Les temps sont durs chez TuxFamily.org

Posté par BAud (site web personnel) le 01 avril 2016 à 10:15. Édité par Benoît Sibaud et palm123. Modéré par Benoît Sibaud. Licence CC By‑SA.

Étiquettes :

avr.

2016

Dans un courrier envoyé à l'ensemble de ses hébergés, TuxFamily.org propose une approche novatrice pour promouvoir les mises à jour de vos sites web hébergés, notamment du point de vue des failles de sécurité corrigées dans des versions plus récentes des produits que vous avez mis en ligne.

TuxFamily.org est un hébergeur de projets libres proposant des gestionnaires de version pour le code (git, svn… même si certains sont encore sur cvs o_O), espace web permettant de mettre en place forum / wiki / CMS / ce que vous voulez, espaces de téléchargement de 1 Go mais pouvant être augmenté à la demande.

À ce titre, l'équipe de joyeux mythos^W^W^Wde modérateurs et admins dévoués de TuxFamily veut mettre en place dans les prochains jours un système rappelant les bienfaits d'avoir un site à jour avec votre CMS / framework préféré, dans un contexte d'état d'urgence pour éviter les failles qui traîneraient dans de vieilles versions.

À titre expérimental, un exemple est donné sur certains sites sélectionnés(*) avant un déploiement plus général : vous avez de l'ordre d'un mois pour actualiser, avant mise en place effective. Sinon, vous aurez à subir la présence (l'omniprésence) de la trombine d'un des membres de l'équipe si votre site n'a pas été mis à jour : concrètement, elle apparaîtra sur toutes les pages de votre site et suivra le curseur de votre souris (oui, oui, c'est joueur).

Que pensez-vous de cette initiative ?

mytho : franchement, ce n'est fait que pour mettre en avant l'équipe !
logique : pour promouvoir la sécurité, il faut savoir en arriver à des mises en abîme
vous croyez vraiment que je vais mettre à jour mon site qui fonctionne très bien en python 2.4 ? (vécu)
hein, TuxFamily.org existe encore alors que tout le monde est sur github^Wgitorious voire auto-hébergé !?
autre : les commentaires sont là pour donner votre avis (même si vous n'êtes pas hébergé(e))

La personnalisation proposée est clairement intrusive et sera difficilement compréhensible par les visiteurs de votre site hébergé : l'absurdité de la chose est justement là pour promouvoir les mises à jour de sécurité, mesure d'hygiène qui semblerait naturelle (vous prenez bien une douche le matin ? bin votre site web aussi doit être régulièrement entretenu). Sur simple demande via le panel, après constat effectif que l'hébergé a mis à jour son site dans une version corrigeant les principaux problèmes de sécurité, la « nuisance » disparaîtra d'elle-même, dans une logique méliorative.

En toute autonomie, les hébergés peuvent se coordonner via le forum voire tracer ce qui leur a permis de faciliter la mise à jour dans la faq de chaque CMS / wiki / forum / ….

Merci de votre participation à éviter que vos sites soient troués et éviter de risquer que les données de vos utilisateurs soient volées (ou votre site tout simplement rendu inopérationnel) _o/.

(*) vous aurez compris que les sites présentant ce qui vous attend sont ceux auxquels vous êtes habitués et connaissez bien (ou pas /o\) :

https://tuxfamily.org
https://faq.tuxfamily.org
https://forum.tuxfamily.org
https://vhffs.org si comme nos amis de http://toile-libre.org vous souhaitez installer la même chose chez vous
et… un innocent qui passait par là… tada ! https://poudreverte.org

Note : si vous êtes observateurs, certains auront remarqué letsencrypt au passage et (plus difficile à voir directement) que l'IPv6 est bien présent, c'est 2016 l'année de la sécurité, pas de doute !

Concernant les enchères permettant de monétiser une « soirée » avec un membre de l'équipe de votre choix, les discussions sont encore en cours, pour en soutirer le maximum bien sûr (voire vider votre compte en banque et tous vos portefeuilles d'actions surtout), cela n'en rendra que le service meilleur ou permettra enfin de partir aux Seychelles avec le pactole ! Ayez confiance, TuxFamily.org saura trouver ce qui bénéficie au mieux à tous :D

Aller plus loin

Site de TuxFamily.org (475 clics)
Les coupables^Wmembres de l'équipe fournissant les services (232 clics)
Les recommandations d'hygiène de sécurité sur TuxFamily.org (170 clics)
Le forum d'entraide collaborative entre hébergés de TuxFamily.org (101 clics)
Un exemple des « dégâts » sur un site ami (ami) (415 clics)
Quelques méthodes et bonnes pratiques recommandables (faites tourner !) (165 clics)
Exhaustivité des possibilités en libre service chez TuxFamily.org (110 clics)

# Quelle horreur !

Posté par raphj le 01 avril 2016 à 11:00. Évalué à 6.

