Au passage, une alerte rouge très foncé écarlate vermillon sang sur la version propriétaire Cisco Jabber (cricité 9,9 sur 10)…
CVE-2020-26085 [Score CVSS v3 : 9.9] : une vulnérabilité due à une validation incorrecte du contenu des messages de type XMPP a été corrigée. Un attaquant distant et non-authentifié pourrait exploiter cette vulnérabilité en envoyant des messages XMPP spécialement conçus au logiciel. Une exploitation réussie pourrait permettre à l'attaquant d'exécuter des programmes arbitraires sur le système ciblé avec les droits de Cisco Jabber.
d'abord c'est agréable de voir des propositions d'évolution,, merci
ceux qui font font plus que ceux qui commentent juste
malgré tout, ceci étant dit, par ailleurs, nonobstant, cependant, est-ce que ça ne cache pas juste la misère sous le tapis : certes c'est mieux pour les nouveaux, mais c'est probablement moins bien pour les anciens qui ont contribué aux dépêches cachées sous le tapis ? Le souci de fond, c'est qu'il y a des dépêches qui végètent en rédaction pour de bonnes (sortie d'un logiciel différé, auteur initial porté disparu et personne ne l'a encore remplacé, etc.) ou de mauvaises raisons (écriture en cours d'un mémoire de 800 pages exhaustifs sur un sujet, oh un papillon si je commençais une autre dépêche sur un autre sujet, etc.)
comment finaliser les dépêches qui traînent en rédaction ? Plus d'humain avec plus d'animateurs de rédaction pour veiller à l'état de fraîcheur des dépêches ? Plus de technique pour aider avec des relances/rappels/alertes ?
ce sont les policiers qui nous protègent contre les black blocks, les terroristes et des délits quotidiens, et pas les journalistes.
Oui les infirmiers, les pianistes et les garagistes n'arrêtent pas les méchants. Par contre les journalistes ne sont pas non plus sans effet (via l'information/la mise en lumière) sur les délits financiers, de harcèlement, de corruption, de diffusion de fausse nouvelle, etc., bref sur un certain nombre de délits quotidiens (ie. il n'y a pas que les délits contre les biens et personnes qui passent sur les chaînes info). Les journalistes sont aussi censées être le 4e pouvoir (avec les problématiques d'éthique/déontologie, de propagande, secret des sources, censure, contrôle des médias, biais comme pour la dernière loi sur le droit d'auteur, etc.). Et je passe mon tour dans la discussion sur la violence entre forces de l'ordre/la paix et/ou manifestants/casseurs.
tensions dans la société qui pourraient orienter des dons vers les journalistes
Lors de l'écriture de la dépêche cette phrase faisait principalement référence à la décriée Proposition de loi relative à la sécurité globale d'une part, et aux fausses nouvelles et complotismes divers et variés d'autre part.
qui héberge encore son email personnel sur un postfix / sendmail / exim ? Peine perdue, ça va être bourré de spam et vous allez être blacklisté par de nombreux fournisseurs. De manière générale, l'auto-hébergement est malheureusement devenu d'une complexité imbitable pour le commun des mortels.
C'est un peu toujours le même problème : c'est compliqué de ne pas faire comme la majorité, c'est long/chiant/pénible/moins pratique de vouloir du logiciel libre/des pilotes libres/du web sans code exécuté chez moi mais contrôlé par quelqu'un d'autre/pas de DRM (ni de Netflix)/etc. De temps en temps y a un type qui se fait chier pour que les autres en profitent ensuite. Parfois il réussit. On n'entend pas forcément parler de ceux qui échouent. Et on va se moquer souvent de ceux qui essaient. Le premier qui voudra lancer GNU, le premier qui voudra un BIOS libre, le premier qui voudra un Java libre, du matériel libre, une encyclopédie libre, une carte libre, etc.
