Alors je n'ai pas expérimenté depuis SEPA, mais avant les prélèvements c'était toujours un peu sioux de les rejeter. Et même, comme ta banque évalue-t-elle la légitimité de la demande de prélèvement ? C'est cette perte de contrôle que je dénonce avec le « tout prélèvement ». Dans les pays que je cite, tu choisis de payer ou non, c'est un pouvoir autrement plus fort que l'opposition au prélèvement en France. Tu dois bien le savoir, avec ton expérience dans ce pays, non ?
Ce n'est pas à la banque d'évaluer si un paiement est légitime ou pas, c'est à toi de le définir (avec tes créanciers).
J'ai déjà rejeté et révoqué des mandats ou paiements SEPA en ligne, la banque ne demande rien, tu le fais et ça se met en place directement et voilà. Par contre faudra sans doute que tu discutes avec ce créancier à côté. Et tu as 8 semaines pour le faire après le dit paiement pour réagir.
C'est hyper simple et tu as un contrôle immense sur le processus. Et cela t'évite de devoir agir manuellement (tu contrôles et tu agis seulement si cela ne colle pas).
Ça dépend desquels, et surtout je te trouve optimiste avec les 5 jours, mais ça n'est pas le problème : oui j'ai une très petite tête, et je préfère donc pouvoir payer en avance à ma convenance pour palier à cette histoire de prévision.
Change de banque, la mienne me prévient une semaine ouvrable à l'avance d'un paiement par prélèvement. Cela fonctionne bien.
Si je dis ça, ça n'est pas pour jouer sur les mots. C'est parce que ça m'horripile d'entendre certains politiques promettre des "abaissements de charges", et voir des gus applaudir à 2 mains, sans comprendre que ce qu'on vient de leur promettre, c'est une baisse de leur salaire. D'ailleurs, sur mes contrats de travail, il a toujours été indiqué mon salaire annuel brut, donc cotisations salariales incluses !
Tu confonds pas mal de choses.
Il y a le super-brut, le brut et le net.
Le super-brut c'est cotisation patronale + cotisation employé + salaire versé à la banque.
Le brut (celui défini dans les contrats de travail) est le même sans les cotisations patronales.
Le net c'est sans les cotisations.
Donc quand l'État baisse les charges sur les cotisations patronales, ce n'est pas ton salaire qui est abaissé. Le brut reste inchangé. Le super-brut quant à lui est plus faible.
Quand l'État baisse les charges sur les cotisations de l'employé, là non plus ton salaire brut n'est pas concerné. Bah oui, le brut est fixé dans ton contrat quelque soit la valeur de la cotisation. Par contre ton net augmente, car tes cotisations baissent pour un brut identique.
Tu peux raisonner dans l'autre sens quand c'est une augmentation des charges. C'est pareil.
Par contre il est illusoire de croire que de baisser / monter les charges n'ont pas d'impacts sur les recrutements ou les augmentations à venir.
Le chien de garde (+ connu sous le terme watchdog) n'est présent matériellement que sur les serveurs et nécessite une activation dans le BIOS + une initialisation par le système d'exploitation.
Bah non, tout ordinateur ayant un processeur un minimum évolué a un watchdog. IL est d'ailleurs probable que ton OS ait un processus noyau nommé wathdog/X pour gérer ça.
Dans les systèmes embarqués c’est également très courants, et tous les x86 en ont un aussi.
Cela me semble un peu bizarre comme comparaison.
Red Hat ne facture pas de la réalisation mais du support (même si les deux sont liés). Du coup cela ressemble à une facturation à la diffusion, mais pas totale : rien n'empêche de reprendre les réalisations libres de Red Hat, les recompiler et les diffuser gratuitement.
Comment tu fais du support avec le design ? C'est plutôt du one shot, avec des corrections par moment peut être mais tu factures par pallier pour la réalisation.
Ce sont des business models différents et difficilement transposables à n'importe qu'elle activité.
Or là il y a bien une action, qui est d'utiliser des scripts javascript externe dans un site web crée pour l'occasion ! Certe ne n'est peut-être l'équipe de Mélenchon qui l'a mis directement, peut-être qu'ils utilisent des frameworks qui utilisent ces scripts.
S'il n'a pas conscience de ce qui se trame sur son site il est passif de fait. L'action signifierait qu'il en a conscience.
Il y a forcément des gens dans son équipe qui sont conscients de cela, mais si ce sont juste des sympathisants, ils n'ont peut être pas conscience du manque de cohérence.
Pour faire une analogie un peu foireuse à propos de ces scripts, c'est comme si lorsque tu visites une permanence syndicale CGT, le délégé syndical téléphonait au MEDEF pour qu'il apporte les bières. On est sur un comportement aussi aburde à mon sens.
Sauf que tout le monde sait chez la CGT ce qu'est le MEDEF. Cela n'a rien à voir avec l'usage d'outils dont la plupart des gens, même dans son équipe, ignorent ce dont tu parles. Tu fais comme si son équipe était composée d'experts idéologues sur le bout des doigts. Ce n'est pas forcément le cas.
mais c'est bien pour ça qu'il constitue une équipe autour de lui, avec des gens qui peuvent l'aiguiller. Visiblement son équipe à fait l'impasse sur ce sujet, alors que le numérique et le combat contre les GAFA est une partie importante de son discours.
Les experts qui connaissent tout ça n'existe pas. Il est fort probable que son entourage connaissent les LL, l'économie du numérique et de ses grands acteurs. Mais cela m'étonnerait qu'ils connaissent toutes les subtilités, qu'ils sachent comment l'identifier (à moins d'avoir un navigateur taillé pour ça, tu ignores si Google Analytics est actif sur un site) et de fait toutes les alternatives. Même dans les gens du milieu du libre ces alternatives ne sont pas répandues ou connues.
Bref, oui, je trouve que tu vas loin. Comme je le dis, le seul moyen de le savoir est de le signaler et de voir la réaction. En attendant, l'hypothèse de l'ignorance et de l'erreur est largement crédible ce qui selon moi remet en cause ce que tu lui portes.
faire une école avec prépa intégrée, par exemple, l'Epitech
Epitech n'est pas une école d'ingé selon la CTI et n'a pas de notions de prépa (ils ne font presque pas de science en 5 ans).
Je vais compléter un peu car si globalement c'est bien détaillé cela manque de détails.
Les BTS ou DUT (bac+2) sont très orientés vers la pratique. Cela à l'avantage de ne pas faire trop de cours en dehors de l'informatique mais cela te pénalise pour la poursuite d'études ou la carrière. Beaucoup de boîtes refusent en dessous de bac+5. Les bac+2 sont plus cantonnés à un rôle de techniciens ou d'exécutants (en gros pisser du code) que d'avoir la possibilité de concevoir l'architecture d'un logiciel et faire ses propres choix techniques et technologiques.
La licence, voire une licence pro sont des bac+3 et forcément plus théoriques. Mais là encore, cela reste assez sous valorisé dans de nombreuses boîtes. La licence pro est souvent choisie par les gens souhaitant s'arrêter à bac+3 pour travailler ensuite, souvent prisés par d'anciens étudiants de DUT ou BTS par ailleurs pour améliorer un peu leur CV et leur compétences.
Ensuite tu as le master ou l'école d'ingé pour l'ensemble. Les deux demandent une formation plus théorique à l'origine soit via une licence classique pour le master, ou via des classes préparatoires scientifiques pour les écoles d'ingé. Après rien n'empêche d'accéder à ces formations avec un BTS ou DUT en poche, mais cela est plus rare et difficile.
Les écoles d'ingés s'intègrent sur concours, chaque école n'ayant pas forcément le même concours que le voisin (certaines écoles se regroupent pour un concours commun, les plus prestigieuses ont souvent le leur). Ces concours se préparent en général sur 2 ou 3 ans. C'est globalement un concours très orienté autour des maths, physique ou de la chimie. Très très peu d'infos. L'info viendrait après.
Le master est un cursus universitaire. Le master est sans doute plus intéressant que l'école d'ingé si tu souhaites faire un doctorat ou de la recherche ensuite (bien que l'école d'ingé te permettent de poursuivre, cela reste moins adapté). Le master est à bien des égards plus théorique que l'école d'ingé. Car l'école d'ingé fait aussi beaucoup de langues (niveau d'anglais minimal requis en fin de formation), de social (management, gestion de projets) ou de stages (près de 9 mois de stage dont partiellement à l'étranger).
L'école d'ingé est du coup en France souvent prisé par les entreprises et mieux valorisés en terme de salaire (de manière sensible). De ce que j'ai compris, à l'étranger, à part les écoles très prestigieuses, ils s'en foutent. Très souvent le diplôme d'ingénieur (qui est protégé en France) n'est pas reconnu ainsi à l'étranger, mais juste comme un master. Et oui, en France beaucoup de boîtes accordent une grande importance au diplôme, outre si c'est ingé ou master, savoir de quel établissement tu viens.
Bref, toutes ces formations permettent de faire de l'info à la fin. La question est de savoir si :
Tu es prêt à faire de la théorie dans le cursus, du moins au début ;
Tu souhaites travailler en France ou à l'étranger (notamment au Canada) ;
Le métier que tu souhaites faire, plus tu voudras faire de la conception (et donc moins de code), plus il faudra une formation longue (master ou école d'ingé) ;
Si tu souhaites notamment devenir chercheur (qui favorise le cursus licence + master + doctorat).
