l'équipe d'administration n'a plus qu'une vue floutée de la dernière visite (moins d'une mois, moins d'un an, de trois ans, jamais), ce qui correspond aux seuils utiles (pour envisager retirer une habilitation ou pour la minimisation des données à caractère personnel)
on donne plus d'info à la personne liée au compte sur qui voit quoi
on n'affiche plus la date de dernière action du compte qui est de toute façon inutile
la personne liée au compte se fiche de sa dernière visite vu que c'est maintenant si elle la voit
la personne liée au compte est la seule intéressée par la vue sur la date de dernière connexion (principalement pour voir si une connexion inattendue est survenue)
la modération voit les actions courantes et passées liées à la modération
Un outil de communication pas si "nouveau", on s'en servait ponctuellement sur les événements type POSS, puis on a commencé à l'utiliser pour discuter au sein du conseil d'administration de l'asso (pour les polos notamment), puis ensuite pour les tâches d'admin. sys. et de développement.
Pas vraiment pour la modération ou l'admin web du site.
La Fête de l'Huma est portée par le quotidien L'Humanité, à Saint-Denis (cf mentions légales. Par ailleurs, il semble avoir des soucis financiers, notamment suite à ça : « En août 2023, les locaux de la rédaction du quotidien sont cambriolés. Une cinquantaine d’ordinateurs sont volés ainsi que du matériel vidéo et des téléphones portables. » (source)
Sinon les 50€ sont à comparer au prix d'un festival type Rock en Seine ou Solidays ou … en Île de France (pour ceux qui n'iraient que pour les concerts).
(article de La CroixCette année, les billets achetés à l’avance coûtent 45 € et 60 € pour un billet de dernière minute pour trois jours de festival. Un prix bien en deçà des autres grands festivals : 124 € aux Vieilles Charrues et 175 € à Rock en Seine. )
J'imagine aussi que les personnes militantes payent bien moins chers en fait (via des émanations du parti communiste ou via le journal). Ceci ne comprend pas forcément les libristes juste venus tenir un stand.
adresse IP de connexion courante ;
adresse IP de connexion précédente.
C'est plutôt adresse IP et date de connexion courante / précédente d'ailleurs (une donnée personnelle est plutôt IP+port+date d'ailleurs). Elles sont considérées comme nécessaires au service, et supprimées en cas de minimisation des données.
Par ailleurs on a ajouté la date de dernière visite.
Une prise USB-C ne garantit pas tout. Par exemple USB-C classique vs Thunderbolt https://en.m.wikipedia.org/wiki/Thunderbolt_(interface)
(Ou pourquoi ton portable à puce Intel couine au démarrage pour sous-alimentation quand tu branches l'alimentation sur de l'USB-C)
Il y a peu (début 2023), Ubuntu a annoncé Ubuntu Pro https://ubuntu.com/pro , qui implique notamment que moins de 10% des paquets sont couverts pour 5 ans en LTS (2,300 packages in the Ubuntu Main repo supported for 5 years) contre bien plus et plus longtemps en pro (_ 2,300 packages in the Ubuntu Main repo included in Infra-only, plus an additional 23,000+ packages in the Ubuntu Universe repository for 10 years_).
Debian couvre main et L'équipe en charge de la sécurité essaye de prendre en charge la distribution stable environ une année après que la version stable suivante a été publiée, sauf lorsqu'une autre distribution stable est publiée la même année. ( https://www.debian.org/security/faq#lifespan )
Prenons firefox et firefox-esr chez Debian et Ubuntu :
Autant je comprends les défauts potentiels voire avérés des CVSS, car il y a des enjeux autour d'un seuil qualitatif et des intérêts contradictoires, autant je n'ai pas connaissance de beaucoup de soucis propres aux CVE.
