What app is this about, and its version: rustdesk What YunoHost version are you running: 12.1.25 What type of hardware are you using: Raspberry Pi 3, 4+
Describe your issue
Bonjour,
J’ai une question d’odre générale. ca concerne l’application “Rustdesk”. Je me demandais comment vous faites pour décider dinclure une application dans le store de ynh ou non? je n’ai rien contre rustdesk, je l’ai déjà installé, sauf que je voulais aller rechercher et avoir de l’information sur la société, je n’en ai trouvé aucun, en tout cas il y a une information que la société est basé à Singapore. C’est que ma réflexion sur le sujet, je me dis que le client Web passe obligatoirement par leurs infra, le client, je dois l’étudier pour voir si jamais il n’y a pas de fuite ou autre meme si le server est autohebergé!
je suis ouvert à discussion, j’aimerais discuter avec argument et esprit critique. J’emets tout simplement un doute, une rélfexion quant à ce projet.
Merci de votre attention.
Salut a toi.
Questionnement légitime, mais a partir du moment où le code source de la partie serveur comme celui de la partie cliente sont disponibles publiquement sur github, ça veut dire que n’importe qui ayant les connaissances nécessaires est en mesure d’analyser le code et de comprendre comment ça fonctionne.
Vu la popularité de rustdesk, il y a de fortes chances que le code source ait été audité un bon nombre de fois.
A partir de là, je dirai qu’il n’y a rien a craindre
Mouis, ca tiens pas. Je suis d’accords le code source est là, et quelqu’un avec des compétences en audit de code source pourrait le faire. Mais en tout cas, on en a vu aucun jusqu’à présent. Attention parfois open source peut très bien véhiculé un malware aussi, c’est pas parce que c’est libre que c’est secure. Voici une discussion intéressante à ce propos https://www.reddit.com/r/rustdesk/comments/1824wct/what_organization_manages_rustdesk_development/. Le principe des pirates? me dirt “Trust but verify” à suivre!
Je suis d’accord, c’est pas parce que c’est opensource que forcément un malware inclus dedans sera vue. C’est parfois très subtile, je pense par exemple à la faille dans une lib de compression et qui était exploitable via openssh…
Tu parles d’une société à Singapour. C’est vrai que parfois ça interroge dans la mesure où des états sont susceptibles de contraindre à l’ajout de malware.
OnlyOffice est codé par des russes mais le siège social est maintenant à Hong kong, c’est un peu pareil…
A la limite, on pourrait essayer d’afficher de l’info sur le type (société, bénévoles, etc.) et la localisation de l’éditeur. Et en même temps, il faut aussi faire attention, car ça peut amener à favoriser des choix basés sur des préjugés.
Chouette, tu m’as bien compris. cool. c’est exactement ca je pensais. Non pas afficher une localisation,ca n’apportera rien. quand je disais Singapore, c’est un peu un paradis, n’importe qui peut établir une société, sans la moindre vérification ou quoi. Je veux bien quand il y a des information quant à la société, aux personnes derrières, là pour le coup, il n’y a aucune information. Je recommande simplement de prendre un minimum des précautions quand c’est un software pareil. activer MFA, avoir un parfeu, server bien à jour etc. etc.
Je pense je vais me servir de mes compétences de base en Sécu, pour auditer le code source vu que j’en vois aucun audit meme si je connais pas Rust!
Pour ton exemple de OnlyOffice, j’en ferai encore moins tourner un binaire codé par les Russes, :), je tenterai d’utiliser Freeoffiice, si jamais libreoffice ne le fait pas! au moins c’est basé en Allemagne. Je sais pas après chacun fera à sa guise!