Journal Mozilla et Linux

Posté par (page perso) .
Tags : aucun
37
18
sept.
2008
Quand il y a des discussions bien trollesques sur linuxfr sur Mozilla, je lis souvent (et entendu aussi au stand Mozilla aux RMLL ou autre) des commentaires de gens qui pensent que Mozilla ne fait rien pour les utilisateurs de Linux, que Mozilla s'en fiche de linux etc.

Cela n'a jamais été le cas bien sûr (étant un utilisateur Linux depuis le siècle dernier, et contributeur Mozilla depuis quelques années, j'aurais été le premier à m'en plaindre si rien n'était fait), et un post de Rob Sayre (http://blog.mozilla.com/rob-sayre/2008/09/17/mozilla-is-linu(...) ) résume l'implication de Mozilla dans les projets autour de Linux, dont voici la liste rapide en français :

- Il faut d'abord se rappeler que l'équipe de dev de Mozilla est bien plus petite que chez Opera, Apple (pour Safari) ou Microsoft (pour IE), (comprendre : les ressources sont limitées pour travailler sur les 3 plateformes principales en même temps)

- Mozilla SpiderMonkey (le moteur JS de Mozilla) est utilisé par de nombreuses applis tierces, et est même distribué sous forme de paquet indépendant dans Debian. (comprendre : Mozilla maintient l'aspect "standalone" de SpiderMonkey afin que cela puisse profiter à d'autres projets libres)

- Les développeurs Mozilla contribuent activement à Cairo et Firefox 3 embarque Cairo sur toute les plateformes supportées

- Les développeurs Mozilla ont contribué aussi à libbpng, libjpeg, littlecms, pango, pixman, et d'autres librairies graphiques

- Les développeurs Mozilla ont contribué activement à Valgrind, et ont réalisé des logiciels basés dessus.

- Les développeurs Mozilla maintiennent le port GTK et QT de Firefox (QT, c'est récent), et continue à contribuer à des patchs upstream

- Mozilla aide à fonder le consortium SQlite. (Et les développeurs de Mozilla ont beaucoup contribué à sqlite)

- Beaucoup de projets libre utilisent Bugzilla

- Sur la seule année 2007, la fondation Mozilla a donné des subventions à : Perl Foundation, Creative Commons, the GNOME foundation, FSF, et d'autres... Elle a aussi initié des contrats pour travailler sur OpenSSL, Accerciser, Orca, GNOME accessibility, et bien d'autres travaux d'accessibilité dans d'autres projets.

- Du code et des tests de Mozilla sont utilisés par Webkit, Chrome...

À cette liste de Rob, je rajouterai :

- La contribution de développeurs Mozilla au gestionnaire de mémoire jemalloc
- La collaboration des développeurs Mozilla avec les développeurs Linux pour résoudre les problèmes de fsync qui font freezer Firefox lorsque celui ci veut accéder à sa base sqlite
- Les efforts faits pour l'intégration de Firefox dans GNOME (cf Firefox 3.0) (et les efforts actuels pour l'intégration avec QT)
- Au Firefox Summit 2008 (prés de 400 contributeurs Mozilliens), je n'ai pratiquement pas vu de machines sous windows. La plupart des développeurs sont soit sous Mac, soit sous linux.
- Linux représente sur le web à peine 1% des internautes. Et pourtant, les développeurs Mozilla passent bien plus que 1% de leur temps sur la version Linux de Firefox.
- Et, ça a un peu moins de rapport avec linux, mais quand même un peu au libre et aux standards ouvert : Mozilla est membre du WHATWG et du W3C, et participe activement à l'élaboration des standards web d'aujourd'hui et de demain (en particulier sur ARIA, HTML5, CSS3 etc..), ainsi qu'à l'ECMA pour la normalisation des versions successives d'Ecmascript.
- Mozilla Firefox est un projet ouvert, libre : toute contribution est la bienvenue pour améliorer encore plus l'intégration.
- Cette liste est bien entendu non-exhaustive

Et pour finir, une bonne nouvelle pour ceux qui râlent après ce EULA qui s'affiche dans la version Linux de Firefox : cela va changer, ils y travaillent. Si vous voulez suivre l'affaire, voici l'historique :
http://blog.lizardwrangler.com/2008/09/15/ubuntu-firefox-and(...)
http://blog.lizardwrangler.com/2008/09/16/firefox-without-eu(...)
http://lockshot.wordpress.com/2008/09/17/licensing-proposal/
http://lockshot.wordpress.com/2008/09/17/licensing-proposal-(...)
à suivre..

Comme dans tout projet open source, il y aura toujours des aspects de Mozilla qui déplairont (comme on dit, on ne peut pas plaire à tout le monde), mais j'espère que ce journal aura suffisamment éclairé les esprits sur l'implication de Mozilla dans le monde Linux.
  • # Longévité

    Posté par . Évalué à -10.

    Bravo pour le siècle dernier...
  • # C'est pas après l'EULA que je râle perso...

    Posté par . Évalué à 10.

    Et pour finir, une bonne nouvelle pour ceux qui râlent après ce EULA qui s'affiche dans la version Linux de Firefox : cela va changer

    Et les messages hyper-alarmants qui apparaissent lorsqu'on accède à un site en https avec un certificat émanent d'une autorité non reconnue par le navigateur ?

    Sans blagues depuis que ce truc est en place, j'ai presque 2 fois plus d'appels et les gens peinent à me croire lorsque je leurs dit que c'est ok, que la transmission est tout aussi bien cryptée, et que la sécurité n'est pas compromise... bref : va-t-il y avoir une révision de cette interface flipante et totalement non 'Mme Michu friendly' ?.... ou pas ?
    • [^] # Re: C'est pas après l'EULA que je râle perso...

      Posté par . Évalué à 9.

      que la transmission est tout aussi bien cryptée, et que la sécurité n'est pas compromise... bref

      Comment peux-tu être certain qu'un tiers ne s'est pas interposé entre la personne qui t'appelle et ton serveur ? C'est un intranet ? Les certificats sont chers ?

      Je pose la question en toute bonne foi, je suis une pine d'huître en sécurité informatique, mais j'avais cru comprendre qu'un certifcat signé par une autorité ce certification apportait la garantie que le serveur correspondait bien à l'adresse demandée, contrairement à un certificat auto-signé qui garantit uniquement que tu retournes bien sur le site que tu avais déjà consulté et dont tu avais préalablement accepté le certificat autosigné.
      • [^] # Re: C'est pas après l'EULA que je râle perso...

        Posté par . Évalué à 6.

        j'avais cru comprendre qu'un certifcat signé par une autorité ce certification apportait la garantie que le serveur correspondait bien à l'adresse demandée, contrairement à un certificat auto-signé qui garantit uniquement que tu retournes bien sur le site que tu avais déjà consulté et dont tu avais préalablement accepté le certificat autosigné.

        c'est pas tout à fait ça... dans le cas de https le certificat ne sert pas à grand chose, il sert juste de carte d'identité au site. Je transpose ailleurs : tu appelles France Télécom pour qu'ils réparent ta ligne : Un type arrive avec une combi siglée "France Télécom" et il te tend un ordre d'intervention sur papier à entête avec tes infos et celles du type + une carte professionnelle. (certificat délivré par une autorité racine)
        Prenons un autre exemple : tu appelles ton électricien habituel ("Bébert Electricité générale") et un type arrive et te dis : "je bosse avec Bébert" (certificat auto signé)
        Dans ces deux exemples, rien ne te prouve que le type de FT est bien envoyé par FT (on peut écrire ce qu'on veut sur un papier, récupérer le logo n'importe où, récupérer ton numéro de téléphone, etc...) et rien ne te prouve que l'autre n'est pas envoyé par Bébert en personne.

        Le certificat ne conditionne en rien la qualité du chiffrement de la connexion, c'est le rôle de SSL/TSL
        Le certificat ne garantit en rien l'intégrité des données, là aussi c'est el rôle de SSL/TSL
        Le certificat ne garantit pas que tu retournes bien sur le site que tu avais déjà consulté
        Le certificat est là simplement pour attester que telle entité existe réellement et dis gérer tel(s) sous-domaine(s) de tel(s) domaines(s).
        Par ailleurs, le certificat délivré par une autorité de certification ne garantit en rien que l'entité pour qui il a été délivré gère réellement le(s) sous-domaine(s) et/ou domaine(s) en question ! Le certificat n'est donc pas un élément vraiment essentiel de la sécurité et est là, en somme, pour le folklore... (je résume)

        Et pour répondre à ta question : oui, les certifs c'est très cher, surtout lorsqu'on en veut des multi domaines.

        De plus, l'adresse que tu tapes correspond en général au serveur vers lequel elle pointe... le certificat n'a rien à voir avec ça.
      • [^] # Re: C'est pas après l'EULA que je râle perso...

        Posté par . Évalué à 1.

        j'avais cru comprendre qu'un certifcat signé par une autorité ce certification apportait la garantie que le serveur correspondait bien à l'adresse demandée

        http://www.schneier.com/paper-pki-ft.txt
        http://pkiforum.com/resources/verisigncerts.html
    • [^] # Re: C'est pas après l'EULA que je râle perso...

      Posté par (page perso) . Évalué à 3.

      Si j'ai bien suivi les débats là dessus, il n'y aura pas de changements fondamentaux dans ce processus. Pas de compromis avec la sécurité.

      Mais bon, la 3.1 ne sort qu'à la fin de l'année-debut 2009, donc ça peut encore changer..

      Sinon, procure-toi un certificat certifié par un organisme certifié de certification :-) (y en a un qui en file des gratos parmis ceux reconnu par Firefox, mais j'ai plus le nom)
      • [^] # Re: C'est pas après l'EULA que je râle perso...

        Posté par . Évalué à 10.

        Pas de compromis avec la sécurité.
        Oui, enfin, là, on en vient à accepter de façon permanente des certificats root, parce qu'accepter temporairement un certificat est devenu insupportable (5 clics de souris… faut pas déconner).
        Tout ça alors qu'un tas de sites n'exigent pas un tel niveau de sécurité (au hasard, Linuxfr), et que quand les gens voient cette page « d'avertissement » (ça ressemble plus à une page d'erreur), ils disent « ton site y marche pas ».
        • [^] # Re: C'est pas après l'EULA que je râle perso...

          Posté par . Évalué à 8.

          La discussion est je trouve intéressante et me fait penser à quelque chose.
          Pourquoi décide-t-on de mettre une page en https ? Normalement parce que les données qui ont transiter sont confidentielles.
          Alors après, que faire ? doit-on baisser le niveau de sécurité des sites sécurisés parce que certains utilisent des connections sécurisés sans réel besoin, ou doit-on limité le https là ou il est important (et dans ce cas, il est normal de faire signer ses certificats).

          Enfin, on pourrait voir de niveau de message : Un gros panneau « attention, la clef du site n'est pas authentifié par un organisme, lui faites-vous confiance ? toutes les informations transmissent seront chiffrées entre vous et le serveur, mais rien ne certifie l'authenticité du serveur », et puis l'interface actuelle en cas de signature incorrecte.

          Mais il ne faut pas non plus rendre trop transparent la non-certification, car c'est baisser l'importance de ce protocole.
          • [^] # Re: C'est pas après l'EULA que je râle perso...

            Posté par (page perso) . Évalué à 8.

            HTTPS devrait dans la mesure du possible être le protocole par défaut. Tous les protocoles chiffrés (imapS, Ssh, OTR...).
            Ça ne sert qu'à ajouter du bruit autour des communications confidentielles, et parfois cela protège une information qu'on a failli faire passer en clair. Après, faire une différence entre les certificats authentifiés par un root et les autres, pourquoi pas.
          • [^] # Re: C'est pas après l'EULA que je râle perso...

