Tu parles de distros a tres long support, justement parce qu'on sait que ca va etre chaud pour migrer.
Ici, on parle de Mageia 1 tué 6 mois après la sortie de Mageia 2, et on parle aussi de migrer à Mageia 5 qui mourra 3 mois après la sortie de Mageia 6. Donc les admins affirment qu'ils auront le temps (sinon ils auraient mis CentOS 7, 10 ans de support gratuit) de migrer de nouveau dans un créneau de 3 mois alors qu'ils n'ont pas pris le temps en 4 ans.
Et même au delà de ça, tu regardes quand Gitlab a eu un gros souci, des gens ont dit "ça arrive à tous" (sur twitter)
Et surtout, ils n'ont pas rembarré.
Ils ont bien merdé, et à ma connaissance jamais dit que la faute était à "pas le temps" ou autre.
Note que ce ne fut pas un problème de non MAJ mais une erreur humaine (comme pour Amazon).
e suis pas non plus le seul, car d'autres admins ont lachés l'équipe pour divers raisons (parfois de santé, parfois autres). Mais curieusement, y a pas grand monde qui est venu remplacer les départs depuis la communauté.
C'est peut-être la le problème : ne pas avoir su s'arrêter avant que ça devienne dangereux au niveau sécurité.
Je crois qu'il y a un problème de compréhension : le sujet n'est pas que les bénévoles doivent être des esclaves, mais qu'il font croire qu'ils font ce qu'il faut pour protéger un minimum, le sujet est qu'il semble impossible de se dire "ok, on n'a plus assez de monde, on ferme avant que ça casse".
Je ne veux pas minimiser les soucis d'attaques sur les infras, ça arrive en moyenne une fois tout les 3 mois d’après mes recherches
Et généralement fait sur des infras à jour, c'est dire le risque encouru sur des infras pas à jour.
C'est bien le soucis.
C'est des systèmes oubliés
D'après ce qu'on lit, ce n'était pas oublié mais bien connu.
Pire, une fois que ça a été public, ça n'a pas été coupé dans l'heure.
Bref, on parle de raison, on explique, mais expliquer n'est pas excuser, ce sont deux choses différentes.
Je crois que personne ne critique le travail bénévole, la critique est que le bénévolat n'excuse pas de mettre en danger.
Et tant qu'on parle de 2 choses différentes (l'explication et le résultat), on n'arrivera sans doute pas à ce comprendre.
Maintenant que les serveurs ont été mis hors ligne, la question est peut-être de savoir arrêter plutôt que de faire un burnout à migrer, mais ça ne semble pas en discussion, et ça ce n'est pas la faute de ceux qui ont montré le problème.
Question idiote : à quoi ça sert l'indication "end of life" que vous mettez sur https://www.mageia.org/fr/support/ ?
Nan, parce que bon, j'ai l'impression que les admin sys de Mageia ne comprennent pas ce que ça veut dire, faudrait peut-être leur faire un cours (alors qu'on me dit que se sont des pointures dans ce domaine, j'y comprend rien, moi mes admins sys pas des pointures ils m'engueulent si je ne leur laisse pas le temps de faire les migrations car ils savent que les personnes sur lesquelles ils comptent pour la sécurité ont dit qu'elles ne faisaient plus le taf sinon).
sans forcément avoir besoin d'être présentés comme des malfrats.
Disons que vu les réactions outrées qui ont été reçues, la façon de nier les problèmes, ça n'aide pas. Il n'y a pas besoin d'être admin sys pour se rendre compte qu'il y a un gros problème, car la communication "end of life" des support est justement pour alerter des problèmes.
Et le pire est peut-être que vous le saviez (surtout que les personnes disant EOL pour la distro doivent être proches des admins sys), mais "pas grave tant que c'est pas mis trop en public", qui n'aide pas à compatir.
(en fait, le problème est que vous n'avez aucune porte de sortie correcte, certes)
tu parles de malfrat, mais pour donner quelque chose d'équivalent une personne faisant un homicide involontaire est quand même une personne faisant un homicide et est condamné pour ça, quand bien même ce fût involontaire avec toutes les bonnes intentions du monde et pas eu le temps de vérifier la sécurité, et vaut mieux se prendre un "mais tu vas le tuer, arrête" que d'arriver au pire, non?
"regardez, eux, ils sont pas à jour, allez-y attaquez"
J'ai l'impression que vous n'avez toujours pas compris l'importance du problème : une personne a pointé du doigt un truc non maintenu dans votre infra depuis 4 ans. Ca veut dire que pendant 4 ans vous étiez à poil (c'est vous qui le dites, "end of life" a été décidé par vous) et que n'importe qui ayant intérêt à vous prendre vos machines pouvait trouver une faille dans une version pas à jour des logiciels de la distro, et ce de pire en pire dans le temps (failles non corrigées).
Ici, vous la jouez logiciels proprio "sécurité par l'obscurité" sauf que c'est pas si obscure (c'est public, suffit de chercher un peu), votre seul avantage est que pas/plus foule n'est chez vous donc ça ne rend pas les attaques intéressantes.
On prend tous les coups de main pour la suite
J'imagine qu'on peut préparer un message "on vous a mis à poil pendant 4 ans, on n'est plus capable d'assurer un minimum de sécurité depuis des années, on vous conseille de passer à CentOS pour les conservateurs et Fedora pour les bleding edge et faites bien attention à ne prendre aucun exécutable de l'ancienne install, en attendant qu'on voit ce qu'on peut faire pour ressusciter Mageia" mais pas sûr que vous acceptiez le coup de main vu comment vous réagissez.
au passage, vous n'avez pas eu assez de ressources, ok, des malades ok, mais du coup vous savez comment vous allez faire quand Mageia 6 va sortir? Car vous aurez alors 3 mois pour migrer toutes vos machines vers Mageia 6, sous peine de retomber dans le problème "end of life" de ce que vous avez, et 3 mois c'est court (mais c'est vous qui l'avez décidé donc ce n'est pas critiquable).
quant aux coups de pied c'est pas obligé.
Vous faire troller est un coup de pied bien doux par rapport à ce que vous auriez pu vous prendre, vous pourriez même les remercier.
Quand on s'engage à gérer la sécurité d'autres personnes, il faut un minimum, ou il vaut mieux ne rien faire, faire pour faire n'est que rarement une bonne chose, et parfois il faut savoir s'arrêter avant qu'il y est plus de dégâts. Et oui, les tiers non utilisateurs peuvent aussi être impactés (les DDOS sont fait à partir de machines dont la sécurité est traité à la légère, mais d'habitudes c'est par des gens pas au fait de la sécurité).
En attendant, avant je n'avais pas d'avis sur Mageia, maintenant j'en ai un pour quand on me demandera mon avis (rare, mais ça arrivait de temps à autre avec des français surtout).
Je connais le problème, et je comprend l'explication. Mais ça n'excuse pas.
(devant un juge, c'est pareil : expliquer permet de comprendre, ça permet de voir le soucis, ça adapte la peine; mais ça ne change rien dans la condamnation)
Et quand on est un point d'entrée pour accéder à plein de machines, on prend une responsabilité.
Je l'ai dit ailleurs, mais je le redis : être bénévole ne permet pas de faire n'importe quoi sous excuse de ne pas avoir les moyens, ça ne change rien dans la responsabilité de sécurité qu'on a.
Donc revenir à parler de bénévoles ne fait qu'enfoncer plus Mageia dans le sens où ses défenseurs ne semblent pas comprendre le problème de sécurité. Tout le monde sait qu'ils sont bénévoles, personne ne dit qu'ils sont riches, alors pourquoi parler de sous hors sujet quand on parle de sécurité?
Accepterais-tu d'avoir un accident de voiture et être blessé et de te faire dire "ouais mais la le pote qui a réparé il te la fait bénévolement alors c'est différent" (non, ce n'est pas différent, il est responsable, encore heureux).
En revanche, la forme et certains commentaires sont totalement honteux.
OK, mais n'oublie pas… C'est des deux côtés, je n'ai pas l'impression que la réactions des personnes impliquées ai été un modèle de sympathie.
