Dans un courrier envoyé à l'ensemble de ses hébergés, TuxFamily.org propose une approche novatrice pour promouvoir les mises à jour de vos sites web hébergés, notamment du point de vue des failles de sécurité corrigées dans des versions plus récentes des produits que vous avez mis en ligne.
TuxFamily.org est un hébergeur de projets libres proposant des gestionnaires de version pour le code (git, svn… même si certains sont encore sur cvs o_O), espace web permettant de mettre en place forum / wiki / CMS / ce que vous voulez, espaces de téléchargement de 1 Go mais pouvant être augmenté à la demande.
À ce titre, l'équipe de joyeux mythos^W^W^Wde modérateurs et admins dévoués de TuxFamily veut mettre en place dans les prochains jours un système rappelant les bienfaits d'avoir un site à jour avec votre CMS / framework préféré, dans un contexte d'état d'urgence pour éviter les failles qui traîneraient dans de vieilles versions.
À titre expérimental, un exemple est donné sur certains sites sélectionnés(*) avant un déploiement plus général : vous avez de l'ordre d'un mois pour actualiser, avant mise en place effective. Sinon, vous aurez à subir la présence (l'omniprésence) de la trombine d'un des membres de l'équipe si votre site n'a pas été mis à jour : concrètement, elle apparaîtra sur toutes les pages de votre site et suivra le curseur de votre souris (oui, oui, c'est joueur).
Que pensez-vous de cette initiative ?
- mytho : franchement, ce n'est fait que pour mettre en avant l'équipe !
- logique : pour promouvoir la sécurité, il faut savoir en arriver à des mises en abîme
- vous croyez vraiment que je vais mettre à jour mon site qui fonctionne très bien en python 2.4 ? (vécu)
- hein, TuxFamily.org existe encore alors que tout le monde est sur github^Wgitorious voire auto-hébergé !?
- autre : les commentaires sont là pour donner votre avis (même si vous n'êtes pas hébergé(e))
La personnalisation proposée est clairement intrusive et sera difficilement compréhensible par les visiteurs de votre site hébergé : l'absurdité de la chose est justement là pour promouvoir les mises à jour de sécurité, mesure d'hygiène qui semblerait naturelle (vous prenez bien une douche le matin ? bin votre site web aussi doit être régulièrement entretenu). Sur simple demande via le panel, après constat effectif que l'hébergé a mis à jour son site dans une version corrigeant les principaux problèmes de sécurité, la « nuisance » disparaîtra d'elle-même, dans une logique méliorative.
En toute autonomie, les hébergés peuvent se coordonner via le forum voire tracer ce qui leur a permis de faciliter la mise à jour dans la faq de chaque CMS / wiki / forum / ….
Merci de votre participation à éviter que vos sites soient troués et éviter de risquer que les données de vos utilisateurs soient volées (ou votre site tout simplement rendu inopérationnel) _o/.
(*) vous aurez compris que les sites présentant ce qui vous attend sont ceux auxquels vous êtes habitués et connaissez bien (ou pas /o\) :
- https://tuxfamily.org
- https://faq.tuxfamily.org
- https://forum.tuxfamily.org
- https://vhffs.org si comme nos amis de http://toile-libre.org vous souhaitez installer la même chose chez vous
- et… un innocent qui passait par là… tada ! https://poudreverte.org
Note : si vous êtes observateurs, certains auront remarqué letsencrypt au passage et (plus difficile à voir directement) que l'IPv6 est bien présent, c'est 2016 l'année de la sécurité, pas de doute !
Concernant les enchères permettant de monétiser une « soirée » avec un membre de l'équipe de votre choix, les discussions sont encore en cours, pour en soutirer le maximum bien sûr (voire vider votre compte en banque et tous vos portefeuilles d'actions surtout), cela n'en rendra que le service meilleur ou permettra enfin de partir aux Seychelles avec le pactole ! Ayez confiance, TuxFamily.org saura trouver ce qui bénéficie au mieux à tous :D
Aller plus loin
- Site de TuxFamily.org (475 clics)
- Les coupables^Wmembres de l'équipe fournissant les services (232 clics)
- Les recommandations d'hygiène de sécurité sur TuxFamily.org (170 clics)
- Le forum d'entraide collaborative entre hébergés de TuxFamily.org (101 clics)
- Un exemple des « dégâts » sur un site ami (ami) (415 clics)
- Quelques méthodes et bonnes pratiques recommandables (faites tourner !) (165 clics)
- Exhaustivité des possibilités en libre service chez TuxFamily.org (110 clics)
# Quelle horreur !
Posté par raphj . Évalué à 6.
Surtout que les CMS pas à jour, je m'en fish.
[^] # Re: Quelle horreur !
Posté par Benoît Sibaud (site web personnel) . Évalué à 6.
