T'es-tu renseigné avant de dire ça? visiblement non.
Le post de blog dit clairement que c'est à cause de la visibilité, et non pas du post sur la ML qui n'aurait rien changé (ils connaissaient le faille, ils considéraient comme non urgent jusqu'à… Ce soit visible sur des sites tiers, ce n'est pas moi qui le dit mais eux).
Donc la personne que tu conspues est la personne qui a fait la seule chose (je met volontairement de côté la partie "faire l'upgrade" car c'est limité à quelques personnes et prend du temps ce qui n'est pas le sujet là, le sujet étant de retirer une faille de sécurité et non pas "tu as qu'à contribuer") qui a permit à ce que le faille soit colmatée, les faits sont la que ça te plaise ou pas.
Comme dit misc, si c'est lui qu'on applaudit quand il se comporte come un odieux connard en public
Si on en est toujours à ne pas reconnaitre que c'est la seule chose qui a fait bouger les choses et remercier la personne qui a fait bouger les choses, il y a un problème quelque part.
faut pas s'étonner si les mecs de mageia finissent en burn out et laissent des machines trainer pendant des années sans mise a jour.
Rien à voir : personne ne les oblige à maintenir Mageia, c'est leur choix, et ils auraient pu éteindre le projet il y a longtemps. la, tu accuses une personne externe du choix fait par des gens, genre "je fais un burnout à faire le bien, c'est ta faute". Euh…
En tous cas, il est impressionnant de voir que la sécurité n'est pas un enjeu majeur même chez des gens "qui connaissent", pas étonnant qu'ensuite il y est autant de bots sur le net, ce n'est pas que du fait de gens qui ne connaissent pas.
Quel est le titre que tu as laissé du commentaire? "Et ils continuent de nier le problème …", "ils" se rapporte à pas mal de monde, pas que l'équipe Mageia donc.
Que "was publicised in third party communities" et "The unexpected publicity that it received obviously made this topic a high priority one, our infrastructure being exposed as an easy target" négatif soit remplacés: ce n'est pas devenu hautement prioritaire du fait de la "pub", mais parce que ça craignait, et donc il faut le marquer comme tel.
Dans votre message, vous attaquez le messager (vous le voyez en négatif) plutôt que de le remercier (le voir en positif, ou au minimum neutre), c'est bien le soucis.
Après, vous faites comme vous voulez, mais désolé de traduire votre message comme "ils n'ont toujours pas compris qu'ils ont merdé grave" et de le dire à ceux qui me demanderont mon avis, en leur pointant le lien que tu donnes et en leur expliquant que c'est parce que en fait ça fait 4+ ans que vous avez une machine sans personne qui gère la sécurité dessus (EOL) et que ça n'a donc rien à voir avec la "pub non prévue", la personne se fera alors son avis entre les deux infos.
Vous pensez sérieusement que le message que vous avez écrit est un "OK, on a merdé"? Vous hurlez au trolls, mais bon vous savez quand même bien troller.
En tous cas, merci de me confirmer explicitement que ça n'a toujours pas été compris et qu'il n'y a pas de "OK, on a merdé" (au contraire).
Note : il y a des images non HTTPS sur cette page en lien, ça met une alarme "attention" sur Firefox.
Ca reste encore à prouver, pour le moment je n'ai pas vu de message "OK, on a merdé", mais plutôt une accusation des "méchants qui ont divulgué un problème". Lien vers message officiel "OK, on a merdé"?
Donc question : que compte tu partager pour que le problème soit corrigé
Ce que tu ne comprends pas est que la correction est à votre (utilisateurs) charge.
Le but du disclose est d'éviter que toi utilisateur te fasse piquer tes données (on est sympa avec ta vie privée, même si tu nous agresses pour avoir osé te protéger) et que ton ordi ne devienne pas bot (ça c'est pour nous, pas qu'on sache pas se protéger, mais à un moment les DDOS font mal car font plus fort que notre connexion).
C'est fait (machines retirées du réseau), tout le monde est protégé, mission accomplie, il n'y plus rien à faire pour les non utilisateurs.
Maintenant, à votre communauté de discuter sur la suite.
que comptes tu faire pour partager plus ?
Rien, vu qu'on ne doit rien à Mageia (comme Mageea ne nous doit rien).
En quoi on devrait partager plus? Tu ne le dis bizarrement pas.
Bref, tu n'as rien compris au problème, tu devrais prendre un peu de recul et te renseigner, relire calmement, parce que tu as beaucoup à apprendre sur qui est responsable de quoi, et arrêter d'accuser les autres de tes problèmes.
En attendant, tu empires les choses, en braquant des gens qui sont venu dire "attention", ça n'aide pas à la réputation de l'ensemble.
Je crois que c'est la première fois que je lis qu'on dit à une personne pointant une faille de sécurité que sa contribution n'est pas suffisante.
C'est du foutage de gueule, qui ne va pas améliorer la réputation de Mageia : on a déjà l'équipe d'admin et le conseil qui ont un problème avec la sécurité, mais en plus un utilisateur attaque celui qui l'informe du danger.
Wow, on est en train de faire toutes les bêtises imaginables et non imaginables.
et pour tous les utilisateurs qui ne pourront alors que te remercier.
Euh, la, tu pourrais déjà l'en remercier et éviter de l'attaquer.
On dirait un fan de Fillon ou de Le Pen, pour prendre l'actualité française.
Toi tu peux aller au delà. Sonner l'alerte c'est la partie la plus facile et aisée.
C'était surtout la seule chose qu'il pouvait faire, il n'a aucunement les droits pour retirer la machine du réseau (la seule chose qui fallait faire en urgence, pour le reste c'est à Mageia de décider si ils veulent continuer l'aventure, on n'est plus dans l'urgence et seul les contributeurs Mageia ont une responsabilité).
Bref, on a la totale de la communication foireuse de chez foireuse, bravo!
Théoriquement, même un sysadmin un peu naze il reste meilleur que quelqu'un qui n'y connait rien en sysadmin.
A mon avis, celui qui ne connait rien mais connait l'informatique en général va se dire "EOL? argh faut que je fasse quelque chose", tandis que le sysadmin pas sérieux (je ne dirai pas "naze", juste que ça n'a pas été sérieux pour raison x ou y) va se dire "ça va, je connais, ça peut attendre quelques jours" (qui se transforment en années).
Donc, des fois il vaut mieux ne rien connaitre, car dans ce cas on se renseigne et on ne crois pas être assez bon pour ne pas voir les EOL.
C'est justement le problème qui est pointé, alors il faudrait peut-être arrêter de se le cacher : il y a un gros problème de sécurité.
Note que les "trolleurs" (vu comme tels) passent du temps à expliquer l'admin de base (EOL ça veut dire quelque chose, une machine pas à jour ça craint plus qu'une machine déjà à jour) et que si l'équipe Mageia avait reconnu de suite le problème comme grave pour la sécurité ça aurait beaucoup moins trollé (il est critiqué de passer du temps à troller, bizarrement il n'est pas regardé si il n'y aurait pas une bonne raison face à la réaction).
Tout ça pour dire que l'alimentation de la conversation a été grandement faite par le refus de voir le problème par les gens défendant Mageia, et c'est dommage qu'on doive expliquer les bases à des gens sensés mieux connaitre la sécurité informatique (ensuite reconnu par les sysadmin de Mageia vu qu'ils ont déconnecté les machines) que Sony et les fabricants de godemichets.
Alors, si on arrêtait de s'expliquer sur la gravité de la chose qu'on reconnaitrait et si on passe à autre chose, ça ne serait pas mieux?
Non, ce n'est pas limite, c'est illégal (groumly fantasme sur mon supposé "2 poids 2 mesures" juste pour le plaisir de m'imaginer en méchant, dans son exemple et ici je dis que c'est illégal).
Il y avait eu condamnation pour un même cas affiché en public (avec en pratique rien, et pas sûr qu'aujourd'hui, avec la sensibilisation sur la sécurité, ce soit la même condamnation je parie sur une dispense de peine), mais bon l'attaquant avait été ridiculisé et avait montré à encore plus de monde les problèmes de son infrastructure, si c'est ça qu'ils veulent…
Bizarre tes comparaisons : je démontrais à une personne que ce qu'elle pensait être légal était illégal, ici personne n'a dit que c'était légal (et personne n'a été géné). 2 cas différents (tu n'arrives pas à faire la différence, sérieusement? Aïe).
