Blackknight a écrit 1234 commentaires

Un petit lien en plus :
http://xsteve.nit.at/prg/vc_svn/(...)

* Gérer (virer) le texte externe avant de passer le reste à GnuPG. Problème : il faut écrire son propre parser de texte signé (alors que forcément, GnuPG en a déjà un) et il faut supporter les variations et éventuelles évolutions du format. Et puis plus de code égale plus de bugs.
C'est ce que je comptait faire à terme mais c'est lourdingue.

* Ajouter une option à GnuPG pour qu'il signale la présence de texte externe. Problème : il faut écrire l'option et convaincre les auteurs de GnuPG (et attendre la prochaine version).
Et encore, signaler la présence du texte externe est vraiment très gentil pour un outil de sécurité. Un texte soit-disant signé ne devrait pas être considéré comme correctement signé s'il contient quelque chose en dehors des balises. Enfin, c'est mon avis.

Pour ce genre de manip, le svnserve suffit largement et on se retrouve dans le même situation qu'avec CVS, un accès anonyme sur un port IP particulier

Tiens, d'ailleurs si cela intéresse quelqu'un, voilà le code pourri en perl (désolé, c'est pas mon langage habituel) que j'avais pondu (il y a forcément plus simple, on peut le faire avec gpgme etc...):

#!/usr/bin/perl -w

use Text::ParseWords;



use strict;



my $retour = 1;



#We load into a hash the email address from the correspondance table

my %hash;

open(FILE,"< emailTable.csv") || die "enable to load the correspondance table";

while ()

{

    my @record=&quotewords(';',0,$_);

    $hash{$record[0]}=$record[1];

}



my $emailAddress = "";

#We cut to get the e-mail address

my $filename = $ARGV[1];

open(GPG,"gpg --logger-fd 1 --verify $filename |grep Good | cut -d '\<' -f2 | cut -d '\>' -f1 | ") || die "can't fork";

#If the signature is good, we got the address

while ($emailAddress = )

{

    chomp($emailAddress);

    chomp($hash{$emailAddress});

  

    if ( $ARGV[0] eq $hash{$emailAddress} )

    {

	print "Signature okay!!\n";

	$retour = 0;

    }

}

close(GPG);



exit($retour);

Le fichier emailTable.csv contenant les correspondances entre adresses email et non d'utilisateur CVS (ou Subversion du coup). Le script prend en paramètre le log signé et le nom de l'utilisateur qui a commité. On vérifie alors la signature et autorise ou non le commit. La faiblesse sous CVS du truc venait donc du fait qu'un pirate ayant le login CVS et l'adresse e-mail n'avait qu'à relire un log existant dans le référentiel et rajouter son texte hors balise GnuPG. Dans ce cas, le texte est vu comme correctement signé. D'ailleurs, si vous passez un texte signé correctement à GnuPG mais avec du texte hors balise, l'ensemble sera considéré comme signé, ce qui me semble être une faille dans la signature.

pour Subversion je ne sais pas où ça en est (avec des hooks ça doit le faire, non ?).
Oui, sans trop de pb. J'avais déjà essayé avec CVS et le problème était que l'on ne pouvait par retirer la signature GnuPG des logs. Avec subversion, mon script devrait marcher puisque svnadmin permet de retoucher le log à n'importe quel moment.

Mais absolument pas, je ne vois pas où tu as pu lire ça. Je pense que Arch permet à quelqu'un de continuer à travailler sur un projet quand des problèmes de communication humaine se posent, à partager son travail de manière utile et efficace dans ces cas là.
Okay, je comprends bien que le forkeur n'a pas à recréer son propre référentiel de gestion de version.

C'est aussi valable quand le projet tourne bien : le gestionnaire du projet n'a pas à se prendre la tête à donner des accès CVS au compte-goutte sur le serveur ultra-sécurisé du projet, il peut facilement intégrer les patchsets envoyés par les contributeurs, même ceux qu'il ne connaît pas encore bien et en qui il n'a pas, par défaut, confiance.
Encore vrai, mais tout cela est plus une question d'organisation qu'autre chose. Avec svn, la distribution d'un gros patch peut se faire aussi très facilement (bon, je ne veux pas lancer de troll soyons clairs). D'ailleurs, dans ton histoire, le gestionnaire du projet ne donne pas d'accès CVS au compte-goutte mais il centralise les patches et ça devient une cathédrale.