Si j'ai bien compris ton argument est que comme Mélenchon est un n00b, il faut le juger sur ses discours, sans être trop exigeant sur les faits ?
Bah je ne vais pas reprocher à Mélenchon de ne pas savoir que Google Analytics existe tu vois. Cela me paraît normal pour un politique et les personnes qui l'entourent qu'il ne soit pas au courant de cela.
Pour lui les GAFA ce sont les produits visibles pour le consommateur, leurs sites Web ou logiciels. Pas les trucs cachés dans une page Web. Tu crois que beaucoup savent qu'une bonne part des bénéfices d'Amazon vient de son service cloud et non des ventes d'objets ?
Bref, je suis moins exigent sur un politique sur ce genre de choses que sur Mozilla, le niveau des compétences est totalement différente sur le sujet.
Je préfère donc me baser sur des faits, et c'est dans ce sens que je posais mes questions : ses idées sont-elles sincères, au point de les appliquer lui-même ? Je veux bien qu'on m'oppose d'autres faits, par ex. des votes de loi sur les logiciels libres, etc.
La meilleure façon de le savoir est d'envoyer un courriel à son équipe de campagne pour le lui dire. S'ils répondent qu'ils en ont rien à foutre, c'est une promesse en l'air, sinon c'est une erreur sincère.
Je ne dis pas que la cohérence n'est pas importante, mais je ne l'accuserais pas d'être incohérent alors que c'est sans doute le fruit d'un choix qu'il ne connaît même pas. Et tant qu'on ne sera pas sûr qu'il soit au courant, je pars du principe que c'est une erreur (présomption d'innocence tout ça).
Au passage, je n'ai pas « lyncher » Mélenchon, mais juste pointer des incohérences entre le discours et les faits. Linuxfr n'est-il pas le lieu pour se pencher sur ce genre de problème justement ?
Ton style est plus proche du lynchage car tu sous-entends très clairement qu'il fait cela sciemment ce qui me paraît exagéré. Typiquement tu dis que Mélenchon participe activement dans l'espionnage massive. Justement, je dirais qu'il est au moins passif, au pire ignorant sur ce que les développeurs ont fait.
Bref, pointer l'incohérence oui, leur signaler aussi ok, mais insinuer que cela est fait activement cela me paraît de trop.
C'est là ma question : quelle est la valeur et la crédibilité de son discours, si dans les faits il est en position de soumission face à ces entreprises, alors que des alternatives existent ?
Je crois que tu as confondu RMS avec Mélenchon.
Je ne sais pas comment a été conçu le site Web, mais je pense que Mélenchon ne sait pas comment fonctionne vraiment un site web, qu'il ignore l'existence même de Google Analytics ou de Diaspora*, qu'il ne sait pas ce qu'est un CDN ou un fichier CSS. Je pense qu'il est plus terre à terre et parle des LL dont il connaît les alternatives ou qu'il veut en concevoir avec l'aide de l'État.
Je ne suis pas fan de Mélenchon, mais voilà, c'est un politique, pas un informaticien. Il ne dit pas de conneries lors des discours là dessus et c'est déjà pas mal. Que son site Web ne soit pas en accord avec le discours est dommage mais ne mérite pas selon moi ton lynchage. Il est sans doute pas du tout au courant, envoie un courriel et peut être que ce sera corrigé. Peut être que pour des raisons de budgets, de temps et de compétences dans son équipe c'est comme ça que le site a été conçu.
Son entourage n'est pas je pense constitué de techniciens ou de passionnés. Ils ne peuvent pas se rendre compte de ce genre de choses ou n'en n'ont pas forcément non plus conscience de l'impact de tout ceci.
Ce n'est pas comparable avec ce qu'a fait Mozilla sur ses sites car Mozilla est un acteur reconnu du Web et sait pertinemment ce qu'il fait sur ses sites et des alternatives en vigueur. Tout comme RMS avec la FSF.
Je pense que ce qui est important sur la question c'est déjà d'amener le sujet dans la campagne et sans en dire trop de conneries. C'est déjà bien, cela fait une promotion importante sur ces idées, les concepts. C'est son rôle en tant que politique.
Plutôt que de le lyncher, faudrait peut être encourager les politiques à en parler sans se faire descendre toutes les 3 secondes. Et envoie un courriel listant les soucis à l'équipe de campagne, qui sait, le tir sera peut être rectifié. Peut être pas, mais au moins on saura que c'est volontaire ou secondaire pour lui.
Faut-il toujours être pur quand on défend une idée ?
Ou est-ce interdit de défendre le bien être des animaux quand on mange de la viande ? De défendre l'écologie alors qu'on a une voiture ? Ou de défendre le Logiciel Libre alors qu'on utilise du proprio ?
Peut être qu'il est hypocrite, je n'en sais rien et honnêtement je m'en fou car ce n'est pas sur ce critère que je vais désigner le candidat dans l'urne mais sur bien d'autres tout aussi fondamentaux.
Mais il est clair qu'aujourd'hui Youtube, Facebook, Google+ ou Twitter permettent une grande visibilité médiatique sur Internet. Or, en politique si tu veux une chance de percer il faut communiquer le plus possible et atteindre un maximum de gens. Se passer de ces outils est risqué et c'est le meilleur moyen que finalement l'objet défendu ne soit jamais écouté.
Parfois, il faut mettre de côté les convictions si cela leur permet d'être mieux représentés ou défendus par après. Il y a des limites à cela bien évidemment, mais là je ne pense pas que ce soit le cas.
Si tu garde du matériel non maintenu et que ton matériel contribue à une attaque d'envergure, tu as une part de responsabilité.
Soyons honnête, maintenir des équipements sur le réseau à jour, que ce soit pour les constructeur comme pour les utilisateurs, cela demande un investissement financier et temporel très important.
Comme je le disais ici, les équipements tu les achètes en one shot, tu ne peux pas garantir avec ce modèle économique des mises à jour régulière durant un temps raisonnable (pas juste une année quoi). On pourrait passer à un modèle de service, du genre tu payes un abonnement pour l'usage du produit, mais le tollé des consommateurs (et même des gens ici hein) vont râler car ce sera exorbitant.
De toute façon, pour limiter les attaques, le système doit être entretenu et géré convenablement. Tous les systèmes. Je suis désolé mais malgré tous les efforts du monde, Mme Michu n'est pas sys admin. Les objets connectés ne changent pas tellement la donne, son ordi, sa tablette ou son téléphone sont déjà des cibles pertinentes et malgré la proximité de ces objets elle ne sait pas les sécuriser correctement. Je ne vois donc pas ce que l'ajout des objets connectés dissimulés changent fondamentalement dans l'équation. Ou alors toute personne incompétente doit abandonner les objets connectés à Internet et utiliser des trucs maintenu par des pro ? Je ne souscris pas à cet élitisme.
Si tu as une fibre écologique, tu devrais de base te poser la question de l'utilité réelle des objets connectés (même à durée de vie infini comme tous les autres appareils ils consomment de l'énergie et sont construit avec des matériaux comme des terres rares etc). Tu peux aussi te poser la question des conditions dans les quels ils ont était construit…
Bref si tu veux te la jouer écolo-bobo, tu en achètera déjà que par véritable nécessité et ce sera déjà pas mal.
Je te trouve très caricatural sur la question. Il y a des objets connectés utiles d'une part, certains dans un but professionnel. Remettre en question l'utilité d'un objet ne me semble pas pertinent. Après on peut avoir la fibre écologique sans aller jusqu'à l'extrême : je suis pour une réduction des déchets, de la consommation énergétique et tout mais pas à cet extrême là. J'ai une voiture et je m'en sers, cela ne m'empêche pas de faire des efforts à côté. J'estime important de se poser la question de ne pas racheter un objet neuf uniquement parce que son support est terminé alors que fonctionnellement il est bon. Sans pour autant renoncer à l'achat original. Cela ne rend pas la démarche incohérente.
Si ensuite tu garde de l'équipement connecté à internet sans le maintenir, tu contribuera à des attaques qui ça ne te fais rien, je trouve que c'est dommage (mais t'inquiète pas ce n'est pas répréhensible aujourd'hui). Ça peut aussi devenir le point d'accès sur ton réseau pour ensuite attaquer tes autres équipements.
Même avec un équipement officiellement maintenu, dans les faits ils sont vulnérables : failles non révélées mais exploitées, matériel / système gérés n'importe comment (les sys admins sont une part négligeable des utilisateurs des appareils reliés à Internet), etc. À t'écouter, on devrait arrêter d'utiliser Internet car forcément des machines vont tomber sous le jougs de personnes malveillantes (on n'a pas attendu les caméras de surveillance non maintenues pour faire des attaques d'envergure, des PCs de particulier c'est déjà bien). Je ne pense pas que de se débarrasser des objets connectés sur le réseau soit la bonne solution. Je pense surtout qu'il faut envisager la sécurité autrement : mettre des mécanismes de protections pour qu'une faille soit la moins impactant possible, mettre des protections d'accès aux objets disponibles sur le réseau et protéger les machines du dit réseau qui pourraient subir une attaque de la part de ceux qui sont vulnérables.
