Benoît Sibaud a écrit 9300 commentaires

Cf https://github.com/NVIDIA/open-gpu-kernel-modules/discussions/157

GSP GPU System Processor
RM Resource Manager

https://github.com/nono/french-rails/pull/4

Dépôt forké en attendant. Et https://github.com/linuxfrorg/french-rails/pull/1 fusionnée.

https://github.com/linuxfrorg/html-pipeline-linuxfr/pull/6

Fusionnée.

Corrigé, merci.

Logs d'accès :

408 [19/Sep/2023:14:41:xx +0200]
405 [19/Sep/2023:14:42:xx +0200]
302 [19/Sep/2023:14:43:xx +0200]

Tous des HTTP 2xx ou des 3xx, hormis un 404 parfaitement justifié.

Bref faut-il plus ou moins cacher le trafic web ? (voir Devoxx 2023)

Ou bien chercher une référence au 14h42, l'émission de Jean Marc Manach sur Next INpact qui va changer de main au 25 septembre (Next INpact pas JMM, suivez un peu) ?

Cf https://linuxfr.org/suivi/suppression-des-donnees-inutiles-au-service-sur-les-comptes-fermes#comment-1936231

plus prise en compte de la discussion sur la visibilité des dates/timestamps d'un compte. Cf https://linuxfr.org/users/oumph/journaux/linuxfr-org-premiere-quinzaine-de-septembre-2023#comment-1936041

Proposition de MR https://github.com/linuxfrorg/linuxfr.org/pull/376

• les mises à jour de doc mentionnées précédemment
• l'équipe d'administration n'a plus qu'une vue floutée de la dernière visite (moins d'une mois, moins d'un an, de trois ans, jamais), ce qui correspond aux seuils utiles (pour envisager retirer une habilitation ou pour la minimisation des données à caractère personnel)
• on donne plus d'info à la personne liée au compte sur qui voit quoi
• on n'affiche plus la date de dernière action du compte qui est de toute façon inutile
• la personne liée au compte se fiche de sa dernière visite vu que c'est maintenant si elle la voit
• la personne liée au compte est la seule intéressée par la vue sur la date de dernière connexion (principalement pour voir si une connexion inattendue est survenue)
• la modération voit les actions courantes et passées liées à la modération

Effet indirect côté Redis il faudrait aussi nettoyer les éventuels entrées sans expiration :

• les tribunes de dépêches purgées boards/chans/news/<news_id>
• les messages dans les tribunes purgées et les messages dans les tribunes par des comptes purgés boards/msg/<msg_id> et boards/id
• les conversions journal->dépêche convert/<news_id> pour des journaux ou dépêches purgées
• les nombres de hits sur les liens de dépêches links/<link_id>/hits et links/<link_id>/url
• les votes de la modération sur les dépêches purgées news/<news_id>/<vote> ou news/urgent

(en attendant on compte sur le script de vérification du contenu de redis pour se plaindre a posteriori)

Un outil de communication pas si "nouveau", on s'en servait ponctuellement sur les événements type POSS, puis on a commencé à l'utiliser pour discuter au sein du conseil d'administration de l'asso (pour les polos notamment), puis ensuite pour les tâches d'admin. sys. et de développement.
Pas vraiment pour la modération ou l'admin web du site.

LinuxFr n'a pas de stand ou de bénévoles sur place (mais on était dans les échanges).

https://github.com/linuxfrorg/linuxfr.org/pull/375

La Fête de l'Huma est portée par le quotidien L'Humanité, à Saint-Denis (cf mentions légales. Par ailleurs, il semble avoir des soucis financiers, notamment suite à ça : « En août 2023, les locaux de la rédaction du quotidien sont cambriolés. Une cinquantaine d’ordinateurs sont volés ainsi que du matériel vidéo et des téléphones portables. » (source)

Sinon les 50€ sont à comparer au prix d'un festival type Rock en Seine ou Solidays ou … en Île de France (pour ceux qui n'iraient que pour les concerts).

(article de La Croix Cette année, les billets achetés à l’avance coûtent 45 € et 60 € pour un billet de dernière minute pour trois jours de festival. Un prix bien en deçà des autres grands festivals : 124 € aux Vieilles Charrues et 175 € à Rock en Seine. )

J'imagine aussi que les personnes militantes payent bien moins chers en fait (via des émanations du parti communiste ou via le journal). Ceci ne comprend pas forcément les libristes juste venus tenir un stand.

adresse IP de connexion courante ;
adresse IP de connexion précédente.

C'est plutôt adresse IP et date de connexion courante / précédente d'ailleurs (une donnée personnelle est plutôt IP+port+date d'ailleurs). Elles sont considérées comme nécessaires au service, et supprimées en cas de minimisation des données.

Par ailleurs on a ajouté la date de dernière visite.

Une prise USB-C ne garantit pas tout. Par exemple USB-C classique vs Thunderbolt
https://en.m.wikipedia.org/wiki/Thunderbolt_(interface)
(Ou pourquoi ton portable à puce Intel couine au démarrage pour sous-alimentation quand tu branches l'alimentation sur de l'USB-C)

Corrigé, merci. (Sinon le lien parle de l'Autriche)

• mentionner la purge des comptes n'ayant jamais eu aucune connexion après une durée
• mentionner la suppression des oauth_applications, oauth_access_grants et oauth_access_tokens
• clarifier la situation des news_versions, wiki_versions et taggings
• le nettoyage des last_sign_in_at et current_sign_in_at

Avant chez Peugeot, la 404 existait. Mais c'était avant. Et pareil chez Martin, plus de 404 non plus. Fini.

