Journal Fedora rejete un package d'un outil de pentesting

Posté par  (site web personnel) .
Étiquettes :
12
11
nov.
2010
Bonjournal,

Fedora rejete le package de SQLninja, un outil de pentesting: "a SQL Server injection & takeover tool"

La raison :

"Where, objectively speaking, the package has essentially no useful foreseeable purposes other than those that are highly likely to be illegal or unlawful in one or more major jurisdictions in which Fedora is distributed or used, such that distributors of Fedora will face heightened legal risk if Fedora were to include the package, then the Fedora Project Board has discretion to deny inclusion of the package for that reason alone."

En résumé, pour les mal aimés de la langue de boeuf, il n'y aurait (objectivement en plus) aucune utilisation utile et correcte (légale, honnête) de cet outil, et que ce pourrait être un risque pour la distribution de le distribuer.

(lu ici : [http://lwn.net/Articles/414438/])


Qu'en pensent les aigris de l'apple store ici bas ?


La distribution prendrait-elle vraiment un risque légal à distribuer un outil libre qu'elle n'a pas développé ?
Est-ce pour rester corporate, "non on ne touche pas à ça nous ici" ?
Est-ce le rôle d'une distribution d'indiquer ce qui est bien ou PABIEN d'utiliser ?
  • # Plutôt contre la décision

    Posté par  . Évalué à 10.

    - D'un côté, un outil de piratage (c'est bien de cela qu'il s'agit?) peut aussi être utilisé pour vérifier la sécurité de sa propre installation. Mais je suppose qu'il ne doit pas être efficace pour ça vu que le comité de Fedora, normalement, ce ne sont pas des guignols ignares non plus.

    - Plus généralement, l'utilisation du logiciel ne regarde que l'utilisateur du logiciel! Et qu'est-ce qu'on reproche ici: l'absence d'utilisation légale à priori, ou la possibilité d'une utilisation illégale? Dans le dernier cas, il faut carrément éteindre l'ordinateur, et même s'en débarrasser (on peut toujours le lancer sur quelqu'un, donc c'est une arme!).
    Dans le premier cas, croyez-moi je suis presque sûr de trouver une utilisation légale au logiciel: cracker mes propres serveurs, juste pour le fun!

    Je trouve que ça n'a pas beaucoup de sens. Fedora anticipe ici une possibilité de problème légal. C'est un drôle de précédent, et pour lequel il n'y a aucune limite bien définie entre ce qu'on peut et ne peut pas intégrer. Un petit pas vers la paranoïa et les décisions arbitraires subjectives...

    Maintenant, je n'ai peut-être pas pensé à tous les aspects du problème, si quelqu'un a une argumentation convaincante pour dire que c'est une bonne décision, je suis preneur!
    • [^] # Re: Plutôt contre la décision

      Posté par  (site web personnel) . Évalué à 3.

      Tout à fait d'accord avec toi.

      Cependant:


      Mais je suppose qu'il ne doit pas être efficace pour ça vu que le comité de Fedora, normalement, ce ne sont pas des guignols ignares non plus.


      En relisant, je remarque:


      * RH Legal:
      ...


      RH = Red Hat... influencerait beaucoup la décision ? Je n'ai pas l'impression que ce soit ce logiciel en particulier qui soit trop "dangereux" (pas assez efficace pour tester sa propre sécurité: seulement un outil de script kiddy), mais simplement que c'est le premier cas:

      * We never had an explicit policy on this; wanted to wait until we
      actually encountered it.


      Je ne vois pas en quoi ça pose probleme à une distribution communautaire non dépendante d'une entreprise...
    • [^] # Re: Plutôt contre la décision

      Posté par  (site web personnel) . Évalué à 10.

      cracker mes propres serveurs, juste pour le fun!

      Vu que SQLninja ne semble être dédié qu'à tester Microsoft SQL Server, ce peut être effectivement une bonne chose.

      Regardez boss, le serveur de la base de prod c'est encore gaufré, et on ne sait pas bien pourquoi... Franchement, si on utilisait [ MySQL | PostgreSQL ] ça n'arriverait pas.
    • [^] # Re: Plutôt contre la décision

      Posté par  . Évalué à 6.

      Je trouve que ça n'a pas beaucoup de sens. Fedora anticipe ici une possibilité de problème légal. C'est un drôle de précédent, et pour lequel il n'y a aucune limite bien définie entre ce qu'on peut et ne peut pas intégrer. Un petit pas vers la paranoïa et les décisions arbitraires subjectives...