            Posté par . Évalué à 1.

            Pourquoi décide-t-on de mettre une page en https ? Normalement parce que les données qui ont transiter sont confidentielles.

            s/Normalement/Le plus souvent/ : on ne se sert pas de GnuPG seulement pour crypter des mails, mais le plus souvent pour les certifier/signer. C'est l'inverse pour le https, mais la confidentialité n'a pas le monopole (eg linuxfr en https ;-)
            • [^] # Re: C'est pas après l'EULA que je râle perso...

              Posté par . Évalué à 2.

              Justement, la question est là. celle de savoir si ça sert quelque chose de mettre Linuxfr en https et si l'on doit baisser la sécurité sur les sites importants (banques, commerce en ligne etc) pour pouvoir facilement y accéder en https.

              La remarque faite plus haut est assez pertinente, le fait de chiffrer un maximum de choses permet de masquer ce qui est réellement confidentiel.

              Après, il faudrait donc peut-être trois niveaux comme je disais plus haut : pas sécurisé, sécurité avec destinataire inconnu et enfin, mauvaise clef.
              • [^] # Re: C'est pas après l'EULA que je râle perso...

                Posté par . Évalué à 4.

                La remarque faite plus haut est assez pertinente, le fait de chiffrer un maximum de choses permet de masquer ce qui est réellement confidentiel.
                Certes. Et encore...
                Si on suit cette idee, tout envoyer en clair pourrait aussi masquer ce qui est confidentiel, vu les volumes qui transitent et le fait qu'a priori on va chercher des flux chiffres.
                Et pourtant c'est le meme genre de raisonnement. Et ca ressemble beaucoup a de la securite par l'obscurite, qui ne tiendra pas longtemps: faut pas etre sorti de centrale pour se douter que ce qui transite vers linuxfr a franchement rien de confidentiel.
                Par contre ce qui va vers societegenerale.com ou gmail.com, c'est tres certainement beaucoup plus interessant.
                Bref un tri rapide permet d'enlever 95% du bruit.
                Au final, on s'emmerde pour pas grand chose.

                De plus, une grosse partie de la securite qu'apporte HTTPS est justement le certificat signe par un tiers de confiance envoye dans le handshake.

                S'habituer a accepter des certificats auto signe, c'est ne pas avoir la puce a l'oreille quand t'arrives sur un site reellement sensible qui subit un MITMA. Et la t'auras plus que tes yeux pour pleurer.

                Perso, un certif invalide, ca me fait toujours froncer des sourcils pour 2 raisons:
                - La premiere, c'est que je vais devoir me fader un certif pour savoir ce qui ne va pas, et ca me saoule,
                - La deuxieme c'est qu'a priori, la securite de la transaction est compromise.
                • [^] # Re: C'est pas après l'EULA que je râle perso...

                  Posté par (page perso) . Évalué à 1.

                  Ah bon, et si je chiffre tout mes mails plutot que juste ceux qui sont hautement confidentiel, ça fera pas de différence au niveau de ce qu'il faut décrypter ?

                  Puis je vois pas ce qui m'empêche d'utiliser le système de message privée de linuxfr pour envoyer des données confidentielles.
                  • [^] # Re: C'est pas après l'EULA que je râle perso...

                    Posté par . Évalué à 6.

                    Ah bon, et si je chiffre tout mes mails plutot que juste ceux qui sont hautement confidentiel, ça fera pas de différence au niveau de ce qu'il faut décrypter ?
                    Bof.
                    Quelqu'un qui veut t'espionner recherche a priori quelque chose de precis, et sait donc quels sont tes interlocuteurs qui l'interessent, le reste il s'en tamponne.
                    Alors que tout ton traffic soit chiffre ne le derangera pas, vu que l'attaquant cible des interlocuteurs en particulier, il droppera tout simplement tout le traffic qui va vers/viens de qq1 qui ne l'interesse pas.

                    Puis je vois pas ce qui m'empêche d'utiliser le système de message privée de linuxfr pour envoyer des données confidentielles.

                    Oui, et rien ne t'empeche non plus de mettre ton numero de carte bleu et les 3 chiffres du dos de la carte sur ta page perso free, c'est pas pour autant que c'est intelligent.

                    1) linuxfr n'est surement pas l'endroit pour envoyer des infos confidentielles, de base. Tes infos confidentielles vont se retrouver en clair dans la DB d'un site public que tu ne maitrises pas, on fait mieux niveau confidentialite, non?
                    2) Linuxfr utilise peut etre https, mais aussi http. Conclusion, ton interlocuteur utilise peut etre http, et la confidentialite du coup, bof bof.
                    • [^] # Re: C'est pas après l'EULA que je râle perso...

                      Posté par . Évalué à 2.

                      Alors que tout ton traffic soit chiffre ne le derangera pas, vu que l'attaquant cible des interlocuteurs en particulier, il droppera tout simplement tout le traffic qui va vers/viens de qq1 qui ne l'interesse pas.

                      Ça peut être le cas, comme ça peut ne pas l'être. C'est un peu le cas dans de nombreuses demande de gens où beaucoup voit tout simplement pas l'utilité. Il y a beaucoup de cas de figure et difficile de tout prendre en compte.
                      Dans le cas précis, j'en vois déjà un : Tu peux très bien avoir par mail un interlocuteur et lui envoyer tout les jours une bonne dose de blague salace, des nouvelles de la famille etc, et de temps en temps, envoyé un mail confidentiel.
                      Dans ce cas, en effet, c'est brouillé dans la masse si tout est chiffré, alors que si seul ces mails le sont, cela les rends très vite plus identifiable.

                      Donc voilà, tout ça pour dire que ce n'est pas évident de dire, on fait comme si, on fait comme ça, on ne peut pas forcément imaginer toutes les utilisations qui seront faites avec un outil.
      • [^] # Re: C'est pas après l'EULA que je râle perso...

        Posté par . Évalué à 4.

        Sinon, procure-toi un certificat certifié par un organisme certifié de certification :-) (y en a un qui en file des gratos parmis ceux reconnu par Firefox, mais j'ai plus le nom)

        Si tu parles ce cacert.org, ils ne sont pas (encore) dans les certs par defaut de Firefox. C'est gratuit mais ca ne dure que 6 mois. La procedure pour pouvoir faire signer ses premiers certs est pas trop longue, faut juste trouver qqn a 35 points pas trop loin, et lui payer un lait-fraise.
    • [^] # Re: C'est pas après l'EULA que je râle perso...

      Posté par . Évalué à -1.

      Donc tu es pour la non information !?! Je sais pas ce qu'il se passe donc tout va pour le mieux dans le meilleur des mondes...

      Je ne vois pas très bien de quelle messages tu parles mais je trouve plutôt ça bien qu'ils sensibilise les gens et que les utilisateurs se rendent compte que l'informatique manipule facilement des données sensibles et que ça demande un effort la sécurité...

      Dans ton cas, je ne sais pas pourquoi ils t'appelent (quel est ton metier, ton utilisation) mais n'est-il pas utile de leur expliquer ce qu'ils vont rencontrer en amont (comme ça ils sont plutot prévenu et n'ont pas la dose de stress qui les rends sceptique à tes explicaitons).
      • [^] # Re: C'est pas après l'EULA que je râle perso...

        Posté par . Évalué à 8.

        Donc tu es pour la non information !?!
        Avant, le message d'avertissement, une simple fenêtre pop-up, pour accepter (temporairement ou non) ou refuser le certificat et qui expliquait pourquoi ça pouvait être dangereux, ce n'était pas ce que j'appelle de la « non information ».

        En revanche, maintenant, faire croire que le site est dangereux, parce que le certificat root n'est pas dans Firefox, ça, je trouve ça très proche d'une déformation de la réalité.

        je trouve plutôt ça bien qu'ils sensibilise les gens
        Non. Ça leur fait dire que « le site ne marche pas ». Ceux qui ont donné des liens en https vers DLFP sauront de quoi je parle.
        • [^] # Re: C'est pas après l'EULA que je râle perso...

          Posté par . Évalué à 2.

          Disons que ton navigateur a peu de chances de faire la différence entre un https d'un site comme gmail qui contient des informations sur ta vie privée, un site comme amazon où tu vas mettre des infos sur ta carte de crédit et un site comme linuxfr où si tu te fais hacker ton compte, ben limite tu t'en branles ...
          Du coup, je trouve normal qu'il te dise "dis voir, mon vieux, c'est pas sûr du tout que ce soit super safe, ton truc, là ".

          D'accord, les utilisateurs râlent et finissent par apprendre à ajouter le certificat dans les exceptions, mais c'est bien que ce soit coûteux, ça évite d'automatiser le truc du style, "oui oui j'ai déjà eu la pop up, là, je clique sans même y penser" alors que t'es sur un site commercial.

          Donc non, je trouve que de mettre un truc bloquant, coûteux et de forcer l'utilisateur à réfléchir, c'est bien parce que mozilla peut pas le faire à sa place. Après, peut-être faudra-t-il améliorer le contenu du message pour être plus informatif et didactique.
          • [^] # Re: C'est pas après l'EULA que je râle perso...

            Posté par . Évalué à 6.

            Disons que ton navigateur a peu de chances de faire la différence entre un https d'un site comme gmail qui contient des informations sur ta vie privée, un site comme amazon où tu vas mettre des infos sur ta carte de crédit et un site comme linuxfr où si tu te fais hacker ton compte, ben limite tu t'en branles ...
            Ouais. Donc, on peut dire que c'est à l'utilisateur de faire la distinction.

            Du coup, je trouve normal qu'il te dise "dis voir, mon vieux, c'est pas sûr du tout que ce soit super safe, ton truc, là ".
            Ça, c'était le comportement de FF2.
            FF3, c'est : « Attention, y a une erreur ».

            Donc non, je trouve que de mettre un truc bloquant, coûteux et de forcer l'utilisateur à réfléchir, c'est bien parce que mozilla peut pas le faire à sa place.
            Ahah. Si on raisonne comme ça (l'utilisateur est un abruti qu'il faut bloquer pour l'empêcher de cliquer compulsivement sur « accepter »), effectivement.
            Dans ce cas, je peux pousser ton raisonnement et te rétorquer que ton utilisateur, la seule chose qu'il aura gagné, c'est le fait d'être énervé. Parce que lui, au final, ce qu'il veut, c'est accéder à son site, et que ce message, il en a rien à foutre. D'ailleurs, il en a pas compris la moitié. Et la seule chose à laquelle il aura réfléchi, c'est « comment j'arrive à avoir ce putain de site ».
            Donc, « forcer l'utilisateur à réfléchir en le bloquant », je trouve que c'est vraiment une mauvaise statégie. Un peu comme le modèle de sécurité de Vista.
            • [^] # Re: C'est pas après l'EULA que je râle perso...

              Posté par . Évalué à 0.


              Ahah. Si on raisonne comme ça (l'utilisateur est un abruti qu'il faut bloquer pour l'empêcher de cliquer compulsivement sur « accepter »),


              Je n'ai pas dit ça, j'ai dit que l'utilisateur, voire l'être humain avait tendance à prendre des automatismes, automatismes qui peuvent être dangereux, voire exploités par des personnes mal intentionnées. Et OUI l'être humain est faillible, (tout le monde n'est pas immergé dans l'informatique comme toi) et beaucoup de gens exploitent ses failles :
              http://en.wikipedia.org/wiki/Social_engineering_(security)

              Ex : pour compiler d'habitude, je fais "flèche haut entrée" dans mon terminal . Je compile énormément en ce moment. (création de l'automatisme) Il y a pas longtemps, j'ai commité en voulant compiler (évidemment, un code qui compilait pas ...). Exemple typique d'un automatisme pouvant avoir des conséquences néfastes.

