-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
Salut,
Le 15/11/2014 02:09, Fil a écrit :
Ah bon, on détient "une base de données" de tous les sites existants ? Ce
serait bien d'être précis. (Si tu parles des logs de spip.net, ils ne
contiennent rien de plus qu'une adresse IP des serveurs qui les ont
contactés, éventuellement à travers un proxy anonymisant.)
Je pense non seulement à la protection de la vie privée, mais aussi à la
sécurité : un serveur qui contient les logs de la plupart des sites (ou
au moins leurs adresses IP) qui ont téléchargé (une certaine version de)
SPIP ou l’écran dé sécurité, ça peut être une base de données
intéressante pour quelqu’un qui a de mauvaises intentions, et faire de
ce serveur une cible particulièrement intéressante (parce qu’elle peut
ouvrir la porte à d’autre cibles).
Bien sûr, aujourd’hui, ce type de scénario n’est pas réaliste, puisque
gogogle est bien bavard (d’autant plus que Sarka-SPIP continue à
indiquer par défaut là version de SPIP en pied de page de l’espace
public par défaut) pour trouver des cibles « faciles » :
http://lmgtfy.com/?q="Plan+du+site"+"spip+2.1.12"+Sarka-SPIP
Pour clarifier mon propos : la mise en place d’artifices permettant de
mettre à jour facilement ou automatiquement des sites et des écrans de
sécurité me semble être un bon en avant dans la protection des
utilisateurs de SPIP, et c’est bien. Certains utilisateurs « savent ce
qu’ils font » et leur permettre de désactiver facilement ces
fonctionnalités afin de garder le système fonctionnel tel qu’ils l’ont
mis en place me semble important.
Par exemple, en tant que distributeur de SPIP par l’intermédiaire de
Debian, j’ai désactivé la fonctionnalité de mise à jour de la dernière
version de SPIP disponible et son affichage dans l’espace privé pour
deux raisons : puisque les mises à jour dans Debian se font par
l’intermédiaire du paquet correspondant (dans lequel sont incluses les
mises à jour de sécurité ciblées pour la version distribuée), cet
affichage ne sert à rien (à part ajouter de la confusion), et demander
aux serveurs de spip.net quelle est la dernière version est une (petite)
atteinte à la vie privée qui est par conséquent inutile.
Pour clarifier encore (si je suis lourd, arrêtez-moi) : vu le nombre de
failles et d’attaques existantes, j’ai d’honnêtes doutes sur la
pertinence de se reposer sur les DNS et HTTPS pour assurer
l’authenticité. En revanche, l’utilisation de signatures (avec un
algorithme sérieux, genre des clefs RSA d’au moins 2048 bits) est parmi
ce qu’il y a de plus fiable. Juste un exemple dans le monde des
applications en PHP : toutes les version d’ownCloud [1] sont signées [2]
et la clef publique [3] est aussi disponible sur le réseau des serveurs
de clefs [4]. Le seul bémol pour attester de l’authenticité de la clef,
c’est qu’elle n’est signée que par deux clefs (et seule une d’entre elle
à un lien indirect dans le « strong set » [5]), mais ça s’améliore (au
début, elle n’était même pas sur les serveurs de clefs :).
1: download.owncloud.com
2: download.owncloud.com
3: https://owncloud.org/owncloud.asc
4:
http://pgp.circl.lu/pks/lookup?op=get&fingerprint=on&search=0x2D5D5E97F6978A26
5: http://pgp.cs.uu.nl/stats/BB55A47FC901C33E.html
Je serais vivement intéressé de pouvoir vérifier l’authenticité des ZIP
de SPIP dans un futur proche avec un système comme celui mis en place
par ownCloud (et bien d’autres).
Amicalement
David
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1
iQEcBAEBCAAGBQJUZ1RcAAoJEAWMHPlE9r088jgH/RoI0OGoFpy+RAMjZ9HCH7AA
tAvFU49YLG/dTVQLSN8EWCZp56EAOxnwjMAj+rY70W4rabmKOixnOTmmJgYY1bCt
7hdcgJfLN3kuM8JZ/jRXX3w1rkvmz3gJlpMlbVan6ZHPm5qFA5PU6ZBpXPiglTZy
T48LI6gHHYKr2BLtanZF3If19YW4pxTSJ/WRkeD2zo89Tk1Jgc60N1YtI4y2/myb
4BmafILJoWVMhhbKkeYh/nQkcWb5RGf3Dt/CvpL4Ku2HLcyKSeMcfqT8YGQI73Iu
9r0udLojSyBgS07jH8vHPpzq1yTDljNbDCAAH/mraop6NkxcKTI4Xsjcm90ZP/0=
=U9a/
-----END PGP SIGNATURE-----
