C'est aussi quelque chose qui m'avait marqué avec les patrimoines des ministres quand ils ont été publiés : les patrimoines de tous ces gens sont assez incohérents avec leurs revenus, (sauf Mélenchon, peut-être). La plupart des ministres avaient moins de patrimoine que moi, alors que je suis plus jeune et que je gagne beaucoup moins ; et j'ai l'impression que j'aurai autant que la plupart des candidats à la présidentielle à leur âge. Comment-est-ce possible? Qu'est-ce que les Fillon ont fait avec tout le pognon qu'ils ont «gagné» à l'assemblée et au sénat? Sérieusement, ils font des braséros avec des biftons, ou quoi? Ce qui m'étonne le plus, c'est cette manière de dépenser exactement ce qu'on a ; ces gens là ont des revenus qui fluctuent énormément, avec une alternance de périodes plutôt fastes (cumul de mandats) et de traversées du désert. Et quelle que soit la période, notamment même en période faste, ils ont que dalle sur leurs comptes. C'est à se demander s'ils n'essayent pas plus ou moins d'organiser une potentielle insolvabilité, et/ou qu'ils n'ont pas des combines à la noix pour mettre de l'oseille sous leur matelas. Un ex-multi ministre et multi-élu comme Fillon devrait avoir plusieurs millions d'euros de patrimoine, c'est quelqu'un qui a probablement gagné plus de 5 M€ dans sa vie, où est passé le pognon? C'est le mec qui veut nous expliquer qu'il est un bon gestionnaire, alors qu'il est tellement sec qu'il doit emprunter à la famille pour payer ses impôts?
Tout semble organisé pour qu'ils aient des patrimoines médians, et qu'ils puissent communiquer autour de ça. Mais c'est tellement incohérent avec leurs revenus et leur train de vie que ça n'est pas du tout normal d'avoir des patrimoines médians dans leur situation, et je ne comprends pas que ça ne frappe pas plus l'opinion publique.
Du coup, ça veut dire que la méthode d'identification n'est pas du tout traditionnelle, non? Chaque utilisateur a plusieurs id (ses différents comptes) et un seul mdp. Du coup, ils doivent garder un hash par couple (id,mdp) et retrouver l'utilisateur à partir de ça. Mais du coup comment font-ils pour savoir à qui renvoyer le mdp quand un compte joint est bloqué? Aux deux, j'imagine?
Du coup cela se fait avec une adresse mail normale et pas sécurisée.
J'imagine quand même qu'il faut changer le mdp à la première utilisation, autrement c'est portnawak…
Dans au moins une grosse banque française, ton identifiant c'est ton numéro de compte.
C'est bizarre, tu es sûr? Un client peut avoir plusieurs numéros de compte, et un compte peut correspondre à plusieurs personnes physiques (compte joint). Chez moi, le login reprend le pattern du premier compte que j'ai créé dans cette banque, mais ensuite il y a plusieurs chiffres supplémentaires "aléatoires".
De toutes manières, "un grosse banque française" c'est pas assez précis pour qu'on puisse vérifier, hein…
Je pense que oui. La cohérence n'est pas quelque chose de subjectif, et la logique n'est pas à géométrie variable. Même les textes officiels du parti sont bourrés de logique politique fallacieuse, du type : «Nous sommes les seuls à affirmer qu'il existe une corrélation entre X et Y» qui laissent une éventuelle conclusion en l'air. X et Y sont d'ailleurs n'importe quoi, ça n'est pas grave. Par exemple, la taille des régions française et des états Américains. Si tu appelles ça un discours cohérent, alors oui, tu es «barré». Ou plus exactement, tu n'as pas la structure mentale pour distinguer un discours cohérent d'un discours incohérent, je ne sais pas s'il y a un terme technique plus précis que «barré».
Par contre croire que le wifi de répéteur va s'arrêter à tes murs, c'est juste hilarant !
Fais un schéma et calcule les volumes desservis dans les deux configurations. Je n'irais pas jusqu'à dire que c'est hilarant, mais avant de te moquer des gens, essaye de piger ce qu'on essaye de dire.
En gros, le répéteur va permettre de desservir la totalité de ton volume de manière beaucoup plus parcimonieuse qu'un gros emetteur. Par exemple, si tu es à 20m de la box, que la box et le répéteur couvrent chacun un volume de rayon 10m, tu vas couvrir environ 7300 m3 (à une vache près, je n'ai pas envie de calculer l'intersection entre deux sphères). Si tu gonfles ta box pour couvrir une sphère de rayon 20m, tu couvres un volume de 33500m3, soit 4.6 fois plus que la solution avec répéteur. C'est la différence entre les voisins et tout l'immeuble, quoi.
Ça semble du coup super facile de faire du déni de service… Tu me donne ton numéro de client et ta date de naissance ?
Ouais, du coup ça semble super-dur de faire du déni de service, parce qu'il faut une DB de numéros de clients et de dates de naissances. On peut pourrir mille personne mille fois… non, on peut pourrir une fois une personne… euh non, mille fois mille personnes…
Par contre, c'est vrai du coup qu'on peut pourrir mille fois une personne, puisqu'à moins de changer le numéro de client, une personne malveillante peut te bloquer ton compte toutes les semaines. Je pense que dans ce cas tu changes de numéro de client, le mien reprend le pattern du numéro de compte mais il y a plusieurs chiffres aléatoires dedans. Mais bon, c'est du DDOS bas débit :-)
Mouais, du coup le mouton est celui qui suit un parti traditionnel, mais pas ceux qui suivent Asselineau? Le raisonnement derrière c'est quoi, c'est qu'avant Asselineau ils pensaient par eux-mêmes mais n'avaient personne à suivre, et que maintenant ils ont trouvé quelqu'un qui allait les mener… à l'abattoir électoral, 0.5% des voix, frais de campagne non remboursés, Bêêêê bêêêê?
C'est pas facile de compter jusqu'à trois… Trois tentative depuis la même IP ?
Non, c'est 3 tentatives tout court. Ça me semble super-facile.
Même en tapant au hasard ça fait une connexion réussie sur 20 000 000, c'est pas rien.
C'est beaucoup plus que le nombre de clients de la plupart des banques :-) Ça limite quand même énormément les risques d'intrusion. Pense que l'objectif n'est pas forcément d'avoir une sécurité à 100%, c'est de faire en sorte que les risques soient gérable. Si tu as 100 millions de comptes et qu'en moyenne tu as 2000€ par compte, un attaquant qui te pique ta DB de numéros de clients va pouvoir te pomper… 10000€, que tu vas pouvoir très facilement recréditer à tes clients. Pour une attaque majeure, qui n'arrive probablement que très rarement, et que tu vas assez facilement pouvoir bloquer si tu as des systèmes de monitoring performants (du style, repérer un pic de blocages après tentatives infructueuses).
il doit y avoir moyen de faire bien mieux.
Reconvertis-toi dans le piratage des banques :-) Il faudrait regarder l'évolution de la fraude, ça augmente régulièrement mais je ne sais pas trop quels sont les facteurs principaux. Je doute que le piratage de l'accès électronique aux comptes bancaires soit la cause majeure, c'est beaucoup trop facile à bloquer (en particulier, il n'y a que dans les films où les virements sont instantanés, en général il faut au moins 24h pendant lesquelles le virement peut être annulé par la banque).
Je ne comprends pas. J'ai l'impression que tu imagines que l'attaquant a accès à la DB de la banque. Est-ce que c'est un scénario plausible? Je n'ai jamais entendu parler d'une telle situation, et pourtant, les DB des banques doivent être parmi les cibles les plus convoitées. Peut-être sont-elles hors de portées, ou bien sont-elles suffisamment protégées pour qu'une quelconque intrusion soit immédiatement détectée? En tout cas, elles seraient attaquable même avec des mdp de 6 chiffres, dont le raisonnement ne tient pas : la sécurité recherchée n'est pas du tout ciblée sur les hash et la DB.
