Un fil rédigé par Elliot Alderson qui décrit un peu comment ça s'est passé côté matrix.org (tl;dr pas très bien).
loin de moi l'idée de me faire l'avocat du diable, mais je doute qu'un tel raccourcis soit vraiment représentatif sans y inclure (dans le calcul) la masse de sites existant et tournant avec Wordpress, bref… ça fait plus sensationnel comme ça ;)
Oui, le contexte est important et là on en manque un peu.
This report is based on data collected and analyzed by the GoDaddy Security / Sucuri team, which includes the Incident Response Team (IRT) and the Malware Research Team (MRT). It analyzes over 25,168 cleanup requests [0]
Donc en gros 90% des CMS piratés sur des hébergements GoDaddy sont sous WordPress et ce, sans indiquer quelle est la part de marché de wordpress sur ces hébergements, si on est sur du 90%, l'info a à peu près autant d'intérêt que celle ci
Hé bé, ça faisait longtemps que j'avais lu le nom Lindows !
Je ne pense pas que git soit le meilleur outil pour backupper ce genre de choses par contre. Ne serait-ce que parce que le versioning par défault impose de changer tous les mots de passe si on veut changer le mot de passe “master”.
Je ne pense pas que git soit le meilleur outil pour backupper ce genre de choses par contre
C'est plus dans une otique de distribution que de backup que git est intégré : même base de mots de passe sur son ordi, tel, tablette, etc. en lecture et écriture (Password Store est, au passage, un super client android).
le versioning par défault impose de changer tous les mots de passe si on veut changer le mot de passe “master”.
Pas sûr de voir ce que tu entends par là ? Les fichiers sont chiffrés avec une (ou des) clé GPG. Dans le cas d'un changement de clé, oui, après le pass init new-gpg-id
l'intégralité des fichiers sera modifié car re-chiffré, mais les mots de passe ne changent pas pour autant.
Donc pas de notion de “mot de passe master” c'est juste des fichiers textes tout bêtes, chiffrés, stockés dans un dépôt git si besoin, et un super moteur de fuzzy search pour taper dedans.
J'avais mis ça plus par frustration que pour râler ici. En tant que prestataire qui fait de l'infogérance, j'avoue platement que j'ai complètement traîné des pieds pour ces histoires de RGPD, et j'ai pas mal de boulot en retard pour ça. (Sans doute ma phobie administrative. :oD)
Du coup, question un peu naïve. Est-ce que ça explique vraiment bien le RGPD ? Je cherche une bonne doc utilisable là-dessus. Si ça vaut vraiment le coup, je m'abonnerai volontiers à cette publication.
Merci.
Voilà ce que c'est que de courir la garrigue au lieu de lire les textes de loi : tu es à la bourre ;-)
C'est un article détaillé (4800 mots), premier d'une série de trois qui vont commenter le texte section par section. Il sera disponible accessible pour tous dans environ un mois.
Toujours pas possible de lire. La question qui me taraude et à laquelle je n'arrive pas à trouver de réponse est la suivante : sur un site web, moyennant un dispositif de d'analyse de données anonymisées et hébergé sur ses propres serveurs (Matomo et non Google Analytics), peut-on éviter la demande du consentement et la fameuse “bannière à cookie” ?
La réponse chez la cnil https://www.cnil.fr/fr/solutions-pour-les-cookies-de-mesure-daudience donc ok pour piwik (matomo) sous réserve d'anonymiser l'IP de l'utilisateur (réglage par défaut si je me souviens bien).
Ah merci ! Cela dit, il faut quand même proposer un moyen de refuser le l’analyse. C’est chiant. Et je ne vois pas vraiment pourquoi si on ne recueille aucune données perso. À ce compte là il faut aussi proposer de ne rien logger dans les logs d’Apache, NGINX & co non ?
Pas spécialiste du sujet mais je crois que ça dépend de la finalité de ces logs : si tu les utilises dans goaccess ou autre pour faire des stats sur les usagers j'imagine qu'il doit y avoir consentement. Dans ce cas fournir un moyen de ne pas être tracé doit être marrant, surtout quand on doit en même temps conserver les logs un an.
“identifier toute personne ayant contribué à la création d'un contenu mis en ligne” à la rigueur, tu peux déjà virer les requêtes GET, tu ne gardes que les POST. Mais ils sont quand même trop fort ces législateurs.
https://www.mail-tester.com est bien pratique aussi pour tester ses publipostages ou mails transactionnels. Ça teste l'enveloppe du mail (dkim, spf, listes noires, etc.) et son contenu (filtrage bayésien + liens externes type tracking).
[Comment removed by author]
J'espère finaliser une version fonctionnelle de flumel un système d'envoi de flux rss par email. La particularité de l'appli c'est de ne pas avoir d'interface web de gestion mais un email-bot pour s'abonner / désabonner.
C'est du python 3, libre et auto-hébergeable.
Le PiHole me tente bien. Juste pour parler risques, comme je ne connais pas trop, c'est le raspberry qui gère les dns? Aucun risque que ça soit renvoyé ailleurs?
Oui, il faut changer ses DNS pour utiliser le dnsmasq que pi-hole installe sur le rpi. Il bloque (en remplaçant la pub par une image au choix) les domaines identifiés dans les listes noires choisies et route normalement tout ce qui est sur liste blanche/inconnu.
À priori, rien ne sort sur rpi sur l'utilisation des filtres/stats, mais pas sûr que ça soit éternellement le cas :
Partnering With Optimal.com
Pi-hole will be teaming up with Rob Leathern’s subscription service to avoid ads. This service is unique and will help content-creators and publishers still make money from visitors who are using an ad ablocker.
C'est un peu ce qui me soucie, car au final avec une telle installation en interne facile de se faire récupérer tout un tas d'infos, que ça soit sur le surf, les pass…etc. L'idée me paraît super intéressante, mais j'ai regardé un peu sur le net et pas trop d'informations sur le sujet.
PiHole n'a pas accès aux données de navigation (formulaires, cookies, etc.), ça intervient juste au moment de la résolution des requêtes DNS.
Pour le reste il faut quand même accorder le bénéfice du doute au logiciel libre :-) , jeter un œil aux sources, surveiller le changelog avant de mettre à jour et envoyer des sioux pour éviter aux développeurs-euses de mettre en place des systèmes de monétisation de mauvais goût.
Pour les sources ce n'est pas possible pour moi, c'est un langage qui m'est hermétique malheureusement. Le reste c'est plus simple à faire ;-)
j'installe toujours en parallèle de Google Play FDroid. On n'y trouve pas tout mais c'est bcp plus agréable de passer par lui que par l'horrible Google Play.
En effet, FDroid est devenu très agréable à utiliser ces derniers temps, beaucoup plus que Google Play d'ailleurs.
https://fossdroid.com/ est pas mal comme interface pour F-Droid, il a notamment l'avantage de mettre en avant les applis populaires (cad nombre de téléchargements sur les dépots F-Droid, ils disposent de l'info c'est dommage qu'ils ne l'utilisent pas !) ce qui permet d'être un minimum guidé pour ses premiers choix.
Waw, super article, le propos est très juste et ne fait dans la langue de bois. (Peut-être parce qu'il est écrit par un enseignant-chercheur.)
C'est effectivement pas trop son habitude la langue de bois cf. https://www.affordance.info/