Je rappelle que l'équipe de dév. du CMS daCode a demandé son retrait de Debian, alors pensez à mettre à jour vers la dernière version en prod ou à le désinstaller.
[^] # Re: Quelle horreur !
Posté par raphj . Évalué à 4.
C'était il y a à peine 10 ans, ça n'a pas l'air si urgent.
De toute façon, if it ain't broken, don't fix it, pourquoi toujours devoir utiliser le dernier cms à la mode qui bouffe des gigas de ram pour afficher trois articles et deux pauvres commentaires !
[^] # Re: Quelle horreur !
Posté par Anonyme . Évalué à 4.
Il faut éduquer les gens. Leur faire faire du CSS/HTML, et des templates pour Pelican. Ça bouffe des gigas à la génération mais après t’es tranquille.
Hin hin hin.
[^] # Re: Quelle horreur !
Posté par raphj . Évalué à 4.
Pelican, ça bouffe des poissons aussi ?
[^] # Re: Quelle horreur !
Posté par Anonyme . Évalué à 2.
Pas celui-là, c’est une espèce rare qui ne consomme que des serpents.
[^] # Re: Quelle horreur !
Posté par bubar🦥 (Mastodon) . Évalué à 3.
On ne trouve cette espèce que sur
[^] # Re: Quelle horreur !
Posté par Michaël (site web personnel) . Évalué à 3.
Les pélicans, ça inspire aussi les rappeurs: https://www.youtube.com/watch?v=apCal7ihvy0 La chanson de transmutation en pélican commence à 4:16
[^] # Re: Quelle horreur !
Posté par Anonyme . Évalué à 1.
C’est mon nom qui t’a instigué à nous montrer cette vidéo ?
[^] # Re: Quelle horreur !
Posté par Michaël (site web personnel) . Évalué à 2.
Je ne comprends pas.™
# Lute pour la sécurité
Posté par alpha_one_x86 (site web personnel) . Évalué à 2. Dernière modification le 01 avril 2016 à 14:20.
Les botnets participent aux fraudes telque, phishing, blanchiment d'argent, vol de carte bancaire, spam et DDOS (ces deux derniers sont très problématique pour les admin sys).
Donc que le site soit vieux c'est pas un problème mais la personne doit s'engager à maintenir le site sans faille, dans le cas contraire: fermeture (avec préavis, …).
Mon projet libre: http://ultracopier-fr.first-world.info/, mon jeu libre: http://catchchallenger.first-world.info/
[^] # Re: Lute pour la sécurité
Posté par gUI (Mastodon) . Évalué à 3.
Sécurité vs Liberté… vieux débat…
Ils passent côté Sécurité donc. Au moins, c'est clairement affiché, c'est déjà ça.
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: Lute pour la sécurité
Posté par EauFroide . Évalué à 2.
euh, 1er avril ? :D
La trombine qui suit le curseur, ça serait énorme, avec un index qui va de droite à gauche en faisant "hein hein hein, vous n'avez pas
dit le motfais l'update magique "Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
[^] # Re: Lute pour la sécurité
Posté par Kerro . Évalué à 3.
Analogie :
- le maire d'une commune sicilienne (bonne grosse caricature ? Aucune idée. C'est pour donner un contexte reconnaissable facilement) n'a pas envie de dépenser de l'argent pour rénover la mairie : c'est une liberté
- la mafia pénètre régulièrement dans les locaux afin de consulter les informations sur les citoyens. Le maire de la commune n'a pas envie de dépenser de l'argent pour rénover/renforcer : est-ce un problème de liberté ? C'est un problème de police+justice, certes, et la mairie ne devrait pas avoir à se préoccuper de cela. Seulement dans la vraie vie c'est une autre histoire. Je pense que c'est seulement en partie de la liberté, mais je n'arrive pas à nommer l'autre partie. Une idée ?
[^] # Re: Lute pour la sécurité
Posté par Kerro . Évalué à 3.
Mon analogie n'est pas terrible (c'est l'inconvénient classique des analogies) car la mairie est au moins partiellement responsable de la sécurité des informations qu'elle détient. Mais c'est toujours pareil : on est responsable jusqu'à quel point ? Si on peut entrer en deux minutes avec un pieds de biche et une masse on estime que c'est une faute (pourquoi ? C'est interdit, donc pourquoi être responsable du résultat des actions de ceux qui enfreignent la loi ?), alors que s'il est nécessaire d'y aller au chalumeau pendant une heure on estime que c'est ok (pourtant c'est interdit pareil).
Cela dit : la mairie est au moins partiellement responsable de la sécurité de ses données, admettons. Tout comme un site web est responsable de la sécurité de ses capacités processeur/réseau/etc ? Il y a peut-être à creuser.
