Tu as tout dit, et j'ajouterais qu'ils n'ont enregistré que Pocket en France et pas "read it later".
Idem je vois pas comment ils peuvent "protéger" toutes les traductions de leur marque, ça serait absurde.
Donc pour moi Poche != Pocket
Et read-it-later pas enregistré en france.
Ils disent nulle part qu'ils retirent la mise en demeure.
Bien que le commentaire était un peu un troll, il y avait des faits qu'ils voulaient tout simplement faire disparaitre. C'est bien gentil de dire désolé après l'effet streisand et la polémique, mais c'est trop tard, et surtout mal fait.
Cette histoire c'est quand meme un comble pour "linkeo" et leur activité.
Une question concernant Debian 8, maintenant en testing.
Les utilisateurs qui étaient en unstable, peuvent-ils passer en testing ces jours sans dommages?
C'est un problème connu de longue date, j'avais posté sur le topic d'opensmtpd pour savoir si la réécriture était possible (réponse négative, mais en cours de coding).
Postfix -> il faut installer pfix-srsd et c'est limité à un domaine, en clair tu risques de réécrire tous tes mails sur ton serveur
Exim -> quelqu'un a dit sur le topic d'opensmtpd que c'était possible dessus. Sans vouloir troller Exim c'est une grosse faille tous les 3 mois donc je ne regarderai meme pas si c'est vrai.
Opensmtpd -> Va falloir attendre
Les autres: aucune idée
C'est la triste réalité.
Mais pour SFR, ils ne font là que protéger leurs clients.. Et l'erreur est du coté de ton relay.
On est pas dérangé tous les jours par une mise à jour "Acrobat" ou "Flash" ou "Antivirus" ou autre.
Si t'as flash sur Iceape/Iceweasel, tu devrais d'ailleurs t'en inquiéter.
Debian ne fait aucune maj du paquet de flashplugin, faut faire un apt-get install --reinstall, car c'est en fait un script qui dl/install flash depuis le site officiel.
Et c'est surement un gros problème niveau sécurité. J'imagine meme pas le nombre d'utilisateurs qui ont un flash complètement obsolète à cause de ce système.
Plus qu'à attendre le bon gros virus méchant, et après on blamera Adobe hein.
(Et je suis un utilisateur debian depuis près de 10 ans..).
Moi j'ai voté pour le grand nombre de logiciels gratuits, qui me semble le plus gros avantage pour l'utilisateur lambda, meme si pour moi la console + le coté libre sont plus importants.
Quelqu'un sait ce que ça vaut niveau réécriture des mails (entetes) comparé à Postfix?
Ex, sur postfix, pour modifier les entetes, pas possible de le faire juste pour les mails entrants (mais pas envoyés par les clients auth), et que pour certains domaines, on peut tout simplement pas tout faire à la fois.
Est-ce que ça supporte le SRS et que pour certains domaines? (maintenant que spf est accepté de partout, il est ptet temps de s'occuper de srs?!)
Postfix, c'est bien et simple, mais quand tu commences à combiner des fonctionnalités, tu te rends compte que tu peux pas, car la config est assez rigide.
Nevermind tu as raison, testé et ça donne bien ce résultat.
Pourtant à moins que j'ai lu de travers, mais il m'avait semblé qu'OVH mentionnait un bug d'OpenSSH parlant d'un problème différent.
J'avais lu ton article plus tot, bien vu!
J'ai la meme sur un serveur, j'ai mailé OVH et l'IP concernée (des pays bas).
Aucun message sur un autre serveur où j'avais supprimé leur clé.
On va voir leur réponse, en espérant qu'il n'y ait pas de dégats.. Car meme s'il y a un filtre d'IP sur les serveurs loués, est ce pareil sur tous leurs serveurs? (notamment ceux utilisés pour leur infra) Pas sur..
