Appel aux dons pour OpenBSD

Posté par  . Modéré par rootix.
Étiquettes :
26
25
fév.
2009
OpenBSD
L'équipe du projet OpenBSD est à la recherche de financement pour améliorer leur infrastructure vieillissante.

Deux nouveaux routeurs BGP (dont un de secours) sont nécessaires pour pouvoir moderniser l'architecture réseau. Des serveurs bas de gamme comme les Dell R200 seront parfaits pour cette tâche. Le prix de ces serveurs est d'environ 1000$ pièce. Le remplacement du serveur CVS est un tout petit peu moins urgent mais la machine actuelle a fait son temps et a besoin d'être remplacée. C'est une tâche gourmande en ressources, particulièrement en ce qui concerne les systèmes de stockage. Les développeurs souhaitent acquérir un serveur Dell PowerEdge 2950 III, dont le prix est évalué à 7000$.

Les personnes et entreprises utilisant OpenBSD ou ses dérivés (comme OpenSSH ou OpenBGPD) sont encouragées à aider les développeurs en faisant des dons. La pérennité du projet est remise en cause par les faiblesses de l'infrastructure actuelle.

Les dons peuvent être envoyés via PayPal. Les entreprises peuvent participer par le biais de la fondation OpenBSD. Si vous souhaitez que votre don soit attribué à une de ces deux actions en particulier, pensez à indiquer BGP ou CVS lors de l'envoi. Vous pouvez prendre contact avec Marco Peereboom (marco@) pour obtenir plus d'information. En marge de cette annonce, Robert Nagy (robert@), qui s'occupe notamment du port d'OpenOffice.org cherche à acquérir une nouvelle machine. La machine actuelle prend plus de 12 heures pour builder le port et Robert ne peut pas la laisser fonctionner plus longtemps. Il cherche à s'équiper d'un machine un peu plus moderne, équipée avec un processeur Dual ou Quad Core. Robert a reçu une proposition pour héberger une machine d'1U gratuitement.

Les dons peuvent être envoyés à robert@openbsd.org via PayPal.

Aller plus loin

  • # On n'est pas vendredi mais ...

    Posté par  (site web personnel) . Évalué à -7.

    OpenBSD, c'est pas ceux qui ont plein de tunes à claquer pour faire des affiches, de t-shirts, des stickers, des CDs classe, des peluches, des chansons etc. ?

    C'est sur qu'on est loin du despote multi-millionnaire, mais quand même ...

    (Amis BSDistes, vous pouvez me moinsser, je ne pourrai pas vous en vouloir : il est velu celui là)
  • # particuliers

    Posté par  (site web personnel) . Évalué à 10.

    Pour les particuliers souhaitant participer, ce n' est pas la même échelle financière, certes. Mais si vous souahitez faire un geste pour OpenBSD, en plus de PayPal, il y a aussi la possibilités d' acquérir les boites avec les supports d' installation.
    N' hésitez pas, elles sont vraiment sympas et vous ferez une (petite mais) bonne action.

    -> http://openbsd.org/orders.html

    Des goodies (t-shirts, etc) sont dispo ici :
    http://openbsd.org/tshirts.html

    Enfin, vous trouverez certainement dans votre ville un relais OpenBSD (par exemple à Toulouse tout le monde connait la petite librairie proche du Capitole ;) )

    Cdlt.
    • [^] # Re: particuliers

      Posté par  . Évalué à 4.

      Enfin, vous trouverez certainement dans votre ville un relais OpenBSD (par exemple à Toulouse tout le monde connait la petite librairie proche du Capitole ;) )

      Ben, justement non !
      • [^] # Re: particuliers

        Posté par  . Évalué à 2.

        Ca m'intéresse aussi de savoir de quelle libraire il s'agit...
        • [^] # Re: particuliers

          Posté par  . Évalué à 5.

          J'imagine que tankey parle de la librairie du Capitole, 3 rue des lois (à 50 m de la place du Capitole). Le rayon informatique est intéressant, et le librairie super sympa. Le must sur Toulouse.
  • # PayPal... et autre ?

    Posté par  (site web personnel) . Évalué à 6.

    Je présume que les dons peuvent se faire autrement que par PayPal, comme indiqué sur le site d'OpenBSD ?

    http://www.openbsd.org/fr/donations.html

    Les chèques iront bien financer l'achat de serveurs et non des tonneaux de bière-à-lutin ?
    • [^] # Re: PayPal... et autre ?

      Posté par  . Évalué à 4.

      J'avoue que je ne me suis pas posé la question mais j'imagine que oui. Tu peux toujours prendre contact avec Marco Peerebom si tu veux être sur. N'hésite pas à me contacter si tu as besoin d'un traducteur.
  • # QQs détails

    Posté par  . Évalué à 10.

    Tant qu'on y est, j'aurai besoin d'un macppc petit & rapide (ie. un macmini g4) pour des builds/tests de ports aussi... jusqu'ici j'arrive à faire i386/amd64/alpha/sparc64, mais il me reste des bugs étranges sur ppc (en particulier dans webkit, qui prend aussi ~10h à builder)

    Si vous en avez un et qu'il idle sous un bureau, faire offre à landry@ - je sais que ca se trouve à ~200€ sur ebay, mais j'ai pas vraiment les moyens en ce moment.

    Au passage, grâce aux dons de ce style, il y aura bientôt un nouveau miroir FR - les actuels sont trop rares, et la plupart peu maintenus pour ce qui est des snapshots.

    Ah, et pour ceux qui se demandent pourquoi une machine à 7000$ pour CVS : la machine est sous pression constante, sert des GO d'octets via NFS (les builds des snapshots sont faits sur un partage NFS à partir des machines de build de chaque architecture), sert de point de départ pour le premier miroir ftp, et bien d'autres trucs encore - on peut difficilement faire tout ca avec une épave montée avec des pièces de récup.
    • [^] # Re: QQs détails

      Posté par  (site web personnel) . Évalué à 10.

      J'ai un ibook G4 12" 1GHz avec 256Mo de Ram qui traîne effectivement sous mon bureau, carte xtreme airport. Seul souci les enceintes sont niquées. Petit plus il a déjà les autocollants Open sur la coque. Comme j'ai beaucoup utilisé ton ancien mirroir, je te le céderai avec plaisir :-).
    • [^] # Re: QQs détails

      Posté par  (site web personnel) . Évalué à 1.

      je crois que j'ai cela sous le coude avec juste un disque dur neuf à installer (car le précédent avait planté, j'ai racheté mais jamais eu le temps de le réinstaller)
      • [^] # Re: QQs détails

        Posté par  . Évalué à 1.

        Hello,

        dans tout les cas ca m'intéresse, si ce n'est pas moi qui en bénéficierai directement c'est un autre membre du projet qui s'en servira. Si il ne vous sert plus...

        Landry
        • [^] # Re: QQs détails

          Posté par  . Évalué à 3.

          Tu veux t'en servir pour toaster des petits enfants au petit déjeuner, avoue !
          • [^] # Re: QQs détails

            Posté par  . Évalué à 2.

            C'est ignoble, c'est immonde, c'est dégueulasse, c'est... Les mots me manquent !!!







            Les petits enfants, c'est bon que si on les fait au barbecue...
  • # «Builder» ?

    Posté par  (site web personnel) . Évalué à 9.

    Et que reproche-t-on à «construire» ?
    • [^] # Re: «Builder» ?

      Posté par  (site web personnel) . Évalué à 3.

      ... qu'il faut plus de temps pour comprendre ce que ça veut dire que "builder".
      "Compiler" à la rigueur, mais "construire" n'est pas une traduction sérieuse.

      Traduire n'est intéressant que si le résultat est aussi compréhensible que l'original.
      • [^] # Re: «Builder» ?

        Posté par  . Évalué à 4.

        Avec "compiler" on perd une partie du sens: création de l'arborescence, création du paquet.
  • # don

    Posté par  . Évalué à 10.

    Bon et bien je vais donner sans hésiter pour soutenir ce magnifique projet, qui par ailleurs est une des composantes de mon activité professionnelle.

    C'est donc bien normal de rendre à des projets qui contribue à me faire vivre.
  • # Les entreprises payent ?

    Posté par  . Évalué à 8.

    Je me pose souvent une question et cette dépêche vient à point nommé : les entreprises qui profitent (n'y voyez rien de péjoratif dans ce verbe) du libre (GPL, BSD, ...) mettent-elles la main au porte-feuille ?
    Je pense notamment à celles qui utilisent voire commercialisent des logiciels comme OpenSSH...

    Peut-être y aurait-il une campagne à faire à ce sujet, sur le thème : "vous appréciez OpenSSH ? Contribuez pour continuer à le voir évoluer"
    • [^] # Re: Les entreprises payent ?

      Posté par  . Évalué à 2.

      Héhé justement Théo de Raadt, le chef de projet d'OpenBSD, s'était déjà plaint que les sociétés comme Novell, Cisco, IBM et surtout Sun n'était pas de bon donateurs.

      Théo de Raadt avait même avancé que si une faille de sécurité quelconque était détectée dans le projet OpenSSH, il ne préviendrait pas Sun pour son clone SunSSH qui aurait donc la même faille.

      Par contre la fondation Mozilla n'a pas hésité à aider le projet en 2006 :) Qu'est-ce qu'on ferait sans elle ? (Source: http://osnews.com/story/14221 ).
    • [^] # Re: Les entreprises payent ?

      Posté par  . Évalué à 1.

      C'est intéressant de soulever ce problème. Non, je ne crois pas que bcp d'entreprises payent ! :(

      Je crois que le libre ne communique pas assez et que souvent les décisionnaires ignorent l'importance des outils libres utilisés dans leur SI.

      J'ai bien essayé d'en parler quelques fois à des employeurs qui me demandaient de monter des plate-formes 100% libres... ou plutôt gratuites.

      C'est tout ce qui les intéresse et malheureusement mes suggestions ont toujours été éludées ou pas prises au sérieux.

      Pour ma part, ce type de comportement me révulse. C'est un manque de respect, voire de la malhonnêteté...

      J'ai souvent envie de leur dire de se débrouiller avec des logiciels propriétaires qu'on rigole, mais à part ça (et me faire virer) que faire ?
      • [^] # Re: Les entreprises payent ?

        Posté par  . Évalué à 8.

        Dans la limite des prix du marché, peut-être que tu pourrais augmenter un peu le tarif de ta prestation et reverser cette augmentation aux projets que tu utilises ?
        • [^] # Re: Les entreprises payent ?

          Posté par  . Évalué à 3.

          Oui c'est une solution. C'est déjà ce que je fait un petit peu, indirectement.

          Mais c'est quand même pas l'idéal :
          - cela n'améliore en rien la prise de conscience des managers
          - une fois que les solutions sont "posées", ce n'est plus moi qui la fait vivre : le minimum serait un versement régulier, chaque année par exe.
      • [^] # Re: Les entreprises payent ?

        Posté par  (site web personnel) . Évalué à 10.

        C'est un manque de respect, voire de la malhonnêteté...

        Respect, OK (et encore : je respecte 100% de leur positions en ne payant rien du tout, c'est dans l'esprit de la BSD).
        Mais dit-moi, pourquoi malhonnêteté? Le contrat est respecté, sans même de bidouille, c'est les développeurs qui ont décidé d'eux-même du contrat.

        Ne pas payer un produit qu'on t'offre est 100% honnête, 0% malhonnête... Ne mélangeons pas les termes!
        Si les développeurs trouvent que la licence ne convient pas, ils peuvent la changer.