              Aller cliquer sur 12 trucs après avoir eu un gros panneau danger empèche plus la création d'automatismes qu'une pop up merdique à laquelle on ne pense même plus.

              Alors je préfère un utilisateur qui fulmine en disant "putain de site à la con, chier !" et qui a pas son site à un utilisateur qui perd des informations confidentielles, son numéro de carte de crédit etc ... parce qu'il est sur un truc de phishing ou autre et qu'il a cliqué sans réfléchir sur une pop up qu'il à peine vue.
              • [^] # Re: C'est pas après l'EULA que je râle perso...

                Posté par . Évalué à 4.

                Aller cliquer sur 12 trucs après avoir eu un gros panneau danger empèche plus la création d'automatismes qu'une pop up merdique à laquelle on ne pense même plus.

                euuhhh non, les gens qui m'appellent parce que leur FF leur affiche le message d'erreur (qui me fait bougrement penser aux "Erreurs Fatales") je leur dit où cliquer, ils le notent sur un postit, le collent bien en vue sur l'écran et au bout de 2-3 fois connaissent la manip par coeur.

                Le problème c'est que même si je leur explique qu'il faut le faire que pour leurs intranets et pas pour leur banque etc... ça leur sort de la tête très vite parce que ça les dépasse.

                Le problème c'est pas l'automatisme, mais la complexité de la manœuvre, le langage tenu (personne ne comprends rien au message, cf ma comparaison avec les "Erreurs Fatales") et l'impact que ça a sur les gens.

                De plus, les sites de phishing, justement, ne cryptent que rarement leurs sites (bah oué si non ya un message alarmant qui apparaît) et puis personne ne va d'empêcher de créer un certificat pour "www.societe.generale.com" ce qui te permettra de créer ton petit site de phishing, et de le sécuriser en plus.
                C'est au faux problème de sécurité, donc inutile de prendre autant de précautions autour : l'ancien système avait l'avantage d'être plus simple et plus clair.
                • [^] # Re: C'est pas après l'EULA que je râle perso...

                  Posté par (page perso) . Évalué à 4.

                  > qu'il faut le faire que pour leurs intranets

                  Là je dirais que c'est un problème de l'intranet : les responsables informatiques n'ont qu'à installer le certificat racine des sites intranet sur les postes de travail.
                  • [^] # Re: C'est pas après l'EULA que je râle perso...

                    Posté par . Évalué à 0.

                    oui mais non : le commercial qui a son propre portable et qu'on ne voit jamais on va pas pouvoir lui faire à lui par exemple, et puis souvent le pov responsable informatique n'est pas celui qui gère l'intranet/extranet donc il ne sait pas forcément que le certificat a changé etc...

                    Certes il peut le faire (et le fait en général) mais ça n'est pas toujours possible.
                    • [^] # Re: C'est pas après l'EULA que je râle perso...

                      Posté par . Évalué à 5.

                      ben voyons, et il a pas d'antivirus à jour et fait pas de sauvegarde non plus, le commercial itinérant, je suppose ? vous le payez chaque mois et vous n'êtes pas capable d'effectuer de la maintenance informatique sur sa machine ? d'aller le faire pointer chez un prestataire quelconque s'il ne veut pas retraverser la France ou le monde juste pour une opération qui prendra 3 minutes et 5 clics mais qu'il veut quand même être payé à la fin du mois ?

                      vous avez comme un problème. et faudra trouver une autre excuse...
                      • [^] # Re: C'est pas après l'EULA que je râle perso...

                        Posté par . Évalué à -1.

                        non le commercial itinérant il a son propre portable en général parce que ça fait class d'avoir un Vaio ou un XPS, plus class que le vieux Toshiba sous linux qu'on lui donne et qui suffit très largement à afficher 3 pov' diapos et mater du p0rn.

                        de plus, le commercial itinérant fait souvent partie d'une autre boite spécialisée dans... les commerciaux...

                        bref t'as pas vraiment compris...
            • [^] # Re: C'est pas après l'EULA que je râle perso...

              Posté par . Évalué à 7.

              Finalement, tu dis qu'il ne faut pas forcer l'utilisateur à réfléchir parce qu'il n'a pas envie de réfléchir, ni envie de comprendre.

              C'est vrai qu'il n'a pas envie de réfléchir, mais notons aussi qu'il n'a pas envie d'en assumer les conséquences. Par conséquent, si quelque chose tourne mal, il n'admettra généralement pas que c'est parce qu'il a cliqué "ok" sans lire l'avertissement, qu'il n'aurait de toutes façons pas compris.

              Je suis plutôt d'accord sur le fait que forcer l'utilisateur ne sert à rien. Par contre, ce que j'apprécie dans la manière dont FF3 gère le problème, c'est surtout que, rendant l'accès à ces sites bancals difficiles, il force les gestionnaires des sites à gérer le problème. On peut raisonnablement admettre que ma grand-mère n'ajoutera jamais d'exceptions permanentes dans son FF, donc si elle tombe sur un site marchand au certificat moisi, elle repartira probablement sans rien acheter. D'où l'incitation pour le site marchand à avoir un certificat signé et à jour.
    • [^] # Re: C'est pas après l'EULA que je râle perso...

      Posté par (page perso) . Évalué à 3.

      (...) et que la sécurité n'est pas compromise...

      Et ben non, justement.
      Sans certificat valide, la sécurité de ton site est compromise.

      En effet, plus rien ne garantie que le visiteur visite ton site, si le DNS est "piraté" (tout bête, un petit fichier "host" sur la machine du visiteur, ou sur un routeur intermédiaire qui reroute les appels DNS et hop...), ben le visiteur peut croire qu'il est sur ton site, avec une belle URL, alors qu'il est sur le site d'un méchant.

      Si toi tu crois que la transmission est sécurisée avec un certificat auto-signé, il y a un très gros problème de sécurité dans ta vision d'un site sécurisé. Le problème vient de toi, pas de Firefox, et c'est très bien qu'ils fassent ça (et oui, j'ai rajouté l'exception LinuxFr.org sur mon Firefox, mais je l'ai fait que sur une connexion que je sais assez sûre, et non pas sur une connexion WiFi mise à disposition "gratuitement" dans la rue. Comme ça la prochaine fois que je me connecte sur LinuxFr, et que j'ai un warning de mon navigateur, je sais qu'il y a un problème)

      Certificat auto-signé = sécurité pouvant être cassée par certains moyens, accès à moitié sécurisé seulement.
    • [^] # Re: C'est pas après l'EULA que je râle perso...

      Posté par . Évalué à 1.

      MS Internet Explorer 7 (ou une de ses mises à jour) produit le même genre de page alarmiste.
      Cependant, comme déjà argumenté plus haut, je ne pense pas que ça soit une mauvaise chose.

      --
      Unk
    • [^] # Re: C'est pas après l'EULA que je râle perso...

      Posté par (page perso) . Évalué à 2.

      Si ça se trouve, c'est configurable dans l'about:config, mais j'ai la flemme dy' faire un tour..
    • [^] # Re: C'est pas après l'EULA que je râle perso...

      Posté par (page perso) . Évalué à 5.

      Je suis bien d'accord avec toi. Les messages affirment quasiment que tu as sur un site pirate.

      En interne dans une boite (ici laboratoire rattaché u CNRS), on utilise des certificats signé par la PKI de la boite (ici CNRS). Mais Firefox ne reconnais pas cette PKI. Certes, il faudrait le déployer... Bref, les certificats signés par sa propre PKI valent objectivement tout autant que ceux que tu payes sur des domaines bidons. En quoi c'est plus sur d'avoir un certificat signé par Verisign sur un domaine bidon ?

      Je n'ai jamais compris pourquoi les navigateurs ne faisait pas comme ssh. C'est simple, la première fois, on valide le certificat dans sa base de données et ensuite, s'il change, alors là seulement gros danger !

      Mettre un message alarmant ne sers à rien. Il y a trop d'intranet interne en https qui n'ont pas forcément de données sensible mais sur lesquels il faut authentifier l'utilisateur. En plus, on doit accepter le certifcat avant de voir la page. Comment savoir si c'est le site auquel on pensait ?

      Bref, ce que je verrais bien comme comportement histoire de ne pas être que dans la critique négative mais d'en profiter pour faire des propositions.

      Pourquoi ne pas faire comme ssh et se baser aussi sur la notion de réseau de confiance. Je verrais bien que tout certificat aille directement dans un trousseau et soit vérifier à chaque navigation, que celui-ci soit signé par une autorité publique ou pas. Si le certificat n'a jamais été enregistré, pourquoi ne pas faire comme ssh, afficher un fingerprint (eventuellement controler dans le DNS), annoncer si le certificat est signé ou non par une autorité et en plus, j'afficherait la page web sous forme réduite (de la racine DNS du site) et sans aucun lien cliquable ni de contenu dynamique. En gros, avoir la page en lecture seule. Une simple acceptation de la page comme avec ssh et on aurait le certificat dans son trousseau.

      Enfin, en cas de modification du certificat, prendre les mesures qui s'imposent et prévenir l'utilisateur pour qu'il valide ou non le certificat. Le message dépendrait bien sur du type de certificat et du fait que l'ancien certificat était ou n'était plus valide.

      Bref, ssh n'est pas une usine à gaz et cela marche bien depuis des années, pourquoi ne pas s'en inspirer au niveau de l'IHM et de la simplicité des dialogues.

      Pour finir, pourquoi avoir autorisé les noms DNS autre qu'en ASCII ! Une partie du problème vient de là. Pourquoi aussi multiplier les noms de domaines racines. Ceux qui gouverne l'internet font des choix qui me semble parfois relever de l'inconscience et n'avoir qu'un intérêt pécunié pour le microscome qui gravite autour de la gestion du réseau. Encore une fois, ils feraient mieux de bosser sur des vrais problèmes technique comme IPv6 pour nous refaire un internet point-à-point, ce qui résoudrait pleins de détails génant pour l'utilisateur.
      • [^] # Re: C'est pas après l'EULA que je râle perso...

        Posté par (page perso) . Évalué à 1.

        Bref, les certificats signés par sa propre PKI valent objectivement tout autant que ceux que tu payes sur des domaines bidons.

        Du moment que tu déploies le certificat "root" avec le Firefox, c'est pareil en effet.
        Si tu ne déploies pas, comme j'ai l'impression que tu veux faire, ta liaison est compromise : impossible de certifier que l'utilisateur est sur le bon site!

        Mettre un message alarmant ne sers à rien. Il y a trop d'intranet interne en https qui n'ont pas forcément de données sensible mais sur lesquels il faut authentifier l'utilisateur.

        Utiliser HTTPS pour cela est une mauvaise utilisation d'une technologie.
        Si pas de données sensibles, pas besoin d'HTTPS...

        En plus, on doit accepter le certifcat avant de voir la page. Comment savoir si c'est le site auquel on pensait ?

        Ben, le but du certificat étant d'être sûr avant d'accéder à un site frauduleux, ce que tu demandes c'est tout simplement de virer la sécurité!
        La personne donnera son login/password à un site frauduleux et comprendra seulement ensuite qu'il n'est pas sur le bon site!

        Le but d'un certificat est d'^tre sûr d'être chez la bonne personne avant d'avoir la première page, tu demande à violer cette sécurité élémentaire!

        Bref, ssh n'est pas une usine à gaz et cela marche bien depuis des années, pourquoi ne pas s'en inspirer au niveau de l'IHM et de la simplicité des dialogues.