Bref, tu as décidé que j'étais un méchant, et ne réfléchi même plus pour m'attaquer, tant pis si c'est incohérent et ridicule. Si ça te fait plaisir…
A force, oui ça se met d'accord sur les couches de bases, trop grosses pour avoir trop de monde, mais ça ne s'est pas fait sans hurlement quand même ("trahison! anti-démocratique! On se casse!" quand systemd a été choisi démocratiquement par Debian)
Le pic est factuel, on parle quand même là de facilité d'installation par les utilisateurs quand les repos ne sont pas suffisant (c'est à dire souvent), et on a plein d'offres.
Je parlait d'AppImage pour dire qu'à défaut de se mettre d'accord sur un truc sécurisé, se sera sans doute le truc le moins sécurisé (mais le plus utilisable) qui sera utilisé (et AppImage a clairement un problème de sécurité, on apprend aux Linuxiens à rendre exécutable tout truc téléchargé sur le net, à la Windows).
Le Responsible_disclosure a été fait pendant 4 ans, des gars ont dit "fin de support" il y a 4 ans, ce sont même des amis aux sys admins qui l'ont dit.
4 ans, c'est largement supérieur à 3 mois.
Le shell a été testé car les personnes de Mageia niaient le problème "nan mais arrête, c'est pas grave, c'est juste 4 ans sans support, ça ne veut pas dire que c'est troué"
le merdage n'a pas été reconnu dans ton lien (minimiser "l'infrastructure n'a pas été compromise" alors qu'ils n'en savent absolument rien car ils n'ont rien regardé).
Ca n'aurait pas été mis en public aussi fortement, avec d'aussi gros troll, que le problème serait rester (1 an? 2 ans?) vu la réaction initiale au journal (au début, hop un "ouais, on en a parlé au conseil, et rien d'urgent").
Bref, perso je vois toujours de l'incompréhension du problème soulevé, ce qui n'aide pas à calmer les esprits.
tu parlais de GitLab? Eux n'ont pas pris la chose comme pas grave (qu'ils soient payé ne change rien à la responsabilité quand on fournit quelque chose, encore une fois). D'autres non plus.
Le problème n'est pas qu'il manque de bras, mais que la sécurité n'est pas au niveau pour une gestion d'un parc de machines.
Le problème est que le risque a été nié, pour ensuite être reconnu sans le dire (la communication a été en premier "c'est pas dérangeant, arrêtez de troller" pour ensuite être "merde, c'est vrai que ça craint mais on ne l'admet pas publiquement on éteint juste les machines et on dit que c'est à cause des trolls"). Encore une fois, le fait qu'ils soient bénévoles surchargés ne changent rien au problème de sécurité, c'est pour après (voir comment corriger le problème de sécurité, à long terme). On peut compatir, mais ça n'excuse pas les 4 ans. Si les machines ont été éteintes, c'est bien la preuve que les sysadmins n'ont pas confiance, et ça montre donc que l'auteur du journal avait raison (si les sysadmins croyaient en la sécurité de Mageia 1, ils auraient juste dit "ha ha elle est bien bonne, non c'est bon on gère, on sait que ça craint rien").
Quand il faudra faire le bilan, j'espère que ça parlera des soucis de communication, car la communication de personnes (se présentant comme, du moins) de Mageia a rajouté de l'huile sur le feu, et pas qu'un peu (conspuer le lanceur d'alerte, surtout quand ensuite on valide son raisonnement, c'est pas vraiment un méthode conseillée, encore moins ne pas l'admettre ensuite).
et encore une fois : il vaut mieux que les personnes de Mageia se soient fait troller maintenant sans dégâts autre que leur égo, plutôt qu'une autre personne moins bien intentionnée (parce que bon, la, pour le moment on parle de "méchants trolleur" mais les trolleurs ont abîmer que l'égo, rien d'autre) fasse bien plus de dégâts (on parle de la sécurité de plein de machines cibles la…).
Un petit mal (aucun dégât autre que l'égo) pour un gros bien (quelque soit l'issue, même si ça "tue" Mageia, car il vaut mieux que ce soit mort qu'une source de virus).
J'ai la forte conviction, au vu de ce que j'ai lu, qu'il n'est pas le chevalier blanc, mais un gars qui veut salir la réputation de mageia.
Donc pour toi le Canard Enchainé, les révélations sur Fillon et Le Pen, et encore avant Cahuzac, banques suisses etc c'est mal car ça vient de gens voulant salir la réputation? Il ne fallait pas les sortir pour ne pas salir de réputation? Sans te demander si à la base, ça aurait été mieux de ne pas faire de conneries? OK, on n'a pas la même vision : on s'en fout complet de son but, à la base le problème est ailleurs. La, tu parles comme Fillon et Le Pen, te focalisant sur le messager et non le problème.
À ce sujet qui prend les paris sur l'issue du combat entre Flatpak et Snappy ?
AppImagine les mettra tous d'accord (pas exactement pareil mais e but est dans la même idée).
(Le problème éternel sous Linux : un petit monde déjà pas capable de se focaliser sur un projet pour une problématique donnée, et au final aucun qui décolle)
Tu parles de distros a tres long support, justement parce qu'on sait que ca va etre chaud pour migrer.
Ici, on parle de Mageia 1 tué 6 mois après la sortie de Mageia 2, et on parle aussi de migrer à Mageia 5 qui mourra 3 mois après la sortie de Mageia 6. Donc les admins affirment qu'ils auront le temps (sinon ils auraient mis CentOS 7, 10 ans de support gratuit) de migrer de nouveau dans un créneau de 3 mois alors qu'ils n'ont pas pris le temps en 4 ans.
Et même au delà de ça, tu regardes quand Gitlab a eu un gros souci, des gens ont dit "ça arrive à tous" (sur twitter)
Et surtout, ils n'ont pas rembarré.
Ils ont bien merdé, et à ma connaissance jamais dit que la faute était à "pas le temps" ou autre.
Note que ce ne fut pas un problème de non MAJ mais une erreur humaine (comme pour Amazon).
e suis pas non plus le seul, car d'autres admins ont lachés l'équipe pour divers raisons (parfois de santé, parfois autres). Mais curieusement, y a pas grand monde qui est venu remplacer les départs depuis la communauté.
C'est peut-être la le problème : ne pas avoir su s'arrêter avant que ça devienne dangereux au niveau sécurité.
Je crois qu'il y a un problème de compréhension : le sujet n'est pas que les bénévoles doivent être des esclaves, mais qu'il font croire qu'ils font ce qu'il faut pour protéger un minimum, le sujet est qu'il semble impossible de se dire "ok, on n'a plus assez de monde, on ferme avant que ça casse".
Je ne veux pas minimiser les soucis d'attaques sur les infras, ça arrive en moyenne une fois tout les 3 mois d’après mes recherches
Et généralement fait sur des infras à jour, c'est dire le risque encouru sur des infras pas à jour.
C'est bien le soucis.
C'est des systèmes oubliés
D'après ce qu'on lit, ce n'était pas oublié mais bien connu.
Pire, une fois que ça a été public, ça n'a pas été coupé dans l'heure.
Bref, on parle de raison, on explique, mais expliquer n'est pas excuser, ce sont deux choses différentes.
Je crois que personne ne critique le travail bénévole, la critique est que le bénévolat n'excuse pas de mettre en danger.
Et tant qu'on parle de 2 choses différentes (l'explication et le résultat), on n'arrivera sans doute pas à ce comprendre.
Maintenant que les serveurs ont été mis hors ligne, la question est peut-être de savoir arrêter plutôt que de faire un burnout à migrer, mais ça ne semble pas en discussion, et ça ce n'est pas la faute de ceux qui ont montré le problème.
Question idiote : à quoi ça sert l'indication "end of life" que vous mettez sur https://www.mageia.org/fr/support/ ?