        Le libre a beaucoup d'intégristes, y compris des gens qui accusent les autres de ne pas contribuer/payer alors qu'ils ont explicitement dit que le libre c'est justement la liberté de faire ou ne pas faire ce genre de chose, la malhonnêteté et le manque de respect est de mon point de vue du côté des gens qui diffusent sous une licence (le "contrat") et qui ensuite se plaignent que les gens ne fassent pas plus que le "contrat". Ce n'est peut-être pas sympa, mais pas ici de question de non respect (l'idée du contrat est respecté) ni de malhonnêteté (le contrat est textuellement respecté)
        • [^] # Re: Les entreprises payent ?

          Posté par  . Évalué à 3.

          Je comprends ton point de vue.

          Mais je voulais plutôt parler de malhonnêteté morale que de juridique.

          J'estime que quand on a les moyens financiers, et la conscience du travail des autres et d'en profiter, alors on doit faire un geste même si on est libre de ne pas le faire.

          Enfin, c'est une question de conscience...
          • [^] # Re: Les entreprises payent ?

            Posté par  . Évalué à 0.

            Tu parles de conscience et d'entreprise dans la meme phrase, c'est la que cloche ton raisonnement.....

            En pratique, n'oublions pas non plus que certaines sociétés contribuent aussi d'autres facons, comme par exemple le don direct de matériel, ou le report de fixes, développements, etc... aux projets, y compris quand il s'agit de projets sous licence BSD (parceque bon, se vanter qu'on contribue à un soft sous GPL, alors qu'on ne fait que se conformer à la licence.....).

            Et généralement, au moins pour la partie "report de code", l'aspect "bonne conscience" et moralité est peu/pas évoqué pour obtenir un Ok de la direction......
    • [^] # Re: Les entreprises payent ?

      Posté par  . Évalué à 3.

      > [...] les entreprises qui profitent [...] du libre (GPL, BSD, ...) mettent-elles la main au porte-feuille ?

      C'est difficile à dire. OpenBSD recense les différentes personnes (morales ou physiques) qui ont donné au projet: http://www.openbsd.org/donations.html
      On y trouve quelques grandes sociétés (Ernst & Young, Compaq, Tekram) mais comme il est possible de demander à ne pas apparaitre sur cette page, c'est un peu compliqué de dire qui donne réellement...

      >Je pense notamment à celles qui utilisent voire commercialisent des logiciels comme OpenSSH...
      Theo de Raadt avait répondu à une interview sur OSNews: http://www.linux.com/articles/53004
      Le dernier paragraphe est assez explicite. (Pour les anglophobes, Tristan Nitot avait traduit le paragraphe correspondant sur son site perso: http://standblog.org/blog/post/2006/04/05/93114733-mozilla-f(...) )


      >Peut-être y aurait-il une campagne à faire à ce sujet, sur le thème : "vous appréciez OpenSSH ? Contribuez pour continuer à le voir évoluer"
      Des annonces de ce genre sont faites régulièrement sur les listes de diffusion ou sur des sites comme undeadly ( http://www.undeadly.org ).
      Il me semble que le don de la fondation Mozilla avait été fait suite à une de ces annonces...
      • [^] # Re: Les entreprises payent ?

        Posté par  (site web personnel) . Évalué à 2.

        C'était surtout un coup de gueule de Theo qui a provoqué la donation de la fondation Mozilla. A l'époque le projet avait besoin de 40000$ si je me souvient bien pour subvenir à ses besoins et Theo via undeadly.org avait poussé sa gueulante contre toutes les entreprises qui utilise OpenSSH, OpenSSL, OpenBGP et autre sans jamais reverser un centime. La fondation Mozilla qui brasse des millions était donc dans les premiers visé par cette annonce (OpenSSL est utilisé dans tout leur produit) et avait donné une somme assez conséquente (10000$ si je me souvient bien).
        • [^] # Re: Les entreprises payent ?

          Posté par  (site web personnel) . Évalué à 10.

          On le voit souvent, mais il faut le rappeler : OpenSSL n'appartient pas au projet OpenBSD.
        • [^] # Re: Les entreprises payent ?

          Posté par  . Évalué à 3.

          Theo via undeadly.org avait poussé sa gueulante contre toutes les entreprises qui utilise OpenSSH, OpenSSL, OpenBGP et autre sans jamais reverser un centime.

          Là il y a vraiment quelque chose que j'ai du mal à comprendre.

          Le principe du Libre, c'est de pouvoir utiliser des logiciels sans restrictions. C'est garanti par les 4 libertés fondamentales du Logiciel Libre (ou l'une des 10 clauses de l'Open Source selon l'OSI).

          À partir du moment où on a décidé de faire progresser l'humanité (et c'est comme ça que je considère personnellement le Logiciel Libre), on joue le jeu.

          Je comprends l'action des mecs de netfilter et de busybox qui attaquent les entreprises qui ne jouent pas le jeu de la GPL, parce que ça ne participe pas à l'augmentation de la connaissance et à la diffusion des idées. Mais ils ne se plaignent pas, à ma connaissance, du manque de retour financier.

          Ici, c'est encore pire. Souvent les adeptes de la BSD reprochent aux licences copyleftés d'être trop restrictives et pas assez libre. Par contre d'un autre côté, s'ils ne demandent pas de retour de code, ils demandent un retour financier ?


          Vraiment, je ne suis pas convaincu là.
          • [^] # Re: Les entreprises payent ?

            Posté par  . Évalué à 4.

            Effectivement, OpenBSD ne pose quasiment pas de contraintes sur l'utilisation de ses logiciels, mais je crois que moi aussi je serais désespéré si je voyais tout le monde se servir de mes logiciels, se faire du blé avec, et moi en train de galérer pour pouvoir me payer du nouveau matériel pour continuer à développer ces mêmes logiciels.

            C'est sûr que la licence BSD est un choix dissuasif pour les entreprises, qui ne voudraient probablement pas que leur R&D serve et soit reprise par leurs concurrents, sans avoir eux aussi à avoir l'obligation légale de faire de jouer le jeu.
            • [^] # Re: Les entreprises payent ?

              Posté par  (site web personnel) . Évalué à 10.

              je serais désespéré si je voyais tout le monde se servir de mes logiciels, se faire du blé avec, et moi en train de galérer pour pouvoir me payer du nouveau matériel pour continuer à développer ces mêmes logiciels

              Mais pourquoi serais-tu désespéré? Tu dis au gens "servez-vous" et ils se servent, et tu n'es pas content?
              Faut choisir et assumer ensuite! Si tu es désespéré, tu change de licence, et c'est réglé. Si tu ne le fais pas, c'est que tu considère que la règle que tu donnes est la bonne (c'est toi qui l'a donne!).

              Non, désolé, on n'a pas le droit d'être désespéré quand c'est nous-même qui donnons les règles du jeu et que les gens en face la respecte.
              Il est légitime d'être désespéré si quelqu'un se fait du fric en violant la licence, il est illégitime d'être désespéré si quelqu'un se fait du fric en respectant la licence
              • [^] # Re: Les entreprises payent ?

                Posté par  . Évalué à 2.

                C'est du même ordre que lorsque tu donnes à quelqu'un quelque chose sans rien demander en échange et qu'on te dit « merci connard ». Je ne sais pas toi, mais moi j'aurais les boules.

                Les contraintes de la GPL sont d'ordre juridique, celles de la BSD d'ordre moral. Effectivement, on peut respecter la BSD et les valeurs qu'elle prône à la lettre, sans rien donner en échange, c'est le contrat de base. Après, c'est une question de « conscience » : tu te fais 1 M€ grâce à OpenSSH, tu peux bien refiler 10 k€ à ceux qui ont permis ça, non ? Personnellement, après avoir utilisé pendant un moment OpenBSD 4.4 avec une ISO gravée, j'ai acheté la version « boîte », non pas pour les stickers ou le joli boîtier, mais simplement pour redonner un peu d'argent en retour. À quoi va servir l'argent ? À permettre à d'autres d'avoir OpenBSD grâce à la bande passante ou aux serveurs, permettre le développement de nouveaux drivers grâce au matériel acheté, etc.

                Et les développeurs d'OpenBSD assument pleinement leurs choix, je pense qu'ils préfèrent largement cette situation à une situation où ils devraient sacrifier leur liberté.
                • [^] # Re: Les entreprises payent ?

                  Posté par  (site web personnel) . Évalué à 4.

                  C'est du même ordre que lorsque tu donnes à quelqu'un quelque chose sans rien demander en échange et qu'on te dit « merci connard ».

                  Ah OK, on n'a pas du tout la même vision.
                  Moi je vois plutôt ça comme ça : je donnes quelque chose à quelqu'un sans rien demander, en échange on me dit merci ou rien, et après je dis "eh connard je te l'ai donné, mais j'attendais du fric en retour, c'était pas vraiment donné en fait, j'attendais quelque chose de ta part".

                  Le "connard" tu le places sur celui qui reçoit, je le place sur celui qui donne sans donner dans l'esprit d'une donation.

                  Si pour toi ne pas donner d'argent à quelqu'un qui te donnes quelque chose est insulter les gens, nous avons une divergence de point de vue à la base, sans même parler du libre. Ne me donnes jamais quelque chose, je douterai que tu veuilles quelque chose en retour...
                  • [^] # Re: Les entreprises payent ?

                    Posté par  . Évalué à 7.

                    C'est surtout idiot de la part des entreprises utilisant des outils libres de ne pas les soutenir lorsqu'ils en ont vraiment besoin et que leur développement en dépend. Ces entreprises seront dans de beaux draps si les outils sont mal maintenus, que des failles ne sont plus corrigées, etc. et ca leur coutera à terme plus cher.

                    En gros, contrat moral non respecté, même si le contrat juridique l'est, et comportement parasite stupide contre l'intérêt commun bien compris.
                  • [^] # Re: Les entreprises payent ?

                    Posté par  . Évalué à 3.

                    Ce n'est pas une question de licence. Un projet de la taille d'OpenBSD a besoin de ressources pour fonctionner. L'infrastructure d'OpenBSD ne vit que par les dons et les ventes de CDs qui servent à acheter du matos pour les développeurs qui en ont besoin, financer certains évènements (les « hackatons »), payer la facture d'électricité des serveurs du projets, renouveler les serveurs... Tous ça, ça coûte de sous.

                    Il est important de le rappeler de temps en temps si les gens veulent que le projet continue (et qu'ils ne l'oublient pas).
                • [^] # Re: Les entreprises payent ?

                  Posté par  . Évalué à 8.

                  C'est du même ordre que lorsque tu donnes à quelqu'un quelque chose sans rien demander en échange et qu'on te dit « merci connard ». Je ne sais pas toi, mais moi j'aurais les boules. Non je ne suis pas d'accord.


                  Personne n'a insulté personne. Ici ce serait plutôt comme un stand où tu proposerait des trucs gratuit et quand tu reviens, tu te plains par ce que personne n'a laissé un mot de remerciement.
                  • [^] # Re: Les entreprises payent ?

                    Posté par  . Évalué à 4.

                    Cela dit, ce comportement est loin d'être propre à BSD, vu que le projet GNU insiste pour qu'on parle de GNU/Linux, histoire de souligner leur rôle. Il faut dire ce qui est, c'est super cool de recevoir des emails de remerciement ! :p
                • [^] # Re: Les entreprises payent ?

                  Posté par  . Évalué à 5.

                  > Les contraintes de la GPL sont d'ordre juridique, celles de la BSD d'ordre moral.

                  Quoi ?!?!!
                  Une licence avec des contraintes "morales" !?
                  La BSD convient très bien à la "morale" de MS, la GPL non. Quelle conclusion tu tires ?

                  Le problème d'OpenBSD est simplement qu'il y a peu d'utilisateurs. Certes il y a quelques trucs très utilisés qui viennent d'OpenBSD. Par exemple OpenSSH/OpenSSL. Des entreprises sont prêtes à payer pour ça. Mais elles ne veulent pas payer pour tout un OS qu'elle n'utilise pas.