Mais je n'ai pas écrit ça du tout ! Je ne sais pas lequel de nous deux est mal réveillé, mais on n'est pas sur la même fréquence on dirait.
C'est moi qui suis mal réveillé ;-)

Mon but était de faire comprendre au posteur initial que sa question (mais alors avec arch c'est le boxon ?) se posait tout autant au noyau Linux
D'ailleurs le posteur initial, c'était moi et je posais juste une question purement technique. Je n'ai jamais dit qu'Arch c'était le boxon. Il s'agit d'une façon de travailler plus originale que les logiciels classiques.

et que pourtant le noyau Linux s'en sortait très bien.
Tout à fait d'accord mais l'équipe du noyau fait de plus en plus de la cathédrale me semble-t-il, au moins lors de la sortie des versions stables.

BitKeeper tout comme Arch fonctionne par distribution de patchsets
Beaucoup de logiciels de gestion de conf font comme ça car cela permet de limiter la bande passante quand le mécanisme est centralisé. CVS le fait lui pour chaque fichier car il repose sur RCS qui gère des fichiers et non des arbres de fichiers. Clearcase fonctionne aussi comme CVS en vue snapshot.

On peut parler technique ???

Avant CVS, on se débrouillait avec diff+tar+gzip+patch
Et encore avant, on recopiait le programme à la main

ça n'était pas plus mal (au niveau liberté de distribution et de forkage)
Et ça donnait, sur les forums, des trucs du style :"
- j'arrive pas à compiler bidule
- t'as quelle version ?
- la 0.12
- ouais mais quel auteur ? T'as les patchs TrucMuche ?"

J'avoue que cela me manque énormément aujourd'hui.

Ça n'empêchait pas qu'il y ait une version maître, mais sa seule différence avec les autres était une différence politique (c'est moi le boss, c'est ma version qui compte - en général parce que c'est moi qui ait créé le logiciel, ou qui suis le plus apte à sortir des versions acceptables) plus que technique (c'est moi qui gère les logins sur le serveur CVS).
Ce n'est certainement pas ton logiciel de gestion de version qui t'empêche de forker. Dans un projet, l'aspect humain est beaucoup plus important que l'aspect technique. Et là, je me rend compte que tu vois Arch comme étant un outil favorisant l'absence de communication humaine ("Si tu m'emmerdes, je fais ma propre version dans mon coin car Arch me le permet").

En fait, CVS/Subversion c'est la cathédrale, alors que Arch c'est le bazar.
Tiens, cela rejoint d'ailleurs ta première assertion. Linux (le noyau), c'est la cathédrale et Arch, c'est beau, c'est le bazar, c'est ... (complèter avec un nom de projet utilisant Arch).

Comment fait-on pour créer des versions (releases) sur Arch sachant qu'il n'y a pas de référentiel centralisé ? Est-ce que cela veut dire que quiconque peut faire une release de sa propre archive ?

Il et vrai que l'on voit fleurir des licenses par projet mais bon, la license d'Apache ne date pas d'hier, il s'agit ici d'une mise à jour de la license. J'avoue ne pas l'avoir encore lue mais je pense que le malaise aujourd'hui dans le libre, c'est qu'il y a peu de contributeurs et beaucoup d'utilisateurs qui ne remercient que très peu souvent les premiers. D'ailleurs, je n'invente rien, les développeurs de libre ne font pas ça que pour le plaisir, ils le font aussi pour la reconnaissance (cf. A la conquête de la noosphère d'Eric Raymond). Et on se rend compte qu'il y a un gros déficit de reconnaissance quand on développe, documente, participe au libre.
Les nouvelles licenses ont d'ailleurs souvent pour but de rappeler qui participe et donc qui est propriétaire.

Atetnds, en plus ce qui est extraordinaire, c'est le prix de l'adhésion !!! En plus, on se rend compte qu'ils utilisent le club comme moyen de pression sur MS. En fait, c'est en train de devenir un groupe de pression, c'est tout, le but étant de prendre la firme de Redmond en otage. Je vois le tableau d'ici, le DSI qui envoie un mail à son correspondant attitré chez MS et qui lui dit : "Faites-moi une réduc parce que maintenant, je fais partie de l'Incubator's club et que vous risquez de perdre un client". C'est nul et pitoyable !
S'ils veulent passer à Linux, qu'ils le fassent mais qu'ils ne s'en servent pas pour faire baisser les prix. Je les soupçonne d'ailleurs de ne même pas vouloir le faire.

