Friday, October 09, 2020
yunohost@conference.lightwitch.org
October
Mon Tue Wed Thu Fri Sat Sun
      1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23 24 25
26 27 28 29 30 31  
             
YunoHost support room | Don't ask to ask, just ask ! | Be patient and stay polite with everybody (this is a free software project ran by volunteers) | No answer? Post on the forum: https://forum.yunohost.org | This room is mirrored via Echo1 | Donate: https://liberapay.com/YunoHost

[02:56:54] <badrihippo> Hello
[02:57:20] <badrihippo> Is it okay to manually install PostgreSQL and set up a database?
[02:58:10] <badrihippo> I need to install Commeto, which doesn't have an app. I can run it locally and use redirect_ynh, but I'm not sure about using the database
[06:56:53] <irc> <Bram> badrihippo: you might want to look at how yunohost set up postgresql for itself because this is how the apps will be expecting it to run https://github.com/YunoHost/yunohost/blob/dev/data/helpers.d/postgresql
[06:57:19] <irc> <Bram> https://github.com/YunoHost/yunohost/blob/dev/data/helpers.d/postgresql#L232 more precisely
[06:57:31] <irc> <Bram> https://github.com/YunoHost/yunohost/blob/dev/data/helpers.d/postgresql#L295
[06:58:04] <irc> <Bram> https://github.com/YunoHost/yunohost/blob/dev/data/helpers.d/postgresql#L317
[06:58:18] <irc> <Bram> (yeah you can't use unix user auth because some langage are too stupid to know how to use that)
[06:58:26] <irc> <Bram> (I blame php here)
[07:59:10] <irc> <MadPanda[m]> tituspijean: thanks for your support, worked like a charm
[08:56:40] <irc> <ynhuser|46564> bonjour , j ai un probleme avec le script d instalation de mastodon
[09:24:50] <badrihippo> Thanks Bram, I'll take a look at these. Perhaps it'll be simpler to just set up a minimal custom app with postgresql enabled, and then install modify the nginx config to redirect to commento?
[09:27:21] <irc> <Bram> badrihippo: that looks like a good solution yes :)
[09:27:33] <irc> <Bram> you can even add the nginx redirection in your app if you want
[09:27:41] <irc> <Bram> or uses the redirect app
[09:36:47] <badrihippo> Bram: yes, I was planning to use the redirect app, but I guess I'll customise it first to include postgres install scripts 🙂
[16:27:13] <irc> <Thatoo[m]> bonjour, dans /etc/nginx/conf.d/leprette.fr.d/my_webapp.conf comment activer gzip alors que dans /etc/nginx/conf.d/security.conf.inc, il est désactivé par yunohost avec comme commentaire
[16:27:14] <irc> <Thatoo[m]> # Disable gzip to protect against BREACH
[16:27:14] <irc> <Thatoo[m]> # Read https://trac.nginx.org/nginx/ticket/1720 (text/html cannot be disabled!)
[16:27:15] <irc> <Thatoo[m]> sent a long message: < https://matrix.org/_matrix/media/r0/download/matrix.org/zNdiXeBwpDPVctVaiLOUkGvl/message.txt >
[16:33:26] <irc> <Thatoo[m]> trouvé
[16:34:22] <irc> <Thatoo[m]> il suffit d'ajouter dans /etc/nginx/conf.d/leprette.fr.d/my_webapp.conf , avant que` location /site/ { ` soit refermé
[16:34:53] <irc> <Thatoo[m]> sent a long message: < https://matrix.org/_matrix/media/r0/download/matrix.org/EtncSxIqGwAbFdfVPwsNoZTC/message.txt >
[16:35:12] <irc> <Thatoo[m]> sent a long message: < https://matrix.org/_matrix/media/r0/download/matrix.org/SwWDEMsMWLZDdBeChYnICjpE/message.txt >
[16:35:23] <irc> <Bram> si on l'a désactivé c'est pour protéger contre des fails de sécurité hein ^^'
[16:35:38] <irc> <Bram> genre, comme c'est marqué
[16:43:23] <irc> <Aleks[m]> :|
[16:43:53] <irc> <Aleks[m]> Thatoo: tu peux élaborer sur pourquoi tu veux activer gzip ? (J'ai bien quelques idées en tête mais c'est pour savoir quelles sont tes raisons)
[16:46:15] <irc> <Thatoo[m]> avant tout approfondir mes connaissances de nginx et comment ça s'imbrique, ensuite parce qu'il me semble que ça offre un petit gain de compression donc ça envoi des fichiers plus légers aux clients, je me trompe?
