Un exemple : LLVM. C'est une bibliothèque qui change ses API à chaque nouvelle version. Donc si ta distribution livre la version 3.3 mais que tu as besoin de la version 3.5 (ou vice-versa), tu es bon pour recompiler LLVM à la main. Et ça ne prend pas 30 secondes…
Mauvaise distrib, changer de distrib? apt-cache search llvm renvoie
llvm-3.4 - Compilateur modulaire et technologies de chaînes de compilation
llvm-3.3 - Modular compiler and toolchain technologies
llvm-3.5 - Modular compiler and toolchain technologies
J'ai un super-truc à partager : au lieu de faire Ctrl-Shift-A Alt-Z Ctrl-espace pour sauver un fichier, il existe certains logiciels où on peut faire un raccourcis souris : on clique sur "Fichier", puis sur "Sauvegarder". C'est une question d'habitude, mais on arrive à passer quelques semaines sans tendinites.
compilation
Voila : fail.
tour d'ivoire. Impressionnant.
Je ne comprends pas le raisonnement, mais c'est peut-être dû au non-respect des standards de la grammaire.
Toutes les distributions empaquètent une très grande quantité de logiciels populaires. Je n'ai jamais dû recompiler Gimp, LibreOffice, ou Firefox sur n'importe quelle distrib. La question ne se pose donc que sur des logiciels spécifiques—typiquement, des logiciels de niche, ou des versions beta en cours de développement. Je ne trouve absolument pas choquant que l'utilisateur doive s'y connaitre un tout petit peu plus s'il veut avoir quelque chose que sa distribution ne fournit pas. En gros, madame Michu ne sera jamais confrontée à la nécessité de compiler quoi que ce soit, parce qu'elle n'aura jamais besoin de quelque chose qui n'est pas disponible dans sa distribution.
Par ailleurs, cette espèce de phobie de la compilation me semble totalement déraisonnable. Personnellement, je ne comprends rien du tout aux cliquodromes Setup à la Windows ; on nous demande des infos non-pertinentes (comme le répertoire dans lequel le logiciel doit être installé), le processus n'est jamais vraiment le même, parfois en anglais et parfois non, et de manière générale, je n'ai jamais compris qui fait quoi dans cette histoire (est-ce que l'installation est gérée par le système ou par le logiciel que je viens de télécharger, parfois à partir d'un site douteux?). Bref, installer un binaire en cliquant sur des boutons "Next" et en remplissant des trucs au hasard me parait loin d'être simple, et surtout extrêmement dangereux pour l'intégrité du système. C'est juste parce que les gens sont habitués qu'ils sont capables de passer la procédure.
D'une manière générale, il est évident que le moyen simple et sécurisé d'installer des logiciels sur un système est de passer par un système de dépôt. L'installation à partir d'autre chose que le dépôt est toujours complexe, dangereux, et non-standard. On peut dire "compilation caca, setup clic clic super", mais ça ne correspond à aucune réalité, parce que setup clic clic caca très souvent aussi.
elle n'est incompatible qu'avec certains logiciels: ceux dont les sources sont fermées ou libres qui n'ont pas été compilés pour cette distro
Mouais, il faudrait quand même bien définir "incompatible". Pour moi, si on récupère les sources et les bonnes versions des bibliothèques, et que ./configure && make fonctionne, le logiciel est "compatible". Il n'est juste pas packagé, mais il est compatible.
On ne peut pas nier que ce qui pose le plus de problème sous Linux, c'est la compatibilité binaire. Les logiciels qui sont distribués avec les sources posent beaucoup, beaucoup moins de problèmes, et ces problèmes sont très souvent dûs à des mauvaises pratiques de programmation (mauvais choix des dépendances, non-respect des standards du langage, etc). C'est sûr, c'est toujours énervant de se payer 243 erreurs de compilation quand on tente de compiler un logiciel non-maintenu depuis 2002 sur un Linux récent, mais est-ce vraiment une mauvaise chose?
En même temps, les distros "alternatives" qui ne durent que quelques années peuvent permettre de faire des expériences, mettre en pratique une idée théorique, etc. Si l'idée est bonne, elle peut être reprise par des distributions mainstream.
Mais bon, dans l'ensemble, je suis bien d'accord pour dire que ces distros marginales peuvent être source de confusion pour les débutants. Je suis parfois surpris dans les forums de discussion de voir des questions du genre "j'ai installé XXX et ça ne boote pas", avec XXX = une distribution de garage dont personne n'a jamais entendu parler. Il me semble tout à fait naturel pour un grand débutant de choisir une distribution grand public, ne serait-ce que par la quantité de doc et la disponibilité du support. Or, les gens plein de bonne volonté qui se lancent dans des distros dans leur garage sont en général tellement pleins d'enthousiasme qu'ils conseillent leur distro à tout le monde.
Pour trempérer, il faut probablement admettre que l'énergie dépensée en pure perte dans les distributions marginales ne pourrait certainement pas être mise à profit pour les distributions majeures. Un geek de 17 ans assez inconscient pour lancer un projet de distribution tout seul serait probablement un piètre mainteneur Debian…
J'ai l'impression qu'on a facilement tendance à mélanger deux choses : les données privées (par exemple, les photos de vacances qu'on met sur un serveur qu'on pense sécurisé) et les données personnelles (adresse, téléphone, liste d'"amis", etc). Il ne faut quand même pas oublier qu'a priori, pas grand monde (à part les services de l'État, éventuellement) ne surveille Internet en tant que tel. Quand on utilise des services sur Internet (moteur de recherche, webmail, réseaux sociaux), on utilise des ressources privées (les serveurs d'une entreprise), qui nous fournit un service en échange d'argent, d'informations, ou de quelque chose de pas clair. Du coup, j'ai du mal à comprendre ce qu'on peut reprocher à ces lieux privés : on y est surveillés, mais quelque part, on n'est pas chez nous, et on n'est même pas dans le domaine public. Quand on va au restaurant avec sa maitresse, on prend le risque que le serveur donne l'information à notre femme : on a dévoilé une information personnelle en public, on ne peut pas s'attendre à ce qu'elle reste privée.
