Publié par Guillaume Champeau, le Lundi 20 Septembre 2010

Diaspora truffé de failles de sécurité. Oui, et alors ? Il y a pire

Des développeurs ont mis à jour des failles de sécurité dans la première version de Diaspora diffusée la semaine dernière. Mais elles sont normales à ce stade de développement. En revanche, l'accord que doivent signer les contributeurs pour participer au projet laisse craindre une trahison de la communauté qui avait donné plus de 125 000 dollars pour sa création.

Une partie de la presse se fait l'écho en ce début de semaine des nombreuses failles de sécurité découvertes dans le code source de Diaspora, l'alternative libre, open-source, gratuite et décentralisée de Facebook. Certains hackers ont en effet révélé l'existence d'importantes malfaçons dans la conception du code, qui permettent en particulier l'exploitation de failles XSS. Grâce à l'injection de codes par les formulaires, il serait ainsi possible de détourner des comptes utilisateurs, de supprimer des photos, d'ajouter des amis sans leur consentement, etc.

Très bien. Et alors ? L'équipe fondatrice du projet a publié une première version du code, uniquement destinée aux développeurs, justement pour qu'ils puissent repérer ces failles et améliorer notamment la sécurité des données, avant la mise en ligne d'une première publique destinée aux utilisateurs. C'est l'essence-même de Diaspora, financé avant sa création, que de faire participer le public et les "hackers" à sa fabrication. C'est l'absence de failles dans la première version du code qui aurait été surprenante.

On ne peut pas critiquer Diaspora sans prendre en compte la spécificité de son développement et sa génèse. Mais il y a peut-être plus inquiétant à terme que la présence de failles sur un code source qui n'en est même pas encore au stade de version alpha. La société commerciale Diaspora Inc. créée pour développer et éditer le service demande en effet aux développeurs qui participent au projet officiel de signer un "accord du contributeur" qui lui donne tout pouvoir sur le code source, y compris celui de publier une version de Diaspora sous licence propriétaire. Selon Bradley Kuhn, ancien directeur exécutif de la Free Software Foundation (FSF) qui se montre très méfiant envers Diaspora, l'équipe songerait à abandonner la licence AGPL v3 utilisée actuellement.

Certes, l'accord oblige Diaspora Inc. à publier toute modification d'un contributeur sous licence libre si la société choisit de l'utiliser dans une version propriétaire. Mais le risque est surtout de voir un jour Diaspora développer une version propriétaire après avoir profité des dons en argent et en code source de sa communauté pour établir sa notoriété. Des fonctionnalités pourraient alors être ajoutées sans que les versions open-source y aient accès.

Bradley Khun appelle donc la communauté à créer immédiatement un projet parallèle à Diaspora, en reprenant comme base le code source publié, mais sans l'accord de contributeur. D'autres ont déjà arrêté de soutenir Diaspora, et demandent à ce que l'attention soit portée vers GNU Social, le réseau social officiel de la FSF.

Publié par Guillaume Champeau, le 20 Septembre 2010 à 13h11
 
35
Commentaires à propos de «Diaspora truffé de failles de sécurité. Oui, et alors ? Il y a pire»
Inscrit le 10/04/2009
137 messages publiés
Ca craint du boudin et le pire c'est que la phase de communauté n'est pas encore commencé.

Ca serait un gros buzz, profitant de la peur des gens sur leur vie privée sur Facebook, pour accumuler du fric, ça ne m'étonne guère...
De l'open source avec des contributeurs bénévoles, et dans 2 ans quand le projet est mur, on le vend comme un produit final et fermé. Du Oracle en gros.
Inscrit le 26/08/2010
751 messages publiés
Franchement, il y a des fois où les mecs du soi-disant libre m'étonnent toujours.
Finalement, une entreprise en face, c'est parfois mieux, non ? Les règles sont claires et si jamais il y un litige, tu sais à qui t'adresser.
Inscrit le 28/11/2008
3151 messages publiés
malaga: ça dépend du point de vue. Si tu veux attaquer en justice pour violation de ton sombre brevet, c'est effectivement mieux d'avoir Facebook au bout du fil plutôt qu'un Stallman.