D'autres ont pointé du doigt la réaction "autruche" lors d'une critique sur Mageia 6.
Mageia, comme la majorité des projets libres, ne doit rien à personne !
Oui et non :
- Offrir un repas de manière gentille n'autorise pas à donner un repas sans hygiène; en fait, ça n'a rien à voir.
- aujourd'hui il ne doit rien à personne, mais demain si ça se fait trouer c'est une petite armée de bots et des données persos dans la nature, et la ça devra des choses. Peut-être faut--il troller et insulter avant, pour pas que ça empire un jour (pas arrivé, certes, mais faut-il attendre?)
- l'extérieur doit autant en gentillesse envers Mageia que Mageia doit quelque chose à l'extérieur, c'est à dire aucune. A ma connaissance, quand Sony se fait trouer ou un vendeur de vibromasseur se fait pomper les vidéos ou quand Samsung a 40 failles 0-day, il n'y a pas foule pour les défendre alors qu'ils ne te doivent rien non plus, et tu ne critiques pas les gens qui critiquent ces failles. Ben, pour Mageia c'est pareil (le fait que ce soit des bénévoles ne change rien à la problématique de sécurité quand on diffuse quelque chose), c'est tout (voir c'est pire car les admins sont sensés être "la crème de la crème nous on fait attention pas comme ces capitalistes")
(et pour en connaître certain, le seul fait qu'on puisse les qualifier d'incompétents techniquement fait sourire)
Demande-leur si voir leur nom associé à l'idée de ne pas être dérangé plus que ça (même bénévolement, le "prix" n'est pas le sujet) par une infrastructure reposant sur une version de distro plus maintenue depuis 4 ans est positif pour leur CV, maintenant que ça part un peu plus loin que leur ML.
tu penses sérieusement que c'est infaisable même en HTTP? (c'est le sous-entendu de ta "question")
Wow…
Si tu es prêt à payer pour (c'est du temps que je facture), pas de soucis je m'engage à te faire la démo ou te payer la même somme en pénalités (pour montrer que je m'engage).
Si, il a pris une décision : ne pas prendre de décision est une décision (oui ça se mort la queue mais voila, c'est comme ça) quand ça touche la sécurité, la décision a été de laisser une vieille version plus maintenue depuis 4 ans en marche et accessible sur Internet.
pas ceux qui spéculent sur sa sécurité avec comme seule base un numéro de version.
OK, je note que le conseil de Mageia considère qu'une version non maintenue et sans personne pour suivre sa sécurité depuis 4 ans n'est pas un problème de sécurité sur une infrastructure.
Le journal en est d'autant plus intéressant donc que le conseil semble affirmer que ce n'est pas un problème.
(wow… D'habitude je lis ça dans des entreprises n'ayant rien à faire de la sécurité et voulant vendre à tout prix)
Faudrait penser à faire un article quelque part "Nous affirmons qu'utiliser une vieille version plus maintenue d'un OS n'est pas un problème de sécurité en soit, ça dépend", ça devrait être utile à plein d'entreprises qui se font critiquer pour ne pas avoir une infrastructure à jour et ne veulent pas investir dans un changement sans se faire d'abord trouer.
Sinon, si vous l'utilisez sans que ça dérange et que vous avez confiance, pourquoi ne pas déclarer Mageia 1 comme maintenue? Vous n'êtes pas logique à dire aux autres que c'est plus à utiliser mais à continuer vous-même à l'utiliser, en terme de com' c'est bof.
Je ne te visais pas :), je pensais plutôt à la dépêche en lien et le blog en lien où les gens appellent à soutenir.
Pour la débat sur la présentation plus neutre, on a déjà discuté et tu as déjà vu et corrigé la partie moins neutre.
Je crois qu'il y a un problème de compréhension : la critique est que le conseil n'ai pas pris en compte la gravité soulevée, sans être sysadmin (fin de vie de Mageia 1 est il y a 4 ans, c'est facile à lire) et n'a pas répondu au problème (même pas un officiel "rien à foutre vous nous faites chier ça va très bien d'utiliser une version qu'on a donné comme morte il y a 4 ans" ou une décision "ok on a des sysadmin à la bourre on leur dit d'éteindre la machine en attendant").
Bref, tu évites le sujet, comme il a été évité lors du conseil.
C'est un choix, pas de soucis vous êtes grands et capable de vous défendre en justice en cas de hack faisant de vous un fournisseur de virus/bot (pas sûr que le "as is" marche pour une faute sur la sécurité, en ce moment la justice se penche sur la responsabilité des gens qui ne font pas attnetion à la sécurité des données privées), mais c'est aussi un choix des gens extérieurs de signaler aux utilisateurs (et autres) que la sécurité n'est pas prise au sérieux jusqu'au conseil Mageia (dont un membre considère que les gens remontant ce problème sont juste des trolls) et de leur conseiller de changer de distro pour cette raison.
Tu n'auras pas plus de candidats corrects, car c'est une mauvaise excuse pour te culpabiliser : en CDI, tu as la période d'essai, qui a exactement le même effet sur une personne qui quitterait son poste.
Les seules différences sont que la "période d'essai" (qui peut aussi être sur l'activité, tu n'as pas à dire pour quelle raison tu licencies pendant la période d'essai, en théorie c'est sanctionnable de virer pour motif économique mais en pratique difficilement prouvable car c'est au salarié de prouver et pas à l'employeur d'expliquer, ton salarié te demande donc de lui mentir plutôt que d'être franc) est d'une durée différente (4 à 8 mois suivant le profil) et que le salarié n'a pas les 10% de prime de précarité (il est précaire, mais veut que tu ne lui payes pas la prime de précarité si ça merde, va comprendre; perso je trouve justement que le CDD est un engagement te la part de l'employeur à plus payer si il ne transforme pas le CDD en CDI donc une "punition" pour s'être loupé et un bonus pour l'employé malheureux).
Et même sans ça, au bout de 6 mois tu pourrais aussi licencier pour motif économique (c'est juste plus chiant en paperasse) donc un CDI ne protège de rien de plus que le CDD au début (économique, c'est souvent dernier arrivé premier à partir, on repart à 0 quand on démissionne).
Bref, ceux qui te disent qu'ils ne sont pas intéressés car ça commence par un CDD ne prendront pas cette offre ni aucune autre offre excepté celles n'ayant pas de période d'essai (ce qui est rare, et ça se fait plutôt entre personnes "qui se connaissent" au moins de réputation, pas en recherche comme tu le fais), à moins d'être assez stupide pour croire que c'est plus protecteur (la question sera alors de savoir si tu veux prendre une telle personne).
Ca partait pas trop mal dans l'analyse, mais à un moment c'est parti en vrille, genre :
ils savent même faire des lave-vaisselles qui durent 25 ans (ouai bon, sauf que ce serait pas rentable, pas fou les mecs hein, ils vont juste faire des lave-vaisselles qui durent 10 ans).
tu as oublié une truc : c'est normal (pour l'acheteur, économiquement) de vouloir un lave-vaisselle qui dure 10 ans si celui-ci coûte 10x moins cher que celui qui dure 25 ans.
Balancer cet exemple sans parler coût détruit l'idée d'objectivité que tu aurais, ça part dans le populisme facile "on nous arnaque".
Note que je ne suis pas contre les lave-vaisselles qui durent 25 ans, mais le problème n'est pas chez les constructeurs, juste chez le peuple (qui ne passe pas de lois mettant tout le monde à égalité à devoir prendre en compte la récupération et le recyclage), bref tu attaques la mauvaise cible.
Pour le reste, je ne désespère pas autant que toi, ces dernières année on a vu plus de contrôles de restaurant pour l’hygiène (équivalent SSL en restaurant), les gens sont plus sensibilisés et demandent de l’hygiène, et ça met juste un peut plus de temps pour l'informatique le temps que les procès arrivent (et ça arrive déjà pas mal, les boites doivent payer, donc à un moment ça va devenir plus rentable d'embaucher que de payer les pénalités).
