C'est aussi le quotidien de ma copine, qui doit justifier sans cesse ses demandes et ses choix techniques quand elle bosse avec des hommes, alors qu'avec d'autres femmes la communication est plus fluide et collaborative, plutôt compétitive ou défiante. On en parle pas mal et c'est loin d'être une anecdote :(.
Exactement. C'est doublement frustrant, techniquement et personnellement. Je les vois partir alors que leur contribution serait bienvenue.
Les différents moyens de défense décris plus haut devraient rappeler aux adeptes du cowboy coding les dégâts collatéraux.
Non en France si tu veux gagner "facilement" de l'argent sans qualification et profiter de nombreux avantages (train gratuit, durée de cotisation retraite réduite, départ à la retraite plus tôt, meilleur taux d'accumulation pour la retraite, assurance-maladie ultra-avantageuse…), c'est vers la police qu'il faut se rediriger
Je plussoie. D'ailleurs, je conseille à tous les profs qui en ont ras-le-bol de s'enrôler dans la police, genre BAC ou BRAV-M. Là, au moins, ils auront le droit de taper sur la racaille les jeunes qui les emmerdaient pendant les heures de cours.
Ton commentaire est pertinent et décris malheureusement ce qu'on trouve souvent dans l'industrie IT. Pour le patch urgent du vendredi soir, pour avoir connu ça par temps de crise, ce n'est pas drôle, mais ça arrive. Lorsque ça arrive, je fais le boulot, et lorsque le rush ce calme, on discute ensuite comment éviter que ça se reproduise.
Sans doute que je devrais ajouter un peu d'information contextuelle.
Lorsque ces "méthodes" sont utilisées de manière intentionnelle, par un duo de programmeurs faisant mousser leur ego à coup de commits à l'arrache, c'est plus grave.
Alors peut-être que je n'ai pas assez d'expérience, mais je n'ai jamais rencontré de femmes développeuses utilisant ces pratiques, au contraire. J'ai fréquemment vu celles-ci devoir prouver, documenter, détailler et expliquer leurs choix. Que ce soit à la demande de développeurs moins expérimentés qui ne comprenaient pas un algo ou un design pattern utilisé, ou parce qu'elles sont plus sujettes à des examens approfondis de leur travail.
Comme si le fait d'être de sexe féminin rabaissait automatiquement leur niveau à celui de développeurs juniors. Du coup, il est également fréquent que leur travail soit plus soigné, ou devrais-je dire irréprochable.
C'est en cela que celles qui sont habituées à détailler leur travail, que ces pratiques les laisses plus souvent derrière.
Après, on se demande pourquoi il y a moins de femmes dans l'IT, c'est une des explications, AMHA.
Je ne parlais pas de logiciel mais de clients (des personnes donc)
Moi aussi. Pour les clients professionnels, j'utilise Gsuite, on est dans un mode à part, où tout le monde s'affole dès qu'on sors des sentiers battus.
Après, mon serveur de mail fonctionne très bien avec les serveurs décents.
L'ironie, c'est que lorsque Microsoft a racheté la "Hotmail" pour faire Outlook, les serveurs tournaient sur FreeBSD et Solaris.
J'imagine la frustration des administrateurs systèmes qui ont patiemment monté une infrastructure sécurisée, peut-être même travailler quelques weekends et nuits, pour voir leur travail anéanti par des administrateurs presse boutons en costume cravate, certifiés Microsoft.
La page est très humoristique, je vous la conseille. Notamment celle-ci :
hackers revealed a security flaw in Hotmail that permitted anybody to log in to any Hotmail account using the password 'eh'. At the time, it was called "the most widespread security incident in the history of the Web.
Ca, ca reste a prouver. Je préfère typiquement du code type en python par exemple a des docstrings avec la liste des parametres qui ne seront pas a jour un jour ou l'autre.
Pas tant que ça, cela dépends, je donne un exemple.