Et le support du matériel doit être illimité ?
Car maintenir tout un firmware potentiellement sur 10 ans, c'est très très cher, surtout s'il y a différents produits à maintenir et qu'ils ne peuvent pas supporter la montée en version (car pas assez puissant pour prendre en charge des composants trop récents).
Du coup cela signifie que tout doit être racheté régulièrement, ce qui coûte cher et n'est pas très écologique non plus.
Si quelqu'un te pique ton téléphone, il a accès à tes SMS ainsi qu'à l'application de la banque et au site web, pour lequel tu as peut-être stocké le mot de passe quelque part dans le même téléphone.
Sauf que si on me pique mon téléphone, je suis au courant et je peux le signaler assez vite. La CB pas du tout car elle n'est pas en permanence sur moi.
Sans compter que mon téléphone est protégé au niveau accès, ce n'est pas trivial pour un voleur de lire mes SMS ou d'utiliser l'application de ma banque. D'autant que mon téléphone se verrouille en cas d'un nombre d'essais d'authentification trop élevé.
Avec une carte bancaire + un code PIN à 4 chiffres pour cette carte + un identifiant et mot de passe pour le site internet, on a 3 facteurs bien séparés.
Qu'il faut toujours avoir sur soi (je pense surtout au boîter de la carte) ce qui est pénible (non, je ne mets pas ça dans ma sacoche, et je doute de la sécurité du machin en mettant le CB et le boîtier au même endroit en fait).
Je sais même pas si le nombre d'essais est limité.
Chez moi c'est le cas.
Comme ça, n'importe qui qui peut voir mon écran peut le récupérer. Et les chiffres changent de place à chaque fois pour m'empêcher de cliquer dessus rapidement.
Et si on vole ta CB et le boîtier, tu es marron. Avec un mot de passe non car il n'y a pas de lien entre le mot de passe et ta CB.
Bref, suffit de ne pas s'identifier dans des lieux publics, ou le faire discrètement (tu réduis la fenêtre et tu masques la vue).
Sinon cela change de place pour des raisons évidentes, si c'était au même endroit, un script quelconque pourrait deviner ton mot de passe à partir des coordonnées du clic. Heureusement qu'ils le font.
Je trouve ce système complètement nul et pas du tout sécurisant.
C'est suffisamment sécurisé, en tout cas jusqu'à aujourd'hui je n'ai pas entendu parler de cas d'identification frauduleuse sur le site bancaire à la place d'un autre de manière massive, simple et uniquement à distance.
Et je trouve cela bien moins contraignant que le lecteur de cartes pour les raisons que j'ai explicité. Pour les opérations sensibles tu as de toute façon une confirmation par code via SMS ce qui est je trouve bien sécurisé, simple et rapide. Car bon, saisir pendant 5 minutes des chiffres sur le boitier de commande pour ajouter un bénéficiaire de virement, c'est pénible. Le SMS c'est bien plus simple.
Oué mais là ça mélange deux choses, tu peux très bien limiter les tentatives de saisie de mot de passe aussi.
Ce qui est plus chiant car un mot de passe long et complexe favorise les erreurs de saisis ou l'oubli de quel mot de passe est utilisé pour ce compte.
Typiquement j'ai près d'une dizaine de mots de passe, je les connais tous par coeur mais je ne connais pas par coeur toutes les associations sites -> mot de passe. Entre les erreurs et les tentatives pour savoir lequel on a utilisé pour ce compte, cela pourrait être contraignant.
La probabilité de trouver en 3 essais les 6 chiffres est quand même faible, sur CB ou code PIN de téléphone ce n'est déjà pas évident alors que c'est souvent 4 chiffres.
O_O En effet ça doit pas être terrible, celui que j'ai il suffit d'y glisser la CB pour qu'il s'allume
Il s'allume facilement quand je le branche par USB, mais dans ce cas il faut utiliser la liaison USB pour les opérations et j'ai la flemme de configurer / installer un truc pour que cela fonctionne sous Linux.
Et sans le câble USB, je n'ai pas trouvé le moyen reproductible de le faire, parfois je dois faire autrement pour que cela fonctionne. C'est très curieux. Insérer la carte seulement ne suffit pas hélas. Bien que cela semble impératif (ce que je trouve con mais bon, car non documenté et pas intuitif).
Puis comme certaines opérations ne passent que par le boîtier, cela t'oblige à l'avoir sur toi. Notamment quand tu es en déplacement ce qui est je trouve contraignant (car on n'y pense pas forcément à l'avance, et que cela prend de la place malgré tout).
C’est comme pour un fichier de configuration, utiliser XML n’apporte rien (à part de la verbosité inutile) la plupart du temps.
Bah justement, c'est super pertinent pour les fichiers de confs un peu complexes où tu souhaites t'assurer que tous les champs sont bien saisis et renseignés comme prévu.
C'est assez puissant pour ce genre de cas d'usages.
Pareil en Belgique, on dirait qu'il n'y a que la France qui essaye de ralentir les virements IBAN
Ça dépend de la banque en France. Avec Boursorama (sur Internet) c'est très rapide par exemple. Je ne trouve pas cela très différent que Belfius sur ce point.
C'est peut être car leur système de connexion au site de la banque ne sont pas super secure (clavier virtuel…)
Mouais, je pense que c'est bien suffisant et à le mérite de ne pas être trop chiant (non, honnêtement, le lecteur de carte de Belfius c'est juste insupportable de l'utiliser systématiquement).
Durant un moment ma banque demandait une confirmation par SMS pour un nouveau destinataire étranger mais c'est plus le cas.
Boursorama demande de valider via un code envoyé par SMS. Plus simple et rapide je trouve que le lecteur de carte et cela me semble suffisamment sécurisé.
Le gros problème reste l'authentification assez misérable de beaucoup de banques (genre code à 6 chiffre max…)
Avec un nombre limité d'essais (en général 3), cela me paraît plus sécurisé qu'un mot de passe très long avec tentatives illimitées. ;)
Et surtout cela permet à la banque et à l'utilisateur de voir que quelque chose anormal se passe si les 3 essais ont été épuisés.
C'est chiant mais j'aime bien la banque pop pour ça, avec un boitier dédié qui peut nécéssiter l'introduction de la CB. Il faut donc pouvoir se connecter au compte, avoir la carte et le boitier sur soit plus le code de la carte. Ça commence à être pas mal. Certains cas peuvent être convertis en sms mais pas tous, il y a plusieurs niveaux.
Bah moi je n'aime pas du tout.
Je me suis installé en Belgique il y a peu et globalement elles semblent utiliser ces procédures ici. C'est très contraignant pour un gain en sécurité que je n'estime pas énorme (c'est mieux, mais je pense que la situation d'avant était acceptable). Je préfère utiliser l'application mobile qui ne requiert qu'un mot de passe que de passer par le site Web qui me demande ces démarches. Surtout qu'en plus je galère à allumer le dit boîtier (et le manuel d'utilisation n'est pas très explicite).
"dans un avion, les calculateurs sont redondants, voire ils sont triplés ou quintuplés")
En l’occurrence dans un avion la redondance doit se faire avec des équipes / entreprises différentes et bien sûre la question des risques liés aux technologies employés de chaque côté est analysé pour pas que ce soit fait pour rien. ;-)
Cela ne résout pas tous les soucis, mais un bon paquet quand même.
J'ai l'impression qu'on ne se comprend pas très bien. ;) J'ai jamais dit que docker n'avait aucun intérêt, il y a plusieurs intervenant du thread qui s'en servent et qui assurent que c'est utile pour eux (dont toi), très bien je n'ai rien contre (et je comprends bien l'exemple du vieux compilo pas de soucis) !
Je te rappelle que c'est toi qui a commencé l'enfilade en me demandant pourquoi j'utilise ça et que tu essayes de me dire que c'est une mauvaise solution.
C'est quand ça arrive sur mon PC perso ou sur mes serveurs que ça me pose un problème, parce que j'estime que dans ce cas la sécurité est moins bonne avec ce type de solution qu'avec un dépôt centralisé classique.
Précise-le que tu parles de ton cas depuis le début, car honnêtement vu comment le fil a débuté, je ne trouve pas cela évident que tu ne souhaites pas ces solutions chez toi.
Pourtant la plupart des machines de ce monde ne sont pas maintenus par des professionnels, voire pas du tout en fait, loin de là et vont aussi sur Internet. Devons-nous couper l'accès à Internet à tous ces négligeant sur ce prétexte ?
Ce n'est vraiment pas spécifique au monde des objets connectés, le problème existe depuis longtemps. Et gage aux responsables de ces gros systèmes de trouver une parade pour se protéger. Car avant que tous les ordinateurs reliés au Net soient sécurisés pour éviter le botnet, tu peux rêver longtemps. Cela ne signifie pas pour autant que la sécurité des objets connectés ne doit pas exister.
Les applications lourdes sur poste de travail c'est justement ce que je développe. Et la plupart se connectent à un serveur SQL à l'extérieur. D'autres se connectent en SSH pour déposer des documents via SFTP. D'autres encore récupèrent des documents via http.
Je peux te dire que j'en développé aussi qui n'ont pas besoin de réseaux, et des tas de programmes qui sont soient dans des labos (tu sais, le programme pour manipuler l'instrument de mesure super cher mais dont seul l'ordi qui y est branché y a accès, pas de réseau) ou même dans les entreprises (bancs d'essais par exemple).
