adresse IP de connexion courante ;
adresse IP de connexion précédente.
C'est plutôt adresse IP et date de connexion courante / précédente d'ailleurs (une donnée personnelle est plutôt IP+port+date d'ailleurs). Elles sont considérées comme nécessaires au service, et supprimées en cas de minimisation des données.
Par ailleurs on a ajouté la date de dernière visite.
Une prise USB-C ne garantit pas tout. Par exemple USB-C classique vs Thunderbolt https://en.m.wikipedia.org/wiki/Thunderbolt_(interface)
(Ou pourquoi ton portable à puce Intel couine au démarrage pour sous-alimentation quand tu branches l'alimentation sur de l'USB-C)
Il y a peu (début 2023), Ubuntu a annoncé Ubuntu Pro https://ubuntu.com/pro , qui implique notamment que moins de 10% des paquets sont couverts pour 5 ans en LTS (2,300 packages in the Ubuntu Main repo supported for 5 years) contre bien plus et plus longtemps en pro (_ 2,300 packages in the Ubuntu Main repo included in Infra-only, plus an additional 23,000+ packages in the Ubuntu Universe repository for 10 years_).
Debian couvre main et L'équipe en charge de la sécurité essaye de prendre en charge la distribution stable environ une année après que la version stable suivante a été publiée, sauf lorsqu'une autre distribution stable est publiée la même année. ( https://www.debian.org/security/faq#lifespan )
Prenons firefox et firefox-esr chez Debian et Ubuntu :
Autant je comprends les défauts potentiels voire avérés des CVSS, car il y a des enjeux autour d'un seuil qualitatif et des intérêts contradictoires, autant je n'ai pas connaissance de beaucoup de soucis propres aux CVE.
Les CVE sont des identifiants, on les retrouve dans les alertes sécurité (de chaque distribution, éditeur, projet, etc.), dans le suivi de sécurité (comme https://security-tracker.debian.org/tracker/ https://launchpad.net/ubuntu-cve-tracker etc. ), dans les outils de sécurité (trivy, les dependabot/renovate, wazuh, etc.), dans les discussions autour de la sécurité (jusque dans les étiquettes sur linuxfr.org), etc. Bref c'est comme les identifiants SPDX des licences pour les inventaires logiciels (SBOM), les UUID pour identifier des volumes, etc., etc. Il y a des tas de CVE dont chacun se contrefiche (n'utilisant pas le matériel ou le logiciel ou la version concernée), s'accommode (aucun intérêt pour la sécurité, impact faible ou inexistant dans sa situation), doit faire avec (pas de solution connue/pas de correction fournie, exemple failles sur les "vieux" CPU). Potentiellement des CVE "abusives" (auquel cas il n'y aura pas vraiment de correction à prévoir).
Globalement les avantages me semblent très largement compenser le défaut de déclaration abusive (qui ferait perdre un peu de temps à certains), sauf à montrer de l'abus est massif.
Les CVSS sont censées aider à prioriser les corrections (de critique fin du monde à un gars touché au fond du Nebraska), mais au final, sauf impossibilité (blocage fonctionnel, incapacité à tester/risquer, changement de licence, etc.) j'essaie de déployer toutes les corrections disponibles (ce qui ne règle pas le cas des non disponibles). Mais c'est un point de vue d'adminsys, pas de spécialiste sécurité. Indirectement je me base sur les CVSS via les outils de sécurité que j'utilise (trivy ou les alertes sécurité reçues parleront de gravité critique/majeure/mineure en fonction du CVSS).
1475 inactive accounts never used to purge
0 users to minimize
0 accounts to minimize because inactive and not seen since 1 year
0 active accounts not seen since 3 years to inactivate and minimize
1474 users without comments/contents to purge
1474 accounts to purge
1458 logs to purge
1474 friendly_id_slugs to purge
0 taggings to purge
0 oauth_access_grants for an oauth_application to purge
0 oauth_access_tokens for an oauth_application to purge
0 oauth_applications to purge
0 oauth_access_grants to purge
0 oauth_access_tokens to purge
0 deleted comments to minimize
0 comments from non-public contents to purge
0 taggings from non-public contents to purge
0 wiki_versions from non-public wiki_pages to purge
0 slugs from non-public wiki_pages to purge
0 non-public wiki_pages to purge
0 slugs from non-public trackers to purge
0 non-public trackers to purge
0 slugs from non-public posts to purge
0 non-public posts to purge
0 poll_answers to from non-public polls to purge
0 slugs from non-public polls to purge
0 non-public polls to purge
0 slugs from non-public bookmarks to purge
0 non-public bookmarks to purge
0 slugs from non-public diaries to purge
0 diaries converted into non-public news to purge
0 non-public diaries to purge
2 news_versions from non-public news to purge
1 paragraphs from non-public news to purge
1 links from non-public news to purge
1 slugs from non-public news to purge
1 non-public news to purge
1 non-public contents to purge
(c'est bien pénible à écrire, assez propice à la boulette, et il reste la partie sans filet à écrire)
Ça ferait un gros défi pour LinuxFr.org, vu qu'on a un lectorat présent un peu partout rendant la chose très théoriquement possible. Par contre une "grosse" base de données à transmettre est un souci, il faudrait ne transmettre que des mises à jour depuis la dernière rotation. Ça ne faciliterait pas les sauvegardes non plus (bien qu'une large part des données soit largement réparties alors). Ni l'accès aux logs (pour déboguer ou sur demande des autorités). Ni la responsabilité RGPD plus largement distribuée (et la purge d'un compte compliquée, en moins d'une rotation). Ni la multiplication des lois à respecter, sauf à n'avoir des points de présence que sur le territoire français continental ou ultramarin. Ni la coordination de tous les acteurs techniques nécessaires. Ni la longueur de mon commentaire.