Toujours est-il que je vais suivre de près comment l'affaire va évoluer, ainsi que les forks qui en naitront.
Inscrit le 13/08/2002
23938 messages publiés
malaga, le 20/09/2010 - 13:33
Franchement, il y a des fois où les mecs du soi-disant libre m'étonnent toujours.
Finalement, une entreprise en face, c'est parfois mieux, non ? Les règles sont claires et si jamais il y un litige, tu sais à qui t'adresser.


C'est le cas aussi avec une fondation comme Mozilla, non ?
Inscrit le 09/02/2009
1796 messages publiés
Comment sortir une version fermée d'un programme GPL si cette version fermée s'appuie sur le même code ?
N'y devrait-il pas y avoir "contamination" de la version proprio par les bouts de code repris ?
Inscrit le 12/10/2009
147 messages publiés
Ca sent l'enfumage de la FSF, ils utilisent partout l'"accord du contributeur" pour permettre par exemple de passer de GPL2 à 3 sans demande d'autorisation; et quand ce sont les autres qui utilisent leurs pratiques ils essayent de faire échouer leur projet ?
Inscrit le 20/08/2010
814 messages publiés
Franchement, il y a des fois où les mecs du soi-disant libre m'étonnent toujours.
Finalement, une entreprise en face, c'est parfois mieux, non ? Les règles sont claires et si jamais il y un litige, tu sais à qui t'adresser.


Toi, on voit clairement de quel côté tu es...
Inscrit le 09/11/2006
34 messages publiés
Très bien. Et alors ? L'équipe fondatrice du projet a publié une première version du code, uniquement destinée aux développeurs, justement pour qu'ils puissent repérer ces failles et améliorer notamment la sécurité des données, avant la mise en ligne d'une première publique destinée aux utilisateurs.


J'aime bien les commentaires de gens qui ne connaissent pas la techno dire : "Oui, le code est pourri, mais c'est Open source, c'est alpha, ça sera corrigé."

Oui, bien sûr. Mais en connaissant la techno, on croirait que le code est écrit par des débutants en Ruby on Rails. Si un jour vous levez des milliers d'euros et vous releasez un projet fumant ça fait sérieux ? Non. La moindre des choses aurait été de faire relire au moins le truc par UN gus connaissant bien la techno avant une release publique, même "super alpha".
Inscrit le 11/03/2009
20 messages publiés
Le plus gros problème n'est pas les failles de sécurité, diaspora est en pré-alpha je le rappelle, mais bien la gestion de la licence finale où la société commerciale semble beaucoup plus obscure.
Oracle n'a jamais produit du code open source, ce n'est pas (et ça ne sera jamais) la politique de la société. Elle est spécialisée dans le rachat de sociétés adverses (peoplesoft, sun ...) pour accroître sa domination.
Inscrit le 22/02/2009
3904 messages publiés
C'est un programme débutant, normal qu'il y ait des failles.

Doit-on se remémorer Windows ou Office ?
Inscrit le 22/02/2009
3904 messages publiés
Cette idée de fork est très bonne. Ce serait honteux et un exécrable calcul que de profiter du libre comme seule notoriété pour ensuite créer un concurrent de Facenook.

Stupide parce que si Diaspora marche, ce sera justement parce qu'il est libre.
Inscrit le 22/02/2009
3904 messages publiés
Quant à GNU social, pourquoi pas, mais il faudrait qu'il soit multi-langue multi-plateforme... C'est pas encore ça.
Inscrit le 22/02/2009
3904 messages publiés
malaga, le 20/09/2010 - 13:33
Franchement, il y a des fois où les mecs du soi-disant libre m'étonnent toujours.
Finalement, une entreprise en face, c'est parfois mieux, non ? Les règles sont claires et si jamais il y un litige, tu sais à qui t'adresser.