Nan, parce que bon, j'ai l'impression que les admin sys de Mageia ne comprennent pas ce que ça veut dire, faudrait peut-être leur faire un cours (alors qu'on me dit que se sont des pointures dans ce domaine, j'y comprend rien, moi mes admins sys pas des pointures ils m'engueulent si je ne leur laisse pas le temps de faire les migrations car ils savent que les personnes sur lesquelles ils comptent pour la sécurité ont dit qu'elles ne faisaient plus le taf sinon).
sans forcément avoir besoin d'être présentés comme des malfrats.
Disons que vu les réactions outrées qui ont été reçues, la façon de nier les problèmes, ça n'aide pas. Il n'y a pas besoin d'être admin sys pour se rendre compte qu'il y a un gros problème, car la communication "end of life" des support est justement pour alerter des problèmes.
Et le pire est peut-être que vous le saviez (surtout que les personnes disant EOL pour la distro doivent être proches des admins sys), mais "pas grave tant que c'est pas mis trop en public", qui n'aide pas à compatir.
(en fait, le problème est que vous n'avez aucune porte de sortie correcte, certes)
tu parles de malfrat, mais pour donner quelque chose d'équivalent une personne faisant un homicide involontaire est quand même une personne faisant un homicide et est condamné pour ça, quand bien même ce fût involontaire avec toutes les bonnes intentions du monde et pas eu le temps de vérifier la sécurité, et vaut mieux se prendre un "mais tu vas le tuer, arrête" que d'arriver au pire, non?
"regardez, eux, ils sont pas à jour, allez-y attaquez"
J'ai l'impression que vous n'avez toujours pas compris l'importance du problème : une personne a pointé du doigt un truc non maintenu dans votre infra depuis 4 ans. Ca veut dire que pendant 4 ans vous étiez à poil (c'est vous qui le dites, "end of life" a été décidé par vous) et que n'importe qui ayant intérêt à vous prendre vos machines pouvait trouver une faille dans une version pas à jour des logiciels de la distro, et ce de pire en pire dans le temps (failles non corrigées).
Ici, vous la jouez logiciels proprio "sécurité par l'obscurité" sauf que c'est pas si obscure (c'est public, suffit de chercher un peu), votre seul avantage est que pas/plus foule n'est chez vous donc ça ne rend pas les attaques intéressantes.
On prend tous les coups de main pour la suite
J'imagine qu'on peut préparer un message "on vous a mis à poil pendant 4 ans, on n'est plus capable d'assurer un minimum de sécurité depuis des années, on vous conseille de passer à CentOS pour les conservateurs et Fedora pour les bleding edge et faites bien attention à ne prendre aucun exécutable de l'ancienne install, en attendant qu'on voit ce qu'on peut faire pour ressusciter Mageia" mais pas sûr que vous acceptiez le coup de main vu comment vous réagissez.
au passage, vous n'avez pas eu assez de ressources, ok, des malades ok, mais du coup vous savez comment vous allez faire quand Mageia 6 va sortir? Car vous aurez alors 3 mois pour migrer toutes vos machines vers Mageia 6, sous peine de retomber dans le problème "end of life" de ce que vous avez, et 3 mois c'est court (mais c'est vous qui l'avez décidé donc ce n'est pas critiquable).
quant aux coups de pied c'est pas obligé.
Vous faire troller est un coup de pied bien doux par rapport à ce que vous auriez pu vous prendre, vous pourriez même les remercier.
Quand on s'engage à gérer la sécurité d'autres personnes, il faut un minimum, ou il vaut mieux ne rien faire, faire pour faire n'est que rarement une bonne chose, et parfois il faut savoir s'arrêter avant qu'il y est plus de dégâts. Et oui, les tiers non utilisateurs peuvent aussi être impactés (les DDOS sont fait à partir de machines dont la sécurité est traité à la légère, mais d'habitudes c'est par des gens pas au fait de la sécurité).
En attendant, avant je n'avais pas d'avis sur Mageia, maintenant j'en ai un pour quand on me demandera mon avis (rare, mais ça arrivait de temps à autre avec des français surtout).
Je connais le problème, et je comprend l'explication. Mais ça n'excuse pas.
(devant un juge, c'est pareil : expliquer permet de comprendre, ça permet de voir le soucis, ça adapte la peine; mais ça ne change rien dans la condamnation)
Et quand on est un point d'entrée pour accéder à plein de machines, on prend une responsabilité.
Je l'ai dit ailleurs, mais je le redis : être bénévole ne permet pas de faire n'importe quoi sous excuse de ne pas avoir les moyens, ça ne change rien dans la responsabilité de sécurité qu'on a.
Donc revenir à parler de bénévoles ne fait qu'enfoncer plus Mageia dans le sens où ses défenseurs ne semblent pas comprendre le problème de sécurité. Tout le monde sait qu'ils sont bénévoles, personne ne dit qu'ils sont riches, alors pourquoi parler de sous hors sujet quand on parle de sécurité?
Accepterais-tu d'avoir un accident de voiture et être blessé et de te faire dire "ouais mais la le pote qui a réparé il te la fait bénévolement alors c'est différent" (non, ce n'est pas différent, il est responsable, encore heureux).
En revanche, la forme et certains commentaires sont totalement honteux.
OK, mais n'oublie pas… C'est des deux côtés, je n'ai pas l'impression que la réactions des personnes impliquées ai été un modèle de sympathie.
D'autres ont pointé du doigt la réaction "autruche" lors d'une critique sur Mageia 6.
Mageia, comme la majorité des projets libres, ne doit rien à personne !
Oui et non :
- Offrir un repas de manière gentille n'autorise pas à donner un repas sans hygiène; en fait, ça n'a rien à voir.
- aujourd'hui il ne doit rien à personne, mais demain si ça se fait trouer c'est une petite armée de bots et des données persos dans la nature, et la ça devra des choses. Peut-être faut--il troller et insulter avant, pour pas que ça empire un jour (pas arrivé, certes, mais faut-il attendre?)
- l'extérieur doit autant en gentillesse envers Mageia que Mageia doit quelque chose à l'extérieur, c'est à dire aucune. A ma connaissance, quand Sony se fait trouer ou un vendeur de vibromasseur se fait pomper les vidéos ou quand Samsung a 40 failles 0-day, il n'y a pas foule pour les défendre alors qu'ils ne te doivent rien non plus, et tu ne critiques pas les gens qui critiquent ces failles. Ben, pour Mageia c'est pareil (le fait que ce soit des bénévoles ne change rien à la problématique de sécurité quand on diffuse quelque chose), c'est tout (voir c'est pire car les admins sont sensés être "la crème de la crème nous on fait attention pas comme ces capitalistes")
(et pour en connaître certain, le seul fait qu'on puisse les qualifier d'incompétents techniquement fait sourire)
Demande-leur si voir leur nom associé à l'idée de ne pas être dérangé plus que ça (même bénévolement, le "prix" n'est pas le sujet) par une infrastructure reposant sur une version de distro plus maintenue depuis 4 ans est positif pour leur CV, maintenant que ça part un peu plus loin que leur ML.
tu penses sérieusement que c'est infaisable même en HTTP? (c'est le sous-entendu de ta "question")
Wow…
Si tu es prêt à payer pour (c'est du temps que je facture), pas de soucis je m'engage à te faire la démo ou te payer la même somme en pénalités (pour montrer que je m'engage).
Si, il a pris une décision : ne pas prendre de décision est une décision (oui ça se mort la queue mais voila, c'est comme ça) quand ça touche la sécurité, la décision a été de laisser une vieille version plus maintenue depuis 4 ans en marche et accessible sur Internet.
pas ceux qui spéculent sur sa sécurité avec comme seule base un numéro de version.
OK, je note que le conseil de Mageia considère qu'une version non maintenue et sans personne pour suivre sa sécurité depuis 4 ans n'est pas un problème de sécurité sur une infrastructure.
Le journal en est d'autant plus intéressant donc que le conseil semble affirmer que ce n'est pas un problème.
(wow… D'habitude je lis ça dans des entreprises n'ayant rien à faire de la sécurité et voulant vendre à tout prix)
Faudrait penser à faire un article quelque part "Nous affirmons qu'utiliser une vieille version plus maintenue d'un OS n'est pas un problème de sécurité en soit, ça dépend", ça devrait être utile à plein d'entreprises qui se font critiquer pour ne pas avoir une infrastructure à jour et ne veulent pas investir dans un changement sans se faire d'abord trouer.