Bien sûr, le traitement centralisé de ces informations est inquiétant, et bien sûr, l'automatisation de l'analyse des données présente des dangers, et pourrait être limitée par des lois plus contraignantes (par exemple, on pourrait imposer l'anonymisation réelle). Il y a également des cas où ces entreprises ont connaissance d'informations de manière illégitime (par exemple, un email transféré qui arrive sur gmail et qui fournit des infos sur l'expéditeur initial, qui n'avait aucun rapport avec google). Mais dans l'ensemble, ces entreprises n'ont accès qu'à ce qu'on a bien voulu leur donner. Si on ne veut rien à voir avec Google, on est libres de ne pas utiliser ses services (un peu comme on est libres de ne pas aller faire ses courses chez Leclerc).
Le "moindre désaccord" est quand même dû à un gouvernement se disant "socialiste" et faisant passer par la force un projet de loi à la gloire du capitalisme, et piétinant les valeurs dites de gauche !
C'est vraiment portnawak. La loi Macron est une accumulation incohérente de petits trucs sans grand intérêt, mais elle n'a aucune portée symbolique. Quand tu regardes le texte, c'est très technique, sans ambition, sans idéologie particulière—une sorte de révision intermédiaire, avec tout plein de bug fixes, et des modifications de code qui pourraient préfigurer de nouvelles fonctionalités qui n'existent pas encore. J'ai l'impression que tu t'es fait bourrer le mou, et que ta réaction est disproportionnée par rapport au problème.
Le vrai scandale, c'est plutôt ce qu'il n'y a pas dans la loi, c'est à dire le constat que nos gouvernements sont incapables de produire autre chose que des bug fixes depuis des décennies, alors qu'on a besoin de changements de version majeurs.
En gros, le système actuel est fonctionnel du point de vue algorithmique
Je ne suis pas d'accord. Si tu as deux candidats aux idées similaires, ils risquent de se gêner mutuellement et de ne pas atteindre le deuxième tour, alors que l'un des deux seulement aurait pu passer. C'est même le principal défaut de l'algorithme : il se base sur l'idée que les candidats sont une sorte de liste nominale et que si tu en retires un, les voix se disperseraient proportionnellement sur les autres. Or, c'est loin d'être le cas.
Les méthodes sophistiquées comme Condorcet sont inapplicables en démocratie, car beaucoup trop complexes, et beaucoup trop à même d'entrainer des votes stratégiques (à tort ou à raison). Par contre, le vote par valeur est intéressant, et je suis surpris qu'il n'ait jamais été vraiment testé. Son seul risque est de favoriser les candidats insipides, mais est-ce un gros risque vu la réussite des candidats "engagés"?
Je ne vois pas le rapport entre s'opposer à un projet de loi et voter une motion de censure. Tu peux être contre un amendement mais voter la loi quand même, ou contre une loi et soutenir le gouvernement. Si tu sors d'un groupe parlementaire au moindre désaccord, tu vas te retrouver tout seul au bout de 15 jours, et tu ne sers plus à rien.
1) On va voir le chef avec un devis pour augmenter la bande passante.
2) Le chef: "ouh lala, ça coûte cher. Pourquoi a-t-on besoin d'autant de bande passante?"
3) L'admin: "en théorie, pour le boulot, ça n'est pas nécessaire. Mais on ne peut pas empêcher les gens de faire des trucs privés, et ça empêche les autres de bosser".
4) Le chef se jette sur son clavier et envoie un email contenant un rappel à la charte informatique que tout le monde a dû signer.
Ca depend quel application. Je peux t'en citer pas mal qui auront du mal a soutenir la charge.
Ça me parait peu probable. Évidemment, il faut télécharger l'application à la première utilisation pour la mettre en cache, ça peut être un peu long (mais pas plus que de télécharger un binaire à installer). Ensuite, il n'y a que les données qui transitent. Et alors là, je ne vois pas vraiment quel type d'application peut gérerer des flux de données assez importants pour mettre ta connexion à genoux (traitement d'image, de vidéos, ou de documents sonores peut-être? Et encore, il doit y avoir moyen d'utiliser des caches en local pour ne pas attendre la fin du transfert pour commencer à travailler, ou simplement d'héberger son répertoire de travail sur le serveur distant). Pour la très grande majorité des applications, les seules informations à envoyer proviennent des actions des utilisateurs (clics ou frappes clavier).
Xubuntu 12.04, c'est la version de la distribution. Une distribution contient des centaines de logiciels : le navigateur internet, libre office, le bureau, etc. Parmi tous ces logiciels, il y a le noyau Linux. Quand on change de version de distruibution, on change de version pour tous les logiciels qu'elle contient. La plupart du temps, les versions les plus récentes vont écraser les versions anciennes, c'est complètement transparent. Mais pour quelques composants critiques, comme le noyau Linux, il est possible que la nouvelle version ne remplace pas l'ancienne : l'ancienne version est conservée au cas où la nouvelle fonctionne mal. Les versions du noyau s'accumulent donc au fil des mises à jour. En général, ça n'est pas grave, il n'y a pas vraiment de raison de retirer les anciennes.
car ils ne pouvaient pas tenir la pression du coût d'un procès
En même temps, le coût d'un procès dépend de ce que tu veux y mettre. Même aux US, où la justice est quand même un peu bizarre, ce n'est pas toujours celui qui a les avocats les mieux payés qui gagne.
On peut aussi déplorer le manque de recherche académique sur l'histoire des idées en informatique. Il existe toujours tout un tas de documents informels, de discussions de forums, ou de blogs plus ou moins obscurs qui retracent l'invention de la souris ou de la programmation objet, mais pourquoi ne pas avoir des spécialistes universitaires qui travailleraient là-dessus, et sur qui la justice pourrait justement compter pour extraire la réalité historique de l'invention du blabla juridique entourant le brevet.
Euh… Faut pas prendre les mecs de la NSA pour des idiots non plus.
Pardon, je reformule : il ne s'en rendra pas compte tout de suite.
