Skip to main content


 

Qu'est-ce qu'une attaque de type Cross-Site Request Forgery ?

Un cross-site request forgery (CSRF) est une injection de requête(s) illégitime(s) par rebond. Concrètement, pour un attaquant, cela consiste à effectuer des opérations sur un site sans le consentement d’un utilisateur.
L’attaque consiste à provoquer l’envoi de requêtes (par exemple, GET ou POST) par une victime vers un site vulnérable, à son insu et en son nom.
L’envoi des requêtes se fait lorsque la victime visite un site malveillant ou compromis, ou clique sur un lien. L’attaque cible toujours un ou plusieurs sites en particulier qui sont vulnérables.
Le CSRF se fait toujours en aveugle, car l’attaquant provoque l’envoi d’une ou plusieurs requêtes sans obtenir de réponse.

-> Centre Gouvernemental de Veille, d'alerte et de réponse aux attaques in

... show more

Voir ici pour des éléments de réponse sur l'origine possible de ces messages (c'est pas frais mais ça semble coller à ta situation, que j'ai déjà vécue)
https://github.com/diaspora/diaspora/issues/7193
This is quite easy to simulate: open two tabs, wait a day, then come back to your browser. If you reload the first tab, nothing really happens. You've sent an old CSRF token, but the session is valid otherwise, so you just receive a new token and an updated session and you'll be fine. However, if you reload the second tab, you'll make that request using an old, now expired CSRF token and an old session. This could, in theory, be an attack caused by session stealing and diaspora kills the old session, logging you out and sending an email.

Vu tes extensions sur Firefox, tu es a priori bien protégée. Si jamais tu veux encore ajouter une couche, il y a le module Multi-account-container que tu peux paramétrer pour que Diaspora s'ouvre automatiquement dans son container (onglet protégé, en gros). Personnellement j'ai viré Privacy Badger et mis Noscript à la place mais ça se vaut un peu, tout ça...

Les erreurs 404 et 500 sur Framasphère sont liées au fait qu'on a un peu trop d'utilisateurs pour le serveur. Donc, ça rame. Rien de grave. 404 ça veut dire qu'il n'a pas trouvé la page, 500 que le serveur a tellement ramé qu'il a planté. Ces codes sont bien décrits ici. En fait le serveur de Framasphère tombe très régulièrement ces temps-ci, et est relancé dans la foulée. Il fa... show more

Bonsoir, Alastor et Lyz. :)

Alors.
Pour les "plusieurs onglets ouverts", tels que décrits dans ce Github, les miens restent rarement ouverts bien longtemps.
Par exemple, lorsque je lis les notifs, ça me convient mieux de les ouvrir une par une dans un nouvel onglet : ça m'évite de revenir faire défiler la liste des notifs.
Ou par exemple, je peux avoir Deepl sur un onglet, Frama sur un autre, et un article en anglais sur le troisième.
Mais je comprends le coup du "jeton". Sauf que... c'est rare que mes onglets restent ouverts ensemble plus de quoi... au pire, quinze à vingt minutes.
En temps normal s'entend. Si jamais j'ai quelque chose de long à faire, je le fais hors connexion.

Je pense que je suis à peu près bien protégée (l'est-on jamais complètement) et que je n'ai pas un comportement de navigation trop risqué (aller sur des sites chelous, laisser mes coordonnées, oublier de me déconnecter, etc).

Je vais me pencher sur Multi... show more

Moi de mon côté je m'y connais moins en moto, que toi en informatique... On ne peux pas tout savoir :D (ceci dit j'apprendrais bien la mécanique, un jour... dans longtemps !). Après, l'informatique, c'est comme la médecine : les notions de base pour soigner une grippe, ça va, mais y'a des trucs de spécialistes qui demandent des années d'études et de pratiques : plus j'en sais, plus j'ai conscience de tout ce que je ne sais pas...

Bref, n'hésite pas si les explications restent obscures.

Merci, Lyz. :) ...Ça va, les explications sont claires pour l'instant. J'aimerais juste comprendre d'où vient le problème.
Et comme je suis têtue...
Au moins si ça survient de nouveau je serai peut-être plus réactive, pour voir ce qui peut se passer ou être en cours à un instant précis...
Sinon je retournerai m'inscrire sur Macbidouille (ma nurserie à mes débuts sur Mac, j'y ai beaucoup appris).