Surtout que les CMS pas à jour, je m'en fish.
- [^] # Re: Quelle horreur !
  
  Posté par Benoît Sibaud (site web personnel) le 01 avril 2016 à 11:18. Évalué à 6.
  
  Je rappelle que l'équipe de dév. du CMS daCode a demandé son retrait de Debian, alors pensez à mettre à jour vers la dernière version en prod ou à le désinstaller.
  - [^] # Re: Quelle horreur !
    
    Posté par raphj le 01 avril 2016 à 11:52. Évalué à 4.
    
    C'était il y a à peine 10 ans, ça n'a pas l'air si urgent.
    
    De toute façon, if it ain't broken, don't fix it, pourquoi toujours devoir utiliser le dernier cms à la mode qui bouffe des gigas de ram pour afficher trois articles et deux pauvres commentaires !
    - [^] # Re: Quelle horreur !
      
      Posté par Anonyme le 01 avril 2016 à 12:47. Évalué à 4.
      
      Il faut éduquer les gens. Leur faire faire du CSS/HTML, et des templates pour Pelican. Ça bouffe des gigas à la génération mais après t’es tranquille.
      
      Hin hin hin.
      - [^] # Re: Quelle horreur !
        
        Posté par raphj le 01 avril 2016 à 13:15. Évalué à 4.
        
        Pelican, ça bouffe des poissons aussi ?
        
        [^] # Re: Quelle horreur !
        
        Posté par Anonyme le 01 avril 2016 à 13:17. Évalué à 2.
        
        Pas celui-là, c’est une espèce rare qui ne consomme que des serpents.
        
        [^] # Re: Quelle horreur !
        
        Posté par bubar🦥 (Mastodon) le 01 avril 2016 à 21:02. Évalué à 3.
        
        On ne trouve cette espèce que sur
        
        [^] # Re: Quelle horreur !
        
        Posté par Michaël (site web personnel) le 01 avril 2016 à 21:56. Évalué à 3.
        
        Les pélicans, ça inspire aussi les rappeurs: https://www.youtube.com/watch?v=apCal7ihvy0 La chanson de transmutation en pélican commence à 4:16
        
        [^] # Re: Quelle horreur !
        
        Posté par Anonyme le 01 avril 2016 à 23:11. Évalué à 1.
        
        C’est mon nom qui t’a instigué à nous montrer cette vidéo ?
        
        [^] # Re: Quelle horreur !
        
        Posté par Michaël (site web personnel) le 01 avril 2016 à 23:58. Évalué à 2.
        
        Je ne comprends pas.™
# Lute pour la sécurité

Posté par alpha_one_x86 (site web personnel) le 01 avril 2016 à 14:20. Évalué à 2. Dernière modification le 01 avril 2016 à 14:20.

Les botnets participent aux fraudes telque, phishing, blanchiment d'argent, vol de carte bancaire, spam et DDOS (ces deux derniers sont très problématique pour les admin sys).
Donc que le site soit vieux c'est pas un problème mais la personne doit s'engager à maintenir le site sans faille, dans le cas contraire: fermeture (avec préavis, …).

Mon projet libre: http://ultracopier-fr.first-world.info/, mon jeu libre: http://catchchallenger.first-world.info/
- [^] # Re: Lute pour la sécurité
  
  Posté par gUI (Mastodon) le 01 avril 2016 à 14:48. Évalué à 3.
  
  Sécurité vs Liberté… vieux débat…
  
  Ils passent côté Sécurité donc. Au moins, c'est clairement affiché, c'est déjà ça.
  
  En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
  - [^] # Re: Lute pour la sécurité
    
    Posté par EauFroide le 01 avril 2016 à 14:54. Évalué à 2.
    
    euh, 1er avril ? :D
    La trombine qui suit le curseur, ça serait énorme, avec un index qui va de droite à gauche en faisant "hein hein hein, vous n'avez pas ~~dit le mot~~ fais l'update magique "
    
    Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
  - [^] # Re: Lute pour la sécurité
    
    Posté par Kerro le 01 avril 2016 à 19:00. Évalué à 3.
    