Et par ailleurs on ne peut de toute façon pas livrer tous les combats non plus, donc on compte sur les autres pour le faire…
Le gros bouton ON/OFF accessible est une fonctionnalité, pas une faille, si il a été mis là c'est probablement pour une bonne raison
https://en.wiktionary.org/wiki/molly-guard
(traduction rapide) à l'origine, une protection improvisée en plexiglas sur le Gros Bouton Rouge du gros serveur IBM 4341 après que la fillette d'un programmeur, nommée Molly, ait appuyé dessus deux fois en une journée.
ou encore le paquet molly-guard qui oblige à donner le nom d'une machine avant d'avoir le droit de la redémarrer (pour éviter de se tromper de fenêtre si on a des SSH ouverts sur 42 serveurs par exemple) :
$ apt-cache show molly-guard
Package: molly-guard
(...)
The package installs a shell script that overrides the existing
shutdown/reboot/halt/poweroff/coldreboot/pm-hibernate/pm-suspend* commands
and first runs a set of scripts, which all have to exit successfully,
before molly-guard invokes the real command.
Le système peut dire : je n'accepte que les périphériques USB portant tel ou tel identifiant, ou de tel constructeur, ou sur tel port USB. Par contre quand ton matériel ne marche plus, il faut espérer avoir une connexion via SSH ou autre pour pouvoir autoriser un autre clavier ou une autre souris… (et ça ne protège que si l'attaquant ne connaît pas le matériel autorisé parce qu'il peut tout à fait mentir au système).
Bus 001 Device 003: ID 046d:c016 Logitech, Inc. Optical Wheel Mouse
Bus 001 Device 002: ID 046d:c313 Logitech, Inc. Internet 350 Keyboard
# Erreur d'aiguillage
Posté par Benoît Sibaud (site web personnel) . En réponse à l’entrée du suivi Logiciel de notation des copies scolaire selon barême ?. Évalué à 3 (+0/-0).
Les forums servent pour demander de l'aide, poser des questions diverses et variées.
Le suivi des suggestions/bugs concerne uniquement le site web LinuxFr.org en lui-même.
[^] # Re: C'est nul mais c'est possible
Posté par Benoît Sibaud (site web personnel) . En réponse au journal Héberger son serveur de mails, c'est nul. Évalué à 4.
Au passage, une alerte rouge très foncé écarlate vermillon sang sur la version propriétaire Cisco Jabber (cricité 9,9 sur 10)…
CVE-2020-26085 [Score CVSS v3 : 9.9] : une vulnérabilité due à une validation incorrecte du contenu des messages de type XMPP a été corrigée. Un attaquant distant et non-authentifié pourrait exploiter cette vulnérabilité en envoyant des messages XMPP spécialement conçus au logiciel. Une exploitation réussie pourrait permettre à l'attaquant d'exécuter des programmes arbitraires sur le système ciblé avec les droits de Cisco Jabber.
https://www.cyberveille-sante.gouv.fr/cyberveille/2262-vulnerabilite-dans-cisco-ios-ios-xe-et-jabber-2020-12-11
https://threatpost.com/critical-cisco-jabber-bug-get-updated-fix/162143/
https://www.zdnet.fr/actualites/bug-critique-99-10-chez-cisco-corrigez-vite-ce-trou-dans-jabber-pour-windows-et-macos-39914757.htm
[^] # Re: FFI France, vraiment ?
Posté par Benoît Sibaud (site web personnel) . En réponse à la dépêche FFII appelle aux dons contre le brevet logiciel unitaire. Évalué à 3.
Corrigé, merci.
# Qui des anciens et de leur motivation ?
Posté par Benoît Sibaud (site web personnel) . En réponse à l’entrée du suivi Réduire la liste de dépêche en cours de rédactions. Évalué à 4 (+0/-0).
# Dernières actus
Posté par Benoît Sibaud (site web personnel) . En réponse à la dépêche Dons aux associations, épisode 9. Évalué à 4. Dernière modification le 11 décembre 2020 à 19:26.
[^] # Re: coquillette
Posté par Benoît Sibaud (site web personnel) . En réponse à la dépêche Python 3.9 est disponible. Évalué à 3.
Corrigé, merci.
[^] # Re: s/donez/donnez
Posté par Benoît Sibaud (site web personnel) . En réponse à la dépêche FFII appelle aux dons contre le brevet logiciel unitaire. Évalué à 3.
Corrigé, merci.
[^] # Re: Lien Debian, "Formulaire de donation " !