Celles qui sont non visibles de l'extérieur ne risquent pas de compromission depuis l'extérieur, mais elles en risquent quand même depuis l'intérieur.
Pas toutes les machines ne sont reliés au réseau interne de la structure. Ou ont un réseau dédié qui ne risque rien. Après si tu as peur de l'attaque par accès physique, on n'y peux plus grand chose.
Les 3 premiers n'ont pas (pas encore plutôt) de prise réseau, la sécurité n'a pas d'importance donc.
Oui, mais il faut programmer ces machins avec des technos hyper anciennes. D'où l'intérêt d'avoir la possibilité d'un environnement de travail différent que celui que propose ta distribution.
C'est pas le langage qui implique la sécurisation. Leur COBOL tourne probablement sur un noyau écrit en C qui n'est pas non plus le langage considéré comme le plus sécurisé, et alors ? Une des vraies solutions pour la sécurité, c'est d'être à jour. C'est sûr, il y a les 0 day, c'est pas une solution absolue, mais pas être à jour c'est courir à la catastrophe.
Utiliser un langage que peu de monde connaissent, sur des applications ayant souvent un lourd héritage technique et qui en plus souffre des limitations de son époque, c'est augmenter le risque qu'un problème soit présent dans le système.
Et non la sécurité ne repose pas que sur le fait d'être à jour, je dirais même qu'une bonne sécurité doit prendre en compte l'exploitation d'une faille quelconque pour en limiter ses conséquences. C'est d'ailleurs ce qui se fait en embarqué souvent pour pallier le manque de possibilités pour mettre à jour le système. Genre signature des firmware, cryptographie dans les communications, cloisonnement des applications, réduction des applications au strict minimum ou encore firmware en lecture seule seulement.
Le problème c'est qu'elles sont sur le même réseau. Il va bien falloir trouver une solution sinon l'avenir est bien sombre.
Je trouve que tu mélanges beaucoup de choses en sécurité.
La sécurité absolue n'existe pas, d'abord, il me semble illusoire de vouloir l'atteindre systématiquement.
Ensuite, ce n'est pas parce qu'ils sont sur le même réseau que tout doit être sécurisé de la même façon. J'espère bien que l'interface Web de ma banque est bien plus sécurisée que les accès à Linuxfr. Pourtant ils sont sur le même réseau. Et si Linuxfr se fait niquer, honnêtement je m'en fiche (je serais déçu mais ça serait supportable), ma banque pas vraiment.
Donc les objets connectés n'ont pas à avoir la même sécurité que l'application de ta banque, que les accès depuis l'extérieur aux données sensibles d'une grande structure via un VPN, etc. Cela ne signifie pas qu'il ne faut pas traiter la question, mais tu ne peux pas en exiger la même chose. Cela n'a pas d'intérêt.
Pour moi le cas général à l'heure actuelle c'est les applications dont l'interface est accessible via le réseau (web en général). C'est ça que les utilisateurs utilisent le plus.
Ça me paraît un poil exagéré.
Les applications lourdes sur chaque poste de travail, les applications d'entreprises non visibles de l'extérieur sans oublier les systèmes embarqués existent et je pense que l'ensemble surpasse ce que tu décris en quantité.
Effectivement certains utilisateurs (qui sont des devs embarqués) doivent utiliser des vieux compilos pour de bonnes raisons, mais tu vas être d'accord avec moi que c'est une petite proportion des utilisateurs de l'informatique ?
Il n'y a pas que les développeurs embarqués hein… Tout développeur peut être confronté à une situation où un Docker est bien utile pour reproduire localement un environnement de développement ou de tests. Cela n'a peut être pas été ton cas, mais je t'assure que cela arrive très souvent. Je dirais même que c'est une bonne pratique pour reproduire au mieux l'application sur l'environnement cible (comme un serveur) sans pour autant avoir le même système.
D'autres aussi utilisent des ordinateurs non reliés au net. Mais c'est devenu une petite proportion des utilisateurs également et cette petite proportion devient de plus en plus petite non ?
Des ordinateurs en entreprises qui ont des fonctions très minimalistes et sans accès au net, il y en a une armée dans la nature.
Je ne sais pas où tu bosses, mais cette situation est très fréquente. Tu as déjà été dans un labo de recherches aussi ? Tu en pleurerais vu ce que tu dis ici.
Cette grande proportions d'utilisateurs utilisent facebook, google, youtube, le site de leur banque, le site des impôts, des forums divers et variés etc…
Ils utilisent aussi une machine à café, un lave linge ou lave vaisselle, une télé ou un téléphone… Qui ont été programmés par quelqu'un.
Bref, oui pas mal de gens utilisent ce que tu dis, mais ce n'est que la partie émergée des applications existantes et utilisées au quotidien aujourd'hui.
Le cas général ça me semble donc être ça. Et pour ce cas général je pense que la solution d'un unique dépôt centralisé est la meilleure.
Mais même pour ton cas général ceux qui le développent ont intérêt à utiliser Docker. Il est même probable qu'ils le fassent sans que tu ne le saches.
Si le mainteneur du site de ta banque te dit que la version d'aujourd'hui est trouée mais t'inquiète pas, ils sont en train de développer la correction qui arrivera semaine 53 ça te pose pas de soucis ?
Tu sais que les banques et assurances, ces grosses structure, ont beaucoup de code écrit en COBOL ? Tu sais, ce langage hyper moderne et probablement hyper sécurisé.
Je doute que la sécurité des applications qu'ils manipulent reposent uniquement sur la mise à jour du système. Je suis convaincu qu'ils ont beaucoup de choses dans leur infrastructure pour que si faille il y a l'impact soit la plus faible possible.
Pour beaucoup de services la coupure peut coûter plus cher que de laisser tourner malgré les failles (cela dépend évidemment de ce que fait l'application et la machine hein).
On entend beaucoup parler en ce moment de la sécurité des objets connectés et ça a pas l'air folichon. Certes c'est pas la faute des solutions comme docker mais cette façon de se dire "l'image faite par le dev embarque toute les dépendances sinon c'est pas assez pratique / on a pas le temps" ça va pas dans le bon sens selon moi.
Propose mieux.
La question de la sécurité des applications embarquées est fondamentale, mais il faut comprendre que ses contraintes font que les raisonnements provenant de développement d'applications dans une infra haute disponibilité ne tiennent pas.
On parle de produits qui ont les caractéristiques suivantes :
Des performances souvent faibles, ce qui t'empêche de faire pas mal de choses (notamment d'utiliser des frameworks ou langages de haut niveau) ;
Des accès à l'énergie ou à Internet intermittent, voire inexistant pour le second cas ;
Souvent des machines difficiles à déboguer, tester ou n'ayant pas un opérateur humain disponible pour le réparer (donc pour les mises à jour il faut des garanties que cela se fasse de manière autonome dans tous les cas) ;
Le produit se paye en une fois, tu fais la maintenance combien de temps du produit ? Comment tu gères le fait que tes logiciels peuvent rendre inopérant le matériel à cause du surpoids qu'il prend avec le temps ?
Car bon, pour les applications Web ou d'entreprise, comme le développement est continue sur des années, les rentrées d'argent sont aussi continues. Tu peux mettre à jour l'infra aussi pour tenir compte du fait qu'avec le temps un logiciel (et ses dépendances) prennent du poids.
Un système embarqué, en général tu le payes une fois à l'achat. Le constructeur ne te vend pas pour ce prix un support illimité (même MS, RH ou Apple ne proposent pas ça pour leur OS). Pourtant moult appareils embarqués tiennent bien au delà des espérances et au delà parfois de la vie de leur propre fabricant. Ton application de la banque, elle va évoluer tant qu'il y a des clients et que la banque est en vie. Et elle peut facilement le faire et facturer tout ça tout le long. Et quand la banque meurt, le service avec donc pas de soucis. Ce raisonnement ne peut pas marcher avec un système embarqué où le constructeur peut disparaître alors que des produits tournent encore, et dont la maintenance pendant 20 ans n'est pas compatible avec une seule facturation du produit (ou alors ce sera exorbitant).
Puis il faut comprendre comment fonctionne le doux univers du matériel. Qualcomm par exemple te sort une puce en 2015. Pour pouvoir l'exploiter et le vendre, ils conçoivent ce que l'on appelle le BSP, qui contient en gros un noyau, un chargeur de démarrage, des bibliothèques, firmwares ou applications pour l'exploiter. Pour des raisons de propriétés intellectuelles et économiques, ils ne maintiennent que très peu le dit BSP.
Les patchs sont de mauvaise qualité, impossible d'envoyer upstream (et si tu essayes de le corriger toi, le processeur ne sera plus vendu quand tu auras fini) et le constructeur s'en fout. Dans 2 ans, il vendra un nouveau modèle, donc quel intérêt il a à porter ses patchs de versions en versions de Linux si peu de temps après son premier jet il fera autre chose ?
On râle, on râle, mais ça ne fait rien changer à l'affaire. J'aimerais aussi que ce soit autrement. De toute façon si on les contraint à faire cette qualité, ça va faire monter les prix des consommables. Et pas mal de gens n'en voudraient pas à un tel prix. Surtout qu'on parle de systèmes peu évolutifs, dont globalement l'application est faite une fois et les mises à jour très rares car difficiles voire impossibles.