Bref, ça viendra.
Note que tu parles des gens lambda, mais les personnes "plus sensibilisées" (genre des informaticiens / admin sys) disent aussi on n'a pas le temps donc on garde la distro Linux plus maintenue, le problème de la sécurité n'est pas que l'utilisateur lambda, il est aussi les informaticiens / admin sys même compétents qu'il faut sensibiliser tout autant sur le fait que ça n'attend pas.
Ça devient n'importe quoi ces usages du net…
Ou alors ça devient justement bien, avec plein de choses différentes pour rendre service à plus que les quelques personnes qui étaient bien seules sur le réseau en 1994. Le fait qu'il y ai des problème n'enlève pas que l'évolution est super.
ben qu'est ce que vous attendez pour juste proposer vos compétences, vos services et participer ?
Ou utiliser une autre distro, ce n'est pas ce qu'il manque, il y en a qui sont secure.
Ici, si j'ai bien suivi, il 'agit de :
- Avertir les utilisateurs d'un risque (à eux de choisir de rester et proposer leurs compétence, ou changer de distro)
- Avertir les autres qu'il y a un risque de botnet et débattre de savoir si il faut en faire la pub ou pas aux autres
Ce n'est pas parce que ce sont des "gentils" qu'il ne faut pas dire des choses.
Pour caricaturer, tu dirais pour une mort accidentelle "ok, mais la personne a tué accidentellement une personne qu'elle voulait aider, alors plutôt que de la condamner pourquoi vous ne l'aideriez pas financièrement?", pas sûr qu'un juge accepte l'argument et dise "ha, dans ce cas, rien".
(oui, c'est une caricature, mais c'est pour montrer que l'argument "vous n'avez qu'à participer" n'est pas valide pour tout, et "ne pas avoir les moyens" n'est pas une excuse quand on parle de sécurité)
C'est juste une question !
Une question quand même dans le but de culpabiliser…
Et surtout une question HS quand on parle de sécurité, et si on ne parlait pas de sécurité (genre les réactions sur le post de "Fred B") la réponse peut être donc "parce qu'on ne comprend pas ce qu'elle apporte par rapport aux autres", mais c'est une histoire complètement différente ("- ha, le film est nul - t'as qu'à participer"). Note que l'argument (fausse question) est parfois valide, juste pas utilisable pour tout.
Bon, pour le plaisir de troller : la sécurité, c'est important, partout. meetbot.mageia.org n'est pas accessible en HTTPS, donc n'importe qui peut falsifier le log avant qu'il me soit transmis, et me dire ce qu'il a envie que je lise et non pas ce que vous vous êtes dites.
La mise à jour de cette machine n'a pas eu lieu pendant longtemps pour diverses raisons.
Excuse-moi, tu es en train de dire que tu demandes aux "méchants" d'attendre car vous n'avez pas eu le temps de vous occuper de la sécurité de vos machines?
La sécurité ne peut se permettre cette attente.
Bon, une dernière question : Sony qui aurait dit "ouais, vos données CB, c'est parce que La mise à jour de cette machine n'a pas eu lieu pendant longtemps pour diverses raisons", tu aurais réagis "ha, ok, merci pour l'info, plus de critiques doc"? On peut parler aussi de StartSLL.
Quand on gère la sécurité pour d'autres (ici, les autres filent les clés de leur accès à leur données, et à une machine pour bot), c'est un sacré engagement, ça n'attend pas.
Note que je ne sais pas si tout ça est vrai, mais si "tu peux prendre le controle du compte d'autres packageurs et commiter des trucs qui sembleront venir d'eux" car c'est trop vieux (certes hypothétique, mais comme pour WinXP), ça craint un peu quand même, et "pas le temps" n'est pas une excuse (si on n'a pas le temps, on éteint la machine pour éviter un hack potentiel, le temps d'avoir le temps).
Et comme ça été dit, ce n'est pas que vous (admin et utilisateurs), vu que ça donne accès potentiellement à des bots (à partir du moment où le ratio coût de hack / utilisateur est bon), donc tout le monde est potentiellement touché.
On est tous bien conscient du besoin de mettre a jour ces serveurs depuis longtemps, merci.
Le message "oui c'est comme WinXP, et alors? Circulez il n'y a rien à voir" est un peu léger et ne donne pas vraiment confiance dans l’intérêt que vous portez à la sécu alors que les utilisateurs vous donne la possibilité de leur filer des virus.
Après, certes on peut faire valoir que l'idée est qu'il n'y a pas assez d'utilisateurs pour que ça vaille le coup de chercher à entrer sur la machine malgré les faiblesses, mais c'est une sécurité bof quand même.
Et dire qu'un des arguments pour Linux en général est que les upgrades sont gratuits et que donc on n'est pas bloqué à une version dépassée…
Ceci n'était pas une tribune à la gloire de Cellou Diallo
Non, mais par contre on peut dire que c'est un défouloir, un goubli-boulga de tout, qui a pour seule conséquence de signifier aux lecteurs "ho la, ça part en couille, on rajoute du bordel complet à l’incohérence".
Et surtout, tu te poses de mauvaises questions, car en pratique : si c'est si horrible, pourquoi les gens extérieurs veulent venir en UE et non l'inverse?
Moi, je dirai que c'est sans doute parce que ce que tu conspues est bien mieux que ce que les autres ont, je dis ça comme ça…
Bref, tu rajoutes du hors sujet à déjà du hors sujet, ça ne fait que confirmer que les "défenseurs" n'ont pas bien réfléchi, et essayent juste de faire de la manipulation émotionnelle.
Et justement, c'est ça qui est pourri.
Note : je ne dis pas que tout est parfais, juste que cette attaque pourrie sur tout n'a aucune objectivité et rend impossible toute discussion (soit on adhère émotionnellement à ton délire, soit on sera des méchants).
Et à ceux qui voudraient poser des questions de flics, on vous traitera comme tels.
Façon NDDL "journalistes, c'est comme pour les flics, on va vous casser la gueule"? Ha oui, quelle bonne idée que d'insulter les gens comme ça…
Cette phrase menaçante rajoute de la pourriture.
PPS : j'ai eu beaucoup de mal à te lire à cause de ton orthographe plein de "⋅", encore une volonté de plus qu'on ne te prennes pas au sérieux?
Est-ce bien raisonnable de continuer à fournir aux utilisateurs une distribution dont la sécurité dépend d'une infrastructure complètement trouée ?
J'ai eu un "avertissement" (par des plugins) sur le SSL utilisé avec Firefox :
TLS 1.0, alors que TLS 1.2 permet d'éviter quelques attaques
SHA-1 toujours utilisé.
Plein d'alarmes sur SSLabs
J'imagine que ça vient du fait de la vieille distro sur la machine, mais ça fait pas sérieux.
Pas si facile de faire une offre sécurisée…
Bref, effectivement ça ne donne pas envie de filer les clés de sa machines à cette distro vu l'exemple donné (ouf, je ne l'utilise pas :) ).
sinon, pas compris l’intérêt de l'anti-spam en lecture.
PS : bon, pour le troll : alors pour une distro sécurisée, vous êtes CentOS ou Ubuntu?
On peut peut-être me traiter de naïf, mais j'ai l'impression que c'est la première fois que je suis confronté de manière aussi «violente» à de telles méthodes venant de militants humanistes.
tu ne t'y frottes pas assez. Perso c'est à chaque fois.
Dernièrement quand des personnes ont globalement balancé de bloquer une entreprise est l'essence d'une grève (thead), j'ai réagi en disant que c'était des bêtises énormes que de dire ça (c'est factuel, cf définition, ce n'est pas une opinion) et la réaction a été tout aussi violente (genre "quoi tu n'es pas d'accord avec la définition que j'ai décidé? alors tu es contre, t'es un méchant") dans le refus de voir la vérité en face, et en fait à chaque fois que tu oses pointer un problème de cohérence dans des arguments de gens n'ayant pas réfléchi mais sachant que ce qu'ils pensent est juste par magie, tu auras le droit à des réactions violentes pour une raison simple : tu remets en cause des idées qui sont la base de leur actions, et si ils perdent leur idées leur monde s'effondre. "facho" ou "humaniste", c'est la même réaction car c'est le même mode de fonctionnement (par pour rien que pas mal de monde passe de l'un à l'autre, genre même un des fondateurs de RSF ou des "féministes" ont pris la passerelle).