Je propose une autre analogie :
- Eurotunnel n'a pas envie de dépenser de l'argent pour avoir une belle clôture : c'est une liberté
- Eurotunnel n'a pas envie de dépenser de l'argent pour construire une méga-clôture destinée à limiter les migrations humaines clandestines : c'est clairement à l'état de prendre cela en charge. Donc ce n'est pas une histoire de liberté de la part d'Eurotunnel (mais pour les clandestins si : la liberté de faire un truc interdit. Encore un truc pas clairement tranché)
Je suis bien embêté car je trouve que ne pas mettre à jour est une faute. Je n'ai pas d'argument, c'est un ressenti.
Et d'un autre côté je trouve qu'on ne peut pas être tenu responsable des agissements d'autrui.
Mais, il y a un « mais », je trouve que les agissements « prévisibles » doivent avoir des conséquences limitées, et que c'est une responsabilité collective. Le pépin est : quelles sont les limites ?
Exemple d'agissements prévisibles : on sait qu'un jour ou l'autre on a un disque-dur qui pête. On sait que certaines personnes se « laissent avoir » par le tabac. On sait qu'il y a des voleurs, depuis aussi loin que nous avons des traces écrites de l'humanité.
[^] # Re: Lute pour la sécurité
Posté par freem . Évalué à 3.
Laisses-moi t'aider en ce cas.
Ne pas mettre à jour des correctifs de sécurité si l'on héberge des données d'un tiers (les logs inclus), c'est une faute car cela risque de compromettre la sécurité d'autrui.
D'un autre côté, mettre à jour vers une version majeure ou mineure, c'est aussi une faute si la seule raison invoquée est la sécurité, car comme tout le monde ici le sait, tout ajout de fonctionnalité ajoute son lot de bugs également.
Du coup, je trouve la politique de tuxfamily difficilement soutenable point de vue sécurité, il est connu après tout que le vieux code est bien plus sécurisé, ayant été relu par de nombreux experts. Typiquement, OpenSSL est un outils extrêmement sécurisé, et le mettre à jour pour avoir de nouvelles fonctionnalités ou de nouveaux protocoles serait une erreur. (hé ho, j'ai encore 30min!)
# Fondation Free ?
Posté par Mimoza . Évalué à 3.
En trainant sur leur site j'ai vu un petit lient vers la fondation Free comme quoi il était l'un de leur sponsor. Du coup je suis allé voir quel autres projet cette fondation supportait. Outre notre site de moule préféré je n'ai pas retrouvé TuxFamily.
http://www.fondation-free.fr/projets-soutenus/
Alors qui a tort ?
[^] # Re: Fondation Free ?
Posté par Sylvain Rochet (site web personnel) . Évalué à 2.
On a bien 2 machines à la fondation free depuis plus de 10 ans ;-) Avant même que la fondation existe d'ailleurs.
On doit pas être assez important pour être indiqué, on a vraiment que 2U dans un petit coin.
Sylvain
[^] # Re: Fondation Free ?
Posté par dj_ (site web personnel) . Évalué à 5.
Attention aux fuites d'eau alors
[^] # Re: Fondation Free ?
Posté par DerekSagan . Évalué à 4. Dernière modification le 01 avril 2016 à 21:00.
je la connaissais avec pas avec 2U dans un petit coin,
je la connaissais comme ça:
(il manque UL dans un coin)
[^] # Re: Fondation Free ?
Posté par Kerro . Évalué à 0. Dernière modification le 01 avril 2016 à 21:23.
Pour qu'il manque UL dans un coin \_o<, il faut d'abord que soit spécifié la nécessité d'avoir un UL dans chaque coin.
Donc ça ne colle pas. Ouf, je ne risque rien.
# sékurité
Posté par bubar🦥 (Mastodon) . Évalué à 4.
Faux ! Tout le monde s'en balance que sur la mailing list de diplomatie entre, entre autre, le noyau et grsec, Linus Himself soit intervenu pour la première fois hier en disant «good point» TOUT LE MONDE.
Car 2016 c'est l'année du Desktop !
Et na !
[^] # Re: sékurité
Posté par BAud (site web personnel) . Évalué à 3.
pas seulement :-)
Pour quoter plus complètement :
Un grand merci à tous ceux nous ayant prodigué leurs encouragements et remerciements (même si en fait nous ne faisons cela que pour la gloire ! o_O). Même si à un moment ou un autre nous finirons par indiquer que « github m'a tuer », nous ne pouvons que vous recommander nos amis de http://framasoft.net (allez les chatons !), de https://gna.org ou https://gitorious.org (qui renvoie désormais sur https://gitlab.com/explore/) ou https://Toile-Libre.org selon vos affinités et en complément au besoin.
# Léa-Linux a aussi publié son poisson d'avril ;-)
Posté par idéefixe . Évalué à 2.
Poisson d'avril de Léa-Linux.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.