@rodolphe@pwet.what.tf

rodolphe

@rodolphe@pwet.what.tf

Dev. Rust 🦀
🇨🇵 Je pwet principalement sur le développement logiciel, la cryptographie, l'administration système, les logiciels libres ainsi que de la protection des données personnelles. Team #vélotaf et auto-radicalisé #IPv6
🇬🇧 🇺🇸 I mostly toot about software development, cryptography, system administration, free software and personal data protection.

This profile is from a federated server and may be incomplete. Browse more on the original instance.

Khrys, to random French
@Khrys@mamot.fr avatar

Votre voiture est une espionne et les partenaires abusifs peuvent s'en servir pour vous traquer

https://securite.developpez.com/actu/352508/Votre-voiture-est-une-espionne-et-les-partenaires-abusifs-peuvent-s-en-servir-pour-vous-traquer-d-apres-des-etudes-qui-lancent-un-debat-sur-nos-responsabilites-d-utilisateurs-a-l-ere-de-l-IoT/

des marques telles que BMW, Ford, Toyota, Tesla et Subaru collectent des données sur les conducteurices, notamment l'origine ethnique, les expressions faciales, le poids, les informations sur la santé et l'endroit où l’on conduit. Certaines des voitures testées collectent même des détails sur l'activité sexuelle, l'origine ethnique et le statut d'immigration

rodolphe,

@bortzmeyer @Khrys Certains oui. Il y a quelques année, durant la nuit, un couple a fait ça dans leur voiture sur un parking isolé en forêt. Mais pas n'importe quel parking : le parking visiteur (et donc extérieur) du camp militaire de Maisons-Laffitte, juste en face du poste de garde et sous le regard les surveillées 24h/24 7j/7. L'anecdote fait encore rigoler bon nombre de militaires affectés sur ce site.

https://www.google.fr/maps/

PS : La forêt qui jouxte le camp est connue pour être un lieu de prostitution, donc ce n'est sans doute pas vraiment un couple mais plutôt une relation tarifée moins glamour.

PPS : Vous seriez étonnés du nombre absolument hallucinant de personnes qui ne réalisent pas qu'il s'agit d'une enceinte militaire, surtout qu'avant les travaux récents la signalétique était minimale.

rodolphe, to random

Wow, Gentoo officially supporting binary packages is something I didn't expected. 😲

https://www.gentoo.org/news/2023/12/29/Gentoo-binary.html

rodolphe,

@tdelmas I have no idea. I don't use Gentoo and don't specially follow this project.

bortzmeyer, to random French
@bortzmeyer@mastodon.gougere.fr avatar

Là, les pros du #RGPD (qui prévoit que le consentement est révocable à tout moment) ont de quoi travailler : https://www.leparisien.fr/intime/jen-ai-des-centaines-doit-on-garder-les-nudes-de-ses-ex-28-12-2023-W3PELHEX3BEMLKWOST3BWZ2DII.php

rodolphe,

@bortzmeyer @lanodan Je me permet d'intervenir pour insister sur la seconde partie, « purely personal or household activity » ou « activité strictement personnelle ou domestique » en français.
Cette précision est importante car très limitative. En particulier, toute publication ou transmission à un tiers sort de cette définition et rend donc le RGPD applicable. Après, dans le cas précis des nudes sont publiées ou transmissent sans le consentement de la personne concernée, les poursuites pénales (article 226-2-1 du code pénal) me semblent bien plus adaptées que celles liées au RGPD.

Mais bon, ce n'est parce que quelque chose est légal qu'il est éthique de le faire. Respecter le choix des autres, même après la rupture d'une relation, reste à mon sens le choix le plus moral.

Dans un contexte moins intime, le RGPD ne s'applique donc pas non plus pour les particuliers qui entretiennent un carnet d'adresses (numérique ou non) de leurs contacts. En revanche, il s'applique en cas de publication ou transmission, ce qui restreint la possibilité de le faire. Le consentement est une des 6 bases légales possible pour le faire, mais ce n'est pas la seule (cf. article 6 du RGPD). Par exemple, si un de vos contacts vous fait part de son intention d'attenter à sa vie, le RGPD permet de transférer ses coordonnées aux secours sur le fondement de deux bases légales :

  • l'obligation légale (article 6, 1. c du RGPD) sur base de l'obligation de porter secours (article 223-6 du code pénal) ;
  • la sauvegarde des intérêts vitaux de la personne concernée (article 6, 1. d du RGPD).
    Je me devais de préciser ça pour les éventuelles personnes qui seraient susceptibles de lire ce post et d'invoquer le RGPD à tort ou bien qui ne reconnaissent que le consentement comme base légale. D'une manière générale le RGPD est logique et bien rédigé, donc si une situation paraît absurde c'est généralement (mais pas toujours j'en conviens) que l'on a fait une mauvaise interprétation.