      Ici, on parle d'un logiciel qui ne sert que pour une base MS SQL, ça s'apparente un peu à un virus open source qui ne fonctionnerait que sur Windows. Je pense que tout le monde comprendrait que Fedora ne distribue pas de virus même si c'est pour tester son antivirus Windows. SQL ninja n'est pas vraiment un virus, mais s'en rapproche, et Fedora a décidé qu'il était hors des limites acceptables.

      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

      • [^] # Re: Plutôt contre la décision

        Posté par  . Évalué à 7.

        Tout le problème c'est hors des limites de l'acceptable PAR QUI?

        Apparemment, on ne mentionne pas le souci étique interne ici, on a juste peur d'un procès... qui pourrait aussi ne jamais arriver!

        C'est de l'autocensure, et on ne sait pas quelle pourrait en être la limite. Si on commence là, pourquoi ne pas commencer à refuser les paquets sensibles niveau brevets? En quoi sont-ils moins dangereux?

        Si on part du principe qu'un procès potentiel peut être perdu, il ne restera pas grand chose de la distribution.
        • [^] # Re: Plutôt contre la décision

          Posté par  . Évalué à 10.

          Le tout, c'est d'estimer la probabilité du risque. Comme le dit GeneralZod, Fedora est sponsorisé par un concurrent direct de MS, et le seul système visé par Ninja SQL est le système de MS, ils estiment donc que c'est trop risqué et que ça franchi la limite de risque acceptable pour un paquet dans les dépôts.

          « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

        • [^] # Re: Plutôt contre la décision

          Posté par  (site web personnel) . Évalué à 3.

          > C'est de l'autocensure, et on ne sait pas quelle pourrait en être la limite. Si on commence là, pourquoi ne pas commencer à refuser les paquets sensibles niveau brevets? En quoi sont-ils moins dangereux?

          Ben justement, fedora n'inclus pas non-plus de « paquets sensibles niveau brevets ».
          Y'a pas VLC, y'a pas mplayer, y'a pas gstreamer-plugins-bad et ce genre de choses dans les dépôts du FedoraProject, à cause des brevets.
          • [^] # Re: Plutôt contre la décision

            Posté par  . Évalué à 2.

            Il ne faut pas oublier qu'actuellement des entreprises comme Microsoft font payer des entreprises car elles utilisent Linux (sous la menace de brevets qu'ils refusent de révéler au moins au public). Je suppose que ce côté « anti-brevets » de Fedora / Red Hat a de quoi rassurer leur clients.

            Autre élément de réponse : https://linuxfr.org/comments/1180750.html#1180750

            DLFP >> PCInpact > Numerama >> LinuxFr.org

      • [^] # Re: Plutôt contre la décision

        Posté par  . Évalué à 6.

        C'est un outil de pentest, un bon admin à qui on demande d'installer une appli avec un sqlserver en backend devrait au minimum tester la solidité de celle-ci. Idem pour le développeur de l'application.

        Alors oui ça peut également servir à attaquer une telle appli, mais également à vérifier que son appli est relativement solide.
        • [^] # Re: Plutôt contre la décision

          Posté par  . Évalué à 3.

          Tu peux avoir le même raisonnement avec un virus. Le tout est d'estimer la dangerosité du logiciel par rapport à l'utilité qu'il apporte. Surtout qu'il n'est pas du tout interdit de l'installer, il s'agit juste de ne pas l'inclure dans les dépôts officiels, avec la publicité qui va avec. N'oublions toujours pas qu'il s'agit de la distribution sponsorisée par un concurrent de MS.

          Imagine si Symantec propose de télécharger sur son site un virus pour tester la résistance de ton système et que son but principal soit de désactiver les antivirus McAffee, c'est le même raisonnement. Pourtant, n'importe quel bon admin devrait tester son installation antivirus.

          « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

          • [^] # Re: Plutôt contre la décision

            Posté par  . Évalué à 5.

            Ça tombe bien pour tester son antivirus, il y a le fichier EICAR.com qui est justement prévu pour ça...
          • [^] # Re: Plutôt contre la décision

            Posté par  . Évalué à 2.

            On est dans le cas inverse, un virus est un programme automatisé destiné à éventuellement exploiter une faille puis altérer le fonctionnement normal d'un ordinateur.
            Sqlninja est un outil de test d'applis web, permettant de trouver des injections sql spécifiques à sql server, et donc destiné justement à éviter la création d'un potentiel virus. En effet on peut l'utiliser avec metasploit/firefox/jsaispasquoidautre pour mener une véritable attaque, mais limiter sqlninja à un virus revient à dire que bittorrent est un outil pour pirate.

