Journal Comment tuer un développeur de LL*

Posté par  (site web personnel) .
Étiquettes : aucune
44
26
août
2008
Aujourd'hui, je ne suis pas content, mais vraiment pas content du tout. Je vais donc commencer ce journal avec une bordée d'injures histoire de ne pas en parsemer partout dans ce journal : Fermez les yeux, retirez vos doigts de vos tablettes brailles et bouchez vous les oreilles : @#$%&*^#@@#$$%^. Raaah, ça fait du bien.

Bon, je développe sur mon temps libre et souvent professionnel du logiciel libre et ceci depuis 2000/2001. Je prends plaisir à faire cela, mais là, je me pose sérieusement la question si cela vaut le coup de continuer, voici la petite histoire.

Depuis 2001, je développe un petit CMS, tout simple, pas prétentieux pour 2 sous. Il y a une petite communauté active et sympa qui s'occupe de lui, je n'ai plus besoin de faire les releases car maintenant certains contributeurs les font. L'ambiance est sympa.

Et puis, l'année dernière, une personne me fait savoir qu'il existe une alerte de sécurité Secunia/CERT/ou je ne sais plus qui pour le CMS. Je tombe de haut. Comment ? Mon petit projet ridicule se trouve avec une alerte de sécurité comme ça ? (il y aurait donc des utilisateurs). Je trouve le problème, je le fixe, nouvelle release. Je cherche dans les forums, mailing listes, wiki, aucune information préalable. Une personne a donc trouvé une faille de sécurité et informé CERT/truc/bidule et même pas un email aux développeurs du logiciel. Grrr, moi pas content, moi probablement un vieux con qui pense encore respect, netiquette et tout ça. Bon, je laisse couler, je retourne traire mes vaches.

Ce matin, un email dans la liste des utilisateurs, "faille de sécurité dans le CMS version x.x". Et merde, je me jette dessus et dedans pas la moindre info pour aider le développeur, juste un "c'est la fin pour moi, j'arrête d'utiliser ce CMS". Oups. Je contacte la personne en privé, je réponds à l'email, je fais une analyse importante du code encore une fois, je vérifie mes logs sur plusieurs installations ayant cette version qui tourne, j'informe la liste de sécurité qu'éventuellement il y a un problème de sécurité donc j'invite à faire un backup des données.

Je rentre en contact avec la personne ayant le problème. Bon, c'est l'hébergeur qui a trouvé le problème, il me donne son compte client, numéro du ticket support, son nom complet. Je vais sur le site de l'hébergeur, je trouve pas possibilité de contacter en urgence. Nom de domaine .fr, un tour sur l'Afnic, arg, le numéro de téléphone dans le whois me lance un "numéro non attribué". Grrrr, je téléphone d'Allemagne... Je trouve que ces bonshommes ont une AS, direction RIPE, je trouve un numéro, rebelotte, fonctionne pas, le deuxième fonctionne yeah !

Grosso modo l'échange, j'étais très poli (quand on demande de l'aide on est toujours très très poli) :

- Bonjour, mon petit nom, je suis développeur d'un logiciel libre trucmuch CMS, je vous contacte, je ne suis pas client, mais j'ai un utilisateur pour qui vous avez découvert un problème de sécurité. Le numéro de ticket est le 12345, son nom est Foo Bar et son numéro de compte 6789.
- Oui, c'est moi qui est traité ce ticket. [...]
- Très bien, vous comprenez la situation, je cherche une information qui me permettrait de corriger le problème de sécurité, j'ai quelques milliers d'utilisateurs dont la sécurité est en jeu, peut-être même chez vous.
- Oui, je vois, mais non, je ne peux pas vous fournir d'information supplémentaire, vous n'êtes pas client. [bla bla]
- Ok, je ne demande rien de confidentiel, juste comme vous annoncez à votre client que c'est le logiciel que je développe qui a un problème, je demande juste le point d'entrée, une ligne de logs anonyme juste pour me permettre de fixer le problème.
- [réponse ferme et claire, c'est non,] mais on peut donner l'information au client s'il formule sa question correctement.
- Bon, cela veut quand même dire que vous savez, très bien, je recontacte la personne et lui demande de vous poser la question.
- Attention, le client ne peut pas poser la question par téléphone car son offre [bla bla bla]
- Ok, ok, il a un ticket, donc de toute façon vous aurez la question par email. Au passage, vos informations Afnic ne sont pas à jour, j'ai trouvé votre numéro de téléphone via la base RIPE.
- Ok, merci bonne journée.
- Bonne journée.

