|
|
Diaspora truffé de failles de sécurité. Oui, et alors ? Il y a pire
Guillaume Champeau -
publié le Lundi 20 Septembre 2010 à 13h11 -
posté dans High-Tech
 Des développeurs ont mis à jour des failles de sécurité dans la première version de Diaspora diffusée la semaine dernière. Mais elles sont normales à ce stade de développement. En revanche, l'accord que doivent signer les contributeurs pour participer au projet laisse craindre une trahison de la communauté qui avait donné plus de 125 000 dollars pour sa création.
Très bien. Et alors ? L'équipe fondatrice du projet a publié une première version du code, uniquement destinée aux développeurs, justement pour qu'ils puissent repérer ces failles et améliorer notamment la sécurité des données, avant la mise en ligne d'une première publique destinée aux utilisateurs. C'est l'essence-même de Diaspora, financé avant sa création, que de faire participer le public et les "hackers" à sa fabrication. C'est l'absence de failles dans la première version du code qui aurait été surprenante. On ne peut pas critiquer Diaspora sans prendre en compte la spécificité de son développement et sa génèse. Mais il y a peut-être plus inquiétant à terme que la présence de failles sur un code source qui n'en est même pas encore au stade de version alpha. La société commerciale Diaspora Inc. créée pour développer et éditer le service demande en effet aux développeurs qui participent au projet officiel de signer un "accord du contributeur" qui lui donne tout pouvoir sur le code source, y compris celui de publier une version de Diaspora sous licence propriétaire. Selon Bradley Kuhn, ancien directeur exécutif de la Free Software Foundation (FSF) qui se montre très méfiant envers Diaspora, l'équipe songerait à abandonner la licence AGPL v3 utilisée actuellement. Certes, l'accord oblige Diaspora Inc. à publier toute modification d'un contributeur sous licence libre si la société choisit de l'utiliser dans une version propriétaire. Mais le risque est surtout de voir un jour Diaspora développer une version propriétaire après avoir profité des dons en argent et en code source de sa communauté pour établir sa notoriété. Des fonctionnalités pourraient alors être ajoutées sans que les versions open-source y aient accès. Bradley Khun appelle donc la communauté à créer immédiatement un projet parallèle à Diaspora, en reprenant comme base le code source publié, mais sans l'accord de contributeur. D'autres ont déjà arrêté de soutenir Diaspora, et demandent à ce que l'attention soit portée vers GNU Social, le réseau social officiel de la FSF. à lire aussi
  Prix indiqués avec livraison
35
Commentaires à propos de «Diaspora truffé de failles de sécurité. Oui, et alors ? Il y a pire»
 croustibat, le 20/09/2010 - 14:09 Topinambour, le 20/09/2010 - 13:57 C'est l'ordre de progression logique d'un projet. S'il fallait faire des tests poussés après chaque nouveau petit développement, le temps et les coûts de développement de logiciels seraient décuplés (surtout qu'il n'est pas rare qu'une grosse mise à jour crée des régressions dans le code, d'où le fait que l'on fignole tout en une seule fois dans les phases avancées des projets. Il serait ridicule de mettre en place des blindages qui seraient ensuite rendus non fonctionnels suite à un nouveau développement par-dessus...)Non. C'est l'ordre de progression d'un logiciel non critique destiné à des utilisateurs pas exigeants. Je peux te garantir que les softs sur lesquels je bosse, changer simplement un message d'erreur enclenche un process de validation qui dure entre 6 mois et un an. Apres, y'a un cout, c'est vrai ... perso, j'aime bien que les softs qui marchent sur les systemes d'un avion soient testés avant d'etre livrés au public  Pour en revenir au sujet, ca ne m'étonne pas. Y'a de l'argent a se faire, donc il y a des requins. L'internet libre est mort sous les coups de boutoir des commerciaux de l'internet 2.0 depuis déja quelques années... Ni né ni mort mal foutu dès le départ ... alors qu'il est possible de faire bien organisé ... mais quand on propose de le faire, que ce soit très rentable mais que les bénéfices n'aillent pas dans les poches d'actionnaires ... y a plus personne pour se bouger le cul ! La liberté ne veux pas forcément dire bordel ... sauf que pour le moment c'est le bordel d'ego surdimensionnés !  Le web est devenu une monstrueuse usine à gaz impossible à sécuriser, tant du côté serveur que du côté client. Je n'ai plus aucune confiance dans les applications web.