On parle d'idées politique, mais essaye de te frotter à des fan libristes avec juste une petite démonstration de leur illogisme (la version facile est l'anti-commercial, pas mal de libristes étant "anti-capitaliste car c'est méchant même si je ne sais pas pourquoi et un logiciel ose se faire du fric sur mon code sans rien me reverser est un pas gentil"), et ça sera pareil.
Pour revenir à notre exemple, il semble clair qu'aucun soutien qu'on a pu lire n'a eu le moindre esprit critique et n'a été curieux de savoir la vérité, et réagit violemment (c'était surtout sur la dépêche, la c'est "la fin") dès qu'on demande la vérité ou lui donne la définition de demandeur d'asile.
La vérité, cette ennemie moderne, pour tout le monde y compris les "humanistes".
Le processus sur le net et ailleurs, est essentiellement dominé par les careless-writers, cela est bien résumé par :
En caricaturant, la discussion est :
- C'est un mauvaise décision
- Pourquoi?
- C'est quoi ces questions? T'as qu'a te renseigner! careless-writers!
Super… Je serai méchant, je dirai qu'il y a un besoin de sortir des mots tout faits à tous prix, sans faire attention si ça colle ou pas.
Au final, la question reste : pourquoi est-ce que l'Etat aurait pris une mauvaise décision? Et autant maintenant que lors de la dépêche, personne n'est capable de répondre à cette question pourtant simple que par des arguments complètement hors sujet (Ebola, libre etc, tout ça est hors sujet pour une demande d'asile), et tu t’étonnes qu'on imagine une arnaque émotionnelle?
Tu auras probablement ces réponses en demandant à l'administration.
Je ne comprend pas : pourquoi trouves-tu anormal que je demandes à ses soutiens de me répondre à des questions SIMPLES?
J'aime troller, OK, mais je ne vois pas pourquoi j'irai perdre du temps à demander à d'autres des infos que même ses soutiens n'arrivent pas à savoir.
Ici (surtout dans la dépêche certes, ici ça semble plus de la compassion car ça a été rejeté), on veut mon soutien/compassion sans RIEN m'expliquer et juste viser mes émotions. C'est de la manipulation.
Ce que tu refuses de comprendre, c'est que la critique est sur le manque d'esprit critique de ses soutiens. Tu dis qu'on devrait tout vérifier quand quelqu’un vient nous dire "j'ai un problème", c'est une plaisanterie?
J'ai surtout l'impression que vous estimez que l'expulsion est normale car des gens (pas l'intéressé) relatent de façon incohérente les choses.
J'ai surtout l’impression qu'on trouve anormal de demander notre soutiens sans nous expliquer, juste parce que la personne serait libriste.
J'ai surtout l'impression que les gens ici te répondre que jusqu'à ce que quelqu'un apporte la preuve que c'est anormal, ben ça semble normal.
Bizarrement, bizarrement, tu ne demandes pas aux soutiens d'apporter la moindre preuve de ce qu'ils disent.
2 poids, 2 mesures.
Passons, de toutes façons tu sembles ne même pas essayer de comprendre ce qu'on te répond, ça tourne en rond.
Tu n'arrives pas à comprendre que même ce que tu trouves n'est pas plus cohérent?
N’ayant plus d’attache dans son pays, il demande donc l’asile sur notre territoire.
Hors sujet car n'est pas un critère de demande d'asile, incohérent que ce soit écrit comme ça à part pour tenter de manipuler avec de l'émotionnel. Mais toi tu trouves ça cohérent, va comprendre pourquoi…
Note que la dépêche parle de 2011 ("Cellou est arrivé en France en 2011" vs ""Cellou est arrivé en France en 2009", c'est textuellement ça, je n'ai rien inventé) pour son arrivée en France et là on parle de 2009, ça part dans tous les sens! He les gars "soutiens", mettez-vous un minimum d'accord sur l'histoire à vendre…
Quand est-il arrivé en France?
Quand a-t-il posé sa demande d'asile? (si il est venu en France à cause de persécution dans son pays, il a dû poser sa demande juste après être arrivé en France et non pas à la fin de son visa pour études, ça donne entre 5 et 7 ans pour la durée de traitement, ça me parait long, je sais que c'est long mais il me semble que c'est plutôt de l'ordre de 1-2 ans, je me trompes?)
Bref, tu te mets à critiquer des gens critiques sans aucunement démontrer qu'ils sont critiques pour de mauvaises raisons (au contraire, tu ajoutes de la méfiance "alarme rouge sur tentative de manipulation émotionnelle"), où veux-tu en venir?
Et finalement : aura-ton un jour la vérité (les faits) sur cette histoire incohérente de partout? Je suis étonné que les soutiens ne se soient pas attaché à écrire une bête page web disant "bon, assez des erreurs, voila la version officielle et basez vous la dessus pour en parler", trop difficile?
En attendant, des gens le soutiennent sans RIEN savoir sur lui (à part qu'il fait un peu de libre, ce dont on se fout complet pour une demande d'asile, par contre utile pour la manipulation émotionnelle).
[^] # Re: A ceux qui critiquent....
Posté par Zenitram (site web personnel) . En réponse au journal Pas de mises à jour de sécurité depuis 5 ans sur l’infrastructure Mageia. Est‐ce bien raisonnable ?. Évalué à -2.
Tu parles de distros a tres long support, justement parce qu'on sait que ca va etre chaud pour migrer.
Ici, on parle de Mageia 1 tué 6 mois après la sortie de Mageia 2, et on parle aussi de migrer à Mageia 5 qui mourra 3 mois après la sortie de Mageia 6. Donc les admins affirment qu'ils auront le temps (sinon ils auraient mis CentOS 7, 10 ans de support gratuit) de migrer de nouveau dans un créneau de 3 mois alors qu'ils n'ont pas pris le temps en 4 ans.
Et surtout, ils n'ont pas rembarré.
Ils ont bien merdé, et à ma connaissance jamais dit que la faute était à "pas le temps" ou autre.
Note que ce ne fut pas un problème de non MAJ mais une erreur humaine (comme pour Amazon).
Critique forte inconsciente de Mageia?
[^] # Re: Tu ne sais pas
Posté par Zenitram (site web personnel) . En réponse au journal Pas de mises à jour de sécurité depuis 5 ans sur l’infrastructure Mageia. Est‐ce bien raisonnable ?. Évalué à 5.
Il ne fait pas : "tu n'as aucune démonstration que ça craint, arrête de dire que ça craint".
Il le fait : "c'est pas bien, fallait pas".
Bravo!
[^] # Re: Et ils continuent de nier le problème ...
Posté par Zenitram (site web personnel) . En réponse au journal Pas de mises à jour de sécurité depuis 5 ans sur l’infrastructure Mageia. Est‐ce bien raisonnable ?. Évalué à -5.
C'est peut-être la le problème : ne pas avoir su s'arrêter avant que ça devienne dangereux au niveau sécurité.
Je crois qu'il y a un problème de compréhension : le sujet n'est pas que les bénévoles doivent être des esclaves, mais qu'il font croire qu'ils font ce qu'il faut pour protéger un minimum, le sujet est qu'il semble impossible de se dire "ok, on n'a plus assez de monde, on ferme avant que ça casse".
Et généralement fait sur des infras à jour, c'est dire le risque encouru sur des infras pas à jour.
C'est bien le soucis.
D'après ce qu'on lit, ce n'était pas oublié mais bien connu.
Pire, une fois que ça a été public, ça n'a pas été coupé dans l'heure.
Bref, on parle de raison, on explique, mais expliquer n'est pas excuser, ce sont deux choses différentes.