                  On peut dire que la licence n'y est pas pour rien.
                  La BSD est "individualiste". Si tu obtiens les sources, t'es le roi, tu n'es pas obligé de fournir les sources si tu les modifies, tu peux bourrer le bousin de brevet afin d'en avoir un usage exclusif, mettre une EULA contraingnant, etc. Les autres vont te voir comme un "opportuniste".
                  La GPL, dans l'esprit et la lettre, n'est pas comme la BSD. Toute contribution profite à tout le monde car elle doit être partagée. Personne ne peut avoir un avantage exclusif en utilisant la GPL. Il n'y aura donc pas de "guerre" pour obtenir un avantage exclusif. Le nouveau venu n'est pas une "menace" qui va piller ton boulot. Ça offre un espace où les entreprises peuvent collaborer en paix au lieux, comme dans le logiciel proprio, se tirer la bourre. Donc elles y viennent et en nombre. L'avantage sur la concurrence elle le chercherons dans le service.
                  • [^] # Re: Les entreprises payent ?

                    Posté par  . Évalué à 5.

                    Quelle conclusion tu tires ?
                    La contrainte « morale » de la BSD provient simplement du fait qu'il y a des gens qui vont se sentir obligés de contribuer à un projet en retour s'ils en profitent en premier lieu. On pourrait même dire que finalement, les gens intéressés par le libre vont contribuer à un projet, qu'il soit BSD ou GPL, et que donc les gens qui à la base étaient intéressés par le libre ne feront pas de leurs modifications des logiciels propriétaires. Évidemment, la GPL « protège » plus les développeurs étant donné qu'il y a derrière un texte juridique qui pose les bases des droits et devoirs de chacun, mais la BSD propose aux gens de réfléchir un peu plus à la licence qu'ils vont utiliser, puisque la possibilité de changer la licence est offerte.

                    Bon après, que MS reprenne ou ait repris du travail sous BSD ne me gêne absolument pas : au contraire, un excellent code sera diffusé à l'échelle mondiale, pour le bien commun. Bref, MS m'ennuie quand ils font leurs coups fourrés, pas quand ils reprennent du travail réalisé sous BSD, même si ça serait franchement cool qu'ils donnent un peu de leur blé aux gens qui rendent leurs bénéfices possibles.

                    Le problème d'OpenBSD est simplement qu'il y a peu d'utilisateurs.
                    Le problème d'OpenBSD, c'est que presque aucune entreprise n'a de monde qui bosse dessus à plein temps. C'est peut-être lié au manque d'utilisateurs, mais OpenBSD, c'est OpenSSH qui est très critique dans énormément d'entreprises. C'est peut-être aussi lié à la licence en effet, et ça prouverait que les entreprises n'ont en réalité aucune envie de collaborer avec leur concurrents, et qu'elles ne le font que contraintes et forcées.

                    Par exemple OpenSSH/OpenSSL.
                    Ouais heu, OpenSSL est pas un produit d'OpenBSD, ta langue a fourché. :)

                    La BSD est "individualiste".
                    Je ne suis absolument pas d'accord. La BSD permet à tout le monde de prendre le code source, et est donc bien plus ouverte que la GPL, qui se ferme (et je ne dis pas que c'est un tort !) aux entreprises qui ne veulent pas redistribuer le code.

                    Toute contribution profite à tout le monde car elle doit être partagée.
                    Naturellement, cela dit, quelqu'un qui contribue en BSD en fait profiter tout le monde aussi. Histoire de jouer sur les mots, toute contribution faite à OpenBSD étant nécessairement sous licence BSD ou ISC, elle profite donc à tout le monde. Le code repris par les entreprises, amélioré et non publié n'est pas une contribution. Mais ici encore, la même situation est théoriquement impossible avec la GPL.

                    Le nouveau venu n'est pas une "menace" qui va piller ton boulot.
                    Non, mais sous OpenBSD, c'est pareil. Celui qui vient, qui discute sur les listes de diffusion pour parler d'améliorations a de fortes chances de redistribuer son code sous licence BSD !

                    Ça offre un espace où les entreprises peuvent collaborer en paix au lieux
                    Honnêtement, je ne crois pas à un monde où les entreprises collaborent sur tout, sauf le service. Je pense qu'il existe des entreprises qui prennent du code, BSD ou GPL, qui une fois obfusqué est méconnaissable dans le binaire, et ces entreprises ne font de redistribution de code qu'une fois contraintes et menacées d'un procès. Je pense que la GPL ne permet pas de dire que toutes les contributions sont volontaires, puisqu'elles sont forcées. Cela étant, je n'ai aucune hostilité envers les gens qui développent sous GPL, et serais heureux de pouvoir les aider, sous GPL.
                    • [^] # Re: Les entreprises payent ?

                      Posté par  (site web personnel) . Évalué à 0.

                      > Le problème d'OpenBSD, c'est que presque aucune entreprise n'a de monde qui bosse
                      > dessus à plein temps. C'est peut-être lié au manque d'utilisateurs, mais OpenBSD, c'est
                      > OpenSSH qui est très critique dans énormément d'entreprises

                      Justement, le problème n'est-il pas là.

                      Je m'explique après avoir fait un tour sur le site d'OpenSSH. OpenSSH est très lié, peu être trop lié a OpenBSD.

                      Pourquoi une boite va t'elle faire un don a OpenBSD alors qu'elle ne l'utilise pas et que ce n'est pas dans ses projets. Personnellement, je me suis posé la question mais a ce moment, il était hors de question d'avoir un port Xen d'OpenBSD.

                      Or, sur le site d'OpenSSH, il est bien spécifié que les dons doivent être donné a OpenBSD et que tout est mélangé car le développement est fait par la même équipe. Je cite

                      "
                      Donations are handled via OpenBSD, since OpenBSD is the environment and community where OpenSSH is developed
                      "

                      Pas étonnant alors que peu de monde développe OpenSSH si c'est a ces conditions...

                      Bref, j'adore OpenSSH que j'utilise tous les jours mais je ne suis pas spécialement intéressé par OpenBSD ni les déclarations de son leader.

                      Qui ne se souvient de la faille introduite par debian l'an passé... et du patch debian avec le blacklisting de clef. une fonctionalité que debian a rajouté. On aime ou on n'aime pas mais debian a proposé une solution au mal qu'elle a fait. Et bien, avec une petite recherche sous Google chez nos amis d'OpenSSH sur le sujet avec tout simplement

                      debian site:openssh.org

                      Le résultat est rien sur ce sujet. Rien, rien, rien....

                      Une faille énorme dans OpenSSH qui a touché des milliers de machines de plusieurs distributions Linux et rien, rien, rien sur leur site /a priori/.

                      Ben moi, je me dis que le développement d'OpenSSH n'est pas bien communautaire et beaucoup trop lié a celui d'OpenBSD.

                      Du coup, je donne de argent a d'autre projet libre ... ma bourse n'est pas non plus infini.
                      • [^] # Re: Les entreprises payent ?

                        Posté par  . Évalué à 1.

                        > Une faille énorme dans OpenSSH qui a touché des milliers de machines de plusieurs distributions Linux et rien, rien, rien sur leur site /a priori/.

                        Tu parles de la faille, que debian à introduite par erreur ?
                        • [^] # Re: Les entreprises payent ?

                          Posté par  (site web personnel) . Évalué à 3.

                          Oui, c'est écrit au paragraphe au dessus.
                          • [^] # Re: Les entreprises payent ?

                            Posté par  . Évalué à 5.

                            ...
                            Je ne vois pas en quoi OpenSSH aurait à parler d'une erreur commise par Debian sur un de leur paquet...
                            • [^] # Re: Les entreprises payent ?

                              Posté par  . Évalué à 2.

                              Parce que la faille affecte tous les systemes sur lesquels des utilisateurs ont mis leur clef publique creees avec le OpenSSL Debian pourri, et qu'il serait peut-etre bon d'informer les admins des systemes en question, avec la liste des clefs "connues" pour les blacklister par exemple, non ?
                              • [^] # Re: Les entreprises payent ?

                                Posté par  (site web personnel) . Évalué à 2.

                                Je suis d'accord avec toi. Cela étant, on peux se poser des questions sur l'admin système qui aurait pas entendu parler de la faille debian. (Ça n'enlève en rien la pertinence de ton commentaire bien entendu).
                              • [^] # Re: Les entreprises payent ?

                                Posté par  . Évalué à 2.

                                Je suis moyennement d'accord.

                                Comme tu le dis dans le commentaire, c'est l'OpenSSL de Debian kététoupouri ^^

                                C'est à Debian d'informer les admins, pas à d'autres.

                                Et également aux sysadmin de se renseigner également, la veille techno fait parti de leur métier ;)
                                • [^] # Re: Les entreprises payent ?

                                  Posté par  . Évalué à 3.

                                  Et tu connais un meilleur moyen pour contacter tous les utilisateurs d'une appli et leur fournir une liste de clefs dangereuses qu'essayer de passer par upstream ?

                                  Quel interet pour OpenSSH et ses utilisateurs de continuer a fournir un soft sans blacklist du jeu de clefs corrompues ?
                                  • [^] # Re: Les entreprises payent ?

                                    Posté par  (site web personnel) . Évalué à 0.

                                    Les admins debian qui font correctement leurs mises à jour de sécurité ont eu leurs clés régénérées.

                                    Les autres n'en ont rien à faire...

                                    Python 3 - Apprendre à programmer dans l'écosystème Python → https://www.dunod.com/EAN/9782100809141

                                    • [^] # Re: Les entreprises payent ?

                                      Posté par  . Évalué à 3.

                                      Les autres admins ont potentiellement des utilisateurs qui ont une clef d'authentification corrompue. Si ca ne les derange pas que n'importe qui puisse se connecter en ssh sur leur systeme, effectivement, ils n'ont rien a faire.
                                      • [^] # Re: Les entreprises payent ?

                                        Posté par  (site web personnel) . Évalué à 3.

                                        Laisse tomber, j'ai expliqué cela en long et en large mais manifestement, ceux qui ne tournent pas sur debian se croit à l'abris et n'en ont rien à foutre.

                                        Moi, si Red-Hat avait fait la même bévue, je serais super content que debian intègre le patch Red-Hat qui me mette à l'abris. Un des points faibles des PKI (et des certificats X509) est la bonne (ou mauvaise) gestion des listes de révocation, notament par TOUS les clients potentiels ! Le système des blacklists mis en place par debian pour OpenSSH, c'est un peu le même esprit. Je regarde à chaque nouvelle version d'OpenSSH mais je suis surpris que ce path ne remonte pas.

                                        Sinon, j'ai comme l'impression que certain se frotte les mains de la bavure debian comme s'ils étaient content que debian se soit lamentablement planté. A vrai dire, je trouve cela désolant mais bon, a chacun ses petits plaisirs.

                                        Allez, pour le plaisir, une dernière petite tirade...

                                        Un autre gros bogue en 2008 a été la faille dans le protocole DNS : "DNS Cache Poisoning Issue". Je suis allé voir du coté d'ISC avec Bind. Leur site en parle

                                        https://www.isc.org/node/387

                                        D'ailleurs, le message commence par des remerciements.

                                        Certe, le bogue n'est pas du même type (même origine) mais il touche tous les serveurs de noms et l'ISC ne le cache pas, il est même bien en évidence sur leur site bien que ni l'ISC ni Bind n'ont le moindre tord dans l'affaire.

                                        Encore une fois, le bogue debian touche TOUS les serveurs SSH ! Même les autres serveurs qu'OpenSSH !
                                        • [^] # Re: Les entreprises payent ?

                                          Posté par  . Évalué à 1.

