rakoo a écrit 921 commentaires

Aïe ! Y aurait-il un modo bienveillant pour corriger ces fautes ?

En tant qu'ignorant complet du système bancaire, je suis heureux de voir qu'ils adoptent des standards libres connus. À tout hasard, est-ce que c'est disponible au grand public, ou est-ce que c'est typiquement utilisé seulement pour ceux qui ont les bons accès, et seulement pour certains usages ?

Un exemple que j'ai, c'est qu'à ma banque pour avoir une discussion "sécurisée" avec mon conseiller, il faut passer par l'interface ouaibe en laquelle je suis obligé de faire confiance. Est-ce que certaines banques envisageraient de remplacer ça par du PGP, ou est-ce que je rêve ?

Attention: les gens de Creative Commons déconseillent eux-même d'utiliser les CC* pour le logiciel. Ça se comprend, les CC sont surtout faites pour les "oeuvres de l'esprit" qui ont des spécificités bien différentes des logiciels, sans compter l'incompatibilité avec les autres licences pour ceux qui veulent réutiliser/mixer votre logiciel.

La CC0 est par contre possible, c'est le choix que je fais pour mes projets, mais ça force à renoncer à un peu plus de choses que les autres licences. À méditer.

Le chiffrement des messages (pas tous, ceux qui ont une classification qui impose le chiffrement) utilisent PBKDF2+HMAC. Nous allons écrire un article à ce sujet, le but étant de chiffrer les messages sans connaissances particulières pour les utilisateurs.

Ah, intéressant. J'imagine que vous n'utilisez pas juste PBKDF2 et HMAC et que ce ne sont que des briques (d'ailleurs j'aime pas le namedropping comme ça, mais bon).

Ce qui m'intéresse surtout c'est de voir pourquoi vous n'avez pas utilisé PGP et êtes partis sur autre chose. J'attends avec impatience !

Je me suis fourvoyé et ai pensé que les développeurs upstream étaient tout le temps utilisateurs du produit dérivé, ce qui en fait est loin d'être nécessairement vrai… Mea culpa.

Si tu veux aller encore plus loin, il y a des fournisseurs vraiment pas cher, comme celui-ci qui descend à 3 euros par an.

Après si c'est que du statique, tu peux carrément t'orienter vers du stockage du type S3/runabove/Google cloud storage, tu auras l'avantage d'un débit plus que suffisant avec l'inconvénient d'un coût difficilement contrôlable.

Les hébergements à bas prix c'est la spécialité de Low End Box, tu peux jeter un coup d’œil.

Welcome to the club !

Je suis ravi de voir que tu ouvres les sources de ton jeu, surtout que (comme d'autres) je ne pense pas que les raisons que tu citais pour le garder fermé ne suffisaient.

Comme dit zenitram<, un point vraiment important est de faciliter les essais et minimiser au maximum ce qui pourrait repousser les utilisateurs potentiels: essaie de faire en sorte que par défaut les gens utilisent une session générée aléatoirement, avec le moyen de s'inscrire au cours/à la fin de la partie pour sauvegarder les résultats. Encore mieux: fais en sorte que cette session générée aléatoirement soit générée depuis un nonce qui est lui généré aléatoirement, que tu donnes aux clients, qui auraient ainsi juste à sauvegarder ce nonce quelque part et à le recopier plus tard quand ils veulent revenir à leur session. Ça repousse encore un peu la création de compte, qui est un peu fatiguante en tant qu'utilisateur.

nope, aucune license libre n'oblige, a ma connaissance a reverser les contributions upstream

Ben si, justement: si je modifie un logiciel en GPL et le distribue, je dois me débrouiller pour que les modifications soient publiquement accessibles. Ça veut pas forcément dire envoyer un patch upstream (si c'est ça que tu entends par reverser les contributions) mais il doit au moins y avoir un lien quelque part dans ma documentation qui pointe vers mes changements.

Ca m'a l'air d'etre ca.

Ou alors on est un adulte et on arrête de se prendre la tête parce qu'il y a marqué boob. C'est même pas un mot insultant.