Durée de la discussion très polie, 4 minutes 17 secondes.

Je recontacte l'utilisateur et donne les infos que j'ai, cela fait 3h, j'ai toujours pas d'info.

Bon, alors, je suis développeur d'un logiciel libre, pour un utilisateur qui a un problème de sécurité grave (on lui a demandé de supprimer l'intégralité du contenu de son hébergement !) je décroche mon téléphone depuis l'Allemagne pour contacter l'hébergeur. Je dispose de toutes les informations du client et je demande une information anonyme pour fixer le problème de sécurité et je me fais envoyer dans les roses (côté épines).

Conclusion, vous codez une application qui permet à ces gens de faire de l'argent (ils n'auraient pas autant de clients si il n'y avait pas de scripts PHP/MySQ/truc much pour faire le site de madame michu), vous prenez sur votre temps et votre argent pour faire cela bien et la réponse est "merci d'aller voir ailleurs".

Je code pas du logiciel libre pour être célèbre et gagner de l'argent, non, je fais cela uniquement pour répondre aux problèmes que j'ai et je donne au passage ce travail aux autres. Au total, en 7 ans de développement libre, j'ai facturé 200Euros pour un hack pour aider quelqu'un. Je ne cherche pas à monétiser le truc, ce n'est pas mon objectif. Je fais cela par plaisir, mais là, le plaisir (et ce n'est pas la faute du pauvre utilisateur dans ce cas précis) il vient de se faire la malle.

Finalement, grosse fatigue, je vais attendre avant de libérer plus de code. Je vais me concentrer sur mon business, ma famille et puis le logiciel libre attendra. Facturer 100€ de l'heure, c'est peut-être mieux que de se faire envoyer balader par des gens qui font de l'argent sur votre dos...

Et vous, créateurs de logiciel libre, vous avez aussi des coups de fatigue comme ça ? Vous avez des trucs pour recharger les batteries après des coups comme ça ?

*: C'est plutôt la motivation qui n'est plus là.
  • # Re:

    Posté par  . Évalué à -3.

    Ce n'est pas parce qu'une ou deux personnes (ou compagnie j'ai pas compris) est conne qu'il faut généraliser. Si ? Ah ben fait plus rien alors. Par exemple, un con peut te griller la priorité en voiture, alors ne prends plus ta voiture.
  • # hmmm

    Posté par  (site web personnel) . Évalué à 6.

    il y a ces conseils http://action.ffii.org/articles/Burnout (éviter de s'épuiser sur un projet)

    et sinon je me relis tranquillement http://www.gnurou.org/writing/smartquestionsfr en me disant que moi aussi ça m'arrive de ne pas avoir beaucoup de patience.

    Mais sinon je fais comme toi, j'écris ce que je pense, ça fait du bien, c'est cathartique et ça me permet de le relire ensuite en identifiant les éléments qui me font tenir : la plupart du temps, les utilisateurs satisfaits et le travail en équipe (même virtuelle).
    C'est pas pour rien que sur TuxFamily nous avons dédié un forum aux remerciements d'ailleurs http://forum.tuxfamily.org (comme indiqué Ben quoi ? on peut toujours espérer non ? ) :D
    • [^] # Re: hmmm

      Posté par  . Évalué à -10.

      Non mais là il ne fait pas seulement se plaindre (ce dont je le comprends), mais il prend un prétexte (qui est loin d'être une généralité) pour tout plaquer. Qu'il plaque tout ok, mais pas pour des mauvais prétextes. S'il en a marre de faire du LL, c'est pour d'autres raisons. C'est un peu trop facile de trouver des boucs émissaires comme ça.
      • [^] # Re: hmmm

        Posté par  (site web personnel) . Évalué à 9.

        > S'il en a marre de faire du LL, c'est pour d'autres raisons.

        ciol, avez-vous lu les 2 questions à la fin du journal ? Si oui, merci de les lire encore une fois, peut-être que vous arriverez à comprendre l'implication par rapport à ma participation à du logiciel libre et comme vous développez sûrement beaucoup de logiciels libres, vous aurez de bonne idées pour répondre à ces 2 questions.
        • [^] # Re: hmmm

          Posté par  . Évalué à -10.

          Je les ai lu, je ne vous reproche rien là dessus. Je vous reproche ceci :

          Je fais cela par plaisir, mais là, le plaisir (et ce n'est pas la faute du pauvre utilisateur dans ce cas précis) il vient de se faire la malle.