[16:47:34] <irc> <Aleks[m]> oui, mais si le but c'est pas de genre faire du SEO, le plus simple c'est de laisser ce truc tranquille car c'est une faiblesse de sécurité (c'est clairement pas trivial mais tu peux lire sur BREACH pour + d'infos)
[16:47:54] <irc> <Aleks[m]> en gros c'est pas "gratuit" d'activer ça sinon on l'aurait fait depuis longtemps...
[16:48:02] <irc> <Aleks[m]> après c'est pas non plus la faille du siècle mais bon
[16:49:25] <irc> <Aleks[m]> (et c'est aussi lié au contexte super spécifique de nginx pour lequel on peut pas desactiver la compression pour les fichiers html ~_~)
[16:50:53] <irc> <Thatoo[m]> et la faille est aussi importante quelque soit l'endroit où on autorise l'activation de gzip? est-ce que on réduit le risque de la faille en activant gzip dans etc/nginx/conf.d/leprette.fr.d/my_webapp.conf uniquement plutôt que dans /etc/nginx/nginx.conf ? ou bien ça ne change rien?
[16:52:15] <irc> <Thatoo[m]> <Aleks[m] "(et c'est aussi lié au contexte "> même si on enlève application/xhtml+xml de gzip_types ?
[16:54:31] <irc> <Aleks[m]> Thatoo: oui car html est de toute facon gzippé par défaut et la seule facon de pas le gzip c'est de désactiver gzip entièrement
[16:54:50] <irc> <Thatoo[m]> ah ok
[16:54:58] <irc> <Aleks[m]> (ce qui est naze, on est d'accord - t'façon nginx à 3-4 comportements merdiques et contre-intuitifs comme ça)
[16:55:23] <irc> <Aleks[m]> <Thatoo[m] "et la faille est aussi important"> ça change que seul ta my_webapp sera vulnérable plutot que l'entièreté du serveur web
[16:56:14] <irc> <Thatoo[m]> ok
[16:56:24] <irc> <Aleks[m]> après si tu regardes la faille/vulnérabilité BREACH c'est seulement si y'a des infos secrètes qui sont transportées (genre login, compte utilisateur, etc...) donc si ta webapp c'est juste purement des fichiers statiques, c'est ok d'activer gzip
[16:57:08] <irc> <Thatoo[m]> aha, cool de savoir ça, merci!
[17:01:12] <irc> <Aleks[m]> (après comme dit c'est pas la faille du siècle, d'ailleurs c'est + une vulnérabilité qu'une faille, pour qu'un attaquant puisse l'exploiter il faut bien se faire iech - et à mon avis sur les internets pleins de gens ont la compression d'activé sans réaliser que ça créé une vulnérabilité)
[17:01:32] <irc> <Thatoo[m]> ok et dans ce cas là ou on peut activer gzip, j'ai trouvé cette longue liste de gzip_types mais je me dis qu'elle est bien longue et après tes explications je me dis que ce n'est peut être pas top, tu garderais tout?
[17:01:32] <irc> <Thatoo[m]> `gzip_types application/javascript application/json application/rss+xml application/atom+xml application/font-woff application/vnd.ms-fontobject application/x-font application/x-font-opentype application/x-font-otf application/x-font-truetype application/x-font-ttf application/x-javascript application/xhtml+xml application/xml font/opentype font/otf font/ttf image/svg+xml image/x-icon image/gif image/jpeg image/png
[17:01:33] <irc> <Thatoo[m]> image/x-ms-bmp image/webp text/css text/javascript text/plain text/xml text/x-component;`
[17:03:41] <irc> <Aleks[m]> mouarf oui pourquoi pas ... après si tu te préoccupes de la sécu / BREACH, ben là dans la liste il y'a le type json ... et dans pleins de cas un json peut être des données statiques ou pas critiques, mais ça peut aussi contenir des secrets de temps en temps ... ça dépends du contexte et des apps hébergées
[17:04:17] <irc> <Aleks[m]> bref c'est typiquement pas le truc ou tu peux dire "oui tu peux" ou "non il faut pas" facilement
[17:04:33] <irc> <Thatoo[m]> ok
[17:04:46] <irc> <Thatoo[m]> compris
[17:06:07] <irc> <Aleks[m]> et comme dit, activer gzip c'est clairement pas révolutionnaire en terme de gain ... d'ailleurs ça te fait potentiellement gagner en bande passante / vitesse de chargement, mais en échange de CPU à la fois côté serveur et côté client (même si c'est pas non plus comme si t'allais faire autant de calcul que pour miner du bitcoin hein)