Les CVE sont des identifiants, on les retrouve dans les alertes sécurité (de chaque distribution, éditeur, projet, etc.), dans le suivi de sécurité (comme https://security-tracker.debian.org/tracker/ https://launchpad.net/ubuntu-cve-tracker etc. ), dans les outils de sécurité (trivy, les dependabot/renovate, wazuh, etc.), dans les discussions autour de la sécurité (jusque dans les étiquettes sur linuxfr.org), etc. Bref c'est comme les identifiants SPDX des licences pour les inventaires logiciels (SBOM), les UUID pour identifier des volumes, etc., etc. Il y a des tas de CVE dont chacun se contrefiche (n'utilisant pas le matériel ou le logiciel ou la version concernée), s'accommode (aucun intérêt pour la sécurité, impact faible ou inexistant dans sa situation), doit faire avec (pas de solution connue/pas de correction fournie, exemple failles sur les "vieux" CPU). Potentiellement des CVE "abusives" (auquel cas il n'y aura pas vraiment de correction à prévoir).
Globalement les avantages me semblent très largement compenser le défaut de déclaration abusive (qui ferait perdre un peu de temps à certains), sauf à montrer de l'abus est massif.
Les CVSS sont censées aider à prioriser les corrections (de critique fin du monde à un gars touché au fond du Nebraska), mais au final, sauf impossibilité (blocage fonctionnel, incapacité à tester/risquer, changement de licence, etc.) j'essaie de déployer toutes les corrections disponibles (ce qui ne règle pas le cas des non disponibles). Mais c'est un point de vue d'adminsys, pas de spécialiste sécurité. Indirectement je me base sur les CVSS via les outils de sécurité que j'utilise (trivy ou les alertes sécurité reçues parleront de gravité critique/majeure/mineure en fonction du CVSS).
1475 inactive accounts never used to purge
0 users to minimize
0 accounts to minimize because inactive and not seen since 1 year
0 active accounts not seen since 3 years to inactivate and minimize
1474 users without comments/contents to purge
1474 accounts to purge
1458 logs to purge
1474 friendly_id_slugs to purge
0 taggings to purge
0 oauth_access_grants for an oauth_application to purge
0 oauth_access_tokens for an oauth_application to purge
0 oauth_applications to purge
0 oauth_access_grants to purge
0 oauth_access_tokens to purge
0 deleted comments to minimize
0 comments from non-public contents to purge
0 taggings from non-public contents to purge
0 wiki_versions from non-public wiki_pages to purge
0 slugs from non-public wiki_pages to purge
0 non-public wiki_pages to purge
0 slugs from non-public trackers to purge
0 non-public trackers to purge
0 slugs from non-public posts to purge
0 non-public posts to purge
0 poll_answers to from non-public polls to purge
0 slugs from non-public polls to purge
0 non-public polls to purge
0 slugs from non-public bookmarks to purge
0 non-public bookmarks to purge
0 slugs from non-public diaries to purge
0 diaries converted into non-public news to purge
0 non-public diaries to purge
2 news_versions from non-public news to purge
1 paragraphs from non-public news to purge
1 links from non-public news to purge
1 slugs from non-public news to purge
1 non-public news to purge
1 non-public contents to purge
(c'est bien pénible à écrire, assez propice à la boulette, et il reste la partie sans filet à écrire)
[^] # Re: TODO aide / doc
Posté par Benoît Sibaud (site web personnel) . En réponse à l’entrée du suivi Suppression des données inutiles au service sur les comptes fermés. Évalué à 3 (+0/-0).
plus prise en compte de la discussion sur la visibilité des dates/timestamps d'un compte. Cf https://linuxfr.org/users/oumph/journaux/linuxfr-org-premiere-quinzaine-de-septembre-2023#comment-1936041
Proposition de MR https://github.com/linuxfrorg/linuxfr.org/pull/376
[^] # Re: Implémentation en cours
Posté par Benoît Sibaud (site web personnel) . En réponse à l’entrée du suivi Suppression des données inutiles au service sur les comptes fermés. Évalué à 3 (+0/-0).