            Ceci dit, que ce genre d'outil ne soit pas présent sur une fedora, ça ne me choque pas, si c'est leur politique, néanmoins dans ce cas pourquoi laisser dans cette distro john, ophvrack, hping, aircrack, dsniff... (et en poussant le vice, netcat, wireshark...)?
            • [^] # Re: Plutôt contre la décision

              Posté par  . Évalué à 2.

              Ceci dit, que ce genre d'outil ne soit pas présent sur une fedora, ça ne me choque pas, si c'est leur politique, néanmoins dans ce cas pourquoi laisser dans cette distro john, ophvrack, hping, aircrack, dsniff... (et en poussant le vice, netcat, wireshark...)?

              Je dirais que les implications de ces logiciels ne peuvent pas dépasser le réseau local (voire les ~50 mètres autour de toi pour le craquage de WiFi) ce qui fait une forte différence par rapport à tous les sites qui tournent sous SQL server. De plus, il ne s'agit pas d'une condamnation à perpétuité, si de meilleurs arguments que ceux qui ont été présentés arrivent (par exemple, le logiciel devient reconnu comme logiciel à avoir pour n'importe quel DBA), le logiciel pourra être intégré.

              « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

              • [^] # Re: Plutôt contre la décision

                Posté par  . Évalué à 1.

                e dirais que les implications de ces logiciels ne peuvent pas dépasser le réseau local

                Medusa permet tout à fait d'attaquer des réseaux distants

                le logiciel devient reconnu comme logiciel à avoir pour n'importe quel DBA

                Je ne vois pas trop le problème la dessus, pour les autres db il y a d'autres outils spécifiques. phpmyadmin ne gère que mysql et cela ne pose pas de problèmes
                • [^] # Re: Plutôt contre la décision

                  Posté par  (site web personnel) . Évalué à 1.

                  phpmyadmin ne gère que mysql et cela ne pose pas de problèmes

                  Surtout que c'est un logiciel terrible, tu peux détruire la base de données en un seul clique; j'y ai trouvé un lien qui le faisait !!!
                  Je vais certainement contacter Fedora pour qu'ils suppriment cette application dangereuse et pouvant avoir un usage criminel dans certain pays.
                  Il y a aussi phpldapadmin pour les attaques sur les annuaires LDAP ...

                  "It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell

                  • [^] # Re: Plutôt contre la décision

                    Posté par  . Évalué à 2.

                    C'était bien évidemment un argument absurde, pour répondre à un autre argument absurde: que sqlninja pourrait être intégré si il gérait plus de db.
                    • [^] # Re: Plutôt contre la décision

                      Posté par  (site web personnel) . Évalué à 3.

                      C'était bien évidemment un commentaire absurde pour appuyer ton argument absurde ... mais je me suis mal fait comprendre ...

                      "It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell

                    • [^] # Re: Plutôt contre la décision

                      Posté par  . Évalué à 2.

                      Ce n'est pas ce que j'ai voulu dire. Je voulais dire qu'à partir du moment où il est reconnu qu'il est utile à un dba (comme phpmysql l'est), il sera sans doute intégré.

                      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

    • [^] # Re: Plutôt contre la décision

      Posté par  (Mastodon) . Évalué à 5.

      C'est juste un exemple de plus, dans la grande lignée d'HADOPI, de gens qui confondent outil et utilisation. Là où c'est plus grave, à mon sens, c'est l'auto-censure : ils retirent préventivement un outil, non pas parce qu'on leur a demandé ou que la loi leur interdisait de le distribuer, mais parce que, dans *certains* pays, on *peut* utiliser cet outil de manière malveillante... Où est la liste de ces pays ? On n'en sait rien (en France, ça serait légal), ce sont juste des suppositions. À moins que ce soit parce que tous les terroristes utilisent Fedora et cet outil donc on l'enlève... Enfin, c'est du délire total.

      Je pense que les gens de RH Legal s'ennuie fortement pour aller chercher des poux de cette manière.
      • [^] # Re: Plutôt contre la décision

        Posté par  . Évalué à 3.

        je suis un peu partagé. Dans ce cas, je pense plus à une ligne de conduite: il y a des choix à faire, et ils sont fait pour des motifs économiques, d'homogénéité, de cohérence, etc....; je n'ai pas d'objection a ce qu'ils en aient d'autres, du moment que je les connais.