        Avec SSH, les gens savent ce qu'est un réseau "securisé".
        Avec un navigateur web, les gens vont sur le site de leur banque à partir de n'importe quel réseau, même si c'est un réseau WiFi non crypté, même la première fois. Sans compter les cyber-cafés.
        A utilisateurs différents, méthodes différentes.

        J'ai autorisé le certificat LinuxFr à partir d'un lieu sûr, mais il y a de fortes chances que certains aient validé le certificat par le biais de leur connexion WiFi en WEP...
        • [^] # Re: C'est pas après l'EULA que je râle perso...

          Posté par (page perso) . Évalué à 7.

          > Utiliser HTTPS pour cela est une mauvaise utilisation d'une
          > technologie. Si pas de données sensibles, pas besoin d'HTTPS...

          Pas de données sensible sauf l'authentification, donc le mot de passe ! Je fais du HTTPS pour ne pas avoir le mot de passe en clair dans la plupart des cas.

          > Ben, le but du certificat étant d'être sûr avant d'accéder à un site
          > frauduleux, ce que tu demandes c'est tout simplement de virer la
          > sécurité!

          Mais c'est faux. Tu as un certificat valide qui te dis que le site sur lequel tu vas à payer son certificat et à son domaine DNS. Un certificat signé ne te garantie pas du tout que tu n'es pas sur un site frauduleux, ou alors je n'ai rien compris.

          Un petit coup de faux site web avec un faux noms DNS qui ressemble et tu es marrons.

          C'est le problème du certificat signé par les autorités officielles. Cela me laisse un faux goùt de sécurité. On me fait croire que c'est bon mais personnellement, je n'ai aucune confiance dedans.

          > Avec SSH, les gens savent ce qu'est un réseau "securisé".

          En gros, les utilisateurs SSH sont plus intelligent ? Je crois surtout qu'on prends les gens pour des cons et qu'on veut les former dans la mauvaise direction. L'objectif des 36 boites de FIrefox3 et d'IE8 est le suivant : faites confiance en nous et dans les certificats signés et payés au grand groupe et tout ira bien. Mais qui ici a encore confiance dans les grands groupes ? Vous croyez vraiment qu'ils ne veullent que le bien de l'humanité ?

          > Avec un navigateur web, les gens vont sur le site de leur banque à
          > partir de n'importe quel réseau, même si c'est un réseau WiFi non
          > crypté,

          Et alors, aucun problème avec mon système. Si tu as déjà accepté une fois le certificat et que tu n'as pas eu de problème, tu peux alors retourner sur le site de ta banque avec du wifi non sécurisé, il n'y a plus de soucis puisque tout est chiffré par SSL et que tu es sur d'être sur ta banque.

          En pratique, comme avec SSH, tu ne vas pas sur 10000 sites en SSL et très rapidement, tu tournes toujours sur les mêmes sites sensibles d'achat ou de banque.

          Mon système ne diminue pas la sécurité car tu peux toujours faire signé par une autorité situé au dessus. Il rajoute juste une couche simple à la SSH plutôt que de faire croire des choses qui à mon avis me semble fausse via 36 boites de dialogue.
          • [^] # Re: C'est pas après l'EULA que je râle perso...

            Posté par . Évalué à 2.

            Tu as un certificat valide qui te dis que le site sur lequel tu vas à payer son certificat et à son domaine DNS. Un certificat signé ne te garantie pas du tout que tu n'es pas sur un site frauduleux, ou alors je n'ai rien compris.

            Normalement c'est le boulot de l'autorité de certification de s'assurer que la personne qui demande le certificat est bien le propriétaire du domaine. Il y a des audits des autorités de certification pour vérifier qu'elles font bien leur boulot et c'est pour ça que leurs clés sont livrées avec Firefox.

            Étienne
            • [^] # Re: C'est pas après l'EULA que je râle perso...

              Posté par (page perso) . Évalué à 2.

              > Normalement c'est le boulot de l'autorité de certification de
              > s'assurer que la personne qui demande le certificat est bien le
              > propriétaire du domaine.

              C'est exactement ce que j'ai dis. Tu achètes un nom de domaine proche de celui d'un organisme connu, tu achètes un certifcat officiel et hop, toi tu fais confiance au site.

              Il est écrit nul pars que l'organisme de certification regarde le contenu de ton site !
              • [^] # Re: C'est pas après l'EULA que je râle perso...

                Posté par . Évalué à 4.

                Certes, mais ca protege contre l'attaque "man in the middle". Imagine que le domaine de ta banque soit mabanque.fr.
                * DNS poisoning en piratant ton routeur WiFi a la maison (ou celui du cafe dans lequel tu te trouves)
                * Interception des appels vers mabanque.fr
                => ton navigateur pensera qu'il est sur mabanque.fr alors que c'est une page controlee par le pirate.

                Et la, vu que le pirate n'aura pas pu acheter un certificat pour mabanque.fr, il pourra au mieux avoir un certificat auto-signé.
                • [^] # Re: C'est pas après l'EULA que je râle perso...

                  Posté par (page perso) . Évalué à 1.

                  Enfin, ton exemple a besoin d'une attaque DNS pour marcher... Même si ton exemple est valable, j'aimerais avoir les statistiques de ce genre d'attaque ?

                  A mon avis, c'est très faible. Pour t'avoir, il est beaucoup plus simple d'avoir un faux site web avec un faux nom de domaine. En plus, en acceptant les noms DNS en UTF8 et en généralisant les extensions finales du système DNS, les responsables de l'internet ont joué avec le feu.

                  En plus, l'avantage avec un faux noms DNS, c'est que tu peux balancer 10000 pourriels et espérer que deux ou trois couillons tombent dans le panneau. Cela me semble bien plus simple que d'aller attaquer le système DNS et jouer à l'homme du milieu avec chaque utilisateur..

                  Bref, je trouve que les certificats sont une belle avancée mais, personnellement, j'ai plus confiance dans le certificat de linuxfr que ceux de verisign.

                  La logique des certificats actuels seraient que les autorités qui les valident visionnent aussi les sites et émettent un avis. C'est hyper dangeureux et cela risque de diriger l'internet droit dans la censure... Pour cette raison, il faut pousser l'usage des certificats vers les réseaux de confiance de type ssh ou pgp.

                  Pour toutes ces raisons, je n'aime pas les boites de dialogue IE8 et de Firefox3 à propos des certificats signés par sa propre autorité. Cela nous mène vers un internet qui ne me plait guère. D'autres voies sont possible et sont compatibles avec les technlogies actuelles.
                  • [^] # Re: C'est pas après l'EULA que je râle perso...

                    Posté par (page perso) . Évalué à 3.

                    D'autres voies sont possible et sont compatibles avec les technlogies actuelles.

                    Pour une fois qu'une association à but non lucratif représentant une bonne part de marché des navigateurs, et une entreprises à but lucratif représentant la très grosse majorité des part de marché des navigateurs se mettent d'accord pour dire que les certificats auto-signés sont dangereux pour Internet, toi tu arrive avec une "d'autres voies sont possibles".

                    Hum. Désolé, mais je ne crois pas à d'autres voies possibles. Surtout pas celles que tu sous-entends, qui accepterait par conception une faille sur le DNS poisoning.

                    Un certificat, c'est fait pour être sûr, de bout en bout. LinuxFr n'est pas sûr de bout en bout (man in the middle possible), et c'est donc normal que seuls sachant ce qu'ils font puissent accéder au HTTPS de ce site (qui n'est pas difficile, même sur Firefox 3, suffit de quelques clics qui te laisse le temps de savoir ce que tu fais).

                    Et je rappelle que pour un intranet, il est très facile de diffuser le certificat racine de son entreprise, seule chose à faire pour que le client soit sûr qu'il n'a pas été eu d'interception sur le réseau.

                    Ce que tu préconises revient à baisser la sécurité pour les admins flemmards qui ne diffusent pas de certificats racines (le cas de LinuxFr est à part entre guillemets, un certificat coûte, mais si on n'a pas les sous pour acheter un certificat, c'est aussi qu'on a pas de données ultra sensibles valant un kopeck.)

                    j'ai plus confiance dans le certificat de linuxfr que ceux de verisign

                    C'est bien d'avoir confiance, mais si je me met entre toi et LinuxFr, tu accepteras mon certificat sans t'en rendre compte et je pourrai alors voir tout ce que tu fais. Sécurité faible.
                    (si tu rigoles à l'idée, remplace celui qui regarde par ton FAI, ton gouvernement etc...)
                    • [^] # Re: C'est pas après l'EULA que je râle perso...

                      Posté par (page perso) . Évalué à 2.

                      > C'est bien d'avoir confiance, mais si je me met entre toi et LinuxFr, tu
                      > accepteras mon certificat sans t'en rendre compte et je pourrai
                      > alors voir tout ce que tu fais. Sécurité faible.

                      Tu n'as pas bien lu ce que je propose à mon avis. Tu es en train de me dire que SSH est faible car je propose non pas de virer la signature d'un certificat mais d'avoir une autre voie qui en plus ou en parallèle ferait les mêmes vérifications que SSH.

                      Enfin, je dis que la méthode de la signature va tendre à la fin à avoir les organismes qui valident aussi le contenu du site web car cette méthode ne contre en rien les faux site web qui prennent des noms proches des vrais.

                      Bref, cela fait très contrôle centralisé et minitel 3 !

                      Alors moi je te dis : OK, vas y, fait moi du DNS poisoning !

                      Qu'est ce qui est plus facile aujourd'hui, le DNS poisoning ou faire des faux sites sur des noms DNS bidons que les autorités de l'internet ont accepté sans se rendre compte du danger (je parle des noms DNS en UTF8 or ASCII). Bref, j'ai comme des doutes sur les autorités auxquelles tu fais référence. Il arrive à tous des faire des erreurs. Ces autorités ont un but qui est de faire de l'argent et de transformer internet en autoroute à péage... Ainsi, ils auront la dîme tant désirée. Cet internet ne me passionne pas franchement.

                      Donc pour finir, je suis peut être (certainement) dans le tord mais j'aimerais un argumentaire détaillé contre mes propositions et pas un simple : ton truc ne résiste pas au DNS poisonning. Surout que mon truc y résiste sauf lors de la première connexion (comme ssh). Effectivement, je te rapelle que dans mon système, tu gardes le certificat en cache et donc qu'au passage suivant, le site doit redonner le même certificat !

                      Il suffit de faire un système transitoire lorsqu'un certificat arrive à expiration, en gros de mettre le nouveau et l'ancien à coté qui signe le nouveau pour que ton navigateur bascule sur le nouveau sans rien dire. Bref, rien de bien compliqué.

                      Chacun son approche, je préfère dire moi même que j'ai confiance en une cinquantaine de site plutôt que d'en avoir des millions par défauts dans mon navigateur.

                      Enfin, pour le déploiement des certificats racines, je suis intéressé par une méthode simple qui marche sur tous les OS et tous les navigateurs... Désolé, je n'impose ni l'OS ni le navigateur dans mon boulot.
                  • [^] # Re: C'est pas après l'EULA que je râle perso...

                    Posté par . Évalué à 2.

                    Enfin, ton exemple a besoin d'une attaque DNS pour marcher... Même si ton exemple est valable, j'aimerais avoir les statistiques de ce genre d'attaque ?

                    A mon avis, c'est très faible


                    Pour avoir bosse dans l'authentification forte pour l'eBanking, et developpe une rustine contre le mitma, ton avis est faux.
                    J'ai pas les chiffres precis des attaques, mais c'etait demande par les clients.
                    Ok, les banquiers sont tres frileux, mais ils sont aussi pret de leurs sous, et s'ils en ont pas besoin, ils vont pas le payer...