Effet indirect côté Redis il faudrait aussi nettoyer les éventuels entrées sans expiration :
boards/chans/news/<news_id>
boards/msg/<msg_id>
etboards/id
convert/<news_id>
pour des journaux ou dépêches purgéeslinks/<link_id>/hits
etlinks/<link_id>/url
news/<news_id>/<vote>
ounews/urgent
(en attendant on compte sur le script de vérification du contenu de redis pour se plaindre a posteriori)
[^] # Re: Signal
Posté par Benoît Sibaud (site web personnel) . En réponse au journal LinuxFr.org : première quinzaine de septembre 2023. Évalué à 4.
Un outil de communication pas si "nouveau", on s'en servait ponctuellement sur les événements type POSS, puis on a commencé à l'utiliser pour discuter au sein du conseil d'administration de l'asso (pour les polos notamment), puis ensuite pour les tâches d'admin. sys. et de développement.
Pas vraiment pour la modération ou l'admin web du site.
[^] # Re: Huma
Posté par Benoît Sibaud (site web personnel) . En réponse au journal LinuxFr.org : première quinzaine de septembre 2023. Évalué à 5.
LinuxFr n'a pas de stand ou de bénévoles sur place (mais on était dans les échanges).
[^] # Re: Merge requests
Posté par Benoît Sibaud (site web personnel) . En réponse à l’entrée du suivi Passer de Debian Stretch à Debian Bookworm / Ruby 2.3 à 3.1 / Rails 5.2.5 à >7.0.0. Évalué à 4 (+0/-0).
https://github.com/linuxfrorg/linuxfr.org/pull/375
[^] # Re: Désolé pour le dérangement
Posté par Benoît Sibaud (site web personnel) . En réponse au lien Mozilla à la fête de l’Humanité ce week-end - Communauté Mozilla francophone. Évalué à 4.
La Fête de l'Huma est portée par le quotidien L'Humanité, à Saint-Denis (cf mentions légales. Par ailleurs, il semble avoir des soucis financiers, notamment suite à ça : « En août 2023, les locaux de la rédaction du quotidien sont cambriolés. Une cinquantaine d’ordinateurs sont volés ainsi que du matériel vidéo et des téléphones portables. » (source)
Sinon les 50€ sont à comparer au prix d'un festival type Rock en Seine ou Solidays ou … en Île de France (pour ceux qui n'iraient que pour les concerts).
(article de La Croix Cette année, les billets achetés à l’avance coûtent 45 € et 60 € pour un billet de dernière minute pour trois jours de festival. Un prix bien en deçà des autres grands festivals : 124 € aux Vieilles Charrues et 175 € à Rock en Seine. )
J'imagine aussi que les personnes militantes payent bien moins chers en fait (via des émanations du parti communiste ou via le journal). Ceci ne comprend pas forcément les libristes juste venus tenir un stand.
[^] # Re: petit oubli dans les données personnelles
Posté par Benoît Sibaud (site web personnel) . En réponse au journal LinuxFr.org : première quinzaine de septembre 2023. Évalué à 4.
C'est plutôt adresse IP et date de connexion courante / précédente d'ailleurs (une donnée personnelle est plutôt IP+port+date d'ailleurs). Elles sont considérées comme nécessaires au service, et supprimées en cas de minimisation des données.
Par ailleurs on a ajouté la date de dernière visite.
[^] # Re: il n'y a pas que les téléphones dans la vie
Posté par Benoît Sibaud (site web personnel) . En réponse au lien iPhone en USB-C : l’Europe a enfin gagné son bras de fer face à Apple . Évalué à 5.
Une prise USB-C ne garantit pas tout. Par exemple USB-C classique vs Thunderbolt
https://en.m.wikipedia.org/wiki/Thunderbolt_(interface)
(Ou pourquoi ton portable à puce Intel couine au démarrage pour sous-alimentation quand tu branches l'alimentation sur de l'USB-C)
[^] # Re: Le lien est incorrect
Posté par Benoît Sibaud (site web personnel) . En réponse au lien Surveillance des prix chez les grands distributeurs. Évalué à 4.