Corrigé, merci.

https://9to5mac.com/2021/08/25/analysts-google-to-pay-apple-15-billion-to-remain-default-safari-search-engine-in-2021/

Il y a peu (début 2023), Ubuntu a annoncé Ubuntu Pro https://ubuntu.com/pro , qui implique notamment que moins de 10% des paquets sont couverts pour 5 ans en LTS (2,300 packages in the Ubuntu Main repo supported for 5 years) contre bien plus et plus longtemps en pro (_ 2,300 packages in the Ubuntu Main repo included in Infra-only, plus an additional 23,000+ packages in the Ubuntu Universe repository for 10 years_).

Debian couvre main et L'équipe en charge de la sécurité essaye de prendre en charge la distribution stable environ une année après que la version stable suivante a été publiée, sauf lorsqu'une autre distribution stable est publiée la même année. ( https://www.debian.org/security/faq#lifespan )

Prenons firefox et firefox-esr chez Debian et Ubuntu :

https://security-tracker.debian.org/tracker/source-package/firefox
https://security-tracker.debian.org/tracker/source-package/firefox-esr
https://ubuntu.com/security/cves?q=&package=firefox&priority=&version=&status=
https://ubuntu.com/security/cves?q=&package=firefox-esr&priority=&version=&status=

Des réponses sont données dans l'article mentionné dans plus haut https://linuxfr.org/users/antistress/liens/aye-firefox-flatpak-sous-gnome-wayland-av-une-version-debian-recente-a-un-rendu-correct-des-polices#comment-1935304

J'avais même oublié avoir été directement concerné comme upstream sur une CVE… cf https://www.cvedetails.com/cve/CVE-2002-1805/

Une erreur de balisage Markdown (cf le modèle qui indique que les pseudos/noms affichés sont prévus en italique https://linuxfr.org/wiki/modele-de-depeche-meilleurs-journaux ). Corrigé, merci.

• https://linuxfr.org/users/devnewton/liens/un-musee-de-l-informatique-aneanti-en-ukraine
• https://linuxfr.org/users/antistress/liens/deux-superordinateurs-du-temps-des-dinosaures-se-devoilent-au-musee-bolo-en-suisse-letemps-ch
• https://linuxfr.org/news/le-micral-n-au-musee-des-arts-et-metiers-le-10-decembre
• https://fr.wikipedia.org/wiki/Mus%C3%A9e_de_l%27informatique_%28La_D%C3%A9fense%29 (fermé en 2010)
• https://fr.wikipedia.org/wiki/Mus%C3%A9e_de_l%27informatique

« en France, il existe :

• à la Grande Arche de la Défense, le Musée de l'Informatique actuellement fermé ;
• à Rouen, le Musée BIOS (Biens Informatique Obsolètes Secourus) ;
• à Paris, l'association WDA,
• à Grenoble, l'aconit se consacre à la conservation et la restauration d'ordinateurs anciens, »

Autant je comprends les défauts potentiels voire avérés des CVSS, car il y a des enjeux autour d'un seuil qualitatif et des intérêts contradictoires, autant je n'ai pas connaissance de beaucoup de soucis propres aux CVE.

Les CVE sont des identifiants, on les retrouve dans les alertes sécurité (de chaque distribution, éditeur, projet, etc.), dans le suivi de sécurité (comme https://security-tracker.debian.org/tracker/
https://launchpad.net/ubuntu-cve-tracker etc. ), dans les outils de sécurité (trivy, les dependabot/renovate, wazuh, etc.), dans les discussions autour de la sécurité (jusque dans les étiquettes sur linuxfr.org), etc. Bref c'est comme les identifiants SPDX des licences pour les inventaires logiciels (SBOM), les UUID pour identifier des volumes, etc., etc. Il y a des tas de CVE dont chacun se contrefiche (n'utilisant pas le matériel ou le logiciel ou la version concernée), s'accommode (aucun intérêt pour la sécurité, impact faible ou inexistant dans sa situation), doit faire avec (pas de solution connue/pas de correction fournie, exemple failles sur les "vieux" CPU). Potentiellement des CVE "abusives" (auquel cas il n'y aura pas vraiment de correction à prévoir).
Globalement les avantages me semblent très largement compenser le défaut de déclaration abusive (qui ferait perdre un peu de temps à certains), sauf à montrer de l'abus est massif.

Les CVSS sont censées aider à prioriser les corrections (de critique fin du monde à un gars touché au fond du Nebraska), mais au final, sauf impossibilité (blocage fonctionnel, incapacité à tester/risquer, changement de licence, etc.) j'essaie de déployer toutes les corrections disponibles (ce qui ne règle pas le cas des non disponibles). Mais c'est un point de vue d'adminsys, pas de spécialiste sécurité. Indirectement je me base sur les CVSS via les outils de sécurité que j'utilise (trivy ou les alertes sécurité reçues parleront de gravité critique/majeure/mineure en fonction du CVSS).

Corrigé, merci.