Imagine : tu as une petite interface toute bien fichue, avec un champ pour copier-coller la partie variable (titres d'un site de news). Tu fais ton copier-coller, et hop, on lance un script qui compose le canary, le chiffre, et le publie. Franchement, ça ne m'étonnerait pas que le gars de la NSA, tout compétent qu'il est, manque le fait que le tout petit paragraphe manque sur le canary final. C'est quand même un gros pavé d'une centaine de lignes, et il ne semble pas intuitif a priori que le développeur du script ait pensé à ne pas inclure ce paragraphe "fixe" dans son pipeline. Le temps de s'en rendre compte, c'est trop tard. En plus, on peut toujours plaider la bonne foi, du style "comment voulez-vous que je fasse les choses correctement avec une arme pointée sur moi".
Oui. C'est clairement une histoire de confiance (d'intégrité de celui qui signe).
Ça peut marcher pour les projets libres qui ne sont pas pilotés par des intérêts financiers : si tu ne peux pas résister aux pressions des agences, tu coules le projet et tu montes un fork. Par contre, dans le monde du business, c'est un suicide.
L'autre problème, c'est que ça ne peut avoir un intérêt que si le logiciel fait quelque chose de simple, et qu'il n'y a pas de base de données d'utilisateurs. Il est évdent qu'un fournisseur d'accès à Internet ou un gros hébergeur va finir par recevoir des demandes légitimes des autorités ; Google, Apple, ou n'importe quel gros FAI ne pourrait pas tenir très longtemps avec un canary global (à moins évidemment que le seul but du canary est d'expliquer aux clients qu'ils ne doivent pas compter sur la sécurité absolue du système, une sorte de disclaimer: "attention, je refile de temps en temps des infos aux autorités").
Que faut-il en déduire ? Pas grand chose à mon avis, sinon que dans le doute la méfiance s'impose.
Oui, et que le principe du canary a un gros défaut : il est totalement intolérant aux erreur. Une simple erreur de mise à jour (oubli, blague, vandalisme d'un employé malheureux…) rend le logiciel douteux pour toujours, puisqu'elle est indiscernable d'un message volontaire. Je verrais bien le scénario suivant : le canary est conçu pour que la partie "variable" (avec les news) contienne également le paragraphe critique qui affirme que la boite est clean. Du coup, même avec un gars de la NSA qui pointe un flingue dans son dos, il est tout à fait possible de mettre à jour le canary sans le message, le type de la NSA ne s'en rendra probablement pas compte. Quand il réalisera son erreur, il sera trop tard. Et j'ai l'impression que c'est tout à fait ce qui a pu se passer.
Du coup, je me demande quand même si la technique du canary est très utile quand des entreprises sont impliquées. En gros, passer un message via le canary revient à couler la boite. Bien sûr, ne pas passer le message revient à abuser ses clients, mais quand il y va de la survie financière d'une entreprise, les bons sentiments sont rarement de la partie.
Sous ce titre hautement intellectuel, un partage d'expérience avec mon portable Dell : jamais aucun problème pour brancher l'ordi en VGA avec le driver nvidia proprio et Ubuntu (vidéoprojecteur, TV, n'importe quoi) : la résolution s'adapte automatiquement, la détection à chaud fonctionne parfaitement. En HDMI, grosse cata : écran noir instantané et hard reboot (!), je n'avais pas vu ça depuis que mon chat avait mangé ma souris (littéralement). J'ai du mal à comprendre comment un problème de driver peut faire rebooter la machine, mais apparemment, c'est possible. Inutile de le préciser, le même cable sous Windows fonctionne…
De toutes manières, la question se posait déja avant même l'idée de passer en libre : tu as un soft proprio qui inclut quelque chose (les templates) qui s'apparentent (?) à du code, en provenance d'un autre soft proprio dont la licence est inconnue. Si ce deuxième soft n'autorise pas la redistribution des templates, alors c'était déja un problème avant même de parler de licence GPL.
Entre nous, je trouve que le principe d'un logiciel libre dont le seul objectif est de fournir des fichiers lisibles par un logiciel propriétaire est un peu étrange. On a un workflow avec des briques de libre, mais le pipeline n'est pas libre, quoi qu'il en soit. Au final, j'aurais un peu l'impression de coder un plugin pour un logiciel proprio ; ça rend surtout service à l'éditeur du soft proprio en question (surtout si le type de fichier est couvert par des brevets au autres saloperies qui rendent son remplacement compliqué), mais certainement pas à l'utilisateur…
La NSA non mais les agences gouvernementale des pays "amis" de la NSA, voir les amis des amis… la je t'assure que SI.
Tu peux m'assurer ce que tu veux, je reste dubitatif. En gros, la NSA veut insérer une backdoor dans un logiciel. Elle fait pression sur les contributeurs US pour insérer la backdoor discrètement. Elle utilise ensuite la clause de la loi machin pour les empêcher de révéler qu'elle existe. Ils font ensuite en sorte de récupérer les clés secrètes des contributeurs US qui mettent à jour le canari, pour empêcher la divulgation de leur intervention. Et là, couic, ils ont besoin de récupérer la clé d'un contributeur qui habite en Europe. Tu crois vraiment qu'une agence gouvernementale d'un pays Européen va accepter d'aller menacer illégalement un de leur ressortissant (puisque la loi correspondante n'existe pas en Europe) pour faire appliquer quelque chose qui n'est pas couvert par la loi US (la mise à jour du canari) sans être mise dans la combine (l'accès à la backdoor)? La théorie du complot a des limites. J'imagine que la seule raison pour que ça puisse se faire est que l'agence Européenne ne comprenne pas vraiment pourquoi la NSA veut la clé, mais qu'elle la récupère en preuve de coopération.
bref compromis ou pas… le canary siffle…
Je pense surtout que si l'agence US veut passer inaperçu, elle va tout faire pour maitriser l'ensemble de la chose dès le début (c'est à dire qu'elle va attendre d'être sûre de pouvoir maintenir le canari à jour avant de jouer le moindre pion). Le plus simple me semble être de cibler la démarche : au lieu d'envoyer une lettre recommandée à toute la boîte, on cherche un maillon faible sur qui on peut faire pression, et qui va tout organiser dans le secret : refiler les infos à la NSA, ou modifier discrètement le code (passer une backdoor dans un commit quelconque), en faisant en sorte que personne d'autre ne s'en doute.