Je pense que la procédure dont on parle ne sert qu'à une seule chose : sécuriser l'accès au compte dans le cadre de la règle de blocage après trois erreurs. Quelle est la plus grosse faille dans ce cas? Bien sûr, le couteau sous la gorge. Mais après? Qu'on intercepte ton code, que ce soit en regardant par dessus ton épaule, ou en te refilant un PC daubé, voire en interceptant la connexion (MitM ou autres). Du coup, ne jamais réutiliser le même mdp pourrait être une solution. Sauf que ça n'est pas pratique du tout, personne ne voudrait apprendre 20 mots de passe. La solution de te demander un mdp partiel a donc une certaine élégance, puisqu'au prix d'une diminution de l'entropie du mdp (dont tu te fiches à cause de la règle des trois essais), tu as 20 mots de passe pour le prix d'un. Tu peux même en avoir beaucoup plus si tu autorises les combinaisons non-ordonnées, d'ailleurs (style : le 6e, le 2e, et le 5e chiffre). Bref, tu as virtuellement un mdp unique pour chaque connexion, même si l'utilisateur se fait piquer son mdp, tu ne pourras pas te reconnecter. Le seul code à garder secret est le mdp à 6 chiffres, mdp que personne ne te demandra jamais. Tu pourrais juste le reconstituer après plusieurs (au moins 4 ou 5) interceptions à la fois du mdp et de la séquence demandée. Je trouve que c'est une solution plutôt élégante pour générer des mdp uniques, non?
ni de la prise en compte de l'atténuation inévitables de mes pigtails
Tu veux dire que le respect des normes d'émission repose sur l'atténuation potentielle de tes pigtails? Sérieusement, ça n'est pas à moi de venir faire des mesures chez toi, je m'en fous, et je ne suis probablement même pas un de tes voisins. C'est juste que ton hack me semble relever de l'égoïsme pur et simple ; tu bricoles à l'arrache une box internet pour augmenter la puissance du wifi sans même te demander si ton niveau d'émission est légal, tu t'en fous de savoir si tu arroses 18 appartements à partir du moment où tu as le wifi à partir de ton lit… Tant mieux pour toi si tu es sous la limite légale, mais ça donne l'impression que tu n'y as même pas pensé.
Pas de scellés externes et interne et si il y en avait en interne ils seraient obligés de les casser eux mêmes pour vérifier ;)
Il en est à 3*4.90 + 3*6.60 = 34.50€ de matériel sans les frais de port… Du coup, je ne vois pas bien la différence avec un répéteur.
comme sa modification est réversible, je ne vois pas trop le problème
Je crois bien que la box est scellée…
On traverse tous parfois en dehors des clous
Certes, mais le matos ne lui appartient pas. Bien sûr, ça ne va pas porter préjudice à Free, mais c'est plus une histoire de principe aussi ; c'est quand même plus "classe" de faire ses expériences avec des objets perso plutôt qu'avec ceux des autres. Si tu prêtes ta bagnole à un pote et qu'il te la rend toute propre, tu vas être content. Mais si tu apprend qu'en fait il a été faire une course de 4x4 dans la forêt, qu'il s'est pris une souche et que du coup il a dû changer le triangle de suspension, avant de passer le tout au jet d'eau, bah tu vas être un peu moins content, peut-être.
Tu peux aussi te mettre du côté de Free : peut-être que le bridage du Wifi est volontaire, que la puissance est calculée en fonction de la puissance moyenne nécessaire de manière à pouvoir louer une box par appartement dans les zones denses, et que "le wifi du voisin Freebox-Truc interfère avec le mien" ne soit pas la phrase la plus citée dans la hotline (pub négative). Voire, que Free a anticipé d'éventuels problèmes de santé avec le wifi et essaye de se mettre à l'abri (pure spéculation de ma part). Bref, il y a peut-être des raisons.
Ça me parait trop bancal pour être ça. De toutes manières, il n'y a pas assez d'entropie sur un mdp de 6 chiffres pour résister à une attaque bruteforce, donc à mon avis ça n'est pas du tout comme ça que ça fonctionne. Tous ces systèmes reposent sur une sécurité par blocage après un nombre très limité de tentatives ; le mot de passe n'est là que pour rendre improbable de rentrer dans le système en "devinant" le mot de passe, même si on le connait partiellement (un ou deux chiffres entr'aperçus).
Si on oublie le problème d'interception du mdp lors de sa réinitialisation, qui doit évidemment arriver de temps en temps du fait des blocages sensibles, le défaut du système est qu'il devient possible de voir une personne taper son mot de passe, qui est court et très simple. Par exemple, si on voit 3 chiffres du les 4 d'un code de carte bancaire, il devient tout à fait possible de tenter de deviner le dernier avec trois tentatives. Créer un mdp "tournant" (un seul mdp à retenir mais seulement une sous-partie demandée à chaque fois) protège cette partie, car c'est comme si on avait 20 mots de passe différents (mais on a l'impression de n'en retenir qu'un). C'est plutôt ingénieux, non?
Certes, mais pourquoi suivre quelqu'un qui est visiblement dérangé? Je trouve que les hommes politiques «traditionnels» offrent cette alternative (ils définissent des ennemis : les étrangers, les multinationales, les fonctionnaires, les riches, les pauvres, etc), mais ils ne sont pas fous : ils sont manipulateurs. Ils connaissent les faiblesses des électeurs, et en profitent. S'il faut changer complètement de discours, ils le font.
Du coup, pourquoi quelqu'un qui n'est visiblement pas très clair dans sa tête arrive à attirer des suiveurs alors qu'il n'a pas de stratégie ou de théorie de la manipulation derrière ses déclarations? Est-ce que la sincérité suffit? Raconter n'importe quoi sans aucune logique en étant sincère est-il plus convainquant qu'un discours structuré (même si fallacieux) à des fins de manipulation?
Je confirme que la V6 est molle du genou en wifi (passage de V5 à V6 avec une baisse du signal), mais il suffit d'acheter un répéteur wifi (20 euros à tout casser) pour couvrir la totalité d'un bâtiment.
La Freebox ne t'appartient pas, le hack viole les CGU et on pourra te facturer la box, même en fin de vie. Ça ne m'étonnerait qu'à moitié que la boîte ait des scellés discrets, d'ailleurs.
Par ailleurs, la puissance des émetteurs Wifi est réglementée, non seulement la manip est interdite par Free, mais en plus il n'est pas du tout certain que les niveaux d'émission soient légaux, surtout en collant trois antennes vendues individuellement.
En plus, quand on habite en collectivité, le principal problème vient souvent des interférences avec les autres équipements wifi. Si tout le monde commence à émettre de plus en plus fort, ça ne va pas régler le problème, loin de là! Honnêtement, je ne vois pas la différence entre ton comportement et celui d'un ado qui fait le tour du quartier à 3h du mat avec une mob trafiquée.
Je trouve ça amusant d'avoir la fraicheur d'esprit de souhaiter lire le programme d'Asselineau et de partir sur l'idée de l'analyser d'un point de vue rationnel.