Le gros troll... Il fait un hors-sujet complet pour détourner habillement les appréhensions... Bien joué...
Inscrit le 06/08/2008
484 messages publiés
Vite, un fork... Quelle bande d'idiot quand même... àtre un mauvais développeur, ca peut toujours s'arranger... Il est possible d'apprendre, tout ça... Mais promettre un logiciel open source, recevoir des dons, puis changer les règles du jeu, ca c'est de la véritable bêtise. Et ca s'arrange bien plus rarement. Bref, vite, un fork...
Inscrit le 06/05/2010
142 messages publiés
@slainer68 : quand tu codes un site, tu fais le code CSS avant la structure HTML, peut-être ?...

Il est _tout à fait_ normal de d'abord développer les grosses briques sans penser à tous les blindages de sécurité. C'est l'ordre de progression logique d'un projet. S'il fallait faire des tests poussés après chaque nouveau petit développement, le temps et les coûts de développement de logiciels seraient décuplés (surtout qu'il n'est pas rare qu'une grosse mise à jour crée des régressions dans le code, d'où le fait que l'on fignole tout en une seule fois dans les phases avancées des projets. Il serait ridicule de mettre en place des blindages qui seraient ensuite rendus non fonctionnels suite à un nouveau développement par-dessus...)

Comme le dit Mike Masnick (http://www.techdirt.com/articles/20100916/20592111050/as-expected-expectations-are-way-too-high-on-diaspora.shtml), Diaspora est victime d'un trop gros hype : les gens ont des attentes démesurées et sont déçus alors que le projet est pourtant à un stade tout à fait normal pour une version pré-alpha.
Inscrit le 30/03/2010
938 messages publiés
Topinambour, le 20/09/2010 - 13:57
C'est l'ordre de progression logique d'un projet. S'il fallait faire des tests poussés après chaque nouveau petit développement, le temps et les coûts de développement de logiciels seraient décuplés (surtout qu'il n'est pas rare qu'une grosse mise à jour crée des régressions dans le code, d'où le fait que l'on fignole tout en une seule fois dans les phases avancées des projets. Il serait ridicule de mettre en place des blindages qui seraient ensuite rendus non fonctionnels suite à un nouveau développement par-dessus...)


Non. C'est l'ordre de progression d'un logiciel non critique destiné à des utilisateurs pas exigeants.

Je peux te garantir que les softs sur lesquels je bosse, changer simplement un message d'erreur enclenche un process de validation qui dure entre 6 mois et un an.
Apres, y'a un cout, c'est vrai ... perso, j'aime bien que les softs qui marchent sur les systemes d'un avion soient testés avant d'etre livrés au public

Pour en revenir au sujet, ca ne m'étonne pas. Y'a de l'argent a se faire, donc il y a des requins. L'internet libre est mort sous les coups de boutoir des commerciaux de l'internet 2.0 depuis déja quelques années...
Inscrit le 16/03/2009
986 messages publiés
Encore une violation du droit d'auteur, Diaspora a piqué la photo du Larousse.
Inscrit le 11/10/2007
815 messages publiés
Il y a d'autres alternatives :
http://translate.goo...ojectComparison

Essayez lorea
Inscrit le 10/10/2009
281 messages publiés
Bah il y a des enfoirés partout
Mais la on le sait dès le départ
Donc FORKPORA
Et bien sur il faut dire au donateurs de demander a récupérer leur don pour le donner a une vrai structure qui dans ses statuts ne pourras pas devenir une entreprise, que les projets ne pourront pas devenir propriétaire, que les participant s'engagent a ne pas faire concurrence sur un projet similaire propriétaire, etc !
Inscrit le 10/08/2010
6 messages publiés
Inscrit le 10/10/2009
281 messages publiés
Pantoufle, le 20/09/2010 - 14:39
Allons tous sur MOVIM : http://dev.movim.eu/

Heuuuu t'a pas plus explicite ?
c'est aussi le souci du libre ... pas accessible à la Famille Michu
Inscrit le 10/10/2009
281 messages publiés
croustibat, le 20/09/2010 - 14:09
Topinambour, le 20/09/2010 - 13:57
C'est l'ordre de progression logique d'un projet. S'il fallait faire des tests poussés après chaque nouveau petit développement, le temps et les coûts de développement de logiciels seraient décuplés (surtout qu'il n'est pas rare qu'une grosse mise à jour crée des régressions dans le code, d'où le fait que l'on fignole tout en une seule fois dans les phases avancées des projets. Il serait ridicule de mettre en place des blindages qui seraient ensuite rendus non fonctionnels suite à un nouveau développement par-dessus...)