Je ne sais pas exactement jusqu'où la justice américaine peut aller, mais si en effet on te force à refiler tes clés et à laisser les ingénieurs de la NSA accéder à tes serveurs, le canari peut très bien être mis à jour par les agences gouvernementales de toutes manières. J'imagine que personne ne pense que c'est une sécurité absolue. Par contre, ça peut quand même pousser les agences en question à la limite de leurs possibilités, typiquement si certains responsables du projet sont européens. Je ne pense pas que la NSA ait les moyens d'intervenir physiquement en Europe, par exemple.
Mouais, faut pas abuser non plus. Ce n'est pas l'œouvre du siècle, mais toute photo originale a droit à la protection au titre de la propriété intelletcuelle. Le délit de contrefaçon semble constitutué, il est évident que c'est la même photo (même angle, même éclairage, même hauteur de la mer, etc), et la photo a été reprise sur un site à vocation commerciale. Le photographe a donc droit à des indemnités, il existe même un barême pour ça.
Ceci étant dit, les indemnités ne couvriraient jamais les frais de justice, c'est un délit mineur, et on peut très bien s'arrêter là. Il s'agit plus d'une incivilité qu'autre chose, un problème moral plus que légal. C'est équivalent à "mon voisin n'a pas taillé sa haie qui dépasse chez moi, j'ai dû lui dire, et il l'a taillée" : le préjudice est minime, et il n'y a pas de raison objective de poursuivre plus loin à moins de vouloir jouer au chevalier blanc (avec un risque réel de se faire bananer en justice, parce que la justice, au contraire de ce qu'on entend ici ou là, ça n'est pas qu'une chambre d'application des lois. En particulier, les juges ont horreur de perdre leur temps).
En ce qui concerne le comportement des professionnels en question, j'ai toujours eu la même réaction quand j'ai signalé des plagiats de passages que j'avais écrit sur Wikipédia. J'ai toujours envoyé des mails qui disaient que j'était content que Wikipédia soit réutilisée, mais que je demandais le respect de la licence, et pouf, tous les contenus disparaissent, et pas un mail d'excuses ou d'explications. C'est presque contre-productif, en fait.
Ici, on parle de distribution par une entité pour avoir une utilisation plus loin que le geek dans son coin, pas de compilation par l'utilisateur.
Il me semblait que ma question était claire : il existe des distributions Linux qui ne disposent que de paquets de sources, la compilation étant réalisée automatiquement sur la machine de l'utilisateur. Une telle distribution ne me semble pas affectée par les problèmes de licences sur le brevet, qui ne mentionnent que les binaires.
Et après tu parles de compilation?
Désolé, le journal est clair : 1 partie licence de code, une autre partie brevets.
Je ne vois pas le rapport entre la compilation et le fait que le "journal" ne soit constituté que d'un copié-collé d'une licence logicielle. Beaucoup d'entre nous vivent dans une partie du monde où les brevets logiciels n'ont pas de base légale, il ne me semble pas délirant d'avoir un peu de contexte pour comprendre ce que l'auteur du journal trouve intéressant parmi 200 lignes de charabia juridique spécifique des législations nord-Américaines…
Techniquement, c'est pas un journal, c'est le texte d'une licence. Je ne pense pas qu'on puisse considérer ça comme "lisible".
Rien ne l’empêche, tant que la distrib a la licence MPEG-LA.
OK pour le binaire, mais comment ça marche si la distrib fournit les sources et que le plug-in est compilé sur la machine de l'utilisateur? Il me semble que ça ne viole pas la licence—évidemment, ça sous-entend que l'utilisateur final prend la responsabilité d'utiliser un binaire couvert par un brevet logiciel, mais en Europe, on s'en fout complètement, non?
J'ai dû louper un épisode, parce que je ne comprends pas ce qui empêche la distrib d'empaqueter le binaire du plug-in sous licence BSD compilé par ses soins?
Bon, les brevets logiciels, cdla mrd et tout, on ne revient pas là-dessus. Ceci étant dit, l'argumentaire de StreamScale comporte au moins un point intéressant : ils prétendent que James Plank a été un consultant rémunéré par StreamScale, que dans le cadre de ce contrat, il a signé un certain nombre de clauses, et qu'en contrepartie, il a été mis au coutant de "secrets industriels", secrets qui ont été ensuite révélés dans des publications académiques. Bien entendu, il est impossible de juger en l'état si ces secrets existaient, s'ils ont bien été transmis de StreamScale à Plank et pas l'inverse, etc., mais on n'est pas variment dans le cas où un chercheur académique indépendent se trouve attaqué par une boite privée pour avoir réinventé un algorithme trivial protégé par brevet. Il semble que le chercheur n'était pas vraiment indépendent, mais qu'il avait des relations contractuelles avec cette entreprise, et que ce contrat prévoyait l'échange d'informations sur les algorithmes objets du litige.
[^] # Re: pas de systemd, et ?
Posté par arnaudus . En réponse au journal NuTyX, une distribution atypique . Évalué à -1.
Mauvaise distrib, changer de distrib? apt-cache search llvm renvoie
llvm-3.4 - Compilateur modulaire et technologies de chaînes de compilation
llvm-3.3 - Modular compiler and toolchain technologies
llvm-3.5 - Modular compiler and toolchain technologies
Y'a de quoi faire.
# Raccourcis souris
Posté par arnaudus . En réponse au journal Faire de la magie avec son .inputrc. Évalué à -10.
J'ai un super-truc à partager : au lieu de faire Ctrl-Shift-A Alt-Z Ctrl-espace pour sauver un fichier, il existe certains logiciels où on peut faire un raccourcis souris : on clique sur "Fichier", puis sur "Sauvegarder". C'est une question d'habitude, mais on arrive à passer quelques semaines sans tendinites.
[^] # Re: pas de systemd, et ?
Posté par arnaudus . En réponse au journal NuTyX, une distribution atypique . Évalué à 8.
Je ne comprends pas le raisonnement, mais c'est peut-être dû au non-respect des standards de la grammaire.