Nous avons un dépôt, avec une collection de rôles Ansible, chacun avec un README in Markdown.
Un des "hooks pre-push" de Git, est de vérifier qu'aucun fichier dans le rôle n'est plus récent que le fichier readme. Lorsque c'est le cas, le push est refusé.
Les fichiers "readme" contiennent ce que le code ne peut pas contenir convenablement : Une vue d'ensemble (e.g. mermaid / svg), les variables Ansible à définir, optionnelles ou non, des liens vers des sites internet, etc.
Lors de l'intégration continue (Jenkins out Gitlab), une des tâches assemble tous les fichiers readme, dans un site readthedocs. Au final, c'est très pratique.
Alors oui, la doc qui répète le code, c'est inutile, mais la doc qui donne une vue d'ensemble du code, c'est pratique.
Ce qui est complètement crétin, évidemment, c'est de ne pas documenter son code.
On est d'accord.
Je cite mot pour mot, les excuses bidon que j'ai entendu (en anglais, ma langue de travail) :
No, the code is pretty standard you find on tutorials, why would you add comments ?
No, the code is self-documented, you'll see.
I'm in a hurry, I will add the doc later.
It's working, don't need doc.
It's on the wiki page xxxx (géneralement, la doc sur la page est complètement obsolète).
I will organise a meeting to show you how it works.
Après les histoires de concours de bits, comment dire…
Disons que pour certains, ça permet de briller en société, et en bonus, étaler leurs connaissances pour les collègues féminines. C'est une attitude que j'ai vu trop de fois pour être une coïncidence.
En même temps, quand on se fait des amis qui choisissent Outlook pour héberger leurs emails…
Perso, c'est un bon filtre pour moi. Si mon interlocuteur se pointe avec une adresse email @outlook.com, je me dis qu'il vaut mieux pas continuer à communiquer.
Quant à ceux qui avaient encore une adresse @aol.com, je les ai supprimés…
Lorsque tu seras en rase campagne, avec un accès wifi, mais pas d'accès au réseau mobile, tu comprendras.
De plus, sans même utiliser des techniques super invasives et visibles de « SIM swapping », il y a également des attaques qui permettent de rétrograder au vol le niveau de sécurité de ta connexion internet. Par exemple, ton téléphone passe soudainement en 2G, à partir d'une "IMSI-catcher". Le camion de plomberie blanc eu coin de la rue vient juste de récupérer ton SMS au vol, et tu n'as rien vu.
OK, on tape dans les techniques gouvernementales, mais ce ne serait pas la première fois que cela arriverait, non ?
C'est aussi dispo pour les personnes mal intentionnées, pourvu qu'elles aient un peu les moyens.
Les matériels et logiciels requis pour la mise en œuvre d'un IMSI-catcher sont devenus accessibles au grand public par des projets libres et l'utilisation de matériel générique32
Oui, le constructeur m'a sorti la même excuse, qui est techniquement valide, sauf que commercialement, cela ne me satisfait pas…
En 2019, il y avait déjà moyen d'avoir des quartz de haute précision. J'ai d'ailleurs toujours une montre Citizen solaire, de la gamme "Eco-Drive", avec une tolérance de ±1s par….an. Je précise qu'elle ne m'a pas coûté un bras (mauvais jeu de mot, mais je n'ai pas pu résister).
Sachant que la tolérance d'erreur était si importante, il faudrait pouvoir régler l'heure sans avoir besoin de la connecter sur un PC. Dans les années 80, les montres à quartz basiques faisaient cela avec trois boutons.
Techniquement, il est tout à fait possible de remettre les pendules à l'heure automatiquement, une montre basique Casio, de la gamme WebCeptor (très moche), coûte environ 60€. Il y a également d'autres signaux radio qui permettent d'envoyer l'heure exacte.
Super idée, supprimer complètement le concept d'authentification à deux facteurs, et utiliser le même périphérique pour stocker la clé utilisée pour le deuxième facteur.