Corrigé, merci. (Sinon le lien parle de l'Autriche)
# TODO aide / doc
Posté par Benoît Sibaud (site web personnel) . En réponse à l’entrée du suivi Suppression des données inutiles au service sur les comptes fermés. Évalué à 3 (+0/-0). Dernière modification le 17 septembre 2023 à 16:42.
oauth_applications
,oauth_access_grants
etoauth_access_tokens
news_versions
,wiki_versions
ettaggings
last_sign_in_at
etcurrent_sign_in_at
[^] # Re: Explication d'avant quand c'était mieux (vraiment ?)
Posté par Benoît Sibaud (site web personnel) . En réponse au journal Pourquoi la page 404 ne peut être trouvée. Évalué à 6.
Avant chez Peugeot, la 404 existait. Mais c'était avant. Et pareil chez Martin, plus de 404 non plus. Fini.
[^] # Re: Lien tronqué
Posté par Benoît Sibaud (site web personnel) . En réponse au lien Video codecs: Adding AV1 stateless video decoder support to Linux. Évalué à 3.
Corrigé, merci.
# Lien direct
Posté par Benoît Sibaud (site web personnel) . En réponse au lien Partage du Web entre GAFAM : illustration avec l'accord sur le moteur de recherche Safari par défaut. Évalué à 3.
https://9to5mac.com/2021/08/25/analysts-google-to-pay-apple-15-billion-to-remain-default-safari-search-engine-in-2021/
[^] # Re: De l'obligation de mettre à jour son OS et son matériel
Posté par Benoît Sibaud (site web personnel) . En réponse au lien Linux becoming a Windows / OSX clone. Évalué à 5.
Il y a peu (début 2023), Ubuntu a annoncé Ubuntu Pro https://ubuntu.com/pro , qui implique notamment que moins de 10% des paquets sont couverts pour 5 ans en LTS (2,300 packages in the Ubuntu Main repo supported for 5 years) contre bien plus et plus longtemps en pro (_ 2,300 packages in the Ubuntu Main repo included in Infra-only, plus an additional 23,000+ packages in the Ubuntu Universe repository for 10 years_).
Debian couvre main et L'équipe en charge de la sécurité essaye de prendre en charge la distribution stable environ une année après que la version stable suivante a été publiée, sauf lorsqu'une autre distribution stable est publiée la même année. ( https://www.debian.org/security/faq#lifespan )
Prenons firefox et firefox-esr chez Debian et Ubuntu :
https://security-tracker.debian.org/tracker/source-package/firefox
https://security-tracker.debian.org/tracker/source-package/firefox-esr
https://ubuntu.com/security/cves?q=&package=firefox&priority=&version=&status=
https://ubuntu.com/security/cves?q=&package=firefox-esr&priority=&version=&status=
[^] # Re: Flatpak
Posté par Benoît Sibaud (site web personnel) . En réponse au lien Ayé Firefox flatpak sous GNOME Wayland av. une version Debian récente a un rendu correct des polices. Évalué à 3. Dernière modification le 10 septembre 2023 à 09:15.
Des réponses sont données dans l'article mentionné dans plus haut https://linuxfr.org/users/antistress/liens/aye-firefox-flatpak-sous-gnome-wayland-av-une-version-debian-recente-a-un-rendu-correct-des-polices#comment-1935304
[^] # Re: CVE et CVSS ?
Posté par Benoît Sibaud (site web personnel) . En réponse au journal En sécurité informatique, que valent les identificateurs CVE et les évaluations CVSS ?. Évalué à 3. Dernière modification le 09 septembre 2023 à 09:02.
J'avais même oublié avoir été directement concerné comme upstream sur une CVE… cf https://www.cvedetails.com/cve/CVE-2002-1805/
[^] # Re: pourquoi _?
Posté par Benoît Sibaud (site web personnel) . En réponse à la dépêche 🪶 Les journaux LinuxFr.org les mieux notés d'août 2023. Évalué à 3.
Une erreur de balisage Markdown (cf le modèle qui indique que les pseudos/noms affichés sont prévus en italique https://linuxfr.org/wiki/modele-de-depeche-meilleurs-journaux ). Corrigé, merci.
# Liens
Posté par Benoît Sibaud (site web personnel) . En réponse au lien Un musée dédié à l’informatique en France ?. Évalué à 7.
