Benoît Sibaud a écrit 9684 commentaires

La dernière sauvegarde hors site du site avait moins de 48h. On a deux sites distants de sauvegardes, des sauvegardes journalières et des hebdomadaires, ce n'était pas vraiment ça le souci...

Tant que personne ne code templin' le module noyau Linux pour templeet, ça ne devrait pas arriver.

La saturation d'un système de fichiers dans un vserver peut bloquer le Mysql concerné, à la rigueur ralentir jusqu'à l'insoutenable tout le vserver, à l'extrême limite ralentir l'hôte, mais pas provoquer un plantage noyau a priori. Bref le souci RAID et la saturation locale d'un système de fichiers me semblent décorrélés. Ensuite sur le plantage noyau, ça va être difficile d'avoir plus d'infos autrement que par divination.

Parce que les pôles de compétitivité sont régionaux.
« System@tic Paris-Région est un pôle de compétitivité d'Île-de-France créé en 2005 et consacré aux systèmes complexes. »
http://fr.wikipedia.org/wiki/System%40tic
http://www.systematic-paris-region.org/fr/index.html

Si les données sont chiffrées sur le portable (et donc qu'il faut un mot de passe fourni au clavier, par clé usb, par ..., via une zone d'amorce accessible), le méchant cracker n'a théoriquement pas de possibilité d'accéder aux données sauf à casser le chiffrement. Il peut par contre faire ce qu'il veut du portable matériellement parlant (le réinstaller, s'en faire un marche-pied ou une cale d'armoire, etc.). Il peut bien trifouiller dans la zone d'amorce autant qu'il veut, ça ne lui donnera pas le mot de passe.

Et avoir un composant matériel dans l'histoire ne change rien. Éventuellement il pourrait mettre un cheval de Troie dans la zone d'amorce et rendre le portable (ou plus probablement faire ça en douce à l'insu du propriétaire sans vraiment « voler » le portable), dans le but de récupérer le mot de passe lors de sa prochaine saisie. En même temps si on chiffre son disque, on essaie ensuite de faire attention à ne pas laisser n'importe où son portable.

> Mais pourquoi diable le mec de TF1 viré à cause de son mail n'attaque-t-il pas sa député pour violation de la correspondance lui ayant couté son poste, vraiment?

à cause de l'immunité parlementaire en France ? (à tort ou à raison)
http://fr.wikipedia.org/wiki/Immunité_parlementaire_en_France

Voir http://fr.wikipedia.org/wiki/Expropriation_pour_cause_d%27ut(...)
ou
http://www.ggl-exproexpress.fr/

> (d'ailleurs à quand un système de paiement aussi anonyme que l'argent liquide pour acheter sur internet ?)

Le système serait en tout cas bien pratique pour blanchir de l'argent. Tout dépend si on veut une système anonyme pour tous les acteurs (État, acheteur, vendeur, intermédiaires, ...) ou seulement certains (par exemple l'État peut toujours tracer, mais le vendeur et les intermédiaires ne savent rien sur le acheteur, tout en étant à peu prêt sûr qu'il peut payer).

Et surtout perso je garde mon Fit-PC 1 avec deux Ethernet qui me fait une passerelle internet qui me va très bien.

La dernière fois que j'ai eu ce souci, c'était dû à une différence du schéma SQL dans sqlite entre la version de lightning que je venais de déployer et la version d'iceowl-extension (le lightning chez Debian) que j'avais. Et j'ai sauvagement corrigé à la main au niveau des tables SQL...

J'ai quelques patches gruik pour contourner des soucis, genre il ne veut pas ajouter un événement si tu n'es pas destinataire de l'envoi (genre si l'envoi est fait sur une liste de diffusion, il ne sait pas que tu es abonné...), etc.

Concernant le referer, la possibilité de laisser passer sans était une demande des moules, car les clients dédiés à la tribune n'avaient pas la fonctionnalité. Le souci est que le test obligatoire du referer aurait dû être imposé par la suite (après avoir laissé un temps raisonnables aux clients de tribune de se mettre à jour). En attendant les navigateurs web étaient protégés, mais pas les clients de tribune qui n'avaient pas activé le renseignement du referer.

D'un autre côté le nonce traite le problème différemment et peut servir dans tous les formulaires pour éviter tout envoi direct vers la soumission sans passer le formulaire (par contre il faut modifier les clients dédiés, comme les clients de tribune, les clients de soumission de dépêches, etc.). Le test du nonce côté serveur est beaucoup plus strict que le test de referer qui est juste un champ renvoyé par le client (potentiellement modifiable).