PS : pour le texte du RGPD en français sur eur-lex, pensez à ajouter « ?locale=fr » à la fin de l'URL (avant un éventuel # bien entendu, mais normalement les gens lisant ça le savent déjà) : https://eur-lex.europa.eu/eli/reg/2016/679/oj?locale=fr

rodolphe,

@jeeynet @bortzmeyer @lanodan C'est une bonne question et je n'ai pas de réponse simple. Avant toute chose, je précise qu'il ne s'agit que de mon avis personnel, qu'il n'engage que moi, que malgré mon expérience dans le domaine je n'ai pas de véritable formation juridique et que je suis susceptible de me tromper. Ce qu'il faudrait c'est de la jurisprudence dans le domaine. Peut-être que ça existe, mais je n'en connais pas (et je n'ai pas beaucoup cherché). Bref, je vais axer mon raisonnement autours de ce que je connais le mieux, c'est à dire le RGPD, en supposant que dans un cadre pénal un raisonnement similaire sera tenu.

Je pense donc que la réponse va beaucoup dépendre de la situation et nécessite d'apprécier plusieurs éléments. Tout d'abord : est-ce que le RGPD est applicable ou non ? Autrement formulé : est-ce que confier à un hébergeur des données personnelles que l'on détient pour un usage strictement personnel ou domestique est ou non à un usage autre qui, si c'était le cas, constituerait un traitement soumis au RGPD.

Sur le plan purement technique, il y a bien transmission à un tiers (l'hébergeur), donc l'argument du traitement soumis au RGPD peut se défendre. Cependant, sur le plan juridique j'en suis beaucoup moins certain et je pense donc que la réponse peut varier en fonction de la nature exacte de la prestation d'hébergement. Je propose de se poser trois questions afin d'y répondre :

  1. Est-ce que l'hébergeur a mis en place des mesures techniques et organisationnelles de protection de la vie privée et ces dernières sont-elles suffisantes ?
  2. Est-ce que l'offre d'hébergement est générique ou bien est-elle spécifiquement dédiée aux nudes ou similaire ?
  3. Est-ce que l'hébergeur se contente de l'hébergement technique de manière neutre ? Ceci appel deux sous-questions :
    a. Est-ce que l'hébergeur scan les données hébergées ?
    b. Est-ce que l'hébergeur réutilise les données à ses propres fins ?

Ainsi, dans le cas d'un hébergeur générique ayant mis en oeuvre des mesures techniques et organisationnelles de protection de la vie privée efficace, qui ne réutilise pas les données à ses propres fins et ne scan pas les données ou bien les scan exclusivement pour la recherches de virus/malwares, je pense qu'on pourrait retenir un usage strictement personnel ou domestique non soumis au RGPD. À l'inverse, dans le cas d'un hébergeur n'ayant pris aucune mesure de protection des données personnelles et réutilisant les données pour ses propres fins, je pense que l'on peut considérer qu'il y a un traitement soumis au RGPD, surtout si le service est dédié aux nudes.

Ceci mis au point, que dire du statut de l'hébergeur ? Dans le cas où le traitement n'est pas soumis au RGPD, je trouve que ça n'a pas de sens de lui attribuer un statut défini par le RGPD. Je propose donc de le voir comme un simple intermédiaire technique qui n'a pas de responsabilité spéciale dans l'affaire.
En revanche, dans le cas où il y aurait un traitement soumis au RGPD, il faut se poser la question de s'il est sous-traitant ou bien coresponsable de traitement voir, dans certains cas, responsable à part entière. Et c'est là que tout se complexifie encore plus.