Non. C'est l'ordre de progression d'un logiciel non critique destiné à des utilisateurs pas exigeants.

Je peux te garantir que les softs sur lesquels je bosse, changer simplement un message d'erreur enclenche un process de validation qui dure entre 6 mois et un an.
Apres, y'a un cout, c'est vrai ... perso, j'aime bien que les softs qui marchent sur les systemes d'un avion soient testés avant d'etre livrés au public

Pour en revenir au sujet, ca ne m'étonne pas. Y'a de l'argent a se faire, donc il y a des requins. L'internet libre est mort sous les coups de boutoir des commerciaux de l'internet 2.0 depuis déja quelques années...


Ni né ni mort
mal foutu dès le départ ... alors qu'il est possible de faire bien organisé ... mais quand on propose de le faire, que ce soit très rentable mais que les bénéfices n'aillent pas dans les poches d'actionnaires ... y a plus personne pour se bouger le cul !
La liberté ne veux pas forcément dire bordel ... sauf que pour le moment c'est le bordel d'ego surdimensionnés !
Inscrit le 10/07/2008
2615 messages publiés
Le web est devenu une monstrueuse usine à gaz impossible à sécuriser, tant du côté serveur que du côté client. Je n'ai plus aucune confiance dans les applications web.
Inscrit le 23/07/2009
265 messages publiés
Diaspora ne marchera probablement jamais.
Tout simplement parce que la base des utilisateurs ne dépassera probablement jamais le coeur "geek". Facebook marche parce qu'il y a du monde, non pas parce que c'est sympa.
Inscrit le 11/10/2007
815 messages publiés
@BenjaminG 39000 album sur jamendo c'est sur ca ne marche pas hein ?

8% de part de marché pour linux chez les particulier ( 70% dans les serveur web, et 100% des superordinateur ) c'est sur c'est fait qu pour les geeks !

Essayez Lorea, fait par des experts en sécurité .
Inscrit le 17/03/2006
767 messages publiés
Je comprends pas trop le buzz fait autour de diaspora. En cherchant un peu des réseau sociaux libre, y en a une bonne dizaine.
Certes dans celui-la, les données sont décentralisées, et alors....
Mme Michu quand elle va sur facebook, s'en fiche complètement que les données soient sur un seul serveur ou réparties dans les ordinateurs de tout les utilisateurs.
Ce qu'elle veut c'est pouvoir jouer a farmville ou envoyer des messages à ses amis et suivre leur actualité.

Donc pour moi Diaspora n'est pas un projet qui ira bien loin de toute façon...
Inscrit le 02/09/2010
201 messages publiés
Tiens, c'est nouveau ça.
àa n'a jamais été fait avant et ils devraient le breveter.
Comment lever des fonds gratos sur un projet "libre" puis ensuite s'en servir pour fonder sa propre boîte sans avoir à rembourser les banques...
Astucieux.
Inscrit le 26/10/2009
26 messages publiés
je publie un CMS en GPL qui permet de communiquer entre les sites (et entre les hubs d'un même site), je n'ai fais appel à aucune subvention et pour résoudre le problème de la programmation publique, il a fallut créer un langage simplifié. il a fallu quelque années (6 ans), c'est pour ça que j'étais surpris quand ils prétendaient faire ça pour le 1 juillet 2010! (c'était logique de devoir faire ça pour produire un système communiquant).

j'ai fini par comprendre ceci :
Oui, il faut décentraliser l'endroit où sont stockées les données, vidéos, blogs, trucs persos, ou au moins proposer une location même gratuite sur un serveur où l'utilisateur est lui-même responsable de ce qu'il produit. Mais pour être lu et vu, il faut pourtant que les données soient centralisées, c'est de là que vient le dilemme. Car si on centralise, alors on obtient les abus de pouvoir (légitimes ou pas) de ces hébergeur-prestataires de logiciel.