J'ai voulu passer à Sylpheed car Icedove pompe pas mal de ressources, mais attention, impossible de lister ses messages par date de réception! (que le champ Date, pas le dernier Date received du serveur mail). Finalement je suis revenu sur Icedove…
C'est vrai qu'une entreprise qui se fait pirater sa base de données, ça n'arrive jamais, non non non.. Et qu'en plus elle fasse tout pour le nier? Ben voyons, jamais, impossible!
Regarde le forum, un gars a un domaine catchall, il a mis sur le site sfr sfr@sondomaine et il a reçu le spam à sfr@.
J'espère que la CNIL va descendre chez le ***shop et chez SFR.
A tout hasard, j'ai regardé quel email est lié à mon compte SFR: c'est une adresse Gmail.
Je recherche inspam: mon***shop.fr
Et là :O je l'ai moi aussi reçu, et sur gmail!
D'autres personnes l'ont reçu sur des domaines persos etc..
Il n'y a donc plus aucun doute.
Oui les timestamps c'était à insérer dans le schema.
Et ce n'est pas tout, pour le problème de ne pas avoir utilisé innodb, c'était plutot à ton schema de contenir le type d'engine.
En fait fallait un peu rtfm avant de l'utiliser..
C'est vrai qu'on nous avait promis de dégager safe_mode, register_globals et magic_quotes etc pour la 6, finalement c'est pour la 5.4, ben tant mieux.
Dommage qu'ils n'en aient pas fait de même avec ereg*.
Pourquoi régler le umask correctement casserait-il quoi que ce soit sur un hébergement où les utilisateurs sont censés être totalement cloisonnés les uns des autres ?
C'est pas bête comme sécurité en plus, par contre je sais pas pour itk/peruser mais suexec les fichiers non *.php sont lus par apache et il faut que les répertoires soient au minimum avec 0066 et les fichiers php peuvent avoir un umask 0077, je crois pas que des regles d'umask en fonction du fichier ça soit faisable, mais je ne connais pas bien.
Pis je me méfie des applications PHP qui vérifient un peu n'importe comment si tel ou tel répertoire/fichier a les permissions d'écriture..
Si quelqu'un sait pour un umask de fichiers/rep différents je suis preneur :)
Il existe mod_chroot pour apache, et la fonctionnalité est aussi proposée par mod_security.
Et comme mentionné plus bas, itk+chroot dans archlinux, mais l'auteur d'ITK est pas chaud du tout pour une telle fonctionnalité dans ITK, donc peu de chances que ça soit intégré à ITK.
Je suis pas sûr que le chroot soit plus efficace niveau perfs que open_basedir quand même... (même si ok c'est le même niveau de sécurité).
Sauf que mod_chroot est un chroot commun à tous les vhosts, comme mod_security je crois, ce qui est pas mal mais finalement moins bien que open_basedir car ne protège pas les utilisateurs les uns des autres, mais protège le serveur. Si j'ai bien compris le chroot d'itk, comme celui pour suexec, c'était afin de chrooter chaque virtualhost, peut-être au moment de l'appel à un CGI, surement lourd (plus qu'open_basedir j'imagine), mais ça doit être diablement sécurisé.
Bref tout ça pour dire qu'open_basedir est pas si pourri, et c'est pour ça qu'il est encore là..
J'imagine même pas combien d'applications cela casserait..
Et puis cela ne résoud pas tout du chroot/sandbox.
Quelle alternative existe-t-il concrètement à open_basedir?
Moi je pense qu'il manque clairement un mpm qui sorte du lot, itk/peruser sont orientés sécurité et paradoxalement ils tournent en root, puis ils remplacement que Suexec, il faudrait un mpm qui fonctionne en chrootant+peruser mais c'est l'un ou l'autre. Est-ce que c'est possible, je n'en sais rien..