                                          Autant je peut comprendre ton point de vue sur la communication de openssh,
                                          autant comparer la faille de chez debian à la faille dns est mauvaise.
                                          La faille dns est bien présente dans le bind officiel. La faille provoquée par debian pour openssh (entre autres) n'est présente que pour openssh de debian.
                                          • [^] # Re: Les entreprises payent ?

                                            Posté par  (site web personnel) . Évalué à 7.

                                            Non, la faille est dans toutes les clefs pourris réalisés sur debian et ses dérivées qui, grace à internet, ont été distribués partout.

                                            La faille debian n'est plus dans le serveur debian, elle a été corrigé du jour ou elle a été annoncé. Je pense qu'il n'y a plus beaucoup de serveur pourris qui tournent.

                                            Mais des clefs... combien en reste-t-il qui trainent sur le net ?

                                            Les seuls serveurs protégés sont justement ceux de debian. Quelle ironie !

                                            Ton serveur sous OpenBSD, si un de tes utilisateurs a une clef debian de l'époque ne vaut plus rien, c'est une passoire... Mes serveurs debian ne risquent plus rien !

                                            La faille debian est finalement assez proche de la faille DNS, elle touche tous les serveurs non paché qui ne sont pas capable de blacklister (révoquer) de mauvaise clef. Les clefs SSH n'ayant pas de date limite, la faille peut durer très très longtemps.

                                            C'est pour cela qu'il faut patché tous les serveurs SSH, qu'ils soient debian ou non. Car le protocole SSH a oublié qu'il pouvait y avoir des clefs pourris. C'est une sorte de faille cela. Et les clefs n'ont pas de date limite, c'est encore une espèce de faille...

                                            Avec SSL et les certificats X509, ce cas a été prévu avec les listes de révocation très mal implantés par les clients -> faille des clients.

                                            SSH n'a aucune protection contre cela. Faille du serveur ou du protocole ?

                                            J'ai presque envie de dire, cela aurait du arrivé un jour. C'est debian qui a fait la faute mais ce n'est pas normal que SSH soit aussi sensible a un bogue pareil. Un mec distribue des millions de clefs pourris dans la nature et tu n'as au niveau de ton serveur sous OpenBSD (ou autre) aucun moyen de lutter contre ses clefs si un de tes utilisateurs en a une ?

                                            Si ce n'est pas une faille dans le protocole, c'est quoi ?
                                            • [^] # Re: Les entreprises payent ?

                                              Posté par  . Évalué à 4.

                                              Ton serveur sous OpenBSD, si un de tes utilisateurs a une clef debian de l'époque ne vaut plus rien, c'est une passoire... Mes serveurs debian ne risquent plus rien !

                                              Fait le parallèle avec des mots de passe.
                                              Comme un mot de passe, un certificat peut être faible.
                                              Comme un mot de passe, un certificat peut être compromis.

                                              Pour les mots de passe, on peut facilement mettre en place des règles (longueur, complexité, etc).
                                              Pour un certificat, la moindre des choses est de ne pas permettre à n'importe qui de les placer sur une machine.

                                              Dans le cas précis d'OpenSSH, il est possible d'enlever la possibilité de se connecter avec des clefs (voir la page de manuel de sshd_config), il est possible d'attribuer une clef à un utilisateur (man sshd_config et man ssh-keygen) et de lui interdire de la modifier (man chmod et man chown).
                                              C'est aux admin systèmes de faire ces choix et de mettre en place les règles qui vont bien.

                                              Avec SSL et les certificats X509, ce cas a été prévu avec les listes de révocation très mal implantés par les clients -> faille des clients.

                                              SSH n'a aucune protection contre cela. Faille du serveur ou du protocole ?

                                              La faille ce n'est pas qu'OpenSSH accepte un certificat généré par Debian, mais qu'un administrateur laisser des personnes placer des clefs sur une machine.
                                              En particulier si ces personnes n'ont pas les compétences et le sens des responsabilités suffisants pour maintenir ces clefs.
                                            • [^] # Re: Les entreprises payent ?

                                              Posté par  (Mastodon) . Évalué à 2.

                                              ça n'est un problème que si tu es un mauvais admin qui laisse les utilisateurs poser eux-même leurs clefs.

                                              dans ton sshd_config, tu as une option AuthorizedKeysFile qui te permet de définir où sont les clefs des utilisateurs. Tu n'as qu'à la paramétrer pour empêcher un user de mettre sa clef dans son home.

                                              Jami: beabb2b063da0a2f0a2acaddcd9cc1421245d5de

                                              • [^] # Re: Les entreprises payent ?

                                                Posté par  . Évalué à 2.

                                                Je suppose que le bon admin , il faut lui envoyer sa clef publique, et c'est lui qui va la mettre ou il faut pour qu'on puisse s'identifier (comme le font KDE ou FreeBSD par exemple). Ca ne change rien au probleme si tu n'as aucun moyen de verifier que la clef fait partie de l'ensemble corrompu.

                                                A moins que tu generes toi-meme les clefs des utilisateurs a qui tu veux fournir un acces distant a ta machine, auquel cas effectivement il n'y a pas de risque.
                                                • [^] # Re: Les entreprises payent ?

                                                  Posté par  (Mastodon) . Évalué à 2.

                                                  Je suppose que le bon admin , il faut lui envoyer sa clef publique, et c'est lui qui va la mettre ou il faut pour qu'on puisse s'identifier (comme le font KDE ou FreeBSD par exemple). Ca ne change rien au probleme si tu n'as aucun moyen de verifier que la clef fait partie de l'ensemble corrompu.

                                                  Bien sur qu'il faut les vérifier. Mais il n'y a aucune raison que l'outil pour le faire soit fourni et/ou publié par openssh. La faille implique tous les projets utilisant openssl.

                                                  Il existe moultes outils de vérification de ces clefs, à l'admin de prendre l'outil qui lui convient (debian fournit des outils, metasploit a des jeux de clefs, etc...). Tout bon admin doit en avoir un dans sa trousse à outil.

                                                  Jami: beabb2b063da0a2f0a2acaddcd9cc1421245d5de

                                                  • [^] # Re: Les entreprises payent ?

                                                    Posté par  (site web personnel) . Évalué à 2.

                                                    > Bien sur qu'il faut les vérifier. Mais il n'y a aucune raison que l'outil pour le faire soit fourni
                                                    > et/ou publié par openssh.

                                                    Deux phrases en contracdiction.

                                                    Si, comme tu le dis, il est évident qu'il faille vérifier les clefs utilisé par ssh, je ne vois pas pourquoi openssh ne fournit pas un outil ! Evidement, cet outil peut utiliser des outils annexe comme ssh utilise ssl...

                                                    Cet outil ssh aurait pour fonction d'adapter l'outil de vérification 'ssl' à la spécificité ssh. C'est exactement ce que fait l'outil ssh-vulnkey. Il n'y a aucune raison objective, sauf la mauvaise fois il me semble, a ne pas diffuser ssh-vulnkey avec openssh. Ou est le problème ?

                                                    En cas de mauvaise fois, il n'y a la aucune escuse sur un site diffussant le numéro 1 des serveurs ssh a ne pas indiquer ou trouver des outils pour vérifier l'intégrité des clefs puisque nous avons vu que le protocole ssh avait une faiblesse au niveau de la gestion des clefs (pas de date limite, pas de système de révocation... comme dans un système X509).

                                                    Bref, il y a des mauvaises clefs dans la nature, en très grand nombre certainement encore. C'est un fait. La responsabilité est établie et reconnue. Je vois que 1 an après, malgré cela, le problème me semble mal cerné par pas mal de gens, tant utilisateurs que par les développeurs amonts (packageur de distribution compris).

                                                    Question : sur une base red-hat, suse, mandriva, BSD... a-t'on auourd'hui un outil pour vérifier l'intégrité des clefs lorsqu'on installe ssh ? Pas forcément dans le paquetage openssh mais dans les dépendances de ce paquet (idem pour les ports BSD). Je ne connais pas la response à cette question mais je l'espère positive et dans ce cas, je retire ma phrase sur les développeurs amont et je m'en escuse platement.
                                      • [^] # Re: Les entreprises payent ?

                                        Posté par  (site web personnel) . Évalué à 2.

                                        Je comprend le point de vue, ça me semble pertinent.

                                        Question bête, est-ce qu'il y a un moyen réellement fiable de détecter qu'une clé est foireuse (hormis la date de génération) ?

                                        Python 3 - Apprendre à programmer dans l'écosystème Python → https://www.dunod.com/EAN/9782100809141

                                        • [^] # Re: Les entreprises payent ?

                                          Posté par  (site web personnel) . Évalué à 2.

                                          Oui, il y a une nombre finit de clef foireuse. Il suffit juste de tester que la clef n'est pas dans la liste. C'est d'ailleurs la dessus qu'est basé les blacklist de debian avec l'hypothèse que la clef fait 1024, 2048 ou 4096 bit de longueur et qu'elle est soit RSA soi DSA.

                                          Il y a les programmes ssh-vulnkey et dowkd.pl

                                          La probabilité d'avoir des clef autres que dans ses listes est asez faible. Pas grand monde devait faire des clef plus grande que 4096 si ce n'est des spécialistes mais ceux-la on déjà refait leur clef.
                      • [^] # Re: Les entreprises payent ?

                        Posté par  (site web personnel) . Évalué à 5.

                        Une faille énorme dans OpenSSH qui a touché des milliers de machines de plusieurs distributions Linux et rien, rien, rien sur leur site /a priori/.

                        1/ La faille dont tu parles vient d'OpenSSL, pas d'OpenSSH.

                        2/ OpenSSL n'appartient pas au projet OpenBSD.

                        --> Aucune raison d'avoir le message que tu espères sur le site d'openssh.org.
                        • [^] # Re: Les entreprises payent ?

                          Posté par  (site web personnel) . Évalué à 1.

                          Je répond au deux post ci-dessus.

                          - Oui c'est une erreur debian et non de l'équipe d'OpenSSH. Personne n'a dis que c'était une erreur d'OpenSSH

                          - Oui, c'est un bogue introduit dans OpenSSL qui a surtout touché OpenSSH (mais pas seulement, aussi les clefs réalisés pour des sites en https, aussi pour cfengine...)

                          Cependant, le programme le plus touché et le plus sensible a été ssh !

                          Ce n'est pas un petit bogue, c'est quelque chose d'exceptionnel qui n'arrive on l'espère qu'une fois par décennie. C'est un des évênements majeur de 2008, peut être une des rares choses qu'on se souviendra dans 10 ans : le bogue debian dans OpenSSH (même si c'est dans OpenSSL).

                          Moi, si je fais un programme a ce point sensible et une distribution majeure me fait un bogue pareil qui touche autant de gens, et bien je pense que la moindre des choses que je ferais serait d'en parler clairement et de dire que le problème est résolu et comment.

                          Ne pas mettre cette information, faire comme si elle n'a pas exister, même si l'équipe d'OpenSSH n'a rien a se reprocher, cela me parait grave d'un point de vu communication. En tout cas, a moi, cela ne me viendrait pas à l'idée d'ignorer une telle bavure.

                          OpenSSH vit aussi grace aux distributions GNU/Linux. Demander des remerciements et des dons, c'est bien. Mais il faut aussi renvoyer l'ascensseur. Les distributions aident aussi à diffuser et elle font globalement du super boulot, même si elles sont à base Linux et non de BSD. En plus debian est la seule distribution Linux (à ma connaissance) a vouloir faire un port BSD...

                          Alors, participer à l'information d'une telle bavue pour éviter que des milliers de gens ne se fassent pirater par ssh, cela me semble faire partie intégrante de l'esprit communautaire libre. Ou est la solidarité, ou est l'entraide ici ?

