Éric a écrit 4850 commentaires

La différence c'est qu'il faut te connaitre pour avoir ton portable. Ah, et comme le lien pour déclencher le SMS est envoyé par mail il faut que le gars tu lui prêtes ton téléphone ET ton compte mail, en même temps. Ca limite.

Trouver une faille sur un poste, ou le faire cliquer sur une pièce jointe, ou te faire prêter le poste informatique pour y installer quelque chose, ça me parait largement plus simple en fait, et ça peut être fait à distance par quelqu'un en qui tu n'as pas confiance (contrairement à ton attaque sociale), donc je suis content qu'il y ait un doublé SMS. J'ai peut être tort mais ça me parait encore plus sûr que les alternatives qu'on trouve chez la plupart des autres hébergeurs premier prix.

Qui nécessitent pour beaucoup soit un envoi électronique de mot de passe uniques (qui sera très probablement stocké en local donc encore moins "sûr" que le téléphone) soit un envoi d'une clef ou d'un système similaire par la poste, ce qui ne cadre probablement pas avec les prix et l'absence d'abonnement minimum d'une dedibox.
Sans compter que si on parle bien de 500 jours comme dans le journal, en 500 jours j'ai plus de chances d'avoir perdu un truc qu'on m'a envoyé à l'époque et dont je ne me suis plus servi depuis que mon téléphone.

Il faudrait vraiment diffuser les OTP de type clef RSA, mais ça coute cher et ça ne peut pas se faire uniquement dans le cadre d'un service premier prix qui demande un login tous les 500 jours (par contre oui, pour le bureau ou la banque c'est éventuellement adapté, même si en pratique ma banque la procédure elle est par SMS)

Un téléphone portable tu vas bien plus galérer pour me le voler que mon adresse mail. Le téléphone portable, sauf à mettre en place des choses vraiment complexes, c'est un objet physique. Si tu peux me le voler tu peux aussi me voler mon ordinateur portable ou aller chercher mon PC fixe. (oui, je peux chiffrer tous mes dossier et sécuriser mon trousseau avec un mot de passe principal, mais je peux aussi demander à mon téléphone de me demander le PIN à chaque sortie de veille, on est quitte)

A la limite mon PC portable est même plus facile à voler que le téléphone portable que j'ai toujours avec moi.
Mais imaginons. Téléphone, volé, je le sais, je m'en rend compte dans les 24 heures, 48h au pire. Je le fais bloquer, je change de numéro. Mail on peut l'utiliser sans que je le sache, assez facilement. Je préfère sérieusement qu'on utilise mon téléphone portable.

Mais là visiblement c'est un doublé mail+sms, il te faut les deux. C'est forcément mieux qu'un seul.

> 'est un peu bête de rerouter le mot de passe vers le mobile sans forcément que le client ait pu le savoir lors de son inscription.

Ca oui. Sauf que c'est indiqué dès le départ justement, donc ça au moins on peut pas leur reprocher.

Oui, il y a des choses plus sécurisées qu'un doublage mail+sms. Clairement. Maintenant pour le niveau de service visé par une dédibox (premier prix, le principe avoué étant d'avoir quelque chose de vraiment tout automatisé et en ligne pour réduire les couts et assurer ce niveau de prix) j'attends de voir.

Perso quand on me vole mon téléphone ET qu'on connait mon mot de passe mail ET que je n'ai pas changé mes coordonnées de contact voyant qu'on m'avait volé mon téléphone portable ... je considère ça comme correct pour un dédié premier prix.

Je note que c'est en tout cas mieux que la plupart des services sur Internet, même plus chers, même ceux de certaines banques.

> il rale pas pour ses fautes, il rale du fait que les accés publiques (fax, num commercials, chats) ne marchent pas!

Bon, ben voilà, ok, je sais pas si ça valait un journal mais ce journal, si on met de côté les 20k de log, c'est majoritairement pour raler contre le système de mot de passe, pas sur le défaut du fax/chat (suffit de compter les lignes)

Mais oui, iliad fait des conneries, soit.

La validation de l'envoi par SMS se fait par email si j'ai bien suivi le journal, donc tu dois avoir le téléphone du propriétaire + le mot de passe de son compte mail. Ce n'est pas ultime mais c'est déjà assez sensé pour le type / niveau de service d'une dedibox.

Maintenant si tu as d'autres idées ...

On s'en moque de ta vie privée. Mais une récupération de mot de passe le principe c'est de ne pas se planter de personne donc on utilise un moyen fiable.
L'email est peu fiable pour beaucoup de monde, ils ont préféré doubler par SMS si tu précises un numéro de contact dans ton profil. En soi c'est une bonne pratique.