Économiquement, il y a donc un soucis pour un support de sécurité pour ces appareils, il y a donc aussi des contraintes techniques, qui rendent ce qui est banal ailleurs en terme de bonnes pratiques, très difficiles à mettre en œuvre.
Je ne rêve pas de cette situation et oui, il y a des discussions en cours sur le sujet qui est bouillonnant. Faut pas croire que c'est un soucis simple à régler et qu'il suffit de faire une application portable ou maintenable pour résoudre tous les cas de figures. Faut pas croire que tout le monde s'en fout. Mais on ne peut pas en l'état actuel des choses garantir la même sécurité à l'application de la banque et de ta lampe connectée.
On est d'accord, mais c'est un autre cas particulier. Un truc non relié au réseau c'est devenu rare et demain ça sera encore plus rare.
Cas particulier + cas particulier + …
Pour moi, ce ne sont plus des cas particuliers, à la fin cela représente un taux non négligeable.
Donc avant d'être portée l'appli est déjà en prod ? trouée ?
Tu sais il y a pas mal d'applications qui restent en vie très longtemps, plus longtemps que plusieurs versions de PHP ou de Python. Quand c'est un peu gros, la transition n'est pas immédiate. Donc tu peux avoir une application qui tourne mais avec des solutions obsolètes oui. On fait quoi dans ce cas ? On coupe tout ?
Ok, cas particulier qui concerne les dev.
Les développeurs ne sont qu'un cas particulier ? En fait c'est quoi ton cas général car ça commence à faire beaucoup.
Dans l'embarqué c'est peut-être le cas je ne sais pas, mais dans le cas général la portabilité est considérée comme une qualité.
Quand ton langage change de syntaxe ou d'écosystème, le portage n'est pas trivial. 10 ans après le début de Python 3 de nombreuses applications n'en ont pas fini avec Python 2 encore (près de 33% des applications ayant une dépendance avec Python dans Fedora dépendent de Python 2). Quand ton compilateur change les normes par défaut ce qui flingue certains codes aux comportements anciens dont tu n'as pas toujours le plein contrôle tu ne peux pas le prévoir non plus.
Tu peux faire la portabilité maximale que tu ne peux pas te prémunir de ce genre de changements.
Notre désaccord vient de là je pense : dans l'embarqué c'est selon toi une excellente solution et je veux bien te croire, mais dans l'informatique "classique" ce n'en est pas une selon moi. On est formaté par nos domaines d'application respectifs.
Pas du tout, je viens de te montrer que le reste de l'informatique aussi était concernée par ces questions (moins, mais quand même). Je l'ai vu en vrai ces situations aussi. Les applications ne sont pas tous des Hello world à porter tu sais.
Mais pour conclure je préférerai que ce genre de techno restent où elles sont utiles et donc pas sur mes serveurs.
On parle d'offrir le choix aux utilisateurs d'utiliser le dépôt ou les applications tout en un et toi tu me parles de serveurs ? Je comprends pourquoi tu me réponds à côté aussi.
[^] # Re: Et?
Posté par Renault (site web personnel) . En réponse au journal Payer ses impôts en choisissant la date. Évalué à 3.
Ce n'est pas à la banque d'évaluer si un paiement est légitime ou pas, c'est à toi de le définir (avec tes créanciers).
J'ai déjà rejeté et révoqué des mandats ou paiements SEPA en ligne, la banque ne demande rien, tu le fais et ça se met en place directement et voilà. Par contre faudra sans doute que tu discutes avec ce créancier à côté. Et tu as 8 semaines pour le faire après le dit paiement pour réagir.
C'est hyper simple et tu as un contrôle immense sur le processus. Et cela t'évite de devoir agir manuellement (tu contrôles et tu agis seulement si cela ne colle pas).
Change de banque, la mienne me prévient une semaine ouvrable à l'avance d'un paiement par prélèvement. Cela fonctionne bien.
[^] # Re: A quoi ça sert ?
Posté par Renault (site web personnel) . En réponse au journal Payer ses impôts en choisissant la date. Évalué à 7.
Tu confonds pas mal de choses.
Il y a le super-brut, le brut et le net.
Le super-brut c'est cotisation patronale + cotisation employé + salaire versé à la banque.
Le brut (celui défini dans les contrats de travail) est le même sans les cotisations patronales.
Le net c'est sans les cotisations.
Donc quand l'État baisse les charges sur les cotisations patronales, ce n'est pas ton salaire qui est abaissé. Le brut reste inchangé. Le super-brut quant à lui est plus faible.
Quand l'État baisse les charges sur les cotisations de l'employé, là non plus ton salaire brut n'est pas concerné. Bah oui, le brut est fixé dans ton contrat quelque soit la valeur de la cotisation. Par contre ton net augmente, car tes cotisations baissent pour un brut identique.
Tu peux raisonner dans l'autre sens quand c'est une augmentation des charges. C'est pareil.
Par contre il est illusoire de croire que de baisser / monter les charges n'ont pas d'impacts sur les recrutements ou les augmentations à venir.
[^] # Re: Et?
Posté par Renault (site web personnel) . En réponse au journal Payer ses impôts en choisissant la date. Évalué à 3.
Déjà testé et approuvé, on a 8 semaines je crois pour annuler un paiement SEPA et on peut révoquer l'autorisation dans la foulée. Simple et rapide.
[^] # Re: Mon positionnement
Posté par Renault (site web personnel) . En réponse au journal Le libre et l'expérience utilisateur. Évalué à 2.
Et du coup il faut mettre des if / else spécifiques pour chaque application, car la valeur de retour n'est plus normalisée.
[^] # Re: Un bogue
Posté par Renault (site web personnel) . En réponse à la dépêche Sortie du noyau Linux 4.9. Évalué à 3.
Bah non, tout ordinateur ayant un processeur un minimum évolué a un watchdog. IL est d'ailleurs probable que ton OS ait un processus noyau nommé wathdog/X pour gérer ça.
Dans les systèmes embarqués c’est également très courants, et tous les x86 en ont un aussi.
[^] # Re: Pour savoir où on met les pieds
Posté par Renault (site web personnel) . En réponse au journal Le libre et l'expérience utilisateur. Évalué à 6.
Cela me semble un peu bizarre comme comparaison.
Red Hat ne facture pas de la réalisation mais du support (même si les deux sont liés). Du coup cela ressemble à une facturation à la diffusion, mais pas totale : rien n'empêche de reprendre les réalisations libres de Red Hat, les recompiler et les diffuser gratuitement.
Comment tu fais du support avec le design ? C'est plutôt du one shot, avec des corrections par moment peut être mais tu factures par pallier pour la réalisation.
Ce sont des business models différents et difficilement transposables à n'importe qu'elle activité.
[^] # Re: discours et pratique
Posté par Renault (site web personnel) . En réponse au message Positionnement anti-Microsoft de JL Mélenchon. Évalué à 4.
S'il n'a pas conscience de ce qui se trame sur son site il est passif de fait. L'action signifierait qu'il en a conscience.
Il y a forcément des gens dans son équipe qui sont conscients de cela, mais si ce sont juste des sympathisants, ils n'ont peut être pas conscience du manque de cohérence.
Sauf que tout le monde sait chez la CGT ce qu'est le MEDEF. Cela n'a rien à voir avec l'usage d'outils dont la plupart des gens, même dans son équipe, ignorent ce dont tu parles. Tu fais comme si son équipe était composée d'experts idéologues sur le bout des doigts. Ce n'est pas forcément le cas.
Les experts qui connaissent tout ça n'existe pas. Il est fort probable que son entourage connaissent les LL, l'économie du numérique et de ses grands acteurs. Mais cela m'étonnerait qu'ils connaissent toutes les subtilités, qu'ils sachent comment l'identifier (à moins d'avoir un navigateur taillé pour ça, tu ignores si Google Analytics est actif sur un site) et de fait toutes les alternatives. Même dans les gens du milieu du libre ces alternatives ne sont pas répandues ou connues.
Bref, oui, je trouve que tu vas loin. Comme je le dis, le seul moyen de le savoir est de le signaler et de voir la réaction. En attendant, l'hypothèse de l'ignorance et de l'erreur est largement crédible ce qui selon moi remet en cause ce que tu lui portes.
[^] # Re: école d'ingénieur en 5 ans
Posté par Renault (site web personnel) . En réponse au message Étudiant Québécois. Évalué à 3.
Epitech n'est pas une école d'ingé selon la CTI et n'a pas de notions de prépa (ils ne font presque pas de science en 5 ans).
Je vais compléter un peu car si globalement c'est bien détaillé cela manque de détails.
Les BTS ou DUT (bac+2) sont très orientés vers la pratique. Cela à l'avantage de ne pas faire trop de cours en dehors de l'informatique mais cela te pénalise pour la poursuite d'études ou la carrière. Beaucoup de boîtes refusent en dessous de bac+5. Les bac+2 sont plus cantonnés à un rôle de techniciens ou d'exécutants (en gros pisser du code) que d'avoir la possibilité de concevoir l'architecture d'un logiciel et faire ses propres choix techniques et technologiques.