          Finalement, grosse fatigue, je vais attendre avant de libérer plus de code. Je vais me concentrer sur mon business, ma famille et puis le logiciel libre attendra. Facturer 100€ de l'heure, c'est peut-être mieux que de se faire envoyer balader par des gens qui font de l'argent sur votre dos...


          Ce prétexte n'était pas utile pour avoir un coup de barre.
          • [^] # Re: hmmm

            Posté par  (site web personnel) . Évalué à 10.

            ciol, je crois que nous nous sommes pas compris. Il n'y a pas de prétexte, je n'ai pas besoin de prétexte. Si je veux arrêter de faire du libre, j'arrête, c'est ça le libre. Cela fait 7 ans que je consacre beaucoup d'heures chaque semaine à du libre, alors bon, si vous aviez un peu de jugeotte vous auriez compris que je fais cela par passion et conviction. Et si vous aviez encore un peu plus de jugeotte, vous auriez compris que quand vous faites quelque chose par passion et conviction et que quelqu'un qui profite de ce travail vous met des bâtons dans les roues, cela fait bien mal et cela fatigue.

            Contribuez de manière active à un projet libre sur plusieurs années et nous pourrons alors échanger nos expériences réciproques et rire ensemble de nos coups de fatigue.
            • [^] # Re: hmmm

              Posté par  . Évalué à 10.

              aïe, on aurait dû vous prévenir...

              ...chaque village a son idiot, et ces temps-ci donc on a ciol parmi nous.
              • [^] # Re: hmmm

                Posté par  (Mastodon) . Évalué à 2.

                ces temps-ci donc on a ciol parmi nous.

                Il y a quelques mois, on a eu un Ciol dans fcol.debats, et c'était assez dévastateur...
            • [^] # Re: hmmm

              Posté par  . Évalué à -10.

              > Si je veux arrêter de faire du libre, j'arrête, c'est ça le libre.

              Tout à fait.

              > quand vous faites quelque chose par passion et conviction et que quelqu'un qui profite de ce travail vous met des bâtons dans les roues, cela fait bien mal et cela fatigue.

              Je le comprends. Et moi je vous dis qu'il ne faut pas faire d'un cas particulier une généralité. Il est où le problème ? Pourquoi je me fais moinsser ? On dirait qu'on peut plus rien suggérer à quelqu'un sous prétexte qu'on est pas Linus T.
              • [^] # Re: hmmm

                Posté par  (site web personnel) . Évalué à 7.

                On dirait qu'on peut plus rien suggérer à quelqu'un sous prétexte qu'on est pas Linus T.

                C'est surtout que tu continues de te griller en tant que ciol. N'oublie pas que par certains aspects la communauté reste petite ou qu'en tout cas l'information circule bien vite.
                Tiens, une petite citation pour la route qui peut qualifier certains de tes comportements passés : Il vaut mieux ne rien dire et passer pour un con, que l'ouvrir et ne laisser aucun doute à ce sujet.
                (en espérant que comme en économie les performances du passé ne présagent pas des résultats de l'avenir ;-) et qu'un jour tu apprendras à tourner ton clavier 7 fois avant d'appuyer sur Entrée).

                et comme j'aime bien les aphorismes, voici une indication : la goutte d'eau qui fait déborder le vase.
                • [^] # Re: hmmm

                  Posté par  (site web personnel, Mastodon) . Évalué à 6.

                  > et comme j'aime bien les aphorismes, voici une indication : la goutte d'eau qui fait déborder le vase.

                  Ah, merci ! J'hésitais toujours entre la goutte d'eau qui met le feu aux poudres et l'étincelle qui fait déborder le vase.
      • [^] # Re: hmmm

        Posté par  . Évalué à 10.

        > S'il en a marre de faire du LL, c'est pour d'autres raisons

        Tu penses qu'en réalité c'est qu'il n'est pas satisfait du modele de developpement des distributions linux ?
    • [^] # Re: hmmm

      Posté par  (site web personnel, Mastodon) . Évalué à 8.

      Super cette page sur les questions pertinentes.

      J'en ai fait l'expérience moi-même avec le serveur fritalk où j'ai effectué une migration qui impliquait que chaque utilisateur migre son compte (j'ai expliqué plusieurs fois sur le blog et envoyé un mail à chaque utilisateur décrivant la procédure).


      Je reçois :

      User: Mon compte Fritalk marche pas.
      Moi : C'est normal car tu dois migrer ton compte. Tu as du recevoir un mail avec la procédure que je te recopie ici.
      User : j'ai déjà reçu le mail mais mon compte marche pas.