    Sécurité vs Liberté
    
    Analogie :
    - le maire d'une commune sicilienne (bonne grosse caricature ? Aucune idée. C'est pour donner un contexte reconnaissable facilement) n'a pas envie de dépenser de l'argent pour rénover la mairie : c'est une liberté
    - la mafia pénètre régulièrement dans les locaux afin de consulter les informations sur les citoyens. Le maire de la commune n'a pas envie de dépenser de l'argent pour rénover/renforcer : est-ce un problème de liberté ? C'est un problème de police+justice, certes, et la mairie ne devrait pas avoir à se préoccuper de cela. Seulement dans la vraie vie c'est une autre histoire. Je pense que c'est seulement en partie de la liberté, mais je n'arrive pas à nommer l'autre partie. Une idée ?
    - [^] # Re: Lute pour la sécurité
      
      Posté par Kerro le 01 avril 2016 à 21:44. Évalué à 3.
      
      Mon analogie n'est pas terrible (c'est l'inconvénient classique des analogies) car la mairie est au moins partiellement responsable de la sécurité des informations qu'elle détient. Mais c'est toujours pareil : on est responsable jusqu'à quel point ? Si on peut entrer en deux minutes avec un pieds de biche et une masse on estime que c'est une faute (pourquoi ? C'est interdit, donc pourquoi être responsable du résultat des actions de ceux qui enfreignent la loi ?), alors que s'il est nécessaire d'y aller au chalumeau pendant une heure on estime que c'est ok (pourtant c'est interdit pareil).
      
      Cela dit : la mairie est au moins partiellement responsable de la sécurité de ses données, admettons. Tout comme un site web est responsable de la sécurité de ses capacités processeur/réseau/etc ? Il y a peut-être à creuser.
      
      Je propose une autre analogie :
      - Eurotunnel n'a pas envie de dépenser de l'argent pour avoir une belle clôture : c'est une liberté
      - Eurotunnel n'a pas envie de dépenser de l'argent pour construire une méga-clôture destinée à limiter les migrations humaines clandestines : c'est clairement à l'état de prendre cela en charge. Donc ce n'est pas une histoire de liberté de la part d'Eurotunnel (mais pour les clandestins si : la liberté de faire un truc interdit. Encore un truc pas clairement tranché)
      
      Je suis bien embêté car je trouve que ne pas mettre à jour est une faute. Je n'ai pas d'argument, c'est un ressenti.
      Et d'un autre côté je trouve qu'on ne peut pas être tenu responsable des agissements d'autrui.
      Mais, il y a un « mais », je trouve que les agissements « prévisibles » doivent avoir des conséquences limitées, et que c'est une responsabilité collective. Le pépin est : quelles sont les limites ?
      
      Exemple d'agissements prévisibles : on sait qu'un jour ou l'autre on a un disque-dur qui pête. On sait que certaines personnes se « laissent avoir » par le tabac. On sait qu'il y a des voleurs, depuis aussi loin que nous avons des traces écrites de l'humanité.
      - [^] # Re: Lute pour la sécurité
        
        Posté par freem le 01 avril 2016 à 23:28. Évalué à 3.
        
        Je suis bien embêté car je trouve que ne pas mettre à jour est une faute. Je n'ai pas d'argument, c'est un ressenti.
        
        Laisses-moi t'aider en ce cas.
        
        Ne pas mettre à jour des correctifs de sécurité si l'on héberge des données d'un tiers (les logs inclus), c'est une faute car cela risque de compromettre la sécurité d'autrui.
        
        D'un autre côté, mettre à jour vers une version majeure ou mineure, c'est aussi une faute si la seule raison invoquée est la sécurité, car comme tout le monde ici le sait, tout ajout de fonctionnalité ajoute son lot de bugs également.
        
        Du coup, je trouve la politique de tuxfamily difficilement soutenable point de vue sécurité, il est connu après tout que le vieux code est bien plus sécurisé, ayant été relu par de nombreux experts. Typiquement, OpenSSL est un outils extrêmement sécurisé, et le mettre à jour pour avoir de nouvelles fonctionnalités ou de nouveaux protocoles serait une erreur. (hé ho, j'ai encore 30min!)
# Fondation Free ?