Sinon, si vous l'utilisez sans que ça dérange et que vous avez confiance, pourquoi ne pas déclarer Mageia 1 comme maintenue? Vous n'êtes pas logique à dire aux autres que c'est plus à utiliser mais à continuer vous-même à l'utiliser, en terme de com' c'est bof.
Je ne te visais pas :), je pensais plutôt à la dépêche en lien et le blog en lien où les gens appellent à soutenir.
Pour la débat sur la présentation plus neutre, on a déjà discuté et tu as déjà vu et corrigé la partie moins neutre.
Je crois qu'il y a un problème de compréhension : la critique est que le conseil n'ai pas pris en compte la gravité soulevée, sans être sysadmin (fin de vie de Mageia 1 est il y a 4 ans, c'est facile à lire) et n'a pas répondu au problème (même pas un officiel "rien à foutre vous nous faites chier ça va très bien d'utiliser une version qu'on a donné comme morte il y a 4 ans" ou une décision "ok on a des sysadmin à la bourre on leur dit d'éteindre la machine en attendant").
Bref, tu évites le sujet, comme il a été évité lors du conseil.
C'est un choix, pas de soucis vous êtes grands et capable de vous défendre en justice en cas de hack faisant de vous un fournisseur de virus/bot (pas sûr que le "as is" marche pour une faute sur la sécurité, en ce moment la justice se penche sur la responsabilité des gens qui ne font pas attnetion à la sécurité des données privées), mais c'est aussi un choix des gens extérieurs de signaler aux utilisateurs (et autres) que la sécurité n'est pas prise au sérieux jusqu'au conseil Mageia (dont un membre considère que les gens remontant ce problème sont juste des trolls) et de leur conseiller de changer de distro pour cette raison.
Tu n'auras pas plus de candidats corrects, car c'est une mauvaise excuse pour te culpabiliser : en CDI, tu as la période d'essai, qui a exactement le même effet sur une personne qui quitterait son poste.
Les seules différences sont que la "période d'essai" (qui peut aussi être sur l'activité, tu n'as pas à dire pour quelle raison tu licencies pendant la période d'essai, en théorie c'est sanctionnable de virer pour motif économique mais en pratique difficilement prouvable car c'est au salarié de prouver et pas à l'employeur d'expliquer, ton salarié te demande donc de lui mentir plutôt que d'être franc) est d'une durée différente (4 à 8 mois suivant le profil) et que le salarié n'a pas les 10% de prime de précarité (il est précaire, mais veut que tu ne lui payes pas la prime de précarité si ça merde, va comprendre; perso je trouve justement que le CDD est un engagement te la part de l'employeur à plus payer si il ne transforme pas le CDD en CDI donc une "punition" pour s'être loupé et un bonus pour l'employé malheureux).
Et même sans ça, au bout de 6 mois tu pourrais aussi licencier pour motif économique (c'est juste plus chiant en paperasse) donc un CDI ne protège de rien de plus que le CDD au début (économique, c'est souvent dernier arrivé premier à partir, on repart à 0 quand on démissionne).
Bref, ceux qui te disent qu'ils ne sont pas intéressés car ça commence par un CDD ne prendront pas cette offre ni aucune autre offre excepté celles n'ayant pas de période d'essai (ce qui est rare, et ça se fait plutôt entre personnes "qui se connaissent" au moins de réputation, pas en recherche comme tu le fais), à moins d'être assez stupide pour croire que c'est plus protecteur (la question sera alors de savoir si tu veux prendre une telle personne).
Ca partait pas trop mal dans l'analyse, mais à un moment c'est parti en vrille, genre :
ils savent même faire des lave-vaisselles qui durent 25 ans (ouai bon, sauf que ce serait pas rentable, pas fou les mecs hein, ils vont juste faire des lave-vaisselles qui durent 10 ans).
tu as oublié une truc : c'est normal (pour l'acheteur, économiquement) de vouloir un lave-vaisselle qui dure 10 ans si celui-ci coûte 10x moins cher que celui qui dure 25 ans.
Balancer cet exemple sans parler coût détruit l'idée d'objectivité que tu aurais, ça part dans le populisme facile "on nous arnaque".
Note que je ne suis pas contre les lave-vaisselles qui durent 25 ans, mais le problème n'est pas chez les constructeurs, juste chez le peuple (qui ne passe pas de lois mettant tout le monde à égalité à devoir prendre en compte la récupération et le recyclage), bref tu attaques la mauvaise cible.
Pour le reste, je ne désespère pas autant que toi, ces dernières année on a vu plus de contrôles de restaurant pour l’hygiène (équivalent SSL en restaurant), les gens sont plus sensibilisés et demandent de l’hygiène, et ça met juste un peut plus de temps pour l'informatique le temps que les procès arrivent (et ça arrive déjà pas mal, les boites doivent payer, donc à un moment ça va devenir plus rentable d'embaucher que de payer les pénalités).
Bref, ça viendra.
Note que tu parles des gens lambda, mais les personnes "plus sensibilisées" (genre des informaticiens / admin sys) disent aussi on n'a pas le temps donc on garde la distro Linux plus maintenue, le problème de la sécurité n'est pas que l'utilisateur lambda, il est aussi les informaticiens / admin sys même compétents qu'il faut sensibiliser tout autant sur le fait que ça n'attend pas.
Ça devient n'importe quoi ces usages du net…
Ou alors ça devient justement bien, avec plein de choses différentes pour rendre service à plus que les quelques personnes qui étaient bien seules sur le réseau en 1994. Le fait qu'il y ai des problème n'enlève pas que l'évolution est super.
[^] # Re: Et ils continuent de nier le problème ...
Posté par Zenitram (site web personnel) . En réponse au journal Pas de mises à jour de sécurité depuis 5 ans sur l’infrastructure Mageia. Est‐ce bien raisonnable ?. Évalué à 3. Dernière modification le 07 avril 2017 à 08:02.
T'es-tu renseigné avant de dire ça? visiblement non.
Le post de blog dit clairement que c'est à cause de la visibilité, et non pas du post sur la ML qui n'aurait rien changé (ils connaissaient le faille, ils considéraient comme non urgent jusqu'à… Ce soit visible sur des sites tiers, ce n'est pas moi qui le dit mais eux).
Donc la personne que tu conspues est la personne qui a fait la seule chose (je met volontairement de côté la partie "faire l'upgrade" car c'est limité à quelques personnes et prend du temps ce qui n'est pas le sujet là, le sujet étant de retirer une faille de sécurité et non pas "tu as qu'à contribuer") qui a permit à ce que le faille soit colmatée, les faits sont la que ça te plaise ou pas.
Si on en est toujours à ne pas reconnaitre que c'est la seule chose qui a fait bouger les choses et remercier la personne qui a fait bouger les choses, il y a un problème quelque part.
Rien à voir : personne ne les oblige à maintenir Mageia, c'est leur choix, et ils auraient pu éteindre le projet il y a longtemps. la, tu accuses une personne externe du choix fait par des gens, genre "je fais un burnout à faire le bien, c'est ta faute". Euh…
En tous cas, il est impressionnant de voir que la sécurité n'est pas un enjeu majeur même chez des gens "qui connaissent", pas étonnant qu'ensuite il y est autant de bots sur le net, ce n'est pas que du fait de gens qui ne connaissent pas.
Quel est le titre que tu as laissé du commentaire? "Et ils continuent de nier le problème …", "ils" se rapporte à pas mal de monde, pas que l'équipe Mageia donc.
[^] # Re: Du temps et de son utilisation...
Posté par Zenitram (site web personnel) . En réponse au journal Pas de mises à jour de sécurité depuis 5 ans sur l’infrastructure Mageia. Est‐ce bien raisonnable ?. Évalué à 2. Dernière modification le 06 avril 2017 à 17:37.
Que "was publicised in third party communities" et "The unexpected publicity that it received obviously made this topic a high priority one, our infrastructure being exposed as an easy target" négatif soit remplacés: ce n'est pas devenu hautement prioritaire du fait de la "pub", mais parce que ça craignait, et donc il faut le marquer comme tel.
Dans votre message, vous attaquez le messager (vous le voyez en négatif) plutôt que de le remercier (le voir en positif, ou au minimum neutre), c'est bien le soucis.
