Andre Rodier a écrit 401 commentaires

Ca, ca reste a prouver. Je préfère typiquement du code type en python par exemple a des docstrings avec la liste des parametres qui ne seront pas a jour un jour ou l'autre.

Pas tant que ça, cela dépends, je donne un exemple.

Nous avons un dépôt, avec une collection de rôles Ansible, chacun avec un README in Markdown.

• Un des "hooks pre-push" de Git, est de vérifier qu'aucun fichier dans le rôle n'est plus récent que le fichier readme. Lorsque c'est le cas, le push est refusé.
• Les fichiers "readme" contiennent ce que le code ne peut pas contenir convenablement : Une vue d'ensemble (e.g. mermaid / svg), les variables Ansible à définir, optionnelles ou non, des liens vers des sites internet, etc.

Lors de l'intégration continue (Jenkins out Gitlab), une des tâches assemble tous les fichiers readme, dans un site readthedocs. Au final, c'est très pratique.

Alors oui, la doc qui répète le code, c'est inutile, mais la doc qui donne une vue d'ensemble du code, c'est pratique.

Ce qui est complètement crétin, évidemment, c'est de ne pas documenter son code.

On est d'accord.

Je cite mot pour mot, les excuses bidon que j'ai entendu (en anglais, ma langue de travail) :

• No, the code is pretty standard you find on tutorials, why would you add comments ?
• No, the code is self-documented, you'll see.
• I'm in a hurry, I will add the doc later.
• It's working, don't need doc.
• It's on the wiki page xxxx (géneralement, la doc sur la page est complètement obsolète).
• I will organise a meeting to show you how it works.

Après les histoires de concours de bits, comment dire…

Disons que pour certains, ça permet de briller en société, et en bonus, étaler leurs connaissances pour les collègues féminines. C'est une attitude que j'ai vu trop de fois pour être une coïncidence.

Quand c'est un client, tu n'as pas trop le choix !

J'aurais dû préciser le second degré.

C'est vrai, pour les clients, j'utilise G Suite.

Pour mes mails perso, c'est un serveur de mail perso.

En même temps, quand on se fait des amis qui choisissent Outlook pour héberger leurs emails…

Perso, c'est un bon filtre pour moi. Si mon interlocuteur se pointe avec une adresse email @outlook.com, je me dis qu'il vaut mieux pas continuer à communiquer.

Quant à ceux qui avaient encore une adresse @aol.com, je les ai supprimés…

OK, on tape dans les techniques gouvernementales, mais ce ne serait pas la première fois que cela arriverait, non ?

C'est aussi dispo pour les personnes mal intentionnées, pourvu qu'elles aient un peu les moyens.

Je me rends compte que c'est mal formulé, l'un n'empêche pas l'autre…

excusez ma naïveté

Tout à fait.

pourquoi ne pas utiliser le bete 2FA par sms?

Lorsque tu seras en rase campagne, avec un accès wifi, mais pas d'accès au réseau mobile, tu comprendras.

De plus, sans même utiliser des techniques super invasives et visibles de « SIM swapping », il y a également des attaques qui permettent de rétrograder au vol le niveau de sécurité de ta connexion internet. Par exemple, ton téléphone passe soudainement en 2G, à partir d'une "IMSI-catcher". Le camion de plomberie blanc eu coin de la rue vient juste de récupérer ton SMS au vol, et tu n'as rien vu.

OK, on tape dans les techniques gouvernementales, mais ce ne serait pas la première fois que cela arriverait, non ?

C'est aussi dispo pour les personnes mal intentionnées, pourvu qu'elles aient un peu les moyens.

Les matériels et logiciels requis pour la mise en œuvre d'un IMSI-catcher sont devenus accessibles au grand public par des projets libres et l'utilisation de matériel générique32

• IMSI-catcher
• Stingray

Je pensais offrir un verre à celui ou celle qui pourrait compléter la phrase sans l'aide d'internet, mais c'est raté.

quant aux princes charmants, c'est pas compliqué : y'en a pas.

Ben heureusement, vu qu'il n'y a pas de princesses non plus, je préfères ne pas penser ce qu'ils feraient entre eux.