Parce que oui, s'agissant des services cloud, la détermination des roles de chaque partie dépends de beaucoup de choses. L'analyse peut être longue et complexe mais, en règle générale, on tend à considérer qu'un prestataire SaaS est un sous-traitant. Cependant, ceci n'est pas automatique. En particulier, un hébergeur peut être considéré comme sous-traitant certaines parties propres à l'hébergement des données, mais aussi comme responsable de traitement à part entière pour les traitement découlant de la réutilisation des données de ses clients à ses propres fins (spoiler alert : chers hébergeurs, ne faites pas ça sans en parler à un avocat spécialisé avant).
Bref, c'est très complexe et il y a beaucoup d'éléments à prendre en compte. Afin d'avoir plus d'informations, je te propose de lire la section 3.2 du rapport (en anglais) de l'EDPB traitant de l'utilisation des services cloud par le secteur public.
https://edpb.europa.eu/news/news/2023/edpb-determines-privacy-recommendations-use-cloud-services-public-sector-adopts_en
https://edpb.europa.eu/system/files/2023-01/edpb_20230118_cef_cloud-basedservices_publicsector_en.pdf
(nota : pour bien lire ce rapport, je recommande d'ouvrir les versions françaises et anglaises de l'article 4 du RGPD afin de bien identifier la signification des termes employés)

[…]
(suite dans le pouet suivant)

rodolphe,

@jeeynet @bortzmeyer @lanodan (suite et fin)

De la caractérisation du rôle de chacun va découler la responsabilité associée. Et ça c'est la partie la plus facile car il n'y a pas trop à réfléchir : le RGPD a déjà préparé le travail. En effet, dans chaque article susceptible d'engendrer des manquements, le RGPD prend le soin de dire si la responsabilité incombe au responsable de traitement, au sous-traitant ou aux deux.

Ainsi, l'article 5 dispose que c'est le responsable de traitement qui est responsable de la licéité du traitement. Si l'on ne retient que le caractère illicite du traitement, ce qui est ici, je pense, le seul véritable manquement, il n'y a que les acteurs reconnus comme responsables du traitement qui seront sanctionnées.

Si l'hébergeur avait été reconnu sous-traitant, il ne sera donc normalement pas inquiété. S'il est également responsable de traitement s'agissant de la réutilisation des données et qu'il ne s'agit pas d'un service spécifiquement dédié aux nudes, je pense qu'il est préférable d'analyser ça au titre du RGPD dans une procédure dédiée.

rodolphe,

@bortzmeyer @jeeynet @lanodan Et c'est seulement après avoir posté que je repense au fait que dans cette histoire il faut aussi penser à étudier le caractère intentionnel ou non de la synchronisation. 😅

https://www.commitstrip.com/fr/2017/10/18/true-story-syncing-the-wrong-folder/

rodolphe, to random

Ha, la célèbre expérience utilisateur pour demander la garantie G30 suite à un retard de train SNCF. Ça ne m'avait pas manqué.

Donc, en cherchant sur un moteur de recherches, on tombe généralement sur la page dédiée de sncf-connect :
https://www.sncf-connect.com/train/garantie-30min

De là, un lien intitulé « sur le formulaire en ligne G30 de SNCF » nous redirige sur le site de sncf-voyageurs qui nous donne quelques détails supplémentaires sur cette garantie :
https://www.sncf-voyageurs.com/fr/contactez-nous/en-cas-de-retard/tgv-inoui-intercites/

Sur cette page, deux gros boutons proéminents qui ne font pas du tout ce que l'on souhaite. Le premier permet de déplier la longue et rébarbative procédure de demande par courrier postal, le second présente les mentions légales. En fait il faut cliquer sur le lien « faites votre demande en ligne », beaucoup plus discret (et un dark-pattern, un) :
https://tout-oui.sncf.com/

Vous pensiez qu'après deux redirections sur d'autres sites vous alliez enfin avoir le formulaire de demande ? Ha ha ha, nope. Avant, il vous faut affronter un chatbot qui vous demande des détails. Bon, j'avoue, en vrai il est pas mal fait. Il suffit de cliquer sur les boutons de réponses afin de lui faire cracher le lien vers le formulaire :
https://garantie30minutes.sncf.com/s/?language=fr

Le formulaire est en plusieurs étapes et n'est pas très user-friendly. Par exemple, on me demande de sélectionner un passager dans une liste d'un seul passager, ce qui aurait pu quand meme être sélectionné par défaut. Et une fois le passager (nom et prénom) sélectionné, il faut à nouveau entrer son nom, son prénom et d'autres informations, incluant un champ date de naissance positionné par défaut à la date du jour.

Bref, dans l'ensemble ça donne l'impression que tout a été fait pour dissuader les gens de faire leur demande de compensation financière. Du bon gros dark-attern des familles quoi.