                    En plus, l'avantage avec un faux noms DNS, c'est que tu peux balancer 10000 pourriels et espérer que deux ou trois couillons tombent dans le panneau.
                    Ca depend de la cible attaquee.
                    Pas mal de banques ont des systemes de One Time Password (password unique changeant en permanence au cours du temps), et la, a part du mitma synchrone, ya pas grand chose comme moyen d'attaque.
                    • [^] # Re: C'est pas après l'EULA que je râle perso...

                      Posté par (page perso) . Évalué à 2.

                      Je parle en règle général et tu me parles de banque. Il est clair qu'une banque doit se protéger contre les attaques DNS mais dans la grande majorité des cas, je doute que nous subissions tant que cela d'attaque DNS.

                      Mais encore une fois, c'est du feeling et je n'ai pas les chiffres. Je vois seulement que ma boite mail est innondé de pourriel ayant des faux noms DNS.
                      • [^] # Re: C'est pas après l'EULA que je râle perso...

                        Posté par . Évalué à 2.

                        bon, ok, je peux etoffer un peu si tu veux:
                        ton compte ebay,
                        ton webmail d'entreprise,
                        l'extranet de ton entreprise en regle generale,
                        ton site de payroll (tres utilise aux us, et ya des infos interessantes dessus),
                        le site des impots,
                        n'importe quel site de vente en ligne,
                        que sais je encore

                        Le nombre de sites vers lesquels transitent soit de l'argent soit des informations personnelles sensibles est quand meme loin d'etre negligeable, la banque n'est que l'exemple le plus evident et eloquent. Et aussi parce que c'est plus simple de prendre l'argent la ou il yen a le plus.

                        Le numero de secu aux us par exemple est une donnee tres sensible qui t'identifie dans toutes les institutions "vitales". Ca m'a servi a debloquer ma carte de retrait par telephone l'autre jour, par exemple, donc c'est clairement qq chose de tres important.

                        Si t'utilise https c'est que t'as des infos confidentielles a faire transiter et que ces infos peuvent interesser des mechants.
                        Ou alors c'est que tu veux juste te palucher en disant que t'as un acces "secu".

                        Sans compter que mon dernier point met en exergue la necessite d'utiliser reellement ssl: la tendance est au renforcement des systemes d'authent', donc de mot de passe, ce qui deporte donc les vecteurs d'attaques du vol de mot de passe "simple" (ce que font les sites bidons sur un dns qui ressemble au site attaque) vers d'autres failles.
                        Les mechants vont toujours utiliser la breche la plus simple pour casser le systeme, donc renforcer une partie du systeme va detourner l'attention vers une autre partie du systeme.

                        En l'occurence, une fois un systeme d'authent' fort mit en place, il devient necessaire de se rabattre sur ce genre de faille dns poisoning, et donc un certif auto signe est une grosse faille.

                        Cela dit, une fois le dns poisoning resolu, je ne doute pas que le mechant trouveront d'autre vecteurs d'attaque :)

                        En conclusion, SSL sert a 2 choses:
                        - Authentification d'une ou des deux parties (handshake)
                        - Confidentialite et non alteration en chemin des donnees echangees (chiffrement de la communication)

                        HTTPS n'est reellement fiable que si les 2 sont utilisees.
                        • [^] # Re: C'est pas après l'EULA que je râle perso...

                          Posté par (page perso) . Évalué à 2.

                          > En conclusion, SSL sert a 2 choses:
                          > - Authentification d'une ou des deux parties (handshake)
                          > - Confidentialite et non alteration en chemin des donnees
                          > echangees (chiffrement de la communication)

                          Je ne dis pas le contraire. je dis simplement que l'on pourrait faire du HTTPS comme du SSH et donc d'avoir à valider la PREMIERE fois le certificat.

                          Dans tes exemples, tu montres bien que tu vas toujours sur les mêmes sites et que ce nombre est finalement en quantité réduite. Ton navigateur pourrait donc stocker ce certificat d'une session à l'autre (il le fait déjà) et gérer le changement de ce certificat à la date de prescription (a ma connaissance, non géré aujourd'hui).

                          Pour ce qui est des mots de passe, je suis d'accord avec toi mais cela n'a rien à voir avec le problème évoqué plus haut. Qu'un site utilise un certificat signé par verisign ou non, aujourd'hui, ces sites publiques ne font pas d'authentification de l'utilisateur par certificat,

                          Je ne connais que deux entités qui font cela, les impôts et le CNRS et ils ont tous les deux leur propre autorités de certification à ma connaissance (pour le CNRS, c'est sur) !

                          Donc, ne nous trompons pas de débat, je ne suis pas fanatique des certificat payant, pas du reste.

                          Sinon, pour ce qui est de vérifier les clients par certificat, le système du CNRS est un semi-échec. Il est peu utilisé sauf certain milieu. Je vois dans mon laboratoire, sur 150 personnes, nous ne sommes que 3 a avoir un certificat et je n'ai pas du tout envie de déloyer la technologie à l'échelle du laboratoire. C'est trop de boulot pour une sécurité dont je ne suis pas sur qu'elle serait meilleure à la fin, les personnes ayant leur certificat 'en clair' sur leur disque ou dans leur clef USB qui traine dans le sac de l'odinateur portable.
                          • [^] # Re: C'est pas après l'EULA que je râle perso...

                            Posté par . Évalué à 2.

                            Je ne dis pas le contraire. je dis simplement que l'on pourrait faire du HTTPS comme du SSH et donc d'avoir à valider la PREMIERE fois le certificat.

                            Justement, c'est comme ça que FF3 marche pour les certificats auto-signes (genre linuxfr). Tu valides le certificat la premiere fois, et apres c'est bon. Qu'est-ce que tu veux de plus ?
  • # et encore ...

    Posté par (page perso) . Évalué à 8.

    C'est grace à firefox (à l'époque de phoenix), que j'ai complètement switché sous gnu/linux moi ...
  • # Meunon Mozilla n'est pas le grand méchant (Bi)loup...

    Posté par . Évalué à -4.

    ...Franchement je n'ai rien à redire sur la licence de Mozilla pour Fofox.

    Par contre, un truc qui me plait moyen c'est la fréquence à laquelle il plante depuis le passage à Fofox 3...
  • # eh eh

    Posté par (page perso) . Évalué à 6.

    j'espère que ce journal aura suffisamment éclairé les esprits sur l'implication de Mozilla dans le monde Linux.

    Tu devrais le savoir que c'est le souci du verre à moitié plein ou à moitié vide ;-)

    Tu as omis de parler des sujets suivants (en vrac) :
    - une infrastructure de mise à disposition de greffons pour les développeurs libres (multiplateforme, tant sur windows que GNU/Linux voire *BSD) - d'ailleurs connaître la part de développeurs venant du monde windows serait intéressante ;-)
    - xulrunner disponible dans toutes les bonnes distributions GNU/Linux en autonome - identifier les IDE qui s'y adaptent pour développer efficacement
    - le travail de libification de gecko a-t-il avancé ? (j'ai l'impression que oui un peu : cela permet d'éviter tout de même de casser epiphany, yelp, galéon, miro... lors d'une nouvelle version de firefox, ce qui est un des éléments factuel de grogne récurrente des mainteneurs ;-) ).
    - tu omets aussi de citer le travail inhérent à l'intégration avec chaque distro, effectué avec chacune des distributions (bon tu cites ubuntu pour l'EULA qui n'en est pas un mais en fait si, ou pas quand on lit une des dépêches sur slashdot ;-) ). Ce travail - hormis certains aspects trollesques - permet-il de fiabiliser le code, bénéficiez-vous de retours, les distributions et la MoFo ont-elles trouvé un point d'entente sur la gestion des mises à jours (ou reste-t-il des sujets à traiter au titre de la branche des versions 3.x par exemple)
    - il y a peut-être aussi l'aspect de la gestion SVG ou de technos via gnash ou swfdec qui cristallisent parfois les utilisateurs, certains fonctionnalités étant soumises à beaucoup d'attentes (certaines pas du ressort de Mozilla, j'en conviens)

    Malgré mes remarques, bien sûr qu'il ne faut pas hésiter à communiquer, d'autant que le sujet est vaste (je n'ai même pas parlé de la balise embedded pour la vidéo tu noteras).
  • # JavaScript en standalone

    Posté par . Évalué à 2.

    Je serais curieux de savoir comment un "moteur" javascript ecrit
    pour Firefox peut tourner dans un autre navigateur ( et vice versa ).

    Je veux dire, vu l'etroite impliquation de JavaScript a avec le DOM
    , toute la partie CSS, rendu de la page, etc, j'imagine que chaque
    navigateur doit posseder ses propres rouage interne !

    Il n'y a qu'a voir les attributs en "-moz".

    Peut être est ce seulement le "parseur" JavaScript ?

    ps : je ne critique pas l'initiative, je suis dubitatif devant tant de
    technique :)
    • [^] # Re: JavaScript en standalone

      Posté par (page perso) . Évalué à 3.

      Non, c'est clairement séparable. Ensuite, il y a une glue entre le langage et le layout/document engine. Chez nous, c'est XpConnect.

      Les -moz, c'est pour CSS, juste pour dire que c'est pas standard.
      • [^] # Re: JavaScript en standalone

        Posté par (page perso) . Évalué à 4.

        > Les -moz, c'est pour CSS, juste pour dire que c'est pas standard.

        Correction : Les -moz, c'est pour CSS, juste pour dire que c'est pas *encore* standard.

        Nuance très importante !

        Sinon tout le monde va dire que Mozilla fait du non-standard. La vérité c'est que le standard n'est pas complètement finalisé ou validé, mais Mozilla l'implémente déjà, donc en avance de phase.
        • [^] # Re: JavaScript en standalone

          Posté par . Évalué à 3.

          des standards de Schröedinger, c'est ça ?

          "alors c'est pas standard mais c'est pas pas-standard non plus car ça sera bientot standard"

          c'est un peu comme ce pov chat, suffit de pas lui donner à bouffer ou de ne pas faire de trous dans la boite pour être sûr de son sort sans avoir à l'ouvrir...
    • [^] # Re: JavaScript en standalone

      Posté par (page perso) . Évalué à 3.

      > vu l'etroite impliquation de JavaScript a avec le DOM

      Il n'y a aucune implication de Javascript avec le DOM. Je pense que tu confond le langage javascript, avec l'API fourni par l'outil embarquant le moteur (Firefox par exemple).

      Le langage Javascript inclus certes, quelques objets de bases (Array, Math etc..) mais le DOM ne fait pas parti du langage Javascript.

      Le moteur javascript Seamonkey (comme d'autres je suppose) possède une API C externe permettant de déclarer dans un contexte javascript un ensemble d'objets, ceux que l'on veut, et c'est ce que fait Firefox, en déclarant les objets DOM. Et c'est ce que font les autres applications pour intégrer leur propre API (en claire, pour rendre scriptable leurs API internes)

      Y a le même principe dans d'autres langages, comme Python ou PHP, où via des "bindings" on peut accéder à des libs tierces.
      • [^] # Re: JavaScript en standalone

        Posté par . Évalué à 2.

        Je ne confond pas, mais je pensais, à tord apparement, que JavaScript ( SeaMonkey donc ) etait integré profondement dans Firefox.

        En fait je fais du dev JavaScript actuellement et je me posais des questions sur le "comment c'etait fait firefox" et je me demandais si par exemple, quand en CSS je place un objet en positionnement absolute à 5px gauche, est ce que ça n'appelait pas les fonctions JS qui ensuite le place ( ou l'inverse ). Et du coup, je me demandais si niveau performance il valait mieux faire certaine chose en JS ou en CSS.