        En tous cas, rien à voir avec une censure entrant dans un cadre légalisé. Si tu veux SQLninja, tu peux l'avoir, certes plus difficilement, mais rien ne t'en empêche.
      • [^] # Re: Plutôt contre la décision

        Posté par  (site web personnel) . Évalué à 2.

        > dans *certains* pays, on *peut* utiliser cet outil de manière malveillante... Où est la liste de ces pays ?

        La liste des pays, c'est : Les États-Unis

        Tout simplement parce que c'est là que siège Red Hat.
        Et je pense que RH Legal connait mieux ce qui est interdit aux États-Unis que toi…
        • [^] # Re: Plutôt contre la décision

          Posté par  . Évalué à 2.

          En même temps les états unis créent utilisent et exportent d'autres outils bien plus efficaces que celui-ci.
          Si il y a une liste, ça serait plus la liste des pays définis par l'arrangement de wassenaar
  • # BIEN ou PABIEN

    Posté par  (site web personnel) . Évalué à -3.

    Problème légal ?
    Debian se refuse à proposer du code pas libre, alors je ne vois pas pourquoi on pourrait pas aussi se refuser à proposer du code pas légal dans de nombreux cas.

    Ça reprend aussi le coup de youtube qui jarte des vidéos dans le bénéfice du doute : Fedora peut aussi très bien, selon moi, retirer des logiciels qui, selon elle, risque de poser des problèmes plus tard.

    Enfin, je doute que les chapeaux blancs et chapeau noirs utilisent le chapeau rouge, donc pour les utilisateurs, ça doit pas changer grand-chose…


    La décision ne me choque pas, puis, hein, t'as les sources de ton ninja si tu veux vraiment l'utiliser…
    • [^] # Re: BIEN ou PABIEN

      Posté par  (site web personnel) . Évalué à 5.

      Debian se refuse à proposer du code pas libre, alors je ne vois pas pourquoi on pourrait pas aussi se refuser à proposer du code pas légal dans de nombreux cas.

      Je l'attendais celle là, j'ai même pensé mettre une ligne dans le journal.
      Mais Debian ne refuse pas le code pas libre, il le sépare du code libre. Pour le bien de l'utilisateur, ce n'est pas "activé" par défaut, mais ça reste disponible.

      Donc non, ce n'est pas une bonne comparaison. (ou Pourquoi Fedora ne fait elle pas un dépot "pentesting" ?)


      Ça reprend aussi le coup de youtube qui jarte des vidéos dans le bénéfice du doute : Fedora peut aussi très bien, selon moi, retirer des logiciels qui, selon elle, risque de poser des problèmes plus tard.


      youtube n'est pas une distribution linux. Ce n'est pas parce que youtube censure des vidéos sur son service que ça explique qu'une des distribution majeure censure un outil libre.
      (Service d'une boite, au passage.)

      Encore une mauvaise comparaison à mon sens.

      Enfin, je doute que les chapeaux blancs et chapeau noirs utilisent le chapeau rouge, donc pour les utilisateurs, ça doit pas changer grand-chose…


      là n'est pas la question :), à l'origine tout du moins


      La décision ne me choque pas, puis, hein, t'as les sources de ton ninja si tu veux vraiment l'utiliser…


      Je précise que je n'utilise ni sqlninja ni fedora...
      • [^] # Re: BIEN ou PABIEN

        Posté par  (site web personnel) . Évalué à -1.

        >> Je l'attendais celle là, j'ai même pensé mettre une ligne dans le journal.

        Ben, fallait mettre une ligne alors !
        Mais quand même, y'a le firefox original accessible officiellement ? Skype ?
        Nan, parce que debian-maintainers.org ça n'a pas l'air *très* officiel non plus, hein… Mais je peux me gourrer.

        >> Donc non, ce n'est pas une bonne comparaison. (ou Pourquoi Fedora ne fait elle pas un dépot "pentesting" ?)

        Suggère leur !

        >> youtube n'est pas une distribution linux. Ce n'est pas parce que youtube censure des vidéos sur son service que ça explique qu'une des distribution majeure censure un outil libre. (Service d'une boite, au passage.)

        Non, mais Fedora est une entité qui est libre de suivre la politique qu'elle veut, tout comme une boîte ou un individu (dans la limite de tout plein de choses, hein).
        Je suis sûr que plein de distros refuseraient qu'on mette en package chez eux une collection d'exploits divers et variés, mais libres. C'est un problème moral, et ici, Fedora a opté pour faire passer l'éthique avant le libre. Et ça me parait tout-à-fait acceptable.