J'ai effectivement testé FreeOTP+, mais je m'étais finalement orienté sur Aegis.
Il y avait une option de sécurité très bien pensée dans ce dernier : Le fait de pouvoir masquer les codes par défaut, il faut "taper" sur un code pour qu'il soit affiché pendant quelques secondes. Cela permet de minimiser les risques d'une potentielle capture d'écran par un logiciel espion.
Je vois que cela a maintenant été inclus dans FreeOTP+.
Il semble que la dernière version de FreeOTP+ date un peu.
Mais bon, cela reste sur Android, une plateforme pas aussi sécurisée qu'un périphérique non connecté sur internet.
C'est vrai que fail2ban a fait son temps, et ses fichiers de configuration ont graduellement explosé. Perso, je me suis contenté de nftables, mais bon.
Quelques remarques :
Je pense qu'il est possible de souscrire aux messages du journal système directement, utiliser une commande, c'est old school.
D'ailleurs, spécifier 'journalctl', '-fu', 'sshd.service' dans un fichier de configuration, c'est ce que j'appelle se tirer une balle dans le pied. À la limite, il vaudrait mieux quelque chose comme ça :
ssh:
follow: sshd
Cela te permettra de laisser au programme le choix de l'implémentation, soit manuelle (i.e. journalctl -fu sshd), soit native lorsque tu auras trouvé l'api systemd qui le fait.
Pour le fichier de configuration, je les préfère exempts de toute logique, donc Yaml suffirait. Pour la raison mentionnée ci-dessus.
[^] # Re: Pourquoi "auprès de la gent féminine" ?
Posté par Andre Rodier (site web personnel) . En réponse au journal Comment briller auprès de la gent féminine dans « le monde de la tech ». Évalué à -1.
Grâce à au p'tit chaton botté intelligent, les profs vont enfin pouvoir rédiger leurs exercices plus facilement.
Vu que les morveux l'utilisent aussi, où va-t-on, on se le demande, hein.
Est-ce que p'tit peut aussi corriger les rédactions ?
# À qui le tour
Posté par Andre Rodier (site web personnel) . En réponse au lien La dissolution des Soulèvements de la Terre est définitivement annulée par le Conseil d’État. Évalué à 2.
On attend maintenant la dissolution du gouvernement…
[^] # Re: Pourquoi "auprès de la gent féminine" ?
Posté par Andre Rodier (site web personnel) . En réponse au journal Comment briller auprès de la gent féminine dans « le monde de la tech ». Évalué à 2.
Exactement. C'est doublement frustrant, techniquement et personnellement. Je les vois partir alors que leur contribution serait bienvenue.
Les différents moyens de défense décris plus haut devraient rappeler aux adeptes du cowboy coding les dégâts collatéraux.
[^] # Re: Pourquoi "auprès de la gent féminine" ?
Posté par Andre Rodier (site web personnel) . En réponse au journal Comment briller auprès de la gent féminine dans « le monde de la tech ». Évalué à 10.
Je plussoie. D'ailleurs, je conseille à tous les profs qui en ont ras-le-bol de s'enrôler dans la police, genre BAC ou BRAV-M. Là, au moins, ils auront le droit de taper sur
la racailleles jeunes qui les emmerdaient pendant les heures de cours.[^] # Re: Pourquoi "auprès de la gent féminine" ?
Posté par Andre Rodier (site web personnel) . En réponse au journal Comment briller auprès de la gent féminine dans « le monde de la tech ». Évalué à 0.
Ton commentaire est pertinent et décris malheureusement ce qu'on trouve souvent dans l'industrie IT. Pour le patch urgent du vendredi soir, pour avoir connu ça par temps de crise, ce n'est pas drôle, mais ça arrive. Lorsque ça arrive, je fais le boulot, et lorsque le rush ce calme, on discute ensuite comment éviter que ça se reproduise.
Sans doute que je devrais ajouter un peu d'information contextuelle.