En bonus, le chef de bord, pour nous informer de notre droit à compensation et de la manière d'en faire la demande, nous avait indiquer que nous pouvions le faire en nous connectant à sncf-connect ou bien en tapant « g30.com » dans Google. À noter que le site « g30.com » existe et n'a rien à voir avec la SNCF. Cependant, à sa décharge, une recherche Google sur ce terme m'a bien proposé en premier résultat le site « garantie30minutes.sncf.com ». Je trouve tout de même qu'il est dangereux de demander aux gens de faire une recherche sur une URL qui n'appartient pas à la SNCF.

Capture d'écran de la page « https://www.sncf-voyageurs.com/fr/contactez-nous/en-cas-de-retard/tgv-inoui-intercites/ » avec une flèche rouge pointant le lien intitulé « faites votre demande en ligne ».
Capture d'écran de la page « https://tout-oui.sncf.com/ » montrant le dialogue avec le chatbot de la SNCF afin d'obtenir le lien vers le formulaire de demande de compensation financière. Les options de dialogue retenues sont « Démarrer la conversation », « G30 », « Je demande la G30 », « Non », « Non » et enfin « TGV INOUI ».
Capture d'écran de la première partie du formulaire situé sur la page « https://garantie30minutes.sncf.com/s/?language=fr », non rempli.

Bristow_69, to random French
@Bristow_69@framapiaf.org avatar

1000€ le montant populaire des #dons chez les Restos, cela me semble un peu élevé...

rodolphe,

@cquest Nouveaux ou anciens francs ? 🙃

rodolphe, to FreeBSD

I really like because it's simple, stable and there's a lot of nice features. However, there is two things that I find quite annoying.

  1. The version system. I seriously have no idea how this thing works. Why is the results of the freebsd-version and sysctl -n kern.osrelease commands different? Why updating my jails doesn't seems to actually update them? And why the hell freebsd-version is sometimes able to display 2 different versions at the same time?

  2. The rc.d system. I have a weird bug with an executable that runs just fines from CLI, but the exact same command doesn't work at all when started with rc.d. Also, the service xxx status command just reported me a service as not running while it was, in fact, running just well. Plus, writing a service script is a PITA. I'm not a big fan of systemd, but let's face it: a lot of things really needed to change and they did quite a good job about it.

rodolphe,

@smortex Thank you for your reply! 😊

  1. Unfortunately, the difference stays after several reboot, which is why I can't make head nor tails out of it. If a complete reboot doesn't solve it, I have no idea what can. Also, I kept the base system as close as the vanilla one as possible.

  2. The program affected by this issue does not depend on some environment variables that could lead to this issue (I wrote the program, therefore I'm quite sure about it). Currently, my best guess is that I made a mistake in the rc.d script, although I stayed as close as I could from the default working examples I saw in the documentation.
    https://github.com/breard-r/acmed/blob/main/contrib/rc.d/acmed

rodolphe,

@smortex Wait, why do you have two -p3 and one -p4? Isn't it supposed to be the same version everywhere once you have rebooted?

rodolphe,

@smortex Setting the rc_flags in the prestart isn't something I came up with myself. It's in the official documentation for rc-scripting (see the first mumbled_prestart functions and the explanation number 10 on this example):
https://docs.freebsd.org/en/articles/rc-scripting/

rodolphe,

@smortex Thank you for the explanation, now I understand. It's my assumption that all versions numbers should be aligned that was false. Is there a place where I can see the latest versions please? I don't see anything related to this in the release information section.
https://www.freebsd.org/releases/

rodolphe,

@smortex Thank you for your advice! I still don't get why the "run_rc_command xyzzy" is necessary since it doesn't seems to do anything in this example, but I won't look further.
After reading a few rc scripts, I completely rewrote it so I don't use prestart anymore. I guess it's much more cleaner now, and so far it seems to work (however I haven't tested it that much).
https://github.com/breard-r/acmed/blob/main/contrib/rc.d/acmed.in

Also, I discovered the use of autotools for rc scripts. I guess it's where "%%PREFIX%%" comes from (I really hate autotools).

In the end, I still thing rc scripts are some kind of arcane with a huge learning curve, even for simple stuff. In comparison, writing a functional system(d) file from almost zero knowledge in this field was really easy.

rodolphe,

@smortex Well, the new rc script still doesn't work and I have no idea why. Starting the daemon using the "service" command shows it as running, which is confirmed by pgrep, but nothing happens. The daemon is running but does nothing. Running it manually with the exact same command does work well.