Posté par Benoît Sibaud (site web personnel) . En réponse à la dépêche Dons aux associations, épisode 9. Évalué à 4.
Corrigé, merci.
[^] # Re: Correction
Posté par Benoît Sibaud (site web personnel) . En réponse à la dépêche MultiSpace3D. Évalué à 3.
Corrigé, merci.
[^] # Re: Code Lutin
Posté par Benoît Sibaud (site web personnel) . En réponse à la dépêche Dons aux associations, épisode 9. Évalué à 4.
La dépêche n'avait pas l'étiquette don sur laquelle je me base. C'est corrigé. Merci.
[^] # Re: Bonne initiative, et remarque
Posté par Benoît Sibaud (site web personnel) . En réponse à la dépêche Dons aux associations, épisode 9. Évalué à 7.
Oui les infirmiers, les pianistes et les garagistes n'arrêtent pas les méchants. Par contre les journalistes ne sont pas non plus sans effet (via l'information/la mise en lumière) sur les délits financiers, de harcèlement, de corruption, de diffusion de fausse nouvelle, etc., bref sur un certain nombre de délits quotidiens (ie. il n'y a pas que les délits contre les biens et personnes qui passent sur les chaînes info). Les journalistes sont aussi censées être le 4e pouvoir (avec les problématiques d'éthique/déontologie, de propagande, secret des sources, censure, contrôle des médias, biais comme pour la dernière loi sur le droit d'auteur, etc.). Et je passe mon tour dans la discussion sur la violence entre forces de l'ordre/la paix et/ou manifestants/casseurs.
Lors de l'écriture de la dépêche cette phrase faisait principalement référence à la décriée Proposition de loi relative à la sécurité globale d'une part, et aux fausses nouvelles et complotismes divers et variés d'autre part.
# Je suis un moralisateur à deux balles
Posté par Benoît Sibaud (site web personnel) . En réponse au journal Linux ne m'intéresse plus. Évalué à 10.
All that is necessary for the triumph of evil is that good men do nothing. ( https://en.wikiquote.org/wiki/Edmund_Burke#Disputed )
C'est un peu toujours le même problème : c'est compliqué de ne pas faire comme la majorité, c'est long/chiant/pénible/moins pratique de vouloir du logiciel libre/des pilotes libres/du web sans code exécuté chez moi mais contrôlé par quelqu'un d'autre/pas de DRM (ni de Netflix)/etc. De temps en temps y a un type qui se fait chier pour que les autres en profitent ensuite. Parfois il réussit. On n'entend pas forcément parler de ceux qui échouent. Et on va se moquer souvent de ceux qui essaient. Le premier qui voudra lancer GNU, le premier qui voudra un BIOS libre, le premier qui voudra un Java libre, du matériel libre, une encyclopédie libre, une carte libre, etc.
Et par ailleurs on ne peut de toute façon pas livrer tous les combats non plus, donc on compte sur les autres pour le faire…
[^] # Re: coquille
Posté par Benoît Sibaud (site web personnel) . En réponse à la dépêche Python 3.9 est disponible. Évalué à 3. Dernière modification le 09 décembre 2020 à 15:37.
Corrigé, merci.
[^] # Re: pas une alternative a linux, et ne le sera jamais...
Posté par Benoît Sibaud (site web personnel) . En réponse à la dépêche Redox OS, le prochain système d’exploitation à conquérir le monde ?. Évalué à 10.
(digression)
https://en.wiktionary.org/wiki/molly-guard
(traduction rapide) à l'origine, une protection improvisée en plexiglas sur le Gros Bouton Rouge du gros serveur IBM 4341 après que la fillette d'un programmeur, nommée Molly, ait appuyé dessus deux fois en une journée.
ou encore le paquet
molly-guard
qui oblige à donner le nom d'une machine avant d'avoir le droit de la redémarrer (pour éviter de se tromper de fenêtre si on a des SSH ouverts sur 42 serveurs par exemple) :# Erreur d'aiguillage
Posté par Benoît Sibaud (site web personnel) . En réponse à l’entrée du suivi .Xauthority. Évalué à 3 (+0/-0).
Les forums servent pour demander de l'aide, poser des questions diverses et variées.