Lorsque ces "méthodes" sont utilisées de manière intentionnelle, par un duo de programmeurs faisant mousser leur ego à coup de commits à l'arrache, c'est plus grave.
Alors peut-être que je n'ai pas assez d'expérience, mais je n'ai jamais rencontré de femmes développeuses utilisant ces pratiques, au contraire. J'ai fréquemment vu celles-ci devoir prouver, documenter, détailler et expliquer leurs choix. Que ce soit à la demande de développeurs moins expérimentés qui ne comprenaient pas un algo ou un design pattern utilisé, ou parce qu'elles sont plus sujettes à des examens approfondis de leur travail.
Comme si le fait d'être de sexe féminin rabaissait automatiquement leur niveau à celui de développeurs juniors. Du coup, il est également fréquent que leur travail soit plus soigné, ou devrais-je dire irréprochable.
C'est en cela que celles qui sont habituées à détailler leur travail, que ces pratiques les laisses plus souvent derrière.
Après, on se demande pourquoi il y a moins de femmes dans l'IT, c'est une des explications, AMHA.
[^] # Re: Si encore il n'y avait que @tutanota.com ...
Posté par Andre Rodier (site web personnel) . En réponse au lien Microsoft Outlook classifie tous les courriels finissant par "@tutanota.com" comme pourriel. Évalué à 2.
À propos de Gaston Lagaffe, j'ai appris qu'un nouvel album est sorti.
[^] # Re: Outlook
Posté par Andre Rodier (site web personnel) . En réponse au lien Microsoft Outlook classifie tous les courriels finissant par "@tutanota.com" comme pourriel. Évalué à 2.
Moi aussi. Pour les clients professionnels, j'utilise Gsuite, on est dans un mode à part, où tout le monde s'affole dès qu'on sors des sentiers battus.
Après, mon serveur de mail fonctionne très bien avec les serveurs décents.
[^] # Re: Outlook
Posté par Andre Rodier (site web personnel) . En réponse au lien Microsoft Outlook classifie tous les courriels finissant par "@tutanota.com" comme pourriel. Évalué à 4.
J'ai oublié de rajouter Yahoo Mail.
Sérieusement, il faudrait faire un sondage Linuxfr sur les pires fournisseurs d'email du web.
Je pense qu'il arriverait ex æquo avec AOL mail et Outlook, les trois cavaliers de l'apocalypse…
[^] # Re: Outlook
Posté par Andre Rodier (site web personnel) . En réponse au lien Microsoft Outlook classifie tous les courriels finissant par "@tutanota.com" comme pourriel. Évalué à 6.
L'ironie, c'est que lorsque Microsoft a racheté la "Hotmail" pour faire Outlook, les serveurs tournaient sur FreeBSD et Solaris.
J'imagine la frustration des administrateurs systèmes qui ont patiemment monté une infrastructure sécurisée, peut-être même travailler quelques weekends et nuits, pour voir leur travail anéanti par des administrateurs presse boutons en costume cravate, certifiés Microsoft.
Source : https://en.wikipedia.org/wiki/Outlook.com
La page est très humoristique, je vous la conseille. Notamment celle-ci :
[^] # Re: Complètement crétin !
Posté par Andre Rodier (site web personnel) . En réponse au journal Comment briller auprès de la gent féminine dans « le monde de la tech ». Évalué à 6.
Pas tant que ça, cela dépends, je donne un exemple.
Nous avons un dépôt, avec une collection de rôles Ansible, chacun avec un README in Markdown.
Lors de l'intégration continue (Jenkins out Gitlab), une des tâches assemble tous les fichiers readme, dans un site readthedocs. Au final, c'est très pratique.
Alors oui, la doc qui répète le code, c'est inutile, mais la doc qui donne une vue d'ensemble du code, c'est pratique.
[^] # Re: Complètement crétin !
Posté par Andre Rodier (site web personnel) . En réponse au journal Comment briller auprès de la gent féminine dans « le monde de la tech ». Évalué à 1.