                          Pour moi, cette ignorance de la part d'OpenSSH me donne une impression de mépris envers debian et par la même envers toutes les distributions Linux.

                          Encore une fois, on ne parle pas d'un non évênement car je fais le pari que ce sera l'évênement top 1 de l'année 2008 plus tard. Ce sera même un cas d'école très certainement cité dans plein de cursus universitaire...
                          • [^] # Re: Les entreprises payent ?

                            Posté par  . Évalué à 3.

                            > Pour moi, cette ignorance de la part d'OpenSSH me donne une impression de mépris envers debian et par la même envers toutes les distributions Linux.

                            Qu'est ce que tu veux qu'ils mettent :
                            "attention un "dev" de chez debian a monstrueusement merdé, pensez à vous mettre à jour ?"

                            Soit ils ne mettent rien (logique, ça ne les concerne pas), soit ils mettent quelques choses et on va leur reprocher de se foutre de la gueule de debian.
                            De plus, franchement, je ne crois pas que beaucoup d'utilisateur d'openssh aillent sur le site web, 90% des gens vont passer par le gestionnaire de paquet de leur os pour faire l'install/mise à jour.


                            > En plus debian est la seule distribution Linux (à ma connaissance) a vouloir faire un port BSD...

                            Je vois pas l'interet pour les BSD ...

                            > Encore une fois, on ne parle pas d'un non évênement car je fais le pari que ce sera l'évênement top 1 de l'année 2008 plus tard. Ce sera même un cas d'école très certainement cité dans plein de cursus universitaire...

                            Ouai enfin y a aussi eu le trou de sécu dans linux permettant l'élévation de privilège grace au module ATM.
                            Il y a aussi la faille DNS.
                            Récemment un mec à péter pleins de routeurs BGP Cisco, foutant la zone sur tout internet.
                            Dans 10 ans les gens s'en foutront royalement.
                            • [^] # Re: Les entreprises payent ?

                              Posté par  (site web personnel) . Évalué à 1.

                              Je crois que tu ne saisis pas la portée du bogue. c'est pas comme un bogue dans bind ou dans openssl (tiens encore lui) et que tu met à jour et hop, tu retournes à ton café.

                              La, la mise a jour n'a pas mis à jour tes clefs... Il y a eu un boulot de fou pour refaire les clefs, les revalider, voire que plein de script ne marchait plus... J'ai même lu l'histoire d'une personne qui a perdus la main sur son cluster de 200 machines, et je pense que ce n'est pas le seul !

                              Ton trous de sécu dans le noyau Linux, tout le monde s'en fout entre () et cela n'a pas du tout les mêmes conséquences.

                              Moi je te dis que dans 10 ans, on ne retiendra que "le bogue debian dans Openssh" et rien de la routine que tu évoques dans ton post et que je recois tous les jours dans ma boite mail avec les alertes du CERT.
                          • [^] # Re: Les entreprises payent ?

                            Posté par  . Évalué à 1.

                            OpenSSH vit aussi grace aux distributions GNU/Linux. Demander des remerciements et des dons, c'est bien. Mais il faut aussi renvoyer l'ascensseur. Les distributions aident aussi à diffuser et elle font globalement du super boulot, même si elles sont à base Linux et non de BSD. En plus debian est la seule distribution Linux (à ma connaissance) a vouloir faire un port BSD...

                            OpenSSH vit grâce aux développeurs d'OpenBSD. Les distributions GNU/Linux ne font qu'empaqueter la version portable d'OpenSSH.

                            La faille d'OpenSSL dans Debian est dû à une erreur du mainteneur du paquet d'OpenSSL . Ça n'a absolument rien à voir avec OpenSSH (mis à part que la bibliothèque est utilisé par ce programme) donc les développeurs d'OpenBSD n'ont absolument aucune raison de communiquer là-dessus. C'est à Debian de le faire.
                            • [^] # Re: Les entreprises payent ?

                              Posté par  (site web personnel) . Évalué à 2.

                              Vous n'avez rien compris à la faille !!

                              Je met ma clef réalisé sur un serveur debian sur une machine de l'IDRIS et je me connecte dessus... La machine de l'IDRIS est une IBM sous AIX... (Tu remplace IDRIS, IBM et AIX par ce que tu veux)

                              Bilan : n'importe quel petit malin rentre dans le système IBM qui n'a rien a voir avec debian !

                              La faille debian touche TOUS les serveurs SSH, même ceux qui n'ont rien a voir avec debian. Debian peut communiquer et l'a fait. Je ne vois pas en quoi il aurait été mal qu'OpenSSH commnunique la dessus. Même les machines sous OpenBSD sont touchés.

                              Vous pensez peut être que n'utilisant pas debian, vous êtes à l'abris du problème. mais ce n'est pas vrai. Qui vous dis qu'un utilisateur de vos systèmes n'a pas mis une clef foireuse sur vos systèmes ? Et vous la détectée comment la clef foireuse ?

                              C'est le principe même d'OpenSSH avec ses clefs qui a été mis a mal. La solidarité veut que tout le monde donne un coup de main pour éradiquer le problème le plus vite possible.

                              Une petite phrase, un lien... Ca leur aurait couté quoi à l'équipe d'OpenSSH ?
                            • [^] # Re: Les entreprises payent ?

                              Posté par  (site web personnel) . Évalué à 1.

                              > OpenSSH vit grâce aux développeurs d'OpenBSD. Les distributions GNU/Linux ne font
                              > qu'empaqueter la version portable d'OpenSSH.

                              Tu sous estimes le boulot des distributions. Sans elles, OpenSSH est mort, au moins virtuellement.

                              Imagines un instant un autre programme qui remplace OpenSSH et que les distributions majeures n'installent plus OpenSSH ? Crois-tu alors qu'OpenSSH vit encore ? Non, du jour ou il y aura un remplaçant à OpenSSH sous les distributions Linux, de ce jour là, il sera mort.

                              Un exemple historique. Le programme xv est sortis des distributions il y a une dizaine d'année et pourtant on l'utilisais tous avant. Qui connait xv de nos jours à par les anciens croutons comme moi !
                              • [^] # Re: Les entreprises payent ?

                                Posté par  . Évalué à 2.

                                Tu sous estimes le boulot des distributions. Sans elles, OpenSSH est mort, au moins virtuellement.

                                Non, c'est sans OpenBSD qu'OpenSSH est mort. Et encore, le code source étant sous licence ISC/BSD, je vois mal comment un programme de cette qualité peut mourir.

                                Imagines un instant un autre programme qui remplace OpenSSH et que les distributions majeures n'installent plus OpenSSH ? Crois-tu alors qu'OpenSSH vit encore ?

                                Parfaitement, il vivra encore, tout comme de nombreux programme vive à l'intérieur de l'arbre des sources d'OpenBSD (apache 1 est le premier exemple qui me vient). Même si un challenger arrive pour le remplacer, tu peux être sûr qu'il sera toujours utilisé et maintenu par les gens d'OpenBSD quoi qu'il arrive.

                                Au passage xv ni libre ni maintenu, ce qui explique bien des choses.
                              • [^] # Re: Les entreprises payent ?

                                Posté par  . Évalué à 1.

                                > Imagines un instant un autre programme qui remplace OpenSSH et que les distributions majeures n'installent plus OpenSSH ?

                                Si un autre programme meilleurs sort tant mieux, mais les distrib ni seront n'ont plus pour rien. Elles ne feront toujours que packager.
                                • [^] # Re: Les entreprises payent ?

                                  Posté par  (site web personnel) . Évalué à 1.

                                  > Elles ne feront toujours que packager.

                                  Tu oublies complètement le rôle de publicité, de la diffusion. Si Firefox vit si bien aujourd'hui, c'est que la fondation mozilla a fait un énorme boulot de publicité.

                                  Le fait de distribuer un logiciel, d'en assurer la maintenace sécurité (même si dans le cas présent, il y a eu une bévue), le fait de le proposer aux administrateurs et aux utilisateurs pour une utilisation quotidienne, pour moi, cela fait aussi partie de la vie d'un projet.

                                  Donc, pour moi, les distributions ne font pas que "packager", par la même une relation se forme avec le développement amont et elles participent ainsi fortement à la vie des projets. Tu oublies aussi que debian supporte un grand nombre d'architecture et que ce simple fait permet de remonter plein de problème dans énormément de programme. On ne parle pas ici d'une petite distribution faite dans son coin. Debian est un énorme projet communautaire libre qui a un impact non négligeable, même si toi, tu as l'impression de n'en rien utiliser.

                                  Un autre exemple, GNOME a été fortement aidé par les distributions au début car KDE n'étais pas packager dans bien des distributions, dont debian. Je ne suis pas sur qu'on aurait un GNOME aujourd'hui si Qt avait été dès le début libre.

                                  Idem pour les programmes Java, je suis persuadé que le fait d'avoir du java propre dans les distributions va enfin booster tous les programmes java libre.

                                  Encore une fois, nous n'avons pas le même sens de la communauté, de la solidarité, des remerciements... J'ai bien fait d'arrêter de te répondre hier soir.
                                • [^] # Re: Les entreprises payent ?

                                  Posté par  . Évalué à 9.

                                  Tu n'est pas sympa avec les distribs. Elle ne font pas que packager. Elle débuggent avec valgrind aussi.

                                  Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.

                                  • [^] # Re: Les entreprises payent ?

                                    Posté par  . Évalué à 2.

                                    Bien vu ;-)

                                    Ceci dit le problème n'est pas tant de (dé)bugger avec valgrind (ce qui 1) part d'une bonne intention 2)est tout à fait excusable, tout le monde fait des erreurs), mais de ne pas remonter le "correctif".

                                    Ça c'est vraiment inexcusable comme méthodologie, on ne joue pas tout seul dans son coin surtout avec des logiciels pareils et le pire c'est que je n'ai pas l'impression que le processus de dev a évolué pour autant..
                        • [^] # Re: Les entreprises payent ?

                          Posté par  . Évalué à 5.

                          La faille dont tu parles vient d'OpenSSL => la faille dont il parle vient **de** Debian, et **concerne** OpenSSL, en effet OpenSSL n'a rien à voir dans cette faille.

                          Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

                      • [^] # Re: Les entreprises payent ?

                        Posté par  . Évalué à 2.

                        Pas étonnant alors que peu de monde développe OpenSSH si c'est a ces conditions...
                        Je ne sais pas si c'est possible au Canada, mais j'ai cru comprendre qu'on pouvait aux États-Unis conditionner le don, et ainsi dire « ok, je vous file 50 000 € mais uniquement pour le développement d'OpenSSH ».

                        Ben moi, je me dis que le développement d'OpenSSH n'est pas bien communautaire et beaucoup trop lié a celui d'OpenBSD.
                        C'est, je dirais, un problème récurrent chez OpenBSD, le côté trop fermé (trop élitiste ?), cela dit OpenSSH est un projet majeur d'OpenBSD, et je crois que beaucoup d'argent passe aussi dans son développement. Bon puis après, rien n'empêche d'appliquer l'adage shut up and hack, je suis sûr que les développeurs seraient ravis d'appliquer des patchs venus de l'extérieur.
                      • [^] # Re: Les entreprises payent ?

                        Posté par  . Évalué à 2.

                        Tu confonds OpenSSH avec OpenSSL. OpenSSL n'a rien à voir avec OpenBSD mis à part qu'il est utilisé par ce projet.
                        • [^] # Re: Les entreprises payent ?

                          Posté par  (site web personnel) . Évalué à 2.

                          Je ne confond rien du tout. Relis ce que j'ai écrit ci-dessus dans mes réponses.

                          Le bogue est dans OpenSSL mais c'est surtout OpenSSH qui a été touché sur une partie des distributions Linux (debian et dérivée).