      Au final, j'ai pris 15 minutes pour retester le compte de l'utilisateur (tout semble correct) mais je ne sais même pas si il a lu le mail.

      Je reçois aussi de nombreuses questions dont la réponses est textuellement dans l'email auquel les gens répondent. (pour se faire peur, je vous invite à lire les commentaires de ce billet : http://ploum.frimouvy.org/?41-juste-une-poussiere-au-milieu-(...) )

      Bref, j'avoue que parfois, j'ai du mal.

      Mes livres CC By-SA : https://ploum.net/livres.html

      • [^] # Re: hmmm

        Posté par  (site web personnel) . Évalué à 5.

        Et finalement, c'est quoi la distance entre la terre et proxima du centaure ?



        non merci, je trouvera la porte tout seul ---------------> [ ]
      • [^] # Re: hmmm

        Posté par  . Évalué à 5.

        On a toujours des utilisateurs qui se plaignent et ne font aucun effort pour t'aider à résoudre leur problème. J'en subis pas mal par téléphone "C'est trop compliqué", "Je suis nul(le) en informatique", "Vous me parlez chinois"; pourtant, s'il y a un problème, ils sont assez compétents pour t'appeler, et ils achètent ton produit.

        Bon, si, avec un produit gratuit, et qui plus est libre, ils te parlent encore comme ça, tu n'as qu'à les envoyer paître.

        Au passage, je te remercie pour le serveur Fritalk.org, il me sert énormément quand mon propre serveur Jabber est en carafe. Et je te remercie d'avoir consacré autant de temps à le maintenir et le faire évoluer depuis sa mise en route publique.

        Comme quoi, contribuer au libre n'apporte pas que des râleurs..
    • [^] # Re: hmmm

      Posté par  (site web personnel) . Évalué à 4.

      Merci, tout simplement.
  • # idée toute simple

    Posté par  (site web personnel) . Évalué à 10.

    1. donne ici le nom du CMS que tu fais.
    2. donne ici le nom de la faille.
    3. met sur ton site un grand bandeau "je suis en attente de retour sur la faille machin sur laquelle je ne dispose d'aucune info"
    4. Ajoute des commentaires ici avec des liens sur ta page de suivi des failles rapportées ( genre un bugtracker tu vois ? )

    Au résultat :
    - tu trouveras peut etre une personne sur DLFP qui pourra t'aider à trouver la faille et la corriger
    - tu auras referencé dans google ta volonté de corriger la faille et le fait que tu n'as aucune description correcte te permettant de corriger la dite faille
    - tu gagneras en sérieux même si ton code suxorise encore actuellement
    • [^] # Re: idée toute simple

      Posté par  . Évalué à 5.

      http://pxsystem.sourceforge.net/

      Il s'agit de PlumeCMS (lien trouvé sur son site perso).

      Envoyé depuis mon lapin.

      • [^] # Re: idée toute simple

        Posté par  (site web personnel) . Évalué à 3.

        Oh tiens, je l'ai utilisé celui-là il ya 2-3 ans (pendant 6mois environs pour un site de guilde WoW ...)!

        Merci à toi en tout cas, il m'a bien rendu service ton CMS !
    • [^] # Re: idée toute simple

      Posté par  (site web personnel) . Évalué à 4.

      Je n'ai aucune honte de mon code, un peu de recherche et tu verras que je fais du joli code, particulièrement ma dernière création*.

      Ce que je cherche, c'est vraiment un échange d'expérience avec des gens qui ont eu affaire à cette "fatigue du codeur de LL", pas plus, c'est pour cela que je ne fais pas un joli lien en direction du logiciel et que je nomme personne. Ce n'est pas le but.

      Si vraiment tu veux voir du joli code PHP: http://projects.ceondo.com/p/indefero/source/tree/master/src(...)
      • [^] # Re: idée toute simple

        Posté par  (site web personnel) . Évalué à 2.

        il n'y a aucune honte à avoir de coder et de le rendre public :)
        quand je dis suxorise, c'est par rapport à ta faille de sécurité ;)

        Pour ce qui est de la fatigue du codeur de LL, je connais très bien le sujet, j'ai arrêté de releaser pas mal de trucs et je ne m'en porte pas plus mal voire même mieux. Ca ne m'empeche pas de continuer à coder, de faire du code toopooree à mes yeux mais cela m'amuse.