Salut. :) Pardon de revenir en mettre une tranche, mais...
Il faudrait peut-être qu’on ferme les inscriptions, mais ça fait débat dans l’asso…
@Lyz Lach'lan, je ne sais pas de quelle asso tu parles, mais je comprends que c'est proche de Frama.
Juste une suggestion (sauf si vous y avez déjà pensé), il y a des sites qui effectuent une sorte de "purge" pour les comptes inactifs, afin de libérer les serveurs.
Ça vient de m'arriver pour Disroot, où je m'étais inscrite mais que je n'ai pas pris le temps d'explorer et d'utiliser. Et c'est une démarche que je comprends parfaitement.
Sur Framasphère, quand on souhaite la bienvenue, combien de fois ne voit-ton pas de nouveaux profils qui ne sont venus que le jour où ils ont écrit "bonjour je suis #nouveauici" ?... ..... show more

Je parlais en effet de Framasoft, je suis l'une des membres de l'asso :)
Une purge des comptes inactifs est possible, mais le souci actuel c'est plutôt les utilisateurs actifs, si j'ai compris : pleins de connexions en même temps, le serveur ne suit plus. Et comme on a été un peu trop bon en com, les gens s'inscrivent sur framasphère plutôt que sur d'autres pods. Mais ça prouve au moins que ça marche et que ça répond à une demande, et ça c'est cool. Faut juste qu'on trouve comment rediriger le flux vers les autres pods :)

Ah, ok... Les utilisateurs actifs sont hyperactifs, c'est ça ?... ^^

C'est ça :D

Et c'est assez cool de voir que Diaspora plaît assez pour que les gens y procrastinent autant :P

Je ne procrastine pas, madame : je me détends entre deux phases de boulot et quand le serveur veut bien mouliner :p

Je me demande si pour éviter devenir trop encombrants, surtout pour les nouveaux, comme moi d'ailleurs, il faudrait peut être appliquer certaines pratiques, comme par exemple éviter de repartager à l'infinit des articles publiés qui finalement tournent en cercle parmi les mêmes usagers...Peut être avec un seul clic, il suffirait pour ranger le lien dans un dossier-archives sur notre profil aussi bien que signaler notre interêt. Cela éviterait comme il m'arrive parfois personnellement, le repartage des publications afin de reprendre la lecture, traduction ou commentaire postérieurs, par peur d'égarer l'article en question.
Je ne sais pas trop bien, peut être que cela se fait déjà et je suis trop nulle pour mieux gérer mes affaires...😶😶

@Maria ChtiSud : non, le problème n'est pas, et ne doit pas être, dans la façon dont les gens utilisent le service. C'est un outil, et on a le droit de se l'approprier à notre façon (sauf à faire des trucs interdits genre tenter de pirater le serveur, bien sûr!). On peut évidement imaginer des bonnes pratiques pour le confort de la communauté, mais c'est un autre sujet. Il y a surtout des solutions techniques à trouver (par exemple plus de serveurs), voir "politique" : aider d'autres pods à se créer, rediriger vers là, etc.
Et pas de dévalorisation ! Tu n'es certainement pas "nulle" dans ce genre de chose : y'a pas de notes possibles :P

C'est vrai qu'un tuto pour apprendre comment créer un pod serait bienvenu... :)
(me suis toujours demandée pourquoi les GJ n'en avaient pas créé un, comme cela a été fait avec Pluspora).

Maria, j'ai le même ressenti, pour les repartages multiples d'une même publication, c'est vrai que c'est cornélien : repartager, c'est afficher sur sa propre page, mais ça apparaît aussi dans le Flux ; donc autant de fois que d'autres ont repartagé. Et parfois ça peut devenir monotone... ^^
Moi je bidouille : les posts dont je veux garder la trace, je les ouvre à part et je les sauvegarde comme je le ferai de n'importe quel article, dans un dossier marque-pages dédié.

Enfin... j'évite d'ouvrir trop d'onglets, maintenant. :/

aider d’autres pods à se créer,

C’est vrai qu’un tuto pour apprendre comment créer un pod serait bienvenu… :
Et bien avançons...
Que faut-il en termes:
- de personnes,
- de matos,
- de compétences,
- de fric
- ...
pour ouvrir et maintenir un pod ?

Lien vers le wiki sur comment installer Diaspora (en anglais).

Tout dépend de la taille du pod, ensuite. Une sysadmin devrait arriver à maintenir un service, sur l'aspect purement technique. Si elle a des compétences sur Ruby et Nodejs, ce sera mieux pour la maintenance. Côté serveur et d'après ce qui est indiqué en prérequis, une petite instance peut démarrer sur un serveur de type kimsufi donc on peut tester avec un serveur à moins de 40€/mois, mais si le pod a vocation à s'agrandir, il faudra plus ; entre autre la bande passante va probablement saturer au delà d'un certain seuil, donc il faut passer à des serveurs pro et ça coûte un bras, voir deux. C'est @Fla qui pourrait nous dire ce qu'un serveur comme celui de framasphère a besoin :)

Mais ça, ce n'est que la partie technique, presque la... show more

Wow, merci bien pour toutes ces infos et avis !

