[AlternC-dev] Fonctionnement

Retour à l'archive de la liste
Le site d'AlternC
Google Custom Search

Nahuel ANGELINETTI nahuel at develog.com
Dim 12 Fév 17:23:48 CET 2006


Salut,

Pour moi cela ne me pose aucun problème. D'ailleur je trouve que les
login mysql ont plus de raison d'etre les logins des membres pour une
facilité d'utilisation pour les utilisateurs, et pour ce qui est des
mots de passe comme dit anarcat, c'etait un problème de sécurité.

Le plus principal c'est que alternc avance, et je crois que nous sommes
la pour ca.

@+

Le Sat, 11 Feb 2006 16:34:46 -0500,
The Anarcat <anarcat at anarcat.ath.cx> a écrit :

> [veuillez utiliser un sujet efficace]
> 
> On Sat Feb 11, 2006 at 10:10:49AM +0100, larpoux wrote:
> > -----BEGIN PGP SIGNED MESSAGE-----
> > Hash: SHA1
> > 
> > Benjamin Sonntag a écrit :
> > > 
> > > suite au problème apparu avec la 0.9.3.1 sur les uid / login
> > > mysql, j'ai corrigé dans le cvs ce matin.
> > 
> > Salux,
> > 
> > Je voudrais parler d'un problème de fonctionnement qui me heurte
> > depuis bientôt un an que nous avons intégré alternc sur notre
> > serveur :
> > 
> > Depuis le début de notre aventure "alternc", nous nous trainions
> > quelques bugs graves sur la sécurité. Bugs qui étaient connus mais
> > non corrigés dans la version officielle 0.9.3.
> > Comme je ne savais pas que ces problèmes étaient déjà connus, nous
> > nous sommes alors plongés dans le projet pour corriger à notre tour
> > l'un de ces bugs.
> > Mais cette façon de procéder n'étant pas orthodoxe, nous nous sommes
> > alors décidés à installer la version 0.9.3.1 qui devait corriger les
> > bugs connus de la 0.9.3.
> > Le gros problème, c'est que cette nouvelle release de la 0.9.3 ne
> > fait pas qu'appliquer des patchs de sécurité mais modifie certaines
> > choses qui n'ont rien à voir avec des bugs.
> 
> Effectivement, la 0.9.3.1 n'avait pas seulement comme objectif de
> corriger des problèmes de sécurité. En fait, ce n'était même pas
> l'objectif original:
> 
> http://mantis.alternc.org/view.php?id=436
> 
> > Depuis une semaine, nous avons déjà remarqué :
> > - - l'ajout d'une nouvelle colonne "type" dans les tables "membres"
> > et "defquotas"
> 
> Hmm... à ce que je sache, ceci a été appliqué sur le CVS, et non sur
> la 0.9.3.1.
> 
> > - - Non gestion de la colonne "sasl" de la table "mail-users"
> 
> Connu. Ceci était nécessaire pour la compatibilité avec sarge:
> 
> http://mantis.alternc.org/view.php?id=502
> 
> Quel problème ceci pose-t-il exactement?
> 
> > - - Des changements ergonomiques (la case à cocher "restreindre à
> > mon adresse IP" cochée par défaut, le mot de passe rentré lors de la
> > création d'une boite email n'est plus affiché)
> 
> Le premier me semble simplement logique (ça pose un problème?).
> 
> Le second me semble résoudre un problème de sécurité. En ne marquand
> pas les champs comme des champs de mot de passe, ils se retrouvaient
> a) lisible par n'importe quelle personne qui passe par dessus votre
> épaule et b) stockés dans l'historique des champs de firefox et cie.
> 
> > Maintenant nous apprenons un nouveau changement dans la gestion des
> > uid/login mysql.
> 
> Je redemande la question: quel est le problème?
> 
> > Ce fonctionnement ne fonctionne pas pour nous.
> > 
> > Je ne pense pas souhaitable (ni même possible) de relacher des
> > nouvelles versions (0.9.4, 1.0, ...) sans maintenir la base
> > installée un certain temps.
> > Il faudrait réellement qu'un apt-get install de la version
> > actuellement en exploitation (pour nous la 0.9.3) n'ai pas
> > d'impacte venant de versions ulterieurs (0.9.4 ou 1.0), et ceci
> > pendant tout le temps que nous ne sommes pas prêt à avoir validé
> > les nouvelles versions et que nous soyons décidés à faire le saut.
> >
> > Je suppose que ceci doit être vrai pour tous les serveurs en
> > exploitation.
> 
> Ce que tu demandes, en bref, c'est un "fork" entre une version stable
> et de développement.
> 
> Je ne crois pas qu'il y ait suffisamment d'énergie dans l'équipe pour
> faire une telle maintenance. Si tu es prêt à le faire, par contre, tu
> es le bienvenu.
> 
> Cependant, je crois que la plupart des correctifs qui sont appliqués
> sur la branche principale (sauf peut-être le truc de defquotas) sont
> essentiels à la stabilité du logiciel.
> 
> A.


-- 
Nahuel ANGELINETTI
Jabber/XMPP : Vanzetti at develog.com



Plus d'informations sur la liste de diffusion Dev