C'est bien pour ça que plus haut je parlais de FreeBSD qui lui est un système complet et si on lui rajoute les sources X, de Mozilla, un mini traitement de texte etc... On arrive pas à 40 Go. Pour te donner une idée, OpenOffice prend environ 4Go lorsque tu dois le compiler (ie les sources, les .o, les fichiers de ressources ...). Comme tout le monde ne compile pas 10 OpenOffice, cela me semble toujours tros gros.

Je me demande bien qui se ferait ch..r à repomper un OS comme ça vu la multitude d'OS divers et variés existants. En plus, analyser 40Go d'OS pour en recopier des morceaux, c'est à la limite de la bétise, non ?

En fait, il s'agit d'une attaque à la SCO !! Ils viennent de se rendre compte que le code source de la pile IP est disponible partout sur le net et ils vont pas tarder à revendiquer sa paternité !!!!!

40 Go me semble un peu exagéré sauf s'il y a tout l'historique de l'OS depuis les premières versions. C'est quand même limite quand on pense que l'on peut recompiler un FreeBSD complet (outils GNU compris) avec sa couche XFree pour 10 foix moins (et je vois grand me semble-t-il). La seule raison pour les 40 Go, c'est qu'il y ait aussi les .o ;-)

C'est quoi la prochaine étape ? prélevement d'ADN pour ton abonnement au transports en communs ?
La mémorisation de ton numéro de carte bleue dans le terminal de paiement... Comment ? Ca se fait déjà ???? On peut savoir où je suis, à quelle heure et ce que j'ai dépensé ???? Mon dieu mais c'est pire que de savoir que je suis allé une seule fois à l'aquarium ???? Et c'est généralisé ? Oui ??? Dans quel monde vivons-nous ? Si ça se trouve, mon IP est tracé sur le serveur de Linuxfr et on sait d'où je viens.
Je pense que ce qui fait peur là-dedans, ce n'est pas tant l'intrusion dans la vie privée que le fait que l'empreinte digitale est quelque chose qui touche à la personne directement contrairement à la carte bleue.

Pour ce qui est dit sur les lois plus haut, vous croyez pas qu'il y en a trop?? et qu'il serait plutôt mieux d'apprendre à la population à agir en réfléchissant plutôt qu'en appliqueant bêtement quelque chose pondu par des mecs de 60-70 ans qui sont quand même en rupture avec une réalité...
Pour ça, il faudrait que la population accepte de réfléchir et ne se contente pas d'absorber le pré-maché qu'on lui diffuse toute la journée. Mais je crains que là, on lui en demande déjà beaucoup trop. Quant à appliquer bêtement ce que des politiciens ont pondu, les fameuses lois (que je cite bêtement) font de toi, un citoyen libre ou un citoyen en prison (plutôt hors-la-loi) ou mieux encore, si tu ne veux pas appliquer les dites lois, d'autres les appliqueront à ta place et contre toi. C'est le système et on peut le remettre en cause (même si je suis sceptique) en votant.

ben oui, mais il n'en reste pas moins qu'elle est largement ignorée. Dans le cas du chaufard, ça concerne le code de la route (ce n'est en aucun cas réducteur) et dans le cas présent, ça concerne nos libertés. D'où ma méfiance.
"Nul n'est censé ignorer la loi". Mais les lois, il y en a beaucoup, je suis d'accord. Enfin, bon, on va quand même pas te prendre par la main pour te défendre, on n'est plus à l'école maternelle !