        Mais en fait, j'avais tout faux, et tout passe par un API C. C'est ça de se poser des questions dans son coin :)
  • # littlecms ?

    Posté par (page perso) . Évalué à 6.

    Ah ben ça tombe plutôt bien que Mozilla ait participé à littlecms. J'aimerais bien savoir comment dire à Firefox de ne pas ignorer lamentablement les profils ICC associés aux PNG ou aux JPEG. Et aussi pourquoi, alors que la plupart des systèmes sont en sRGB, il utilise un gamma de 1 pour retailler les images ?
  • # Parce que vendredi approche...

    Posté par . Évalué à 10.

    - Au Firefox Summit 2008 (prés de 400 contributeurs Mozilliens), je n'ai pratiquement pas vu de machines sous windows. La plupart des développeurs sont soit sous Mac, soit sous linux.

    C'est quoi cette manie de mettre Mac dans le même panier que Linux, parmi les résistants au Grand Méchant Billou ? Le Grand Méchant Steevy est même encore plus méchant que le Grand Méchant Billou de mon point de vue, puisqu'il verrouille son système sur son seul matériel, par exemple. Idem avec les iPod, iPhone, etc... Donc non, c'est pas parce que Apple n'est pas monopolistique qu'il devient gentil...

    Donc au final, combien de Mac pour combien de Linux ? J'ose espérer que c'est pas 99 pommes pour un manchot...
    • [^] # Re: Parce que vendredi approche...

      Posté par (page perso) . Évalué à 2.

      > C'est quoi cette manie de mettre Mac dans le même panier que Linux

      L'ennemi de mon ennemi est mon ami :p
      • [^] # Re: Parce que vendredi approche...

        Posté par . Évalué à 3.

        J'entendais tout à l'heure à la radio cette citation de Winston Churchill:

        Dans un mariage à trois, il vaut mieux être l'un des deux

        Il est peu probable que Linux compte parmi ces deux là et c'est très bien comme ça.
      • [^] # Re: Parce que vendredi approche...

        Posté par (page perso) . Évalué à 10.

        Si je dois remplacer un monopole logiciel par un monopole matériel+logiciel, non merci.

        Désolé, mais l'ennemi de mon ennemi n'est pas mon ami si celui-ci a pour but d'être encore pire que mon ennemi quand aux pratiques douteuses.

        Des utilisateurs MacOS X sont encore plus enfermés que des utilisateurs Windows, ce n'est pas bon pour la liberté. Si Apple contribue un peu au libre (WebKit), c'est bon à prendre, mais de la à adorer MacOS X, je ne comprend définitivement pas. Les "libristes" utilsateurs d'iPod, de iMac et compagnie sont des faux libristes : la liberté ne les intéresse pas du tout.
        • [^] # Re: Parce que vendredi approche...

          Posté par . Évalué à -6.

          Sauf que OS X ne contient pas toute la merde DRM psychotique et bloatwarienne de Vista (qui en passant impacte les fabriquant de matos donc impacte tt le monde via le prix, même ceux qui n'utilisent pas MS).
          • [^] # Re: Parce que vendredi approche...

            Posté par (page perso) . Évalué à 3.

            Apple c'est génial, t'as même pas le droit d'installer les logiciels que tu veux sur la machine que tu as acheté. Il faut que apple donne son approbation pour que tu puisses faire tourner un «hello world». Bien sûr c'est pour notre sécurité.

            À quand les architectes qui interdisent de faire la décoration de notre maison comme bon non semble ? Vivement qu'il faille leur demander leur avis, je sens qu'il y a tout une tripoté de maceux prêts à faire la queux pour peux que les maisons aient une bonne gueule.
            • [^] # Re: Parce que vendredi approche...

              Posté par . Évalué à 1.

              Hm je parlais pas des iphone et autres trucs hors de prix et effectivement sans aucun interet tant ils sont bloqués et bridés.
              Bref comprendre mon post précédent en interprétant OS X comme OS X pour desktop ou laptop (ce qui aurait de toute façon du être clair vu le Vista dans la même phrase, je ne crois pas (j'espère!!!) qu'on verra jamais de Vista pour téléphone... :p )
              • [^] # Re: Parce que vendredi approche...

                Posté par (page perso) . Évalué à 1.

                Ce que je voulais dire c'est qu'au moins, on c'est dans quel panier mettre apple aujourd'hui.

                Sous OS X, ils peuvent pas se permettre de brider autant car la concurrence qui est plus répandu ne bride pas l'utilisateur à un tel niveau.

                Je trouve ça idiot d'attendre que la menace que représente apple, menace bien pire que microsoft, nous impacte profondément pour commencer à leur faire la mauvaise presse qu'ils méritent.
        • [^] # Re: Parce que vendredi approche...

          Posté par . Évalué à 2.

          Des utilisateurs MacOS X sont encore plus enfermés que des utilisateurs Windows,

          jusqu'à présent, Apple n'a jamais pourri la vie de ceux qui ne sont pas utilisateurs de Mac OS X. Windows et ses produits "standards de faits" comme "MS Office", ses Active X, ses macros VB dans Excel etc si, un nombre incalculable de fois, pour ma part en tout cas, alors que je n'utilise aucun de leurs produits.

          Si Apple contribue un peu au libre (WebKit),

          Apple fait plus que WebKit:
          http://developer.apple.com/opensource/index.html

          c'est vrai que Apple pourrait faire **beaucoup** plus vu son potentiel, mais au moins ils ont l'avantage de livrer en standard sur leurs machines et leurs serveurs des outils et protocoles unix, et ça c'est déjà pas mal.

          En tout cas même si j'appréciais beaucoup plus apple auparavant, je dois dire que depuis leurs ipod et leurs iphone ultra bridés et fermés, je n'aime plus beaucoup cette compagnie, mais au moins je peux me passer complètement d'eux.

          Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

          • [^] # Re: Parce que vendredi approche...

            Posté par (page perso) . Évalué à 10.

            jusqu'à présent, Apple n'a jamais pourri la vie de ceux qui ne sont pas utilisateurs de Mac OS X.

            Apple impose aux utilisateurs de MaxOS X d'acheter un Mac, d'acheter du matériel "made in Apple" (ou certifié Apple).
            C'est un limitation.

            Apple n'a pas imposé d'autres choses car il n'a pas pu, mais regarde bien l'iPhone et l'iPod : partout ou il peut, Apple t'enferme dans son monde.

            Désolé, mais non, je ne pousserai une entreprise dont l'idéologie est d'enfermer les gens, et que la seule raison pour laquelle il ne le fait pas est qu'il ne peut pas le faire.

            je dois dire que depuis leurs ipod et leurs iphone ultra bridés et fermés, je n'aime plus beaucoup cette compagnie, mais au moins je peux me passer complètement d'eux.

            Si tu veux écouter un morceau DRMisé acheté sur iTunes, tu dois avoir un iPod.
            Apple t'enferme, mais tu ne le vois pas (tu le vois moins que Windows).

            Si Apple n'avait pas la prétention d'être prie que Microsoft, MacOS X tournerait sur des machines non Apple (sans menace de procès...), et les DRM d'Apple seraient inter-opérables. Apple verrouille tout ce qu'il peut, et si tu rempalce Microsoft par Apple en "géant de l'OS", l'enfermement sera pire.

            Pousser Apple à avoir plus de part de marché, c'est le cheval de Troie : une fois mis en place, ce sera encore pire de le déloger.
            • [^] # Re: Parce que vendredi approche...

              Posté par . Évalué à -4.

              Si tu veux écouter un morceau DRMisé acheté sur iTunes, tu dois avoir un iPod.

              T'as completement craque ou quoi?

              Option 1: Tu le lit avec itunes, sur ton pc ou sur ton mac.
              Option 2, pas le plus pratique effectivement: tu graves un cd via iTunes. Tu peux ensuite lire la galette dans n'importe quelle lecteur de CD, et meme reimporter pour le mettre dans ton balladeur.

              Franchement, limiter un morceau a 5 peripheriques (revocables qui plus est) et autoriser l'export sans protection des morceaux achetes, on a vu pire comme DRM quand meme...

              Apple n'a strictement aucun interet dans les drm, c'est meme l'inverse: plus l'ipod limite l'ecoute, moins les gens l'achetent.
              Plus iTunes verouille ses formats, moins les gens l'utilisent.

              iTunes est drmise par defaut parce que les fournisseurs de contenus l'ont exige et qu'apple ne peut rien faire a part se plier a cette exigence, mais steve jobs a fortement pousse dans la direction de la de-drmisation (cf itunes plus).
            • [^] # Re: Parce que vendredi approche...

              Posté par (page perso) . Évalué à 0.

              > Apple impose aux utilisateurs de MaxOS X d'acheter un Mac,

              C'est vrai.

              > d'acheter du matériel "made in Apple" (ou certifié Apple). C'est une limitation.

              Pas plus que linux ne t'impose d'acheter du matériel certifié linux.

              > Apple verrouille tout ce qu'il peut, et si tu remplaces Microsoft par Apple en "géant de l'OS", l'enfermement sera pire.

              Évidemment, s'il y a un géant, tu ne peux rien espérer de bon. Par contre, s'il y avait un concurrent à l'iPod et un concurrent à Windows, l'enfermement diminuerait : les vendeurs de musique devraient tous passer à des drm compatibles (oh joie) et les fabriquants de matériel fournir des pilotes pour plusieurs systèmes (dont un est un unix).
              • [^] # Re: Parce que vendredi approche...

                Posté par (page perso) . Évalué à 6.

                Pas plus que linux ne t'impose d'acheter du matériel certifié linux.

                Je ne savais que le propriétaire de Linux (lequel) attaquait en justice toute entreprise qui essaye de vendre une machine "compatible".

                C'est ce qu'Apple fait, à grand renfort d'avocats.
                Allez des exemples :
                http://www.presence-pc.com/actualite/Mac-OSX-PC-14804/
                http://www.presence-pc.com/actualite/hackintosh-osX-26285/
                Il y a en a plein d'autres, j'ai la flemme de rechercher, mais dès qu'un fabriquant annonce qu'il va vendre une machine "compatible avec MacOS X", le service juridique d'Apple se met en route.

                Pour résumer :
                - Il est explicitement interdit d’utiliser Mac OS X sur une machine qui ne provient pas d’Apple.
                - Il est aussi interdit de virtualiser Mac OS X

                Je te laisse me trouver des preuves que Linux fait pareil. A ma connaissance Linux fait tout pour être adaptable sur toutes les machines, l'inverse donc...

                Par contre, s'il y avait un concurrent à l'iPod

                Il y en a plein. Mais Apple a réussi l'enfermement pour la vente "légale" de musique, et interdit de vendre un lecteur compatible avec les DRM d'iTunes, donc ça aide, c'est de la vente liée.

                Tu défends une entreprise que enferme au maximum, sur un site adepte de la liberté. Tu est un faux libriste : prêt à vendre ta liberté pour un peu de confort "made in Apple"
                • [^] # Re: Parce que vendredi approche...

                  Posté par (page perso) . Évalué à 4.

                  >> Pas plus que linux ne t'impose d'acheter du matériel certifié linux.

                  > Je ne savais que le propriétaire de Linux (lequel) attaquait en justice toute entreprise qui essaye de vendre une machine "compatible".