It seemed to work fine on my VM, I guess my production jail is cursed or something…

rodolphe,

@smortex Wow, thanx, that's a nice debug tool!

procstat -c, -f and -s are identical, so nothing to see here.
procstat -l are identical except for the memorylocked limit that is set to infinity when started from CLI and set to 131072 KB when starting with the service command, but this limit should never be reached.
procstat -e showed a different environment, with no significant impact. The difference in the PATH allowed me to handle a problem in a part that is would have happened in a later stage and would not block the program this way. Also, there is a RC_PID variable with a pid different from the current one, but it should be ok since it forked to run in background (the pid file contains the new pid).

I guess debugging would have to wait for me to understand how syslog works, because right now every log seems to be sent to oblivion. Running the program in foreground and logging to stderr shows all the expected logs. Running it in background and logging to syslog doesn't produce anything in /var/log. Obviously, if the program failed to initialise the log system, it would exit with a specific error code.

And yes, I already read the handbook part on syslog:
https://docs.freebsd.org/en/books/handbook/config/index.html#configtuning-syslog

By the way, that's one of the very nice things from systemd: you can simply run your daemon in foreground and log to stderr, systemd handles the background and redirects all the logs in the logging facility, where you can access it.

rodolphe, to random

Tu sais que tu travailles dans le service public quand, un peu avant Noël, on t'annonce le gel des remboursements des frais de missions alors que tes dernières demandes n'ont toujours pas été honorées ¯_(ツ)_/¯

rodolphe,

@Flop_Ysh Merci ! Après, dans mon cas personnel, ce n'est pas si terrible que ça dans la mesure où ça ne représente pas une grosse somme et que je peux m'en passer le temps que la situation se débloque. C'est plus pour une question de principes et de l'exaspération à cause des problèmes récurrents à la fois sur les réservations et les remboursements de frais.

rodolphe, to random

La CNIL publie sa doctrine en matière de protection des données.

L'impossibilité de connaître les positions de la CNIL du fait de la non-publication de ses décisions était un des rares reproches qui était fait à la CNIL à raison par certains militants véhéments. C'est maintenant corrigé.

À titre personnel, je m'attends à ce que les attaques contre la CNIL à ce sujet continuent tout de même, les habitués de ce genre de pratiques étant à mon sens d'éternels insatisfaits plus portés sur le « CNIL-bashing » que sur la protection des données personnelles.

https://www.cnil.fr/fr/tables-informatique-et-libertes-la-cnil-publie-sa-doctrine-en-matiere-de-protection-des-donnees

rodolphe, to random

Au fait, la CNIL utilise ArchLinux. 😉

Dans le cadre de ses missions de contrôle, la CNIL peut procéder à des constatations en ligne. La forme la plus formelle est alors d'utiliser une machine virtuelle à usage unique, ceci afin de s'assurer que rien ne vienne « polluer » les constatations.

Afin d'éviter d'installer un nouveau système d'exploitation à chaque contrôle, une machine virtuelle « de référence » est créée et exportée. Ainsi, pour un contrôle, il suffit d'importer une copie de cette machine pré-configurée et de procéder à une mise à jour du système. Traditionnellement, cette machine virtuelle tournait sous Debian GNU/Linux.

Mais les problèmes sont arrivés. Il a été reproché aux contrôles en lignes d'utiliser une version trop ancienne de Firefox, ce qui a amené à l'installer via Flatpak plutôt que depuis les dépôts du système, ce qui a complexifié la création de la machine virtuelle de référence. Mais le problème principal a été le conflit entre Debian et Virtualbox qui a notamment mené au retrait des paquets officiels des additions invité (VirtualBox's Guest Additions). Si tout fonctionnait du temps où ils étaient officiellement empaquetés, l’installation manuelle posait des problèmes aussi bien en complexification de la création de la machine de référence que de fonctionnalités qui pouvaient casser sans prévenir.

Face à cette situation, Debian a été abandonnée au profit d'ArchLinux. La dernière version de Firefox y est disponible dans les dépôts officiels sans avoir besoin d'utiliser les dépôts de test et les additions invité de VirtualBox y sont officiellement empaquetées et donc pleinement fonctionnelles.

