|
|
Diaspora truffé de failles de sécurité. Oui, et alors ? Il y a pire
Guillaume Champeau -
publié le Lundi 20 Septembre 2010 à 13h11 -
posté dans High-Tech
 Des développeurs ont mis à jour des failles de sécurité dans la première version de Diaspora diffusée la semaine dernière. Mais elles sont normales à ce stade de développement. En revanche, l'accord que doivent signer les contributeurs pour participer au projet laisse craindre une trahison de la communauté qui avait donné plus de 125 000 dollars pour sa création.
Très bien. Et alors ? L'équipe fondatrice du projet a publié une première version du code, uniquement destinée aux développeurs, justement pour qu'ils puissent repérer ces failles et améliorer notamment la sécurité des données, avant la mise en ligne d'une première publique destinée aux utilisateurs. C'est l'essence-même de Diaspora, financé avant sa création, que de faire participer le public et les "hackers" à sa fabrication. C'est l'absence de failles dans la première version du code qui aurait été surprenante. On ne peut pas critiquer Diaspora sans prendre en compte la spécificité de son développement et sa génèse. Mais il y a peut-être plus inquiétant à terme que la présence de failles sur un code source qui n'en est même pas encore au stade de version alpha. La société commerciale Diaspora Inc. créée pour développer et éditer le service demande en effet aux développeurs qui participent au projet officiel de signer un "accord du contributeur" qui lui donne tout pouvoir sur le code source, y compris celui de publier une version de Diaspora sous licence propriétaire. Selon Bradley Kuhn, ancien directeur exécutif de la Free Software Foundation (FSF) qui se montre très méfiant envers Diaspora, l'équipe songerait à abandonner la licence AGPL v3 utilisée actuellement. Certes, l'accord oblige Diaspora Inc. à publier toute modification d'un contributeur sous licence libre si la société choisit de l'utiliser dans une version propriétaire. Mais le risque est surtout de voir un jour Diaspora développer une version propriétaire après avoir profité des dons en argent et en code source de sa communauté pour établir sa notoriété. Des fonctionnalités pourraient alors être ajoutées sans que les versions open-source y aient accès. Bradley Khun appelle donc la communauté à créer immédiatement un projet parallèle à Diaspora, en reprenant comme base le code source publié, mais sans l'accord de contributeur. D'autres ont déjà arrêté de soutenir Diaspora, et demandent à ce que l'attention soit portée vers GNU Social, le réseau social officiel de la FSF. à lire aussi
  Prix indiqués avec livraison
35
Commentaires à propos de «Diaspora truffé de failles de sécurité. Oui, et alors ? Il y a pire»
 Franchement, il y a des fois où les mecs du soi-disant libre m'étonnent toujours.
Finalement, une entreprise en face, c'est parfois mieux, non ? Les règles sont claires et si jamais il y un litige, tu sais à qui t'adresser.  malaga: ça dépend du point de vue. Si tu veux attaquer en justice pour violation de ton sombre brevet, c'est effectivement mieux d'avoir Facebook au bout du fil plutôt qu'un Stallman.
Toujours est-il que je vais suivre de près comment l'affaire va évoluer, ainsi que les forks qui en naitront.  malaga, le 20/09/2010 - 13:33 Franchement, il y a des fois où les mecs du soi-disant libre m'étonnent toujours. Finalement, une entreprise en face, c'est parfois mieux, non ? Les règles sont claires et si jamais il y un litige, tu sais à qui t'adresser. C'est le cas aussi avec une fondation comme Mozilla, non ?  Comment sortir une version fermée d'un programme GPL si cette version fermée s'appuie sur le même code ?
N'y devrait-il pas y avoir "contamination" de la version proprio par les bouts de code repris ? Ca sent l'enfumage de la FSF, ils utilisent partout l'"accord du contributeur" pour permettre par exemple de passer de GPL2 à 3 sans demande d'autorisation; et quand ce sont les autres qui utilisent leurs pratiques ils essayent de faire échouer leur projet ?
 Franchement, il y a des fois où les mecs du soi-disant libre m'étonnent toujours.
Finalement, une entreprise en face, c'est parfois mieux, non ? Les règles sont claires et si jamais il y un litige, tu sais à qui t'adresser. Toi, on voit clairement de quel côté tu es... Très bien. Et alors ? L'équipe fondatrice du projet a publié une première version du code, uniquement destinée aux développeurs, justement pour qu'ils puissent repérer ces failles et améliorer notamment la sécurité des données, avant la mise en ligne d'une première publique destinée aux utilisateurs.
J'aime bien les commentaires de gens qui ne connaissent pas la techno dire : "Oui, le code est pourri, mais c'est Open source, c'est alpha, ça sera corrigé." Oui, bien sûr. Mais en connaissant la techno, on croirait que le code est écrit par des débutants en Ruby on Rails. Si un jour vous levez des milliers d'euros et vous releasez un projet fumant ça fait sérieux ? Non. La moindre des choses aurait été de faire relire au moins le truc par UN gus connaissant bien la techno avant une release publique, même "super alpha".  Le plus gros problème n'est pas les failles de sécurité, diaspora est en pré-alpha je le rappelle, mais bien la gestion de la licence finale où la société commerciale semble beaucoup plus obscure.