Asselineau, je le «connais» depuis près de 15 ans par Wikipédia. À l'époque, le mec (ou un soutien proche) n'arrêtait pas de créer un article sur lui, alors qu'il ne remplissait pas les critères d'admissibilité. Au bout de plusieurs suppressions de pages, de menaces de poursuites, de menaces physiques à l'encontre des admins de Wikipédia, le mec a réussi à faire tellement de buzz qu'il a commencé à intéresser des pigistes de journaux locaux, puis de plus en plus gros, autour de l'idée que Wikipédia censurait les mouvements politiques marginaux, que ça prouvait que Wikipédia était noyauté par la CIA ou les chinois du FBI, etc. Après plusieurs mois de ce petit jeu, il s'est avéré que l'histoire de ce mec avait assez intéressé les journalistes pour qu'il atteigne mécaniquement les critères d'admissibilité de Wikipédia! Le premier Homme à devenir connu pour s'être trop plaint qu'il était inconnu. C'est un tour de force, pathétique quelque part, mais quand même assez impressionnant.
Les gens un peu barrés, il y en a toujours eu, ça ne m'étonne pas. Ce qui m'étonnera toujours et démontre mon manque de compréhension de la psychologie humaine, c'est que certain d'entre eux arrivent à attirer autour d'eux une cour de suiveurs encore plus barrés, et super-motivés. J'imagine que c'est comme ça que les religions démarrent, mais j'avoue ne pas réussir à comprendre comment ça peut marcher.
En même temps, à mon avis, le pré-mâché a l'avantage de laisser aux gens qui n'ont pas de dents le bénéfice du doute sur leur capacité à mastiquer. Parce qu'il y a quand même pire que les gens qui répètent les âneries pré-mâchées : c'est ceux qui les inventent eux mêmes :-)
J'imagine que ça permet de ne pas se faire intercepter son code en une fois au cas où ça se produit. Choisir 3 chiffres parmi 6 donne (si je ne me trompe pas) 20 combinaisons, ce qui fait que quelqu'un qui te voit taper ton code dans un cybercafé ou qui arrive à l'intercepter n'a qu'une chance sur 20 de pouvoir le reproduire.
les claviers virtuels sont déjà assez pénibles comme ça. si c'est pour en plus ajouter une complexité
On peut toujours discuter des détails, mais je ne pense pas que les banques ou autres organismes n'aient pour unique but dans la vie que de pourrir ton expérience utilisateur avec leurs services, c'est même probablement le contraire. Il faut quand même comprendre que l'équation est extrêmement difficile à résoudre : on veut des moyens de payement les plus fiables, les moins chers, les plus rapides, les plus sécurisés, et les plus faciles à utiliser possible. Par exemple, à titre personnel, je n'ai jamais compris l'intérêt des cartes sans contact, mais à voir le nombre de gens qui trouvent ça génial et qui réclament ce type de services aux commerçants, je me dis que je ne représente pas du tout la majorité. Comme on veut par dessus tout que la banque couvre les fraudes (à raison la plupart du temps, mais aussi en cas de négligence), il parait quand même assez normal que les banques trouvent un compromis entre l'achat en un clic et le chèque de banque. C'est certain que la multiplication des systèmes d'identification un peu baroques (code SMS, email, code partiel, claviers virtuels…) est un peu déroutante et semble parfois inefficace, mais comme on ne veut pas non plus de puces implantées sous la peau, il faut bien quand même une solution intermédiaire en terme de complexité.
Oui mais là, ce que tu décris, c'est simplement de maitriser une panoplie d'outils : un langage compilé pour les perfs, un langage de haut niveau pour parser des fichiers, un shell pour automatiser les tâches, et éventuellement quelques langages spécialisés en fonction des besoins (service web, bases de données, gestion des tâches sur un cluster de calcul…). Je pense que personne ne peut vraiment imaginer que c'est inutile.
Là où ça devient vraiment discutable, c'est (si j'ai bien compris l'approche proposée dans le journal) l'idée d'avoir une culture générale très large en terme de langages de programmation. Mon point de vue, c'est que si on est à l'aide en perl, il n'y a aucune raison d'apprendre python et ruby sans avoir auparavant identifié un besoin précis. Même si chaque langage a ses particularités, et qu'un traitement pourrait être plus efficace ou plus facile à coder avec un langage précis, mieux vaut certainement utiliser un langage dont on maitrise les caractéristiques plutôt que de pondre un code de débutant dans un langage qu'on connait mal. Ça pose trop de problèmes de lisibilité, de maintenance, de performances, ou même de sécurité.
Mouais, les mécanismes de la fiction ne sont pas ceux de la réalité, tout le monde le sait. Le but est de raconter une hsitoire, et quand tu racontes une histoire, tu utilises des "trucs". Sinon, c'est pas que c'est réaliste, c'est que c'est chiant.
Par exemple, quand tu as un personnage qui a envie de pisser, c'est parce qu'il doit sortir de la maison pour se faire bouffer par les zombies ou par les dinausaures. Tu n'as jamais un mec qui sort pisser, et qui revient deux minutes après sans qu'il ne se soit rien passé. C'est comme ça, dans les films, aller pisser, ça doit servir à quelque chose.
L'autre problème que tu évoques, c'est évidemment que tous ces films sont des produits industriels standardisés. Individuellement, les ficelles qu'ils utilisent sont évidemment des "bons" processus narratifs, mais ils sont usés jusqu'à la corde par leur sur-utilisation et parfois par leur utilisation caricaturale.
Il faut de toutes manières imaginer que le public devient de plus en plus difficile, parce que justement il est super habitué à des superproductions théorisées et millimétrées. Évidemment, tu peux toujours trouver un marché de niche pour le ciné alternatif, mais trouver un public pour des films d'actions qui ont des moments chiants où il ne se passe rien, ça ne va pas être évident. Au final, il suffit de relire les grands auteurs classiques par exemple pour se rendre compte à quel point ils ne maitrisent pas les lecteurs ; Victor Hugo écrivait bien et ses romans méritent d'être lus pour leur aspect historique ou pour la description de la société, mais pas pour la maitrise du récit de fiction. Si tu es snob, tu peux trouver les chapitres entiers de descriptions "enrichissants" ou "reposants", mais honnêtement, c'est juste super chiant.
apprendre à apprendre et de combiner le meilleur de chaque langage
D'après mon expérience, c'est quand même dans l'exploitation de leurs subtilités que les langages deviennent intéressants, et l'expertise du programmeur également.
Le problème de l'approche polyvalente, c'est quand même qu'un programmeur ne peut pas connaitre à fond des dizaines de langages. Du coup, il va écrire du code passe partout, c'est à dire du pseudocode traduit dans la grammaire du langage en question. Ça pose un certain nombre de problèmes, notamment le fait de ne pas maitriser correctement un seul langage, et de manière plus générale ne pas exploiter les possibilités d'un langage. On peut aussi écrire du code qui respecte la grammaire du langage mais pas son esprit (par exemple l'(in)fameux C/C++).
L'autre problème, c'est que pour un projet donné, on ne peut pas écrire un bout de code en C, un bout en Rust, un truc en javascript, l'interface en perl et le serveur en C++… Au bout d'un moment, il faut savoir maintenir une cohérence dans un projet, parce que d'autres êtres humains sont susceptibles de lire le code et d'essayer de modifier le truc.
Au final, j'ai du mal à comprendre ce principe de la connaissance superficielle des outils. Pour trouver du boulot, peut-être? Mais après, forcément, on risque d'être impliqué des années dans un projet basé sur un ou deux langages, et donc se spécialiser.
La question, c'est quand même si les causes d'invalidité partielle de la GPL sont problématiques ou non. Il y a trois points "litigieux" dans la GPL d'après la CeCILL :
* Le problème de la cession des droits d'auteurs sans limitation dans le temps
* Le problème de l'absence totale de garanties
* Le problème de l'absence de la localisation du tribunal en cas de litige
Je ne sais plus comment la CeCILL gère le premmier problème, mais pour les deux autres, la résolution n'est franchement pas terrible.