Après, vous faites comme vous voulez, mais désolé de traduire votre message comme "ils n'ont toujours pas compris qu'ils ont merdé grave" et de le dire à ceux qui me demanderont mon avis, en leur pointant le lien que tu donnes et en leur expliquant que c'est parce que en fait ça fait 4+ ans que vous avez une machine sans personne qui gère la sécurité dessus (EOL) et que ça n'a donc rien à voir avec la "pub non prévue", la personne se fera alors son avis entre les deux infos.
Vous pensez sérieusement que le message que vous avez écrit est un "OK, on a merdé"? Vous hurlez au trolls, mais bon vous savez quand même bien troller.
En tous cas, merci de me confirmer explicitement que ça n'a toujours pas été compris et qu'il n'y a pas de "OK, on a merdé" (au contraire).
Note : il y a des images non HTTPS sur cette page en lien, ça met une alarme "attention" sur Firefox.
[^] # HS
Posté par Zenitram (site web personnel) . En réponse au journal Mark Shuttleworth annonce l’abandon d’Unity. Évalué à -2.
ho, si maintenant on se met à me piquer, sur LinuxFr, mes critiques de Linux, que va-t-il me rester? :-D
[^] # Re: Du temps et de son utilisation...
Posté par Zenitram (site web personnel) . En réponse au journal Pas de mises à jour de sécurité depuis 5 ans sur l’infrastructure Mageia. Est‐ce bien raisonnable ?. Évalué à 0. Dernière modification le 06 avril 2017 à 16:54.
Ca reste encore à prouver, pour le moment je n'ai pas vu de message "OK, on a merdé", mais plutôt une accusation des "méchants qui ont divulgué un problème". Lien vers message officiel "OK, on a merdé"?
Ce que tu ne comprends pas est que la correction est à votre (utilisateurs) charge.
Le but du disclose est d'éviter que toi utilisateur te fasse piquer tes données (on est sympa avec ta vie privée, même si tu nous agresses pour avoir osé te protéger) et que ton ordi ne devienne pas bot (ça c'est pour nous, pas qu'on sache pas se protéger, mais à un moment les DDOS font mal car font plus fort que notre connexion).
C'est fait (machines retirées du réseau), tout le monde est protégé, mission accomplie, il n'y plus rien à faire pour les non utilisateurs.
Maintenant, à votre communauté de discuter sur la suite.
Rien, vu qu'on ne doit rien à Mageia (comme Mageea ne nous doit rien).
En quoi on devrait partager plus? Tu ne le dis bizarrement pas.
Bref, tu n'as rien compris au problème, tu devrais prendre un peu de recul et te renseigner, relire calmement, parce que tu as beaucoup à apprendre sur qui est responsable de quoi, et arrêter d'accuser les autres de tes problèmes.
En attendant, tu empires les choses, en braquant des gens qui sont venu dire "attention", ça n'aide pas à la réputation de l'ensemble.
[^] # Re: Du temps et de son utilisation...
Posté par Zenitram (site web personnel) . En réponse au journal Pas de mises à jour de sécurité depuis 5 ans sur l’infrastructure Mageia. Est‐ce bien raisonnable ?. Évalué à 1.
Je crois que c'est la première fois que je lis qu'on dit à une personne pointant une faille de sécurité que sa contribution n'est pas suffisante.
C'est du foutage de gueule, qui ne va pas améliorer la réputation de Mageia : on a déjà l'équipe d'admin et le conseil qui ont un problème avec la sécurité, mais en plus un utilisateur attaque celui qui l'informe du danger.
Wow, on est en train de faire toutes les bêtises imaginables et non imaginables.
Euh, la, tu pourrais déjà l'en remercier et éviter de l'attaquer.
On dirait un fan de Fillon ou de Le Pen, pour prendre l'actualité française.
C'était surtout la seule chose qu'il pouvait faire, il n'a aucunement les droits pour retirer la machine du réseau (la seule chose qui fallait faire en urgence, pour le reste c'est à Mageia de décider si ils veulent continuer l'aventure, on n'est plus dans l'urgence et seul les contributeurs Mageia ont une responsabilité).
Bref, on a la totale de la communication foireuse de chez foireuse, bravo!
[^] # Re: A ceux qui critiquent....
Posté par Zenitram (site web personnel) . En réponse au journal Pas de mises à jour de sécurité depuis 5 ans sur l’infrastructure Mageia. Est‐ce bien raisonnable ?. Évalué à 2. Dernière modification le 06 avril 2017 à 12:02.
A mon avis, celui qui ne connait rien mais connait l'informatique en général va se dire "EOL? argh faut que je fasse quelque chose", tandis que le sysadmin pas sérieux (je ne dirai pas "naze", juste que ça n'a pas été sérieux pour raison x ou y) va se dire "ça va, je connais, ça peut attendre quelques jours" (qui se transforment en années).
Donc, des fois il vaut mieux ne rien connaitre, car dans ce cas on se renseigne et on ne crois pas être assez bon pour ne pas voir les EOL.
C'est justement le problème qui est pointé, alors il faudrait peut-être arrêter de se le cacher : il y a un gros problème de sécurité.
Note que les "trolleurs" (vu comme tels) passent du temps à expliquer l'admin de base (EOL ça veut dire quelque chose, une machine pas à jour ça craint plus qu'une machine déjà à jour) et que si l'équipe Mageia avait reconnu de suite le problème comme grave pour la sécurité ça aurait beaucoup moins trollé (il est critiqué de passer du temps à troller, bizarrement il n'est pas regardé si il n'y aurait pas une bonne raison face à la réaction).
Tout ça pour dire que l'alimentation de la conversation a été grandement faite par le refus de voir le problème par les gens défendant Mageia, et c'est dommage qu'on doive expliquer les bases à des gens sensés mieux connaitre la sécurité informatique (ensuite reconnu par les sysadmin de Mageia vu qu'ils ont déconnecté les machines) que Sony et les fabricants de godemichets.
Alors, si on arrêtait de s'expliquer sur la gravité de la chose qu'on reconnaitrait et si on passe à autre chose, ça ne serait pas mieux?
[^] # Re: Et ils continuent de nier le problème ...
Posté par Zenitram (site web personnel) . En réponse au journal Pas de mises à jour de sécurité depuis 5 ans sur l’infrastructure Mageia. Est‐ce bien raisonnable ?. Évalué à 2. Dernière modification le 06 avril 2017 à 11:02.
Non, ce n'est pas limite, c'est illégal (groumly fantasme sur mon supposé "2 poids 2 mesures" juste pour le plaisir de m'imaginer en méchant, dans son exemple et ici je dis que c'est illégal).
Il y avait eu condamnation pour un même cas affiché en public (avec en pratique rien, et pas sûr qu'aujourd'hui, avec la sensibilisation sur la sécurité, ce soit la même condamnation je parie sur une dispense de peine), mais bon l'attaquant avait été ridiculisé et avait montré à encore plus de monde les problèmes de son infrastructure, si c'est ça qu'ils veulent…
[^] # Re: Et ils continuent de nier le problème ...
Posté par Zenitram (site web personnel) . En réponse au journal Pas de mises à jour de sécurité depuis 5 ans sur l’infrastructure Mageia. Est‐ce bien raisonnable ?. Évalué à -5. Dernière modification le 06 avril 2017 à 08:51.
Bizarre tes comparaisons : je démontrais à une personne que ce qu'elle pensait être légal était illégal, ici personne n'a dit que c'était légal (et personne n'a été géné). 2 cas différents (tu n'arrives pas à faire la différence, sérieusement? Aïe).
Bref, tu as décidé que j'étais un méchant, et ne réfléchi même plus pour m'attaquer, tant pis si c'est incohérent et ridicule. Si ça te fait plaisir…
[^] # Re: Je ne comprends pas
Posté par Zenitram (site web personnel) . En réponse au journal Mark Shuttleworth annonce l’abandon d’Unity. Évalué à 0.
A force, oui ça se met d'accord sur les couches de bases, trop grosses pour avoir trop de monde, mais ça ne s'est pas fait sans hurlement quand même ("trahison! anti-démocratique! On se casse!" quand systemd a été choisi démocratiquement par Debian)
Le pic est factuel, on parle quand même là de facilité d'installation par les utilisateurs quand les repos ne sont pas suffisant (c'est à dire souvent), et on a plein d'offres.