Oracle n'a jamais produit du code open source, ce n'est pas (et ça ne sera jamais) la politique de la société. Elle est spécialisée dans le rachat de sociétés adverses (peoplesoft, sun ...) pour accroître sa domination.  C'est un programme débutant, normal qu'il y ait des failles.
Doit-on se remémorer Windows ou Office ? Cette idée de fork est très bonne. Ce serait honteux et un exécrable calcul que de profiter du libre comme seule notoriété pour ensuite créer un concurrent de Facenook.
Stupide parce que si Diaspora marche, ce sera justement parce qu'il est libre. Quant à GNU social, pourquoi pas, mais il faudrait qu'il soit multi-langue multi-plateforme... C'est pas encore ça.
malaga, le 20/09/2010 - 13:33 Franchement, il y a des fois où les mecs du soi-disant libre m'étonnent toujours. Finalement, une entreprise en face, c'est parfois mieux, non ? Les règles sont claires et si jamais il y un litige, tu sais à qui t'adresser. Vite, un fork... Quelle bande d'idiot quand même... àtre un mauvais développeur, ca peut toujours s'arranger... Il est possible d'apprendre, tout ça... Mais promettre un logiciel open source, recevoir des dons, puis changer les règles du jeu, ca c'est de la véritable bêtise. Et ca s'arrange bien plus rarement. Bref, vite, un fork...
@slainer68 : quand tu codes un site, tu fais le code CSS avant la structure HTML, peut-être ?...
Il est _tout à fait_ normal de d'abord développer les grosses briques sans penser à tous les blindages de sécurité. C'est l'ordre de progression logique d'un projet. S'il fallait faire des tests poussés après chaque nouveau petit développement, le temps et les coûts de développement de logiciels seraient décuplés (surtout qu'il n'est pas rare qu'une grosse mise à jour crée des régressions dans le code, d'où le fait que l'on fignole tout en une seule fois dans les phases avancées des projets. Il serait ridicule de mettre en place des blindages qui seraient ensuite rendus non fonctionnels suite à un nouveau développement par-dessus...) Comme le dit Mike Masnick (http://www.techdirt.com/articles/20100916/20592111050/as-expected-expectations-are-way-too-high-on-diaspora.shtml), Diaspora est victime d'un trop gros hype : les gens ont des attentes démesurées et sont déçus alors que le projet est pourtant à un stade tout à fait normal pour une version pré-alpha. Topinambour, le 20/09/2010 - 13:57 C'est l'ordre de progression logique d'un projet. S'il fallait faire des tests poussés après chaque nouveau petit développement, le temps et les coûts de développement de logiciels seraient décuplés (surtout qu'il n'est pas rare qu'une grosse mise à jour crée des régressions dans le code, d'où le fait que l'on fignole tout en une seule fois dans les phases avancées des projets. Il serait ridicule de mettre en place des blindages qui seraient ensuite rendus non fonctionnels suite à un nouveau développement par-dessus...)Non. C'est l'ordre de progression d'un logiciel non critique destiné à des utilisateurs pas exigeants. Je peux te garantir que les softs sur lesquels je bosse, changer simplement un message d'erreur enclenche un process de validation qui dure entre 6 mois et un an. Apres, y'a un cout, c'est vrai ... perso, j'aime bien que les softs qui marchent sur les systemes d'un avion soient testés avant d'etre livrés au public  Pour en revenir au sujet, ca ne m'étonne pas. Y'a de l'argent a se faire, donc il y a des requins. L'internet libre est mort sous les coups de boutoir des commerciaux de l'internet 2.0 depuis déja quelques années...  Bah il y a des enfoirés partout
Mais la on le sait dès le départ Donc FORKPORA Et bien sur il faut dire au donateurs de demander a récupérer leur don pour le donner a une vrai structure qui dans ses statuts ne pourras pas devenir une entreprise, que les projets ne pourront pas devenir propriétaire, que les participant s'engagent a ne pas faire concurrence sur un projet similaire propriétaire, etc !
|
A LA UNE
LES + COMMENTÉS
 24 offres à partir de 235 €
Télécharger
windows live messenger,
online tv adult,
avast,
vdownloader mac,
voissa anonymo,
emule islande,
redtube video downloader,
ssc service utility,
Accès rapide :
Communication |
Encoder ou convertir |
Personnalisation |
Diagnostic |
eMule (et mods eMule) |
Photo numérique |
Outils Réseau |
|
Une partie de la presse se fait l'écho en ce début de semaine des nombreuses failles de sécurité découvertes dans le code source de 
Ca serait un gros buzz, profitant de la peur des gens sur leur vie privée sur Facebook, pour accumuler du fric, ça ne m'étonne guère...
De l'open source avec des contributeurs bénévoles, et dans 2 ans quand le projet est mur, on le vend comme un produit final et fermé. Du Oracle en gros.