivalent, dans le sens ou il y a eu les mêmes justifications, et ça s'est passé en même temps. La seule différence notable, c'est ce qui est arrivé après la fin du commerce d'esclave. Comme en France, on a pas amener grand monde en métropole, c'était vachement plus facile de fermer les yeux.
Aux USA, avec une population d'esclave estimé à 4 millions sur un total de 31 millions en 1860, c'était difficile de faire l'autruche.
Donc quelque part, je pense que ça rejoint mon point sur la continuité des luttes.