Si vous voulez laisser les utilisateurs naviguer sur votre système, grand bien vous fasse, mais à un moment donné il faut savoir sacrifier un peu des performances si on veut de la sécurité.. Et à l'heure actuelle je ne vois pas ce qui remplace SuExec+open_basedir .
itk et peruser ne sont que des alternatives à SuExec, pas à open_basedir.
Dans un environnement mutualisé avec des centaines de vhosts, je ne vois pas l'avantage, vas-tu dire à tous tes utilisateurs de "chmoder" leurs fichiers php en X00, ou le faire toi-même au risque de tout casser?
A leur actuelle il n'y a pas de mpm qui fasse aussi office de "chroot" en même temps, et utilisable en mutualisé, open_basedir peut dormir sur ses 2 oreilles.
Quant à php-fpm il est très performant, possible d'utiliser un pool par vhost, mais là encore ce n'est pas pour le mutu, et aucun chroot.
Pour proposer des services commerciaux à ceux qui savent pas configurer leur boutique peut-être? En tout cas c'est très sale tu as raison..
Je suis en train de faire une boutique avec prestashop ces jours-ci, je l'avais testé et l'avais trouvé très complet, sécurisé et plutot facile.. Mais dès qu'on veut aller plus loin dans les modifs ça se corse..
Exemple: Pour faire un template, c'est quasiment impossible de le faire de zéro. Il faut prendre celui par défaut et le modifier, car il est énormissime et le manque d'un tag de template peut tout casser.. génial.. En plus il n'y a pas beaucoup d'infos à ce propos.
En meme temps quand on regarde le site ".com", DEVIS dans le menu et des templates et autres choses à acheter.. C'est certes opensource mais c'est super orienté commercial, c'est souvent le coté obscur de ces softs de boutiques en ligne..
[^] # Re: d'un autre coté
Posté par siegfried . En réponse au journal Le développeur de Poche menacé par la société Read It Later. Évalué à 2.
Tu as tout dit, et j'ajouterais qu'ils n'ont enregistré que Pocket en France et pas "read it later".
Idem je vois pas comment ils peuvent "protéger" toutes les traductions de leur marque, ça serait absurde.
Donc pour moi Poche != Pocket
Et read-it-later pas enregistré en france.
Dommage messieurs les avocats..
# Mouais
Posté par siegfried . En réponse à la dépêche Message du Président Directeur Général de Linkeo. Évalué à 10.
Ils disent nulle part qu'ils retirent la mise en demeure.
Bien que le commentaire était un peu un troll, il y avait des faits qu'ils voulaient tout simplement faire disparaitre. C'est bien gentil de dire désolé après l'effet streisand et la polémique, mais c'est trop tard, et surtout mal fait.
Cette histoire c'est quand meme un comble pour "linkeo" et leur activité.
[^] # Re: 42
Posté par siegfried . En réponse au message Un peu perdu. Que faire maintenant ? Changer de vie ?. Évalué à 1. Dernière modification le 05 mai 2013 à 08:45.
Je te plussoie mon ami.
Faire ton truc perso, voire faire du dev ou autre à temps partiel pour démarrer un projet perso.
Tu as peut-être une ame de créateur et le boulot t'ennuie à mourir.
Attention, faut de la motivation à 200%.
# Debian 8
Posté par siegfried . En réponse à la dépêche Debian : Épisode VII. Évalué à 0.
Une question concernant Debian 8, maintenant en testing.
Les utilisateurs qui étaient en unstable, peuvent-ils passer en testing ces jours sans dommages?
[^] # Re: Question de béotien
Posté par siegfried . En réponse au journal SFR et SPF: une cause perdue. Évalué à 3. Dernière modification le 26 mars 2013 à 18:27.
C'est un problème connu de longue date, j'avais posté sur le topic d'opensmtpd pour savoir si la réécriture était possible (réponse négative, mais en cours de coding).
Postfix -> il faut installer pfix-srsd et c'est limité à un domaine, en clair tu risques de réécrire tous tes mails sur ton serveur
Exim -> quelqu'un a dit sur le topic d'opensmtpd que c'était possible dessus. Sans vouloir troller Exim c'est une grosse faille tous les 3 mois donc je ne regarderai meme pas si c'est vrai.