Pour compléter, ma réflexion est partie du constat que Framasphère semble saturer et que, si j'ai bien compris, un des concepts derrière la mise à dispo du pod frama, était d'inciter à la création de nouveaux pods.

Dans mon esprit, la création de petits pods avec un nombre d'inscriptions limité pourrait être une approche pour désengorger les plus gros. Mais je me goure peut-être. Mes compétences sur ce type d'outil et de techno sont quasi-nulles. Le principe de fédération m'échappe par exemple en grande partie. Mais je ne me suis pas beaucoup documenté ...

Dans tous les cas, je n'avais pas d'autre idée que la “bande de potes bénévoles” qui co-financent et/ou co-animent le truc.

Il reste à voir si du monde est intéressé à au moins réfléchir à l'idée et tu as fourni plein de sujets et questions à aborder.
Encore merci !

Salut ! Oui, maintenir un pod comme Lyz le décrit, c'est à dire un service "professionnel", c'est du boulot. Acheter un petit serveur kimsufi à 15 balles par mois et se mettre dessus avec ses copains à la cool, c'est beaucoup moins contraignant. La compétence "maîtrise un minimum la ligne de commande linux" reste indispensable.

La compétence “maîtrise un minimum la ligne de commande linux” reste indispensable
Bon, jusque là ça devrait aller et c'est rassurant sur la faisabilité.
Merci Fla!

@Alastor "el Pouleto" Mysterio : Je suis partie loin, comme souvent, mais en effet des pods entre bande de potes (des pod'potes ?) ce serait bien aussi :)

Si la communauté est petite sur un pod, tout l'aspect modération est d'autant plus simplifié.

Merci à vous, @Lyz Lach'lan, @Alastor "el Pouleto" Mysterio, et @Fla !... :) J'espère que les infos que vous apportez pourront éclairer quiconque s'intéresse au sujet. :)
(je garde l'url de cette publi sous le coude).

Perso je ne maîtrise rien du tout, ligne de commande ou quoi que ce soit d'autre (je ne risque pas d'ouvrir un pod, aussi facilement que les blogs que j'ai créés par le passé, le css m'était plus accessible) ; par contre dans le cas où vous auriez besoin de rédactionnel, là je suis dispo. N'hésitez pas. :)

Bonne journée !... :D

Ps. Le coup de main, ça peut être aussi de traduire en french les pages du lien que Lyz a donné, par exemple... Ça sera du taf, certes, mais c'est faisable. ^^

Le site officiel de diaspora* avec des guides sur comment installer son serveur sont en remodelage, il vaut mieux attendre plutôt que traduire maintenant. Cela dit, je trouvais que ces guides devaient être accessibles à tous auparavant mais en fait, ne pas maîtriser l'anglais quand on fait du sysadmin est rédhibitoire et va amener de nombreuses erreurs, donc ce n'est peut-être pas une mauvaise chose qu'ils ne soient qu'en francais.

J'offre aussi mon aide pour traduire en français, le matériel qui vous soit utile, nécessaire. Mon anglais reste un peu en retrait, mais je pense qu'il s'agît parce que je ne l'utilisevà l'oral et l'écrit si souvent. Question de le reprendre.. Sans ça aussi espagnol et catalan.!
Cela fait un moment que je tourne l'idée d'utiliser un framapad pour y déposer le contenu des articles que je traduis en plusieurs langues ainsi que pour pouvour collaborer avec les traductions d'autrui.
Comme je ne me suis pas tout à fait déliée des gafam (j'utilise encore le gmail et youtube) je ne voulais pas encore m'y mettre pour épargner des possibles nuisances...
Et encore! Je me retrouve en ce moment en pleine guerre entre Trump et Huawei, puisque mon portable en est un...J'attendais qu'il perde sa garantie commerciale pour essayer de le libérer et ainsi virer de l'appareil le plus possible d'apps encombrantes et limiter et la conso excessive, et l'intrusion commerciale abusive. Peut être qu... show more

@Maria ChtiSud, peut-être pourrais-tu poser cette question bancaire —qui n'a rien à voir avec un CSRF ou même des lignes de codes— sur un post à part. Tu y gagnerais en visibilité et tu obtiendrais certainement des réponses.

Merci Tina, je reposerai la question ailleurs! Avant tout j'essairai de mieux m'informer sur place, si jamais il n'y a déjà une une solution locale et je suis passée à côté...!