Toutes les distributions empaquètent une très grande quantité de logiciels populaires. Je n'ai jamais dû recompiler Gimp, LibreOffice, ou Firefox sur n'importe quelle distrib. La question ne se pose donc que sur des logiciels spécifiques—typiquement, des logiciels de niche, ou des versions beta en cours de développement. Je ne trouve absolument pas choquant que l'utilisateur doive s'y connaitre un tout petit peu plus s'il veut avoir quelque chose que sa distribution ne fournit pas. En gros, madame Michu ne sera jamais confrontée à la nécessité de compiler quoi que ce soit, parce qu'elle n'aura jamais besoin de quelque chose qui n'est pas disponible dans sa distribution.
Par ailleurs, cette espèce de phobie de la compilation me semble totalement déraisonnable. Personnellement, je ne comprends rien du tout aux cliquodromes Setup à la Windows ; on nous demande des infos non-pertinentes (comme le répertoire dans lequel le logiciel doit être installé), le processus n'est jamais vraiment le même, parfois en anglais et parfois non, et de manière générale, je n'ai jamais compris qui fait quoi dans cette histoire (est-ce que l'installation est gérée par le système ou par le logiciel que je viens de télécharger, parfois à partir d'un site douteux?). Bref, installer un binaire en cliquant sur des boutons "Next" et en remplissant des trucs au hasard me parait loin d'être simple, et surtout extrêmement dangereux pour l'intégrité du système. C'est juste parce que les gens sont habitués qu'ils sont capables de passer la procédure.
D'une manière générale, il est évident que le moyen simple et sécurisé d'installer des logiciels sur un système est de passer par un système de dépôt. L'installation à partir d'autre chose que le dépôt est toujours complexe, dangereux, et non-standard. On peut dire "compilation caca, setup clic clic super", mais ça ne correspond à aucune réalité, parce que setup clic clic caca très souvent aussi.
[^] # Re: pas de systemd, et ?
Posté par arnaudus . En réponse au journal NuTyX, une distribution atypique . Évalué à 0.
Mouais, il faudrait quand même bien définir "incompatible". Pour moi, si on récupère les sources et les bonnes versions des bibliothèques, et que ./configure && make fonctionne, le logiciel est "compatible". Il n'est juste pas packagé, mais il est compatible.
On ne peut pas nier que ce qui pose le plus de problème sous Linux, c'est la compatibilité binaire. Les logiciels qui sont distribués avec les sources posent beaucoup, beaucoup moins de problèmes, et ces problèmes sont très souvent dûs à des mauvaises pratiques de programmation (mauvais choix des dépendances, non-respect des standards du langage, etc). C'est sûr, c'est toujours énervant de se payer 243 erreurs de compilation quand on tente de compiler un logiciel non-maintenu depuis 2002 sur un Linux récent, mais est-ce vraiment une mauvaise chose?
[^] # Re: pas de systemd, et ?
Posté par arnaudus . En réponse au journal NuTyX, une distribution atypique . Évalué à 7.
En même temps, les distros "alternatives" qui ne durent que quelques années peuvent permettre de faire des expériences, mettre en pratique une idée théorique, etc. Si l'idée est bonne, elle peut être reprise par des distributions mainstream.
Mais bon, dans l'ensemble, je suis bien d'accord pour dire que ces distros marginales peuvent être source de confusion pour les débutants. Je suis parfois surpris dans les forums de discussion de voir des questions du genre "j'ai installé XXX et ça ne boote pas", avec XXX = une distribution de garage dont personne n'a jamais entendu parler. Il me semble tout à fait naturel pour un grand débutant de choisir une distribution grand public, ne serait-ce que par la quantité de doc et la disponibilité du support. Or, les gens plein de bonne volonté qui se lancent dans des distros dans leur garage sont en général tellement pleins d'enthousiasme qu'ils conseillent leur distro à tout le monde.
Pour trempérer, il faut probablement admettre que l'énergie dépensée en pure perte dans les distributions marginales ne pourrait certainement pas être mise à profit pour les distributions majeures. Un geek de 17 ans assez inconscient pour lancer un projet de distribution tout seul serait probablement un piètre mainteneur Debian…
# Données privées != données personnelles
Posté par arnaudus . En réponse au journal L'hypocrisie du refus des « boîtes noires » à l'époque des GAFA. Évalué à 1.
J'ai l'impression qu'on a facilement tendance à mélanger deux choses : les données privées (par exemple, les photos de vacances qu'on met sur un serveur qu'on pense sécurisé) et les données personnelles (adresse, téléphone, liste d'"amis", etc). Il ne faut quand même pas oublier qu'a priori, pas grand monde (à part les services de l'État, éventuellement) ne surveille Internet en tant que tel. Quand on utilise des services sur Internet (moteur de recherche, webmail, réseaux sociaux), on utilise des ressources privées (les serveurs d'une entreprise), qui nous fournit un service en échange d'argent, d'informations, ou de quelque chose de pas clair. Du coup, j'ai du mal à comprendre ce qu'on peut reprocher à ces lieux privés : on y est surveillés, mais quelque part, on n'est pas chez nous, et on n'est même pas dans le domaine public. Quand on va au restaurant avec sa maitresse, on prend le risque que le serveur donne l'information à notre femme : on a dévoilé une information personnelle en public, on ne peut pas s'attendre à ce qu'elle reste privée.
Bien sûr, le traitement centralisé de ces informations est inquiétant, et bien sûr, l'automatisation de l'analyse des données présente des dangers, et pourrait être limitée par des lois plus contraignantes (par exemple, on pourrait imposer l'anonymisation réelle). Il y a également des cas où ces entreprises ont connaissance d'informations de manière illégitime (par exemple, un email transféré qui arrive sur gmail et qui fournit des infos sur l'expéditeur initial, qui n'avait aucun rapport avec google). Mais dans l'ensemble, ces entreprises n'ont accès qu'à ce qu'on a bien voulu leur donner. Si on ne veut rien à voir avec Google, on est libres de ne pas utiliser ses services (un peu comme on est libres de ne pas aller faire ses courses chez Leclerc).