Hypothèse : du jargonnage en français (*) qui fait qu'on y trouve souvent on/off, en plus de un/zéro, I/O, 1/0 ou éteint/allumé. Et statistiquement, cela ressort dans les traductions automatiques.
(*) par exemple on pourrait trouver Gio ou GiB, noyau ou kernel, etc. dans un texte en français
[^] # Re: petit oubli dans les données personnelles
Posté par Benoît Sibaud (site web personnel) . En réponse au journal LinuxFr.org : première quinzaine de septembre 2023. Évalué à 4.
C'est plutôt adresse IP et date de connexion courante / précédente d'ailleurs (une donnée personnelle est plutôt IP+port+date d'ailleurs). Elles sont considérées comme nécessaires au service, et supprimées en cas de minimisation des données.
Par ailleurs on a ajouté la date de dernière visite.
[^] # Re: il n'y a pas que les téléphones dans la vie
Posté par Benoît Sibaud (site web personnel) . En réponse au lien iPhone en USB-C : l’Europe a enfin gagné son bras de fer face à Apple . Évalué à 5.
Une prise USB-C ne garantit pas tout. Par exemple USB-C classique vs Thunderbolt
https://en.m.wikipedia.org/wiki/Thunderbolt_(interface)
(Ou pourquoi ton portable à puce Intel couine au démarrage pour sous-alimentation quand tu branches l'alimentation sur de l'USB-C)
[^] # Re: Le lien est incorrect
Posté par Benoît Sibaud (site web personnel) . En réponse au lien Surveillance des prix chez les grands distributeurs. Évalué à 4.
Corrigé, merci. (Sinon le lien parle de l'Autriche)
# TODO aide / doc
Posté par Benoît Sibaud (site web personnel) . En réponse à l’entrée du suivi Suppression des données inutiles au service sur les comptes fermés. Évalué à 3 (+0/-0). Dernière modification le 17 septembre 2023 à 16:42.
oauth_applications
,oauth_access_grants
etoauth_access_tokens
news_versions
,wiki_versions
ettaggings
last_sign_in_at
etcurrent_sign_in_at
[^] # Re: Explication d'avant quand c'était mieux (vraiment ?)
Posté par Benoît Sibaud (site web personnel) . En réponse au journal Pourquoi la page 404 ne peut être trouvée. Évalué à 6.
Avant chez Peugeot, la 404 existait. Mais c'était avant. Et pareil chez Martin, plus de 404 non plus. Fini.
[^] # Re: Lien tronqué
Posté par Benoît Sibaud (site web personnel) . En réponse au lien Video codecs: Adding AV1 stateless video decoder support to Linux. Évalué à 3.
Corrigé, merci.
# Lien direct
Posté par Benoît Sibaud (site web personnel) . En réponse au lien Partage du Web entre GAFAM : illustration avec l'accord sur le moteur de recherche Safari par défaut. Évalué à 3.
https://9to5mac.com/2021/08/25/analysts-google-to-pay-apple-15-billion-to-remain-default-safari-search-engine-in-2021/
[^] # Re: De l'obligation de mettre à jour son OS et son matériel
Posté par Benoît Sibaud (site web personnel) . En réponse au lien Linux becoming a Windows / OSX clone. Évalué à 5.
Il y a peu (début 2023), Ubuntu a annoncé Ubuntu Pro https://ubuntu.com/pro , qui implique notamment que moins de 10% des paquets sont couverts pour 5 ans en LTS (2,300 packages in the Ubuntu Main repo supported for 5 years) contre bien plus et plus longtemps en pro (_ 2,300 packages in the Ubuntu Main repo included in Infra-only, plus an additional 23,000+ packages in the Ubuntu Universe repository for 10 years_).