        C'est la même raison qui fait qu'on ne trouve généralement pas comment faire son propre napalm ou ses propres mines de proximité dans des magazines comme Make. Alors que bon, la recette n'est pas protégée (ou pas ses alternatives).

        Les risques sont certes différents, mais le problème moral est le même : doit-on accepter puis redistribuer tout et n'importe quoi aveuglement sous le prétexte que c'est un logiciel libre ?
        Les pentesters et petits malins qui veulent le logiciel peuvent se le procurer quand même. La distribution fait le choix de ne pas être associé avec les utilisateurs du logiciel en question, tant mieux pour elle. C'est un choix éthique respectable qui n'est pas en désaccord avec le libre. Faut arrêter de croire que "libre <=> bien, amour, charité, petits oiseaux, etc"

        Si je fais une collection d'images zoo-pédophiles sous licence libre et que Fedora refuse de l'accepter pour les nouveaux papiers peints, tu vas trouver ça normal ou pas ?
    • [^] # Re: BIEN ou PABIEN

      Posté par  . Évalué à 5.

      je ne vois pas pourquoi on pourrait pas aussi se refuser à proposer du code pas légal dans de nombreux cas

      C'est quoi du code pas légal ? Tu as une définition claire, genre « manifestement » destiné à un usage illégal ?

      J'espère que Fedora ne fournit pas de client BitTorrent...

      Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

      • [^] # Re: BIEN ou PABIEN

        Posté par  (site web personnel) . Évalué à 3.

        A un époque, il y avait un dépot non-US dans debian. Je me souviens qu'en 1996, ssh était illégal en france (cryptographie trop forte) et il y avait une version pour la france (ssf).

        Je crois qu'il y a un certain de paquetage dans debian-multimedia qui ne sont pas légal aux USA pour cause de brevet logiciel. Il n'y a pas de dépôt aux USA.

        Bref, la loi s'applique aussi au logiciel libre. Si on n'est pas content de la loi, il faut oeuvrer pour changer de député (et d'élus locaux -> sénateur).
      • [^] # Re: BIEN ou PABIEN

        Posté par  . Évalué à 6.

        j'assaie un truc..

        - BitTorrent transfert des fichiers.
        - SQLNinja a pour role de faire tomber un moteur de base de données (inutile de preciser que mssql ne tourne pas sur RH)

        Par exemple,
        que diriez-vous si microsoft incorporait (pour debugger hein biensûr) un outils qu ifait tomber des serveur mysql dans son windows ?
        Je suis sur que vous n'auriez pas été les dernier pour y voir une petite attaque, non ?
        • [^] # Re: BIEN ou PABIEN

          Posté par  (site web personnel) . Évalué à 5.

          >que diriez-vous si microsoft incorporait (pour debugger hein biensûr) un outils qu ifait tomber des serveur mysql dans son windows ?

          C'est déjà fait et c'est pas utilisé que pour le débug, ça s'appelle Windows


          ->[]
  • # Disponibilité des outils de crack

    Posté par  (Mastodon) . Évalué à 4.

    Je suis loin d'être un spécialiste de la sécurité, mais il me semblait que la moindre des choses quand on veut tester la sécurité de son système c'est d'utiliser soi-même les outils qu'utilisent les crackers.

    Donc avoir un outil d'injection SQL prêt à utiliser dans sa distrib, ça doit pouvoir interresser des admins non ?

    En tous cas, je ne pense pas qu'un vrai attaquant ait besoin d'un paquet dans Fedora... il est censé avoir le niveau de compiler lui-même son soft !

    En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

    • [^] # Re: Disponibilité des outils de crack

      Posté par  (site web personnel) . Évalué à 8.

      Si je regarde dans debian avec les mots clefs ip et inject :


      ettercap - Multipurpose sniffer/interceptor/logger for switched LAN
      nemesis - TCP/IP Packet Injection Suite
      packit - Network Injection and Capture
      reseed - seeds urandom with a truly random seed retrieved from random.org
      spikeproxy - Web application security testing proxy
      sugarplum - an automated and intelligent spam trap/cache-poisoner
      wapiti - Web application vulnerability scanner
      zorp - An advanced protocol analyzing firewall
      irpas - Internetwork Routing Protocol Attack Suite


      Si on regarde un peu plus loin mais sans vraiment cherche plus de 30s :


      hping3 - Active Network Smashing Tool
      python-scapy - Packet generator/sniffer and network scanner/discovery
      nmap - The Network Mapper


      Bref, un outil d'injection de code SQL me semble avoir toute sa place si l'outil vérifie les critères de la distribution : qualité de code, suivis du code, modularité du code, licence du code... Je ne sais pas ou se place exactement SQLninja.
      • [^] # Re: Disponibilité des outils de crack

        Posté par  . Évalué à 5.