Tu as beau avoir eu d'excellentes raisons pour changer ton numéro, tu as d'abord oublié ton mot de passe (c'est de ta faute) puis non tenu à jour tes coordonnées de contact (c'est de ta faute aussi). Ben oui, ce sont des fautes compréhensibles, moi aussi j'en ai faites, mais raler contre Iliad pour ça c'est franchement ridicule.

Bon, eux ont un problème s'ils n'ont pas un moyen de contact public dispo, mais bon, voilà, ça méritait tout cet étalage ?

> Tu me prends vraiment pour un débile, tu crois que j'aurais posté un tel truc ?

Franchement je crois que c'était déjà débile de copier 2x 10k de log (ce que tu as fait) constitués de deux lignes en boucle. Parti comme c'est, voyant que tu n'as rien coupé malgré l'inutilité du truc, franchement j'ai toutes les raisons de croire que si ça avait coupé à 20 ou 30k, tu nous aurais mis 2x 20k ou 2x 30k.

Ouais, enfin c'est pas MS qui a envoyé une dépêche et plusieurs journaux sur le sujet sur linuxfr, à ce jeu là la communauté a fait plus de buzz sur le sujet que MS lui même ;)

Peut être que ce n'était pas leur intention au départ. Peut être que s'ils avaient pu faire autrement ils auraient fait autrement. Peut être aussi que si personne ne l'avait remarqué on aurait eu une violation de la GPL.

Probablement même.

Mais une erreur de licence en embarquant du code tiers ça arrive dans quasiment toutes les grosses boites de logiciel, ça arrive aussi sur les projets de logiciels libre. Là ils ont corrigé, de la façon qui nous convient le mieux, je ne vois du coup plus ce qu'il y a à y redire.

Tu peux toujours critiquer l'intention, mais le fait est qu'ils ont bien publié leur driver sous GPL, et que ça c'est bien. Le reste c'est de la masturbation intellectuelle.

Ca n'en fait pas des bons exemples. Pour un bon exemple il faudrait un procédé innovant, qui a expiré et qui est maintenant utilisé, mais aussi - qui n'a été un facteur bloquant pour l'innovation et la connaissance pendant son exercice - *et* qui n'aurait pas été publié de toutes façons auprès quelques dizaines d'années si les brevets n'existaient pas (bref, que le brevet ait effectivement été à l'origine de l'effet positif et ne se soit pas contenté de l'accompagner).

Ca ne laisse plus grand chose. Bon, il y aura des exemples, plus d'un. Mais au final au moins dans les dernières années, j'ai vu beaucoup plus de négatif que de positif et le solde est franchement désastreux.

ok, je comprends mieux, merci

Je ne sais pas si c'est légal ou pas, je ne me prononce pas. Mais c'est le "tu peux pas dire si c'est illégal, ça a pas été jugé" qui m'agace et qu'on voit trop souvent ici.

Même pas, le brevet n'a pas été créé pour favoriser l'innovation (la recherche de nouveaux procédés) mais pour favoriser la diffusion de la connaissance (inciter à divulguer les secrets déjà existants)

Force est de constater que ça a complètement échoué (que ce soit sur la connaissance ou sur l'innovation d'ailleurs)

Je ne connais pas assez pour juger mais quand je lis la news j'ai l'impression qu'on me dit "le code est bon n théorie mais le compilateur fait une optimisation foireuse qui créé la faille de sécurité".

Il me parait très sain de dire que le kernel en question a un problème et de palier ce problème, mais ce n'est pas surtout le compilateur qui dans ce cas a un énorme bug ? Un compilo qui ajoute des failles de sécurités c'est surtout ça qui me parait dangereux et qui est à corriger. Ce n'est pas vraiment aux développeurs de prévoir et contourner les optimisations foireuses du compilo.

Or je vois des annonces à propos du kernel mais pas à propos d'une correction critique de gcc. J'ai mal compris un truc ?

C'est quoi cette croyance que les choses ne sont pas illégales avant qu'un juge ne se prononce ?

Quand un juge se prononce il dit si quelque chose *était* ou pas illégal, pas que ça le devient à partir de maintenant. Par conséquence, bien sur qu'on peut affirmer ou pas que quelque chose est légal. Éventuellement on peut se tromper ou ne pas tous être d'accord (et c'est entre autres pour ça que le juge est là), mais ça n'empêche pas le procédé d'être éventuellement illégal dès maintenant et de le dire dès maintenant.