Je parlait d'AppImage pour dire qu'à défaut de se mettre d'accord sur un truc sécurisé, se sera sans doute le truc le moins sécurisé (mais le plus utilisable) qui sera utilisé (et AppImage a clairement un problème de sécurité, on apprend aux Linuxiens à rendre exécutable tout truc téléchargé sur le net, à la Windows).
[^] # Re: Et ils continuent de nier le problème ...
Posté par Zenitram (site web personnel) . En réponse au journal Pas de mises à jour de sécurité depuis 5 ans sur l’infrastructure Mageia. Est‐ce bien raisonnable ?. Évalué à 5. Dernière modification le 06 avril 2017 à 07:58.
Le Responsible_disclosure a été fait pendant 4 ans, des gars ont dit "fin de support" il y a 4 ans, ce sont même des amis aux sys admins qui l'ont dit.
4 ans, c'est largement supérieur à 3 mois.
Le shell a été testé car les personnes de Mageia niaient le problème "nan mais arrête, c'est pas grave, c'est juste 4 ans sans support, ça ne veut pas dire que c'est troué"
le merdage n'a pas été reconnu dans ton lien (minimiser "l'infrastructure n'a pas été compromise" alors qu'ils n'en savent absolument rien car ils n'ont rien regardé).
Ca n'aurait pas été mis en public aussi fortement, avec d'aussi gros troll, que le problème serait rester (1 an? 2 ans?) vu la réaction initiale au journal (au début, hop un "ouais, on en a parlé au conseil, et rien d'urgent").
Bref, perso je vois toujours de l'incompréhension du problème soulevé, ce qui n'aide pas à calmer les esprits.
tu parlais de GitLab? Eux n'ont pas pris la chose comme pas grave (qu'ils soient payé ne change rien à la responsabilité quand on fournit quelque chose, encore une fois). D'autres non plus.
Le problème n'est pas qu'il manque de bras, mais que la sécurité n'est pas au niveau pour une gestion d'un parc de machines.
Le problème est que le risque a été nié, pour ensuite être reconnu sans le dire (la communication a été en premier "c'est pas dérangeant, arrêtez de troller" pour ensuite être "merde, c'est vrai que ça craint mais on ne l'admet pas publiquement on éteint juste les machines et on dit que c'est à cause des trolls"). Encore une fois, le fait qu'ils soient bénévoles surchargés ne changent rien au problème de sécurité, c'est pour après (voir comment corriger le problème de sécurité, à long terme). On peut compatir, mais ça n'excuse pas les 4 ans. Si les machines ont été éteintes, c'est bien la preuve que les sysadmins n'ont pas confiance, et ça montre donc que l'auteur du journal avait raison (si les sysadmins croyaient en la sécurité de Mageia 1, ils auraient juste dit "ha ha elle est bien bonne, non c'est bon on gère, on sait que ça craint rien").
Quand il faudra faire le bilan, j'espère que ça parlera des soucis de communication, car la communication de personnes (se présentant comme, du moins) de Mageia a rajouté de l'huile sur le feu, et pas qu'un peu (conspuer le lanceur d'alerte, surtout quand ensuite on valide son raisonnement, c'est pas vraiment un méthode conseillée, encore moins ne pas l'admettre ensuite).
et encore une fois : il vaut mieux que les personnes de Mageia se soient fait troller maintenant sans dégâts autre que leur égo, plutôt qu'une autre personne moins bien intentionnée (parce que bon, la, pour le moment on parle de "méchants trolleur" mais les trolleurs ont abîmer que l'égo, rien d'autre) fasse bien plus de dégâts (on parle de la sécurité de plein de machines cibles la…).
Un petit mal (aucun dégât autre que l'égo) pour un gros bien (quelque soit l'issue, même si ça "tue" Mageia, car il vaut mieux que ce soit mort qu'une source de virus).
Donc pour toi le Canard Enchainé, les révélations sur Fillon et Le Pen, et encore avant Cahuzac, banques suisses etc c'est mal car ça vient de gens voulant salir la réputation? Il ne fallait pas les sortir pour ne pas salir de réputation? Sans te demander si à la base, ça aurait été mieux de ne pas faire de conneries? OK, on n'a pas la même vision : on s'en fout complet de son but, à la base le problème est ailleurs. La, tu parles comme Fillon et Le Pen, te focalisant sur le messager et non le problème.
[^] # Re: Je ne comprends pas
Posté par Zenitram (site web personnel) . En réponse au journal Mark Shuttleworth annonce l’abandon d’Unity. Évalué à -4. Dernière modification le 06 avril 2017 à 07:22.
AppImagine les mettra tous d'accord (pas exactement pareil mais e but est dans la même idée).
(Le problème éternel sous Linux : un petit monde déjà pas capable de se focaliser sur un projet pour une problématique donnée, et au final aucun qui décolle)
[^] # Re: A ceux qui critiquent....
Posté par Zenitram (site web personnel) . En réponse au journal Pas de mises à jour de sécurité depuis 5 ans sur l’infrastructure Mageia. Est‐ce bien raisonnable ?. Évalué à -2.
Tu parles de distros a tres long support, justement parce qu'on sait que ca va etre chaud pour migrer.
Ici, on parle de Mageia 1 tué 6 mois après la sortie de Mageia 2, et on parle aussi de migrer à Mageia 5 qui mourra 3 mois après la sortie de Mageia 6. Donc les admins affirment qu'ils auront le temps (sinon ils auraient mis CentOS 7, 10 ans de support gratuit) de migrer de nouveau dans un créneau de 3 mois alors qu'ils n'ont pas pris le temps en 4 ans.
Et surtout, ils n'ont pas rembarré.
Ils ont bien merdé, et à ma connaissance jamais dit que la faute était à "pas le temps" ou autre.
Note que ce ne fut pas un problème de non MAJ mais une erreur humaine (comme pour Amazon).
Critique forte inconsciente de Mageia?
[^] # Re: Tu ne sais pas
Posté par Zenitram (site web personnel) . En réponse au journal Pas de mises à jour de sécurité depuis 5 ans sur l’infrastructure Mageia. Est‐ce bien raisonnable ?. Évalué à 5.
Il ne fait pas : "tu n'as aucune démonstration que ça craint, arrête de dire que ça craint".
Il le fait : "c'est pas bien, fallait pas".
Bravo!
[^] # Re: Et ils continuent de nier le problème ...
Posté par Zenitram (site web personnel) . En réponse au journal Pas de mises à jour de sécurité depuis 5 ans sur l’infrastructure Mageia. Est‐ce bien raisonnable ?. Évalué à -5.
C'est peut-être la le problème : ne pas avoir su s'arrêter avant que ça devienne dangereux au niveau sécurité.
Je crois qu'il y a un problème de compréhension : le sujet n'est pas que les bénévoles doivent être des esclaves, mais qu'il font croire qu'ils font ce qu'il faut pour protéger un minimum, le sujet est qu'il semble impossible de se dire "ok, on n'a plus assez de monde, on ferme avant que ça casse".
Et généralement fait sur des infras à jour, c'est dire le risque encouru sur des infras pas à jour.
C'est bien le soucis.
D'après ce qu'on lit, ce n'était pas oublié mais bien connu.
Pire, une fois que ça a été public, ça n'a pas été coupé dans l'heure.
Bref, on parle de raison, on explique, mais expliquer n'est pas excuser, ce sont deux choses différentes.
Je crois que personne ne critique le travail bénévole, la critique est que le bénévolat n'excuse pas de mettre en danger.
Et tant qu'on parle de 2 choses différentes (l'explication et le résultat), on n'arrivera sans doute pas à ce comprendre.
Maintenant que les serveurs ont été mis hors ligne, la question est peut-être de savoir arrêter plutôt que de faire un burnout à migrer, mais ça ne semble pas en discussion, et ça ce n'est pas la faute de ceux qui ont montré le problème.
[^] # Re: Et ils continuent de nier le problème ...
Posté par Zenitram (site web personnel) . En réponse au journal Pas de mises à jour de sécurité depuis 5 ans sur l’infrastructure Mageia. Est‐ce bien raisonnable ?. Évalué à -6.