Opensmtpd -> Va falloir attendre
Les autres: aucune idée
C'est la triste réalité.
Mais pour SFR, ils ne font là que protéger leurs clients.. Et l'erreur est du coté de ton relay.
[^] # Re: Fonctionnalités avancées?
Posté par siegfried . En réponse à la dépêche OpenSMTPD 5.3 est de sortie !. Évalué à 2.
C'est cool d'entendre ça, prenez votre temps! :)
[^] # Re: la sobriété
Posté par siegfried . En réponse au sondage Selon vous, quel est l'avantage d'un système libre type GNU/Linux sur un ordinateur de bureau ?. Évalué à 2.
Si t'as flash sur Iceape/Iceweasel, tu devrais d'ailleurs t'en inquiéter.
Debian ne fait aucune maj du paquet de flashplugin, faut faire un apt-get install --reinstall, car c'est en fait un script qui dl/install flash depuis le site officiel.
Et c'est surement un gros problème niveau sécurité. J'imagine meme pas le nombre d'utilisateurs qui ont un flash complètement obsolète à cause de ce système.
Plus qu'à attendre le bon gros virus méchant, et après on blamera Adobe hein.
(Et je suis un utilisateur debian depuis près de 10 ans..).
Moi j'ai voté pour le grand nombre de logiciels gratuits, qui me semble le plus gros avantage pour l'utilisateur lambda, meme si pour moi la console + le coté libre sont plus importants.
# Fonctionnalités avancées?
Posté par siegfried . En réponse à la dépêche OpenSMTPD 5.3 est de sortie !. Évalué à 1.
Quelqu'un sait ce que ça vaut niveau réécriture des mails (entetes) comparé à Postfix?
Ex, sur postfix, pour modifier les entetes, pas possible de le faire juste pour les mails entrants (mais pas envoyés par les clients auth), et que pour certains domaines, on peut tout simplement pas tout faire à la fois.
Est-ce que ça supporte le SRS et que pour certains domaines? (maintenant que spf est accepté de partout, il est ptet temps de s'occuper de srs?!)
Postfix, c'est bien et simple, mais quand tu commences à combiner des fonctionnalités, tu te rends compte que tu peux pas, car la config est assez rigide.
# Backports
Posté par siegfried . En réponse au journal Cette semaine, j'ai squeezé un pangolin. Évalué à 7.
http://backports-master.debian.org/Instructions/
Libreoffice 3.4.6
Iceweasel 10
Ca t'évitera de tout télécharger manuellement.
[^] # Re: Hum
Posté par siegfried . En réponse au journal La prochaine Debian sera toute belle. Évalué à 1.
On va pas trop se plaindre, car le theme spatial de Squeeze était vraiment pas terrible à coté de ça.. (et faisait trop gamin à mon goût).
[^] # Re: Nop, bug d'OpenSSH
Posté par siegfried . En réponse au journal Compromission de clé SSH chez OVH. Évalué à 1.
Tout s'explique.. Merci.
Bizarre que ça ne soit pas corrigé, ça serait bien de signaler cette subtilité et éviter quelques crises cardiaques.
[^] # Re: Nop, bug d'OpenSSH
Posté par siegfried . En réponse au journal Compromission de clé SSH chez OVH. Évalué à 1.
Nevermind tu as raison, testé et ça donne bien ce résultat.
Pourtant à moins que j'ai lu de travers, mais il m'avait semblé qu'OVH mentionnait un bug d'OpenSSH parlant d'un problème différent.
# Aie
Posté par siegfried . En réponse au journal Compromission de clé SSH chez OVH. Évalué à 1.
J'avais lu ton article plus tot, bien vu!
J'ai la meme sur un serveur, j'ai mailé OVH et l'IP concernée (des pays bas).