Je crois que personne ne critique le travail bénévole, la critique est que le bénévolat n'excuse pas de mettre en danger.
Et tant qu'on parle de 2 choses différentes (l'explication et le résultat), on n'arrivera sans doute pas à ce comprendre.
Maintenant que les serveurs ont été mis hors ligne, la question est peut-être de savoir arrêter plutôt que de faire un burnout à migrer, mais ça ne semble pas en discussion, et ça ce n'est pas la faute de ceux qui ont montré le problème.
[^] # Re: Et ils continuent de nier le problème ...
Posté par Zenitram (site web personnel) . En réponse au journal Pas de mises à jour de sécurité depuis 5 ans sur l’infrastructure Mageia. Est‐ce bien raisonnable ?. Évalué à -6.
Question idiote : à quoi ça sert l'indication "end of life" que vous mettez sur https://www.mageia.org/fr/support/ ?
Nan, parce que bon, j'ai l'impression que les admin sys de Mageia ne comprennent pas ce que ça veut dire, faudrait peut-être leur faire un cours (alors qu'on me dit que se sont des pointures dans ce domaine, j'y comprend rien, moi mes admins sys pas des pointures ils m'engueulent si je ne leur laisse pas le temps de faire les migrations car ils savent que les personnes sur lesquelles ils comptent pour la sécurité ont dit qu'elles ne faisaient plus le taf sinon).
Disons que vu les réactions outrées qui ont été reçues, la façon de nier les problèmes, ça n'aide pas. Il n'y a pas besoin d'être admin sys pour se rendre compte qu'il y a un gros problème, car la communication "end of life" des support est justement pour alerter des problèmes.
Et le pire est peut-être que vous le saviez (surtout que les personnes disant EOL pour la distro doivent être proches des admins sys), mais "pas grave tant que c'est pas mis trop en public", qui n'aide pas à compatir.
(en fait, le problème est que vous n'avez aucune porte de sortie correcte, certes)
tu parles de malfrat, mais pour donner quelque chose d'équivalent une personne faisant un homicide involontaire est quand même une personne faisant un homicide et est condamné pour ça, quand bien même ce fût involontaire avec toutes les bonnes intentions du monde et pas eu le temps de vérifier la sécurité, et vaut mieux se prendre un "mais tu vas le tuer, arrête" que d'arriver au pire, non?
[^] # Re: Et ils continuent de nier le problème ...
Posté par Zenitram (site web personnel) . En réponse au journal Pas de mises à jour de sécurité depuis 5 ans sur l’infrastructure Mageia. Est‐ce bien raisonnable ?. Évalué à 3. Dernière modification le 05 avril 2017 à 20:41.
J'ai l'impression que vous n'avez toujours pas compris l'importance du problème : une personne a pointé du doigt un truc non maintenu dans votre infra depuis 4 ans. Ca veut dire que pendant 4 ans vous étiez à poil (c'est vous qui le dites, "end of life" a été décidé par vous) et que n'importe qui ayant intérêt à vous prendre vos machines pouvait trouver une faille dans une version pas à jour des logiciels de la distro, et ce de pire en pire dans le temps (failles non corrigées).
Ici, vous la jouez logiciels proprio "sécurité par l'obscurité" sauf que c'est pas si obscure (c'est public, suffit de chercher un peu), votre seul avantage est que pas/plus foule n'est chez vous donc ça ne rend pas les attaques intéressantes.
J'imagine qu'on peut préparer un message "on vous a mis à poil pendant 4 ans, on n'est plus capable d'assurer un minimum de sécurité depuis des années, on vous conseille de passer à CentOS pour les conservateurs et Fedora pour les bleding edge et faites bien attention à ne prendre aucun exécutable de l'ancienne install, en attendant qu'on voit ce qu'on peut faire pour ressusciter Mageia" mais pas sûr que vous acceptiez le coup de main vu comment vous réagissez.
au passage, vous n'avez pas eu assez de ressources, ok, des malades ok, mais du coup vous savez comment vous allez faire quand Mageia 6 va sortir? Car vous aurez alors 3 mois pour migrer toutes vos machines vers Mageia 6, sous peine de retomber dans le problème "end of life" de ce que vous avez, et 3 mois c'est court (mais c'est vous qui l'avez décidé donc ce n'est pas critiquable).
Vous faire troller est un coup de pied bien doux par rapport à ce que vous auriez pu vous prendre, vous pourriez même les remercier.
Quand on s'engage à gérer la sécurité d'autres personnes, il faut un minimum, ou il vaut mieux ne rien faire, faire pour faire n'est que rarement une bonne chose, et parfois il faut savoir s'arrêter avant qu'il y est plus de dégâts. Et oui, les tiers non utilisateurs peuvent aussi être impactés (les DDOS sont fait à partir de machines dont la sécurité est traité à la légère, mais d'habitudes c'est par des gens pas au fait de la sécurité).
En attendant, avant je n'avais pas d'avis sur Mageia, maintenant j'en ai un pour quand on me demandera mon avis (rare, mais ça arrivait de temps à autre avec des français surtout).
[^] # Re: Pourquoi ici ?
Posté par Zenitram (site web personnel) . En réponse au journal Pas de mises à jour de sécurité depuis 5 ans sur l’infrastructure Mageia. Est‐ce bien raisonnable ?. Évalué à 2. Dernière modification le 05 avril 2017 à 16:57.
Expliquer n'est pas déresponsabiliser.
Je connais le problème, et je comprend l'explication. Mais ça n'excuse pas.
(devant un juge, c'est pareil : expliquer permet de comprendre, ça permet de voir le soucis, ça adapte la peine; mais ça ne change rien dans la condamnation)
Et quand on est un point d'entrée pour accéder à plein de machines, on prend une responsabilité.
Je l'ai dit ailleurs, mais je le redis : être bénévole ne permet pas de faire n'importe quoi sous excuse de ne pas avoir les moyens, ça ne change rien dans la responsabilité de sécurité qu'on a.
Donc revenir à parler de bénévoles ne fait qu'enfoncer plus Mageia dans le sens où ses défenseurs ne semblent pas comprendre le problème de sécurité. Tout le monde sait qu'ils sont bénévoles, personne ne dit qu'ils sont riches, alors pourquoi parler de sous hors sujet quand on parle de sécurité?
Accepterais-tu d'avoir un accident de voiture et être blessé et de te faire dire "ouais mais la le pote qui a réparé il te la fait bénévolement alors c'est différent" (non, ce n'est pas différent, il est responsable, encore heureux).
Donc : je propose qu'on arrête de chercher des excuses, et qu'on accepte qu'il y a un problème à résoudre (note : ça semble être le cas, j'ai lu que les machines ont été retirée du réseau).
[^] # Re: Pourquoi ici ?
Posté par Zenitram (site web personnel) . En réponse au journal Pas de mises à jour de sécurité depuis 5 ans sur l’infrastructure Mageia. Est‐ce bien raisonnable ?. Évalué à -4. Dernière modification le 05 avril 2017 à 15:17.
OK, mais n'oublie pas… C'est des deux côtés, je n'ai pas l'impression que la réactions des personnes impliquées ai été un modèle de sympathie.
D'autres ont pointé du doigt la réaction "autruche" lors d'une critique sur Mageia 6.
Oui et non :
- Offrir un repas de manière gentille n'autorise pas à donner un repas sans hygiène; en fait, ça n'a rien à voir.
- aujourd'hui il ne doit rien à personne, mais demain si ça se fait trouer c'est une petite armée de bots et des données persos dans la nature, et la ça devra des choses. Peut-être faut--il troller et insulter avant, pour pas que ça empire un jour (pas arrivé, certes, mais faut-il attendre?)