Posté par Mimoza le 01 avril 2016 à 15:11. Évalué à 3.

En trainant sur leur site j'ai vu un petit lient vers la fondation Free comme quoi il était l'un de leur sponsor. Du coup je suis allé voir quel autres projet cette fondation supportait. Outre notre site de moule préféré je n'ai pas retrouvé TuxFamily.
http://www.fondation-free.fr/projets-soutenus/
Alors qui a tort ?
- [^] # Re: Fondation Free ?
  
  Posté par Sylvain Rochet (site web personnel) le 01 avril 2016 à 18:36. Évalué à 2.
  
  On a bien 2 machines à la fondation free depuis plus de 10 ans ;-) Avant même que la fondation existe d'ailleurs.
  
  On doit pas être assez important pour être indiqué, on a vraiment que 2U dans un petit coin.
  
  Sylvain
  - [^] # Re: Fondation Free ?
    
    Posté par dj_ (site web personnel) le 01 avril 2016 à 20:06. Évalué à 5.
    
    on a vraiment que 2U dans un petit coin.
    
    Attention aux fuites d'eau alors
  - [^] # Re: Fondation Free ?
    
    Posté par DerekSagan le 01 avril 2016 à 20:59. Évalué à 4. Dernière modification le 01 avril 2016 à 21:00.
    on a vraiment que 2U dans un petit coin.
    
    je la connaissais avec pas avec 2U dans un petit coin,
    je la connaissais comme ça:
```
     +------------------+
     |UL              UL|
     |                  |
     |                  |
     |                  |
     |                  |
     |                  |
     |UL                |
     +------------------+
```
    (il manque UL dans un coin)
    - [^] # Re: Fondation Free ?
      
      Posté par Kerro le 01 avril 2016 à 21:23. Évalué à 0. Dernière modification le 01 avril 2016 à 21:23.
      
      Pour qu'il manque UL dans un coin \_o<, il faut d'abord que soit spécifié la nécessité d'avoir un UL dans chaque coin.
      Donc ça ne colle pas. Ouf, je ne risque rien.
# sékurité

Posté par bubar🦥 (Mastodon) le 01 avril 2016 à 20:59. Évalué à 4.

2016 est l'année de la sécurité

Faux ! Tout le monde s'en balance que sur la mailing list de diplomatie entre, entre autre, le noyau et grsec, Linus Himself soit intervenu pour la première fois hier en disant «good point» TOUT LE MONDE.

Car 2016 c'est l'année du Desktop !

Et na !
- [^] # Re: sékurité
  
  Posté par BAud (site web personnel) le 02 avril 2016 à 01:11. Évalué à 3.
  pas seulement :-)
  
  Pour quoter plus complètement :
  
  Note : si vous êtes observateurs, certains auront remarqué letsencrypt au passage et (plus difficile à voir directement) que l'IPv6 est bien présent, c'est 2016 l'année de la sécurité, pas de doute !
  - https://tuxfamily.org/fr/news/2016040201 Merci Let's Encrypt
  - https://tuxfamily.org/fr/news/2016040202 Bienvenue Jessie
  - https://tuxfamily.org/fr/news/2016040200 2016 l'année de l'IPv6 !
  - bien sûr https://tuxfamily.org/fr/news/2016040100 était un poisson, même si notre incitation à garder une hygiène de sécurité restera un encouragement à respecter vos utilisateurs (éviter qu'ils se fassent voler leurs données privées) et votre hébergeur (nous éviter quelques failles de sécurité, même si le cloisonnement est efficace, nous éviter d'avoir à réparer votre site pour limiter la propagation éventuelle ; si quelqu'un a une solution magique, bienvenue sur notre chan irc pour nous en faire part, le trouver est laissé à titre d'exercice)
  Un grand merci à tous ceux nous ayant prodigué leurs encouragements et remerciements (même si en fait nous ne faisons cela que pour la gloire ! o_O). Même si à un moment ou un autre nous finirons par indiquer que « github m'a tuer », nous ne pouvons que vous recommander nos amis de http://framasoft.net (allez les chatons !), de https://gna.org ou https://gitorious.org (qui renvoie désormais sur https://gitlab.com/explore/) ou https://Toile-Libre.org selon vos affinités et en complément au besoin.
# Léa-Linux a aussi publié son poisson d'avril ;-)

Posté par idéefixe le 02 avril 2016 à 12:29. Évalué à 2.

Poisson d'avril de Léa-Linux.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.