[Aide] [SÉCURITÉ]Si vous avez des sites sous Drupal alerte rouge

Peko papa.papa.echo at gmail.com
Sat Nov 1 14:54:59 CET 2014


1. Je n'ai pas pour objectif de défendre Drupal ou pas.

Les remarques que tu as formulés sont
d'une part très contestables,
d'autre part non spécifiques à Drupal.


2. > A force de tous utiliser les mêmes choses de tout concentrer
voilà ce qui arrive.

2.1 > A force de tous utiliser les mêmes choses

Et alors? Si tout le monde utilise Android, ou Linux, est-ce mal?

Là n'est vraiment pas le problème.

Si les précautions sont prises, et si les systèmes sont administrés
correctement, il n'y a pas de problème.

En tant qu'utilisateurs, nous n'allons pas utiliser des systèmes peu
répandus juste pour te faire plaisir.

Un système très répandu, cela veut effectivement dire qu'il peut être
la cible de nombreuses attaques, mais qu'aussi potentiellement de
nombreuses ressources, solutions seront disponibles pour se protéger.

Donc la diffusion n'est pas la cause de l'insécurité. C'est
éventuellement la qualité de la conception du système considéré.



2.2. > de tout concentrer voilà ce qui arrive.

Que veut dire "tout concentrer" dans tes paroles?

Que proposes-tu? Et si Drupal correspond aux besoins (coûts, qualité,
délais) des utilisateurs, pourquoi aller chercher moins bien?
Si tu veux mettre en avant une autre solution, commence par démontrer
la supériorité de ta proposition de manière argumentée. Drupal n'est
peut-être pas le meilleur choix. A toi de le démontrer.

Si tu n'as pas d'autre solution à proposer, à quoi bon critiquer la solution?



3.  > Donc soit le soft dispose d'un mécanisme pour rechercher ses
mises à jour comme piwik par exemple (et il ne me semble pas que
drupal en dispose)

Mauvaise pioche. Drupal dispose d'un outil d'administration qui
informe des problèmes de sécurité et des mises à jour disponibles.
Avant de critiquer, on se renseigne. Du coup, la crédibilité de tes
critiques sur la qualité de Drupal en prend un coup, si tu n'es même
pas capable de trouver cette information.



4. > Et sur 12 millions de sites installés je ne pense pas que tous
les administrateurs aient cette rigueur.

Oui, le problème éventuel, c'est l'administrateur. Donc tes remarques
devraient éventuellement contre les administrateurs.


5. > Moi qui suis pas mal les problèmes de sécurité je n'avais pas vu l'info,
Voir mon point 3.


6. > Et puis quand on est dans une petite structure où il n'y a pas
forcément d'autre admin, il suffit d'être cloué au lit par un grippe
pendant 10 jours pour que les choses tournent mal.

Donc le problème est organisationnel et humain. Ce n'est pas le fait du système.


7 > Après je suis d'accord que mon jugement sur Drupal n'avait
peut-être pas à figurer sur ce mail.
Oui.


8. Ce n'est pas la seule usine à gaz en circulation.

Encore une affirmation non étayée. Et ton opinion est quelque peu
décrébilisée. Voir point 3.


9. > Simplement je m'étonne face à la multitude de CMS existants de
cet engouement pour Drupal.

S'étonner est une chose, critiquer sans savoir en est une autre.
Il semble effectivement productif que tu te renseignes mieux sur ce
qui fait le succès de Drupal.


10. > Mais on pourrait dire la même chose de WordPress, une faille
dans ce logiciel serait aussi catastrophique car il semble avoir une
position quasi hégémonique sur les sites de presse en ligne et de
gestion de contenu.

Wordpress a déjà eu des failles, comme tout "système" (logiciel)
informatique, renseigne-toi mieux.
exemple: http://wpformation.com/wordpress-faille-securite/

Tout comme WindowsXP, comme des logiciels Linux, Bash, OpenSSH, tous
ont eu et auront des failles.

La sécurité informatique ne se base pas sur le fait que le logiciel
n'aura jamais aucune faille, c'est même exactement l'inverse.


11. > Concentration des serveurs, concentration sur certains soft sont
des dangers potentiels.

Affirmation gratuite.

Je préfère utiliser un dataCenter géré par des AdminSys pointus,
super-équipés en matériels (réseau) et logiciels de protection
qu'héberger chez moi.

Car quelle est l'autre option? Héberger chez soi? As-tu le résultat
des audits de sécurité des sites Web/FTP/NAS gérés à la maison par des
non-professionnels de l'information?


12. > Donc excusez-moi pour le ton du message mais il n'en reste pas
moins que le problème existe.

Le problème n'est pas le ton, la forme, mais bien le fond de ton message.


13. > Si tout le monde sur la liste me dit qu'il savait déjà et
qu'aucun n'a découvert l'info par mon mail j'accepterai de manger mon
chapeau, ou plutôt ma spirale... (je n'ai pas de chapeau rouge, juste
une spirale Debian).

Puisqu'on parle Debian, programmer sur son système correctement les
mises à jour de sécurité et les faire effectivement, et faire des
backups corrects, cela serait l'exemple à donner. (Ooops.. Tiens je
dois faire mes backups. ;-) )



Ceci est une discussion franche, sincère et respectueuse. Je discute
des arguments, et je ne dénigre personne.
J'ai réagi parce que tu dénigrais sans étayer.


a) Je ne t'en veut pas personnellement, mais lorsqu'on affirme des
choses, il faut pouvoir les soutenir, ou alors reconnaître ses
erreurs.

b) L'art de plaider, d'argumenter, c'est l'art de se taire (selon un
vieil avocat).
Plus on en dit, plus on tend le bâton pour se faire battre. (et comme
j'ai été très long, je risque gros !!! XD )

--P


More information about the Aide mailing list