Pour les garanties, la CeCILL se met en conformité avec le droit français ; elle admet qu'il y a une garantie pour les dommages directs et quand l'utilisateur est un particulier. Or, pour moi, c'est problématique : la CeCILL offre cette garantie non seulement aux utilisateurs français (qui y auraient droit de toutes manières même si la licence était la GPL, sauf qu'ils leurs faudrait éventuellement contester la licence au tribunal pour ça), mais aussi à tous les utilisateurs étrangers (et ce, même si la clause de levée de garantie était légale dans leur pays). Du coup, ça met en effet l'auteur du logiciel en situation de "sécurité juridique" : il sait qu'il doit potentiellement payer pour les dommages directs à tous les utilisateurs de la planète. Mieux vaut éviter d'utliliser la CeCILL quand on code un driver de disque dur, hein…
Pour la localisation, la CeCILL impose Paris. À mes yeux, c'est une clause de juriste à la con, qui assure certes la sécurité de l'auteur du logiciel, mais qui retire énormément de sécurité à l'utilisateur. Franchement, tu utiliserais un logiciel chinois qui t'impose d'aller défendre tes droits à Pékin? L'"insécurité" relative de la GPL me semble beaucoup plus satisfaisante : le plaignant bénéficie des lois de son pays. De toutes manières, il me semble très improbable qu'un tribunal étranger se déclare incompétent et décide de se débarrasser du problème.
C'est mon opinion de non-juriste et elle ne vaut pas grand chose, je l'admet. J'ai juste l'impression que la CeCILL grave dans le marbre ce que concluerait logiquement un tribunal français si un auteur français essayait de faire valoir ses droits, et grave aussi dans le marbre les droits qu'aurait un utilisateur français, qui est bien plus protégé que la moyenne. Du coup, tu as la "sécurité" (dans le sens de "certitude"), mais à mon avis mieux vaudrait rester dans le flou, surtout pour les dommages directs qui peuvent te conduire sur la paille alors que tu bosses bénévolement, faut pas déconner quand même.
Pour avoir discuté avec des gens qui étaient dans les discussions ayant finalement mené à la rédaction de la CeCill, j'ai quand même eu l'impression que les motivations étaient principalement politiques. C'est sûr que ça a été vendu sur la base d'argument juridiques, mais sur le fond, l'idée semble avoir tourné autour de l'idée qu'il n'était pas acceptable pour un organisme public Français par exemple de mettre son travail disponible dans une licence élaborée par nos "ennemis" anglo-saxons.
En plus, imagine que la licence est tellement bien écrite et tellement claire que toutes les clauses paraissent sans aucun doute légales et inattaquables. Personne n'irait tenter un procès perdu d'avance. Du coup, ça voudrait dire que cette licence parfaite ne serait pas validée par la justice? Ça me semble paradoxal.
D'une certaine manière, à ma connaissance, personne n'a jamais vraiment remis en question la validité potentielle d'une licence comme la GPL. Il reste quelques zones d'ombre (liées par exemple à la manière de gérer la rétractation des auteurs, qui est théoriquement possible en droit français), mais globalement, quand on regarde les quelques conflits qui ont existé, les débats ont porté par exemple sur la nature du propriétaire des machines sur lesquelles les logiciels tournaient, et pas sur les bases de la GPL.
Du coup, on aime quand même bien jouer à se faire peur. Si la GPL était trouée, il y a peu de doutes qu'on le saurait déja.
Donc du coup, les solutions vaporware qui n'existent pas sont mieux que celles proposées?
Oui, parce que les solutions proposées sont indéboggables et ne relèvent que de bricolages «quick & dirty», le genre de choses que tu utilises quand tu n'as besoin que de faire quelque chose une fois et oublier à jamais. Et encore, il ne faut pas que ça soit quelque chose d'important.
Ce que le PO souhaite faire, importer deux fichiers csv qui contiennent des données partiellement chevauchantes, chercher un certain pattern dans le deuxième fichier, et remplacer ce pattern sous certaines conditions avec des données du premier fichier. Enfin, il souhaite écrire un csv valide. Tu as vu la quantité de trucs nouveaux qui arrivent à chaque question? «Ah oui, c'est possible que des IDs soient dupliqués», «il est possible que certains ne correspondent pas», etc. Clairement, il faut quelques dizaines de lignes de code dans un vrai langage de script, qui importe les deux fichiers, vérifie s'ils sont valides (bon nombre de colonnes, bons types de données, etc), retire, gère, ou fait quelque chose pour les ID dupliqués ou manquants, éventuellement balance des warnings "Ligne 3251 ID invalide", fait les remplacements souhaités, et génère le fichier valide en sortie.
Après, on peut discuter éternellement sur l'adéquation d'un outil à faire quelque chose. Si l'argument c'est simplement que c'est possible, alors oui, mais c'est aussi possible en Brainfuck. Si ça doit tenir sur 4 lignes incompréhensibles et illisibles, alors oui, c'est possible, mais il faut faire confiance et c'est du code jetable (c'est peut-être ce qui était demandé, hein). Ça n'est pas comme ça que je ferais, mais j'admet tout à fait que c'est une culture qui existe en info et il faut vivre avec.
La question, c'est un peu la même que si tu appelles un plombier pour une fuite. Tu as peut-être des mecs qui te collent un chewing-gum sur la fuite, qui foutent un coup de scotch autour et qui scellent au briquet en t'expliquant que ça polymérise le chewing-gum et que tu vois, ça ne fuit plus. En 5 minutes il a fini, et peut-être qu'en effet, ça va tenir 20 ans. Mais il n'y a pas besoin d'être un gourou de la plomberie pour voir que ça n'est pas comme ça qu'on devrait faire. C'est sûr que de couper l'eau, faire des soudures, des tests, en profiter pour changer les joints et consolider au cas où les autres endroits où ça pourrait fuir dans les années qui viennent, ça prend plus de temps et ça coûte plus cher.
# C'est toujours surprenant
Posté par arnaudus . En réponse au journal Analysons la cohérence des patrimoines de nos candidats. Évalué à 10. Dernière modification le 23 mars 2017 à 10:33.
C'est aussi quelque chose qui m'avait marqué avec les patrimoines des ministres quand ils ont été publiés : les patrimoines de tous ces gens sont assez incohérents avec leurs revenus, (sauf Mélenchon, peut-être). La plupart des ministres avaient moins de patrimoine que moi, alors que je suis plus jeune et que je gagne beaucoup moins ; et j'ai l'impression que j'aurai autant que la plupart des candidats à la présidentielle à leur âge. Comment-est-ce possible? Qu'est-ce que les Fillon ont fait avec tout le pognon qu'ils ont «gagné» à l'assemblée et au sénat? Sérieusement, ils font des braséros avec des biftons, ou quoi? Ce qui m'étonne le plus, c'est cette manière de dépenser exactement ce qu'on a ; ces gens là ont des revenus qui fluctuent énormément, avec une alternance de périodes plutôt fastes (cumul de mandats) et de traversées du désert. Et quelle que soit la période, notamment même en période faste, ils ont que dalle sur leurs comptes. C'est à se demander s'ils n'essayent pas plus ou moins d'organiser une potentielle insolvabilité, et/ou qu'ils n'ont pas des combines à la noix pour mettre de l'oseille sous leur matelas. Un ex-multi ministre et multi-élu comme Fillon devrait avoir plusieurs millions d'euros de patrimoine, c'est quelqu'un qui a probablement gagné plus de 5 M€ dans sa vie, où est passé le pognon? C'est le mec qui veut nous expliquer qu'il est un bon gestionnaire, alors qu'il est tellement sec qu'il doit emprunter à la famille pour payer ses impôts?
Tout semble organisé pour qu'ils aient des patrimoines médians, et qu'ils puissent communiquer autour de ça. Mais c'est tellement incohérent avec leurs revenus et leur train de vie que ça n'est pas du tout normal d'avoir des patrimoines médians dans leur situation, et je ne comprends pas que ça ne frappe pas plus l'opinion publique.