- l'extérieur doit autant en gentillesse envers Mageia que Mageia doit quelque chose à l'extérieur, c'est à dire aucune. A ma connaissance, quand Sony se fait trouer ou un vendeur de vibromasseur se fait pomper les vidéos ou quand Samsung a 40 failles 0-day, il n'y a pas foule pour les défendre alors qu'ils ne te doivent rien non plus, et tu ne critiques pas les gens qui critiquent ces failles. Ben, pour Mageia c'est pareil (le fait que ce soit des bénévoles ne change rien à la problématique de sécurité quand on diffuse quelque chose), c'est tout (voir c'est pire car les admins sont sensés être "la crème de la crème nous on fait attention pas comme ces capitalistes")
Demande-leur si voir leur nom associé à l'idée de ne pas être dérangé plus que ça (même bénévolement, le "prix" n'est pas le sujet) par une infrastructure reposant sur une version de distro plus maintenue depuis 4 ans est positif pour leur CV, maintenant que ça part un peu plus loin que leur ML.
[^] # Re: intrusion ?
Posté par Zenitram (site web personnel) . En réponse au journal Pas de mises à jour de sécurité depuis 5 ans sur l’infrastructure Mageia. Est‐ce bien raisonnable ?. Évalué à 0. Dernière modification le 05 avril 2017 à 12:11.
tu penses sérieusement que c'est infaisable même en HTTP? (c'est le sous-entendu de ta "question")
Wow…
Si tu es prêt à payer pour (c'est du temps que je facture), pas de soucis je m'engage à te faire la démo ou te payer la même somme en pénalités (pour montrer que je m'engage).
[^] # Re: Dans ce cas, ça me donnerait bien envie de quitter la région parisienne ....
Posté par Zenitram (site web personnel) . En réponse au message [poste pourvu] Poste ingénieur R&D en développement python à Grenoble - CDI. Évalué à 1.
Tiens, ça me rappelle un troll.
[^] # Re: A ceux qui critiquent....
Posté par Zenitram (site web personnel) . En réponse au journal Pas de mises à jour de sécurité depuis 5 ans sur l’infrastructure Mageia. Est‐ce bien raisonnable ?. Évalué à -5. Dernière modification le 05 avril 2017 à 11:44.
Si, il a pris une décision : ne pas prendre de décision est une décision (oui ça se mort la queue mais voila, c'est comme ça) quand ça touche la sécurité, la décision a été de laisser une vieille version plus maintenue depuis 4 ans en marche et accessible sur Internet.
OK, je note que le conseil de Mageia considère qu'une version non maintenue et sans personne pour suivre sa sécurité depuis 4 ans n'est pas un problème de sécurité sur une infrastructure.
Le journal en est d'autant plus intéressant donc que le conseil semble affirmer que ce n'est pas un problème.
(wow… D'habitude je lis ça dans des entreprises n'ayant rien à faire de la sécurité et voulant vendre à tout prix)
Faudrait penser à faire un article quelque part "Nous affirmons qu'utiliser une vieille version plus maintenue d'un OS n'est pas un problème de sécurité en soit, ça dépend", ça devrait être utile à plein d'entreprises qui se font critiquer pour ne pas avoir une infrastructure à jour et ne veulent pas investir dans un changement sans se faire d'abord trouer.
Sinon, si vous l'utilisez sans que ça dérange et que vous avez confiance, pourquoi ne pas déclarer Mageia 1 comme maintenue? Vous n'êtes pas logique à dire aux autres que c'est plus à utiliser mais à continuer vous-même à l'utiliser, en terme de com' c'est bof.
[^] # Re: Toujours pareil : comment prendre position sur la base d'informations parcellaires?
Posté par Zenitram (site web personnel) . En réponse au journal La demande d'asile de Cellou Diallo finalement refusée. Évalué à 0.
Je ne te visais pas :), je pensais plutôt à la dépêche en lien et le blog en lien où les gens appellent à soutenir.
Pour la débat sur la présentation plus neutre, on a déjà discuté et tu as déjà vu et corrigé la partie moins neutre.
[^] # Re: A ceux qui critiquent....
Posté par Zenitram (site web personnel) . En réponse au journal Pas de mises à jour de sécurité depuis 5 ans sur l’infrastructure Mageia. Est‐ce bien raisonnable ?. Évalué à 0. Dernière modification le 05 avril 2017 à 11:01.
Je crois qu'il y a un problème de compréhension : la critique est que le conseil n'ai pas pris en compte la gravité soulevée, sans être sysadmin (fin de vie de Mageia 1 est il y a 4 ans, c'est facile à lire) et n'a pas répondu au problème (même pas un officiel "rien à foutre vous nous faites chier ça va très bien d'utiliser une version qu'on a donné comme morte il y a 4 ans" ou une décision "ok on a des sysadmin à la bourre on leur dit d'éteindre la machine en attendant").
Bref, tu évites le sujet, comme il a été évité lors du conseil.
C'est un choix, pas de soucis vous êtes grands et capable de vous défendre en justice en cas de hack faisant de vous un fournisseur de virus/bot (pas sûr que le "as is" marche pour une faute sur la sécurité, en ce moment la justice se penche sur la responsabilité des gens qui ne font pas attnetion à la sécurité des données privées), mais c'est aussi un choix des gens extérieurs de signaler aux utilisateurs (et autres) que la sécurité n'est pas prise au sérieux jusqu'au conseil Mageia (dont un membre considère que les gens remontant ce problème sont juste des trolls) et de leur conseiller de changer de distro pour cette raison.
# Mauvaise excuse
Posté par Zenitram (site web personnel) . En réponse au message [poste pourvu] Poste ingénieur R&D en développement python à Grenoble - CDI. Évalué à 2.
Tu n'auras pas plus de candidats corrects, car c'est une mauvaise excuse pour te culpabiliser : en CDI, tu as la période d'essai, qui a exactement le même effet sur une personne qui quitterait son poste.
Les seules différences sont que la "période d'essai" (qui peut aussi être sur l'activité, tu n'as pas à dire pour quelle raison tu licencies pendant la période d'essai, en théorie c'est sanctionnable de virer pour motif économique mais en pratique difficilement prouvable car c'est au salarié de prouver et pas à l'employeur d'expliquer, ton salarié te demande donc de lui mentir plutôt que d'être franc) est d'une durée différente (4 à 8 mois suivant le profil) et que le salarié n'a pas les 10% de prime de précarité (il est précaire, mais veut que tu ne lui payes pas la prime de précarité si ça merde, va comprendre; perso je trouve justement que le CDD est un engagement te la part de l'employeur à plus payer si il ne transforme pas le CDD en CDI donc une "punition" pour s'être loupé et un bonus pour l'employé malheureux).
Et même sans ça, au bout de 6 mois tu pourrais aussi licencier pour motif économique (c'est juste plus chiant en paperasse) donc un CDI ne protège de rien de plus que le CDD au début (économique, c'est souvent dernier arrivé premier à partir, on repart à 0 quand on démissionne).
Bref, ceux qui te disent qu'ils ne sont pas intéressés car ça commence par un CDD ne prendront pas cette offre ni aucune autre offre excepté celles n'ayant pas de période d'essai (ce qui est rare, et ça se fait plutôt entre personnes "qui se connaissent" au moins de réputation, pas en recherche comme tu le fais), à moins d'être assez stupide pour croire que c'est plus protecteur (la question sera alors de savoir si tu veux prendre une telle personne).
Ne culpabilise pas avec ton offre de CDD.
[^] # Re: TV Samsung
Posté par Zenitram (site web personnel) . En réponse au journal 40 failles 0-day découvertes dans Tizen. Évalué à 4. Dernière modification le 05 avril 2017 à 08:13.
Ca partait pas trop mal dans l'analyse, mais à un moment c'est parti en vrille, genre :
tu as oublié une truc : c'est normal (pour l'acheteur, économiquement) de vouloir un lave-vaisselle qui dure 10 ans si celui-ci coûte 10x moins cher que celui qui dure 25 ans.
Balancer cet exemple sans parler coût détruit l'idée d'objectivité que tu aurais, ça part dans le populisme facile "on nous arnaque".
Note que je ne suis pas contre les lave-vaisselles qui durent 25 ans, mais le problème n'est pas chez les constructeurs, juste chez le peuple (qui ne passe pas de lois mettant tout le monde à égalité à devoir prendre en compte la récupération et le recyclage), bref tu attaques la mauvaise cible.