Note: je pense moi aussi que l'Église (ou n'importe quel groupe, en fait) n'a pas à dicter sa loi sur les membres qui ne sont pas de leur communauté, et que les contraintes qu'elle voulait imposer étaient stupides. Là-dessus on est d'accord. Par contre ce que j'essaie de dire est que l'Église a tout à fait le droit de gueuler et de dire son opinion; ça n'est qu'une opinion, un point de donnée dans la discussion générale.

En gros, je suis pour le droit de demander ce qu'on veut (dans les limites de la loi bien sûr), y compris de la merde, de toute façon ça n'est qu'une demande. Une manifestation reste une demande.

On n'a pas besoin d'être concerné par le sujet pour exprimer son avis (qui reste un avis, hein). On n'a pas besoin d'être médecin pour manifester pour ou contre le projet de loi santé. On n'a pas besoin d'être étudiant/chercheur/enseigner pour manifester pour se révolter de la condition des chercheurs.

Il est tout à fait normal que n'importe quel citoyen puisse exprimer son avis sur n'importe quel sujet, et la manifestation reste le moyen le plus connu pour le faire. Et quand je dis citoyen c'est exprès: l'Église a beau utiliser son côté religieux pour essayer de peser dans la balance, ça n'a aucune valeur dans la discussion. Tout ce qui compte c'est la société.

son droit de parole est limité.

Hum ? Sa légitimité à parler du sujet est peut-être limitée, mais je vois pas en quoi son droit est limité.

sans utiliser "la parole de Dieu" comme vecteur

La parole de Dieu n'a de valeur que si tu y en donne une, ce qui ne concerne donc pas la société. Je crois que tu donnes un peu trop de poids à cette parole alors que la France est justement un des pays les moins croyants qui soit.

Je pense qu'il y a un vrai problème sur le terme d'ingérence alors: pour moi (et je pense que c'est pareil pour Tanguy<), il y a ingérence quand A va effectivement s'introduire dans les affaires de B sans y avoir été invité ou autorisé:

• La France qui va intervenir en Côte d'Ivoire, c'est de l'ingérence
• L'équipe Marketing qui va commit du code alors que c'est pas leur boulot, c'est de l'ingérence
• Le gérant du rayon chaussures qui va changer l'agencement du rayon chaussettes sans y avoir été ni invité ni autorisé, c'est de l'ingérence, même si le domaine est "similaire"

Là on parle d'un groupe bien large, pas mal suivi, et qui est même à la base de notre culture… et pourtant ils ne font qu'exercer leur droit de citoyen pour peser dans la discussion. Alors oui, le pape n'a rien à voir avec le système français, mais c'est pour moi exactement la même chose quand Stallman critique une loi française alors qu'il n'est pas résident mais est quand même suivi écouté par pas mal de monde. On peut appeler ça du lobbying plutôt, mais de l'ingérence, je suis pas d'accord.

la clé a été générée {par, sur} la carte; elle n'a jamais existé ailleurs.

Je dois avouer que je n'y connais absolument rien, merci pour les détails.

ce qui était déjà possible avec les identités papiers, donc rien de neuf

Sauf que l'identité papier ne permet pas de signer, elle permet juste d'identifier. Ici on parle d'une clé qui permet d'identifier mais aussi d'authentifier des messages, transactions ou autre. Ça a un pouvoir vachement plus grand, pour moi ça présente un plus grand danger et ça mérite beaucoup plus de faire gaffe à où la clé a trainé.

Au contraire, je trouve ça normal qu'une Église de n'importe quelle religion fasse ça. Une manifestation est l'expression des citoyens, les membres de l'Église sont des citoyens comme les autres; il est pour moi tout à fait normal qu'ils expriment leurs revendications.

Une Église n'est (aux yeux de la société) pas plus qu'un groupement de gens réunis par les mêmes valeurs, comme peuvent l'être les agriculteurs ou les chauffeurs de taxis qui manifestent.