[^] # Re: 3 chiffres sur 6, c'est 6 hashs de 1 chiffre chacun
Posté par arnaudus . En réponse au journal Sécurité et authentification des sites bancaires.. Évalué à 2.
Du coup, ça veut dire que la méthode d'identification n'est pas du tout traditionnelle, non? Chaque utilisateur a plusieurs id (ses différents comptes) et un seul mdp. Du coup, ils doivent garder un hash par couple (id,mdp) et retrouver l'utilisateur à partir de ça. Mais du coup comment font-ils pour savoir à qui renvoyer le mdp quand un compte joint est bloqué? Aux deux, j'imagine?
J'imagine quand même qu'il faut changer le mdp à la première utilisation, autrement c'est portnawak…
[^] # Re: 3 chiffres sur 6, c'est 6 hashs de 1 chiffre chacun
Posté par arnaudus . En réponse au journal Sécurité et authentification des sites bancaires.. Évalué à 2.
C'est bizarre, tu es sûr? Un client peut avoir plusieurs numéros de compte, et un compte peut correspondre à plusieurs personnes physiques (compte joint). Chez moi, le login reprend le pattern du premier compte que j'ai créé dans cette banque, mais ensuite il y a plusieurs chiffres supplémentaires "aléatoires".
De toutes manières, "un grosse banque française" c'est pas assez précis pour qu'on puisse vérifier, hein…
[^] # Re: Ce que j’en pense
Posté par arnaudus . En réponse au journal Élection présidentielle 2017, candidat libre/opensource compatible. Évalué à 0.
Je pense que oui. La cohérence n'est pas quelque chose de subjectif, et la logique n'est pas à géométrie variable. Même les textes officiels du parti sont bourrés de logique politique fallacieuse, du type : «Nous sommes les seuls à affirmer qu'il existe une corrélation entre X et Y» qui laissent une éventuelle conclusion en l'air. X et Y sont d'ailleurs n'importe quoi, ça n'est pas grave. Par exemple, la taille des régions française et des états Américains. Si tu appelles ça un discours cohérent, alors oui, tu es «barré». Ou plus exactement, tu n'as pas la structure mentale pour distinguer un discours cohérent d'un discours incohérent, je ne sais pas s'il y a un terme technique plus précis que «barré».
[^] # Re: Portnawak
Posté par arnaudus . En réponse au journal Freebox Révolution — modification matérielle du Wi‐Fi. Évalué à 1.
Fais un schéma et calcule les volumes desservis dans les deux configurations. Je n'irais pas jusqu'à dire que c'est hilarant, mais avant de te moquer des gens, essaye de piger ce qu'on essaye de dire.
En gros, le répéteur va permettre de desservir la totalité de ton volume de manière beaucoup plus parcimonieuse qu'un gros emetteur. Par exemple, si tu es à 20m de la box, que la box et le répéteur couvrent chacun un volume de rayon 10m, tu vas couvrir environ 7300 m3 (à une vache près, je n'ai pas envie de calculer l'intersection entre deux sphères). Si tu gonfles ta box pour couvrir une sphère de rayon 20m, tu couvres un volume de 33500m3, soit 4.6 fois plus que la solution avec répéteur. C'est la différence entre les voisins et tout l'immeuble, quoi.
[^] # Re: 3 chiffres sur 6, c'est 6 hashs de 1 chiffre chacun
Posté par arnaudus . En réponse au journal Sécurité et authentification des sites bancaires.. Évalué à 2.
Ouais, du coup ça semble super-dur de faire du déni de service, parce qu'il faut une DB de numéros de clients et de dates de naissances. On peut pourrir mille personne mille fois… non, on peut pourrir une fois une personne… euh non, mille fois mille personnes…
Par contre, c'est vrai du coup qu'on peut pourrir mille fois une personne, puisqu'à moins de changer le numéro de client, une personne malveillante peut te bloquer ton compte toutes les semaines. Je pense que dans ce cas tu changes de numéro de client, le mien reprend le pattern du numéro de compte mais il y a plusieurs chiffres aléatoires dedans. Mais bon, c'est du DDOS bas débit :-)
[^] # Re: Ce que j’en pense
Posté par arnaudus . En réponse au journal Élection présidentielle 2017, candidat libre/opensource compatible. Évalué à 0.
Mouais, du coup le mouton est celui qui suit un parti traditionnel, mais pas ceux qui suivent Asselineau? Le raisonnement derrière c'est quoi, c'est qu'avant Asselineau ils pensaient par eux-mêmes mais n'avaient personne à suivre, et que maintenant ils ont trouvé quelqu'un qui allait les mener… à l'abattoir électoral, 0.5% des voix, frais de campagne non remboursés, Bêêêê bêêêê?
[^] # Re: 3 chiffres sur 6, c'est 6 hashs de 1 chiffre chacun
Posté par arnaudus . En réponse au journal Sécurité et authentification des sites bancaires.. Évalué à 7.
Non, c'est 3 tentatives tout court. Ça me semble super-facile.
C'est beaucoup plus que le nombre de clients de la plupart des banques :-) Ça limite quand même énormément les risques d'intrusion. Pense que l'objectif n'est pas forcément d'avoir une sécurité à 100%, c'est de faire en sorte que les risques soient gérable. Si tu as 100 millions de comptes et qu'en moyenne tu as 2000€ par compte, un attaquant qui te pique ta DB de numéros de clients va pouvoir te pomper… 10000€, que tu vas pouvoir très facilement recréditer à tes clients. Pour une attaque majeure, qui n'arrive probablement que très rarement, et que tu vas assez facilement pouvoir bloquer si tu as des systèmes de monitoring performants (du style, repérer un pic de blocages après tentatives infructueuses).
Reconvertis-toi dans le piratage des banques :-) Il faudrait regarder l'évolution de la fraude, ça augmente régulièrement mais je ne sais pas trop quels sont les facteurs principaux. Je doute que le piratage de l'accès électronique aux comptes bancaires soit la cause majeure, c'est beaucoup trop facile à bloquer (en particulier, il n'y a que dans les films où les virements sont instantanés, en général il faut au moins 24h pendant lesquelles le virement peut être annulé par la banque).
[^] # Re: 3 chiffres sur 6, c'est 6 hashs de 1 chiffre chacun
Posté par arnaudus . En réponse au journal Sécurité et authentification des sites bancaires.. Évalué à 3.
Je ne comprends pas. J'ai l'impression que tu imagines que l'attaquant a accès à la DB de la banque. Est-ce que c'est un scénario plausible? Je n'ai jamais entendu parler d'une telle situation, et pourtant, les DB des banques doivent être parmi les cibles les plus convoitées. Peut-être sont-elles hors de portées, ou bien sont-elles suffisamment protégées pour qu'une quelconque intrusion soit immédiatement détectée? En tout cas, elles seraient attaquable même avec des mdp de 6 chiffres, dont le raisonnement ne tient pas : la sécurité recherchée n'est pas du tout ciblée sur les hash et la DB.