Pour le reste, je ne désespère pas autant que toi, ces dernières année on a vu plus de contrôles de restaurant pour l’hygiène (équivalent SSL en restaurant), les gens sont plus sensibilisés et demandent de l’hygiène, et ça met juste un peut plus de temps pour l'informatique le temps que les procès arrivent (et ça arrive déjà pas mal, les boites doivent payer, donc à un moment ça va devenir plus rentable d'embaucher que de payer les pénalités).
Bref, ça viendra.
Note que tu parles des gens lambda, mais les personnes "plus sensibilisées" (genre des informaticiens / admin sys) disent aussi on n'a pas le temps donc on garde la distro Linux plus maintenue, le problème de la sécurité n'est pas que l'utilisateur lambda, il est aussi les informaticiens / admin sys même compétents qu'il faut sensibiliser tout autant sur le fait que ça n'attend pas.
Ou alors ça devient justement bien, avec plein de choses différentes pour rendre service à plus que les quelques personnes qui étaient bien seules sur le réseau en 1994. Le fait qu'il y ai des problème n'enlève pas que l'évolution est super.
[^] # Re: A ceux qui critiquent....
Posté par Zenitram (site web personnel) . En réponse au journal Pas de mises à jour de sécurité depuis 5 ans sur l’infrastructure Mageia. Est‐ce bien raisonnable ?. Évalué à 1. Dernière modification le 05 avril 2017 à 06:51.
Ou utiliser une autre distro, ce n'est pas ce qu'il manque, il y en a qui sont secure.
Ici, si j'ai bien suivi, il 'agit de :
- Avertir les utilisateurs d'un risque (à eux de choisir de rester et proposer leurs compétence, ou changer de distro)
- Avertir les autres qu'il y a un risque de botnet et débattre de savoir si il faut en faire la pub ou pas aux autres
Ce n'est pas parce que ce sont des "gentils" qu'il ne faut pas dire des choses.
Pour caricaturer, tu dirais pour une mort accidentelle "ok, mais la personne a tué accidentellement une personne qu'elle voulait aider, alors plutôt que de la condamner pourquoi vous ne l'aideriez pas financièrement?", pas sûr qu'un juge accepte l'argument et dise "ha, dans ce cas, rien".
(oui, c'est une caricature, mais c'est pour montrer que l'argument "vous n'avez qu'à participer" n'est pas valide pour tout, et "ne pas avoir les moyens" n'est pas une excuse quand on parle de sécurité)
Une question quand même dans le but de culpabiliser…
Et surtout une question HS quand on parle de sécurité, et si on ne parlait pas de sécurité (genre les réactions sur le post de "Fred B") la réponse peut être donc "parce qu'on ne comprend pas ce qu'elle apporte par rapport aux autres", mais c'est une histoire complètement différente ("- ha, le film est nul - t'as qu'à participer"). Note que l'argument (fausse question) est parfois valide, juste pas utilisable pour tout.
[^] # Re: intrusion ?
Posté par Zenitram (site web personnel) . En réponse au journal Pas de mises à jour de sécurité depuis 5 ans sur l’infrastructure Mageia. Est‐ce bien raisonnable ?. Évalué à -2.
Bon, pour le plaisir de troller : la sécurité, c'est important, partout. meetbot.mageia.org n'est pas accessible en HTTPS, donc n'importe qui peut falsifier le log avant qu'il me soit transmis, et me dire ce qu'il a envie que je lise et non pas ce que vous vous êtes dites.
PS : oui, la, c'est vraiment pour le plaisir :).
[^] # Re: Pourquoi ici ?
Posté par Zenitram (site web personnel) . En réponse au journal Pas de mises à jour de sécurité depuis 5 ans sur l’infrastructure Mageia. Est‐ce bien raisonnable ?. Évalué à 3. Dernière modification le 04 avril 2017 à 22:12.
Vu que tu as éveillé ma curiosité pendant une pause de recherche de bug qui me gonfle, pour le fainéants :
- Mageia 6… Ou comment tomber de Charybde en Scylla ?
- et sa suite / résumé
Si je ne me suis pas trompé.
Intéressant… (mais violent)
[^] # Re: Tu ne sais pas
Posté par Zenitram (site web personnel) . En réponse au journal Pas de mises à jour de sécurité depuis 5 ans sur l’infrastructure Mageia. Est‐ce bien raisonnable ?. Évalué à 1. Dernière modification le 04 avril 2017 à 22:10.
Excuse-moi, tu es en train de dire que tu demandes aux "méchants" d'attendre car vous n'avez pas eu le temps de vous occuper de la sécurité de vos machines?
La sécurité ne peut se permettre cette attente.
Bon, une dernière question : Sony qui aurait dit "ouais, vos données CB, c'est parce que La mise à jour de cette machine n'a pas eu lieu pendant longtemps pour diverses raisons", tu aurais réagis "ha, ok, merci pour l'info, plus de critiques doc"? On peut parler aussi de StartSLL.
Quand on gère la sécurité pour d'autres (ici, les autres filent les clés de leur accès à leur données, et à une machine pour bot), c'est un sacré engagement, ça n'attend pas.
Note que je ne sais pas si tout ça est vrai, mais si "tu peux prendre le controle du compte d'autres packageurs et commiter des trucs qui sembleront venir d'eux" car c'est trop vieux (certes hypothétique, mais comme pour WinXP), ça craint un peu quand même, et "pas le temps" n'est pas une excuse (si on n'a pas le temps, on éteint la machine pour éviter un hack potentiel, le temps d'avoir le temps).
Et comme ça été dit, ce n'est pas que vous (admin et utilisateurs), vu que ça donne accès potentiellement à des bots (à partir du moment où le ratio coût de hack / utilisateur est bon), donc tout le monde est potentiellement touché.
[^] # Re: Tu ne sais pas
Posté par Zenitram (site web personnel) . En réponse au journal Pas de mises à jour de sécurité depuis 5 ans sur l’infrastructure Mageia. Est‐ce bien raisonnable ?. Évalué à 3. Dernière modification le 04 avril 2017 à 20:03.
Le message "oui c'est comme WinXP, et alors? Circulez il n'y a rien à voir" est un peu léger et ne donne pas vraiment confiance dans l’intérêt que vous portez à la sécu alors que les utilisateurs vous donne la possibilité de leur filer des virus.
Après, certes on peut faire valoir que l'idée est qu'il n'y a pas assez d'utilisateurs pour que ça vaille le coup de chercher à entrer sur la machine malgré les faiblesses, mais c'est une sécurité bof quand même.
Et dire qu'un des arguments pour Linux en général est que les upgrades sont gratuits et que donc on n'est pas bloqué à une version dépassée…
[^] # Re: Precision
Posté par Zenitram (site web personnel) . En réponse au journal La demande d'asile de Cellou Diallo finalement refusée. Évalué à 1. Dernière modification le 04 avril 2017 à 19:27.
Non, mais par contre on peut dire que c'est un défouloir, un goubli-boulga de tout, qui a pour seule conséquence de signifier aux lecteurs "ho la, ça part en couille, on rajoute du bordel complet à l’incohérence".
Et surtout, tu te poses de mauvaises questions, car en pratique : si c'est si horrible, pourquoi les gens extérieurs veulent venir en UE et non l'inverse?
Moi, je dirai que c'est sans doute parce que ce que tu conspues est bien mieux que ce que les autres ont, je dis ça comme ça…
Bref, tu rajoutes du hors sujet à déjà du hors sujet, ça ne fait que confirmer que les "défenseurs" n'ont pas bien réfléchi, et essayent juste de faire de la manipulation émotionnelle.
Et justement, c'est ça qui est pourri.
Note : je ne dis pas que tout est parfais, juste que cette attaque pourrie sur tout n'a aucune objectivité et rend impossible toute discussion (soit on adhère émotionnellement à ton délire, soit on sera des méchants).
Façon NDDL "journalistes, c'est comme pour les flics, on va vous casser la gueule"? Ha oui, quelle bonne idée que d'insulter les gens comme ça…
Cette phrase menaçante rajoute de la pourriture.