        Si Fedora inclut ces mêmes outils, ça devient bizarre. Et moi j'aime pas les distros bizarres.
        Vente de couteaux, tout ça...
      • [^] # Re: Disponibilité des outils de crack

        Posté par  . Évalué à 3.

        Il y a d'autres outils pour d'autres usages :
        $ apt-cache search mitm
        sslsniff - SSL/TLS man-in-the-middle attack tool
        dsniff - Divers outils pour écouter le trafic réseau pour des insécurités de texte en clair

        Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

      • [^] # Re: Disponibilité des outils de crack

        Posté par  . Évalué à 3.

        Sans oublier aircrack !
    • [^] # Re: Disponibilité des outils de crack

      Posté par  . Évalué à 3.

      t'façon fedora c'est corporate comme distribution y à qu'à voir leur gestionnaire de paquet. rpm, et en plus les dépôts sont exclus de logiciels tiers.
      À se demander si quelqu'un n'enfreindrai pas la loi en voulant utiliser fedora…

      Systemd, the bright side of linux, toward a better user experience and on the road to massive adoption of linux for the desktop.

  • # Que vient faire l'apple store ici?

    Posté par  (site web personnel) . Évalué à 9.

    Qu'en pensent les aigris de l'apple store ici bas ?

    L'Apple Store est le seul est unique moyen d'installer un logiciel sur iPhone/iPad. Pas d'Apple store, pas d'application sur iPhone (non jailbreaké).
    Avec le rejet du dépôt officiel de Fedora, le développeur peut toujours proposer un package, et même un dépôt tout automatisé comme pour le vrai dépôt, il a toute liberté (comme l'utilisateur).

    Donc je ne vois vraiment aucun rapport entre les deux. Pourquoi donc cette ligne d'attaque qui me parait bien gratuite?

    Est-ce le rôle d'une distribution d'indiquer ce qui est bien ou PABIEN d'utiliser ?

    De mon point de vue, c'est son rôle de proposer ce qu'elle a envie ou pas, tant qu'elle n'interdit pas l'utilisateur d'installer ce qu'il a envie quand il a envie (ce n'est pas l'avis de la loi, qui autorise les entreprises à bloquer les installations de choses non validées). Après, sur ce choix particulier, ben... Ce n'est pas à moi de décider, mais à Fedora, c'est leur dépôt, pas le mien, ils font ce qu'ils veulent.
  • # My 2 cts

    Posté par  . Évalué à 9.

    > La distribution prendrait-elle vraiment un risque légal à distribuer un outil libre qu'elle n'a pas développé ?

    Oui, et pas qu'aux USA dans ce cas-là.

    > Est-ce pour rester corporate, "non on ne touche pas à ça nous ici" ?
    C'est le Fedora Board qui a tranché après avoir consulté Fedora Legal (des contributeurs aidés des avocats de Red Hat). Le Fedora Board c'est le Fedora Project Leader (Jared Smith) + 4 représentants nommés par Red Hat et 5 représentants élus par les contributeurs.
    Pour la non inclusion SQLNinja c'est 7 voix contre et 3 abstentions. De plus, si des éléments nouveaux se présentent, la porte n'est pas définitivement fermé.
    Je pense qu'on peut écarter l'hypothèse corporate.

    > Est-ce le rôle d'une distribution d'indiquer ce qui est bien ou PABIEN d'utiliser ?
    Il n'y a aucun jugement de valeur, Fedora a estimé que distribuer SQLNinja constituait un risque légal non négligeable dans certains pays. De plus, soit c'est distribuable partout, soit ça n'est pas inclus dans Fedora, ça n'a rien d'incohérent dans une démarche libriste (parmi d'autres).
    Fedora n'a pas statué sur le côté éthique de SQLNinja mais le côté légal pour distribuer ce paquet partout dans le monde. (En gros, est-ce que le jeu en vaut la chandelle, Fedora est sponsorisé par RH un concurrent direct de Microsoft, distribuer un outil qui permet de cracker les systèmes de ce dernier, c'est pas forcément le plus malin à faire).

