papatte3 a écrit 146 commentaires

Sauf que le concept de comparaison d’égalité mais pas vraiment (le == vs ===), il n'a jamais besoin d'être appris.

C'est pas faux, mais dans la grande majorité des langages il y a des subtilités, en particulier l'égalité qui ne marche en général pas de façon "intuitive" pour les pointeurs, références ou objets.

Pour moi ça relève du point de détail. Par contre je vois deux autres défauts :

• Le modèle objet par prototype qui est plus "ouvert" et donc plus difficile à comprendre comment utiliser que le modèle par classes
• Les messages d'erreur imbitables, en particulier si tu utilises un framework où tu peux te retrouver avec une erreur dans un bout privé du framwork et une stack trace qui ne remonte pas jusqu'à ton appli

Le but, c'est d'apprendre les bases de la programmation. Kestananafout' que ca soit un peu daté ?

Pascal c'est très bien pour apprendre. On a (quasi) tous appris avec ca.

Pour un débutant, c'est quand même plus cool de faire une appli qui permet de faire d'afficher des trucs dans un navigateur web, voire faire assez facilement une appli qui sert à quelque chose dans le vrai monde que de faire du pascal.

Si la taille des icones, polices, menus, … est calculé en taille physique, le problème est totalement réglé.

Bah non, un texte d'1cm est trop gros sur tablette et trop petit sur vidéoproj.

Un truc pas mal, c'est la définition de pixel de css (http://www.w3.org/TR/CSS2/syndata.html#x40) qui est faite en fonction de l'angle visuel.

Alors c'est quoi le problème avec les écrans à haut DPI?

Que si tu augmentes la taille des polices et des icônes, ce sont les polices et les icônes qui sont agrandis, et pas forcément le reste.

Les bordures dans l'interface sont plus petites au lieu d'être plus jolies, certains widgets s'affichent mal, etc.

Ensuite, si tu penses que les gens responsables ne l'ont pas compris la première fois c'est que tu penses qu'ils sont tellement débiles qu'ils ne doivent pas en être capable.

Non, je ne prends pas les responsables pour des débiles, je suis juste en désaccord avec eux, et je pense que cette nouvelle entrée de suivi est une raison de plus d'ajouter un message d'erreur explicite.

Déjà, il faut compter avec les doigts, 1+1, ça fait 2.

Sympa comme remarque, surtout de la part de quelqu'un qui se plaint qu'on prenne des gens pour des débiles.

Tu compte seulement coller le message dans toutes les entrées de suivi ou aussi faire des journaux et proposer des dépêches sur le sujet ?

Même si ce n'est pas dit très gentiment, il a quand même raison : si 3 entrées de suivi avec le même sujet sont créées en une semaine, ça veut peut être dire qu'il faut faire quelque chose.

Malgré l'absence apparente de standard, le consensus est que le robots.txt s'applique aux moteurs d'indexation récursifs :

• D'après robotstxt.org : Web Robots (also called "Wanderers" or "Spiders") are Web client programs that automatically traverse the Web's hypertext structure by retrieving a document, and recursively retrieving all documents that are referenced.

• D'après google : crawler: A crawler is a service or agent that crawls websites. Generally speaking, a crawler automatically and recursively accesses known URLs of a host that exposes content which can be accessed with standard web-browsers. As new URLs are found (through various means, such as from links on existing, crawled pages or from Sitemap files), these are also crawled in the same way.

Il me semble donc que l'indexation de la tribune n'est pas concernée.

Je profite de cet endroit que tu sembles plus fréquenter que la tribune pour te notifier, qu'après le leak des crédentials de ta DB dans les messages d'erreur sur ton site

Je suis content que tu évoques ce problème, en effet :

• Il n'y a pas eu d'exploit par la bdd n'était accessible qu'en local
• Même si la base était accessible par erreur à distance, il n'y aurait pas eu d'exploit car l'user de la bdd a un accès en lecture uniquement sur les tables exposées via l'interface
• Le problème a été résolu dans l'heure

il y a encore une injection de css qui traine.

Ce n'est pas une injection de css, cela permet uniquement d'ajouter la classe css "highlighted" à des éléments arbitraires.

Si les problèmes de sécurité de linuxfr étaient aussi réduits et résolus aussi rapidement, je n'aurais pas écrit de journal.

trop peu ont des sites accessibles en HTTPS uniquement, ont des discussions sur TLS et les certificats

et

Concernant les mesures en cours, l'équipe d'adminsys travaille sur le sujet et communiquera par la suite comme elle l'a fait précédemment (en fidèle lecteur attentif, tu as sûrement déjà noté les divers annonces concernant le code publié sous licence libre, la configuration de serveurs, les dépêches sur la sécurité et le site, etc., etc.).