        Je t'ai donné un avis sur une coup d'oeil rapide sur ton SVN, je ne dis pas que j'ai raison, je ne dis pas que j'applique ces conseils à la lettre, mais face à un problème de sécurité, ce sont des détails qui font vite la différence.
      • [^] # Re: idée toute simple

        Posté par  (site web personnel) . Évalué à 10.

        joli code PHP

        Haha. Pardon.

        pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

      • [^] # cela m'arrive aussi

        Posté par  . Évalué à 5.

        Salut
        J'ai moi meme un tout petit logiciel opensource (nombre d'utilisateur : 1 moi et pas trops content en plus). Comme toi je le réecrit (pour la 3eme fois) et j'y travaille depuis facile 5 ans mais avec des haut et des bas.
        De temps en temps j'en ai marre et dans ces moments là je m'occupe de correction de bugs et de refléchir à ce dont j'ai besoin juste imaginer.
        La derniere fois j'en ai eu pour 1 an à griffonner sur des feuilles bilan : je migre tout sur pygtk un plaisir.

        tout cela pour dire que la meilleure façon de te remotiver c'est de te concentrer pendant quelques temps sur ce que tu as besoin et ce qui te sera utile, c'est pour cela que tu as commencé ce logiciel.

        Et puis polir son code c'est quand meme vachement valorisant

        en tout cas bravo pour ton boulot!

        Quand a ton problème précis tu peux chercher le mail d'un DG de cette boite et tu leur explique que leur société te pose un problème avec le descriptif de l'échange et qu'il y a un risque de perte de crédibilité de leur part aupres de la communauté opensource internationnale.

        Tu peux aussi considérer qu'il n'y a pas mort d'homme et que tu n'as rien à te reprocher et laisser couler.

        Bon courage
      • [^] # Re: idée toute simple

        Posté par  . Évalué à 1.

        En passant,
        Je trouverais super cool que inDefero balance un content-type text/plain
        lorsqu'on clique sur un fichier .php !

        Ca me permettrait de regarder le code directement en ligne.

        C'est tellement pratique de pouvoir de faire ca en ligne .
        • [^] # Re: idée toute simple

          Posté par  (site web personnel) . Évalué à 2.

          Il sort un type application/x-httpd-php qui normalement te permet de directement voir cela avec l'application adaptée à ce type de contenu. Le type mime retourné utilise /etc/mime.types comme référence.

          Dans le futur, il y aura un affichage directement dans l'interface comme trac ou autres pour les types connu comme étant du texte.
    • [^] # Re: idée toute simple

      Posté par  (site web personnel) . Évalué à 10.

      Si il s'agit de plumeCMS, je me permet quelques conseils apres un RAPIDE coup d'oeil :

      - les magicstrip & co sont des pis allés ou si tu preferes un minimum non suffisant. Il est préférable de filtrer en fonction du type de données attendus par formulaire/action/page.
      - tu concatenes directement des variables dans la construction de tes requetes SQL, encore une fois, il est préférable de s'assurer que tout correspond bien aux données attendus et de quoter quand même
      - ton code HTML est lui aussi produit par concaténation et tu ne quotes pas, donc il y a aussi un risque de produire de la merde par là
      - tu ne sembles pas gérer les histoires de charset, hors cela permet d'injecter des betises
      - tu utilises des variables pour ta conf au lieu de constantes, les variables sont RW les constantes sont RO
      - tu sembles mélanger différents styles de programmation
      • [^] # Re: idée toute simple

        Posté par  (site web personnel) . Évalué à 7.

        Merci pour cette analyse rapide qui ne m'étonne pas. En fait que je connais très bien les défauts de Plume. Pas de réécriture majeure depuis 2001, je te laisse imaginer l'évolution des techniques depuis ce temps ainsi que simplement mes compétences en la matière.

        En fait, je maintiens cette version de Plume pour les utilisateurs actuels, mais je n'ajoute rien de nouveau dedans.

        Je code en ce moment la version 2, qui est une réécriture complète, pour voir le genre de qualité de code aujourd'hui, c'est ici (et c'est le jour et la nuit) :
        http://projects.ceondo.com/p/indefero/source/tree/master/src(...)

        Merci.
  • # Pour se recharger

    Posté par  . Évalué à 10.

    Faire une pause, marcher dehors, et surtout: Penser à autre chose.

    Envoyé depuis mon lapin.

  • # Dénonce

    Posté par  (site web personnel) . Évalué à 10.

    Et si tu dénonçais ouvertement ce FAI...