Tant pis, je retourne au Jazz, aujourd'hui.

Si j'avais le temps, mais bon…

Dans les pistes sympas, il y a aussi la fausse montre Casio: https://www.sensorwatch.net/docs/

Avec le code source qui va bien : https://github.com/joeycastillo/Sensor-Watch

Et la fonction TOTP pour les hackers : https://blog.singleton.io/posts/2022-10-17-otp-on-wrist/

J'ai également un radio réveil DAB+, et il se met à l'heure tout seul. Il utilise probablement le signal DAB, pas besoin de GPS.

Pour info c'est un Pure Siesta.

Des sorcières, des dragons, des stratoforteresses,
Oh yes, …

Oui, qui finit bien et tout…

https://joyreactor.com/post/1784806

Pas besoin d'un GPS, il y a des récepteurs qui utilisent des signaux alternatifs.

J'ai aussi une horloge dans ma salle de bain qui se met à l'heure toute seule, mais je ne sais pas exactement quel réseau elle utilise.

Oui, le constructeur m'a sorti la même excuse, qui est techniquement valide, sauf que commercialement, cela ne me satisfait pas…

1. En 2019, il y avait déjà moyen d'avoir des quartz de haute précision. J'ai d'ailleurs toujours une montre Citizen solaire, de la gamme "Eco-Drive", avec une tolérance de ±1s par….an. Je précise qu'elle ne m'a pas coûté un bras (mauvais jeu de mot, mais je n'ai pas pu résister).
2. Sachant que la tolérance d'erreur était si importante, il faudrait pouvoir régler l'heure sans avoir besoin de la connecter sur un PC. Dans les années 80, les montres à quartz basiques faisaient cela avec trois boutons.
3. Techniquement, il est tout à fait possible de remettre les pendules à l'heure automatiquement, une montre basique Casio, de la gamme WebCeptor (très moche), coûte environ 60€. Il y a également d'autres signaux radio qui permettent d'envoyer l'heure exacte.

Quelques liens:

• Montres Eco-Drive
• Précision des montres Eco-Drive

PS: J'ai maintenant une montre solaire radio-pilotée, parfaite pour les fainéants comme moi.

Super idée, supprimer complètement le concept d'authentification à deux facteurs, et utiliser le même périphérique pour stocker la clé utilisée pour le deuxième facteur.

Merci d'avoir joué…

J'ai effectivement testé FreeOTP+, mais je m'étais finalement orienté sur Aegis.

Il y avait une option de sécurité très bien pensée dans ce dernier : Le fait de pouvoir masquer les codes par défaut, il faut "taper" sur un code pour qu'il soit affiché pendant quelques secondes. Cela permet de minimiser les risques d'une potentielle capture d'écran par un logiciel espion.

Je vois que cela a maintenant été inclus dans FreeOTP+.

Il semble que la dernière version de FreeOTP+ date un peu.

Mais bon, cela reste sur Android, une plateforme pas aussi sécurisée qu'un périphérique non connecté sur internet.

C'est vrai que fail2ban a fait son temps, et ses fichiers de configuration ont graduellement explosé. Perso, je me suis contenté de nftables, mais bon.

Quelques remarques :

Je pense qu'il est possible de souscrire aux messages du journal système directement, utiliser une commande, c'est old school.

D'ailleurs, spécifier 'journalctl', '-fu', 'sshd.service' dans un fichier de configuration, c'est ce que j'appelle se tirer une balle dans le pied. À la limite, il vaudrait mieux quelque chose comme ça :

ssh:
  follow: sshd

Cela te permettra de laisser au programme le choix de l'implémentation, soit manuelle (i.e. journalctl -fu sshd), soit native lorsque tu auras trouvé l'api systemd qui le fait.

Pour le fichier de configuration, je les préfère exempts de toute logique, donc Yaml suffirait. Pour la raison mentionnée ci-dessus.

Même remarque pour cette ligne :

  cmd: ['iptables', '-w', '-A', 'reaction', '-s', '<ip>', '-j', 'DROP']

OK, c'est très flexible de supporter cmd, mais ça devrait être une exception. Si par exemple, tu écris quelque chose comme ça:

  action:
    type: ban
    target: drop

Le programme peut maintenant choisir d'utiliser nftables, iptables ou autre, en fonction du système.