La licence, voire une licence pro sont des bac+3 et forcément plus théoriques. Mais là encore, cela reste assez sous valorisé dans de nombreuses boîtes. La licence pro est souvent choisie par les gens souhaitant s'arrêter à bac+3 pour travailler ensuite, souvent prisés par d'anciens étudiants de DUT ou BTS par ailleurs pour améliorer un peu leur CV et leur compétences.
Ensuite tu as le master ou l'école d'ingé pour l'ensemble. Les deux demandent une formation plus théorique à l'origine soit via une licence classique pour le master, ou via des classes préparatoires scientifiques pour les écoles d'ingé. Après rien n'empêche d'accéder à ces formations avec un BTS ou DUT en poche, mais cela est plus rare et difficile.
Les écoles d'ingés s'intègrent sur concours, chaque école n'ayant pas forcément le même concours que le voisin (certaines écoles se regroupent pour un concours commun, les plus prestigieuses ont souvent le leur). Ces concours se préparent en général sur 2 ou 3 ans. C'est globalement un concours très orienté autour des maths, physique ou de la chimie. Très très peu d'infos. L'info viendrait après.
Le master est un cursus universitaire. Le master est sans doute plus intéressant que l'école d'ingé si tu souhaites faire un doctorat ou de la recherche ensuite (bien que l'école d'ingé te permettent de poursuivre, cela reste moins adapté). Le master est à bien des égards plus théorique que l'école d'ingé. Car l'école d'ingé fait aussi beaucoup de langues (niveau d'anglais minimal requis en fin de formation), de social (management, gestion de projets) ou de stages (près de 9 mois de stage dont partiellement à l'étranger).
L'école d'ingé est du coup en France souvent prisé par les entreprises et mieux valorisés en terme de salaire (de manière sensible). De ce que j'ai compris, à l'étranger, à part les écoles très prestigieuses, ils s'en foutent. Très souvent le diplôme d'ingénieur (qui est protégé en France) n'est pas reconnu ainsi à l'étranger, mais juste comme un master. Et oui, en France beaucoup de boîtes accordent une grande importance au diplôme, outre si c'est ingé ou master, savoir de quel établissement tu viens.
Bref, toutes ces formations permettent de faire de l'info à la fin. La question est de savoir si :
[^] # Re: discours et pratique
Posté par Renault (site web personnel) . En réponse au message Positionnement anti-Microsoft de JL Mélenchon. Évalué à 6.
Bah je ne vais pas reprocher à Mélenchon de ne pas savoir que Google Analytics existe tu vois. Cela me paraît normal pour un politique et les personnes qui l'entourent qu'il ne soit pas au courant de cela.
Pour lui les GAFA ce sont les produits visibles pour le consommateur, leurs sites Web ou logiciels. Pas les trucs cachés dans une page Web. Tu crois que beaucoup savent qu'une bonne part des bénéfices d'Amazon vient de son service cloud et non des ventes d'objets ?
Bref, je suis moins exigent sur un politique sur ce genre de choses que sur Mozilla, le niveau des compétences est totalement différente sur le sujet.
La meilleure façon de le savoir est d'envoyer un courriel à son équipe de campagne pour le lui dire. S'ils répondent qu'ils en ont rien à foutre, c'est une promesse en l'air, sinon c'est une erreur sincère.
Je ne dis pas que la cohérence n'est pas importante, mais je ne l'accuserais pas d'être incohérent alors que c'est sans doute le fruit d'un choix qu'il ne connaît même pas. Et tant qu'on ne sera pas sûr qu'il soit au courant, je pars du principe que c'est une erreur (présomption d'innocence tout ça).
Ton style est plus proche du lynchage car tu sous-entends très clairement qu'il fait cela sciemment ce qui me paraît exagéré. Typiquement tu dis que Mélenchon participe activement dans l'espionnage massive. Justement, je dirais qu'il est au moins passif, au pire ignorant sur ce que les développeurs ont fait.
Bref, pointer l'incohérence oui, leur signaler aussi ok, mais insinuer que cela est fait activement cela me paraît de trop.
[^] # Re: discours et pratique
Posté par Renault (site web personnel) . En réponse au message Positionnement anti-Microsoft de JL Mélenchon. Évalué à 9.
Je crois que tu as confondu RMS avec Mélenchon.
Je ne sais pas comment a été conçu le site Web, mais je pense que Mélenchon ne sait pas comment fonctionne vraiment un site web, qu'il ignore l'existence même de Google Analytics ou de Diaspora*, qu'il ne sait pas ce qu'est un CDN ou un fichier CSS. Je pense qu'il est plus terre à terre et parle des LL dont il connaît les alternatives ou qu'il veut en concevoir avec l'aide de l'État.
Je ne suis pas fan de Mélenchon, mais voilà, c'est un politique, pas un informaticien. Il ne dit pas de conneries lors des discours là dessus et c'est déjà pas mal. Que son site Web ne soit pas en accord avec le discours est dommage mais ne mérite pas selon moi ton lynchage. Il est sans doute pas du tout au courant, envoie un courriel et peut être que ce sera corrigé. Peut être que pour des raisons de budgets, de temps et de compétences dans son équipe c'est comme ça que le site a été conçu.
Son entourage n'est pas je pense constitué de techniciens ou de passionnés. Ils ne peuvent pas se rendre compte de ce genre de choses ou n'en n'ont pas forcément non plus conscience de l'impact de tout ceci.
Ce n'est pas comparable avec ce qu'a fait Mozilla sur ses sites car Mozilla est un acteur reconnu du Web et sait pertinemment ce qu'il fait sur ses sites et des alternatives en vigueur. Tout comme RMS avec la FSF.
Je pense que ce qui est important sur la question c'est déjà d'amener le sujet dans la campagne et sans en dire trop de conneries. C'est déjà bien, cela fait une promotion importante sur ces idées, les concepts. C'est son rôle en tant que politique.
Plutôt que de le lyncher, faudrait peut être encourager les politiques à en parler sans se faire descendre toutes les 3 secondes. Et envoie un courriel listant les soucis à l'équipe de campagne, qui sait, le tir sera peut être rectifié. Peut être pas, mais au moins on saura que c'est volontaire ou secondaire pour lui.
[^] # Re: discours et pratique
Posté par Renault (site web personnel) . En réponse au message Positionnement anti-Microsoft de JL Mélenchon. Évalué à 8.
Faut-il toujours être pur quand on défend une idée ?
Ou est-ce interdit de défendre le bien être des animaux quand on mange de la viande ? De défendre l'écologie alors qu'on a une voiture ? Ou de défendre le Logiciel Libre alors qu'on utilise du proprio ?
Peut être qu'il est hypocrite, je n'en sais rien et honnêtement je m'en fou car ce n'est pas sur ce critère que je vais désigner le candidat dans l'urne mais sur bien d'autres tout aussi fondamentaux.
Mais il est clair qu'aujourd'hui Youtube, Facebook, Google+ ou Twitter permettent une grande visibilité médiatique sur Internet. Or, en politique si tu veux une chance de percer il faut communiquer le plus possible et atteindre un maximum de gens. Se passer de ces outils est risqué et c'est le meilleur moyen que finalement l'objet défendu ne soit jamais écouté.
Parfois, il faut mettre de côté les convictions si cela leur permet d'être mieux représentés ou défendus par après. Il y a des limites à cela bien évidemment, mais là je ne pense pas que ce soit le cas.
[^] # Re: Dockerfiles
Posté par Renault (site web personnel) . En réponse au journal La multiplicité des gestionnaires de paquets. Évalué à 2.
Soyons honnête, maintenir des équipements sur le réseau à jour, que ce soit pour les constructeur comme pour les utilisateurs, cela demande un investissement financier et temporel très important.
Comme je le disais ici, les équipements tu les achètes en one shot, tu ne peux pas garantir avec ce modèle économique des mises à jour régulière durant un temps raisonnable (pas juste une année quoi). On pourrait passer à un modèle de service, du genre tu payes un abonnement pour l'usage du produit, mais le tollé des consommateurs (et même des gens ici hein) vont râler car ce sera exorbitant.
De toute façon, pour limiter les attaques, le système doit être entretenu et géré convenablement. Tous les systèmes. Je suis désolé mais malgré tous les efforts du monde, Mme Michu n'est pas sys admin. Les objets connectés ne changent pas tellement la donne, son ordi, sa tablette ou son téléphone sont déjà des cibles pertinentes et malgré la proximité de ces objets elle ne sait pas les sécuriser correctement. Je ne vois donc pas ce que l'ajout des objets connectés dissimulés changent fondamentalement dans l'équation. Ou alors toute personne incompétente doit abandonner les objets connectés à Internet et utiliser des trucs maintenu par des pro ? Je ne souscris pas à cet élitisme.
Je te trouve très caricatural sur la question. Il y a des objets connectés utiles d'une part, certains dans un but professionnel. Remettre en question l'utilité d'un objet ne me semble pas pertinent. Après on peut avoir la fibre écologique sans aller jusqu'à l'extrême : je suis pour une réduction des déchets, de la consommation énergétique et tout mais pas à cet extrême là. J'ai une voiture et je m'en sers, cela ne m'empêche pas de faire des efforts à côté. J'estime important de se poser la question de ne pas racheter un objet neuf uniquement parce que son support est terminé alors que fonctionnellement il est bon. Sans pour autant renoncer à l'achat original. Cela ne rend pas la démarche incohérente.