Question idiote : à quoi ça sert l'indication "end of life" que vous mettez sur https://www.mageia.org/fr/support/ ?
Nan, parce que bon, j'ai l'impression que les admin sys de Mageia ne comprennent pas ce que ça veut dire, faudrait peut-être leur faire un cours (alors qu'on me dit que se sont des pointures dans ce domaine, j'y comprend rien, moi mes admins sys pas des pointures ils m'engueulent si je ne leur laisse pas le temps de faire les migrations car ils savent que les personnes sur lesquelles ils comptent pour la sécurité ont dit qu'elles ne faisaient plus le taf sinon).
Disons que vu les réactions outrées qui ont été reçues, la façon de nier les problèmes, ça n'aide pas. Il n'y a pas besoin d'être admin sys pour se rendre compte qu'il y a un gros problème, car la communication "end of life" des support est justement pour alerter des problèmes.
Et le pire est peut-être que vous le saviez (surtout que les personnes disant EOL pour la distro doivent être proches des admins sys), mais "pas grave tant que c'est pas mis trop en public", qui n'aide pas à compatir.
(en fait, le problème est que vous n'avez aucune porte de sortie correcte, certes)
tu parles de malfrat, mais pour donner quelque chose d'équivalent une personne faisant un homicide involontaire est quand même une personne faisant un homicide et est condamné pour ça, quand bien même ce fût involontaire avec toutes les bonnes intentions du monde et pas eu le temps de vérifier la sécurité, et vaut mieux se prendre un "mais tu vas le tuer, arrête" que d'arriver au pire, non?
[^] # Re: Et ils continuent de nier le problème ...
Posté par Zenitram (site web personnel) . En réponse au journal Pas de mises à jour de sécurité depuis 5 ans sur l’infrastructure Mageia. Est‐ce bien raisonnable ?. Évalué à 3. Dernière modification le 05 avril 2017 à 20:41.
J'ai l'impression que vous n'avez toujours pas compris l'importance du problème : une personne a pointé du doigt un truc non maintenu dans votre infra depuis 4 ans. Ca veut dire que pendant 4 ans vous étiez à poil (c'est vous qui le dites, "end of life" a été décidé par vous) et que n'importe qui ayant intérêt à vous prendre vos machines pouvait trouver une faille dans une version pas à jour des logiciels de la distro, et ce de pire en pire dans le temps (failles non corrigées).
Ici, vous la jouez logiciels proprio "sécurité par l'obscurité" sauf que c'est pas si obscure (c'est public, suffit de chercher un peu), votre seul avantage est que pas/plus foule n'est chez vous donc ça ne rend pas les attaques intéressantes.
J'imagine qu'on peut préparer un message "on vous a mis à poil pendant 4 ans, on n'est plus capable d'assurer un minimum de sécurité depuis des années, on vous conseille de passer à CentOS pour les conservateurs et Fedora pour les bleding edge et faites bien attention à ne prendre aucun exécutable de l'ancienne install, en attendant qu'on voit ce qu'on peut faire pour ressusciter Mageia" mais pas sûr que vous acceptiez le coup de main vu comment vous réagissez.
au passage, vous n'avez pas eu assez de ressources, ok, des malades ok, mais du coup vous savez comment vous allez faire quand Mageia 6 va sortir? Car vous aurez alors 3 mois pour migrer toutes vos machines vers Mageia 6, sous peine de retomber dans le problème "end of life" de ce que vous avez, et 3 mois c'est court (mais c'est vous qui l'avez décidé donc ce n'est pas critiquable).
Vous faire troller est un coup de pied bien doux par rapport à ce que vous auriez pu vous prendre, vous pourriez même les remercier.
Quand on s'engage à gérer la sécurité d'autres personnes, il faut un minimum, ou il vaut mieux ne rien faire, faire pour faire n'est que rarement une bonne chose, et parfois il faut savoir s'arrêter avant qu'il y est plus de dégâts. Et oui, les tiers non utilisateurs peuvent aussi être impactés (les DDOS sont fait à partir de machines dont la sécurité est traité à la légère, mais d'habitudes c'est par des gens pas au fait de la sécurité).
En attendant, avant je n'avais pas d'avis sur Mageia, maintenant j'en ai un pour quand on me demandera mon avis (rare, mais ça arrivait de temps à autre avec des français surtout).
[^] # Re: Pourquoi ici ?
Posté par Zenitram (site web personnel) . En réponse au journal Pas de mises à jour de sécurité depuis 5 ans sur l’infrastructure Mageia. Est‐ce bien raisonnable ?. Évalué à 2. Dernière modification le 05 avril 2017 à 16:57.
Expliquer n'est pas déresponsabiliser.
Je connais le problème, et je comprend l'explication. Mais ça n'excuse pas.
(devant un juge, c'est pareil : expliquer permet de comprendre, ça permet de voir le soucis, ça adapte la peine; mais ça ne change rien dans la condamnation)
Et quand on est un point d'entrée pour accéder à plein de machines, on prend une responsabilité.
Je l'ai dit ailleurs, mais je le redis : être bénévole ne permet pas de faire n'importe quoi sous excuse de ne pas avoir les moyens, ça ne change rien dans la responsabilité de sécurité qu'on a.
Donc revenir à parler de bénévoles ne fait qu'enfoncer plus Mageia dans le sens où ses défenseurs ne semblent pas comprendre le problème de sécurité. Tout le monde sait qu'ils sont bénévoles, personne ne dit qu'ils sont riches, alors pourquoi parler de sous hors sujet quand on parle de sécurité?
Accepterais-tu d'avoir un accident de voiture et être blessé et de te faire dire "ouais mais la le pote qui a réparé il te la fait bénévolement alors c'est différent" (non, ce n'est pas différent, il est responsable, encore heureux).
Donc : je propose qu'on arrête de chercher des excuses, et qu'on accepte qu'il y a un problème à résoudre (note : ça semble être le cas, j'ai lu que les machines ont été retirée du réseau).
[^] # Re: Pourquoi ici ?
Posté par Zenitram (site web personnel) . En réponse au journal Pas de mises à jour de sécurité depuis 5 ans sur l’infrastructure Mageia. Est‐ce bien raisonnable ?. Évalué à -4. Dernière modification le 05 avril 2017 à 15:17.
OK, mais n'oublie pas… C'est des deux côtés, je n'ai pas l'impression que la réactions des personnes impliquées ai été un modèle de sympathie.
D'autres ont pointé du doigt la réaction "autruche" lors d'une critique sur Mageia 6.
Oui et non :
- Offrir un repas de manière gentille n'autorise pas à donner un repas sans hygiène; en fait, ça n'a rien à voir.
- aujourd'hui il ne doit rien à personne, mais demain si ça se fait trouer c'est une petite armée de bots et des données persos dans la nature, et la ça devra des choses. Peut-être faut--il troller et insulter avant, pour pas que ça empire un jour (pas arrivé, certes, mais faut-il attendre?)
- l'extérieur doit autant en gentillesse envers Mageia que Mageia doit quelque chose à l'extérieur, c'est à dire aucune. A ma connaissance, quand Sony se fait trouer ou un vendeur de vibromasseur se fait pomper les vidéos ou quand Samsung a 40 failles 0-day, il n'y a pas foule pour les défendre alors qu'ils ne te doivent rien non plus, et tu ne critiques pas les gens qui critiquent ces failles. Ben, pour Mageia c'est pareil (le fait que ce soit des bénévoles ne change rien à la problématique de sécurité quand on diffuse quelque chose), c'est tout (voir c'est pire car les admins sont sensés être "la crème de la crème nous on fait attention pas comme ces capitalistes")
Demande-leur si voir leur nom associé à l'idée de ne pas être dérangé plus que ça (même bénévolement, le "prix" n'est pas le sujet) par une infrastructure reposant sur une version de distro plus maintenue depuis 4 ans est positif pour leur CV, maintenant que ça part un peu plus loin que leur ML.
[^] # Re: intrusion ?