Debian couvre main et L'équipe en charge de la sécurité essaye de prendre en charge la distribution stable environ une année après que la version stable suivante a été publiée, sauf lorsqu'une autre distribution stable est publiée la même année. ( https://www.debian.org/security/faq#lifespan )
Prenons firefox et firefox-esr chez Debian et Ubuntu :
https://security-tracker.debian.org/tracker/source-package/firefox
https://security-tracker.debian.org/tracker/source-package/firefox-esr
https://ubuntu.com/security/cves?q=&package=firefox&priority=&version=&status=
https://ubuntu.com/security/cves?q=&package=firefox-esr&priority=&version=&status=
[^] # Re: Flatpak
Posté par Benoît Sibaud (site web personnel) . En réponse au lien Ayé Firefox flatpak sous GNOME Wayland av. une version Debian récente a un rendu correct des polices. Évalué à 3. Dernière modification le 10 septembre 2023 à 09:15.
Des réponses sont données dans l'article mentionné dans plus haut https://linuxfr.org/users/antistress/liens/aye-firefox-flatpak-sous-gnome-wayland-av-une-version-debian-recente-a-un-rendu-correct-des-polices#comment-1935304
[^] # Re: CVE et CVSS ?
Posté par Benoît Sibaud (site web personnel) . En réponse au journal En sécurité informatique, que valent les identificateurs CVE et les évaluations CVSS ?. Évalué à 3. Dernière modification le 09 septembre 2023 à 09:02.
J'avais même oublié avoir été directement concerné comme upstream sur une CVE… cf https://www.cvedetails.com/cve/CVE-2002-1805/
[^] # Re: pourquoi _?
Posté par Benoît Sibaud (site web personnel) . En réponse à la dépêche 🪶 Les journaux LinuxFr.org les mieux notés d'août 2023. Évalué à 3.
Une erreur de balisage Markdown (cf le modèle qui indique que les pseudos/noms affichés sont prévus en italique https://linuxfr.org/wiki/modele-de-depeche-meilleurs-journaux ). Corrigé, merci.
# Liens
Posté par Benoît Sibaud (site web personnel) . En réponse au lien Un musée dédié à l’informatique en France ?. Évalué à 7.
« en France, il existe :
# CVE et CVSS ?
Posté par Benoît Sibaud (site web personnel) . En réponse au journal En sécurité informatique, que valent les identificateurs CVE et les évaluations CVSS ?. Évalué à 5.
Autant je comprends les défauts potentiels voire avérés des CVSS, car il y a des enjeux autour d'un seuil qualitatif et des intérêts contradictoires, autant je n'ai pas connaissance de beaucoup de soucis propres aux CVE.
Les CVE sont des identifiants, on les retrouve dans les alertes sécurité (de chaque distribution, éditeur, projet, etc.), dans le suivi de sécurité (comme https://security-tracker.debian.org/tracker/
https://launchpad.net/ubuntu-cve-tracker etc. ), dans les outils de sécurité (trivy, les dependabot/renovate, wazuh, etc.), dans les discussions autour de la sécurité (jusque dans les étiquettes sur linuxfr.org), etc. Bref c'est comme les identifiants SPDX des licences pour les inventaires logiciels (SBOM), les UUID pour identifier des volumes, etc., etc. Il y a des tas de CVE dont chacun se contrefiche (n'utilisant pas le matériel ou le logiciel ou la version concernée), s'accommode (aucun intérêt pour la sécurité, impact faible ou inexistant dans sa situation), doit faire avec (pas de solution connue/pas de correction fournie, exemple failles sur les "vieux" CPU). Potentiellement des CVE "abusives" (auquel cas il n'y aura pas vraiment de correction à prévoir).
Globalement les avantages me semblent très largement compenser le défaut de déclaration abusive (qui ferait perdre un peu de temps à certains), sauf à montrer de l'abus est massif.
Les CVSS sont censées aider à prioriser les corrections (de critique fin du monde à un gars touché au fond du Nebraska), mais au final, sauf impossibilité (blocage fonctionnel, incapacité à tester/risquer, changement de licence, etc.) j'essaie de déployer toutes les corrections disponibles (ce qui ne règle pas le cas des non disponibles). Mais c'est un point de vue d'adminsys, pas de spécialiste sécurité. Indirectement je me base sur les CVSS via les outils de sécurité que j'utilise (trivy ou les alertes sécurité reçues parleront de gravité critique/majeure/mineure en fonction du CVSS).
