Benoît Sibaud a écrit 9794 commentaires

Et ce matin, le karma n'a pas bougé, le nombre de votes est de 0, et le diff_karma de 1 (donc lui il bouge).

Ton différentiel de karma était de 0 il y a quelques heures. Il est désormais de 2. Donc logiquement ton karma devrait monter de 2, et le nombre de votes devrait passer à 100 après le cron quotidien.

    self.karma += $redis.get("users/#{self.user_id}/diff_karma").to_i
(...)
    self.nb_votes = [3 + karma / 10, 100].min

Mais oui il y a un truc bizarre : le karma max n'a pas bougé depuis la semaine dernière, et le nombre de votes est à 0.

Des exemples de gestion du béné valo :

• https://soutenir.framasoft.org/benevolat
• https://www.april.org/benevolat-valorise

'Publié par' c'est d'habitude l'auteur ou l'éditeur (ici linuxfr.org)

Oui mais mon tailleur est riche.

Surtout le commit était un poil plus large que cette entrée.
https://github.com/linuxfrorg/linuxfr.org/commit/a73eee3edf61ea8403b8b9bd452c03c74c3a7b2d

Les contrôles ont été ajoutés.

validates :title, presence: { message: "Un lien doit obligatoirement avoir un titre" },
                    length: { maximum: 100, message: "Le titre est trop long" }

commit a73eee3edf61ea8403b8b9bd452c03c74c3a7b2d
Date:   Fri May 17 21:53:01 2019 +0200

    Size matters

Pour la doc :

https://github.com/linuxfrorg/linuxfr.org/blob/12539b1d6f038c909b229a21ffc18d60b7fa2be8/db/redis.txt

Et pour la conformité côté scripts adminsys :

commit 4b5be46527dfbcad64782ebee3c898bd74986ea1
Date:   Sun Sep 8 16:44:11 2019 +0200

    Script to check Redis database

Reste des points mineurs à traiter marqués de beaux TODO dans le code, mais pour plus tard :

• vérifier que la vérification marche sur une base vide / partiellement vide
• détecter les messages dans les tribunes des comptes supprimés
• détecter les URI invalides ?

Une synthèse semble disponible sur https://wiki.debian.org/Debate/DefaultMTA (mentionne des discussions depuis 2003)

On retrouve des discussions bien avant, par exemple en 1999, avec notamment i use postfix. it's a good MTA. trouble is that it is not quite free yet (evil termination clause…hopefully will be resolved soon)

Postfix était sous IBM PL 1.0, libre et OSI, copyleft, incompatible GPL, avec clause de terminaison sur les brevets logiciels. Et ensuite depuis Postfix 3.2.5 (janvier 2018), sous Eclipse Public License 2.0.

Autre point : Debian date de 1993, Exim de 1995, Postfix de 1998. La question serait donc plutôt « pourquoi exim est encore par défaut sous Debian ? ».

https://twitter.com/cedric/status/1169899044732207104 (Panasonic MegaCon et le Live #LikeABosch)

Un souci ?

INFO   Connecting to openpaper.work
INFO   Posting report...
INFO   Please wait, this may take a while...
ERROR  Error from server: 500 - Internal Server Error

(pour refaire le test de https://openpaper.work/scannerdb/report/51/ depuis une Debian Sid avec la dernière version)

Debian https://www.debian.org/security/2019/dsa-4517
Ubuntu https://usn.ubuntu.com/4124-1/
Gentoo https://security.gentoo.org/glsa/201909-06
CVE-2091-15846 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-15846
Exim http://exim.org/static/doc/security/CVE-2019-15846.txt
…

Et précédemment en juillet 2019 :

Debian https://www.debian.org/security/2019/dsa-4488
Ubuntu https://usn.ubuntu.com/4075-1/
CVE-2019-13917 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-13917
Gentoo (vient d'être corrigée en même temps que l'autre faille)
Exim http://exim.org/static/doc/security/CVE-2019-13917.txt
…

Et en juin 2019 :

Debian https://www.debian.org/security/2019/dsa-4456
Ubuntu https://usn.ubuntu.com/4010-1/
CVE-2019-10149 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10149
Gentoo https://security.gentoo.org/glsa/201906-01
Exim http://exim.org/static/doc/security/CVE-2019-10149.txt

Corrigé, merci.

Corrigé, merci.

Les sujets de diversité, de transidentité et de féminisme sont ingérables là bas.

En même temps, est-ce bien le lieu pour parler de ça ?