Concernant la remontée de bugs, je répète ce n'est pas en ne le remontant pas qu'il sera corrigé (et merci pour ceux remontés). Ensuite une fois remonté, la correction peut être bien plus compliquée que l'utilisateur ne le pense, et on a largement plus d'entrées à traiter que de gens motivés pour le faire.

> J'ai compris il y a bien longtemps que les évolutions ici n'avaient lieu que lorsqu'un événement dérange les administrateurs, ou leur donne une bonne raison de censurer.

C'est effarant de mauvaise foi, de non-reconnaissance du boulot fait, et par ailleurs et surtout très contre-productif. Mais bref passons, il y aura toujours des gens pour ne pas savoir discuter...

Concernant tes journaux, ta page https://linuxfr.org/~see/ (utilisateur See) en dénombre 2. Après les multis...

> Je ne voudrais pas prendre parti, mais j'ai du mal à comprendre ce qu'apporterait ce nonce par rapport à la bête vérification du referer.

Très simple. La faille passe par le navigateur de la victime qui quasiment tout le temps envoie au serveur LinuxFr.org un REFERER (sauf privoxy, proxy, etc.), bref ça suffisait à bloquer la très grande partie des cas. Et la présence d'un bon REFERER aurait pu être systématique si on n'avait pas suivi les demandes des moules à l'époque.

Quand à la « politique sécuritaire » (sic), on en reparlera quand tu sauras faire la différence entre trouver un bug et le remonter pour correction, et trouver un bug et l'exploiter sans prévenir jusqu'à ce que ce tu te fasses taper sur les doigts. Clairement, il y a plus utile à faire pour le site que devoir intervenir sur les gamineries d'un type qui contribue très peu en contenus (pas de dépêches et juste 2 journaux) : le système de suivi contient suffisamment de tâches à prendre, y a suffisamment d'actus à rédiger en dépêches, le site est en cours de réécriture en RoR, etc. bref j'aimerai autant utiliser mon temps dispo pour LinuxFr.org plus intelligemment.

Avait été laissé par rapport à quoi ? À quand ? La dernière modification sur le sujet date du 5 novembre 2005 (message de commit « Check referer when posting on the board »).

On avait juste laissé la possibilité de passer si le champ REFERER était absent (ou si le champ validait une regexp), parce qu'à l'époque des moules avaient râlé (comme d'hab') que ça les gênait. Depuis aujourd'hui il faut absolument un champ REFERER qui valide une regexp (à cause d'un boulet, qui a perdu ses accès du coup).

Pour bloquer les boulets à venir, il faudrait ajouter un « nonce » ( http://en.wikipedia.org/wiki/Cryptographic_nonce ) et cela casserait tous les clients hors navigateur pour la tribune.

On cherche encore pourquoi certains ont répondu « inseparables » sur l'entretien n°11. Je serais curieux de connaître le cheminement intellectuel qui amène à ce mot.

Attends d'être contacté. On attend la fin du concours pour connaître la liste de tous les gagnants et répartir les lots.

On a un classement du plus grand nombre de bonnes réponses oui, qui sera publié à la fin.

Déjà la modestie avec un pseudo Kaiszer, c'est original, mais bon finalement est-ce qu'il va Kaiszer oser ?

Ce message est censé suggérer aux personnes ayant un compte de s'identifier avant de proposer une dépêche. Il n'est pas censé dire qu'il est nécessaire d'avoir un compte et de s'identifier. Bref il est mal formulé.

Les deux drapeaux se.png et sv.png sont identiques et correspondent au drapeau de la Suède. Le code langue pour le suèdois est sv (Liste_des_codes_ISO_639-1) pas se (« Same du Nord »). Le se.png est inutile et n'est utilisé nul part sur le site.

Déclarer un "SSLCertificateChainFile /etc/apache2/ssl.crt/CAcert_chain.pem" ? C'est déjà le cas.

C'est bien ce que je pensais. On a dit que c'était une réponse valable aussi. Donc tu avais tout juste sur les 3 premiers jours du concours.

> Le premier a fait un dessin, le second une « vraie » lettre, et c’est le premier qui est retenu comme bonne réponse ?

C'était pas un choix, plutôt un oubli/erreur. Voir la partie « Mise à jour » de la dépêche. Merci d'avoir remonté ce point.

quelle erreur ?

Oui sinon on va finir par répondre que celui qui a l'accès root mysql et l'accès root au système de fichiers peut faire ce qu'il veut.

Je confirme que vous aviez tous les deux toutes les bonnes réponses.