"regardez, eux, ils sont pas à jour, allez-y attaquez"
J'ai l'impression que vous n'avez toujours pas compris l'importance du problème : une personne a pointé du doigt un truc non maintenu dans votre infra depuis 4 ans. Ca veut dire que pendant 4 ans vous étiez à poil (c'est vous qui le dites, "end of life" a été décidé par vous) et que n'importe qui ayant intérêt à vous prendre vos machines pouvait trouver une faille dans une version pas à jour des logiciels de la distro, et ce de pire en pire dans le temps (failles non corrigées).
Ici, vous la jouez logiciels proprio "sécurité par l'obscurité" sauf que c'est pas si obscure (c'est public, suffit de chercher un peu), votre seul avantage est que pas/plus foule n'est chez vous donc ça ne rend pas les attaques intéressantes.
On prend tous les coups de main pour la suite
J'imagine qu'on peut préparer un message "on vous a mis à poil pendant 4 ans, on n'est plus capable d'assurer un minimum de sécurité depuis des années, on vous conseille de passer à CentOS pour les conservateurs et Fedora pour les bleding edge et faites bien attention à ne prendre aucun exécutable de l'ancienne install, en attendant qu'on voit ce qu'on peut faire pour ressusciter Mageia" mais pas sûr que vous acceptiez le coup de main vu comment vous réagissez.
au passage, vous n'avez pas eu assez de ressources, ok, des malades ok, mais du coup vous savez comment vous allez faire quand Mageia 6 va sortir? Car vous aurez alors 3 mois pour migrer toutes vos machines vers Mageia 6, sous peine de retomber dans le problème "end of life" de ce que vous avez, et 3 mois c'est court (mais c'est vous qui l'avez décidé donc ce n'est pas critiquable).
quant aux coups de pied c'est pas obligé.
Vous faire troller est un coup de pied bien doux par rapport à ce que vous auriez pu vous prendre, vous pourriez même les remercier.
Quand on s'engage à gérer la sécurité d'autres personnes, il faut un minimum, ou il vaut mieux ne rien faire, faire pour faire n'est que rarement une bonne chose, et parfois il faut savoir s'arrêter avant qu'il y est plus de dégâts. Et oui, les tiers non utilisateurs peuvent aussi être impactés (les DDOS sont fait à partir de machines dont la sécurité est traité à la légère, mais d'habitudes c'est par des gens pas au fait de la sécurité).
En attendant, avant je n'avais pas d'avis sur Mageia, maintenant j'en ai un pour quand on me demandera mon avis (rare, mais ça arrivait de temps à autre avec des français surtout).
[^] # Re: Et ils continuent de nier le problème ...
Posté par Zenitram (site web personnel) . En réponse au journal Pas de mises à jour de sécurité depuis 5 ans sur l’infrastructure Mageia. Est‐ce bien raisonnable ?. Évalué à 3. Dernière modification le 05 avril 2017 à 20:41.
J'ai l'impression que vous n'avez toujours pas compris l'importance du problème : une personne a pointé du doigt un truc non maintenu dans votre infra depuis 4 ans. Ca veut dire que pendant 4 ans vous étiez à poil (c'est vous qui le dites, "end of life" a été décidé par vous) et que n'importe qui ayant intérêt à vous prendre vos machines pouvait trouver une faille dans une version pas à jour des logiciels de la distro, et ce de pire en pire dans le temps (failles non corrigées).
Ici, vous la jouez logiciels proprio "sécurité par l'obscurité" sauf que c'est pas si obscure (c'est public, suffit de chercher un peu), votre seul avantage est que pas/plus foule n'est chez vous donc ça ne rend pas les attaques intéressantes.
J'imagine qu'on peut préparer un message "on vous a mis à poil pendant 4 ans, on n'est plus capable d'assurer un minimum de sécurité depuis des années, on vous conseille de passer à CentOS pour les conservateurs et Fedora pour les bleding edge et faites bien attention à ne prendre aucun exécutable de l'ancienne install, en attendant qu'on voit ce qu'on peut faire pour ressusciter Mageia" mais pas sûr que vous acceptiez le coup de main vu comment vous réagissez.
au passage, vous n'avez pas eu assez de ressources, ok, des malades ok, mais du coup vous savez comment vous allez faire quand Mageia 6 va sortir? Car vous aurez alors 3 mois pour migrer toutes vos machines vers Mageia 6, sous peine de retomber dans le problème "end of life" de ce que vous avez, et 3 mois c'est court (mais c'est vous qui l'avez décidé donc ce n'est pas critiquable).
Vous faire troller est un coup de pied bien doux par rapport à ce que vous auriez pu vous prendre, vous pourriez même les remercier.
Quand on s'engage à gérer la sécurité d'autres personnes, il faut un minimum, ou il vaut mieux ne rien faire, faire pour faire n'est que rarement une bonne chose, et parfois il faut savoir s'arrêter avant qu'il y est plus de dégâts. Et oui, les tiers non utilisateurs peuvent aussi être impactés (les DDOS sont fait à partir de machines dont la sécurité est traité à la légère, mais d'habitudes c'est par des gens pas au fait de la sécurité).
En attendant, avant je n'avais pas d'avis sur Mageia, maintenant j'en ai un pour quand on me demandera mon avis (rare, mais ça arrivait de temps à autre avec des français surtout).