• [^] # Re: Et ils continuent de nier le problème ...

    Posté par (site web personnel) . En réponse au journal Pas de mises à jour de sécurité depuis 5 ans sur l’infrastructure Mageia. Est‐ce bien raisonnable ?. Évalué à 5. Dernière modification le 06 avril 2017 à 07:58.

    Le Responsible_disclosure a été fait pendant 4 ans, des gars ont dit "fin de support" il y a 4 ans, ce sont même des amis aux sys admins qui l'ont dit.
    4 ans, c'est largement supérieur à 3 mois.
    Le shell a été testé car les personnes de Mageia niaient le problème "nan mais arrête, c'est pas grave, c'est juste 4 ans sans support, ça ne veut pas dire que c'est troué"
    le merdage n'a pas été reconnu dans ton lien (minimiser "l'infrastructure n'a pas été compromise" alors qu'ils n'en savent absolument rien car ils n'ont rien regardé).
    Ca n'aurait pas été mis en public aussi fortement, avec d'aussi gros troll, que le problème serait rester (1 an? 2 ans?) vu la réaction initiale au journal (au début, hop un "ouais, on en a parlé au conseil, et rien d'urgent").

    Bref, perso je vois toujours de l'incompréhension du problème soulevé, ce qui n'aide pas à calmer les esprits.
    tu parlais de GitLab? Eux n'ont pas pris la chose comme pas grave (qu'ils soient payé ne change rien à la responsabilité quand on fournit quelque chose, encore une fois). D'autres non plus.
    Le problème n'est pas qu'il manque de bras, mais que la sécurité n'est pas au niveau pour une gestion d'un parc de machines.
    Le problème est que le risque a été nié, pour ensuite être reconnu sans le dire (la communication a été en premier "c'est pas dérangeant, arrêtez de troller" pour ensuite être "merde, c'est vrai que ça craint mais on ne l'admet pas publiquement on éteint juste les machines et on dit que c'est à cause des trolls"). Encore une fois, le fait qu'ils soient bénévoles surchargés ne changent rien au problème de sécurité, c'est pour après (voir comment corriger le problème de sécurité, à long terme). On peut compatir, mais ça n'excuse pas les 4 ans. Si les machines ont été éteintes, c'est bien la preuve que les sysadmins n'ont pas confiance, et ça montre donc que l'auteur du journal avait raison (si les sysadmins croyaient en la sécurité de Mageia 1, ils auraient juste dit "ha ha elle est bien bonne, non c'est bon on gère, on sait que ça craint rien").

    Quand il faudra faire le bilan, j'espère que ça parlera des soucis de communication, car la communication de personnes (se présentant comme, du moins) de Mageia a rajouté de l'huile sur le feu, et pas qu'un peu (conspuer le lanceur d'alerte, surtout quand ensuite on valide son raisonnement, c'est pas vraiment un méthode conseillée, encore moins ne pas l'admettre ensuite).

    et encore une fois : il vaut mieux que les personnes de Mageia se soient fait troller maintenant sans dégâts autre que leur égo, plutôt qu'une autre personne moins bien intentionnée (parce que bon, la, pour le moment on parle de "méchants trolleur" mais les trolleurs ont abîmer que l'égo, rien d'autre) fasse bien plus de dégâts (on parle de la sécurité de plein de machines cibles la...).

    Un petit mal (aucun dégât autre que l'égo) pour un gros bien (quelque soit l'issue, même si ça "tue" Mageia, car il vaut mieux que ce soit mort qu'une source de virus).

    J'ai la forte conviction, au vu de ce que j'ai lu, qu'il n'est pas le chevalier blanc, mais un gars qui veut salir la réputation de mageia.

    Donc pour toi le Canard Enchainé, les révélations sur Fillon et Le Pen, et encore avant Cahuzac, banques suisses etc c'est mal car ça vient de gens voulant salir la réputation? Il ne fallait pas les sortir pour ne pas salir de réputation? Sans te demander si à la base, ça aurait été mieux de ne pas faire de conneries? OK, on n'a pas la même vision : on s'en fout complet de son but, à la base le problème est ailleurs. La, tu parles comme Fillon et Le Pen, te focalisant sur le messager et non le problème.