« en France, il existe :
# CVE et CVSS ?
Posté par Benoît Sibaud (site web personnel) . En réponse au journal En sécurité informatique, que valent les identificateurs CVE et les évaluations CVSS ?. Évalué à 5.
Autant je comprends les défauts potentiels voire avérés des CVSS, car il y a des enjeux autour d'un seuil qualitatif et des intérêts contradictoires, autant je n'ai pas connaissance de beaucoup de soucis propres aux CVE.
Les CVE sont des identifiants, on les retrouve dans les alertes sécurité (de chaque distribution, éditeur, projet, etc.), dans le suivi de sécurité (comme https://security-tracker.debian.org/tracker/
https://launchpad.net/ubuntu-cve-tracker etc. ), dans les outils de sécurité (trivy, les dependabot/renovate, wazuh, etc.), dans les discussions autour de la sécurité (jusque dans les étiquettes sur linuxfr.org), etc. Bref c'est comme les identifiants SPDX des licences pour les inventaires logiciels (SBOM), les UUID pour identifier des volumes, etc., etc. Il y a des tas de CVE dont chacun se contrefiche (n'utilisant pas le matériel ou le logiciel ou la version concernée), s'accommode (aucun intérêt pour la sécurité, impact faible ou inexistant dans sa situation), doit faire avec (pas de solution connue/pas de correction fournie, exemple failles sur les "vieux" CPU). Potentiellement des CVE "abusives" (auquel cas il n'y aura pas vraiment de correction à prévoir).
Globalement les avantages me semblent très largement compenser le défaut de déclaration abusive (qui ferait perdre un peu de temps à certains), sauf à montrer de l'abus est massif.
Les CVSS sont censées aider à prioriser les corrections (de critique fin du monde à un gars touché au fond du Nebraska), mais au final, sauf impossibilité (blocage fonctionnel, incapacité à tester/risquer, changement de licence, etc.) j'essaie de déployer toutes les corrections disponibles (ce qui ne règle pas le cas des non disponibles). Mais c'est un point de vue d'adminsys, pas de spécialiste sécurité. Indirectement je me base sur les CVSS via les outils de sécurité que j'utilise (trivy ou les alertes sécurité reçues parleront de gravité critique/majeure/mineure en fonction du CVSS).
[^] # Re: il est aussi intéressant mais ce n'est pas ce lien là que je voulais partager
Posté par Benoît Sibaud (site web personnel) . En réponse au lien Que peut le design pour qu’on se mette (enfin) à lire les études ?. Évalué à 3.
Corrigé, merci.
[^] # Re: Eon plus supporté
Posté par Benoît Sibaud (site web personnel) . En réponse au message [Debian 11] Problème de mise à jour. Évalué à 5. Dernière modification le 04 septembre 2023 à 14:05.
les Release Notes (par ex https://www.debian.org/releases/stable/amd64/release-notes/ch-upgrading.en.html#upgradingpackages ) disent :
apt update && apt upgrade --without-new-pkgs && puis apt full-upgrade
# Implémentation en cours
Posté par Benoît Sibaud (site web personnel) . En réponse à l’entrée du suivi Suppression des données inutiles au service sur les comptes fermés. Évalué à 3 (+0/-0). Dernière modification le 16 septembre 2023 à 11:28.
Le dry-run actuel annonce :
(c'est bien pénible à écrire, assez propice à la boulette, et il reste la partie sans filet à écrire)
[^] # Re: En cours
Posté par Benoît Sibaud (site web personnel) . En réponse à l’entrée du suivi Dernière visite (affichage et stats). Évalué à 4 (+0/-0).
Fusionné et déployé.
Avant :
Après :
# Conservation et/ou expiration
Posté par Benoît Sibaud (site web personnel) . En réponse au lien Should data expire?. Évalué à 5.
Conservation et/ou expiration ?
[^] # Re: Pull request
Posté par Benoît Sibaud (site web personnel) . En réponse à l’entrée du suivi Les totoz en surimpression ne sont pas bien positionnées. Évalué à 3 (+0/-0).
Merci, déployée.