[^] # Re: Il y a des projets de lois mais aussi des lois déjà passées
Posté par arnaudus . En réponse au journal Dark side of the law. Évalué à 6.
C'est vraiment portnawak. La loi Macron est une accumulation incohérente de petits trucs sans grand intérêt, mais elle n'a aucune portée symbolique. Quand tu regardes le texte, c'est très technique, sans ambition, sans idéologie particulière—une sorte de révision intermédiaire, avec tout plein de bug fixes, et des modifications de code qui pourraient préfigurer de nouvelles fonctionalités qui n'existent pas encore. J'ai l'impression que tu t'es fait bourrer le mou, et que ta réaction est disproportionnée par rapport au problème.
Le vrai scandale, c'est plutôt ce qu'il n'y a pas dans la loi, c'est à dire le constat que nos gouvernements sont incapables de produire autre chose que des bug fixes depuis des décennies, alors qu'on a besoin de changements de version majeurs.
[^] # Re: Il y a des projets de lois mais aussi des lois déjà passées
Posté par arnaudus . En réponse au journal Dark side of the law. Évalué à 3.
Je ne suis pas d'accord. Si tu as deux candidats aux idées similaires, ils risquent de se gêner mutuellement et de ne pas atteindre le deuxième tour, alors que l'un des deux seulement aurait pu passer. C'est même le principal défaut de l'algorithme : il se base sur l'idée que les candidats sont une sorte de liste nominale et que si tu en retires un, les voix se disperseraient proportionnellement sur les autres. Or, c'est loin d'être le cas.
Les méthodes sophistiquées comme Condorcet sont inapplicables en démocratie, car beaucoup trop complexes, et beaucoup trop à même d'entrainer des votes stratégiques (à tort ou à raison). Par contre, le vote par valeur est intéressant, et je suis surpris qu'il n'ait jamais été vraiment testé. Son seul risque est de favoriser les candidats insipides, mais est-ce un gros risque vu la réussite des candidats "engagés"?
[^] # Re: Il y a des projets de lois mais aussi des lois déjà passées
Posté par arnaudus . En réponse au journal Dark side of the law. Évalué à 3.
Je ne vois pas le rapport entre s'opposer à un projet de loi et voter une motion de censure. Tu peux être contre un amendement mais voter la loi quand même, ou contre une loi et soutenir le gouvernement. Si tu sors d'un groupe parlementaire au moindre désaccord, tu vas te retrouver tout seul au bout de 15 jours, et tu ne sers plus à rien.
[^] # Re: Hello
Posté par arnaudus . En réponse au message Solution Open-Source pour restriction de connexion Internet. Évalué à 8.
1) On va voir le chef avec un devis pour augmenter la bande passante.
2) Le chef: "ouh lala, ça coûte cher. Pourquoi a-t-on besoin d'autant de bande passante?"
3) L'admin: "en théorie, pour le boulot, ça n'est pas nécessaire. Mais on ne peut pas empêcher les gens de faire des trucs privés, et ça empêche les autres de bosser".
4) Le chef se jette sur son clavier et envoie un email contenant un rappel à la charte informatique que tout le monde a dû signer.
[^] # Re: Perdu
Posté par arnaudus . En réponse au journal Linux pas prêt pour le desktop ? Pas grave !. Évalué à 2.
Ça me parait peu probable. Évidemment, il faut télécharger l'application à la première utilisation pour la mettre en cache, ça peut être un peu long (mais pas plus que de télécharger un binaire à installer). Ensuite, il n'y a que les données qui transitent. Et alors là, je ne vois pas vraiment quel type d'application peut gérerer des flux de données assez importants pour mettre ta connexion à genoux (traitement d'image, de vidéos, ou de documents sonores peut-être? Et encore, il doit y avoir moyen d'utiliser des caches en local pour ne pas attendre la fin du transfert pour commencer à travailler, ou simplement d'héberger son répertoire de travail sur le serveur distant). Pour la très grande majorité des applications, les seules informations à envoyer proviennent des actions des utilisateurs (clics ou frappes clavier).
# Distribution != Noyau
Posté par arnaudus . En réponse au message Effacer un noyau précis. Évalué à 2.
Xubuntu 12.04, c'est la version de la distribution. Une distribution contient des centaines de logiciels : le navigateur internet, libre office, le bureau, etc. Parmi tous ces logiciels, il y a le noyau Linux. Quand on change de version de distruibution, on change de version pour tous les logiciels qu'elle contient. La plupart du temps, les versions les plus récentes vont écraser les versions anciennes, c'est complètement transparent. Mais pour quelques composants critiques, comme le noyau Linux, il est possible que la nouvelle version ne remplace pas l'ancienne : l'ancienne version est conservée au cas où la nouvelle fonctionne mal. Les versions du noyau s'accumulent donc au fil des mises à jour. En général, ça n'est pas grave, il n'y a pas vraiment de raison de retirer les anciennes.
[^] # Re: Atomic operations on data structures
Posté par arnaudus . En réponse au journal Microsoft s'en prend à Kyocera sur sept brevets Android. Évalué à 4.
En même temps, le coût d'un procès dépend de ce que tu veux y mettre. Même aux US, où la justice est quand même un peu bizarre, ce n'est pas toujours celui qui a les avocats les mieux payés qui gagne.
On peut aussi déplorer le manque de recherche académique sur l'histoire des idées en informatique. Il existe toujours tout un tas de documents informels, de discussions de forums, ou de blogs plus ou moins obscurs qui retracent l'invention de la souris ou de la programmation objet, mais pourquoi ne pas avoir des spécialistes universitaires qui travailleraient là-dessus, et sur qui la justice pourrait justement compter pour extraire la réalité historique de l'invention du blabla juridique entourant le brevet.
[^] # Re: Mise à jour du canari
Posté par arnaudus . En réponse au journal Les produits de Silent Circle sont-ils compromis ?. Évalué à 2.
Pardon, je reformule : il ne s'en rendra pas compte tout de suite.