                          Quand tu as un programme sensible et réputé pour sa sécurité et qu'un de tes composants est pourris, je suis très géné qu'on ne m'en parle pas. Surtout lorsque le bogue touche principalement ton programme en particulier...

                          Lors du problème, ma première réacton a été d'aller voir sur le site

                          openssh.org

                          pour avoir des informations clefs, pour avoir le point de vu de l'équipe d'OpenSSH sur le bogue et la solution apporté par debian. Rien, rien, rien...

                          Manifestement, ce silence de l'équipe d'OpenSSH face à ce bogue UNIQUE, me met mal à l'aise mais ne vous pertube pas le moins du monde. Désolé, je dois être trop émotif.
                          • [^] # Re: Les entreprises payent ?

                            Posté par  . Évalué à 3.

                            D'où je l'ai appris : slashdot, ça disait quoi : debian a fait de la merde.
                            Dans ce genre de cas j'attends une réaction de debian pas de l'upstream qui n'y ai pour rien.
                            • [^] # Re: Les entreprises payent ?

                              Posté par  (site web personnel) . Évalué à 3.

                              Ne t'inquiète pas, on n'est pas cablé pareil mais cela m'arrange...

                              Assez trollé avec toi, je sais que cela ne mène nulle pars, je préfère aller voir ma sirène bien au chaud ;-)
                          • [^] # Re: Les entreprises payent ?

                            Posté par  . Évalué à 3.

                            > Lors du problème, ma première réacton a été d'aller voir sur le site
                            >
                            > openssh.org

                            Oui mais non, le site d'openssh c'est http://www.openssh.com/
                            (le domaine en .org est géré par Alex de Joode qui fournit gracieusement un miroir web et des redirections mail, mais cela est susceptible de cesser à tout moment sans préavis).
                      • [^] # Re: Les entreprises payent ?

                        Posté par  . Évalué à 3.

                        >Une faille énorme dans OpenSSH qui a touché des milliers de machines de plusieurs distributions Linux et rien, rien, rien sur leur site /a priori/.

                        Google c'est pas mal pour trouver des données sur un site web. Maintenant si tu cherches des infos sur les mauvais sites (ou sur les mauvais médias), c'est pas de la faute des gens d'OpenBSD...

                        Le site d'OpenBSD est un peu la vitrine du projet (je mets en gras en espérant que tout le monde saisisse bien la nuance. Sinon je suis sur que Zenitram va venir me parler des néons et des laveurs de vitre).

                        La plupart du contenu est statique (sauf les sources).
                        Les seules pages qui sont mises à jour en fonction de l'actualité sont les pages d'errata ( http://www.openbsd.org/errata.html ).
                        Ces pages contiennent la liste des patchs appliqués aux différentes release depuis leur publication ainsi que les éventuels effets de bords qu'ils peuvent engendre.
                        Donc rien à voir avec Debian et OpenSSL.

                        Par contre si tu t'étais intéressé au contenu du site, tu serais probablement tombé sur la page suivante: http://www.openbsd.org/mail.html
                        Je te site la première phrase:
                        Mailing lists are an important means of communication among users and developers of OpenBSD..

                        Si tu cherches dans les archives des différentes listes de diffusion, tu devrais tomber sur les 3 discussions suivantes
                        + Debian libssl security (OpenSSH safe?)
                        + More details show that someone seriously fucked up in debian. [Was: Re: Debian libssl security (OpenSSH safe?)]
                        +Debian libssl security (Cause???)


                        Comme quoi Google a beau contenir toutes les informations sur la Vie, l'Univers et Reste, si on ne sait pas l'utiliser on continuera longtemps à chercher...
                  • [^] # Re: Les entreprises payent ?

                    Posté par  (site web personnel) . Évalué à 0.

                    Moi je dirais plutôt que le «problème» de OpenBSD c'est que ses utilisateurs sont des élitistes qui ne veulent que des utilisateurs compétents dans leurs rangs, donc logiquement y a peu d'utilisateurs. Après c'est un choix bien sûr.

                    La BSD n'est pas individualiste du tout. Ce sont les personnes qui ne veulent rien reverser en retour alors qu'elles peuvent largement se le permettre qui sont individualistes. La licence ne t'encourage pas à ne pas contribuer, elle ne t'y force simplement pas. C'est triste que le monde soit peuplé de charognards qu'il faut contraindre et forcer pour obtenir le moindre retour, mais sans cela, une licence comme la BSD serait largement suffisante pour permettre le libre.
                  • [^] # Re: Les entreprises payent ?

                    Posté par  . Évalué à 2.

                    La BSD convient très bien à la "morale" de MS, la GPL non. Quelle conclusion tu tires ?

                    La BSD est "individualiste". Si tu obtiens les sources, t'es le roi, tu n'es pas obligé de fournir les sources si tu les modifies, tu peux bourrer le bousin de brevet afin d'en avoir un usage exclusif, mettre une EULA contraingnant, etc.


                    troll spotted
                    https://linuxfr.org//comments/1010952.html#1010952
              • [^] # Re: Les entreprises payent ?

                Posté par  . Évalué à 3.

                >Tu dis au gens "servez-vous" et ils se servent, et tu n'es pas content?
                Je vois plus ça comme un espèce de resto du coeur:
                Les développeurs travaillent pour le bien de la communauté mais ils ont besoin de moyen pour cela.

                Après c'est à chacun de voir:
                Si tu penses que les équipes ont fait du bon boulot, si tu penses qu'ils devraient continuer et si tu as les moyens, fait un don.
                Si tu ne le fais pas, à terme le projet ne survivra pas.

                Il n'y a rien d'autre à rajouter.
                • [^] # Re: Les entreprises payent ?

                  Posté par  (site web personnel) . Évalué à 1.

                  Si tu veux faire la comparaison avec les resto du coeur, fait-la jusqu'au bout.
                  Theo a dit (si j'en crois la traduction standblog) : "Pour notre travail sur OpenSSH, les entreprises utilisant le logiciel ne nous ont jamais donné un centime."

                  -> Pour les restos du coeur, c'est comme si ils disaient "Putain on vous a donné à manger quand vous étiez dans la merde, maintenant que vous avez de la thunes vous nous redonnez rien bande de méchants".

                  Je ne vois rien dans le style dans la communication des restos du coeur, qui demande plutôt de l'aide pour continuer sans insulter ce qui ne donnent pas.
                  Le contrat (légal ET moral!) des retos du coeur n'oblige personne à donner même quand ils en ont profité, et les restos ne réclament pas de ceux qu'ils ont aidé (certains sont très aisés aujourd'hui!)

                  Ce qui me dérange dans les propos de Theo est qu'il donne mais oublie que donner, c'est donner : on n'a rien à attendre d'un don, sinon ce n'est pas un don.
                  Si il n'aime pas ça, qu'il change la licence "0.01% des bénéfs que vous faites", mais ce ne sera pas libre. Il doit choisir (les restos du coeur ont choisi eux, et ne demandent rien à ce qui ont profité d'eux avant et vivent bien maintenant)
                  • [^] # Re: Les entreprises payent ?

                    Posté par  . Évalué à 1.

                    >Si tu veux faire la comparaison avec les resto du coeur, fait-la jusqu'au bout.
                    Dans l'expression "comme un espèce de", quelle est le mot que tu ne comprends pas?

                    Si tu veux on peut faire un comparatif détaillé avec des tableaux et des cases de couleurs.
                    Par contre est-ce que la bouffe servie par les resto du coeur et OpenSource selon la définition que l'OSI à fait?

                    La projet est à but non lucratif.
                    Si tu aimes, que tu as les moyens et que ça t'intéresses -> tu leur donne au moins de quoi survivre.
                    C'est à toi de voir.
                    • [^] # Re: Les entreprises payent ?

                      Posté par  . Évalué à 2.

                      > Dans l'expression "comme un espèce de", quelle est le mot que tu ne comprends pas?

                      Moi, c'est «un espèce» que je ne comprends pas.

                      Désolé pour le bruit, mais c'est une faute tellement courante et la perche était tellement tendue qu'il fallait que je la saisisse.
                • [^] # Re: Les entreprises payent ?

                  Posté par  . Évalué à 7.

                  Je compléterais ton post à mon avis:

                  Je vois plus ça comme les restos du coeur qui donne leur repas et des entreprises s'en serve pour garnir leurs cantines ou pour la revendre plus cher avec deux tiges de persil en plus. En imaginant que la nourriture soit en quantité infinie¹, les restos serait quand même bien content si ces entreprises les aidaient à payer l'électricité et le loyer. Mais ce n'est pas pour ça qu'il exige que les SDF payent pour venir manger.


                  ¹: quand on copie des données numériques, il n'y a pas de perte des données, ça ne vous rappel rien?

                  « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

              • [^] # Re: Les entreprises payent ?

                Posté par  (site web personnel) . Évalué à 4.

                Disons que tu construits et fait fonctionner des écoles dans un lieu où il n'y pas de service public à ce niveau, tu le fais parceque tu te dis que l'éducation, c'est-le-bien™. Tout ça sur ton temps libre et avec tes propres ressources. Plus tard un tas d'ancien de tes élèves, fort du savoir que tu leur au apporté, gravissent les «échelles sociales» et certains arrivent à la tête de fortunes colossales. Malheureusement aucun de tes anciens élève ne te montre une quelconque reconnaissance, et aucun ne donne le moindre centime pour le bon fonctionnement de ton formidable projet pédagogique.

                Bien entendu, tu n'as pas monter ton projet pour l'argent, mais quand même, ne serais-tu pas quelque peu dépité du comportement de tes anciens élèves ?
                • [^] # Re: Les entreprises payent ?

                  Posté par  (site web personnel) . Évalué à -3.

                  Bien entendu, tu n'as pas monter ton projet pour l'argent, mais quand même, ne serais-tu pas quelque peu dépité du comportement de tes anciens élèves ?

                  Je n'ai jamais vu d'ancien élèves filer du fric à leur ancien prof (j'en ai vu les remercier, mais jamais d'argent), ni les profs râler parce que leur éducation a construit des personnes très riches.
                  Theo semble donc bien seul à râler sur ce principe donc...
                  • [^] # Re: Les entreprises payent ?

                    Posté par  . Évalué à 3.

                    Sauf que le prof est (pas énormément, dirons certains ;) ) payé et, logiquement, ne se retrouve pas dans la merde financièrement pour former la génération suivante d'élèves.
                  • [^] # Re: Les entreprises payent ?

                    Posté par  . Évalué à 6.

                    Dissonance culturelle :D

                    Au Canada/US, c'est pas rare que les grosses universites recoivent des dons d'anciens eleves ou d'entreprises. $832.2 millions en 2006-2007 pour Stanford par exemple (non ca n'arrivera jamais en France, pas la peine d'esperer...)
                    • [^] # Re: Les entreprises payent ?

                      Posté par  (site web personnel) . Évalué à 1.

                      En France, les écoles reçoivent la taxe d'apprentissage, en espèce ou en nature.

                      Avec le système que Sarko nous met en place (autonomie des universités), une partie des salaires va finir par être payés par les sommes percues a ce titre...

                      Puisque je suis dans ce sujet, je viens d'apprendre que les présidents d'université pourraient toucher une prime de plus de 20kE ! Notre ministre voudrait aussi englober les vice-président... Tout ceci va nous mettre le système du pognon du privé dans le public et me semble plus que malsain. Pour ceux qui pensent que 20kE, c'est peu de chose, un président touche normalement entre 2500 et 4500E par mois comme salaire.
                      • [^] # Re: Les entreprises payent ?

                        Posté par  . Évalué à 1.

                        Tout ceci va nous mettre le système du pognon du privé dans le public et me semble plus que malsain.