Dois-je déduire de ces deux phrases que le certificat SSL de linuxfr a été révoqué puis changé, et qu'une communication a été faite à ce sujet suite à la faille heartbleed ?

Je m'en vais vite enlever un enfant nigérien de ses méchants parents (oui je prend gros, juste pour montrer où va cette idée), de manière bénévole hein, et on ne me dira rien (illégal? Je fais comme je peux, hein, j'ai pas l'argent pour faire les démarches légales).

Je prendrais plutôt un autre exemple : tu es animateur bénévole dans une crèche, et le manque d'animateurs associé à une erreur fait qu'un gamin sort et se fait écraser par une bagnole.

La crèche répond "ce n'est pas de notre faute t c'est normal, si tu veux qu'on fasse mieux tu n'as qu'à contribuer".

Bah non, si tu n'es pas capable de faire les choses conformément à la loi et aux bonnes pratiques avec les moyens que tu as, tu ne les fait pas.

Personnellement je ne contribue pas à Linuxfr et je ne me sens absolument pas en position d'avoir le droit d'attendre quoi que ce soit.

Pour ma part, je ne me sens pas en position d'attendre que des fonctionnalités soient implémentées, ou qu'un contenu sur un sujet particulier soit réalisé, ou même que les admins soient polis avec moi.

Par contre, et comme dit dans le commentaire précédent, je m'attends à ce que les données que je confie soient traitées conformément aux pratiques de sécurité habituelles.

Bienvenue en 2014. On t'a déjà dit pour la virtualisation ?

Oui. On m'a aussi dit que personne n'a confirmé que elasticsearch est sur une vm isolée.

Et on m'a surtout dit que pour isoler correctement les conteneurs LXC (qui sont utilisés sur dlfp), il y a un certain nombre de subtilités à prendre en compte (devices, utilisateurs utilisés, règles selinux…). Vu comment la subtilité du dynamic scripting d'elasticsearch a été prise en compte, et ce malgré la documentation abondante sur le net, je pense avoir le droit d'être méfiant.

Tes capacités d'administrateur ou de développeur sont attendues ? Plus d'informations sont disponibles sur participer-a-linuxfr.

Euh, le fait que je n'ai ni le temps ni l'envie de participer à l'administration de linuxfr ne signifie pas que je n'ai pas le droit de m'attendre à ce que mes données soient traitées conformément aux pratiques habituelles de sécurité et à la législation.

-> Je ne crois pas que elasticsearch soit là depuis le début.

Je t'avoue que c'est le seul point que je n'ai vérifié. Cependant on est dans le point de détail : cela fait largement plus d'un an que la recherche, qui utilise la version problématique d'elasticsearch (pré-1.2.0) est utilisée.

-> La faille a consisté à (au moins) générer un flux UDP en sortie.

Tout est dans le "au moins". La faille permet d'exécuter du code arbitraire. Tu as constaté que un flux UDP a été généré, rien ne te permet de dire que rien de plus n'a été fait.

-> Non, la réponse immédiate est de désactiver le service. Il me semble que c'est la procédure normale, résoudre l'incident pour remettre en route et ensuite résoudre le problème pour une solution longue durée.

Non, la procédure normale en sécurité est d'arrêter la machine vérolée, et d'assurer la continuité de service à partir d'un état que l'on sait sain. Pas de continuer avec une machine potentiellement vérolée qu'on n'a pas audité.

-> Il faudrait utiliser l'outil de suivi pour voir si quelque chose est prévu mais faute de vacances, rien n'avance vite. Mais d'après ce que j'ai compris, elasticsearch tournait sur son propre utilisateur et le compte a été désactivé.

Moi, j'ai regardé l'outil de suivi, et je n'ai rien vu.

Bref, tu es administateur, et, si ta position représente celle de la team linuxfr, ça confirme ce qui est dit dans le journal : la sécurité de linuxfr est prise en compte de façon ultra-légère.

On me demande sur la tribune qui est responsable de quoi et les risques encourus.

C'est l'article 34 de la loi informatique et libertés qui traite la question : http://www.legifrance.gouv.fr/affichTexteArticle.do;jsessionid=9FC0185CD5DE2827331EDF16ADB7E619.tpdjo16v_2?idArticle=LEGIARTI000006528132&cidTexte=LEGITEXT000006068624&dateTexte=20140717

Et l'article afférent du code pénal : http://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI000006417964&cidTexte=LEGITEXT000006070719

Evidemment, ce n'est que très théorique, les données sur dlfp n'étant pas vraiment sensibles.