Même avec un équipement officiellement maintenu, dans les faits ils sont vulnérables : failles non révélées mais exploitées, matériel / système gérés n'importe comment (les sys admins sont une part négligeable des utilisateurs des appareils reliés à Internet), etc. À t'écouter, on devrait arrêter d'utiliser Internet car forcément des machines vont tomber sous le jougs de personnes malveillantes (on n'a pas attendu les caméras de surveillance non maintenues pour faire des attaques d'envergure, des PCs de particulier c'est déjà bien). Je ne pense pas que de se débarrasser des objets connectés sur le réseau soit la bonne solution. Je pense surtout qu'il faut envisager la sécurité autrement : mettre des mécanismes de protections pour qu'une faille soit la moins impactant possible, mettre des protections d'accès aux objets disponibles sur le réseau et protéger les machines du dit réseau qui pourraient subir une attaque de la part de ceux qui sont vulnérables.
[^] # Re: Dockerfiles
Posté par Renault (site web personnel) . En réponse au journal La multiplicité des gestionnaires de paquets. Évalué à 3.
Et le support du matériel doit être illimité ?
Car maintenir tout un firmware potentiellement sur 10 ans, c'est très très cher, surtout s'il y a différents produits à maintenir et qu'ils ne peuvent pas supporter la montée en version (car pas assez puissant pour prendre en charge des composants trop récents).
Du coup cela signifie que tout doit être racheté régulièrement, ce qui coûte cher et n'est pas très écologique non plus.
[^] # Re: Virement bancaire
Posté par Renault (site web personnel) . En réponse au journal La première année de Liberapay. Évalué à 2.
Sauf que si on me pique mon téléphone, je suis au courant et je peux le signaler assez vite. La CB pas du tout car elle n'est pas en permanence sur moi.
Sans compter que mon téléphone est protégé au niveau accès, ce n'est pas trivial pour un voleur de lire mes SMS ou d'utiliser l'application de ma banque. D'autant que mon téléphone se verrouille en cas d'un nombre d'essais d'authentification trop élevé.
Qu'il faut toujours avoir sur soi (je pense surtout au boîter de la carte) ce qui est pénible (non, je ne mets pas ça dans ma sacoche, et je doute de la sécurité du machin en mettant le CB et le boîtier au même endroit en fait).
[^] # Re: Virement bancaire
Posté par Renault (site web personnel) . En réponse au journal La première année de Liberapay. Évalué à 2.
Chez moi c'est le cas.
Et si on vole ta CB et le boîtier, tu es marron. Avec un mot de passe non car il n'y a pas de lien entre le mot de passe et ta CB.
Bref, suffit de ne pas s'identifier dans des lieux publics, ou le faire discrètement (tu réduis la fenêtre et tu masques la vue).
Sinon cela change de place pour des raisons évidentes, si c'était au même endroit, un script quelconque pourrait deviner ton mot de passe à partir des coordonnées du clic. Heureusement qu'ils le font.
C'est suffisamment sécurisé, en tout cas jusqu'à aujourd'hui je n'ai pas entendu parler de cas d'identification frauduleuse sur le site bancaire à la place d'un autre de manière massive, simple et uniquement à distance.
Et je trouve cela bien moins contraignant que le lecteur de cartes pour les raisons que j'ai explicité. Pour les opérations sensibles tu as de toute façon une confirmation par code via SMS ce qui est je trouve bien sécurisé, simple et rapide. Car bon, saisir pendant 5 minutes des chiffres sur le boitier de commande pour ajouter un bénéficiaire de virement, c'est pénible. Le SMS c'est bien plus simple.
[^] # Re: Virement bancaire
Posté par Renault (site web personnel) . En réponse au journal La première année de Liberapay. Évalué à 2.
Ce qui est plus chiant car un mot de passe long et complexe favorise les erreurs de saisis ou l'oubli de quel mot de passe est utilisé pour ce compte.
Typiquement j'ai près d'une dizaine de mots de passe, je les connais tous par coeur mais je ne connais pas par coeur toutes les associations sites -> mot de passe. Entre les erreurs et les tentatives pour savoir lequel on a utilisé pour ce compte, cela pourrait être contraignant.
La probabilité de trouver en 3 essais les 6 chiffres est quand même faible, sur CB ou code PIN de téléphone ce n'est déjà pas évident alors que c'est souvent 4 chiffres.
Il s'allume facilement quand je le branche par USB, mais dans ce cas il faut utiliser la liaison USB pour les opérations et j'ai la flemme de configurer / installer un truc pour que cela fonctionne sous Linux.
Et sans le câble USB, je n'ai pas trouvé le moyen reproductible de le faire, parfois je dois faire autrement pour que cela fonctionne. C'est très curieux. Insérer la carte seulement ne suffit pas hélas. Bien que cela semble impératif (ce que je trouve con mais bon, car non documenté et pas intuitif).
Puis comme certaines opérations ne passent que par le boîtier, cela t'oblige à l'avoir sur toi. Notamment quand tu es en déplacement ce qui est je trouve contraignant (car on n'y pense pas forcément à l'avance, et que cela prend de la place malgré tout).
[^] # Re: DocBook n'est plus très populaire
Posté par Renault (site web personnel) . En réponse au journal DocBook ou l'art d'écrire de la documentation. Évalué à 2.
Bah justement, c'est super pertinent pour les fichiers de confs un peu complexes où tu souhaites t'assurer que tous les champs sont bien saisis et renseignés comme prévu.
C'est assez puissant pour ce genre de cas d'usages.
[^] # Re: Virement bancaire
Posté par Renault (site web personnel) . En réponse au journal La première année de Liberapay. Évalué à 2.
Ça dépend de la banque en France. Avec Boursorama (sur Internet) c'est très rapide par exemple. Je ne trouve pas cela très différent que Belfius sur ce point.
Mouais, je pense que c'est bien suffisant et à le mérite de ne pas être trop chiant (non, honnêtement, le lecteur de carte de Belfius c'est juste insupportable de l'utiliser systématiquement).
Boursorama demande de valider via un code envoyé par SMS. Plus simple et rapide je trouve que le lecteur de carte et cela me semble suffisamment sécurisé.
[^] # Re: Virement bancaire
Posté par Renault (site web personnel) . En réponse au journal La première année de Liberapay. Évalué à 2.
Avec un nombre limité d'essais (en général 3), cela me paraît plus sécurisé qu'un mot de passe très long avec tentatives illimitées. ;)
Et surtout cela permet à la banque et à l'utilisateur de voir que quelque chose anormal se passe si les 3 essais ont été épuisés.
Bah moi je n'aime pas du tout.
Je me suis installé en Belgique il y a peu et globalement elles semblent utiliser ces procédures ici. C'est très contraignant pour un gain en sécurité que je n'estime pas énorme (c'est mieux, mais je pense que la situation d'avant était acceptable). Je préfère utiliser l'application mobile qui ne requiert qu'un mot de passe que de passer par le site Web qui me demande ces démarches. Surtout qu'en plus je galère à allumer le dit boîtier (et le manuel d'utilisation n'est pas très explicite).
[^] # Re: La commission casse les prix des télécoms
Posté par Renault (site web personnel) . En réponse au journal Govtracker - liste de décisions gouvernementales. Évalué à 3.
Les prix de l'itinérance que tu cites sont ceux de gros, entre opérateurs. Pour le consommateur ce sera gratuit dès juin 2017.
[^] # Re: Illustration
Posté par Renault (site web personnel) . En réponse au journal De l'importance (des tests réguliers) des sauvegardes. Évalué à 5.
En l’occurrence dans un avion la redondance doit se faire avec des équipes / entreprises différentes et bien sûre la question des risques liés aux technologies employés de chaque côté est analysé pour pas que ce soit fait pour rien. ;-)
Cela ne résout pas tous les soucis, mais un bon paquet quand même.
[^] # Re: Dockerfiles
Posté par Renault (site web personnel) . En réponse au journal La multiplicité des gestionnaires de paquets. Évalué à 3.
Je te rappelle que c'est toi qui a commencé l'enfilade en me demandant pourquoi j'utilise ça et que tu essayes de me dire que c'est une mauvaise solution.
Précise-le que tu parles de ton cas depuis le début, car honnêtement vu comment le fil a débuté, je ne trouve pas cela évident que tu ne souhaites pas ces solutions chez toi.
Pourtant la plupart des machines de ce monde ne sont pas maintenus par des professionnels, voire pas du tout en fait, loin de là et vont aussi sur Internet. Devons-nous couper l'accès à Internet à tous ces négligeant sur ce prétexte ?
Ce n'est vraiment pas spécifique au monde des objets connectés, le problème existe depuis longtemps. Et gage aux responsables de ces gros systèmes de trouver une parade pour se protéger. Car avant que tous les ordinateurs reliés au Net soient sécurisés pour éviter le botnet, tu peux rêver longtemps. Cela ne signifie pas pour autant que la sécurité des objets connectés ne doit pas exister.
[^] # Re: Dockerfiles
Posté par Renault (site web personnel) . En réponse au journal La multiplicité des gestionnaires de paquets. Évalué à 3.