Imagine : tu as une petite interface toute bien fichue, avec un champ pour copier-coller la partie variable (titres d'un site de news). Tu fais ton copier-coller, et hop, on lance un script qui compose le canary, le chiffre, et le publie. Franchement, ça ne m'étonnerait pas que le gars de la NSA, tout compétent qu'il est, manque le fait que le tout petit paragraphe manque sur le canary final. C'est quand même un gros pavé d'une centaine de lignes, et il ne semble pas intuitif a priori que le développeur du script ait pensé à ne pas inclure ce paragraphe "fixe" dans son pipeline. Le temps de s'en rendre compte, c'est trop tard. En plus, on peut toujours plaider la bonne foi, du style "comment voulez-vous que je fasse les choses correctement avec une arme pointée sur moi".
Ça peut marcher pour les projets libres qui ne sont pas pilotés par des intérêts financiers : si tu ne peux pas résister aux pressions des agences, tu coules le projet et tu montes un fork. Par contre, dans le monde du business, c'est un suicide.
L'autre problème, c'est que ça ne peut avoir un intérêt que si le logiciel fait quelque chose de simple, et qu'il n'y a pas de base de données d'utilisateurs. Il est évdent qu'un fournisseur d'accès à Internet ou un gros hébergeur va finir par recevoir des demandes légitimes des autorités ; Google, Apple, ou n'importe quel gros FAI ne pourrait pas tenir très longtemps avec un canary global (à moins évidemment que le seul but du canary est d'expliquer aux clients qu'ils ne doivent pas compter sur la sécurité absolue du système, une sorte de disclaimer: "attention, je refile de temps en temps des infos aux autorités").
[^] # Re: Mise à jour du canari
Posté par arnaudus . En réponse au journal Les produits de Silent Circle sont-ils compromis ?. Évalué à 5.
Oui, et que le principe du canary a un gros défaut : il est totalement intolérant aux erreur. Une simple erreur de mise à jour (oubli, blague, vandalisme d'un employé malheureux…) rend le logiciel douteux pour toujours, puisqu'elle est indiscernable d'un message volontaire. Je verrais bien le scénario suivant : le canary est conçu pour que la partie "variable" (avec les news) contienne également le paragraphe critique qui affirme que la boite est clean. Du coup, même avec un gars de la NSA qui pointe un flingue dans son dos, il est tout à fait possible de mettre à jour le canary sans le message, le type de la NSA ne s'en rendra probablement pas compte. Quand il réalisera son erreur, il sera trop tard. Et j'ai l'impression que c'est tout à fait ce qui a pu se passer.
Du coup, je me demande quand même si la technique du canary est très utile quand des entreprises sont impliquées. En gros, passer un message via le canary revient à couler la boite. Bien sûr, ne pas passer le message revient à abuser ses clients, mais quand il y va de la survie financière d'une entreprise, les bons sentiments sont rarement de la partie.
# VGA, pas caca, HDMI, pipi
Posté par arnaudus . En réponse au message TV connectée à Internet sous Linux.. Évalué à 2.
Sous ce titre hautement intellectuel, un partage d'expérience avec mon portable Dell : jamais aucun problème pour brancher l'ordi en VGA avec le driver nvidia proprio et Ubuntu (vidéoprojecteur, TV, n'importe quoi) : la résolution s'adapte automatiquement, la détection à chaud fonctionne parfaitement. En HDMI, grosse cata : écran noir instantané et hard reboot (!), je n'avais pas vu ça depuis que mon chat avait mangé ma souris (littéralement). J'ai du mal à comprendre comment un problème de driver peut faire rebooter la machine, mais apparemment, c'est possible. Inutile de le préciser, le même cable sous Windows fonctionne…
[^] # Re: Tout dépend
Posté par arnaudus . En réponse au message Distribution de templates d'environnements propriétaires dans un projet sous licence libre. Évalué à 2.
De toutes manières, la question se posait déja avant même l'idée de passer en libre : tu as un soft proprio qui inclut quelque chose (les templates) qui s'apparentent (?) à du code, en provenance d'un autre soft proprio dont la licence est inconnue. Si ce deuxième soft n'autorise pas la redistribution des templates, alors c'était déja un problème avant même de parler de licence GPL.
Entre nous, je trouve que le principe d'un logiciel libre dont le seul objectif est de fournir des fichiers lisibles par un logiciel propriétaire est un peu étrange. On a un workflow avec des briques de libre, mais le pipeline n'est pas libre, quoi qu'il en soit. Au final, j'aurais un peu l'impression de coder un plugin pour un logiciel proprio ; ça rend surtout service à l'éditeur du soft proprio en question (surtout si le type de fichier est couvert par des brevets au autres saloperies qui rendent son remplacement compliqué), mais certainement pas à l'utilisateur…
[^] # Re: rsync.net
Posté par arnaudus . En réponse au journal Les produits de Silent Circle sont-ils compromis ?. Évalué à 5.
Tu peux m'assurer ce que tu veux, je reste dubitatif. En gros, la NSA veut insérer une backdoor dans un logiciel. Elle fait pression sur les contributeurs US pour insérer la backdoor discrètement. Elle utilise ensuite la clause de la loi machin pour les empêcher de révéler qu'elle existe. Ils font ensuite en sorte de récupérer les clés secrètes des contributeurs US qui mettent à jour le canari, pour empêcher la divulgation de leur intervention. Et là, couic, ils ont besoin de récupérer la clé d'un contributeur qui habite en Europe. Tu crois vraiment qu'une agence gouvernementale d'un pays Européen va accepter d'aller menacer illégalement un de leur ressortissant (puisque la loi correspondante n'existe pas en Europe) pour faire appliquer quelque chose qui n'est pas couvert par la loi US (la mise à jour du canari) sans être mise dans la combine (l'accès à la backdoor)? La théorie du complot a des limites. J'imagine que la seule raison pour que ça puisse se faire est que l'agence Européenne ne comprenne pas vraiment pourquoi la NSA veut la clé, mais qu'elle la récupère en preuve de coopération.
