CasusNO

Yusei a écrit : ↑lun. nov. 07, 2022 10:40 am Vous savez comment on peut s'ajouter aux listes de serveurs ? Parce que moi j'ai une instance sur un serveur dédié, qui je pense pourrait soulager la charge des autres instances dédiées au jdr, mais il y a un gros effet d'attraction de la part des grosses instances qui risquent justement de saturer.

Peut-être en envoyant un mail à hello (arobase) joinmastodon.org ? (Adresse indiquée sur le lien "contact" au bas du site Joinmastodon.)

Pour les serveurs, tu n'es pas le seul à avoir eu cette idée : Eugen Rochko (créateur du réseau) postait ce matin qu'on a enregistré 1 124 nouveaux serveurs depuis le 27 octobre. Mais tous n'ont sans doute pas trait aux jeux de rôle.

Yusei a écrit : ↑lun. nov. 07, 2022 10:40 am Vous savez comment on peut s'ajouter aux listes de serveurs ? Parce que moi j'ai une instance sur un serveur dédié, qui je pense pourrait soulager la charge des autres instances dédiées au jdr, mais il y a un gros effet d'attraction de la part des grosses instances qui risquent justement de saturer.

Ici pour la liste qui est sur instances.social. Sur tu veux être sur la page principale joinmastodon.org, il y a quelques conditions à respecter que tu peux trouver là.

Par contre, notre @kobbold tweetait hier/ce matin qu'il n'irait pas au final sur Mastodon parce que les messages privés sur M étaient en clair dans les bases de données et donc/aussi tout a fait visible par les admins.

Morningkill a écrit : ↑lun. nov. 07, 2022 1:17 pm notre @kobbold tweetait hier/ce matin qu'il n'irait pas au final sur Mastodon parce que les messages privés sur M étaient en clair dans les bases de données et donc/aussi tout a fait visible par les admins.

C'est vrai, pour l'instant il n'y a pas de messages privés (juste des messages non publics, mais quand stockés en clair). Je ne sais pas si c'est suffisamment rassurant mais:
- ça fait deux ans que des gens travaillent sur l'ajout de chiffrement de bout en bout pour certains messages
- ce n'est pas comme s'il y avait une interface pour lire les messages des gens, il faut aller fouiller dans une base de données
- de ce que j'ai compris, les admins des instances hébergées comme ludosphere n'ont pas d'accès direct à la base de données, donc même pas la possibilité de le faire.

Je comprends que l'idée que les messages soient en clair soit inquiétante, mais il faut garder à l'esprit que c'est aussi le cas sur Twitter, sur Facebook, etc. Le mieux pour moi est soit d'héberger son instance, soit d'aller sur une instance administrée par des gens qu'on ne connaît pas personnellement. Et puis garder en tête qu'à moins d'utiliser des outils chiffrés, rien n'est réellement privé.

Sur le principe de décentralisation, c'est un peu comme Diaspora* ou bien ?

Yusei a écrit : ↑lun. nov. 07, 2022 1:25 pm Je comprends que l'idée que les messages soient en clair soit inquiétante, mais il faut garder à l'esprit que c'est aussi le cas sur Twitter, sur Facebook, etc.

Sauf que dans une grande entreprise, c'est normalement encadré, surveillé, l'entreprise peut y perdre beaucoup. (oui il y a eu des incidents).
Après, moi je rapporte juste l'argument, et surtout l'information.
J'ai déjà vendu mon ame et celle de mes descendants sur 4 générations a Google, alors...

Morningkill a écrit : ↑lun. nov. 07, 2022 1:36 pm Sauf que dans une grande entreprise, c'est normalement encadré, surveillé, l'entreprise peut y perdre beaucoup.

Oui mais normalement c'est valable aussi pour les instances Mastodon ou autres trucs de ce genre. Les admins qui iraient fouiller risquent beaucoup... mais avec peu de risque de se faire chopper. Au lieu d'espionnage à grande échelle comme avec Facebook, on risque plutôt du petit espionnage mesquin pour savoir ce que dit machin à truc en privé. C'est pour ça que je conseille plutôt d'aller sur des instances gérées par des inconnus que par son patron ou ses potes.

Yusei a écrit : ↑lun. nov. 07, 2022 1:25 pm - de ce que j'ai compris, les admins des instances hébergées comme ludosphere n'ont pas d'accès direct à la base de données, donc même pas la possibilité de le faire.

Ca me paraît juste impossible : même si l'instance physique de la base est hébergée ailleurs (dans le cloud, etc.), le système mastodon a forcément à un moment donné les accès à cette base (credentials type URL, login, password). Credentials qui sont donc facilement retrouvables par les admin d'un serveur mastodon pour se connecter en // à la base.

Si la base n'est pas cryptée, n'importe quel admin (ou attaquant) un peu malin (et ayant un accès aux infos d'un serveur mastodon) peut retrouver les données stockées (en clair) en base.