[^] # Re: il est aussi intéressant mais ce n'est pas ce lien là que je voulais partager
Posté par Benoît Sibaud (site web personnel) . En réponse au lien Que peut le design pour qu’on se mette (enfin) à lire les études ?. Évalué à 3.
Corrigé, merci.
[^] # Re: Eon plus supporté
Posté par Benoît Sibaud (site web personnel) . En réponse au message [Debian 11] Problème de mise à jour. Évalué à 5. Dernière modification le 04 septembre 2023 à 14:05.
les Release Notes (par ex https://www.debian.org/releases/stable/amd64/release-notes/ch-upgrading.en.html#upgradingpackages ) disent :
apt update && apt upgrade --without-new-pkgs && puis apt full-upgrade
# Implémentation en cours
Posté par Benoît Sibaud (site web personnel) . En réponse à l’entrée du suivi Suppression des données inutiles au service sur les comptes fermés. Évalué à 3 (+0/-0). Dernière modification le 16 septembre 2023 à 11:28.
Le dry-run actuel annonce :
(c'est bien pénible à écrire, assez propice à la boulette, et il reste la partie sans filet à écrire)
[^] # Re: En cours
Posté par Benoît Sibaud (site web personnel) . En réponse à l’entrée du suivi Dernière visite (affichage et stats). Évalué à 4 (+0/-0).
Fusionné et déployé.
Avant :
Après :
# Conservation et/ou expiration
Posté par Benoît Sibaud (site web personnel) . En réponse au lien Should data expire?. Évalué à 5.
Conservation et/ou expiration ?
[^] # Re: Pull request
Posté par Benoît Sibaud (site web personnel) . En réponse à l’entrée du suivi Les totoz en surimpression ne sont pas bien positionnées. Évalué à 3 (+0/-0).
Merci, déployée.
# En cours
Posté par Benoît Sibaud (site web personnel) . En réponse à l’entrée du suivi Dernière visite (affichage et stats). Évalué à 3 (+0/-0).
MR https://github.com/linuxfrorg/linuxfr.org/pull/374 comprenant en plus une mise à jour de l'aide, déjà visible sur le site.
[^] # Re: Un autre site solaire
Posté par Benoît Sibaud (site web personnel) . En réponse au lien Solar Protocol. Évalué à 8.
Ça ferait un gros défi pour LinuxFr.org, vu qu'on a un lectorat présent un peu partout rendant la chose très théoriquement possible. Par contre une "grosse" base de données à transmettre est un souci, il faudrait ne transmettre que des mises à jour depuis la dernière rotation. Ça ne faciliterait pas les sauvegardes non plus (bien qu'une large part des données soit largement réparties alors). Ni l'accès aux logs (pour déboguer ou sur demande des autorités). Ni la responsabilité RGPD plus largement distribuée (et la purge d'un compte compliquée, en moins d'une rotation). Ni la multiplication des lois à respecter, sauf à n'avoir des points de présence que sur le territoire français continental ou ultramarin. Ni la coordination de tous les acteurs techniques nécessaires. Ni la longueur de mon commentaire.
[^] # Re: Chez moi ça marche
Posté par Benoît Sibaud (site web personnel) . En réponse au journal Du format et de la taille des images. Évalué à 5. Dernière modification le 01 septembre 2023 à 18:51.
GIF permet de discuter longuement de comment on le prononce, contrairement à d'autres formats modernes.
[^] # Re: La question clé : Quel est le degré de tolérance aux erreurs ?
Posté par Benoît Sibaud (site web personnel) . En réponse au journal Les dangers des traductions et résumés automatiques par IA : un exemple. Évalué à 3.
Et la sur- ou sous-interprétation des propos de façon générale.
Exemple de sur-interprétation d'une IA par une autre : https://www.radiofrance.fr/franceinter/une-intelligence-artificielle-imitant-macron-et-de-gaulle-interdite-sur-la-plateforme-twitch-5490581
[^] # Re: Canard PC Hardware spécial jeux
Posté par Benoît Sibaud (site web personnel) . En réponse à la dépêche 📰 Revue de presse — juillet 2023. Évalué à 3.
Corrigé, merci.
[^] # Re: La question clé : Quel est le degré de tolérance aux erreurs ?
Posté par Benoît Sibaud (site web personnel) . En réponse au journal Les dangers des traductions et résumés automatiques par IA : un exemple. Évalué à 4. Dernière modification le 31 août 2023 à 07:40.
Hypothèse : du jargonnage en français (*) qui fait qu'on y trouve souvent on/off, en plus de un/zéro, I/O, 1/0 ou éteint/allumé. Et statistiquement, cela ressort dans les traductions automatiques.
(*) par exemple on pourrait trouver Gio ou GiB, noyau ou kernel, etc. dans un texte en français