Je pense surtout que si l'agence US veut passer inaperçu, elle va tout faire pour maitriser l'ensemble de la chose dès le début (c'est à dire qu'elle va attendre d'être sûre de pouvoir maintenir le canari à jour avant de jouer le moindre pion). Le plus simple me semble être de cibler la démarche : au lieu d'envoyer une lettre recommandée à toute la boîte, on cherche un maillon faible sur qui on peut faire pression, et qui va tout organiser dans le secret : refiler les infos à la NSA, ou modifier discrètement le code (passer une backdoor dans un commit quelconque), en faisant en sorte que personne d'autre ne s'en doute.
[^] # Re: rsync.net
Posté par arnaudus . En réponse au journal Les produits de Silent Circle sont-ils compromis ?. Évalué à 5.
Je ne sais pas exactement jusqu'où la justice américaine peut aller, mais si en effet on te force à refiler tes clés et à laisser les ingénieurs de la NSA accéder à tes serveurs, le canari peut très bien être mis à jour par les agences gouvernementales de toutes manières. J'imagine que personne ne pense que c'est une sécurité absolue. Par contre, ça peut quand même pousser les agences en question à la limite de leurs possibilités, typiquement si certains responsables du projet sont européens. Je ne pense pas que la NSA ait les moyens d'intervenir physiquement en Europe, par exemple.
[^] # Re: C'est super grave ?
Posté par arnaudus . En réponse au journal Utilisation de photo sans autorisation. Évalué à 9.
Mouais, faut pas abuser non plus. Ce n'est pas l'œouvre du siècle, mais toute photo originale a droit à la protection au titre de la propriété intelletcuelle. Le délit de contrefaçon semble constitutué, il est évident que c'est la même photo (même angle, même éclairage, même hauteur de la mer, etc), et la photo a été reprise sur un site à vocation commerciale. Le photographe a donc droit à des indemnités, il existe même un barême pour ça.
Ceci étant dit, les indemnités ne couvriraient jamais les frais de justice, c'est un délit mineur, et on peut très bien s'arrêter là. Il s'agit plus d'une incivilité qu'autre chose, un problème moral plus que légal. C'est équivalent à "mon voisin n'a pas taillé sa haie qui dépasse chez moi, j'ai dû lui dire, et il l'a taillée" : le préjudice est minime, et il n'y a pas de raison objective de poursuivre plus loin à moins de vouloir jouer au chevalier blanc (avec un risque réel de se faire bananer en justice, parce que la justice, au contraire de ce qu'on entend ici ou là, ça n'est pas qu'une chambre d'application des lois. En particulier, les juges ont horreur de perdre leur temps).
En ce qui concerne le comportement des professionnels en question, j'ai toujours eu la même réaction quand j'ai signalé des plagiats de passages que j'avais écrit sur Wikipédia. J'ai toujours envoyé des mails qui disaient que j'était content que Wikipédia soit réutilisée, mais que je demandais le respect de la licence, et pouf, tous les contenus disparaissent, et pas un mail d'excuses ou d'explications. C'est presque contre-productif, en fait.
[^] # Re: Sous Linux aussi
Posté par arnaudus . En réponse au journal H264 par Cisco dans Firefox (suite). Évalué à 2.
Il me semblait que ma question était claire : il existe des distributions Linux qui ne disposent que de paquets de sources, la compilation étant réalisée automatiquement sur la machine de l'utilisateur. Une telle distribution ne me semble pas affectée par les problèmes de licences sur le brevet, qui ne mentionnent que les binaires.
Je ne vois pas le rapport entre la compilation et le fait que le "journal" ne soit constituté que d'un copié-collé d'une licence logicielle. Beaucoup d'entre nous vivent dans une partie du monde où les brevets logiciels n'ont pas de base légale, il ne me semble pas délirant d'avoir un peu de contexte pour comprendre ce que l'auteur du journal trouve intéressant parmi 200 lignes de charabia juridique spécifique des législations nord-Américaines…
[^] # Re: Sous Linux aussi
Posté par arnaudus . En réponse au journal H264 par Cisco dans Firefox (suite). Évalué à 3.
Techniquement, c'est pas un journal, c'est le texte d'une licence. Je ne pense pas qu'on puisse considérer ça comme "lisible".
OK pour le binaire, mais comment ça marche si la distrib fournit les sources et que le plug-in est compilé sur la machine de l'utilisateur? Il me semble que ça ne viole pas la licence—évidemment, ça sous-entend que l'utilisateur final prend la responsabilité d'utiliser un binaire couvert par un brevet logiciel, mais en Europe, on s'en fout complètement, non?
[^] # Re: Sous Linux aussi
Posté par arnaudus . En réponse au journal H264 par Cisco dans Firefox (suite). Évalué à 4.
J'ai dû louper un épisode, parce que je ne comprends pas ce qui empêche la distrib d'empaqueter le binaire du plug-in sous licence BSD compilé par ses soins?
# Avocat du diable
Posté par arnaudus . En réponse à la dépêche Nouvel exemple de brevets logiciels comme freins à l'innovation et la recherche. Évalué à 5.
Bon, les brevets logiciels, cdla mrd et tout, on ne revient pas là-dessus. Ceci étant dit, l'argumentaire de StreamScale comporte au moins un point intéressant : ils prétendent que James Plank a été un consultant rémunéré par StreamScale, que dans le cadre de ce contrat, il a signé un certain nombre de clauses, et qu'en contrepartie, il a été mis au coutant de "secrets industriels", secrets qui ont été ensuite révélés dans des publications académiques. Bien entendu, il est impossible de juger en l'état si ces secrets existaient, s'ils ont bien été transmis de StreamScale à Plank et pas l'inverse, etc., mais on n'est pas variment dans le cas où un chercheur académique indépendent se trouve attaqué par une boite privée pour avoir réinventé un algorithme trivial protégé par brevet. Il semble que le chercheur n'était pas vraiment indépendent, mais qu'il avait des relations contractuelles avec cette entreprise, et que ce contrat prévoyait l'échange d'informations sur les algorithmes objets du litige.
# lecteurs
Posté par arnaudus . En réponse au journal Gameolith disparait dans un silence absolu !. Évalué à 6.
Ou alors des darons qui s'intéressent plus au kernel, à systemd, à la confidentialité des données, qu'à des jeux vidéos.