                  J'ai dit que oui apple impose aux utilisateurs de mac osx d'acheter un mac, par contre, il n'impose pas les autres matériels plus que linux ne t'impose de choisir tes périphériques en fonction de leur support. J'ai peut-être mal compris ta phrase "Apple impose aux utilisateurs de MaxOS X d'acheter un Mac, d'acheter du matériel "made in Apple" (ou certifié Apple)." J'avais pensé que la première proposition parlait de l'unité centrale et la deuxième des périphériques, mais peut-être disais-tu juste deux fois la même chose ?

                  > Il y a plein de concurrents à l'iPod.

                  Tout comme il y a plein de concurrents à windows, mais aucun n'est audible, ce qui revient au même que de dire il n'y a pas de concurrence.

                  > Tu défends une entreprise qui enferme au maximum

                  Moi, non, Je ne défends pas apple, en tout cas pas au delà de l'énonciation de contradictions quand il me semble que des choses fausses sont dites. J'aimerais que leur quasi monopole sur les ipods (aka baladeurs mp3) n'existe plus et je suis heureux que leur système d'exploitation fasse augmenter la part des unices sur le bureau.

                  > Tu est un faux libriste : prêt à vendre ta liberté pour un peu de confort "made in Apple"

                  Non, tu me fais un procès d'intention. Je n'ai pas d'appareil apple, n'ai aucunement l'envie d'en acheter, par contre, j'ai des logiciels apple (enfin ils ne sont pas ou plus apple puisqu'ils sont libres mais apple en est contributeur). Il serait dommage de jeter le bébé avec l'eau du bain même si celle-ci est croupie.
            • [^] # Re: Parce que vendredi approche...

              Posté par (page perso) . Évalué à 4.

              D'accord sur toute ligne, sauf pour l'histoire des DRM. Un DRM inter-opérable ? Ça me semble un peu contradictoire. Ces saloperies ne devraient pas exister. Cela dit, j'en ai rencontré qu'une seule fois, sur un CD de Renaud que j'ai eu le malheur d'acheter.

              Qu'est ce que j'ai pu être idiot de donner de l'argent à quelqu'un qui soutiens le cloisonnement de la culture, je m'en veux. On ne m'y reprendra plus. Vive la culture libre!
              • [^] # Re: Parce que vendredi approche...

                Posté par (page perso) . Évalué à 4.

                >Un DRM inter-opérable ?

                C'est impossible. Par nature, un DRM interopérable ne peut pas exister. Pour assurer l'interopérabilité, il faut diffuser les simultanément les plans de la serrure et les clés.
            • [^] # Re: Parce que vendredi approche...

              Posté par . Évalué à 2.

              Apple impose aux utilisateurs de MaxOS X d'acheter un Mac,

              oui tout à faire : à ceux qui choisissent Apple, pas à ceux qui ne le choisissent pas.

              Microsoft de par son omniprésence en entreprise, impose beaucoup plus. J'aurais bien aimé passer une bonne partie des ordinateurs dans l'entreprise où je suis sous Linux, Open Office etc.

              Seulement, les caméras (qui fonctionnent avec linux...) nécessitent d'avoir IE à cause de leurs cochonneries de plug in de streaming video qui ne passe que par active X. Donc ceux qui ont besoin d'accéder à ces caméras ne pourront pas avoir de postes sous linux (ce n'est pas moi qui ai choisi ces caméras).

              Certains ont besoin d'un logiciel de devis, "imposé" par quelques fournisseurs (parce que leurs grilles tarifaires sont prévu pour ce logiciel). Avant les deviseurs avaient un autre logiciel "indépendant" ne nécessitant pas d'autre logiciels tiers (à part windows). Je n'ai pas choisi le nouveau logiciel, puisqu'imposé par ces fournisseurs, et maintenant on se rend compte qu'en plus il faut avoir microsoft office pour le faire fonctionner ! J'ai demandé si c'était possible avec openoffice, mais selon eux "toutes les entreprises ont déjà MS Office".

              Une autre personne (facturation) est enfin passé à OpenOffice, elle a eu du mal à quitter excel parce "qu'elle était habituée". Finalement elle trouve qu'OpenOffice va bien. Manque de chance, pour certaines stats, qui utilisent une "moulinette" faite en windev qui converti certaines données de nos stocks en stat sous forme de "tableau excel", et bien en fait la moulinette windev ne fait pas une simple convertion, elle nécessite d'avoir excel de présent sur l'ordinateur pour pouvoir le faire. (alors que le tableur n'a pas de macro, c'est juste de l'affichage de lignes)

              Je passe aussi sur les fournisseurs qui apportent leurs cd avec des documentations sous forme de ".exe", ceux qui ont des feuilles de commandes en tableur excel avec des macros excel, ceux qui envoient des stats de vente au format .docx au lieu de pdf, le logiciel de gestion téléphonique (autocom fonctionnant sous linux) qui ne tourne que sous windows, le logiciel pour la standardiste qui n'existe que sous winsdows, les "utilitaires gratuits" mais obligatoire offerts par la poste pour affranchir les colis qui ne fonctionnent que sous windows etc.

              Bref, même si on n'en veut absolument pas, même si on a installé un maximum d'ordinateurs sous linux et que cela fonctionne bien, il y a toujours des *£$% qui viennent avec leurs logiciels tiers et leurs "standards de fait MS Windows et MSOffice" qui obligent de faire machine arrière.

              Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

              • [^] # Re: Parce que vendredi approche...

                Posté par (page perso) . Évalué à 2.

                Je n'ai jamais dit le contraire.

                Tu as jute pas compris ce que je disais, alors je vais répéter : je refuse de remplacer un monopole logiciel par un monopole matériel+logiciel.

                Tout ce que tu viens de dire ne changerait pas sir Apple remplaçait Microsoft, Apple imposerait ses formats, juste qu'il changeraient de nom mais seraient tout autant limitatifs. Et pire, il imposerait son matériel pour que tu puisse faire tourner ses logiciels.

                Remplacer un méchant par un grand méchant, non!
                • [^] # Re: Parce que vendredi approche...

                  Posté par . Évalué à 3.

                  oui bien sûr, un monopole matériel + logiciel pourrait être pire. Mais si microsoft a pu autant percer, c'est grâce à la complaisance des fabricants d'ordinateur qui ont péinstallé windows partout.

                  Apple n'utilisant pas les autres fabricants pour diffuser ses logiciels, à part en sous traitance pour la construction des machines, le problème est différent, et si microsoft chute (en partie grâce à Apple par exemple), les fabricants pourront promouvoir Linux, FreeBSD ou autre.

                  Sauf si Apple leur permet de diffuser Mac OS X à la place, mais en ce cas on ne sera pas non plus dans un cas de monopole matériel + logiciel puisqu'ils perdront le monopole du matériel...

                  Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

                  • [^] # Re: Parce que vendredi approche...

                    Posté par . Évalué à -3.

                    Mais si microsoft a pu autant percer, c'est grâce à la complaisance des fabricants d'ordinateur qui ont péinstallé windows partout.

                    Tu aurais voulu qu'ils fassent quoi ? Qu'ils vendent des machines sans OS au pekin moyen ? Qu'ils les livrent en 1995 avec Linux 1.2.13 plutot que Win95 ?

                    Sympa de les blamer(ou MS d'ailleurs hein), mais a l'epoque le fait est qu'il n'y avait RIEN a part Windows95, le seul concurrent possible etait OS/2 qu'IBM a magnifiquement detruit de lui-meme en ne faisant rien pour le support materiel et software.

                    Apple n'utilisant pas les autres fabricants pour diffuser ses logiciels, à part en sous traitance pour la construction des machines, le problème est différent, et si microsoft chute (en partie grâce à Apple par exemple), les fabricants pourront promouvoir Linux, FreeBSD ou autre.

                    Ton histoire se mord la queue, MS chutera si les fabricants se mettent a promouvoir Linux/freeBSD/... , pas l'inverse. Et pour que cela arrive il va fallor convaincre les fabricants qu'ils feront plus d'argent avec Linux/freeBSD/... qu'avec Windows.
      • [^] # Re: Parce que vendredi approche...

        Posté par . Évalué à 6.

        Oui, mais non :)

        Pourquoi voir MS en ennemi et Apple en ami ?

        Pourquoi voir des ennemis d'ailleurs ?

        MS et Apple tendent vers le même but, une domination commercial. L'un y est arrivé, et l'autre aussi :)
    • [^] # Re: Parce que vendredi approche...

      Posté par (page perso) . Évalué à 3.

      Je ne met pas Mac dans le même panier. C'était juste pour montrer que la plupart des devs n'utilisent pas Windows. Or dans bien des commentaires dont je fais allusion, on reprochait Mozilla de délaisser Linux au profit de Windows.
    • [^] # Re: Parce que vendredi approche...

      Posté par (page perso) . Évalué à 1.

      C'est quoi cette manie de mettre Mac dans le même panier que Linux,

      Ça m'a fait tiquer aussi. Mais il n'y a pas que Mac qui est mis dans le même panier que "Linux".

      j'espère que ce journal aura suffisamment éclairé les esprits sur l'implication de Mozilla dans le monde Linux.
      Mais pourquoi parler de monde Linux ? Pourquoi ne pas parler de monde Libre ? Tout simplement ?

      Si j'ai bien compris, ne pas hésiter à me corriger si je me plante lamentablement, tu viens pour tenter de convaincre que la MoFo ce n'est pas le mal absolu et qu'il font plein de trucs bien pour le libre.
      Mais dans ce cas, pourquoi parler de Linux qui, outre le fait qu'il n'est qu'un noyau (bon on ne va pas refaire le débat Linux vs GNU/Linux ici) est vachement restrictif. Et les utilisateurs de FreeBSD, d'OpenBSD, de NetBSD, de Solaris, de GNU/hurd (si si), etc. ils puent ?

      Pourtant ce que tu cites (Gnome, Qt, valgrind, libbpng, libjpeg, littlecms, pango, ...), ça tourne sous tous ces systèmes non ?

      Autant pour un débutant toutes ces notions peuvent être floues et je peux le comprendre. Autant pour "un utilisateur Linux depuis le siècle dernier", ça fait preuve d'une grande inculture, soit d'un total manque de considération envers les termes libres et ce qu'ils représentent (Je connais notamment beaucoup d'utilisateurs de FreeeBSD qui exècrent les distrib GNU/Linux et qui ne se sentent pas vraiment concerné quand on parle du "monde Linux").

      Du coup tu viens pour dire que la MoFo fait plein de choses pour le libre et moi je perçois l'exact opposé : les représentants de la MoFo se foutent du libre. Pour eux, le libre, enfin Linux quoi (sic), c'est le contraire de MS, soit approximativement GNU/Linux+MacOS. Outch !

      Encore une fois je peux me tromper, mais soit le journal est très maladroit, soit je suis parano ou j'ai l'esprit mal tourné.


      Au fait, pour ma culture personnelle, la solution qui sera probablement utilisée par Ubuntu (une barre comme celle des pop up, mais une "notice", qui remplace l'EULA), sera proposée/autorisée pour Debian également ou est ce qu'ils ont perdu le droit à vie d'utiliser les marques déposées et les logos de la MoFo ?
      • [^] # Re: Parce que vendredi approche...

        Posté par (page perso) . Évalué à 3.

        > est ce [que debian a] perdu le droit à vie d'utiliser les marques déposées et les logos de la MoFo ?

        Ouais et pire, ils n'ont même pas le droit d'afficher leurs CLUFs.
      • [^] # Re: Parce que vendredi approche...

        Posté par (page perso) . Évalué à 3.