Là où on aurait vraiment pu parler d’immixtion, c'est si l'Église avait fait pression sur les membres du gouvernement ou du parlement directement ("Si vous votez pour, on vous reprend votre carte de membre"). J'ai pas souvenir d'avoir vu ça.

Mouais. Pour moi, c'est plus ou moins équivalent aux trucs comme Protonmail, qui jurent-promis-juré-craché que le mail est chiffré dès qu'il arrive sur leur serveur et qu'ils jettent la version en clair sans la conserver. C'est-à-dire que j'ai pas du tout confiance en leur machin, en fait.

quand on reçoit une nouvelle carte de banque y a un nouveau code pin car la banque ne connaît pas notre code

Faux, j'ai moi-même renouvelé ma carte bancaire récemment et le code PIN est le même. D'ailleurs je ne me souviens pas avoir choisi le code PIN a un quelconque moment.

Du coup si c'est le cas avec cette e-carte d'identité, ça ne fait que confirmer mes craintes.

Non, je parle du fait que la clé n'a pas été générée par le citoyen, et donc il doit faire confiance a tous ceux qui sont entre celui qui a généré la clé et lui-même (j'imagine qu'il doit y avoir l’État avec un ou deux contractants dans le coup), donc la on est avant même que la carte arrive chez la personne.

Une identité "électronique" fournie par l’État a l'air bien intéressante (surtout que de plus en plus de démarches peuvent être faites directement sur l'ordinateur), mais ici l’implémentation m'a l'air douteuse: si j'ai bien compris, l’État te fournit un certificat qu'il a généré lui-même ? Donc tous ceux qui sont sur la chaine entre toi et lui ont potentiellement eu accès a ta clé privée ?

Ya un moment faut arrêter de tourner autour du pot et dire les choses comme elles sont.

Ah parce qu'on négocie avec un enfant de 3 ans ?

Je pense que la question se posera quand même: dans le cas d'un humain on peut toujours dire que sur le moment c'est pas simple de prendre la décision (voire même de comprendre que l'accident est inévitable), alors que dans le cas de la machine il y aura bien un programmeur qui devra décider quel poids donner à chaque scénario pour choisir le meilleur. Ça sera une décision réfléchie, prise au calme, etc..

Pourquoi devrait-elle prendre le nom de son mari et pas l'inverse ?

Parce que la blague c'est qu'elle devient Mme Michu, et que ça aurait pas marché dans l'autre sens ?

C'est là que je ne suis pas d'accord. Je pense que l'action locale du militant pendant 10 ans est bien plus importante et plus utile.

Oui, mais moins visible, et c'est ça qui fait toute la différence. Si on prend Snowden comme référence, c'est pas parce que ce qu'il a fait est bien ou mal, mais parce que ce qu'il a fait a fait parler de lui, même parmi les gens qui ne se sentent pas concernés par l'informatique (ça parle carrément d'espionnage, on va encore plus loin que ça). Depuis les révélations, ça a du sens de parler de surveillance étatique contre sa population (et celle des autres), d'espionnage industriel sous couvert de sécurité nationale et autres cyber-terrorismes tellement dangereux que ça empêche des films d'être projetés en salle. Tout ça on peut en parler avec n'importe qui parce que le sujet est maintenant public (je dis bien "en parler", je n'ai pas dit que tout le monde était convaincu du bien fondé de la démarche de Snowden).

Le côté fugitif est à mon avis mineur dans le fait que tout ça soit entré dans la discussion (ça peut potentiellement faire couler de l'eau dans le moulin de ceux qui se croient encore en pleine guerre froide, mais je doute qu'ils soient encore très vocaux)

Après, on peut considérer que la personne qui a développé PGP a eu un impact pratique plus grand sur la vie privée des internautes… mais comme c'est pas la pratique qui fait parler, c'est pas ce que le "grand public" retient.

c'est dommage que Mozilla s'obstine sur sa vision débile du tout web

Ah, un client lourd qui parle en IMAP, SMTP, NNTP & co, c'est du "tout Web" ? Bref…

Mozilla, pas Thunderbird, justement.