On est d'accord.
Je cite mot pour mot, les excuses bidon que j'ai entendu (en anglais, ma langue de travail) :
Disons que pour certains, ça permet de briller en société, et en bonus, étaler leurs connaissances pour les collègues féminines. C'est une attitude que j'ai vu trop de fois pour être une coïncidence.
[^] # Re: Outlook
Posté par Andre Rodier (site web personnel) . En réponse au lien Microsoft Outlook classifie tous les courriels finissant par "@tutanota.com" comme pourriel. Évalué à 3.
J'aurais dû préciser le second degré.
C'est vrai, pour les clients, j'utilise G Suite.
Pour mes mails perso, c'est un serveur de mail perso.
# Outlook
Posté par Andre Rodier (site web personnel) . En réponse au lien Microsoft Outlook classifie tous les courriels finissant par "@tutanota.com" comme pourriel. Évalué à -3.
En même temps, quand on se fait des amis qui choisissent Outlook pour héberger leurs emails…
Perso, c'est un bon filtre pour moi. Si mon interlocuteur se pointe avec une adresse email @outlook.com, je me dis qu'il vaut mieux pas continuer à communiquer.
Quant à ceux qui avaient encore une adresse @aol.com, je les ai supprimés…
[^] # Re: excusez ma naïveté
Posté par Andre Rodier (site web personnel) . En réponse au journal Périphérique d'authentification TOTP. Évalué à 2.
Je me rends compte que c'est mal formulé, l'un n'empêche pas l'autre…
[^] # Re: excusez ma naïveté
Posté par Andre Rodier (site web personnel) . En réponse au journal Périphérique d'authentification TOTP. Évalué à 5. Dernière modification le 04 décembre 2023 à 17:08.
Tout à fait.
Lorsque tu seras en rase campagne, avec un accès wifi, mais pas d'accès au réseau mobile, tu comprendras.
De plus, sans même utiliser des techniques super invasives et visibles de « SIM swapping », il y a également des attaques qui permettent de rétrograder au vol le niveau de sécurité de ta connexion internet. Par exemple, ton téléphone passe soudainement en 2G, à partir d'une "IMSI-catcher". Le camion de plomberie blanc eu coin de la rue vient juste de récupérer ton SMS au vol, et tu n'as rien vu.
OK, on tape dans les techniques gouvernementales, mais ce ne serait pas la première fois que cela arriverait, non ?
C'est aussi dispo pour les personnes mal intentionnées, pourvu qu'elles aient un peu les moyens.
[^] # Re: autant en emporte linuxfr
Posté par Andre Rodier (site web personnel) . En réponse au journal Idée de livre linuxfr. Évalué à 2. Dernière modification le 04 décembre 2023 à 13:26.
Je pensais offrir un verre à celui ou celle qui pourrait compléter la phrase sans l'aide d'internet, mais c'est raté.
Ben heureusement, vu qu'il n'y a pas de princesses non plus, je préfères ne pas penser ce qu'ils feraient entre eux.
Tant pis, je retourne au Jazz, aujourd'hui.
[^] # Re: Réponse à côté (mais pas trop)
Posté par Andre Rodier (site web personnel) . En réponse au journal Périphérique d'authentification TOTP. Évalué à 7.
Si j'avais le temps, mais bon…
Dans les pistes sympas, il y a aussi la fausse montre Casio: https://www.sensorwatch.net/docs/
Avec le code source qui va bien : https://github.com/joeycastillo/Sensor-Watch
Et la fonction TOTP pour les hackers : https://blog.singleton.io/posts/2022-10-17-otp-on-wrist/
[^] # Re: horloge interne se dérègle
Posté par Andre Rodier (site web personnel) . En réponse au journal Périphérique d'authentification TOTP. Évalué à 3.
J'ai également un radio réveil DAB+, et il se met à l'heure tout seul. Il utilise probablement le signal DAB, pas besoin de GPS.