Aucun message sur un autre serveur où j'avais supprimé leur clé.
On va voir leur réponse, en espérant qu'il n'y ait pas de dégats.. Car meme s'il y a un filtre d'IP sur les serveurs loués, est ce pareil sur tous leurs serveurs? (notamment ceux utilisés pour leur infra) Pas sur..
# Sylpheed
Posté par siegfried . En réponse au journal Je quitte LibreOffice et Icedove!. Évalué à 3. Dernière modification le 19 juillet 2012 à 18:03.
J'ai voulu passer à Sylpheed car Icedove pompe pas mal de ressources, mais attention, impossible de lister ses messages par date de réception! (que le champ Date, pas le dernier Date received du serveur mail). Finalement je suis revenu sur Icedove…
[^] # Re: nginx
Posté par siegfried . En réponse à la dépêche Le sondage Netcraft des serveurs web de juillet 2012. Évalué à 2.
Cloudflare l'utilisent pour leur service de CDN, ce qui représente des centaines de milliers de sites.
[^] # Re: déviant
Posté par siegfried . En réponse au journal Piratage de la base email clients neuf/sfr ?. Évalué à 4.
C'est vrai qu'une entreprise qui se fait pirater sa base de données, ça n'arrive jamais, non non non.. Et qu'en plus elle fasse tout pour le nier? Ben voyons, jamais, impossible!
Regarde le forum, un gars a un domaine catchall, il a mis sur le site sfr sfr@sondomaine et il a reçu le spam à sfr@.
J'espère que la CNIL va descendre chez le ***shop et chez SFR.
# Reçu sur mon email Gmail lié à Sfr
Posté par siegfried . En réponse au journal Piratage de la base email clients neuf/sfr ?. Évalué à 3. Dernière modification le 18 mai 2012 à 18:37.
A tout hasard, j'ai regardé quel email est lié à mon compte SFR: c'est une adresse Gmail.
Je recherche inspam: mon***shop.fr
Et là :O je l'ai moi aussi reçu, et sur gmail!
D'autres personnes l'ont reçu sur des domaines persos etc..
Il n'y a donc plus aucun doute.
[^] # Re: normal
Posté par siegfried . En réponse au journal MySQL est une bouse immonde. Évalué à 10.
Oui les timestamps c'était à insérer dans le schema.
Et ce n'est pas tout, pour le problème de ne pas avoir utilisé innodb, c'était plutot à ton schema de contenir le type d'engine.
En fait fallait un peu rtfm avant de l'utiliser..
[^] # Re: 5.4 et 6.0
Posté par siegfried . En réponse à la dépêche Sortie de PHP 5.4. Évalué à 1.
C'est vrai qu'on nous avait promis de dégager safe_mode, register_globals et magic_quotes etc pour la 6, finalement c'est pour la 5.4, ben tant mieux.
Dommage qu'ils n'en aient pas fait de même avec ereg*.
[^] # Re: Pour compléter...
Posté par siegfried . En réponse à la dépêche État d'insécurité chez PHP. Évalué à -1.
C'est pas bête comme sécurité en plus, par contre je sais pas pour itk/peruser mais suexec les fichiers non *.php sont lus par apache et il faut que les répertoires soient au minimum avec 0066 et les fichiers php peuvent avoir un umask 0077, je crois pas que des regles d'umask en fonction du fichier ça soit faisable, mais je ne connais pas bien.
Pis je me méfie des applications PHP qui vérifient un peu n'importe comment si tel ou tel répertoire/fichier a les permissions d'écriture..
Si quelqu'un sait pour un umask de fichiers/rep différents je suis preneur :)
Sauf que mod_chroot est un chroot commun à tous les vhosts, comme mod_security je crois, ce qui est pas mal mais finalement moins bien que open_basedir car ne protège pas les utilisateurs les uns des autres, mais protège le serveur. Si j'ai bien compris le chroot d'itk, comme celui pour suexec, c'était afin de chrooter chaque virtualhost, peut-être au moment de l'appel à un CGI, surement lourd (plus qu'open_basedir j'imagine), mais ça doit être diablement sécurisé.