Je peux te dire que j'en développé aussi qui n'ont pas besoin de réseaux, et des tas de programmes qui sont soient dans des labos (tu sais, le programme pour manipuler l'instrument de mesure super cher mais dont seul l'ordi qui y est branché y a accès, pas de réseau) ou même dans les entreprises (bancs d'essais par exemple).
Pas toutes les machines ne sont reliés au réseau interne de la structure. Ou ont un réseau dédié qui ne risque rien. Après si tu as peur de l'attaque par accès physique, on n'y peux plus grand chose.
Oui, mais il faut programmer ces machins avec des technos hyper anciennes. D'où l'intérêt d'avoir la possibilité d'un environnement de travail différent que celui que propose ta distribution.
Utiliser un langage que peu de monde connaissent, sur des applications ayant souvent un lourd héritage technique et qui en plus souffre des limitations de son époque, c'est augmenter le risque qu'un problème soit présent dans le système.
Et non la sécurité ne repose pas que sur le fait d'être à jour, je dirais même qu'une bonne sécurité doit prendre en compte l'exploitation d'une faille quelconque pour en limiter ses conséquences. C'est d'ailleurs ce qui se fait en embarqué souvent pour pallier le manque de possibilités pour mettre à jour le système. Genre signature des firmware, cryptographie dans les communications, cloisonnement des applications, réduction des applications au strict minimum ou encore firmware en lecture seule seulement.
Je trouve que tu mélanges beaucoup de choses en sécurité.
La sécurité absolue n'existe pas, d'abord, il me semble illusoire de vouloir l'atteindre systématiquement.
Ensuite, ce n'est pas parce qu'ils sont sur le même réseau que tout doit être sécurisé de la même façon. J'espère bien que l'interface Web de ma banque est bien plus sécurisée que les accès à Linuxfr. Pourtant ils sont sur le même réseau. Et si Linuxfr se fait niquer, honnêtement je m'en fiche (je serais déçu mais ça serait supportable), ma banque pas vraiment.
Donc les objets connectés n'ont pas à avoir la même sécurité que l'application de ta banque, que les accès depuis l'extérieur aux données sensibles d'une grande structure via un VPN, etc. Cela ne signifie pas qu'il ne faut pas traiter la question, mais tu ne peux pas en exiger la même chose. Cela n'a pas d'intérêt.
[^] # Re: Dockerfiles
Posté par Renault (site web personnel) . En réponse au journal La multiplicité des gestionnaires de paquets. Évalué à 4.
Ça me paraît un poil exagéré.
Les applications lourdes sur chaque poste de travail, les applications d'entreprises non visibles de l'extérieur sans oublier les systèmes embarqués existent et je pense que l'ensemble surpasse ce que tu décris en quantité.
Il n'y a pas que les développeurs embarqués hein… Tout développeur peut être confronté à une situation où un Docker est bien utile pour reproduire localement un environnement de développement ou de tests. Cela n'a peut être pas été ton cas, mais je t'assure que cela arrive très souvent. Je dirais même que c'est une bonne pratique pour reproduire au mieux l'application sur l'environnement cible (comme un serveur) sans pour autant avoir le même système.
Des ordinateurs en entreprises qui ont des fonctions très minimalistes et sans accès au net, il y en a une armée dans la nature.
Je ne sais pas où tu bosses, mais cette situation est très fréquente. Tu as déjà été dans un labo de recherches aussi ? Tu en pleurerais vu ce que tu dis ici.
Ils utilisent aussi une machine à café, un lave linge ou lave vaisselle, une télé ou un téléphone… Qui ont été programmés par quelqu'un.
Bref, oui pas mal de gens utilisent ce que tu dis, mais ce n'est que la partie émergée des applications existantes et utilisées au quotidien aujourd'hui.
Mais même pour ton cas général ceux qui le développent ont intérêt à utiliser Docker. Il est même probable qu'ils le fassent sans que tu ne le saches.
Tu sais que les banques et assurances, ces grosses structure, ont beaucoup de code écrit en COBOL ? Tu sais, ce langage hyper moderne et probablement hyper sécurisé.
Je doute que la sécurité des applications qu'ils manipulent reposent uniquement sur la mise à jour du système. Je suis convaincu qu'ils ont beaucoup de choses dans leur infrastructure pour que si faille il y a l'impact soit la plus faible possible.
Pour beaucoup de services la coupure peut coûter plus cher que de laisser tourner malgré les failles (cela dépend évidemment de ce que fait l'application et la machine hein).
Propose mieux.
La question de la sécurité des applications embarquées est fondamentale, mais il faut comprendre que ses contraintes font que les raisonnements provenant de développement d'applications dans une infra haute disponibilité ne tiennent pas.
On parle de produits qui ont les caractéristiques suivantes :
Car bon, pour les applications Web ou d'entreprise, comme le développement est continue sur des années, les rentrées d'argent sont aussi continues. Tu peux mettre à jour l'infra aussi pour tenir compte du fait qu'avec le temps un logiciel (et ses dépendances) prennent du poids.
Un système embarqué, en général tu le payes une fois à l'achat. Le constructeur ne te vend pas pour ce prix un support illimité (même MS, RH ou Apple ne proposent pas ça pour leur OS). Pourtant moult appareils embarqués tiennent bien au delà des espérances et au delà parfois de la vie de leur propre fabricant. Ton application de la banque, elle va évoluer tant qu'il y a des clients et que la banque est en vie. Et elle peut facilement le faire et facturer tout ça tout le long. Et quand la banque meurt, le service avec donc pas de soucis. Ce raisonnement ne peut pas marcher avec un système embarqué où le constructeur peut disparaître alors que des produits tournent encore, et dont la maintenance pendant 20 ans n'est pas compatible avec une seule facturation du produit (ou alors ce sera exorbitant).
Puis il faut comprendre comment fonctionne le doux univers du matériel. Qualcomm par exemple te sort une puce en 2015. Pour pouvoir l'exploiter et le vendre, ils conçoivent ce que l'on appelle le BSP, qui contient en gros un noyau, un chargeur de démarrage, des bibliothèques, firmwares ou applications pour l'exploiter. Pour des raisons de propriétés intellectuelles et économiques, ils ne maintiennent que très peu le dit BSP.
Les patchs sont de mauvaise qualité, impossible d'envoyer upstream (et si tu essayes de le corriger toi, le processeur ne sera plus vendu quand tu auras fini) et le constructeur s'en fout. Dans 2 ans, il vendra un nouveau modèle, donc quel intérêt il a à porter ses patchs de versions en versions de Linux si peu de temps après son premier jet il fera autre chose ?
On râle, on râle, mais ça ne fait rien changer à l'affaire. J'aimerais aussi que ce soit autrement. De toute façon si on les contraint à faire cette qualité, ça va faire monter les prix des consommables. Et pas mal de gens n'en voudraient pas à un tel prix. Surtout qu'on parle de systèmes peu évolutifs, dont globalement l'application est faite une fois et les mises à jour très rares car difficiles voire impossibles.
Économiquement, il y a donc un soucis pour un support de sécurité pour ces appareils, il y a donc aussi des contraintes techniques, qui rendent ce qui est banal ailleurs en terme de bonnes pratiques, très difficiles à mettre en œuvre.
Je ne rêve pas de cette situation et oui, il y a des discussions en cours sur le sujet qui est bouillonnant. Faut pas croire que c'est un soucis simple à régler et qu'il suffit de faire une application portable ou maintenable pour résoudre tous les cas de figures. Faut pas croire que tout le monde s'en fout. Mais on ne peut pas en l'état actuel des choses garantir la même sécurité à l'application de la banque et de ta lampe connectée.
[^] # Re: Dockerfiles
Posté par Renault (site web personnel) . En réponse au journal La multiplicité des gestionnaires de paquets. Évalué à 4.
Cas particulier + cas particulier + …
Pour moi, ce ne sont plus des cas particuliers, à la fin cela représente un taux non négligeable.
Tu sais il y a pas mal d'applications qui restent en vie très longtemps, plus longtemps que plusieurs versions de PHP ou de Python. Quand c'est un peu gros, la transition n'est pas immédiate. Donc tu peux avoir une application qui tourne mais avec des solutions obsolètes oui. On fait quoi dans ce cas ? On coupe tout ?
Les développeurs ne sont qu'un cas particulier ? En fait c'est quoi ton cas général car ça commence à faire beaucoup.
Quand ton langage change de syntaxe ou d'écosystème, le portage n'est pas trivial. 10 ans après le début de Python 3 de nombreuses applications n'en ont pas fini avec Python 2 encore (près de 33% des applications ayant une dépendance avec Python dans Fedora dépendent de Python 2). Quand ton compilateur change les normes par défaut ce qui flingue certains codes aux comportements anciens dont tu n'as pas toujours le plein contrôle tu ne peux pas le prévoir non plus.
Tu peux faire la portabilité maximale que tu ne peux pas te prémunir de ce genre de changements.
Pas du tout, je viens de te montrer que le reste de l'informatique aussi était concernée par ces questions (moins, mais quand même). Je l'ai vu en vrai ces situations aussi. Les applications ne sont pas tous des Hello world à porter tu sais.
On parle d'offrir le choix aux utilisateurs d'utiliser le dépôt ou les applications tout en un et toi tu me parles de serveurs ? Je comprends pourquoi tu me réponds à côté aussi.