    A près tout, cette personne accuse ton logiciel d'une faille de sécurité, c'est donc une attaque directe. Il n'y a pas a les caresser dans le sens du poil.
    • [^] # Re: Dénonce

      Posté par  (site web personnel) . Évalué à 3.

      Si effectivement, il s'avère que c'était infondé, je le ferai savoir, mais pas ici, je ferai cela sur la liste sécurité du CMS, les moteurs de recherches se chargeront de faire passer l'information.
    • [^] # Re: Dénonce

      Posté par  (site web personnel) . Évalué à 3.

      Déjà il faudrait leur faire une bonne pub vis à vis de leur comportement inacceptable. Ensuite, cela pourrait être un bon motif de diffamation.

      Peut-être que si tu les menaçait d'un procès en diffamation, il donnerait des billes. Un tel comportement pourrait aussi être un moyen pour eux de vendre une solution payante à tes utilisateurs.

      "La première sécurité est la liberté"

  • # Pas grand chose à voir, mais on sait jamais

    Posté par  . Évalué à 8.

    Si il dénigre ce que tu fait, sans apporter aucune preuve ni rien, ca ressemble fort à de la diffamation.
    Fort heureusement peu d'utilisateurs sont comme ça, masi des con il y en a partout


    Tu peux toujours envoyer un mail à ceux qui ont diffuser publiquement l'alerte de sécurité et aux différents client indiquant ta position :
    - il semblerait qu'il y ait une alerte de sécu ... mais que personne ne t'a contacté
    - qu'il t'es impossible de la connaitre et de la corriger, car la personne l'ayant découverte refuse de te donner la moindre information
    - Que tu considère qu'il s'agit que c'est de la diffamation (pouvant reposer sur une démarche marketing : pousser une autres solution) si la personne n'est pas capable d'apporter des élements plus concret, et que par conséquent demandes aux site
    - soit de te donner les informations qu'ils ont permettant de dire qu'il y a une faille
    - soit d'indiquer que cette faille n'est absolument pas sûr et semble être un HOAX.
    • [^] # Re: Pas grand chose à voir, mais on sait jamais

      Posté par  . Évalué à 3.

      Le problème vient ici plutôt de l'incursion de société qui ont une approche commerciale dans le LL, et qui vont capitaliser sur l'information, en plus au détriment indirect de leurs propres clients.

      Cette société© fournit un service d'audit de sécurité uniquement à ses clients (payants),
      N'y a -t-il pas un moyen pour qu'une telle société soit obligé par la LL, à fournir en priorité la faille aux concepteurs, (a part la bonne volonté ?)

      Un juriste dans la salle ?

      Sinon, je suis de ton avis qu'il y a un danger pour le LL ici... (man in the middle attack ++ ?)
      • [^] # Re: Pas grand chose à voir, mais on sait jamais

        Posté par  . Évalué à 4.

        Le problème vient ici plutôt de l'incursion de société qui ont une approche commerciale dans le LL,
        Jusque là ils ont le droit, et ça n'empêche pas de le faire en respectant les auteurs (tu propose l'installation, la sécurité, etc...)
        et qui vont capitaliser sur l'information, en plus au détriment indirect de leurs propres clients.

        Cette société© fournit un service d'audit de sécurité uniquement à ses clients (payants),

        Pour moi Le problème c'est de crier au loup sans rien fournir , ni pour vérifier, ni pour corriger, plutôt que d'offrir un audit.
        Faire peur pour (peut etre, pure supposition de ma part) pousser à prendre une autre solution.

        J'avais lu que c'était un hébergeur, qui n'offrais rien d'autre à ses clients que "ca pue", pas d'audit "dans les règles de l'art".
        Bon, c'est l'hébergeur qui a trouvé le problème
        et
        - Ok, je ne demande rien de confidentiel, juste comme vous annoncez à votre client que c'est le logiciel que je développe qui a un problème, je demande juste le point d'entrée, une ligne de logs anonyme juste pour me permettre de fixer le problème.
        - [réponse ferme et claire, c'est non,] mais on peut donner l'information au client s'il formule sa question correctement.

        [le client n'a pas l'information, et il faut non seulement qu'il demande à l'avoir, mais "correctement" (-> faut voir si le correctement est une note du rédacteur ou a été réellement prononcé)]

        Mais j'ai pu mal comprendre une phrase aussi ;)


        N'y a -t-il pas un moyen pour qu'une telle société soit obligé par la LL, à fournir en priorité la faille aux concepteurs, (a part la bonne volonté ?)
        Je ne suis pas juriste, mais perso j'en vois pas.
        Mais d'ailleurs ce n'est pas nécessaire : si les choses sont faites dans le respect de la licence et les règles de l'art:
        Tu trouve une faille, tu avertis tes clients en proposant un patch ou en indiquant en quoi consiste la faille.
        Rien n'oblige à ce que ce soit redistribuer upstream (même si c'est mieux, ca peut ne pas être possible typiquement pour des raisons politiques)
        • [^] # Re: Pas grand chose à voir, mais on sait jamais

          Posté par  (site web personnel) . Évalué à 3.