Bref tout ça pour dire qu'open_basedir est pas si pourri, et c'est pour ça qu'il est encore là..
[^] # Re: Pour compléter...
Posté par siegfried . En réponse à la dépêche État d'insécurité chez PHP. Évalué à -1.
Je me réponds:
Apparemment il existe un apache-itk-chroot dans AUR:
http://aur.archlinux.org/packages.php?ID=39440
Et un vieux projet chroot-suexec sur sourceforge:
http://chroot-suexec.sourceforge.net/
Ca parle d'un autre chroot-suexec ici mais les liens sont cassés: http://www.modsecurity.org/blog/archives/2006/03/apache_suexec_c.html
Que des projets "persos" malheureusement.
[^] # Re: Pour compléter...
Posté par siegfried . En réponse à la dépêche État d'insécurité chez PHP. Évalué à -1.
J'imagine même pas combien d'applications cela casserait..
Et puis cela ne résoud pas tout du chroot/sandbox.
Quelle alternative existe-t-il concrètement à open_basedir?
Moi je pense qu'il manque clairement un mpm qui sorte du lot, itk/peruser sont orientés sécurité et paradoxalement ils tournent en root, puis ils remplacement que Suexec, il faudrait un mpm qui fonctionne en chrootant+peruser mais c'est l'un ou l'autre. Est-ce que c'est possible, je n'en sais rien..
Si vous voulez laisser les utilisateurs naviguer sur votre système, grand bien vous fasse, mais à un moment donné il faut savoir sacrifier un peu des performances si on veut de la sécurité.. Et à l'heure actuelle je ne vois pas ce qui remplace SuExec+open_basedir .
[^] # Re: Pour compléter...
Posté par siegfried . En réponse à la dépêche État d'insécurité chez PHP. Évalué à -1.
itk et peruser ne sont que des alternatives à SuExec, pas à open_basedir.
Dans un environnement mutualisé avec des centaines de vhosts, je ne vois pas l'avantage, vas-tu dire à tous tes utilisateurs de "chmoder" leurs fichiers php en X00, ou le faire toi-même au risque de tout casser?
A leur actuelle il n'y a pas de mpm qui fasse aussi office de "chroot" en même temps, et utilisable en mutualisé, open_basedir peut dormir sur ses 2 oreilles.
Quant à php-fpm il est très performant, possible d'utiliser un pool par vhost, mais là encore ce n'est pas pour le mutu, et aucun chroot.
# ?
Posté par siegfried . En réponse au message git over http, casse tête.... Évalué à 0.
http://monurl.com/dépot/.git/
SetEnv GIT_PROJECT_ROOT /srv/git
Ca serait pas /srv/git/.git ton git plutot?
# Commercial?
Posté par siegfried . En réponse au journal Prestashop communique beaucoup à la maison. Évalué à 3.
Pour proposer des services commerciaux à ceux qui savent pas configurer leur boutique peut-être? En tout cas c'est très sale tu as raison..
Je suis en train de faire une boutique avec prestashop ces jours-ci, je l'avais testé et l'avais trouvé très complet, sécurisé et plutot facile.. Mais dès qu'on veut aller plus loin dans les modifs ça se corse..
Exemple: Pour faire un template, c'est quasiment impossible de le faire de zéro. Il faut prendre celui par défaut et le modifier, car il est énormissime et le manque d'un tag de template peut tout casser.. génial.. En plus il n'y a pas beaucoup d'infos à ce propos.
En meme temps quand on regarde le site ".com", DEVIS dans le menu et des templates et autres choses à acheter.. C'est certes opensource mais c'est super orienté commercial, c'est souvent le coté obscur de ces softs de boutiques en ligne..