Je pense que la procédure dont on parle ne sert qu'à une seule chose : sécuriser l'accès au compte dans le cadre de la règle de blocage après trois erreurs. Quelle est la plus grosse faille dans ce cas? Bien sûr, le couteau sous la gorge. Mais après? Qu'on intercepte ton code, que ce soit en regardant par dessus ton épaule, ou en te refilant un PC daubé, voire en interceptant la connexion (MitM ou autres). Du coup, ne jamais réutiliser le même mdp pourrait être une solution. Sauf que ça n'est pas pratique du tout, personne ne voudrait apprendre 20 mots de passe. La solution de te demander un mdp partiel a donc une certaine élégance, puisqu'au prix d'une diminution de l'entropie du mdp (dont tu te fiches à cause de la règle des trois essais), tu as 20 mots de passe pour le prix d'un. Tu peux même en avoir beaucoup plus si tu autorises les combinaisons non-ordonnées, d'ailleurs (style : le 6e, le 2e, et le 5e chiffre). Bref, tu as virtuellement un mdp unique pour chaque connexion, même si l'utilisateur se fait piquer son mdp, tu ne pourras pas te reconnecter. Le seul code à garder secret est le mdp à 6 chiffres, mdp que personne ne te demandra jamais. Tu pourrais juste le reconstituer après plusieurs (au moins 4 ou 5) interceptions à la fois du mdp et de la séquence demandée. Je trouve que c'est une solution plutôt élégante pour générer des mdp uniques, non?
[^] # Re: Portnawak
Posté par arnaudus . En réponse au journal Freebox Révolution — modification matérielle du Wi‐Fi. Évalué à 0.
Tu veux dire que le respect des normes d'émission repose sur l'atténuation potentielle de tes pigtails? Sérieusement, ça n'est pas à moi de venir faire des mesures chez toi, je m'en fous, et je ne suis probablement même pas un de tes voisins. C'est juste que ton hack me semble relever de l'égoïsme pur et simple ; tu bricoles à l'arrache une box internet pour augmenter la puissance du wifi sans même te demander si ton niveau d'émission est légal, tu t'en fous de savoir si tu arroses 18 appartements à partir du moment où tu as le wifi à partir de ton lit… Tant mieux pour toi si tu es sous la limite légale, mais ça donne l'impression que tu n'y as même pas pensé.
Tu les as peut-être loupés? D'après https://www.freenews.fr/freenews-edition-nationale-299/freebox-9/les-entrailles-du-freebox-server-9696, "Enfin, en guise d’avertissement, précisons que démonter la Freebox est rigoureusement interdit par Free et nécessite de briser un scellé présent sur le boîtier."
Justement, c'est ça la clé : c'est chez toi, pas chez les voisins.
[^] # Re: Portnawak
Posté par arnaudus . En réponse au journal Freebox Révolution — modification matérielle du Wi‐Fi. Évalué à 0.
Il en est à 3*4.90 + 3*6.60 = 34.50€ de matériel sans les frais de port… Du coup, je ne vois pas bien la différence avec un répéteur.
Je crois bien que la box est scellée…
Certes, mais le matos ne lui appartient pas. Bien sûr, ça ne va pas porter préjudice à Free, mais c'est plus une histoire de principe aussi ; c'est quand même plus "classe" de faire ses expériences avec des objets perso plutôt qu'avec ceux des autres. Si tu prêtes ta bagnole à un pote et qu'il te la rend toute propre, tu vas être content. Mais si tu apprend qu'en fait il a été faire une course de 4x4 dans la forêt, qu'il s'est pris une souche et que du coup il a dû changer le triangle de suspension, avant de passer le tout au jet d'eau, bah tu vas être un peu moins content, peut-être.
Tu peux aussi te mettre du côté de Free : peut-être que le bridage du Wifi est volontaire, que la puissance est calculée en fonction de la puissance moyenne nécessaire de manière à pouvoir louer une box par appartement dans les zones denses, et que "le wifi du voisin Freebox-Truc interfère avec le mien" ne soit pas la phrase la plus citée dans la hotline (pub négative). Voire, que Free a anticipé d'éventuels problèmes de santé avec le wifi et essaye de se mettre à l'abri (pure spéculation de ma part). Bref, il y a peut-être des raisons.
[^] # Re: 3 chiffres sur 6, c'est 6 hashs de 1 chiffre chacun
Posté par arnaudus . En réponse au journal Sécurité et authentification des sites bancaires.. Évalué à 5.
Ça me parait trop bancal pour être ça. De toutes manières, il n'y a pas assez d'entropie sur un mdp de 6 chiffres pour résister à une attaque bruteforce, donc à mon avis ça n'est pas du tout comme ça que ça fonctionne. Tous ces systèmes reposent sur une sécurité par blocage après un nombre très limité de tentatives ; le mot de passe n'est là que pour rendre improbable de rentrer dans le système en "devinant" le mot de passe, même si on le connait partiellement (un ou deux chiffres entr'aperçus).
Si on oublie le problème d'interception du mdp lors de sa réinitialisation, qui doit évidemment arriver de temps en temps du fait des blocages sensibles, le défaut du système est qu'il devient possible de voir une personne taper son mot de passe, qui est court et très simple. Par exemple, si on voit 3 chiffres du les 4 d'un code de carte bancaire, il devient tout à fait possible de tenter de deviner le dernier avec trois tentatives. Créer un mdp "tournant" (un seul mdp à retenir mais seulement une sous-partie demandée à chaque fois) protège cette partie, car c'est comme si on avait 20 mots de passe différents (mais on a l'impression de n'en retenir qu'un). C'est plutôt ingénieux, non?
[^] # Re: Ce que j’en pense
Posté par arnaudus . En réponse au journal Élection présidentielle 2017, candidat libre/opensource compatible. Évalué à 2.
Certes, mais pourquoi suivre quelqu'un qui est visiblement dérangé? Je trouve que les hommes politiques «traditionnels» offrent cette alternative (ils définissent des ennemis : les étrangers, les multinationales, les fonctionnaires, les riches, les pauvres, etc), mais ils ne sont pas fous : ils sont manipulateurs. Ils connaissent les faiblesses des électeurs, et en profitent. S'il faut changer complètement de discours, ils le font.
Du coup, pourquoi quelqu'un qui n'est visiblement pas très clair dans sa tête arrive à attirer des suiveurs alors qu'il n'a pas de stratégie ou de théorie de la manipulation derrière ses déclarations? Est-ce que la sincérité suffit? Raconter n'importe quoi sans aucune logique en étant sincère est-il plus convainquant qu'un discours structuré (même si fallacieux) à des fins de manipulation?
# Portnawak
Posté par arnaudus . En réponse au journal Freebox Révolution — modification matérielle du Wi‐Fi. Évalué à 6.
Je confirme que la V6 est molle du genou en wifi (passage de V5 à V6 avec une baisse du signal), mais il suffit d'acheter un répéteur wifi (20 euros à tout casser) pour couvrir la totalité d'un bâtiment.
La Freebox ne t'appartient pas, le hack viole les CGU et on pourra te facturer la box, même en fin de vie. Ça ne m'étonnerait qu'à moitié que la boîte ait des scellés discrets, d'ailleurs.
Par ailleurs, la puissance des émetteurs Wifi est réglementée, non seulement la manip est interdite par Free, mais en plus il n'est pas du tout certain que les niveaux d'émission soient légaux, surtout en collant trois antennes vendues individuellement.
En plus, quand on habite en collectivité, le principal problème vient souvent des interférences avec les autres équipements wifi. Si tout le monde commence à émettre de plus en plus fort, ça ne va pas régler le problème, loin de là! Honnêtement, je ne vois pas la différence entre ton comportement et celui d'un ado qui fait le tour du quartier à 3h du mat avec une mob trafiquée.
[^] # Re: Ce que j’en pense
Posté par arnaudus . En réponse au journal Élection présidentielle 2017, candidat libre/opensource compatible. Évalué à 10.
Je trouve ça amusant d'avoir la fraicheur d'esprit de souhaiter lire le programme d'Asselineau et de partir sur l'idée de l'analyser d'un point de vue rationnel.