          > Pour moi Le problème c'est de crier au loup sans rien fournir , ni pour vérifier, ni pour corriger.

          C'est exactement ça qui m'a mis hors de moi. Merci de l'avoir correctement formulé.
          • [^] # Re: Pas grand chose à voir, mais on sait jamais

            Posté par  . Évalué à 6.

            peut-être prends-tu cette affaire trop à coeur.

            Tu dis (en citant ton utilisateur) : "c'est l'hébergeur qui a trouvé le problème". Je n'ai pas tout le contexte, mais plus vraisemblablement l'hébergeur a "trouvé" qu'il y avait un problème avec le compte Foo Bar (peut-être l'espace de ton utilisateur était rempli de contenus illégaux, de spam ou pire, vu qu'on lui a demandé de supprimer son hébergement), mais il n'a pas forcément connaissance des détails techniques qui ont provoqué l'attaque (faille dans ton code). Peut-être aussi que tu n'es pas tombé sur la bonne personne, un responsable ou un technicien aurait pu peut être plus t'aider.

            C'est moche, mais essaye de repartir sur de bonnes bases (ce que tu sembles vouloir faire avec la version 2), c'est très généreux à toi d'avoir voulu aider ton utilisateur, mais en espérant qu'il avait tout sauvegardé et que tu puisses corriger la faille, tout pourra repartir comme avant (c'est à dire dans 2 jours, date de la sortie de Plume 2 !)

            Pour le coup de secunia / cert c'est pas impossible non plus qu'ils lancent des scripts sur des sites au hasard pour détecter ceux qui ont des failles typiques**, aussi c'est peut-être plus ou moins automatisé. Dommage qu'ils ne t'aient pas prévenu directement, mais ce n'est pas forcément un utilisateur isolé qui a découvert cela sans te prévenir

            Tu développes des LL comme loisir, que cela en reste un, ou sinon tu peux envisager de professionnaliser ton offre, qui peut rester un LL mais avec un support payant...

            Bon courage pour la suite, les bugs tu vas leur voler dans les plumes !


            ** cf le message "Input passed to the "_PX_config[manager_path]" parameter in "/manager/frontinc/prepend.php" isn't properly verified, before it is used to include files. This can be exploited to include arbitrary files from external and local resources."

            Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

  • # Sois radical

    Posté par  (site web personnel) . Évalué à 10.

    Je maintiens un petit logiciel libre de chat utilisé par quelques dizaines (voire centaines les jours de grande forme) de personnes, j'ai déjà eu des réactions assez dédaigneuses de la part d'utilisateurs qui adoptent une attitude plutôt clientéliste vis-à-vis de ce logiciel qui ne leur à rien coûté.
    Personnellement pour moi, ça a toujours été direction poubelle. Je n'écoute même pas. C'est même parfois un plaisir de les envoyer sur les roses (côté épines également).
    En tant qu'utilisateur du libre, j'ai une attitude de respect envers les gens qui donnent de leur temps libre pour les autres, peu importe si ces gens font des excès d'orgueil parfois, peu importe s'ils cherchent un peu trop de reconnaissance, après tout, je profite de leur travail sans coût, la moindre des choses c'est de leur témoigner du respect.
  • # Mmmh

    Posté par  . Évalué à 10.

    Comment tuer un développeur de LL*

    À mon avis, si Mme Reiser l'avait su, elle ne serait pas là où elle est actuellement.
  • # changer license ?

    Posté par  (Mastodon) . Évalué à 1.

    agpl plutot que gpl ?

    merci aussi d' avoir pris le temps de raconter In Real Life ce qui (malheureusement) arrivé.
    • [^] # Re: changer license ?

      Posté par  . Évalué à 1.

      En quoi l'AGPL va t'il aider?

      Faudrait un peu développer, il y aurait un intérêt a avoir l'AGPL dans le cas où un utilisateur est incapable de diagnostiquer un bug?

      L'AGPL serait-il capable de contraindre l'hébergeur à analyser le problème?
  • # Sans commentaire ...