Posté par Zenitram (site web personnel) . En réponse au journal Pas de mises à jour de sécurité depuis 5 ans sur l’infrastructure Mageia. Est‐ce bien raisonnable ?. Évalué à 0. Dernière modification le 05 avril 2017 à 12:11.
tu penses sérieusement que c'est infaisable même en HTTP? (c'est le sous-entendu de ta "question")
Wow…
Si tu es prêt à payer pour (c'est du temps que je facture), pas de soucis je m'engage à te faire la démo ou te payer la même somme en pénalités (pour montrer que je m'engage).
[^] # Re: Dans ce cas, ça me donnerait bien envie de quitter la région parisienne ....
Posté par Zenitram (site web personnel) . En réponse au message [poste pourvu] Poste ingénieur R&D en développement python à Grenoble - CDI. Évalué à 1.
Tiens, ça me rappelle un troll.
[^] # Re: A ceux qui critiquent....
Posté par Zenitram (site web personnel) . En réponse au journal Pas de mises à jour de sécurité depuis 5 ans sur l’infrastructure Mageia. Est‐ce bien raisonnable ?. Évalué à -5. Dernière modification le 05 avril 2017 à 11:44.
Si, il a pris une décision : ne pas prendre de décision est une décision (oui ça se mort la queue mais voila, c'est comme ça) quand ça touche la sécurité, la décision a été de laisser une vieille version plus maintenue depuis 4 ans en marche et accessible sur Internet.
OK, je note que le conseil de Mageia considère qu'une version non maintenue et sans personne pour suivre sa sécurité depuis 4 ans n'est pas un problème de sécurité sur une infrastructure.
Le journal en est d'autant plus intéressant donc que le conseil semble affirmer que ce n'est pas un problème.
(wow… D'habitude je lis ça dans des entreprises n'ayant rien à faire de la sécurité et voulant vendre à tout prix)
Faudrait penser à faire un article quelque part "Nous affirmons qu'utiliser une vieille version plus maintenue d'un OS n'est pas un problème de sécurité en soit, ça dépend", ça devrait être utile à plein d'entreprises qui se font critiquer pour ne pas avoir une infrastructure à jour et ne veulent pas investir dans un changement sans se faire d'abord trouer.
Sinon, si vous l'utilisez sans que ça dérange et que vous avez confiance, pourquoi ne pas déclarer Mageia 1 comme maintenue? Vous n'êtes pas logique à dire aux autres que c'est plus à utiliser mais à continuer vous-même à l'utiliser, en terme de com' c'est bof.
[^] # Re: Toujours pareil : comment prendre position sur la base d'informations parcellaires?
Posté par Zenitram (site web personnel) . En réponse au journal La demande d'asile de Cellou Diallo finalement refusée. Évalué à 0.
Je ne te visais pas :), je pensais plutôt à la dépêche en lien et le blog en lien où les gens appellent à soutenir.
Pour la débat sur la présentation plus neutre, on a déjà discuté et tu as déjà vu et corrigé la partie moins neutre.
[^] # Re: A ceux qui critiquent....
Posté par Zenitram (site web personnel) . En réponse au journal Pas de mises à jour de sécurité depuis 5 ans sur l’infrastructure Mageia. Est‐ce bien raisonnable ?. Évalué à 0. Dernière modification le 05 avril 2017 à 11:01.
Je crois qu'il y a un problème de compréhension : la critique est que le conseil n'ai pas pris en compte la gravité soulevée, sans être sysadmin (fin de vie de Mageia 1 est il y a 4 ans, c'est facile à lire) et n'a pas répondu au problème (même pas un officiel "rien à foutre vous nous faites chier ça va très bien d'utiliser une version qu'on a donné comme morte il y a 4 ans" ou une décision "ok on a des sysadmin à la bourre on leur dit d'éteindre la machine en attendant").
Bref, tu évites le sujet, comme il a été évité lors du conseil.
C'est un choix, pas de soucis vous êtes grands et capable de vous défendre en justice en cas de hack faisant de vous un fournisseur de virus/bot (pas sûr que le "as is" marche pour une faute sur la sécurité, en ce moment la justice se penche sur la responsabilité des gens qui ne font pas attnetion à la sécurité des données privées), mais c'est aussi un choix des gens extérieurs de signaler aux utilisateurs (et autres) que la sécurité n'est pas prise au sérieux jusqu'au conseil Mageia (dont un membre considère que les gens remontant ce problème sont juste des trolls) et de leur conseiller de changer de distro pour cette raison.
# Mauvaise excuse
Posté par Zenitram (site web personnel) . En réponse au message [poste pourvu] Poste ingénieur R&D en développement python à Grenoble - CDI. Évalué à 2.
Tu n'auras pas plus de candidats corrects, car c'est une mauvaise excuse pour te culpabiliser : en CDI, tu as la période d'essai, qui a exactement le même effet sur une personne qui quitterait son poste.
Les seules différences sont que la "période d'essai" (qui peut aussi être sur l'activité, tu n'as pas à dire pour quelle raison tu licencies pendant la période d'essai, en théorie c'est sanctionnable de virer pour motif économique mais en pratique difficilement prouvable car c'est au salarié de prouver et pas à l'employeur d'expliquer, ton salarié te demande donc de lui mentir plutôt que d'être franc) est d'une durée différente (4 à 8 mois suivant le profil) et que le salarié n'a pas les 10% de prime de précarité (il est précaire, mais veut que tu ne lui payes pas la prime de précarité si ça merde, va comprendre; perso je trouve justement que le CDD est un engagement te la part de l'employeur à plus payer si il ne transforme pas le CDD en CDI donc une "punition" pour s'être loupé et un bonus pour l'employé malheureux).
Et même sans ça, au bout de 6 mois tu pourrais aussi licencier pour motif économique (c'est juste plus chiant en paperasse) donc un CDI ne protège de rien de plus que le CDD au début (économique, c'est souvent dernier arrivé premier à partir, on repart à 0 quand on démissionne).
Bref, ceux qui te disent qu'ils ne sont pas intéressés car ça commence par un CDD ne prendront pas cette offre ni aucune autre offre excepté celles n'ayant pas de période d'essai (ce qui est rare, et ça se fait plutôt entre personnes "qui se connaissent" au moins de réputation, pas en recherche comme tu le fais), à moins d'être assez stupide pour croire que c'est plus protecteur (la question sera alors de savoir si tu veux prendre une telle personne).
Ne culpabilise pas avec ton offre de CDD.
[^] # Re: TV Samsung
Posté par Zenitram (site web personnel) . En réponse au journal 40 failles 0-day découvertes dans Tizen. Évalué à 4. Dernière modification le 05 avril 2017 à 08:13.
Ca partait pas trop mal dans l'analyse, mais à un moment c'est parti en vrille, genre :
tu as oublié une truc : c'est normal (pour l'acheteur, économiquement) de vouloir un lave-vaisselle qui dure 10 ans si celui-ci coûte 10x moins cher que celui qui dure 25 ans.
Balancer cet exemple sans parler coût détruit l'idée d'objectivité que tu aurais, ça part dans le populisme facile "on nous arnaque".
Note que je ne suis pas contre les lave-vaisselles qui durent 25 ans, mais le problème n'est pas chez les constructeurs, juste chez le peuple (qui ne passe pas de lois mettant tout le monde à égalité à devoir prendre en compte la récupération et le recyclage), bref tu attaques la mauvaise cible.
Pour le reste, je ne désespère pas autant que toi, ces dernières année on a vu plus de contrôles de restaurant pour l’hygiène (équivalent SSL en restaurant), les gens sont plus sensibilisés et demandent de l’hygiène, et ça met juste un peut plus de temps pour l'informatique le temps que les procès arrivent (et ça arrive déjà pas mal, les boites doivent payer, donc à un moment ça va devenir plus rentable d'embaucher que de payer les pénalités).
Bref, ça viendra.
Note que tu parles des gens lambda, mais les personnes "plus sensibilisées" (genre des informaticiens / admin sys) disent aussi on n'a pas le temps donc on garde la distro Linux plus maintenue, le problème de la sécurité n'est pas que l'utilisateur lambda, il est aussi les informaticiens / admin sys même compétents qu'il faut sensibiliser tout autant sur le fait que ça n'attend pas.
Ou alors ça devient justement bien, avec plein de choses différentes pour rendre service à plus que les quelques personnes qui étaient bien seules sur le réseau en 1994. Le fait qu'il y ai des problème n'enlève pas que l'évolution est super.