Asselineau, je le «connais» depuis près de 15 ans par Wikipédia. À l'époque, le mec (ou un soutien proche) n'arrêtait pas de créer un article sur lui, alors qu'il ne remplissait pas les critères d'admissibilité. Au bout de plusieurs suppressions de pages, de menaces de poursuites, de menaces physiques à l'encontre des admins de Wikipédia, le mec a réussi à faire tellement de buzz qu'il a commencé à intéresser des pigistes de journaux locaux, puis de plus en plus gros, autour de l'idée que Wikipédia censurait les mouvements politiques marginaux, que ça prouvait que Wikipédia était noyauté par la CIA ou les chinois du FBI, etc. Après plusieurs mois de ce petit jeu, il s'est avéré que l'histoire de ce mec avait assez intéressé les journalistes pour qu'il atteigne mécaniquement les critères d'admissibilité de Wikipédia! Le premier Homme à devenir connu pour s'être trop plaint qu'il était inconnu. C'est un tour de force, pathétique quelque part, mais quand même assez impressionnant.
Les gens un peu barrés, il y en a toujours eu, ça ne m'étonne pas. Ce qui m'étonnera toujours et démontre mon manque de compréhension de la psychologie humaine, c'est que certain d'entre eux arrivent à attirer autour d'eux une cour de suiveurs encore plus barrés, et super-motivés. J'imagine que c'est comme ça que les religions démarrent, mais j'avoue ne pas réussir à comprendre comment ça peut marcher.
[^] # Re: Non merci -> oisillon…
Posté par arnaudus . En réponse au journal Élection présidentielle 2017, candidat libre/opensource compatible. Évalué à 3.
En même temps, à mon avis, le pré-mâché a l'avantage de laisser aux gens qui n'ont pas de dents le bénéfice du doute sur leur capacité à mastiquer. Parce qu'il y a quand même pire que les gens qui répètent les âneries pré-mâchées : c'est ceux qui les inventent eux mêmes :-)
[^] # Re: 3 chiffres sur 6, c'est 6 hashs de 1 chiffre chacun
Posté par arnaudus . En réponse au journal Sécurité et authentification des sites bancaires.. Évalué à 3.
Tu peux stocker 20 hashes de 3 chiffres (un par combinaison), je ne suis pas certain du tout que ça facilite une attaque éventuelle…
[^] # Re: N'importe quoi ....
Posté par arnaudus . En réponse au journal Sécurité et authentification des sites bancaires.. Évalué à 10.
J'imagine que ça permet de ne pas se faire intercepter son code en une fois au cas où ça se produit. Choisir 3 chiffres parmi 6 donne (si je ne me trompe pas) 20 combinaisons, ce qui fait que quelqu'un qui te voit taper ton code dans un cybercafé ou qui arrive à l'intercepter n'a qu'une chance sur 20 de pouvoir le reproduire.
On peut toujours discuter des détails, mais je ne pense pas que les banques ou autres organismes n'aient pour unique but dans la vie que de pourrir ton expérience utilisateur avec leurs services, c'est même probablement le contraire. Il faut quand même comprendre que l'équation est extrêmement difficile à résoudre : on veut des moyens de payement les plus fiables, les moins chers, les plus rapides, les plus sécurisés, et les plus faciles à utiliser possible. Par exemple, à titre personnel, je n'ai jamais compris l'intérêt des cartes sans contact, mais à voir le nombre de gens qui trouvent ça génial et qui réclament ce type de services aux commerçants, je me dis que je ne représente pas du tout la majorité. Comme on veut par dessus tout que la banque couvre les fraudes (à raison la plupart du temps, mais aussi en cas de négligence), il parait quand même assez normal que les banques trouvent un compromis entre l'achat en un clic et le chèque de banque. C'est certain que la multiplication des systèmes d'identification un peu baroques (code SMS, email, code partiel, claviers virtuels…) est un peu déroutante et semble parfois inefficace, mais comme on ne veut pas non plus de puces implantées sous la peau, il faut bien quand même une solution intermédiaire en terme de complexité.
[^] # Re: Juste pour la discussion...
Posté par arnaudus . En réponse à la dépêche Appel à conférences PolyConf 17 à Paris (7 au 9 juillet) : « The Universe of Programming Languages ». Évalué à 1.
Oui mais là, ce que tu décris, c'est simplement de maitriser une panoplie d'outils : un langage compilé pour les perfs, un langage de haut niveau pour parser des fichiers, un shell pour automatiser les tâches, et éventuellement quelques langages spécialisés en fonction des besoins (service web, bases de données, gestion des tâches sur un cluster de calcul…). Je pense que personne ne peut vraiment imaginer que c'est inutile.
Là où ça devient vraiment discutable, c'est (si j'ai bien compris l'approche proposée dans le journal) l'idée d'avoir une culture générale très large en terme de langages de programmation. Mon point de vue, c'est que si on est à l'aide en perl, il n'y a aucune raison d'apprendre python et ruby sans avoir auparavant identifié un besoin précis. Même si chaque langage a ses particularités, et qu'un traitement pourrait être plus efficace ou plus facile à coder avec un langage précis, mieux vaut certainement utiliser un langage dont on maitrise les caractéristiques plutôt que de pondre un code de débutant dans un langage qu'on connait mal. Ça pose trop de problèmes de lisibilité, de maintenance, de performances, ou même de sécurité.
[^] # Re: Ah, les joies des scénarios hollywoodiens...
Posté par arnaudus . En réponse au journal Les Figures de l’ombre. Évalué à 7.
Mouais, les mécanismes de la fiction ne sont pas ceux de la réalité, tout le monde le sait. Le but est de raconter une hsitoire, et quand tu racontes une histoire, tu utilises des "trucs". Sinon, c'est pas que c'est réaliste, c'est que c'est chiant.
Par exemple, quand tu as un personnage qui a envie de pisser, c'est parce qu'il doit sortir de la maison pour se faire bouffer par les zombies ou par les dinausaures. Tu n'as jamais un mec qui sort pisser, et qui revient deux minutes après sans qu'il ne se soit rien passé. C'est comme ça, dans les films, aller pisser, ça doit servir à quelque chose.
L'autre problème que tu évoques, c'est évidemment que tous ces films sont des produits industriels standardisés. Individuellement, les ficelles qu'ils utilisent sont évidemment des "bons" processus narratifs, mais ils sont usés jusqu'à la corde par leur sur-utilisation et parfois par leur utilisation caricaturale.
Il faut de toutes manières imaginer que le public devient de plus en plus difficile, parce que justement il est super habitué à des superproductions théorisées et millimétrées. Évidemment, tu peux toujours trouver un marché de niche pour le ciné alternatif, mais trouver un public pour des films d'actions qui ont des moments chiants où il ne se passe rien, ça ne va pas être évident. Au final, il suffit de relire les grands auteurs classiques par exemple pour se rendre compte à quel point ils ne maitrisent pas les lecteurs ; Victor Hugo écrivait bien et ses romans méritent d'être lus pour leur aspect historique ou pour la description de la société, mais pas pour la maitrise du récit de fiction. Si tu es snob, tu peux trouver les chapitres entiers de descriptions "enrichissants" ou "reposants", mais honnêtement, c'est juste super chiant.
# Juste pour la discussion...
Posté par arnaudus . En réponse à la dépêche Appel à conférences PolyConf 17 à Paris (7 au 9 juillet) : « The Universe of Programming Languages ». Évalué à 4.
D'après mon expérience, c'est quand même dans l'exploitation de leurs subtilités que les langages deviennent intéressants, et l'expertise du programmeur également.
Le problème de l'approche polyvalente, c'est quand même qu'un programmeur ne peut pas connaitre à fond des dizaines de langages. Du coup, il va écrire du code passe partout, c'est à dire du pseudocode traduit dans la grammaire du langage en question. Ça pose un certain nombre de problèmes, notamment le fait de ne pas maitriser correctement un seul langage, et de manière plus générale ne pas exploiter les possibilités d'un langage. On peut aussi écrire du code qui respecte la grammaire du langage mais pas son esprit (par exemple l'(in)fameux C/C++).