Pour info c'est un Pure Siesta.
[^] # Re: autant en emporte linuxfr
Posté par Andre Rodier (site web personnel) . En réponse au journal Idée de livre linuxfr. Évalué à 2.
Des sorcières, des dragons, des stratoforteresses,
Oh yes, …
[^] # Re: autant en emporte linuxfr
Posté par Andre Rodier (site web personnel) . En réponse au journal Idée de livre linuxfr. Évalué à 3.
Oui, qui finit bien et tout…
https://joyreactor.com/post/1784806
[^] # Re: horloge interne se dérègle
Posté par Andre Rodier (site web personnel) . En réponse au journal Périphérique d'authentification TOTP. Évalué à 5.
Pas besoin d'un GPS, il y a des récepteurs qui utilisent des signaux alternatifs.
J'ai aussi une horloge dans ma salle de bain qui se met à l'heure toute seule, mais je ne sais pas exactement quel réseau elle utilise.
[^] # Re: horloge interne se dérègle
Posté par Andre Rodier (site web personnel) . En réponse au journal Périphérique d'authentification TOTP. Évalué à 10.
Oui, le constructeur m'a sorti la même excuse, qui est techniquement valide, sauf que commercialement, cela ne me satisfait pas…
Quelques liens:
PS: J'ai maintenant une montre solaire radio-pilotée, parfaite pour les fainéants comme moi.
[^] # Re: un extension firefox
Posté par Andre Rodier (site web personnel) . En réponse au journal Périphérique d'authentification TOTP. Évalué à 6.
Super idée, supprimer complètement le concept d'authentification à deux facteurs, et utiliser le même périphérique pour stocker la clé utilisée pour le deuxième facteur.
Merci d'avoir joué…
[^] # Re: keepassxc
Posté par Andre Rodier (site web personnel) . En réponse au journal Périphérique d'authentification TOTP. Évalué à 7.
J'ai effectivement testé FreeOTP+, mais je m'étais finalement orienté sur Aegis.
Il y avait une option de sécurité très bien pensée dans ce dernier : Le fait de pouvoir masquer les codes par défaut, il faut "taper" sur un code pour qu'il soit affiché pendant quelques secondes. Cela permet de minimiser les risques d'une potentielle capture d'écran par un logiciel espion.
Je vois que cela a maintenant été inclus dans FreeOTP+.
Il semble que la dernière version de FreeOTP+ date un peu.
Mais bon, cela reste sur Android, une plateforme pas aussi sécurisée qu'un périphérique non connecté sur internet.
# Pas mal
Posté par Andre Rodier (site web personnel) . En réponse à la dépêche reaction, remplaçant de fail2ban. Évalué à 10.
C'est vrai que fail2ban a fait son temps, et ses fichiers de configuration ont graduellement explosé. Perso, je me suis contenté de nftables, mais bon.
Quelques remarques :
Je pense qu'il est possible de souscrire aux messages du journal système directement, utiliser une commande, c'est old school.
D'ailleurs, spécifier
'journalctl', '-fu', 'sshd.service'dans un fichier de configuration, c'est ce que j'appelle se tirer une balle dans le pied. À la limite, il vaudrait mieux quelque chose comme ça :Cela te permettra de laisser au programme le choix de l'implémentation, soit manuelle (i.e.
journalctl -fu sshd), soit native lorsque tu auras trouvé l'api systemd qui le fait.Pour le fichier de configuration, je les préfère exempts de toute logique, donc Yaml suffirait. Pour la raison mentionnée ci-dessus.
Même remarque pour cette ligne :
OK, c'est très flexible de supporter
cmd, mais ça devrait être une exception. Si par exemple, tu écris quelque chose comme ça:Le programme peut maintenant choisir d'utiliser nftables, iptables ou autre, en fonction du système.
Pour ssh, nftables fait ça très bien, avec sets + timeout. Je crois que la dernière version de iptables est juste un wrapper autour de nftables.