jyes a écrit 908 commentaires

Même avec un compte académique, l’accès est refusé. Le document semble réservé à une élite très fermée.

Merci, je commençais à penser que je n'avais écrit qu'un ramassis d'âneries.

C’est une super dépêche. Je ne te félicite pas à chaque dépêche que tu écris, mais je les apprécie toutes, notamment du fait de l’éclectisme des sujets que tu abordes. Alors, merci de t’impliquer autant pour faire vivre ce site ! Et pour en revenir à la dépêche en question, moi que ne suis en général pas très friand des histoires de la vie des gens, j’ai trouvé celle-ci très instructive et très pertinente dans le contexte actuel.

Si les enseignants travaillent « à temps choisi » hors heures ouvrables et qu’ils ne choisissent pas tous les même temps (ce qu’il ne peuvent pas de toute façon puisqu’ils n’ont pas tous le même emploi du temps), alors les notifications et les besoins de réactions à de nouvelles sollicitations arrivent bien « à tout moment ». Le « temps choisi » n’a pas vraiment de sens dans ces conditions.

C’est tristement amusant de relever qu’au départ GTK est le sigle pour “Gimp’s Tool Kit”, une bibliothèque reprenant les widgets graphiques dévéloppés pour Gimp et les mutualisant pour être utilisés dans d’autres applications. Avec les évolutions de GTK et ses simplifications, c’est avec une pointe d’amertume que je lis que vous avez dû réintroduire des GimpAction, GimpToolbar et GimpMenuBar entre autres widgets pour compléter leurs pendants GTK* qui ont été trop simplifiés. À quand une mutualisation de ces widgets dans un nouveau toolkit de Gimp partagé afin que d’autres applications puissent s’en servir aussi? Un GTK-ng…

Autant, je pense que simplifier un toolkit ça a du sens, surtout pour un truc durable comme GTK, autant si le projet dont est issu GTK en arrive lui-même redévelopper un pseudo-toolkit par dessus GTK, c’est que GTK a sûrement taillé un peu trop dans le code.

Et il ne peut pas répondre à la question de cq car il ne travaille pas (encore) dans une entreprise, et que son employeur n’a pas (enfin plus) de but.

Sur le coup, ils n’ont de toute façon sûrement pas perdu beaucoup de clients vu que le bogue se contournait facilement avec un changement d’UA. Mais sans aller jusqu’à « assurer le bon fonctionnement de leur plate-forme sous Linux », écrire du code qui plante sur une chaine de caractère fournie par l’utilisateur donne une assez piètre image de leur QA justement. C’est d’autant plus triste, qu’à cette chaîne de caractère près, ça a toujours marché avec Linux, donc « leur chaîne technologique [est] compatible […] parce que respect de standards correctement implémentés en pratique ».

Oui, c’est un bogue qu’ils ont fini par corriger. Mais un bogue qui fait planter leur JavaScript à cause d’une simple chaine de caractère UA non gérée, qu’il leur a fallu plusieurs mois pour corriger, ça souligne un peu le propos de BAud : « c'est leur choix de perdre des clients potentiels ».

Parler de langue vivante en citant l’académie française, ça se voit que ce message a été posté un vendredi !

la production de ChatGPT n'est pas soumise au régime du droit d'auteur.

Non, mais le contenu qu’il a avalé et recrache au travers de son algo l’est !

Si tu prends le cas d’une IA un peu plus simple : ‘cat’; aussi intelligent que soit ce programme, on peut facilement s’accorder sur le fait qu’il ne produit d’œuvre de son esprit. Pourtant, quand tu fais ‘cat monfichier’, ça ne rend pas magiquement le contenu de ‘monfichier’ libre de droit.

ChaGPT mouline un peu plus entre ses fichiers d’entrée et de sortie, ce qui fait que tu as plus de mal en lisant sa sortie à retrouver les fragments des fichiers d’entrée qui l’ont produite, mais ça ne change pas grand chose à la question.

Pour les bureaux par ssh ça me paraît gadget.