 Diaspora ne marchera probablement jamais.
Tout simplement parce que la base des utilisateurs ne dépassera probablement jamais le coeur "geek". Facebook marche parce qu'il y a du monde, non pas parce que c'est sympa. @BenjaminG 39000 album sur jamendo c'est sur ca ne marche pas hein ?
8% de part de marché pour linux chez les particulier ( 70% dans les serveur web, et 100% des superordinateur ) c'est sur c'est fait qu pour les geeks ! Essayez Lorea, fait par des experts en sécurité .  Je comprends pas trop le buzz fait autour de diaspora. En cherchant un peu des réseau sociaux libre, y en a une bonne dizaine.
Certes dans celui-la, les données sont décentralisées, et alors.... Mme Michu quand elle va sur facebook, s'en fiche complètement que les données soient sur un seul serveur ou réparties dans les ordinateurs de tout les utilisateurs. Ce qu'elle veut c'est pouvoir jouer a farmville ou envoyer des messages à ses amis et suivre leur actualité. Donc pour moi Diaspora n'est pas un projet qui ira bien loin de toute façon...  Tiens, c'est nouveau ça.
àa n'a jamais été fait avant et ils devraient le breveter. Comment lever des fonds gratos sur un projet "libre" puis ensuite s'en servir pour fonder sa propre boîte sans avoir à rembourser les banques... Astucieux.  je publie un CMS en GPL qui permet de communiquer entre les sites (et entre les hubs d'un même site), je n'ai fais appel à aucune subvention et pour résoudre le problème de la programmation publique, il a fallut créer un langage simplifié. il a fallu quelque années (6 ans), c'est pour ça que j'étais surpris quand ils prétendaient faire ça pour le 1 juillet 2010! (c'était logique de devoir faire ça pour produire un système communiquant).
j'ai fini par comprendre ceci : Oui, il faut décentraliser l'endroit où sont stockées les données, vidéos, blogs, trucs persos, ou au moins proposer une location même gratuite sur un serveur où l'utilisateur est lui-même responsable de ce qu'il produit. Mais pour être lu et vu, il faut pourtant que les données soient centralisées, c'est de là que vient le dilemme. Car si on centralise, alors on obtient les abus de pouvoir (légitimes ou pas) de ces hébergeur-prestataires de logiciel. La solution est la même que pour la sociométrie : en sociométrie on doit avoir le maximum d'info sur tout le monde, mais on n'a aucun besoin que ces infos soient nominatives. Donc c'est pas Bigbrother qu'il faut craindre, c'est la non- non-nominativité des données ! (les données doivent toujours être non nominatives, c'est une question d'éthique). Pareil pour les réseaux sociaux : on a besoin que les index soient centralisés, multi-centralisés et re-centralisés, mais aucunement que les données le soient directement. C'est pourquoi le XML est très important, il permet la communication des index des données, qui disent "telle vidéo est ici" "tel article est là"... et "telle chose existe qui pourrait vous intéresser, grâce à la concordance des relationnements possibles à faire". Le logiciel communautaire (facebouc, google video) doit pouvoir obtenir et même lire ces données depuis des serveurs distants et propriétaires, sans pour autant les stocker (et donc être obligés de les censurer, y compris quand c'est très important à diffuser ! - mais c'est juste une remarque en passant) En conclusion le révolution qui doit avoir lieu doit être un protocole de transfert (comme RSS est un protocole de XML) qui serve à centraliser les données (type de contenu, auteur, date, localisation, sujet, tags, pays, etc...). Et ensuite, les CMS existants devront âtre capables de faire se ballader ces flux de façon à ce que, dans l'idéal, les sites web, blogs, micro-réseaux sociaux, puissent obtenir et diffuser les données qui les intéressent. Cela est très important, imaginez les applications, par exemple en ce qui concerne l'emploi, ou le commerce, on pourrait immédiatement trouver ce qu'on cherche en connaissant et utilisant un protocole, qui se passerait des moteurs de recherches, et qui trouverait à l'autre bout du web les données qu'on suppose existantes ou dont on pourrait avoir besoin. ça s'appelle l'organisation, et le moyen de l'obtenir, ce sont les protocoles, pas les logiciels. pub : http://philum.net CMS GNU/GPLv3 8119, le 20/09/2010 - 18:30 imaginez les applications, par exemple en ce qui concerne l'emploi, ou le commerce, on pourrait immédiatement trouver ce qu'on cherche en connaissant et utilisant un protocole, qui se passerait des moteurs de recherches, et qui trouverait à l'autre bout du web les données qu'on suppose existantes ou dont on pourrait avoir besoin. ça s'appelle l'organisation, et le moyen de l'obtenir, ce sont les protocoles, pas les logiciels. speedy38, le 20/09/2010 - 18:21 Tiens, c'est nouveau ça. àa n'a jamais été fait avant et ils devraient le breveter. Comment lever des fonds gratos sur un projet "libre" puis ensuite s'en servir pour fonder sa propre boîte sans avoir à rembourser les banques... Astucieux. Merci la crédulité des gens.  Ce serait un peu couillon comme attitude, non ? Se mettre délibérément la communauté du libre à dos, c'est pas très intelligent.