PPS : j'ai eu beaucoup de mal à te lire à cause de ton orthographe plein de "⋅", encore une volonté de plus qu'on ne te prennes pas au sérieux?
# Ha, ouais.
Posté par Zenitram (site web personnel) . En réponse au journal Pas de mises à jour de sécurité depuis 5 ans sur l’infrastructure Mageia. Est‐ce bien raisonnable ?. Évalué à 6.
J'ai eu un "avertissement" (par des plugins) sur le SSL utilisé avec Firefox :
TLS 1.0, alors que TLS 1.2 permet d'éviter quelques attaques
SHA-1 toujours utilisé.
Plein d'alarmes sur SSLabs
J'imagine que ça vient du fait de la vieille distro sur la machine, mais ça fait pas sérieux.
Pas si facile de faire une offre sécurisée…
Bref, effectivement ça ne donne pas envie de filer les clés de sa machines à cette distro vu l'exemple donné (ouf, je ne l'utilise pas :) ).
sinon, pas compris l’intérêt de l'anti-spam en lecture.
PS : bon, pour le troll : alors pour une distro sécurisée, vous êtes CentOS ou Ubuntu?
[^] # Re: Precision
Posté par Zenitram (site web personnel) . En réponse au journal La demande d'asile de Cellou Diallo finalement refusée. Évalué à -3. Dernière modification le 04 avril 2017 à 17:34.
Allez puisque tu m'incites à lancer un troll…
tu ne t'y frottes pas assez. Perso c'est à chaque fois.
Dernièrement quand des personnes ont globalement balancé de bloquer une entreprise est l'essence d'une grève (thead), j'ai réagi en disant que c'était des bêtises énormes que de dire ça (c'est factuel, cf définition, ce n'est pas une opinion) et la réaction a été tout aussi violente (genre "quoi tu n'es pas d'accord avec la définition que j'ai décidé? alors tu es contre, t'es un méchant") dans le refus de voir la vérité en face, et en fait à chaque fois que tu oses pointer un problème de cohérence dans des arguments de gens n'ayant pas réfléchi mais sachant que ce qu'ils pensent est juste par magie, tu auras le droit à des réactions violentes pour une raison simple : tu remets en cause des idées qui sont la base de leur actions, et si ils perdent leur idées leur monde s'effondre. "facho" ou "humaniste", c'est la même réaction car c'est le même mode de fonctionnement (par pour rien que pas mal de monde passe de l'un à l'autre, genre même un des fondateurs de RSF ou des "féministes" ont pris la passerelle).
On parle d'idées politique, mais essaye de te frotter à des fan libristes avec juste une petite démonstration de leur illogisme (la version facile est l'anti-commercial, pas mal de libristes étant "anti-capitaliste car c'est méchant même si je ne sais pas pourquoi et un logiciel ose se faire du fric sur mon code sans rien me reverser est un pas gentil"), et ça sera pareil.
Pour revenir à notre exemple, il semble clair qu'aucun soutien qu'on a pu lire n'a eu le moindre esprit critique et n'a été curieux de savoir la vérité, et réagit violemment (c'était surtout sur la dépêche, la c'est "la fin") dès qu'on demande la vérité ou lui donne la définition de demandeur d'asile.
La vérité, cette ennemie moderne, pour tout le monde y compris les "humanistes".
[^] # Re: Toujours pareil : comment prendre position sur la base d'informations parcellaires?
Posté par Zenitram (site web personnel) . En réponse au journal La demande d'asile de Cellou Diallo finalement refusée. Évalué à 2. Dernière modification le 04 avril 2017 à 15:56.
En caricaturant, la discussion est :
- C'est un mauvaise décision
- Pourquoi?
- C'est quoi ces questions? T'as qu'a te renseigner! careless-writers!
Super… Je serai méchant, je dirai qu'il y a un besoin de sortir des mots tout faits à tous prix, sans faire attention si ça colle ou pas.
Au final, la question reste : pourquoi est-ce que l'Etat aurait pris une mauvaise décision? Et autant maintenant que lors de la dépêche, personne n'est capable de répondre à cette question pourtant simple que par des arguments complètement hors sujet (Ebola, libre etc, tout ça est hors sujet pour une demande d'asile), et tu t’étonnes qu'on imagine une arnaque émotionnelle?
[^] # Re: Toujours pareil : comment prendre position sur la base d'informations parcellaires?
Posté par Zenitram (site web personnel) . En réponse au journal La demande d'asile de Cellou Diallo finalement refusée. Évalué à 0. Dernière modification le 04 avril 2017 à 15:41.
Je ne comprend pas : pourquoi trouves-tu anormal que je demandes à ses soutiens de me répondre à des questions SIMPLES?
J'aime troller, OK, mais je ne vois pas pourquoi j'irai perdre du temps à demander à d'autres des infos que même ses soutiens n'arrivent pas à savoir.
Ici (surtout dans la dépêche certes, ici ça semble plus de la compassion car ça a été rejeté), on veut mon soutien/compassion sans RIEN m'expliquer et juste viser mes émotions. C'est de la manipulation.
Ce que tu refuses de comprendre, c'est que la critique est sur le manque d'esprit critique de ses soutiens. Tu dis qu'on devrait tout vérifier quand quelqu’un vient nous dire "j'ai un problème", c'est une plaisanterie?
J'ai surtout l’impression qu'on trouve anormal de demander notre soutiens sans nous expliquer, juste parce que la personne serait libriste.
J'ai surtout l'impression que les gens ici te répondre que jusqu'à ce que quelqu'un apporte la preuve que c'est anormal, ben ça semble normal.
Bizarrement, bizarrement, tu ne demandes pas aux soutiens d'apporter la moindre preuve de ce qu'ils disent.
2 poids, 2 mesures.
Passons, de toutes façons tu sembles ne même pas essayer de comprendre ce qu'on te répond, ça tourne en rond.
[^] # Re: Toujours pareil : comment prendre position sur la base d'informations parcellaires?
Posté par Zenitram (site web personnel) . En réponse au journal La demande d'asile de Cellou Diallo finalement refusée. Évalué à 3. Dernière modification le 04 avril 2017 à 15:08.
Tu n'arrives pas à comprendre que même ce que tu trouves n'est pas plus cohérent?
Hors sujet car n'est pas un critère de demande d'asile, incohérent que ce soit écrit comme ça à part pour tenter de manipuler avec de l'émotionnel. Mais toi tu trouves ça cohérent, va comprendre pourquoi…
Note que la dépêche parle de 2011 ("Cellou est arrivé en France en 2011" vs ""Cellou est arrivé en France en 2009", c'est textuellement ça, je n'ai rien inventé) pour son arrivée en France et là on parle de 2009, ça part dans tous les sens! He les gars "soutiens", mettez-vous un minimum d'accord sur l'histoire à vendre…
Quand est-il arrivé en France?
Quand a-t-il posé sa demande d'asile? (si il est venu en France à cause de persécution dans son pays, il a dû poser sa demande juste après être arrivé en France et non pas à la fin de son visa pour études, ça donne entre 5 et 7 ans pour la durée de traitement, ça me parait long, je sais que c'est long mais il me semble que c'est plutôt de l'ordre de 1-2 ans, je me trompes?)
Bref, tu te mets à critiquer des gens critiques sans aucunement démontrer qu'ils sont critiques pour de mauvaises raisons (au contraire, tu ajoutes de la méfiance "alarme rouge sur tentative de manipulation émotionnelle"), où veux-tu en venir?
Et finalement : aura-ton un jour la vérité (les faits) sur cette histoire incohérente de partout? Je suis étonné que les soutiens ne se soient pas attaché à écrire une bête page web disant "bon, assez des erreurs, voila la version officielle et basez vous la dessus pour en parler", trop difficile?
En attendant, des gens le soutiennent sans RIEN savoir sur lui (à part qu'il fait un peu de libre, ce dont on se fout complet pour une demande d'asile, par contre utile pour la manipulation émotionnelle).