Le suivi des suggestions/bugs concerne uniquement le site web LinuxFr.org en lui-même.
[^] # Re: titre ?
Posté par Benoît Sibaud (site web personnel) . En réponse au journal Une histoire d'encodage de caractères. Évalué à 8.
Qui ne se donnera pas la peine d'accentuer la capitale, accentuera le risque de peine capitale.
(Ève en Gilles selon Saint Taxe, XLII 1337)
DEPECHE DES PECHES. PEUCHERE DES PECHES! (Massilia, 0AD, Janus-Cevinus)
# Journal sur le même sujet
Posté par Benoît Sibaud (site web personnel) . En réponse à la dépêche Solidatech : un programme qui entrave le développement du Libre en milieu associatif. Évalué à 6.
Journal quand une commune fait la promotion des logiciels proprio sous couvert de solidarité sur le même sujet.
[^] # Re: Pas de cipher commun
Posté par Benoît Sibaud (site web personnel) . En réponse au journal Pourquoi j'ai été obligé de désactiver TLS dans Postfix. Évalué à 6.
Caliopen et ses indices de confidentialité ?
[^] # Re: Animateurs de l'espace de rédaction
Posté par Benoît Sibaud (site web personnel) . En réponse au journal Un peu de ménage dans l'espace rédaction ?. Évalué à 9.
Tu peux refaire toutes tes cartes de visite, tu as été promu :). Merci à toi.
# Animateurs de l'espace de rédaction
Posté par Benoît Sibaud (site web personnel) . En réponse au journal Un peu de ménage dans l'espace rédaction ?. Évalué à 10.
Les animateurs de l’espace de rédaction sont en charge de ce genre d'actions pour redynamiser normalement (et du coup ils ont quelques droits supplémentaires pour cela). Souhaites-tu en faire partie ?
[^] # Re: Coincidence
Posté par Benoît Sibaud (site web personnel) . En réponse au journal Échanges avec le support technique de Paypal concernant l'authentification à deux facteurs. Évalué à 7.
Le système peut dire : je n'accepte que les périphériques USB portant tel ou tel identifiant, ou de tel constructeur, ou sur tel port USB. Par contre quand ton matériel ne marche plus, il faut espérer avoir une connexion via SSH ou autre pour pouvoir autoriser un autre clavier ou une autre souris… (et ça ne protège que si l'attaquant ne connaît pas le matériel autorisé parce qu'il peut tout à fait mentir au système).
(ça rejoint cette ancienne dépêche https://linuxfr.org/news/cle-web-usb-et-securite )
[^] # Re: CNIL
Posté par Benoît Sibaud (site web personnel) . En réponse au lien Sans Giscard, la France aurait pu être pionnière d'Internet. Évalué à 7.
La loi de 1978 et la CNIL étaient les conséquences d'une loi décriée SAFARI.
https://fr.wikipedia.org/wiki/Syst%C3%A8me_automatis%C3%A9_pour_les_fichiers_administratifs_et_le_r%C3%A9pertoire_des_individus
[^] # Re: Favoris avec Firefox for Android
Posté par Benoît Sibaud (site web personnel) . En réponse à la dépêche Résumé des nouveautés de Firefox 81 à 83. Évalué à 4. Dernière modification le 02 décembre 2020 à 15:17.
Ma regexp interne a dit "jusqu'au point-virgule". Bon y en avait deux. Corrigé, merci.
[^] # Re: Favoris avec Firefox for Android
Posté par Benoît Sibaud (site web personnel) . En réponse à la dépêche Résumé des nouveautés de Firefox 81 à 83. Évalué à 3.
Corrigé, merci.
[^] # Re: Pas convaincu de la démarche
Posté par Benoît Sibaud (site web personnel) . En réponse au journal Je viens de déposer plainte à la CNIL : mon retour d'expérience.. Évalué à 7. Dernière modification le 28 novembre 2020 à 15:56.
Concernant le site en question, il a publié de nombreux articles sur le DPO, le DPD, le CIL, le RGPD, etc.
Sinon https://www.cairn.info/contact.php il y a une catégorie Vie privée (ex.: questions relatives au RGPD)
À noter aussi https://aide.cairn.info/article/164-quelles-donnees-sont-collectees