La solution est la même que pour la sociométrie : en sociométrie on doit avoir le maximum d'info sur tout le monde, mais on n'a aucun besoin que ces infos soient nominatives. Donc c'est pas Bigbrother qu'il faut craindre, c'est la non- non-nominativité des données ! (les données doivent toujours être non nominatives, c'est une question d'éthique).

Pareil pour les réseaux sociaux : on a besoin que les index soient centralisés, multi-centralisés et re-centralisés, mais aucunement que les données le soient directement. C'est pourquoi le XML est très important, il permet la communication des index des données, qui disent "telle vidéo est ici" "tel article est là"... et "telle chose existe qui pourrait vous intéresser, grâce à la concordance des relationnements possibles à faire".

Le logiciel communautaire (facebouc, google video) doit pouvoir obtenir et même lire ces données depuis des serveurs distants et propriétaires, sans pour autant les stocker (et donc être obligés de les censurer, y compris quand c'est très important à diffuser ! - mais c'est juste une remarque en passant)

En conclusion le révolution qui doit avoir lieu doit être un protocole de transfert (comme RSS est un protocole de XML) qui serve à centraliser les données (type de contenu, auteur, date, localisation, sujet, tags, pays, etc...). Et ensuite, les CMS existants devront âtre capables de faire se ballader ces flux de façon à ce que, dans l'idéal, les sites web, blogs, micro-réseaux sociaux, puissent obtenir et diffuser les données qui les intéressent.

Cela est très important, imaginez les applications, par exemple en ce qui concerne l'emploi, ou le commerce, on pourrait immédiatement trouver ce qu'on cherche en connaissant et utilisant un protocole, qui se passerait des moteurs de recherches, et qui trouverait à l'autre bout du web les données qu'on suppose existantes ou dont on pourrait avoir besoin. ça s'appelle l'organisation, et le moyen de l'obtenir, ce sont les protocoles, pas les logiciels.

pub : http://philum.net CMS GNU/GPLv3
Inscrit le 16/03/2009
335 messages publiés
Hohoooo... L'article aurait-il été écrit pour critiquer celui de Clubic ?
Inscrit le 10/07/2008
2615 messages publiés
8119, le 20/09/2010 - 18:30
imaginez les applications, par exemple en ce qui concerne l'emploi, ou le commerce, on pourrait immédiatement trouver ce qu'on cherche en connaissant et utilisant un protocole, qui se passerait des moteurs de recherches, et qui trouverait à l'autre bout du web les données qu'on suppose existantes ou dont on pourrait avoir besoin. ça s'appelle l'organisation, et le moyen de l'obtenir, ce sont les protocoles, pas les logiciels.

Bravo. Vous venez de réinventer plus ou moins le web sémantique. Sauf que les producteurs d'informations ne veulent pas lâcher leurs données et insistent pour les emballer dans des pages pleines de gris-gris desinées par des communiquants. Dans deux ou trois siècles, nous avons peut-être une chance qu'ils comprennent que le web n'est pas un magazine sur papier glacé pour salle d'attente de dentiste.
Inscrit le 15/09/2008
1494 messages publiés
Inscrit le 15/09/2008
1494 messages publiés
speedy38, le 20/09/2010 - 18:21
Tiens, c'est nouveau ça.
àa n'a jamais été fait avant et ils devraient le breveter.
Comment lever des fonds gratos sur un projet "libre" puis ensuite s'en servir pour fonder sa propre boîte sans avoir à rembourser les banques...
Astucieux.


Merci la crédulité des gens.
Inscrit le 21/05/2010
211 messages publiés
Ce serait un peu couillon comme attitude, non ? Se mettre délibérément la communauté du libre à dos, c'est pas très intelligent.