                        Ouais parce qu'actuellement c'est pas comme si à chaque manifestation de personnels de l'Éducation Nationale, on entendait "il faut plus de sous". Personnellement ça me choque pas que les entreprises soient plus impliquées directement (jusqu'à maintenant c'est indirect par l'impôt) dans le financement de l'éducation et de la recherche dont ils profitent.

                        Offtopic donc je -> []
              • [^] # Re: Les entreprises payent ?

                Posté par  . Évalué à 10.

                > Mais pourquoi serais-tu désespéré? Tu dis au gens "servez-vous" et ils se servent, et tu n'es pas content?
                > [...]
                > si quelqu'un se fait du fric en respectant la licence

                Pourquoi amener un troll licence chaque fois qu'une dépêche parle d'un projet BSD ? ce que tu dit là, tu pourrais l'appliquer à presque chaque rixe entre participants de la communauté linux (forks, mauvaises contribs, absences de contrib, ...), car on peux faire des choses plus ou moins correctes/éthiques/citoyennes en respectant la GPL, y compris v3, comme avec la BSD.

                Comme pour tout les projets libres, la plupart des règles de bonnes conduites ne sont pas rédigées par des avocats, et il n'est pas forcément pertinent que ce qui serait "souhaitable" devienne "obligatoire" par le marbre d'une licence. Il n'est pas question de forcer les gens à donner des sous, encore moins de changer de licence : c'est juste un coup de gueule. TdR ne renie donc pas la licence BSD.

                On a droit aux mêmes types de débats ou coups de gueules, qui sont donc indépendants des licences libres choisies, lorsqu'un développeur de Novell râle publiquement au sujet de la faible contribution d'Ubuntu/Canonical aux logiciels Linux bas niveau, ou lorsqu'un zélote de Red Hat ou de Debian dénonce sur dflp le faible engagement "upstream" d'Ubuntu : certes Canonical respecte la GPL à la lettre en faisant du blé, mais ils pourraient être de meilleurs citoyens. Ou encore : certes Oracle "fait du fric avec en respectant la licence" de RHEL, mais on comprends que ceux-ci se soient offusqué d'un certain manque de savoir vivre, à l'époque de "unfakable linux".

                Même chose lorsque les développeurs noyaux se plaignent du faible effort de contribution upstream venant du monde des développeurs embarqué, mais personne ne souhaite changer la licence du kernel pour "forcer à contribuer du code suffisamment bon pour être mergé upstream". Gueuler contre une utilisation opportuniste et non durable d'une licence n'est pas renier cette licence.

                Pour recadrer : il n'était pas du tout repproché de "faire du fric". Le coup de gueule de TdR, c'était à mes yeux une façon de faire remarquer que le projet OpenBSD avait besoin de sous, qu'il y avait un paquet de grosses entreprises (y compris Cisco, Juniper, Sun, etc.) qui utilisaient le code OpenSSH et pour qui quelques centaines de dollars de dons seraient peut-être une petite somme pour ne pas scier la branche sur laquelle elles sont assises, ou encore "la moindre des politesses".

                Aussi, et ce n'est peut-être pas évident à percevoir pour ceux qui ne connaissent que le monde Linux parmi les OS libres, mais OpenBSD est essentiellement un projet de hobbyistes, fait avec les moyens du bord, et où par conséquent chaque sous compte, même pour les besoins d'infrastructure de base (cf. cette dépêche par exemple) ; c'est très différent de Linux qui bénéficie de contributions matérielles et humaines de nombreuses grosses sociétés (y compris Intel, AMD, Oracle, etc), où le problème de faire d'humiliantes quètes ne se pose donc pas. C'est pour ça qu'OpenBSD a un besoin vital de dons de sous, plus encore que de dons de code, même si ça peut paraitre vulgaire ou terre à terre.
                • [^] # Re: Les entreprises payent ?

                  Posté par  (site web personnel) . Évalué à 0.

                  Pourquoi amener un troll licence chaque fois qu'une dépêche parle d'un projet BSD ?

                  Euh... Au cas où tu ne lis pas assez ma prose, juste pour préciser : je réagis de la même manière quelle que soit la licence libre utilisée, ce n'est absolument pas spécifique à la la licence BSD. La licence GPL (v3 comprise) permet exactement la même chose.
                  Ma remarque concernent tous les libristes qui attendent un retour en échange de leur "donation".
                  • [^] # Re: Les entreprises payent ?

                    Posté par  . Évalué à 1.

                    Oui j'ai vu que tu apportais cette précision après coup dans ce thread, mais pourquoi as-t-on droit à ce genre de considérations sélectivement à chaque fois qu'un projet BSD à des problèmes (et beaucoup plus rarement dans les autres dépêches où ça serait aussi applicable) ?
                    (nb: ce n'est peut-être pas toi les autres fois hein, je n'ai pas vérifié ;)
                    • [^] # Re: Les entreprises payent ?

                      Posté par  (site web personnel) . Évalué à 0.

                      mais pourquoi as-t-on droit à ce genre de considérations sélectivement à chaque fois qu'un projet BSD à des problèmes

                      Parce que TdR est le seul que je connaisse qui se plaint que ses utilisateurs respectent la licence?
                      Je n'ai jamais lu Canonical/Redhat/Mozilla/etc... dire aussi ouvertement que les utilisateurs sont des "rapaces" qui se servent sans rien donner en retour (les méchants qui respectent la licence). Ils font avec, c'est tout, et cherche des moyens pour se financer sans aller à insulter leurs utilisateurs

                      TdR a certes fait (un peu) avancer le libre, mais aussi remonte pas mal de monde contre lui. Je ne pense pas que ce soit la licence qui amènent cette discussion (comme dit, la GPL a le même "problème"), seulement le développeur principal qui se plaint qu'on n'a pas trouvé un modèle viable de développement à sa place.
                      • [^] # Re: Les entreprises payent ?

                        Posté par  . Évalué à 3.

                        > Parce que TdR est le seul que je connaisse qui se plaint que ses utilisateurs respectent la licence?

                        Pas vraiment. Canonical est un utilisateur des contributions de Novel, Oracle est utilisateur des contributions de Red Hat, Xemacs un utilisateur des contributions faites sur Emacs, Tivo de Linux, tout fork hostile est un utilisateur du projet parent, Apple de KHTML, ... si tu vois ce que je veux dire.
                      • [^] # Re: Les entreprises payent ?

                        Posté par  . Évalué à 2.

                        > Parce que TdR est le seul que je connaisse qui se plaint que ses utilisateurs respectent la licence?

                        Heu non mais non ! TdR ne se plaint pas du non respect de la license. Il n'a jamais parlé d'action juridique. Il doit même s'en foutre que les entreprises contribuent à son code.
                        Le projet est simplement dans une situation financière pas confortable, et il pousse une gueulante pour... faire parler les gens... but atteint donc :-)

                        Et puis un geste est tellement mieux apprécié quand il est volontaire et non contraint par une licence :-)

                        Mais bon voila, les vilaines d'entreprises d'en face ne soucient pas du projet à partir duquel elle peuvent faire vivre leurs solutions, seulement lorsque le projet sera mort et qu'il y aura plus de "SaV" (bugfix releases) elles seront dans la merde :P
          • [^] # Re: Les entreprises payent ?

            Posté par  (site web personnel) . Évalué à 3.

            Par contre d'un autre côté, s'ils ne demandent pas de retour de code

            Pour info, une licence libre ne peut pas demander de retour de code (sinon ce serait non libre), la GPL par exemple stipule que tu dois fournir le code à la personne à qui tu fournis le binaire, rien dans la GPL n'impose de donner ce même code au développeur initial, absolument rien.

            Vraiment, je ne suis pas convaincu là.

            Ah ça... Il y en a aussi dans les pro-GPL, ce n'est pas limité au pro-BSD (insulte des site qui ne gardent pas "propulsed by Dotclear" quand ils utilisent Dotclear etc...), je dirai que c'est un défaut de certains libristes en général qui n'ont pas compris que libre != imposer sa vision d'un monde meilleur (différent du voisin).
          • [^] # Re: Les entreprises payent ?

            Posté par  (site web personnel) . Évalué à 3.

            Bah quand tu économises un paquet en utilisant un logiciel sous X11/BSD et que ton activité te rapporte un paquet, si tu réfléchis deux secondes, tu te rends bien compte que ça vaut le coût d'aider un peu le projet qui te sert tant. Parceque si chacun en profite sans verser en retour, le projet qui te sert tant risque de disparaître faute de moyens.
            • [^] # Re: Les entreprises payent ?

              Posté par  . Évalué à 5.

              > Bah quand tu économises un paquet en utilisant un logiciel sous X11/BSD et que ton
              > activité te rapporte un paquet, si tu réfléchis deux secondes, tu te rends bien compte
              > que ça vaut le coût d'aider un peu le projet qui te sert tant. Parceque si chacun en profite
              > sans verser en retour, le projet qui te sert tant risque de disparaître faute de moyens.

              Je suis d'accord avec ça sur le plan théorique.

              En pratique, j'ai bossé uniquement dans des boîtes qui dépendent vitalement de moultes logiciels libres, et qui ne filent absolument rien (sauf une) : ni argent, ni code, ni même de la doc en retour...

              Et vous ? quelles sont vos expérience ?

              Je suppose plusieurs raisons à ce comportement peu citoyen :
              o L'avarice aveugle et court-termiste des dirigeants
              o Se défausser sur les autres (« ils trouveront bien quelqu'un d'autre qui contribuera »)
              o L'absence de conscience de la notion de « bien public », dans le secteur privé français
              o La difficulté de justifier une dépense non imposée aux dirigeants ou actionnaires
              o Une mentalité foncièrement consumériste (« on se pose pas de question, on trouve plein de bouffe sur la table, on mange tout ce qu'on peux, on rote et on se casse »)

              Alors rappeler publiquement que ces projets libres sont fragiles, et dépendent vitalement des contributeurs (de code comme d'argent) ne peux pas faire de mal (bien que je doute que ça suffise à amener une prise de conscience générale).
              • [^] # Re: Les entreprises payent ?

                Posté par  . Évalué à 2.

                En pratique, j'ai bossé uniquement dans des boîtes qui dépendent vitalement de moultes logiciels libres, et qui ne filent absolument rien (sauf une) : ni argent, ni code, ni même de la doc en retour...

                Et vous ? quelles sont vos expérience ?


                Pas mieux. Tous les 36 du mois, j'envoie un patch en douce pour un truc dont j'ai besoin pour avancer, mais c'est tout.

                Mais il y a pire : les boites qui utilisent une bibliothèque en double licence GPL/commerciale pour faire un soft proprio, sans payer la licence commerciale.
            • [^] # Re: Les entreprises payent ?

              Posté par  . Évalué à 1.

              Bah quand tu économises un paquet en utilisant un logiciel sous X11/BSD et que ton activité te rapporte un paquet, si tu réfléchis deux secondes, tu te rends bien compte que ça vaut le coût d'aider un peu le projet qui te sert tant. Ça fonctionne aussi avec les licences copyleft, non ?

              Parceque si chacun en profite sans verser en retour, le projet qui te sert tant risque de disparaître faute de moyens. Tu parles des financements ou de la licence là ?
  • # Pourquoi du Dell

    Posté par  (site web personnel) . Évalué à -1.

    Autant je peux comprendre que le projet cherche une nouvelle infrastructure, autant je ne comprends pas pourquoi ils veulent acheté du DELL : Ce n'est pas un constructeur réputé pour faire du materiel standart (gros point faible le support matériel chez les unix alternatifs), et en plus, ils pouraient obtenir la meme config pour moins cher avec des composants "normaux"
    • [^] # Re: Pourquoi du Dell

      Posté par  . Évalué à 4.

      Peut-être pour le service après-vente ? Intervention J+1, voir 4heures, à un prix abordable. C'est peut-être ça qui attire le client chez Dell...