Comme vous pouvez vous en douter, la création de cette machine virtuelle de référence est semi-automatisée à l'aide de scripts qui, bien entendu, sont publiquement disponibles.

https://github.com/LINCnil/scripts-vm-cel

rodolphe,

@avron Pour ceux qui l'auraient oublié, le but ici n'est pas d'inciter les gens à utiliser un logiciel mais d'améliorer la transparence sur les procédures de contrôle d'une autorité administrative, et donc de contribuer au principe du contradictoire.

https://fr.wikipedia.org/wiki/Principe_du_contradictoire_dans_les_proc%C3%A9dures_juridictionnelles_en_France

rodolphe,

@avron Alors, les contrôles en lignes existaient bien avant les scripts précités. À l'époque, la création d'une nouvelle VM de référence était totalement manuelle et les agents en charge de cette création consignaient tout dans un document. Lorsque cette VM est utilisée dans une procédure de contrôle, le document (parfois deux documents en vrai) est joint au procès-verbal afin que l'organisme contrôlé puisse être informé de ce qui a été fait par les agents pour récolter les éléments de preuves. Et là oui, le contradictoire l'impose dans la mesure où l'environnement de collecte des preuves peut influer sur ladite collecte.

Un jour, afin de ne plus perdre un temps monstrueux pour chaque création d'une VM de référence, certaines étapes (mais pas toutes) ont été scriptées. En conséquent, le document existe toujours, mais mentionne juste l'utilisation des scripts en précisant bien entendu la version utilisée ainsi que l'URL de téléchargement.

J'insiste lourdement le fait que ces scripts ne sont qu'une automatisation d'une chose plus grande autour car ce n'est pas sans conséquence. Déjà, le résultat de l'exécution des scripts varie en fonction de la date de leur exécution, notamment à cause des mises à jours des paquets, donc ce n'est absolument pas destiné à être reproductible. Et sur la réutilisation, on est quand même dans un domaine de niche (mission régalienne) avec un lien très étroit au matériel et aux logiciels utilisés par la CNIL, donc absolument rien n'est prévu pour une utilisation plus large de ces scripts.

Bref, ces scripts sont publiés uniquement pour expliquer aux organismes contrôlés la manière dont ont été collectées les preuves durant la procédure de contrôle (respect du contradictoire) ainsi que de faire un effort de transparence auprès du public. Rien de plus.

__florie__, to random French

La matinale du matin tôt le matin c'est maintenant en direct jusqu'à 9h sur Twitch https://twitch.tv/floriemarie

rodolphe,

@pOtiron @__florie__ Avec le JavaScript de désactivé c'est totalement lisible sans accepter les cookies. Pour ma part j'utilise l’extension NoScript pour ça, mais c'est vrai que c'est difficilement gérable pour l'immense majorité des gens.

Du coup, j'ai fait une capture d'écran pleine page de l'article en espérant que ça soit lisible.

Une autre astuce, beaucoup plus simple, est d'ouvrir le lien dans une fenêtre de navigation privée. Ainsi, il est possible d'accepter les cookies sans que ces derniers ne soient mis en relation avec ceux qui sont déposés dans la fenêtre de navigation normale. À la fermeture de la fenêtre de navigation privée, tous les cookies de cette fenêtre sont supprimés (ainsi que toutes les autres données de navigation associées). Attention, les fenêtres de navigation privées sont « reliées entre elles », donc il faut bien toutes les fermées pour supprimer les données (et oui, ouvrir un nouvel onglet privé est similaire à ouvrir une nouvelle fenêtre privée).

nixCraft, to linux
@nixCraft@mastodon.social avatar

who made this one? lol #linux

rodolphe,

@Kolomona You're about to learn a very valuable life lesson the not-so-hard way. 😊

By the way, the interesting thing about this is not the consequences, but how it's constructed and how it works.

  • All
  • Subscribed
  • Moderated
  • Favorites
  • JUstTest
  • ngwrru68w68
  • everett
  • InstantRegret
  • magazineikmin
  • thenastyranch
  • rosin
  • GTA5RPClips
  • Durango
  • Youngstown
  • slotface
  • khanakhh
  • kavyap
  • DreamBathrooms
  • megavids
  • cubers
  • ethstaker
  • osvaldo12
  • modclub
  • cisconetworking
  • mdbf
  • tester
  • tacticalgear
  • Leos
  • normalnudes
  • provamag3
  • anitta
  • lostlight
  • All magazines
    •