10:36 <Mindiell> vstinner: videoooos ? viiideoooos ?
10:36 <Mindiell> ;o)
10:47 <No`> j'abonde
10:50 <Mindiell> :D
11:01 <vstinner> Mindiell: hein ? quoi ? ah oui tiens
11:01 <vstinner> Mindiell: peux-tu m'envoyer un courriel à victor.stinner@gmail.com pour m'y faire penser stp ? c'est ma TODO list :-)
11:06 <Mindiell> :D
11:07 <Mindiell> vstinner: si on peut aider, encore une fois, n'hesitte pas ;o)
15:46 <mdk> Bon, framasoft ferme son ttrss, ça vous dit que l'AFPy monte un TTRSS ? :]
15:49 <blusky> comment ca se fait qu'ils ferment ?
15:50 <mdk> blusky: ils déframasoftisent internet
15:50 <mdk> https://framablog.org/2019/09/24/deframasoftisons-internet/
15:50 <blusky> dans cet optique, vaudrait mieux pas avoir son ttrss par personne ?
15:51 <blusky> (plutot que l'afpy heberge un ttrss public)
15:55 <entwanne> Le modèle idéal c'est pas spécialement une instance par utilisateur, faut juste des communautés pas trop grosses où tu gardes le contrôle sur tes données
15:56 <misc> je suis pas sur de voir le coté communautaire de ttrss
15:56 <misc> (mais bon, j'utilise aussi un client lourd)
15:58 <blusky> le coté communautaire est plutot d'avoir pas un grosse instance mais mutualiser l'instance j'imagine ?
15:58 <blusky> mais en effet, ttrss n'est pas un gros truc à gérer
15:58 <blusky> surtout que c'est full php
15:58 <blusky> facilement hebergeable
15:59 <blusky> faut juste le maintenir, ce que beaucoup ne fait pas
15:59 <blusky> alors que des vuln de sécu arrivent de temps en temps
15:59 <misc> bah, quel genre de vuln aussi ?
16:00 <misc> parce que bon, y a pas des masses d'info personnels de valeurs
16:00 <blusky> c'est pas ca le soucis
16:00 <misc> "oula, vstinner va lire 'python daily', j'aurais jamais deviner"
16:00 <blusky> une XSS peut mettre à mal une appli hebergé sur le meme hostname, et une SQLi des données sur la même base
16:01 <blusky> (voir faire de la RCE si c'est sur un DBMS avancé)
16:01 <misc> ouais, le pire peut arriver
16:01 <misc> mais bon, en pratique, bah, ça arrive pas
16:01 <blusky> says who ?
16:01 <misc> moi
16:01 <blusky> en pratique, bien sur que ca arrive
16:01 <blusky> spas par ce que tu le vois pas que ca arrive pas
16:01 <misc> ça t'es deja arrivé ?
16:02 <blusky> je l'ai vu plus d'une centaine de fois, mais je suis peut etre biaisé
16:02 <misc> parce que le président de framasoft avait juste trouvé des dizaines de XSS sur l'infra
16:02 <misc> et que je sache, ben ils ont pas prevenu grand monde pour dire "il y a eu des attaques". Soit ça n'a pas été vérifié, soit ça n'a pas été exploité
16:03 <mdk> misc: j'avais trouvé une injection SQL depuis une URL non loggée sur ttrss y'a ~3 ans
16:03 <misc> j'ai trouvé des trucs pour passer root sur l'infra Fedora qui trainait en plein jour, pareil, personne n'a utilisé ça
16:03 <blusky> non mais osef de ce que le président de framasoft dit. Faut updater ses applications qui sont ouverte sur Internet
16:03 <misc> mdk: oui, et tu as fait quoi avec ?
16:03 <mdk> misc: prévenu l'auteur avec un patch
16:04 <misc> mdk: ouais, comme la plupart des gens je suppose
16:04 <mdk> et obtenu une place sur le ttrss de framasoft en échange du patch en avance :p
16:04 <misc> des XSS (ou du SQLi), j'ai trouvé ça à la pelle dans les applis du taf
16:04 <mdk> (les inscriptions était "fermées", j'me suis dis "j'vais bien trouver une faille et me faire un compte quand même", mais je n'ai finalement pas exploité la faille, j'ai juste eu le compte)
16:05 <misc> et pourtant, bah, rien n'est arrivé comparativement au nombre de soucis, donc bon, ouais, je relativise quand même pas mal le fait que ça soit tellement un probléme
16:06 <misc> et pourtant, j'ai deja trouvé des serveurs non à jour, genre jenkins de test, qui s'est fait powné
16:06 <misc> bah, y a eu un cryptominer qui tournait, et c'est tout
16:18 <vstinner> misc: c'est quoi python daily ?
16:22 <misc> vstinner: une blague
16:54 <debnet> Bonsoir les gens. :)
17:05 <mdk> debnet: o/
17:05 <debnet> @mdk o/