Ça ne marche jamais, même pour une première appli.

Pour les virements interbanques ou à l'international, c'est plus Clearstream/Euroclear etc…

Rien à voir, clearstream et euroclear sont des banques de clearing, elles font du réglement/livraison des titres (actions, obligations…).

Swift s'occupe bien des virements internationaux, par exemple c'est le registrar des IBAN.

Là, j'ai un doute. Il suffit de pendre la liste des journaux pour se rendre compte que la même personne a posté deux journaux dans le top 10 des plus mauvais.

Tu fais un joli glissement sémantique entre "moinssé" et "mauvais", alors que le lien (ou pas) entre les deux n'est vraiment acquis si on regarde les commentaires plus haut.

Pour revenir à ton exemple, je suppose que tu parles des journaux pro-avortement d'un utilisateur. Et à mon avis, et bien que ses opinions me débectent, et qu'il a été fortement moinssé, je ne juge pas ses journaux mauvais :

• Ce ne sont pas des journaux bookmarks, ce n'est pas du spam, c'est écrit en français relativement correct
• C'est certes hors sujet, mais le nombre de commentaires montre que ça intéresse beaucoup de monde
• C'est largement plus moinssé que des journaux hors sujet de qualité similaire, ce qui laisse bien penser que c'est le caractère impopulaire de l'opinion de l'auteur qui a conduit au moinssage

Finalement, le seul problème, si le journal n'était pas moinssé, serait que les opinions du monsieur soient associées à celle de dlfp ou des libristes, auquel cas il me semble qu'un disclaimer idoine soit plus adapté qu'un moinssage de masse.

Bref, à mon avis cet exemple va plutôt dans le sens de la non-pertinence du système de +/moinssage que sa pertinence : il tend plus à éliminer les opinions impopulaires qu'à éviter les posts de mauvaise qualité

Pas pratique pour avoir un hardware libre.

Où est-ce que je peux télécharger le VHDL ou les masques du TI DM3730 ?

Lorsqu'Apple décide que la batterie ne soit pas changeable, je doute fortement que ça soit pour proposer des produits moins cher, vu le taux de marge su ces matériel (de l'ordre de 70% sur les iPhone je crois).

Le but premier est bien d'augmenter les profits et non baisser le coût de production, qui est la thèse du documentaire.

Non, la batterie d'un mac n'est pas changeable parce qu'il n'y a une batterie mais des bouts de batterie éparpillés dans le boitier (http://b2b.cbsimg.net/gallery/6291551-620-413.jpg). Le but premier est d'avoir un ordinateur très fin et très solide.

Idem pour les téléphones : un iphone ou un nexus 5 est en un seul bloc, ne couine pas ou ne craque pas quand on appuie dessus.

tu peux me faire un export croisé pour hier sans faute accessible à tous en temps caché

BO et probablement la plupart des ses concurrents font ça en asynchrone sans que le développeur ait quoi que ce soit à faire de particulier.

Si tu n'as pas BO, tu exécutes la requête en batch et tu affiches le résultat.

Android: talk, hangout, G+, Google chat

Non, pas du tout, il y avait talk et google+, et maintenant il y a hangouts et google+.

Ce n'est pas plus compliqué que diaspora et jabber ou facebook et facebook chat.

Juste. D'autant que ce qui a dysfonctionné dans l'électronique est tout sauf clair : l'accélération, l'ABS, le passage des vitesses…

Si, c'est parfaitement clair si tu regardes le powerpoint de l'expert : le système qui a potentiellement dysfonctionné est l'accélérateur électronique.

A aucun moment les autres systèmes ont été mis en cause.

Est-ce que les photos imprimées sont "administration-compliant" ?

Je pense que non : si MCMic avait implémenté le rognage aux bonnes dimensions, il l'aurait mentionné dans le journal. Son logiciel semble plus dédié à un usage festif.

Celles-ci doivent être réalisées par un professionnel ou dans une cabine utilisant un système agréé par le ministère de l'intérieur

C'est impossible à vérifier et donc inapplicable. J'ai toujours fait moi-même ces photos et je n'ai jamais eu de problème. Il faut juste qu'elles respectent les normes (pas de chapeau, de sourir, bonnes cotes, etc.)

J'ai plussé. C'est une fonctionnalité standard sur les autres tribunes, et il y a des plaintes régulières sur la tribune.

Je propose que ce soit rouvert.