    D'ailleurs, on remarque que les mainteneurs du projet n'ont pas été capables de fournir une réponse crédible sur le risque légal.
    Si SQLNinja avait une utilité autre que de cracker un système via des injections SQL, ça n'aurait posé aucun problème, on distribue déjà des outils permettant de faire ce genre de choses même si ça n'est pas leur utilité première (on distribue un spin security destiné à faire des audits de sécurité depuis quelques temps déjà).
    • [^] # Re: My 2 cts

      Posté par  . Évalué à 6.

      Fedora est sponsorisé par RH

      Plus que sponsorisé, Fedora est de la responsabilité légale de Red Hat. Si MS (ou autres) veut attaquer RH, il suffit que Fedora fasse une connerie.
  • # Partagé

    Posté par  . Évalué à 1.

    Mon premier réflexe ça a été de me demander de quoi ils se mêlent. Pour rappel, la liberté 0 c'est de pouvoir utiliser un logiciel libre pour n'importe quel usage. Ce n'est pas aux développeurs (ou aux mainteneurs) de se demander si je respecte la loi en utilisant tel logiciel de telle façon. Ça regarde l'utilisateur et la loi de son pays, point.

    Et ça rejoint ton interrogation:
    Est-ce le rôle d'une distribution d'indiquer ce qui est bien ou PABIEN d'utiliser ?
    Non, clairement, ce n'est pas le rôle d'une distro de dire si c'est bien d'utiliser aircrack ou de faire des faux billets avec The Gimp. Ou alors, ce n'est plus une distro libre.

    Par contre, sur le risque légal ils ont peut-être raison. Et là, on a des précédents: même si on a des logiciels libres pour gérer les codecs propriétaires, la plupart des distros ne les incluent pas par défaut, car il y a un risque légal pour la distro.

    Là où c'est douteux, c'est que, pour l'instant cet outil d'injection SQL n'a pas été jugé illégal. Et le fait que la distro le propose tel quel, encore moins.

    THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

    • [^] # Re: Partagé

      Posté par  . Évalué à 5.

      Ca veut dire quoi ca ? Fedora est sense accepter tout et n'importe quoi ?

      Elle est ou leur liberte a eux de choisir ce qui va dans la distrib ?

      Si t'es pas content, fork, c'est pas ca la beaute du libre soi-disant ?
    • [^] # Re: Partagé

      Posté par  (site web personnel) . Évalué à 4.

      Pour rappel, la liberté 0 c'est de pouvoir utiliser un logiciel libre pour n'importe quel usage.

      Pour rappel, la liberté 0 c'est AUSSI de pouvoir NE PAS utiliser un logiciel libre pour n'importe quel usage.
      C'est une liberté qu'on oublie parfois.

      on, clairement, ce n'est pas le rôle d'une distro de dire si c'est bien d'utiliser aircrack ou de faire des faux billets avec The Gimp.

      Ca tombe bien, elle ne dit rien de tout cela. Elle dit juste qu'elle n'hébergera pas un outil chez elle sur ses serveurs à elle.

      J'ai l'impression qu'on se trompe de critique : on peut critiquer le fait des choix de la distro vis à vis d'un logiciel, mais c'est tout. Ca n'a rien à voir avec libre / pas libre.

      Ce n'est pas aux développeurs (ou aux mainteneurs) de se demander si je respecte la loi en utilisant tel logiciel de telle façon. Ça regarde l'utilisateur et la loi de son pays, point.

      Non (obligations de l'hébergeur, responsabilités de l’hébergeur dans son pays, quelque soit le pays de l'utilisateur).
      Avec un argument comme le tiens, j'aurai le droit d'héberger des images pédophiles sur mon serveur en France car je ne serai pas l'utilisateur, ça ne tient pas : ça ne marche pas comme ça.
      • [^] # Re: Partagé

        Posté par  . Évalué à 1.

        Ca tombe bien, elle ne dit rien de tout cela. Elle dit juste qu'elle n'hébergera pas un outil chez elle sur ses serveurs à elle.
        J'entends bien que rien n'oblige une distro à proposer tel ou tel outil.
        La lettre du libre est respectée, y'a aucun doute.
        C'est sur l'esprit, sur la mentalité, qu'on peut s'interroger.

        J'ai l'impression qu'on se trompe de critique : on peut critiquer le fait des choix de la distro vis à vis d'un logiciel, mais c'est tout. Ca n'a rien à voir avec libre / pas libre.
        Ça n'a rien à voir avec le respect des licences, ça peut avoir quelque chose avec l'esprit du libre. Un peu comme une boîte qui ferait du "fauxpen source" en tuant dans l'oeuf toute communauté qui se construirait autour d'un projet pourtant libre.