Ce qui m'embête c'est qu'on va voir naitre des forks, et des forks de forks etc... et que ça ne va pas avancer !
C'est le seul truc qui me gonfle dans le libre : la possibilité de partir dans tout les sens sans arriver nulle part.
Inscrit le 17/01/2006
3423 messages publiés
astragor, le 20/09/2010 - 18:13
Je comprends pas trop le buzz fait autour de diaspora. En cherchant un peu des réseau sociaux libre, y en a une bonne dizaine.
Certes dans celui-la, les données sont décentralisées, et alors....
Mme Michu quand elle va sur facebook, s'en fiche complètement que les données soient sur un seul serveur ou réparties dans les ordinateurs de tout les utilisateurs.
Ce qu'elle veut c'est pouvoir jouer a farmville ou envoyer des messages à ses amis et suivre leur actualité.

Donc pour moi Diaspora n'est pas un projet qui ira bien loin de toute façon...


Justement : tout l'intérêt de Diaspora, paradoxalement, c'est son buzz... le but c'est d'avoir un nouveau réseau social, libre, décentralisé et respectueux de la vie privée...

L'utilisateur lambda s'en branle ? Certes, mais pas le geek.

Or l'intérêt c'est que le buzz qui a lieu autour de Diaspora pourrait peut-être (c'est pas gagné mais quand-même) permettre à Diaspora de s'étendre un tout petit peu plus qu'autour d'une poignée de geeks barbus.

Un réseau social n'a d'intérêt que s'il permet d'être en contact avec son entourage, même non-geek. Ce que pour l'instant, aucun clône libre de facebook ne laisse espérer. Diaspora a une petite chance. En plus d'avoir un concept (le p2p) top.

Il serait vraiment dommage que les créateurs de Diaspora gâchent un si bon projet avec une politique foireuse.
Inscrit le 26/10/2009
26 messages publiés
/dev/tty, le 20/09/2010 - 18:57
8119, le 20/09/2010 - 18:30
imaginez les applications, par exemple en ce qui concerne l'emploi, ou le commerce, on pourrait immédiatement trouver ce qu'on cherche en connaissant et utilisant un protocole, qui se passerait des moteurs de recherches, et qui trouverait à l'autre bout du web les données qu'on suppose existantes ou dont on pourrait avoir besoin. ça s'appelle l'organisation, et le moyen de l'obtenir, ce sont les protocoles, pas les logiciels.

Bravo. Vous venez de réinventer plus ou moins le web sémantique. Sauf que les producteurs d'informations ne veulent pas lâcher leurs données et insistent pour les emballer dans des pages pleines de gris-gris desinées par des communiquants. Dans deux ou trois siècles, nous avons peut-être une chance qu'ils comprennent que le web n'est pas un magazine sur papier glacé pour salle d'attente de dentiste.


Merci!
J'en parlais avec le défunt Francis Muguet, il était tout-à-fait d'accord avec ça, et pour lui de nombreux protocoles existants étaient encore non utilisés. c'était aussi l'espoir des créateurs du XML, que j'ai rencontré il y a 10 ans, et qui pensaient que tout le web serait rendu à ce format d'ici aujourd'hui. Si Diaspora met au point un protocole novateur, tous les CMS existants l'adopteront.

Mais c'est certain que ces protocole apparaîtront, un jour ou l'autre, et au détriment des réticences de toutes natures (surtout commerciales), d'autant qu'aucune donnée qui s'affiche sur un écran est impossible à dupliquer.
En attendant tout à chacun peut fabriquer des systèmes d'échanges facilement en XML.
Répondre

Tous les champs doivent être remplis.

OU

Tous les champs doivent être remplis.

FORUMS DE NUMERAMA
Poser une question / Créer un sujet
vous pouvez aussi répondre ;-)
Numerama sur les réseaux sociaux
Septembre 2010
 
Lu Ma Me Je Ve Sa Di
30 31 1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 1 2 3
4 5 6 7 8 9 10