C’est cool si tu ne t‘en sers pas, l’exemple donné « Xfce + x2go/SSH + virtualgl » est un cas assez courant pour l’exécution de code sur des machines de calcul à destination d’un public de non sysadmins. C’est aussi exotique que n’importe quel cas d’usage un peu spécialisé. Si l’on considère que chacun d’eux est gadget, à la fin on a vite fait d’enlever tous les cas d’usages réels. Surtout quand on parle de RedHat, qui n’est pas la distrib’ desktop de référence, mais couramment utilisée sur des machines partagées.

Il manque encore la « barre oblique inversée » comme le pointe flavien75.

Russie + Chine c'est moins de 10% des IPs rejetées…

C’est parce-que leur attaque par dictionnaire est plus efficace et qu’elles réussissent à se connecter avant d’être arrêtées par fail2ban ! Débranche tous tes serveurs !

Si tu n’as pas trouvé de meilleure raison pour abandonner Twitter, tu peux toujours utiliser celle-ci comme prétexte, mais ça fait un moment qu’on n’arrive plus à y rentrer de texte neutre.

Merci pour cette découverte, je n’utilise pas POV mais ça m’a permis de tester ce que sont que les services NNTP. J‘en avais bien sûr entendu parler depuis longtemps, mais je ne connaissais pas de service qui utilise ce protocole et n’avais donc jamais essayé. Du coup, je viens de faire un essai avec celui de POV, et je ne comprends pas le succès des discourse/discord/etc. NNTP faisait déjà tout ça, en mieux, depuis 1986 !

Première ligne de la page Wikipédia pointée (le gras est de moi) :

Eric Steven Raymond (né le 4 décembre 1957 à Boston, Massachusetts, aux États-Unis), connu également sous les initiales ESR, …

Eric S. Raymond

quand il s'agit de lister des logiciels […] je ne sais pas si la considération « de "réinformation" » est pertinente

En tout cas, celle juste d’« information » ne le semble pas.

A quel niveau se situe Yunohost en terme de cybersécurité?

YunoHost applique un certain nombre de bonnes pratiques. C’est plutôt bien fichu. Maintenant, c’est un système prêt à l’emploi, fait pour être déployé chez plein de gens sans adaptation donc il ne s’adapte pas à un modèle de menace particulier et s’il est troué, tous les utilisateurs sont touchés (on peut donc imaginer être plus facilement touché par des failles non spécifiques à une installation propre, mais je ne crois pas que la base d’utilisateur soit si grande pour particulièrement motiver les pirates).

Des outils tels que Fail2Ban sont-ils intégrés et configurés de base

Oui. YunoHost applique un certain nombre de bonnes pratiques. Les réglages par défaut de SSH et des autres services sont aussi bien pensés. De plus, si tu sais ce que tu fais, tu peux appliquer tes modifications personnelles comme tu le souhaites. YunoHost, c’est avant tout une Debian. Chez moi par exemple, la connexion à un shell via SSH est complètement désactivée, mais évidemment, il te faut alors un autre accès à ta machine.

Pour les avantages/inconvénients, il y a une affaire de goût, et j’ai tendance à préférer le fonctionnement des logiciels XMPP. Mais au delà du goût personnel, il n’y a pas (à ma connaissance) de bonne appli XMPP qui fonctionne bien sur iOS. La situation est peut-être en bonne voie d’amélioration avec le test de notification push XMPP pour iOS abordé dans cette lettre d’information, mais (comme souvent) iOS est le plus gros problème, plus que les protocoles ou les applis, dès que tu cherches une solution qui donne un peu de liberté à ses utilisateurs.

Merci !

C’est la première réponse synthétique que je trouve et qui donne une piste claire à suivre. Je suis en train de tester pyenv. De ce que j’en constate pour le moment, pyenv + virtualenv pourrait bien être la combinaison qui me fera changer d’avis sur Python. L’avenir me le dira… mais je te remercie dès à présent pour cette piste !