Je n'accède pas à l'article de legifrance que tu proposes, mais j'en devine la teneur. Donc je confirme: cet usage de la carte d'identité est a mes yeux complètement abusif. Les transactions marchandes prènent régulièrement le pas sur nos libertés. Exemple: les marchandises franchissent les frontières plus facilement que les individus... c'est un autre sujet mais c'est orchestré par les mêmes pouvoirs, un hasard?
L'article dit en substance que tu dois justifer de ton identité avec un document officiel comportant une photographie (pour ceux qui disaient que la carte d'identité n'est pas obigatoire...).
Tu trouves cela abusif mais mets-toi une seconde à la place d'un petit épicier qui vient de recevoir un courrier de sa banque annonçant que le chèque qu'il a voulu encaisser fait partie d'un chèquier volé. Résultat des courses : le petit épicier vient de se faire voler (ce qui engendre, croi-moi, un sentiment très désagréable). Pour limiter ce genre de choses, on en est arrivé à demander une pièce d'identité. Certains rétorqueront que la personne motivée fera faire un faux et je leur répondrai que le but de cette loi n'est pas d'éradiquer la menace mais de la limiter et que de toutes façons, vu le prix de faux papiers et le risque encouru pour l'utilisation de ceux-ci, cela me semble démesuré.
Pour ce qui est des marchandises qui transitent plus facilement que les individus, il s'agit d'un problème technique, la quantité de marchandises n'est tout simplement pas comparable avec la quantité d'êtres humains alors contrôler toutes les marchandises qui circulent reviendrait à ralentir les échanges commerciaux de façon importante et du coup, bye bye, la livraison de ton dernier DVD en 48 heures chrono. La société de consommation a des avantages et des inconvénients. La rapidité du service a un prix.

Au fait puisqu'on parle de la CNIL, il est où le numéro de déclaration à la CNIL de LinuxFR qu'on puisse vérifier quelles données sont utilisées et à quelles fins ? ;-)

Si tu as lu les fiches associées au gagnants du BBA, tu as certainement pris concience du haut interret que certains portent à la CNIL.
Quelque soit l'intérêt qu'ils y portent la loi est la loi, point barre. Les chauffards gueulent que les limitations de vitesse c'est pour ceux qui ne savent pas conduire mais quand ils se font serrer par la police, ils paient l'amende comme les autres. La loi n'est pas là que pour favoriser les gros, elle protège aussi les petits normalement. La seule différence entre un gros et un petit, c'est que le gros connait la loi et n'hésite pas à la faire appliquer quand c'est à son avantage et le petit l'ignore ou ne veut pas la connaître et surtout ne veut pas se faire chier à l'appliquer.

Quant à "crier au loup", va en parler aux Islandais qui étaient impatients que leur code génétique soit exploité par une firme privée.
Désolé, je ne suis pas spécialiste en droit islandais. Dans ce cas-là, on n'est quand même très loin du cas de l'aquarium de Lyon.

Enfin, la carte d'identité fait en effet partie de cette lente dérive dès qu'elle est réclamée par un organe privé... tient pourtant il y a des lois qui l'interdisent (ça doit être pour ça qu'on ne la demande jamais lorsqu'on paye par chèque)
Désolé (http://www.legifrance.gouv.fr/WAspad/VisuArticleCode?commun=&co(...) )

Ben alors si c'est aussi important que la news Debian, c'est bien ce que je disais, une seconde page !! ;-)

Ca y est, j'ai ton pseudo et ton numéro d'inscription Linuxfr. Un petit script en perl et tout ce que tu dis sur ce site sera maintenant loggué sur ma machine !!!! Ha, ha, tu es fait comme un rat. Alors, tu dois frémir devant tant de flicage hi-tech !!!!
Faut arrêter de crier au loup tout le temps parce qu'on finira par plus vous écouter. Il y a quand même des lois (Informatique et libertés) qui garantissent normalement que ton empreinte digitale n'est pas conservée à des fins autres que définies dans le bulletin envoyé à la CNIL. A toi ensuite, comme l'autorise la loi, d'utiliser ton droit de modification, destruction ...
La lente dérive, elle a commencé avec les papiers d'identité ;-)

Ben d'accord mais n'est-ce pas là une news de seconde page ??? A côté de ça, Debian en progression sur les serveurs Web et Voice XML passent en arrière-plan. Il me semble que pour un site sur le libre (au sens logiciel du terme), y a comme un défaut.

Décidemment, il est sur tous les fronts ce Julien, Samedi à Rouen, le jeudi 12 à Paris. Quelle santé !!!

salut Pierre,
pourrais-tu être plus précis sur ce que tu considères comme étant une source de problème pour les *BSD.

Je me suis laissé dire qu'il y aurait aussi une présentation Debian.