Sauf que ce ne sont pas les sources du Kindle, mais les sources des bibliothèques GPL utilisées dans le Kindle. Sur les points positif, les patchs propre à Amazon sont bien là.
Mais il n'y a aucune source concernant la lecture d'ebook ou les systèmes propres à Amazon. Bref, ils respectent leurs obligations mais ne "libèrent" ni "n'offrent" rien du tout.

C'est le strict minimum légal pour la licence, rien de quoi s'enthousiasmer, ce devrait être considéré comme normal (puisqu'obligatoire)

La France est un pays de gauche, parce que notre droite (celle qui gouverne) serait presque vue comme "de gauche" dans beaucoup d'autres pays.

Quid d'une bascule ? genre une combinaison de touches qui fait passer le clavier d'un mode « rédaction » (avec des apostrophes courbes, guillemets français, espaces insécables, etc.) à un mode « code » (apostrophes droites et guillemets droits sur les touches en accès direct, espace sécable même si par erreur on faute, etc.)

Je me dis que ça doit être faisable. quelqu'un a tenté voir si c'est pertinent au jour le jour ?

"""Par contre, j'utilise toujours l'apostrophe droite à la place de ’."""

pourquoi ?

Mouais, c'est bien d'employer le FUD, mais ça n'apporte rien.

Si tu penses que les ordinateurs de vote mènent à l'abstention c'est simple à prouver. Il suffit de prendre les bureaux de vote qui en ont, et de regarder l'écart de leur taux d'abstention par rapport à la moyenne, puis ce même écart par le passé avant d'avoir les ordinateurs de vote (au cas où ils ont l'habitude d'être plus ou moins abstentionnistes)

Même chose sur le "peut être moins", tu peux regarder les stats, comparer.

Bref, tout ça est publique (modulo le fait de connaitre les bureaux de vote avec machines à voter, mais ça se trouve, tu le montres toi même). Au lieu de lancer du FUD, si tu veux vraiment aider la cause, fait les recherches et trouves du concret.

Et si c'était la distrib linux qui avait utilisé le logo de la PME on aurait un procès sur le dos, MS qui donnerait grande publicité.

Être pour le libre n'implique pas forcément être bonne poire.

Vu que l'objet principal du problème a été résolu (logo retiré), et si on pouvait composer avec un système gagnant gagnant, genre une déclaration de la boite qu'ils favoriseront le logiciel libre et mettront leurs propres création éventuelles sous licence libre.
Ou alors un don à une assoc de LL (mais pas arch linux, histoire de ne pas donner l'impression d'un racket, même légal)

Ca peut être les deux, en fait c'est même les deux.
S'il a réutilisé une création sans autorisation c'est bien aussi un problème de droit d'auteur.

Savoir si c'est aussi un problème de marque il faudrait vérifier que le logo de Arch a bien été déposé.

Il sera obligé de rien du tout.

Il jugera suivant son intime conviction, c'est tout ce qu'on lui demande de faire. Comprendre que dans le système français s'il est intimement convaincu que c'est toi tu peux être condamné même si le même juge accepte le fait qu'il y a une possibilité matérielle que ce ne soit pas toi.
Plus probablement il écoutera tes arguments et jugera s'il trouve réaliste ou pas que ton IP puisse être là à tort (s'il n'y a pas eu perquisition pour régler la question)

Ah, mais close tu t'assures que ça sera écrit sur le disque, tu ne t'assures juste pas que c'est écrit *maintenant*. Ca le sera peut être plus tard.

L'intérêt c'est justement, comme dans la news, de mutualiser les appels disque pour les optimiser ou les regrouper. L'écriture disque coute cher, on évite de bloquer des processus pour ça inutilement en faisant des appels synchrones.

En très grande majorité des cas tu peux tout à fait vivre avec un décalage avant l'écriture des données. Tout n'est pas critique sur un système, et tous les systèmes n'ont pas une probabilités forte de crasher toutes les deux minutes. Ca me rappelle une mauvaise expérience de Firefox qui avait des mauvaises perf ou des freeze fut un temps à cause d'un trop grand nombre d'appels à fsync dans le sqlite qu'ils embarquent.

C'est, comme toujours, un compromis entre performance, confort et sécurité.

J'embraye sur moi même :


man 2 rename : http://swoolley.org/man.cgi/2/rename

"" If newpath already exists it will be atomically replaced (subject to a
few conditions - see ERRORS below), so that there is no point at which
another process attempting to access newpath will find it missing. """

Ce n'est pas que la fenêtre est petite, c'est qu'elle n'existe pas (par contre le fait que le contenu du nouveau fichier soit sur disque ou en tampon, ce qui est la problématique de la news, ça ce n'est pas déterminé)