Ce qui m'embête c'est qu'on va voir naitre des forks, et des forks de forks etc... et que ça ne va pas avancer ! C'est le seul truc qui me gonfle dans le libre : la possibilité de partir dans tout les sens sans arriver nulle part.  astragor, le 20/09/2010 - 18:13 Je comprends pas trop le buzz fait autour de diaspora. En cherchant un peu des réseau sociaux libre, y en a une bonne dizaine. Certes dans celui-la, les données sont décentralisées, et alors.... Mme Michu quand elle va sur facebook, s'en fiche complètement que les données soient sur un seul serveur ou réparties dans les ordinateurs de tout les utilisateurs. Ce qu'elle veut c'est pouvoir jouer a farmville ou envoyer des messages à ses amis et suivre leur actualité. Donc pour moi Diaspora n'est pas un projet qui ira bien loin de toute façon... Justement : tout l'intérêt de Diaspora, paradoxalement, c'est son buzz... le but c'est d'avoir un nouveau réseau social, libre, décentralisé et respectueux de la vie privée... L'utilisateur lambda s'en branle ? Certes, mais pas le geek. Or l'intérêt c'est que le buzz qui a lieu autour de Diaspora pourrait peut-être (c'est pas gagné mais quand-même) permettre à Diaspora de s'étendre un tout petit peu plus qu'autour d'une poignée de geeks barbus. Un réseau social n'a d'intérêt que s'il permet d'être en contact avec son entourage, même non-geek. Ce que pour l'instant, aucun clône libre de facebook ne laisse espérer. Diaspora a une petite chance. En plus d'avoir un concept (le p2p) top. Il serait vraiment dommage que les créateurs de Diaspora gâchent un si bon projet avec une politique foireuse. /dev/tty, le 20/09/2010 - 18:57 8119, le 20/09/2010 - 18:30 imaginez les applications, par exemple en ce qui concerne l'emploi, ou le commerce, on pourrait immédiatement trouver ce qu'on cherche en connaissant et utilisant un protocole, qui se passerait des moteurs de recherches, et qui trouverait à l'autre bout du web les données qu'on suppose existantes ou dont on pourrait avoir besoin. ça s'appelle l'organisation, et le moyen de l'obtenir, ce sont les protocoles, pas les logiciels.Merci! J'en parlais avec le défunt Francis Muguet, il était tout-à-fait d'accord avec ça, et pour lui de nombreux protocoles existants étaient encore non utilisés. c'était aussi l'espoir des créateurs du XML, que j'ai rencontré il y a 10 ans, et qui pensaient que tout le web serait rendu à ce format d'ici aujourd'hui. Si Diaspora met au point un protocole novateur, tous les CMS existants l'adopteront. Mais c'est certain que ces protocole apparaîtront, un jour ou l'autre, et au détriment des réticences de toutes natures (surtout commerciales), d'autant qu'aucune donnée qui s'affiche sur un écran est impossible à dupliquer. En attendant tout à chacun peut fabriquer des systèmes d'échanges facilement en XML.
|
A LA UNE
LES + COMMENTÉS
  11 offres à partir de 699 €
 1 offres à partir de 367 €
Télécharger
montage video,
adobe flash player,
redtube video downloader,
ground control,
bittorrent emule islande,
bittorrent emule island,
cryptage emule islande,
windows 8,
Accès rapide :
Personnalisation |
Diagnostic |
eMule (et mods eMule) |
Photo numérique |
Outils Réseau |
Codecs et plugins |
Nettoyeurs |
|
Une partie de la presse se fait l'écho en ce début de semaine des nombreuses failles de sécurité découvertes dans le code source de 
c'est aussi le souci du libre ... pas accessible à la Famille Michu