        Avec un argument comme le tiens, j'aurai le droit d'héberger des images pédophiles sur mon serveur en France car je ne serai pas l'utilisateur, ça ne tient pas : ça ne marche pas comme ça.
        Si tu n'es qu'hébergeur et que tu n'édites ni ne modères le contenu, et que tu proposes aux utilisateurs d'héberger leur contenu à eux, oui.

        Après, je suis d'accord sur le fait que le travail d'une distro ne peut pas être assimilé à la neutralité de l'hébergeur, d'un point de vue légal: une distro qui laisserait passer un fond d'écran pédoporno, je la sens mal partie pour échapper aux ennuis.

        Mais, du point de vue de l'esprit du libre, dans le cas d'un outil dont l'illégalité est loin d'être établie (pas plus que celle de aircrack), ça peut poser question, oui.

        THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

        • [^] # Re: Partagé

          Posté par  . Évalué à 7.

          C'est sur l'esprit, sur la mentalité, qu'on peut s'interroger.

          Non meme sur ca il n'y a pas besoin de s'interroger. Fedora est _leur_ distrib, ils font ce qu'ils veulent avec, c'est justement ca l'esprit du libre.
          • [^] # Re: Partagé

            Posté par  . Évalué à 1.

            Ah non !

            La notion de logiciel libre renvoie bien a la liberté fondamentale ! L'utilisateur est totalement libre d'utiliser le logiciel comme bon lui semble, pas de clauses a accepter, il en fait ce qu'il veut il n'aura aucune contrainte de la part des developpeurs.

            Si des gens font une utilisation illégale d'un logiciel, peu m'importe en tant que developpeur. Les seules contraintes qu'ont un utilisateur proviendront des lois du pays et non pas du developpeur.

            Apres je peux comprendre la position pragmatique de Fedora, notamment de se prendre un proces dans les dents, je pense cependant qu'ils ne sont pas dans leur role quand ils anticipent un eventuel probleme legal.

            C'est a l'utilisateur d'evaluer ce risque.
            • [^] # Re: Partagé

              Posté par  . Évalué à 4.

              Grande nouvelle, les gens qui font Fedora, ils ont aussi leurs libertes.

              Ils ont toute liberte de packager les logiciels qu'ils veulent dans la distrib.

              Si ca ne vous plait pas, forkez.
        • [^] # Re: Partagé

          Posté par  (site web personnel) . Évalué à 8.

          ça peut avoir quelque chose avec l'esprit du libre

          Ce qui est bien avec l'esprit du libre, c'est qu'on lui fait dire tout ce qu'on veut.

          Libre != communauté
          Libre != accepter tout
          Libre, c'est les 4 libertés (dans la lettre ET l'esprit), c'est tout. Et aucune de ces liberté n'impose d'accepter tel ou tel logiciel dans son dépôt (une telle obligation serait contraire au libre, que ce soit à la lettre ou dans l'esprit)

          Mais, du point de vue de l'esprit du libre, dans le cas d'un outil dont l'illégalité est loin d'être établie (pas plus que celle de aircrack), ça peut poser question, oui.

          Non.

          tu peux toujours te poser la question sur la communauté, si Fedora répond à ton besoin, mais ça n'a absolument rien à voir avec le libre.

          Le libre, c'est aussi la liberté de ne pas inclure un logiciel, quel qu'il soit, pour quelque raison que ce soit, que ce soit à la lettre ou dans l'esprit. Le reproche qui est fait à Fedora la, c'est même carrément contre l'esprit du libre! (le fait de critiquer que Fedora utilise sa liberté, n'est-ce pas bizarre?). On fait tout dire au libre, y compris son opposé, ça devient digne de nos politiciens...

          Note : qu'on aime ou pas la décision, c'est un autre débat, qui n'est pas celui du libre, mais plutôt de l'adéquation de Fedora aux besoins de l’utilisateur. Comme dit avant, je n'ai pas d'opinion sur le sujet, ce qui m’intéresse étant le libre et non pas la politique de chaque distro sur les choses qui n'ont rien à voir avec le libre (après Ubuntu qui ne contribue pas upstream "c'est pas dans l'esprit du libre", voila Fedora qui refuse un logiciel dans ses dépôts "c'est pas dans l'esprit du libre", on va inventer combien d'esprit du libre n'ayant rien à voir avec le libre comme ça?). La décision de Fedora est ici 100% conforme à l'esprit du libre (tel que décrit par la FSF, l'OSI ou Debian).

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.