Pour ma part, conda me permet de gérer le python et je reste sur les outils classiques pip/pipx and co

Alors, j’ai une question que je n’ai encore jamais oser poser, mais j’assume aujourd’hui que je ne comprends rien à Python. Python, ça marche très bien sur ma Debian à coup de paquets installés via APT, mais un jour, j’ai voulu créer un environnement de développement « contrôlé » pour pouvoir distribuer un script et ses dépendances proprementet les exécuter sur un autre ordinateur. Après beaucoup (mais peut-être pas assez) de lectures de la forme « pipx fait comme pip mais en bien », « pip, c’est comme conda mais sans les défauts » et les « poetry, c’est comme pip et pipx, mais en plus pratique en plus on peut tout utiliser ensemble », j’avoue n’avoir rien compris à quelle sont les bonnes pratiques. Et ça, c’est sans compter que chaque outil à plusieurs manière d’être installé et d’installer les modules qu’il gère et que tous ces outils semblent être faits pour être installés à partir de l’un des autres.

• Donc, si je veux un environnement dans lequel je connais et contrôle la version de Python et les modules installés et leurs version, je fais comment ?
• Question bonus, si je veux plusieurs environnements qui ne se marchent pas sur les pieds, la méthode précédente fonctionne-t-elle toujours ?
• Question subsidiaire, y a-t-il une méthode qui ne dépend pas (trop) de la version et des modules de Python installés sur le système hôte (à part un conteneur au sens Docker/LXC/etc) ?

Je crois que la suggestion de Zenitram c’était plutôt quelque chose comme cet exemple¹ où le plus haut est le meilleur et la référence est normée à 1. Ça t’évite aussi l’échelle logarithmique qui n’a pas de sens pour ta référence et qui ne rend pas visuelle la comparaison.

En l’occurrence, en anglais tu pourrais bien « spoil » une expérience cinématographique avec ton maudit « popcorn », donc la traduction en divulgâcher prend un sens plus spécifique que l’original. Ce qui va dans le sens de ce qu’écrivais Skilgannon, il n’y avait peut-être pas besoin d’un néologisme puisque la traduction existante s’appliquait déjà très bien.

"Received:" indique que le mail a été reçu d'un serveur qui prétend s'appeler pf2pusi003.dgfip.finances.gouv.fr. Mais il n'y a aucun moyen de savoir si il appartient vraiment à la DGFiP,

Si, cette partie là est relativement fiable, car l’entête « Received: » est ajouté par le serveur qui reçoit. S’il n’y a pas d’intermédiaire douteux, en remontant la chaîne des relais avec les entêtes « Received: » on doit pouvoir s’assurer qu’à un moment le message est passé de l’émetteur proclamé (DGFiP) au serveur destinataire qui est de confiance. En effet, le champs « Received: » étant ajouté par le receveur, il y enregistre l’adresse IP qui lui a relayé le message et y ajoute éventuellement pour plus de clarté un reverse-DNS sur cette IP. Ici, il existe donc bien un enregistrement DNS pour l’IP 145.242.11.67 qui lui associe le nom « pf2pusi003-9.dgfip.finances.gouv.fr » donc qui est bien enregistré par un service de l’état.

Cela se vérifie en exécutant la même requête chez soi avec la commande host 145.242.11.67. Ce qui est fiable ici ce n’est pas le nom « pf2pusi003.dgfip.finances.gouv.fr », mais « pf2pusi003-9.dgfip.finances.gouv.fr ». On notera d’ailleurs que host pf2pusi003.dgfip.finances.gouv.fr retourne une IP différente.

Non, on ne voit pas tous les échanges, on voit juste la source mais elle ne contient pas tous les échanges. En fonction des serveurs par lesquels est passé le message, l’information peut être plus ou moins riche. En général, les serveurs ajoutent un entête « Received: » mais ça n’est pas une obligation, ils peuvent aussi ajouter d’autres trucs (comme des infos pour les filtres anti-spam), mais le « MAIL FROM: » du protocole SMTP auquel faisait référence xulops n’y est pas souvent (je ne l’ai jamais vu). Encore une fois, cela dépend complètement de choix d‘opération des serveurs. Quand j‘utilise mon service de messagerie professionnelle, j’ai remarqué que si j’utilise une adresse qui n’est pas associée à mon compte, il me laisse « usurper »¹ cette identité mais ajoute un en-tête avec l’identifiant de l’expéditeur.