L'autre problème, c'est que pour un projet donné, on ne peut pas écrire un bout de code en C, un bout en Rust, un truc en javascript, l'interface en perl et le serveur en C++… Au bout d'un moment, il faut savoir maintenir une cohérence dans un projet, parce que d'autres êtres humains sont susceptibles de lire le code et d'essayer de modifier le truc.
Au final, j'ai du mal à comprendre ce principe de la connaissance superficielle des outils. Pour trouver du boulot, peut-être? Mais après, forcément, on risque d'être impliqué des années dans un projet basé sur un ou deux langages, et donc se spécialiser.
[^] # Re: Validité en France
Posté par arnaudus . En réponse au journal Signet : l'étendue de l'application de la clause NC des licence CC (aux USA). Évalué à 5. Dernière modification le 10 mars 2017 à 11:05.
La question, c'est quand même si les causes d'invalidité partielle de la GPL sont problématiques ou non. Il y a trois points "litigieux" dans la GPL d'après la CeCILL :
* Le problème de la cession des droits d'auteurs sans limitation dans le temps
* Le problème de l'absence totale de garanties
* Le problème de l'absence de la localisation du tribunal en cas de litige
Je ne sais plus comment la CeCILL gère le premmier problème, mais pour les deux autres, la résolution n'est franchement pas terrible.
Pour les garanties, la CeCILL se met en conformité avec le droit français ; elle admet qu'il y a une garantie pour les dommages directs et quand l'utilisateur est un particulier. Or, pour moi, c'est problématique : la CeCILL offre cette garantie non seulement aux utilisateurs français (qui y auraient droit de toutes manières même si la licence était la GPL, sauf qu'ils leurs faudrait éventuellement contester la licence au tribunal pour ça), mais aussi à tous les utilisateurs étrangers (et ce, même si la clause de levée de garantie était légale dans leur pays). Du coup, ça met en effet l'auteur du logiciel en situation de "sécurité juridique" : il sait qu'il doit potentiellement payer pour les dommages directs à tous les utilisateurs de la planète. Mieux vaut éviter d'utliliser la CeCILL quand on code un driver de disque dur, hein…
Pour la localisation, la CeCILL impose Paris. À mes yeux, c'est une clause de juriste à la con, qui assure certes la sécurité de l'auteur du logiciel, mais qui retire énormément de sécurité à l'utilisateur. Franchement, tu utiliserais un logiciel chinois qui t'impose d'aller défendre tes droits à Pékin? L'"insécurité" relative de la GPL me semble beaucoup plus satisfaisante : le plaignant bénéficie des lois de son pays. De toutes manières, il me semble très improbable qu'un tribunal étranger se déclare incompétent et décide de se débarrasser du problème.
C'est mon opinion de non-juriste et elle ne vaut pas grand chose, je l'admet. J'ai juste l'impression que la CeCILL grave dans le marbre ce que concluerait logiquement un tribunal français si un auteur français essayait de faire valoir ses droits, et grave aussi dans le marbre les droits qu'aurait un utilisateur français, qui est bien plus protégé que la moyenne. Du coup, tu as la "sécurité" (dans le sens de "certitude"), mais à mon avis mieux vaudrait rester dans le flou, surtout pour les dommages directs qui peuvent te conduire sur la paille alors que tu bosses bénévolement, faut pas déconner quand même.
[^] # Re: Validité en France
Posté par arnaudus . En réponse au journal Signet : l'étendue de l'application de la clause NC des licence CC (aux USA). Évalué à 10.
Pour avoir discuté avec des gens qui étaient dans les discussions ayant finalement mené à la rédaction de la CeCill, j'ai quand même eu l'impression que les motivations étaient principalement politiques. C'est sûr que ça a été vendu sur la base d'argument juridiques, mais sur le fond, l'idée semble avoir tourné autour de l'idée qu'il n'était pas acceptable pour un organisme public Français par exemple de mettre son travail disponible dans une licence élaborée par nos "ennemis" anglo-saxons.
[^] # Re: Validité en France
Posté par arnaudus . En réponse au journal Signet : l'étendue de l'application de la clause NC des licence CC (aux USA). Évalué à 5.
En plus, imagine que la licence est tellement bien écrite et tellement claire que toutes les clauses paraissent sans aucun doute légales et inattaquables. Personne n'irait tenter un procès perdu d'avance. Du coup, ça voudrait dire que cette licence parfaite ne serait pas validée par la justice? Ça me semble paradoxal.
D'une certaine manière, à ma connaissance, personne n'a jamais vraiment remis en question la validité potentielle d'une licence comme la GPL. Il reste quelques zones d'ombre (liées par exemple à la manière de gérer la rétractation des auteurs, qui est théoriquement possible en droit français), mais globalement, quand on regarde les quelques conflits qui ont existé, les débats ont porté par exemple sur la nature du propriétaire des machines sur lesquelles les logiciels tournaient, et pas sur les bases de la GPL.
Du coup, on aime quand même bien jouer à se faire peur. Si la GPL était trouée, il y a peu de doutes qu'on le saurait déja.
[^] # Re: Quand on n'a qu'un marteau tout ressemble à un clou
Posté par arnaudus . En réponse au message Remplacer des cellules. Évalué à 4.
Oui, parce que les solutions proposées sont indéboggables et ne relèvent que de bricolages «quick & dirty», le genre de choses que tu utilises quand tu n'as besoin que de faire quelque chose une fois et oublier à jamais. Et encore, il ne faut pas que ça soit quelque chose d'important.
Ce que le PO souhaite faire, importer deux fichiers csv qui contiennent des données partiellement chevauchantes, chercher un certain pattern dans le deuxième fichier, et remplacer ce pattern sous certaines conditions avec des données du premier fichier. Enfin, il souhaite écrire un csv valide. Tu as vu la quantité de trucs nouveaux qui arrivent à chaque question? «Ah oui, c'est possible que des IDs soient dupliqués», «il est possible que certains ne correspondent pas», etc. Clairement, il faut quelques dizaines de lignes de code dans un vrai langage de script, qui importe les deux fichiers, vérifie s'ils sont valides (bon nombre de colonnes, bons types de données, etc), retire, gère, ou fait quelque chose pour les ID dupliqués ou manquants, éventuellement balance des warnings "Ligne 3251 ID invalide", fait les remplacements souhaités, et génère le fichier valide en sortie.
Après, on peut discuter éternellement sur l'adéquation d'un outil à faire quelque chose. Si l'argument c'est simplement que c'est possible, alors oui, mais c'est aussi possible en Brainfuck. Si ça doit tenir sur 4 lignes incompréhensibles et illisibles, alors oui, c'est possible, mais il faut faire confiance et c'est du code jetable (c'est peut-être ce qui était demandé, hein). Ça n'est pas comme ça que je ferais, mais j'admet tout à fait que c'est une culture qui existe en info et il faut vivre avec.
La question, c'est un peu la même que si tu appelles un plombier pour une fuite. Tu as peut-être des mecs qui te collent un chewing-gum sur la fuite, qui foutent un coup de scotch autour et qui scellent au briquet en t'expliquant que ça polymérise le chewing-gum et que tu vois, ça ne fuit plus. En 5 minutes il a fini, et peut-être qu'en effet, ça va tenir 20 ans. Mais il n'y a pas besoin d'être un gourou de la plomberie pour voir que ça n'est pas comme ça qu'on devrait faire. C'est sûr que de couper l'eau, faire des soudures, des tests, en profiter pour changer les joints et consolider au cas où les autres endroits où ça pourrait fuir dans les années qui viennent, ça prend plus de temps et ça coûte plus cher.