        >soit je suis parano ou j'ai l'esprit mal tourné.

        oui, tu es parano, et tu as l'esprit mal tourné, et tu joue très mal avec les mots. Relis le journal. Je n'ai pas parlé de Mozilla dans linux, mais de "l'implication de Mozilla dans les projets autour de Linux", ou encore "l'implication de Mozilla dans le monde Linux". bon, il y a peut être le titre qui te dérange, mais nous sommes ici sur un site parlant de linux, et surtout je faisais référence à des commentaires de linuxiens.

        Toutefois, par ces termes, il ne me semble pas avoir fait de discrimination vis à vis des autres os libre. Et ceux qui connaissent bien le libre, savent que quand on parle d'"implication dans des projets autour de linux", cela concerne aussi les autres OS libres, puisque bon nombre de ces projets sont aussi utilisés par ailleurs (en plus j'ai donné la liste, donc bon, quand on connait les projets...).

        >Autant pour "un utilisateur Linux depuis le siècle dernier", ça fait preuve d'une grande inculture, soit d'un total manque de considération envers les termes libres et ce qu'ils représentent

        Rien à fiche de ce que tu peux penser de moi. Mais franchement, poser un avis aussi tranché sur les compétences de quelqu'un, sur deux mots qu'il a écrit, c'est vraiment très petit. Qui es-tu pour juger de mon niveau de culture ? On se connait ?

        > Encore une fois je peux me tromper,

        Quand on doute de la compréhension d'un texte, on évite alors de porter des jugements aussi radicaux comme sur "le niveau de culture" ou encore d'un soit-disant "manque de considération envers les termes libres".
        • [^] # Re: Parce que vendredi approche...

          Posté par (page perso) . Évalué à 2.

          Eh ben. Que je me fasse sauvagement moinsser^W inutiliser, pourquoi pas, ça fait partie du jeu. Mais quand je lis ça :
          Quand on doute de la compréhension d'un texte, on évite alors de porter des jugements aussi radicaux
          à la suite de ça :
          oui, tu es parano, et tu as l'esprit mal tourné, et tu joue très mal avec les mots.
          [...]
          Rien à fiche de ce que tu peux penser de moi.
          [...]
          Qui es-tu pour juger de mon niveau de culture ?


          Et c'est moi qui porte des jugements radicaux ?


          Pourtant il ne me semblait pas avoir porté de jugements de valeurs et il me semblait avoir pris des gants...
          Si j'ai bien compris, ne pas hésiter à me corriger si je me plante lamentablement,
          Encore une fois je peux me tromper
          Mais dans ce cas, pourquoi parler de Linux et non pas "Tu utilises mal Linux don't tu es nul".
          soit le journal est très maladroit, soit je suis parano ou j'ai l'esprit mal tourné. et non pas "Ton journal est mal tourné point".


          Bon donc toutes mes excuses pour avoir osé me permettre d'émettre une petite critique sur la forme. C'est dommage de fermer le discution comme ça. Je te souhaite donc une bonne continuation et je laisse tomber ce journal (de toutes façon poster des messages qui apparaissent masqués car négatifs n'est que d'un intérêt limité).

          PS : La bonne continuation c'est sincère. Je préfère préciser, ne va pas chercher que c'est de l'ironie ou je ne sais quoi de pervers dans ce que je dis encore.
      • [^] # Re: Parce que vendredi approche...

        Posté par (page perso) . Évalué à 1.


        Encore une fois je peux me tromper, mais soit le journal est très maladroit, soit je suis parano ou j'ai l'esprit mal tourné.


        Ou les trois. :)
  • # Re: Mozilla et Linux

    Posté par . Évalué à 0.

    Merci pour ce journal.
    L'ingratitude des linuxiens envers Mozilla me fait parfois gerber.
    • [^] # Re: Mozilla et Linux

      Posté par (page perso) . Évalué à 4.

      qui aime bien châtie bien ? :)
    • [^] # Re: Mozilla et Linux

      Posté par (page perso) . Évalué à 4.

      Généralise pas SVP. Comme 99% des linuxiens, j'utilise la base mozilla tous les jours et sauf ici ou la, j'en suis très content.
    • [^] # Re: Mozilla et Linux

      Posté par . Évalué à -2.

      la realité c'est que firefox est avant tout devellopé pour windows et pas linux
      d'ailleur il tourne mieus sous windows que linux
      d'ailleurs plus de fichiers pour localiser en xpi :(
      • [^] # Re: Mozilla et Linux

        Posté par (page perso) . Évalué à 1.

        Il suffit de getter un oeil sur about:config pour comprendre que c'est inspiré de la base de registre. Quand on pense qu'il n'y a aucun descriptif exhaustif de l'utilité des entrées de cette base... :-)

        PS pour les malcomprenants. La frimousse est là pour signaler que ce commentaire contient de véritables morceaux d'ironie. Garantie sans phosphate.
  • # Bonnes priorités ?

    Posté par . Évalué à 7.

    Je ne sais pas ce que tu essayes de prouver en fait. Tout le monde sait que la MoFo ne se fout pas de Linux, il est juste par contre que sa gestion des priorités peut laisser parfois perplexe. Exemple : gérer des EULA vs corriger la fenêtre d'ouverture des binaires pour ne pas aller chercher dans /usr/bin. Sa communication aussi peut parfois laisser interrogateur : j'ai été frappé des discussions autour des fuites de mémoire de Phoenix, retrouvé dans Firebird, puis dans Firefox (<=2)...

    Lorsqu'on a un problème d'image dans une communauté, plusieurs options se présentent :
    - dire que la communauté est injuste
    - expliquer ce que l'on fait de bien à côté
    - prendre en compte ce que dit la communauté
    La MoFo a souvent pris la première option, ce qui cristallise les débats. Tu as pris la deuxième option, ce qui facilite un dialogue constructif. Le troisième point reste encore à améliorer largement (ce qui a débuté par la gestion de la mémoire dans Firefox 3).
    • [^] # Re: Bonnes priorités ?

      Posté par (page perso) . Évalué à 3.

      > Tout le monde sait que la MoFo ne se fout pas de Linux,

      Ça n'a pas l'air d'être le cas. Fait une recherche sur linuxfr, tu verras.

      >gérer des EULA vs corriger la fenêtre d'ouverture des binaires pour ne pas aller chercher dans /usr/bin.

      Gérer les EULA, ce n'est pas important ? (vu le ramdam que ça fait , je doute que cela ne le soit pas) Et conçernant cette histoire d'ouverture de binaire, c'est quoi ? C'est répertorié au moins dans le bugzilla ? Es tu sûr que personne ne s'en occupe ? Es tu sûr que ce n'est pas un problème dans ta distrib ? (personnellement, j'en ai jamais entendu parlé, mais faut dire aussi que je ne lance jamais de binaire directement à partir de mon navigateur)

      >j'ai été frappé des discussions autour des fuites de mémoire de Phoenix, retrouvé dans Firebird, puis dans Firefox

      Peut être y avait-il des choses plus importante à faire. À l'époque de Firefox < 1.0, l'équipe de dev à temps plein était TRÈS réduite, 4-5 développeurs à tout casser (sans parler que la majorité des contributeurs étaient plus focalisé sur la suite Mozilla). Et puis faut arrêter de focaliser sur les fuites mémoires, il y en avait, oui, mais pas non plus des masses (si cela était si catastrophique, je doute qu'il y aurait aujourd'hui 200 millions d'utilisateurs).

      Vu les millions de lignes de code, il en a fallu du temps pour

      1) déveloper les outils qui allaient permettre de mieux cerner la provenance des leaks
      2) trouver des solutions
      3) implémenter les solutions (sur, j'insiste, des millions de lignes de code)

      Et tout ça, en parallèle aux autres développements, tant au niveau de l'amélioration du moteur de rendu que de l'interface utilisateur. Si les efforts avaient été concentré uniquement sur les leaks, Firefox n'aurait jamais été à 30% de part de marché aujourd'hui, mais largement en dessous, c'est certain.

      Bref, Mozilla a toujours été à l'écoute de la communauté. Seulement il y a des problèmes qui ne se résolvent pas en un claquement de doigt, surtout quand il y a peu de ressources (ce qui était le cas à la naissance de Firefox, je le rappelle)

      >dire que la communauté est injuste

      La MoFo n'a jamais dit que la communauté était injuste. Mais peut-être confond tu la MoFo avec quelques contributeurs isolés.

      Tiens, moi, par exemple, je trouve que tes propos sont injustes, sur le fait que Mozilla ne tient pas compte de ce que dit la communauté (j'y reviens). C'est pas la MoFo qui le dit, c'est MOI. Et je n'ai aucun rôle "officiel" au sein de la Mofo, de la Moco, ou même de Mozilla Europe, je ne suis qu'un simple contributeur parmis tant d'autre, donc il ne devrait y avoir aucune confusion.

      > prendre en compte ce que dit la communauté... Le troisième point reste encore à améliorer largement

      Tu vois, là, je trouve que tu es vraiment injuste, parce que c'est totalement faux. Mozilla prend en compte ce que dit la communauté (et il y a un bugzilla OUVERT pour ceux qui veulent vraiment communiquer les problèmes à Mozilla, et pas juste raler dans leur coin)

      Mais j'ai l'impression que c'est un peu le travers de notre société actuel : quand il y a un problème, les gens veulent qu'il soit réglé de suite, ou pensent que ça peut se régler tout de suite. Mais malheureusement, un problème ne se résout rarement en un claquement de doigt. Outre le fait qu'il peut y avoir des contraintes techniques qui empêche ou complexifie la résolution (et donc qu'il faille d'abord lever ces contraintes techniques, et donc retarde la résolution du problème initial), il y aussi des contraintes de ressources, tant humaine, que financière. Et puis aussi d'autres priorités, tout les problèmes n'ont pas la même importance, même si un problème spécifique t'ennui, TOI, plus que tout autre.

      Tout ça, les gens l'oublie, y compris toi semble-t-il.

      Alors oui, il y a des améliorations encore à faire (et je le dis dans le journal), mais un peu de patience, les contributeurs y travaillent, depuis toujours, parce qu'ils aiment leur projet. Et si tu trouves que ça ne va pas assez vite, pas de souci : poste tes patches sur http://bugzilla.mozilla.org .
      • [^] # Re: Bonnes priorités ?

        Posté par . Évalué à 2.

        Je parlais de ce bug là (qui a donné lieu à de nombreuses autres entrées) : https://bugzilla.mozilla.org/show_bug.cgi?id=56662
        Il date juste de 2000. 8 ans de priorités défavorables, c'est tout de même pas de chance :(
        • [^] # Re: Bonnes priorités ?

          Posté par (page perso) . Évalué à 1.

          Les développeurs ne sont pas non plus des machines. Ce genre de bug, c'est typiquement un bug qui a été "oublié" au fil du temps. Pas d'une mauvaise volonté, mais parce que les évolutions à faire dans le logiciel ont fait qu'effectivement, à force d'avoir d'autres priorités, ben on l'oublie. Y en a pas mal des bugs "oublié". Et à force, certains deviennent même complètement obsolète, ou ont été "corrigé" implicitement par d'autres évolutions/corrections. J'en ai déjà fermé des bugs comme ça.

          Et si ce bug a été oublié, c'est qu'il semble que finalement ce ne soit pas un problème pour la majorité des utilisateurs non-windows. Si ça l'est, pourquoi alors aucune de ces personnes ne relance le bug ? Ou même tente de le corriger... Par exemple, je n'ai pas l'impression que tu ais posté un commentaire dessus par exemple, rien que pour signaler que le bug existe toujours (puisque ce problème semble vraiment t'ennuyer).
        • [^] # Re: Bonnes priorités ?

          Posté par (page perso) . Évalué à 2.

          En plus, de l'aide est explicitement demandé pour corrigé ce bug. Bref, toute contribution est la bienvenue.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.