[AlternC-dev] Fonctionnement

Retour à l'archive de la liste
Le site d'AlternC
Google Custom Search

The Anarcat anarcat at anarcat.ath.cx
Sam 11 Fév 22:34:46 CET 2006


[veuillez utiliser un sujet efficace]

On Sat Feb 11, 2006 at 10:10:49AM +0100, larpoux wrote:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
> 
> Benjamin Sonntag a écrit :
> > 
> > suite au problème apparu avec la 0.9.3.1 sur les uid / login mysql, j'ai
> > corrigé dans le cvs ce matin.
> 
> Salux,
> 
> Je voudrais parler d'un problème de fonctionnement qui me heurte depuis
> bientôt un an que nous avons intégré alternc sur notre serveur :
> 
> Depuis le début de notre aventure "alternc", nous nous trainions
> quelques bugs graves sur la sécurité. Bugs qui étaient connus mais non
> corrigés dans la version officielle 0.9.3.
> Comme je ne savais pas que ces problèmes étaient déjà connus, nous nous
> sommes alors plongés dans le projet pour corriger à notre tour l'un de
> ces bugs.
> Mais cette façon de procéder n'étant pas orthodoxe, nous nous sommes
> alors décidés à installer la version 0.9.3.1 qui devait corriger les
> bugs connus de la 0.9.3.
> Le gros problème, c'est que cette nouvelle release de la 0.9.3 ne fait
> pas qu'appliquer des patchs de sécurité mais modifie certaines choses
> qui n'ont rien à voir avec des bugs.

Effectivement, la 0.9.3.1 n'avait pas seulement comme objectif de
corriger des problèmes de sécurité. En fait, ce n'était même pas
l'objectif original:

http://mantis.alternc.org/view.php?id=436

> Depuis une semaine, nous avons déjà remarqué :
> - - l'ajout d'une nouvelle colonne "type" dans les tables "membres" et
> "defquotas"

Hmm... à ce que je sache, ceci a été appliqué sur le CVS, et non sur la
0.9.3.1.

> - - Non gestion de la colonne "sasl" de la table "mail-users"

Connu. Ceci était nécessaire pour la compatibilité avec sarge:

http://mantis.alternc.org/view.php?id=502

Quel problème ceci pose-t-il exactement?

> - - Des changements ergonomiques (la case à cocher "restreindre à mon
> adresse IP" cochée par défaut, le mot de passe rentré lors de la
> création d'une boite email n'est plus affiché)

Le premier me semble simplement logique (ça pose un problème?).

Le second me semble résoudre un problème de sécurité. En ne marquand pas
les champs comme des champs de mot de passe, ils se retrouvaient a)
lisible par n'importe quelle personne qui passe par dessus votre épaule
et b) stockés dans l'historique des champs de firefox et cie.

> Maintenant nous apprenons un nouveau changement dans la gestion des
> uid/login mysql.

Je redemande la question: quel est le problème?

> Ce fonctionnement ne fonctionne pas pour nous.
> 
> Je ne pense pas souhaitable (ni même possible) de relacher des nouvelles
> versions (0.9.4, 1.0, ...) sans maintenir la base installée un certain
> temps.
> Il faudrait réellement qu'un apt-get install de la version actuellement
> en exploitation (pour nous la 0.9.3) n'ai pas d'impacte venant de
> versions ulterieurs (0.9.4 ou 1.0), et ceci pendant tout le temps que
> nous ne sommes pas prêt à avoir validé les nouvelles versions et que
> nous soyons décidés à faire le saut.
>
> Je suppose que ceci doit être vrai pour tous les serveurs en exploitation.

Ce que tu demandes, en bref, c'est un "fork" entre une version stable et
de développement.

Je ne crois pas qu'il y ait suffisamment d'énergie dans l'équipe pour
faire une telle maintenance. Si tu es prêt à le faire, par contre, tu es
le bienvenu.

Cependant, je crois que la plupart des correctifs qui sont appliqués sur
la branche principale (sauf peut-être le truc de defquotas) sont
essentiels à la stabilité du logiciel.

A.
-------------- section suivante --------------
Une pièce jointe autre que texte a été nettoyée...
Nom: signature.asc
Type: application/pgp-signature
Taille: 189 octets
Desc: Digital signature
URL: <http://lists.alternc.org/arch/dev/attachments/20060211/a2b31fcc/attachment.pgp>


Plus d'informations sur la liste de diffusion Dev