Oui, évidemment ? Même pour une population de gens qui ne seraient intéressés que par la technique (et normalement ce n'est pas le cas de LinuxFr.org), ces sujets les concernent :

• un code de conduite sur la diversité/harcèlement ou non pour les événements physiques ? Des règles de modération pour les échanges en ligne ?
• un rassemblement physique de prévu ? Quid des repas/buffets ? Végétarien ? Végan ? Avec ou sans alcool ? Allergies ? Restrictions alimentaires religieuses ?
• un site web ? Daltonisme ? Dyslexie ? Accessibilité ? Etc.
• accès physique dans les bâtiments pour personnes avec un handicap physique ?
• des mineurs ? Interdiction des contenus porno, pas d'alcool, etc. …

Bref même les purs techniciens ne sont pas en dehors de la société, et doivent discuter de ces sujets là (sinon on aura des IA biaisées, des sites excluants, des communautés renfermées et toxiques, des événements discriminants, des échanges partiaux et décorrélés de la réalité, etc.). Qu'ils aiment ou non le faire ou qu'ils sachent ou non le faire, c'est un autre sujet.

Corrigé, merci.

Corrigé, merci.

Vous avez pensé à vous réunir pour un dîner un mercredi ? Ça pourrait faire une convention sur le sujet, que l'on appellerait la Conchiée.

Je me demande s'il est possible de discuter du sujet sans que les questions et les réponses soient faites, les intentions inférées et les jugements rendus. Ceci dit c'est une position confortable, distanciée et non impliquante, je vais essayer : la doc n'existe pas sur le wiki communautaire donc ça n'intéresse pas la communauté, les merge requests n'existent pas dans personne ne veut rien changer, les contenus et les commentaires reviennent régulièrement pour dire que personne n'a fait la synthèse qu'ils n'ont eux-mêmes pas faite. On en déduit que c'est la faute des utilisateurs donc (comme la faim et la paix dans le monde). Waouh c'est magique la rhétorique. Sinon, moi, je tâcherai d'être constructif sur le sujet en rédigeant quelque chose, dès que j'aurais fini mes autres tâches linuxfr en cours.

Corrigé, merci.

Ton commentaire est socialement désuet (et hors vendredi), à l'heure des personnes bi, des couples homo, des remariages et familles recomposées, des adoptions, etc., etc. (Et en fait des homos ayant eu des enfants, y en a un paquet dans l'histoire, y compris à la tête d'états…).

Profitons pour revenir au sujet : LMPT fait partie des noms un peu ridicule justement.

J'ai commencé à regarder ce bug. Une chose en amenant cinquante autres, j'ai débouché sur la création d'une autre entrée https://linuxfr.org/suivi/documenter-le-schema-redis-et-nettoyage-redis … et du coup je n'ai pas fini de comprendre le souci présent.

Corrigé, merci.

(Je sens que cela va devenir une FAQ, parce que j'ai l'impression de répéter cela régulièrement)

La règle tirée de la page d'inscription : « IMPORTANT : une seule création de compte par personne physique est autorisée. Toute création de comptes multiples par une même personne, qu'elle qu'en soit la raison, sera considérée comme un abus de ressources. De plus, il est interdit d'utiliser une adresse de courriel temporaire, qui ne permet pas aux administrateurs de vous contacter en cas de problèmes avec votre compte. Lorsqu'une telle adresse est découverte, les administrateurs se réservent le droit de fermer ou supprimer le compte. Les comptes, contenus et commentaires du site sont soumis à un ensemble de règles de modération. »

La définition d'un multi sur LinuxFr.org est d'avoir plusieurs comptes actifs simultanément. Nous considérons cela comme un abus de ressources et c'est souvent utilisé avec une volonté de manipulation du système de karma (notes en masse).

Les soucis posés par les comptes multiples actifs sont les diverses manipulations possibles, comme encenser son contenu/commentaire en utilisant des commentaires d'autres comptes à soi, voter massivement pour soi, pour ou contre quelqu'un, etc. Avoir eu d'autres comptes précédemment, actuellement fermés, et un autre compte actif ne posent pas ces soucis. Parmi les autres soucis possibles nous trouvons l'abus de ressources, l'usurpation d'identité, etc. (nous avons déjà été confrontés à tous les cas mentionnés ici)

1) Le cas « un ou des compte(s) fermé(s) et un compte ouvert

• cela ne pose pas de problème de ressources ou de risque de manipulation du système de karma
• cela donne une nouvelle chance à quelqu'un de repartir sur une base saine sans historique (à elle de ne pas la gâcher en ne repartant pas dans le négatif)
• si le compte repart en négatif, cela ne laisse qu'une faible fenêtre de visibilité par défaut au compte
• ce n'est pas détectable avec certitude (est-ce vraiment une nouvelle personne ? Un autre compte d'une même personne ? Quelqu'un qui prétend à tort qu'il s'agit d'un multi, par erreur ou volonté de nuire ? Un bot ? Un chien ? Etc.)
• comme ce n'est pas détectable avec certitude, cela ne peut pas être interdit techniquement / bloqué par défaut (et cela ne devrait peut-être pas, même si c'était possible, voir le second point).
• si le comportement devient obsessionnel tendance harcèlement, nous passerons au dépôt de plainte (cela revient au cœur du problème, l'humain qui est derrière le clavier et son identification).

