CHOC 02

graphisme généraliste
sites internet
programmation SPIP


de l’importance de mettre à jour son CMS

Pourquoi faut-il mettre à jour le logiciel utilisé pour gérer votre site internet ?

Pour comprendre les raisons de faire une mise à jour, il faut d’abord savoir un peu comment se fabrique le logiciel en question. Nous prendrons l’exemple d’un CMS libre sous licence GPL, comme il en existe beaucoup aujourd’hui - Wordpress, Joomla, Drupal - ou comme SPIP, au hasard.

Ce logiciel libre :

  • est accessible au téléchargement sans restriction
  • peut être amélioré par n’importe qui en aurait les compétences
  • peut être transformé et redistribué à volonté, sous la seule réserve de préserver la même licence GPL

Pour que ceci soit possible, il existe un serveur officiel où est déposé le logiciel. Il y est accessible au téléchargement et aux modifications. Bien entendu les modifications et améliorations se font en accord avec tous les autres contributeurs. Ce n’est pas tout le temps paisible, les choix se discutent en permanence, mais c’est une bonne manière de faire progresser un travail collaboratif, chaque modification devant être argumentée et expliquée...
Suivant leurs connaissances, les contributeurs participent chacun à des niveaux différents : du simple utilisateur faisant des commentaires sur l’ergonomie ou rapportant un problème d’usage jusqu’au développeur qui résout ce problème ou propose une amélioration.

Chaque version du logiciel représente donc une amélioration technique ou ergonomique... mais pas seulement, et des fois pas du tout.

Quand un tel logiciel existe, quel qu’il soit, et internet étant ce qu’il est, il arrive que des personnes pas très bien intentionnées cherchent à abuser de certaines situations : elles cherchent un peu d’espace sur un serveur qui ne leur appartient pas, peut-être pour faire progresser le référencement d’autres sites, elles utilisent un serveur pour envoyer des spams sans être inquiétées elles-mêmes, ou encore elles affichent en première page leur convictions politiques... qui ne sont pas forcément les vôtres, ou bien vous jugez qu’elles n’ont rien à faire là, en tout cas ça dérange.
Ces "hackers" (ou plutôt "script kiddies") cherchent et finissent par trouver des failles dans les CMS et les utilisent tant qu’elles existent. Si des failles existent depuis toujours, peu importe, du moment que personne ne les connaît. C’est lorsqu’une faille est connue qu’elle devient dangereuse. À partir de ce moment-là, lorsqu’une faille est exploitée, il faut plus ou moins longtemps aux contributeurs de ce logiciel pour mettre au point une parade et publier par la même occasion une nouvelle version du logiciel.
Explications :

  • "plus ou moins longtemps" : il faut tout d’abord des utilisateurs pour prévenir du nouveau problème, et une fois le problème identifié, tout dépend de la communauté de développeurs, de leur investissement et de leurs compétences, mais la solution repose essentiellement sur leurs épaules.
  • du coup, certaines versions du CMS peuvent être liées à une ou plusieurs faille de sécurité.

Voici donc une autre raison de faire une mise à jour, qu’on appelle alors mise à jour de sécurité car elle vient combler une faille.

Et même par la suite, longtemps après, un hacker cherchant un bon coup à faire n’a plus qu’à trouver un site utilisant telle version pour laquelle il veut exploiter la faille qu’il connaît bien, et hop ! Il vous faudra faire un brin de ménage si vous voulez vous en défaire...
La quantité de sites non mis à jour représente donc pour ces gens-là un réservoir de solutions exploitables. Ils attendent seulement d’en avoir besoin.


P.S. : on peut se rendre compte aisément du problème en se rendant sur le site de l’Agence Nationale de la Sécurité des Systèmes d’Information : http://www.cert.ssi.gouv.fr/site/
Cette page est également parlante : http://www.cert.ssi.gouv.fr/site/CERTA-2005-INF-003/index.html

À l’usage des nouveaux propriétaires et des utilisateurs de sites web dynamiques, aux rédacteurs chevronnés ou qui le seront bientôt, qu’ils publient de manière frénétique ou sporadique mais sans trop savoir ce qu’ils font... voici quelques explications élémentaires sur le fonctionnement de leur outil, pour peut-être comprendre ce que vous raconte votre webmaster préféré ou votre hébergeur adoré, ou bien simplement pour savoir ce qu’on fait, c’est déjà pas rien.
À vrai dire vous pouvez très bien vous en passer et continuer à mettre à jour vos sites web... à lire seulement si ça vous tente !