Pour ssh, nftables fait ça très bien, avec sets + timeout. Je crois que la dernière version de iptables est juste un wrapper autour de nftables.

La question la plus importante, c'est est-ce que les éclats de noisettes sont bien répartis dans le saucisson ?
Les amateurs de Kaamelott comprendront…

Dans ce cas, il faudrait une fenêtre temporelle où tout le monde pourrait soumettre des liens préférés, avant que l'édition se fasse.

Avec quelques règles, bien sûr.

L'avantage des journaux les mieux notés, c'est que ça demande moins de travail.

Le résultat serait moins sympa, cependant.

Il faudrait mettre seulement le premier niveau de commentaire, seulement les mieux notés.

Le but est plus d'inciter à se rendre sur le site pour voir les réponses qu'une exhaustivité de contenu.

On peut sortir du latex, avec pandoc ?

C'est clair. Du coup un lien vers le journal suffirait.

Pour la base de données, dois-je comprendre que la documentation n'est pas exemplaire ?

Concernant le choix des journaux, le but n'est pas de choisir les meilleurs (trop subjectif), mais les mieux notés.

En fait, c'est plus un souvenir de l'ambiance linuxfr, voire des trolls du vendredi.

Genre un livre façon xkcd, rien de sérieux, donc.

Il faudrait replacer le débat dans le contexte américain, tiraillé entre le puritanisme hypocrite des partis conservateurs et l'ouverture d'esprit des démocrates.

Par exemple, dans certains états conservateurs, des pratiques sexuelles, même entre adultes consentants, sont encore passibles de poursuite. On peut également se retrouver fiché sur une liste de délinquants sexuels assez facilement. C'est d'ailleurs un sujet de controverse récurrent, en accès public, sans distinction possible pour un employeur potentiel. Pourtant, la majorité sexuelle varie d'un état à l'autre, au point que l'on y marie des enfants, et pas dans les états démocrates.

On a donc une personne polyglotte, qui a voyagé en Europe, sans doute empreint de différentes cultures et points de vue, qui exprime ses opinions, ouvertement, même si je trouve la forme parfois maladroite, c'est le deuxième amendement.

Ce n'est donc pas surprenant qu'il y ait eu des plaintes contre RMS, il suffirait d'un membre d'une église un peu conservateur pour lancer une pétition si l'un ou l'autre de ses propos l'a choqué.

Pas surprenant non-plus qu'une autre pétition de soutien soit lancée, qu'elle ait récolté plus de signature, surtout si c'est dans un milieu universitaire, souvent libertariens et plus à gauche.

Quoiqu'on en dise, RMS n'a pas été condamné par la justice américaine, qui est pourtant loin d'être laxiste sur ce point-là, AMHA. La diatribe de DDV constitue, là aussi, son point de vue, protégé par le second amendement.

Toutefois, à la fin de son texte, il y a un passage que je trouve pour le moins surprenant, qui révèle son état d'esprit :

In addition to his position as a voting member of the Free Software Foundation’s Board of Directors, Stallman is still invited to speak at events and conferences. Stallman’s infamous rider prescribes a number of his requirements for attending an event; most of his conditions are relatively reasonable, though amusing. In this document, he states his preference for being accommodated in private, on a “spare couch”, when he travels. At these events, in these private homes, he may be afforded many opportunities to privacy with vulnerable people, including minors that, in his view, can consent to having sex with adults.

Cela me semble exactement un "procès d'intention", où il traite RMS comme un délinquant sexuel potentiel, se basant sur l'interprétation de ses paroles citées plus haut.

Quelques liens sur les U.S. :

• États-Unis, ce pays qui marie ses enfants
• Surprising Things That Could Make You a Sex Offender (c'est le site d'un avocat)

…show me the code.

Il faudrait voir comment le bouzin marche, et si c'est sécurisé.

Émission passionnante, sur une radio excellente.

Il me semble que les radios françaises se sont divisées en deux catégories opposées.