      NB: Je ne travaille _plus_ pour Dell, mais presque tous les clients satisfaits l'étaient grâce au service après-vente...

      Qu'entends-tu par "composants normaux" ? Une machine IBM, HP, whatever ? Ou bien une machine maison ? Dans ce dernier cas se pose le problème de la maintenance (diagnostique, stock de pièce de rechange)
    • [^] # Re: Pourquoi du Dell

      Posté par  . Évalué à 10.

      > Ce n'est pas un constructeur réputé pour faire du materiel standart

      Tout le contraire.

      Et c'est ce qui importe pour des serveurs sous (et pour) OpenBSD : ils n'utilisent pas de softs proprios pour gérer le matériel serveur (quand bien même ils le voudraient, ils ne sont pas dans le radar des fabricants de chipsets, qui ne fournissent donc pas de vilains outils proprios). Même chose que pour le wifi en fait.

      Sur tout les points possibles d'achoppement ou incompatibilité pouvant toucher un serveur :
      - Controleur RAID : depuis deux ans, toutes les cartes RAID des Dell (PERC5 et PERC6) sont basées sur des chipsets LSI (et non plus Adaptec), dont les specs sont ouvertes. Ce qui permet d'avoir un bon driver, et de les gérer (monitoring, reconstruction, etc.) avec le brctl(8) natif d'OpenBSD.
      - Sensors : les sensors sont tous accessibles par l'interface standard IPMI, donc bien supportés par les outils natifs (sensord, et les outils de supervision externes).
      - Southbridge : Les chipsets des cartes mères sont du Intel (pas cette horrible merde de nvidia) (à l'exception des rares serveurs amd, mais je crois qu'il n'y a que du Intel sur la gamme PowerEdge 2950).
      - Net : Les cartes réseau sont du Broadcom BCM5708 (bon, du intel serait mieux mais ça marche).

      Le seul point perfectible à mes yeux sont les cartes d'accès/prise en main à distance (Dell DRAC), dont le chipset et le firmware sont fournis par Avocent, et merdent un peu sous firefox. Notez que cette plaie d'Avocent fournis aussi les chipset des serveurs Sun (ALOM), des HP (pour les iLO), de IBM (pour les RSA-II), etc., qui ont donc eux aussi le même problème. Faudrait que les utilisateurs de firefox ralent un peu pour que les constructeurs exigent un meilleur firmware de ce fournisseur, qui semble s'imaginer que les admins bossent tous avec un java 32 bits sous ie7.

      De mémoire, les précédents appels aux dons pour du matos d'infrastructure (comme le précédent main cvs) annonçaient aussi être destinés à acheter du Dell, vraissemblablement pour les même raisons : OpenBSD est plus sensible que Linux au matériel "pas ouvert" ou "pas standard".
      • [^] # Re: Pourquoi du Dell

        Posté par  . Évalué à 7.

        J'oubliais :
        - Watchdog : fournis à travers l'interface standard IPMI. Donc pas besoin de driver spécifique, ça marche out of the box avec un kernel BSD comme avec un kernel Linux.
        - Petits matériel : visseries, ventilateurs, cables d'alim, etc. standards. Lecteur CD, RAM, CPUS, disques durs (SCSI avant, SAS désormais), etc. standards. Les rails et les tiroirs disques durs sont sur mesure, comme pour tout les serveurs.
        - BIOS & ACPI : de bonne factures, qui ne choquent pas le noyau Linux ni même (et c'est plus difficile) celui d'OpenBSD, et qui ne masquent pas les instructions de virtualisation ou autres fonctionnalité importantes.

        On peux difficilement faire beaucoup plus standard et F/OSS-friendly comme matériel serveur (je dis serveur, parce que sur un desktop ou laptop les choses qui comptent le plus sont différentes : carte graphique, carte wifi, suspend-to-ram et hibernation, etc.).
      • [^] # Re: Pourquoi du Dell

        Posté par  (Mastodon) . Évalué à 3.

        Notez que cette plaie d'Avocent fournis aussi les chipset des serveurs Sun (ALOM), des HP (pour les iLO), de IBM (pour les RSA-II), etc., qui ont donc eux aussi le même problème. Faudrait que les utilisateurs de firefox ralent un peu pour que les constructeurs exigent un meilleur firmware de ce fournisseur, qui semble s'imaginer que les admins bossent tous avec un java 32 bits sous ie7.

        Les ALOM sun n'ont pas de serveur web et sont donc accessible uniquement via telnet et/ou ssh, par contre les ELOM et ILOM ont une interface web qui fonctionne parfaitement avec firefox. Révise tes classiques.

        Jami: beabb2b063da0a2f0a2acaddcd9cc1421245d5de

        • [^] # Re: Pourquoi du Dell

          Posté par  . Évalué à 2.

          > Les ALOM sun n'ont pas de serveur web

          Désolé pour le raccourcis, j'aurais du dire : « Avocent fournis aussi les chipset des serveurs Sun (ALOM), des HP (pour les iLO), [...] qui ont donc eux aussi le même problème (du moins ceux qui essaient de fournir cette fonctionnalité, évidement) ».

          > les ELOM et ILOM ont une interface web qui fonctionne parfaitement avec firefox.

          Soit on n'a pas le même niveau d'exigence (mais à ce point, ça me semble peu probable), soit tu a la chance d'utiliser une des rares config/environnement firefox a avoir miraculeusement été testée par Avocent. Ou alors un firefox sous Windows ? là aussi j'aurais dû mieux préciser : « marchent super mal avec les firefox et/ou les java inclus dans les distros Linux modernes et orientées desktop ». En ce qui me concerne, je n'ai jamais réussi à installer un OS à distance sur un HP sans ressortir une machine virtuelle sous Windows (faute de quoi : media virtuel qui se déconnecte abruptement, freeze du navigateur, applet qui se met à ne plus rien afficher, keystroke doublés, ... sous firefox linux).
          • [^] # Re: Pourquoi du Dell

            Posté par  (Mastodon) . Évalué à 2.

            Je me connectes au ilom via une workstation sous freebsd (et des collègues le font aussi sous linux ou windows).

            Par contre en effet nous n'avons probablement pas les mêmes besoin car nous n'avons jamais utilisé la redirection de la console via l'interface web (nous l'utilisons peu en fait). On utilise bêtement la console en ligne de commande via ssh pour cela, c'est bien plus pratique je la démarre dans screen et je peux enregistrer l'historique en cas de besoin.

            Quel est l'intérêt d'utiliser cette console depuis l'interface web ?

            Jami: beabb2b063da0a2f0a2acaddcd9cc1421245d5de

            • [^] # Re: Pourquoi du Dell

              Posté par  . Évalué à 1.

              Pour installer les OS à distance, sans avoir à bricoler les CD d'install afin de leur dire de lancer l'installeur sur la console série virtuelle en mode texte (ce qui n'est d'ailleurs pas toujours possible), et au passage attacher une image iso locale de l'OS à la machine comme un "cdrom virtuel".

              Selon l'environnement, un boot pxe d'un bootloader + kernel + installeur paramétrés pour utiliser la console virtuelle série fournie/émulée par la carte de management conviennent très bien, mais pas lorsque les OS à installer changent souvent, ou qu'il y a des non-unix parmi eux, ou qu'on ne peux pas poser de serveur tftp sur le réseau cible.

              Une fois l'OS installé, je n'utilise jamais ce truc bien sûr, je ne suis pas maso ;-) (là, effectivement, un ssh est très bien, ou encore le serial over ipmi, et encore j'ai vraiment rarement besoin d'accéder à la vraie console principale d'un serveur une fois celui-ci installé).

              Aussi, pour tripatouiller dans l'interface des controleurs raid...
              • [^] # Re: Pourquoi du Dell

                Posté par  (Mastodon) . Évalué à 3.

                ah ok je n'ai jamais rencontré d'os ne redirigeant pas la console facilement sur ce genre de serveurs, je ne manipule que des unix...

                Je testerais voir cette console graphique juste pour voir comment ça marche avec firefox sur ma machine.

                Jami: beabb2b063da0a2f0a2acaddcd9cc1421245d5de

      • [^] # Re: Pourquoi du Dell

        Posté par  . Évalué à 2.

        Rappellons que les iLO d'HP nécessitent une licence d'utilisation playante ( environ 300€ si je me souviens bien)
  • # Et pourquoi pas un serveur SUN?

    Posté par  . Évalué à 3.

    La série des Enterprises T5XXX - SPARC T2+ - est géniale et pas si chèro que ça en regard de la concurrence.

    Même si l'argent des dons est destiné à renforcer le projet OpenBSD, je préfère que ça part dans du Sun que du Dell.
    • [^] # Re: Et pourquoi pas un serveur SUN?

      Posté par  (site web personnel) . Évalué à 2.

      Je pense que si tu lis l'entretiens de théo de raadt pointé plus haut [http://www.linux.com/articles/53004], tu auras ta réponse.


      If you want to judge any entity particularly harshly, judge Sun. Yearly they hold interoperability events, for NFS and other protocols, and they include SSH implementation tests as well. Twice we asked them to cover the travel and accommodation costs for a developer to come to their event, and they refused. Considering that their SunSSH is directly based on our code, that is just flat out insulting. Shame on you Sun, shame, shame, shame.
  • # 2950III à 1600€ HT

    Posté par  . Évalué à 2.

    7000€ ca fait en gros 5500€
    Un 2950III coute 1600€ HT en ce moment
    http://www1.euro.dell.com/content/products/productdetails.as(...)

    J'ai loupé quoi ? la garantie ?
    • [^] # Re: 2950III à 1600€ HT

      Posté par  (site web personnel) . Évalué à 8.

      Tu peux avoir des 2950 avec :
      - 1 processeur bi-core
      - 2 go de RAM
      - 1 disque dur SATA.
      - 1 an de garantie 5 jour sur 7

      Tu peux avoir des 2950 avec :
      - 2 processeurs quad-core
      - 32 go de RAM
      - 8 disques durs SAS 15K RPM.
      - 5 ans de garantie 24x7 avec délai de 4h.

      Etonnament, le prix ne sera vraiment pas le même :)

      Enfin, il faut savoir que chez Dell (mais pas que chez eux) il y a une différence importante entre le prix public affiché et le prix que tu peux négocier avec le commercial :)
      • [^] # Re: 2950III à 1600€ HT

        Posté par  . Évalué à 6.

        La différence de prix, c'est le miel que Theo doit ingurgiter chaque jour pour éviter de trop insulter tout le monde...

        Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

    • [^] # Re: 2950III à 1600€ HT

      Posté par  . Évalué à 2.

      /me toujours pas compris pourquoi acheter une machine à 5000 € au lieu de 2 machines à 2500 € (qui sont au total nettement plus puissantes et, surtout, évitent de recourir à une garantie hors de prix).

      L'espace dans les racks, ah oui ok. M'enfin à ce tarif, autant louer des serveurs tout cuits. Il doit bien y avoir l'équivalent d'OVH en Amérique du Nord non ?
      • [^] # Re: 2950III à 1600€ HT

        Posté par  . Évalué à 1.

        Les disques SAS coutent un rein, si tu les mets en load balancing -> 2x plus cher.
        Le SAV a une surement une grosse part fixe -> plus cher.

        De plus le NFS en load balancing ...
    • [^] # Re: 2950III à 1600€ HT

      Posté par  . Évalué à 2.

      >J'ai loupé quoi ? la garantie ?
      Au hasard, je dirais "vérifier".
      Au Canada (vu que c'est la que le projet est installé), la version de base est "starting from 3,070$". La "enhanced" à partir de 2,971$:
      http://www1.ca.dell.com/content/products/features.aspx/pedge(...)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.