2) La détection des comptes multiples actifs

Une solution absolue serait que tout la planète impose l'identification de chaque personne utilisant Internet et que cette information fiable nous soit transmise et qu'on la stocke. Ou bien que LinuxFr.org vérifie lui-même l'identité de chaque individu (avec confirmation auprès de son gouvernement) et qu'il la stocke. J'imagine que nous conviendrons que ce n'est peut-être pas souhaitable.

Restent donc les solutions relatives, c'est-à-dire celles où nous essayons de détecter les comptes multiples actifs soit manuellement (au cours de nos lectures du site) soit automatiquement. Vous pouvez oublier toutes les solutions automatiques (même si nous en avons en place) qui vous viendraient à l'esprit :

• des identifiants similaires ? (toto1, toto2, etc.) Les plus basiques font cela (genre spammeurs), mais en général les gens ont plus d'imagination que cela. Et il y a des faux positifs, comme jeankevin75 et jeankevin63 qui sont peut-être juste des Jean-Kévin des deux départements ou de deux âges différentes par exemple (ou un Paul basé dans la Creuse et un labrador québécois pour ce que l'on en sait).
• des noms affichés / avatars / signatures / sites perso similaires ? Les plus basiques font cela mais…
• des adresses de courriel similaires ? Les plus basiques font cela mais…
• des adresses IP similaires ? Les plus basiques font cela mais… Sans parler des proxys d'entreprises et d'administrations qui font que l'on a des dizaines de comptes probablement des personnes différentes derrière une même IP.
• des User-Agent identiques ? Les plus basiques font cela mais… Et puis cas du parc d'entreprise homogène, faible diversité des navigateurs à jour, etc.
• des comportements similaires ? D'une part cela devient difficile à définir, d'autre part ce n'est pas forcément fiable (certains commentaires font par exemple la quasi-unanimité en termes de « pertinents » ou « inutiles », avoir deux comptes qui ont noté pareil plusieurs commentaires est-il suffisant ? Combien ? Etc.
• etc.

Donc nous l'interdisons, et nous intervenons lorsque nous le détectons (oui c'est le cœur du problème, il n'y a pas de moyen sûr de détecter un multi, cela revient à identifier l'humain qui est derrière le clavier).

3) « Oui, mais il n'y a pas d'abus »

Qu'est-ce que vous en savez ? C'est très péremptoire d'expliquer à des administrateurs d'un site qu'ils n'ont pas rencontré de soucis, sans disposer d'informations ou sans avoir cherché à en disposer. Nous avons déjà communiqué sur des cas de notes massivement distribuées. Nous fermons de temps à autre des dizaines de comptes ouverts en masse par un même spammeur. Ainsi que des dizaines de comptes ouverts par une même personne qui semble changer de compte à chaque commentaire/contenu. Nous traitons aussi régulièrement des demandes de fusion de comptes (par exemple entre un vieux compte historique de 2002, fermé ou non, et un compte récent ouvert 14 ans plus tard). Etc. Etc. Donc le problème existe, survient plus ou moins régulièrement, et c'est dans l'absolu un problème compliqué.

4) Y a-t-il des cas légitimes de comptes multiples actifs ?

Il y a déjà eu des cas de comptes multiples actifs par une personne souhaitant apporter un témoignage anonymement : par exemple un journal est créé par un nouveau compte, mentionnant qu'il s'agit d'un compte multiple créé pour rester anonyme. Ce genre de cas peut être traité en fermant le compte trois mois plus tard, lorsqu'il n'est plus possible de commenter le journal.

Il y eu / a des cas de personnes voulant segmenter leur vie : compte perso/compte pro, ou compte activité n°1/compte activité n°2, etc. Cela peut être difficile à différencier de compte normal/compte utiliser pour troller et être pénible par exemple.

Faut-il vraiment une application stricte de la règle anti-comptes multiples actifs dans tous les cas ? Nous considérons que la décision réfléchie/pondérée est probablement plus pertinente alors.

Une solution technique pourrait être de demander aux utilisateurs de déclarer leurs comptes multiples eux-mêmes (par exemple un identifiant strictement personnel associé aux comptes) : d'une part le déclaratif ne marcherait pas dans tous les cas non plus, d'autre part c'est prendre le risque de laisser fuiter cet identifiant strictement personnel involontairement. Et au final ce n'est pas plus contrôlable. Bref cela ne semble pas souhaitable non plus.

5) Des propositions ?

Nous sommes ouverts à toutes les propositions permettant de clarifier / améliorer la situation.

La prochaine fois tu me préviens avant, on fera le systemctl stop côté LinuxFr.org et hop plus de ralentissement visible ?