> choc02 > notions et réflexions

libre ? > de l’informatique libre ? <

Alerte aux DRM : comment nous venons de perdre le Web, ce que nous en avons appris , et ce que nous devons faire désormais

mercredi 13 décembre 2017

Par CORY DOCTOROW

L’EFF s’est battue contre les DRM et ses lois depuis une quinzaine d’années, notamment dans les affaires du « broadcast flag » américain, du traité de radiodiffusion des Nations Unies, du standard européen DVB CPCM, du standard EME du W3C, et dans de nombreuses autres escarmouches, batailles et même guerres au fil des années. Forts de cette longue expérience, voici deux choses que nous voulons vous dire à propos des DRM :

1. Tout le monde sait dans les milieux bien informés que la technologie DRM n’est pas pertinente, mais que c’est la loi sur les DRM qui est décisive ;
2. La raison pour laquelle les entreprises veulent des DRM n’a rien à voir avec le droit d’auteur.

Ces deux points viennent d’être démontrés dans un combat désordonné et interminable autour de la standardisation des DRM dans les navigateurs, et comme nous avons consacré beaucoup d’argent et d’énergie à ce combat, nous aimerions retirer des enseignements de ces deux points, et fournir une feuille de route pour les combats à venir contre les DRM.

Photo par Elitatt (CC BY 2.0)

Voir en ligne : sur Framablog

Civic Tech ou Civic Business ? Le numérique ne pourra pas aider la démocratie sans en adopter les fondements

samedi 4 novembre 2017

Le numérique n’est pas démocratique en soi. Sa simple utilisation ne saurait suffire à gérer magiquement les enjeux démocratiques essentiels, bien au contraire. En lui accordant une confiance aveugle, on ouvre la porte à une perte de souveraineté et de contrôle démocratique. Ce n’est pas sans raison que le mouvement « Open Government » mondial a trouvé ses fondements dans la dynamique Open Data et la gouvernance collaborative de l’internet, elles-mêmes forgées au cœur des principes de la transparence démocratique, de la délibération publique et des communautés du logiciel libre. Il ne saurait être acceptable que le passage au numérique de la vie démocratique s’accompagne de la création de monopoles lucratifs dont les rouages seraient cachés du regard de la société. Cette transition numérique doit donc respecter scrupuleusement, et a minima, le niveau de transparence et de souveraineté de notre héritage démocratique.

Voir en ligne : sur le site regardscitoyens.org

Le Manifeste du web indépendant a 20 ans (depuis quelques mois)

jeudi 5 octobre 2017

Le Web indépendant, ce sont ces millions de sites offrant des millions de pages faites de passion, d’opinion, d’information, mises en place par des utilisateurs conscients de leur rôle de citoyens. Le Web indépendant, c’est un lien nouveau entre les individus, une bourse du savoir gratuite, offerte, ouverte ; sans prétention.

http://www.uzine.net/article60.html

Voir en ligne : sur le site uzine.net

Argent public ? Code public !

mercredi 13 septembre 2017

Pourquoi les logiciels financés par l’impôt ne sont pas publiés sous Licence Libre ?

Nous voulons une législation qui requiert que le logiciel financé par le contribuable pour le secteur public soit disponible publiquement sous une licence de Logiciel Libre et Open Source. S’il s’agit d’argent public, le code devrait être également public.

Le code payé par le peuple devrait être disponible pour le peuple !

https://vimeo.com/232524527

Voir en ligne : sur publiccode.eu

Mozilla accepte d’être le tuteur fiscal et légal de Thunderbird

vendredi 12 mai 2017

Pour ce qui concerne son indépendance opérationnelle, il faut entendre par là, la séparation des éléments comme le site web en cours de migration vers thunderbird.net, avec également un hébergement séparé. Les infrastructures devront être également trouvées pour répondre aux besoins des 25 millions d’utilisateurs du client de messagerie. L’équipe de Thunderbird devra également travailler de manière autonome pour assurer les fonctionnalités du client comme les add-ons et bien d’autres choses.

Voir en ligne : sur developpez.com

0 | 5 | 10 | 15 | 20 | 25 | 30 | 35 | 40 | ... | 155

mentions - Plan du site - SPIP -