Killing Joke a écrit : ↑lun. nov. 07, 2022 2:41 pm Credentials qui sont donc facilement retrouvables par les admin d'un serveur mastodon pour se connecter en // à la base.

Je peux me tromper, mais j'ai cru comprendre qu'un paquet d'instances étaient des machines virtuelles faisant partie d'un plus gros service, et n'avaient pas d'accès direct aux machines, donc potentiellement pas d'accès à la base.

Yusei a écrit : ↑lun. nov. 07, 2022 2:47 pm Je peux me tromper, mais j'ai cru comprendre qu'un paquet d'instances étaient des machines virtuelles faisant partie d'un plus gros service, et n'avaient pas d'accès direct aux machines, donc potentiellement pas d'accès à la base.

Mais même : les gens qui font le déploiemnt ont forcément la main à un moment donné sur ces serveurs distants (fussent des instances dans le cloud), et n'importe quel attaquant (ou administrateur) à peine malin saura récupérer les infos stockées en base, si elles sont en clair (s'il y a un intérêt à le faire - je ne suis pas sûr que d'aller lire les messages privés stockés en clair entre utilisateurs de mastodon soient très utile / intéressant / lucratif pour un attaquant, dans le cas général, et en dehors d'une attaque ciblée envers une personne précise - dit autrement, cet arguement du manque de fiabilité de la sécurité d'un serveur mastodon est probablement sans objet pour un particulier, mais c'est p-e différent pour un journaliste ou une personne publique).

Killing Joke a écrit : ↑lun. nov. 07, 2022 2:59 pm les gens qui font le déploiemnt ont forcément la main à un moment donné sur ces serveurs

Quelqu'un a accès, oui, ce que je voulais dire c'est que ce ne sont pas forcément les admins de l'instance. Ludosphere est hébergé par Masto.host, et si j'ai bien compris ce qu'ils disaient, ils n'ont pas accès à la base. Mais les gens de masto.host, oui.

Ça ne change rien sur le principe, mais ça peut tout changer à l'échelle d'une petite communauté ou ton admin peut te connaître.

Je dis peut-être une bêtise, mais c'est à peu près pareil sur les forums de discussion comme CasusNO, non ?

cdang a écrit : ↑lun. nov. 07, 2022 1:26 pm Sur le principe de décentralisation, c'est un peu comme Diaspora* ou bien ?

De ce que j'avais vu il y a quelques années, oui.

Tybalt (le retour) a écrit : ↑lun. nov. 07, 2022 4:31 pm Je dis peut-être une bêtise, mais c'est à peu près pareil sur les forums de discussion comme CasusNO, non ?

Oui, tout est en clair (sauf les mots de passe) dans ta base SQL. Mais bon, faut aller trifouiller dedans chez ton hébergeur (ou la rapatrier sur ton ordi) pour ça. Et ce n'est pas indexé. Faut être vachement vicieux quand même…

Sinon, les modos (et le proprio) n'ont pas accès à vos messages privés sur un forum phpBB3 ! Ça vous rassure, les gens ?

Man From Outerspace a écrit : ↑lun. nov. 07, 2022 4:41 pm

Tybalt (le retour) a écrit : ↑lun. nov. 07, 2022 4:31 pm Je dis peut-être une bêtise, mais c'est à peu près pareil sur les forums de discussion comme CasusNO, non ?

Oui, tout est en clair (sauf les mots de passe) dans ta base SQL. Mais bon, faut aller trifouiller dedans chez ton hébergeur (ou la rapatrier sur ton ordi) pour ça. Et ce n'est pas indexé. Faut être vachement vicieux quand même…

Sinon, les modos (et le proprio) n'ont pas accès à vos messages privés sur un forum phpBB3 ! Ça vous rassure, les gens ?

Par quel magie le proprio n'a pas le login à la BDD?

Rui a écrit : ↑lun. nov. 07, 2022 5:40 pm

Man From Outerspace a écrit : ↑lun. nov. 07, 2022 4:41 pm

Tybalt (le retour) a écrit : ↑lun. nov. 07, 2022 4:31 pm Je dis peut-être une bêtise, mais c'est à peu près pareil sur les forums de discussion comme CasusNO, non ?

Oui, tout est en clair (sauf les mots de passe) dans ta base SQL. Mais bon, faut aller trifouiller dedans chez ton hébergeur (ou la rapatrier sur ton ordi) pour ça. Et ce n'est pas indexé. Faut être vachement vicieux quand même…

Sinon, les modos (et le proprio) n'ont pas accès à vos messages privés sur un forum phpBB3 ! Ça vous rassure, les gens ?

Par quel magie le proprio n'a pas le login à la BDD?

Il l'a, mais il faut qu'il soit vicieux pour y rechercher des infos précises dedans (c'est ce que j'expliquais…)
Et phpBB3 n'est pas conçu pour qu'on — lui ou les modos — puisse lire les messages privés…

(Est-ce plus clair dit comme cela ? Sinon, je peux continuer à reformuler… )