    Posté par  . Évalué à 0.

    Bonjour,

    Ils sont un peu crétin les hébergeurs....
    Perso, je ne fais pas de logiciel libre ... pour cette raison, j'ai bien qq code php sous le coude, mais je ne les ai fait que pour combler l'absence d'outil tel que je le souhaite. Je veux bien partager mais pour le reste .... "l'utilisation du logiciel est à vos risque et péril" ;-)
    Votre mésaventure confirme mon point de vu ...

    Bon courage et merci pour le développement de logiciel libre
    • [^] # Re: Sans commentaire ...

      Posté par  . Évalué à 3.

      Si je ne me trompe pas, le "à vos risques et périls" est compris dans la GPL.

      Donc, quand on fait du LL, on s'engage en rien si on veut s'engager en rien.

      Envoyé depuis mon lapin.

    • [^] # Re: Sans commentaire ...

      Posté par  . Évalué à 5.

      Dans un système de hosting partagé, l'hébergeur gère les comptes de ses clients, pas les softs qui y sont installés...

      Bon, ce serait sympa si l'hébergeur pouvait fournir un diagnostique, mais il est probable qu'il se soit contenté de constater une anomalie dans l'utilisation des ressources réseau, un usage abusif du disque, un envoi massif de mails, un défaçage sauvage, et ait notifié le client pour ce problème en ayant éventuellement pris les mesures les plus rapides pour ne pas impacter les autres clients.

      C'est à l'hébergé qu'incombe la responsabilité des applications qu'il met sur son compte, c'est à lui de déterminer ce qui ne va pas. De même, il est normal que l'hébergeur ne communique aucune info sur son client en dehors d'une procédure légale.
      • [^] # Re: Sans commentaire ...

        Posté par  (site web personnel) . Évalué à 0.

        En même temps un grep dans les access_log ça mange pas de pain. Même s'il n'a pas envie de chercher plus loin, c'est déjà ça.
        • [^] # Re: Sans commentaire ...

          Posté par  . Évalué à 4.

          certes, mais ça risque de ne pas expliquer grand-chose, et donner cette info par téléphone à un inconnu, c'est pas professionnel...
  • # Courage...

    Posté par  (site web personnel) . Évalué à 6.

    Salut Loïc.
    Je contribue au projet openstreetmap, je me balade avec mon gps en vélo, je "perd" du temps (mais j'aime ça...) à créer des cartes quand je m'ennuie.
    J'ai souvent eu de grosses pertes de motivations lorsque j'en discutais avec des connaissance qui visiblement n'arrivent pas à comprendre l'utilité de ce genre projet. "De toute façon tu vas sur emule et tu télécharges les cartes tomtom avec le kayDgen c'est top", "vos cartes elles sont pas complètes", "qui va s'occuper des mises à jour? ça ne sera jamais fiable comme système, ...", j'avais souvent l'impression d'être un extraterrestre.

    Depuis quelques temps plusieurs personnes se sont mises à donner des coups de mains dans la région et la cartographie avance vite les résultats vraiment visibles (en sachant qu'au départ y avait rien de chez rien), c'est une grande source de motivation. Si j'écoutais tout les remarques je ne ferais certainement plus rien, autant avancer dans ce qui nous plaît quitte à parfois entrer en conflit pour des choses finalement pas si importantes que ça.

    Bonne continuation et félicitation pour ton projet.

    http://www.openstreetmap.org/
  • # Ne sont ils pas obligé de publier les modifs ?

    Posté par  (site web personnel) . Évalué à 1.

    Je n'y connais pas grand chose en licences libres, mais lorsque l'on modifie du code libre (à priori ils ont modifié le code pour corriger la faille de leur client) et que l'on distribue le logiciel modifié, n'est on pas obligé de fournir le code modifié ?
    Dans ce cas ce serait une violation de la licence GPL ?
    • [^] # Re: Ne sont ils pas obligé de publier les modifs ?

      Posté par  . Évalué à 3.

      Perdu trois fois à priori :)

      1) Lorsqu'on modifie du code lire, on ne redistribue le code avec le logiciel modifié que si c'est une licence "type GPL" qui l'impose. Les licences "type BSD" n'ont pas ces "restrictions".

      2) Ils ont juste découvert une faille dans un logiciel que fait tourner un de leur clients, ils ont pas touché au compte de leur client à priori

      3) le code est sur un serveur web, et n'est donc pas à priori distribué à un des utilisateurs du site. Au client à priori si ils l'avaient fait, par contre.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.