Je n'ai jamais vu de chartes des paquets d'une distribution linux. Si tu en as une sous la main, ça m'intéresse. On peut considérer la définition du logiciel libre selon Debian, mais ça me paraît assez loin de ce dont tu parle.
Je n'ai jamais parlé de charte, mais de paquets qui dégagent si on constate des fonctionnements clairement malveillant. Ca arrive régulièrement, suffit de suivre un peu les évolutions des dépôts.
En fonction de la distribution il n'y a d'ailleurs pas forcément besoin de charte, ca peut se faire mécaniquement. Par exemple pour Arch, l'installation des nouveaux programmes, non-vérifiés par les mainteneurs de paquets, passe par AUR. Dans AUR, il existe un système de vote et de commentaires de paquets.
Pour Debian, avant qu'un paquet se retrouve dans Stable, il doit satisfaire différents critères de stabilités. Autrement, il aura du mal à passer de Sid à Unstable, et de Unstable à Stable.
Pour Red Hat et ses dérivés, les dépôts sont maintenus par Red Hat qui a tout intérêt à avoir des paquets cleans si ils ne souhaitent pas perdre de PdM.
Tu amalgame une techno avec son usage.
Non, à la base je fais juste remarquer que Flatpak permet exactement les mêmes dérives que les sites d'installations de logiciels Windows. Après on me vend de la sécurité, je fais remarquer que cette dite sécurité ne pare en rien les dérives en question, ce à quoi on me fait remarquer que la sécurité n'est pas l'objet de Flatpak, que si je veux mieux j'ai qu'à faire et que je fais des amalgame. Faudrait choisir un peu, hein :)
La multitude de gestionnaire de paquets elle est d'abord du fait des distributions linux qui chacune se sent obligée de montrer qu'elle est différente. Ensuite là il y a une solution concerté qui a une chance et vocation à remplacer toutes les méthodes à l'arrache que l'on a aujourd'hui.
Non, les gestionnaires de paquets ne sont pas des solutions à l'arrache (dire ca c'est un peu insulter les devs des distributions en fait) et Flatpak n'a pas à vocation de les remplacer (en particulier pour la partie système).
Pour le reste, j'ai déjà donné mon opinion plus haut, flemme de me répéter.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
Oui, et ? Ta distribution non plus ne te protège pas là dessus. Les mainteneurs ne sont pas des auditeurs de code ou de projets, ils peuvent passer à côté de tas de choses qu'ils jugeraient inacceptables. Et ils peuvent laisser aussi volontairement les éléments de télémétries car cela a aussi un intérêt. Genre la version de Firefox proposée par toutes les grandes distributions Linux dispose d'éléments de télémétrie. Est-ce choquant ? Non.
Rien à voir avec mon propos, je ne parle pas d'audit de l'application mais de vecteurs de distribution de logiciels.
Les paquets présents dans mes distributions habituels ont reçu une validation pour l'intégration aux dépôts. Ca implique donc de vérifier que le logiciel ne balance pas 50 popup à l'utilisation (sinon il dégage) ou n'installe pas d'autres logiciel en même temps (sinon il dégage). Ce qu'un Flatpak distribué par un site random n'assure pas du tout en fait.
Pour ce qui est de la télémétrie de Firefox, elle est désactivable. Pareil pour la télémétrie de la distribution si il y en a. Par contre, un Flatpak distribué par un site random peut avoir une partie de télémétrie ajouté par le dit site sans que l'utilisateur en soit averti ni qu'elle soit désactivable. Certes un logiciel peut le faire, alors autant ne pas multiplier les vecteurs d'ajout d'outils de télémétries.
Autrement dans mon propos, je ne parle pas de la fiabilité du logiciel installé, que ce soit un Flatpak ou un paquet logiciel de la distribution le problème reste le même, mais de la fiabilité du media d'installation. J'ai bien plus confiance dans un paquet logiciel fourni par les dépôts officiels de ma distribution que dans un Flatpak distribué par n'importe quel site au hasard trouvé sur le web. Tu me diras que j'ai qu'à passer par un site "sérieux" de Flatpak (j'en connais aucun, j'utilise pas ce format), mais c'est la réponse trop facile à faire, je reste un utilisateur averti. Par contre pour un utilisateur non averti qui a fait le choix de ne pas utiliser Windows ou d'utiliser Linux pour diverses raisons pas forcément techniques, il y a un risque loin d'être négligeable de tomber sur un site ayant repackagé les Flatpaks de façon malveillante. Les dépôts officiels d'une distribution servent justement entre autre à fournir des logiciels empackagés d'une façon honnête et non malveillante. Un site lié à aucune distribution fourni des Flatpaks dans le but qu'il souhaite, tout comme les sites de logiciels pour Windows le font.
Soit, parce que le code est libre, tu le fais toi même.
Ou alors parce que je suis libre de mes choix je vais voir ailleurs. À un moment faut voir ce que vous voulez aussi. Avec ce genre de remarque, faut pas s'étonner qu'on dépasse pas les 5% de parts de marchés, toutes distributions confondues, dans la partie grand publique.
Autrement, ca serait avec plaisir que j'accepterai tes dons pour pouvoir suivre une formation me permettant de "faire moi même". Je les attends même avec impatience.
C'est juste le PPA de Fedora, une broutille quoi. Et je précise que l'infrastructure Copr est maintenu par Fedora elle même : elle fournie de quoi créer facilement des dépôts personnels pour ajouter ou tester des paquets qui ne font pas sens dans les dépôts officiels.
J'utilise Fedora au boulot, jamais entendu parlé de Copr. C'est toujours bon à connaître pour la culture, si jamais un des utilisateurs (plutôt des devs) que j'ai aidé à passer sous Fedora me pose la question.
Tu es d'assez mauvaise foi en ignorant l'usage massif de petits dépôts personnels pour contourner les limites des dépôts à l'ancienne maintenus par les distributions.
Que ca soit sous ArchLinux (et ses dérivés), Debian (et ses dérivés), FreeBSD (et ses dérivés), Fedora, CentOS ou Gentoo (et Sabayon), je n'ai jamais eu besoin d'utiliser de petit dépôt persos en fait. Les seuls dépôts externes que j'ai ajouté sont ceux proposés par des éditeurs d'applis serveurs, pour CentOS. Et pourtant sur mon ordi perso (actuellement sur Arch c'est il est passé sous pleins d'autres distros) je joue aux JV, je fais de la photo, je joue avec mes systèmes, j'utilise du hardware exotique (lecteur de smartcard, hardware de gaming, interface neurale), bref j'ai un rapport avec mes OS assez large d'une façon générale. Mais ca vient peut-être du fait que j'ai pas hésité à changer de distribution pour aller vers celle qui me plaisait le plus et collait le plus à mes usages. Après tout, on ne va pas sur une Debian Stable si on souhaite avoir les dernières versions des logiciels.
Tu vas me dire que oui, je suis un utilisateur averti, je fais de mon cas une généralité, blablabla. Si tu veux on peut étendre ce propos à mon entourage composé de devs qui ne connaissent rien au fonctionnement d'un OS, mais aussi de néophytes, de gens qui l'utilisent au travail mais sans forcément volonté de leur part, de gens qui ont voulu quitter Windows par lassitude, de gens pas forcément jeune dans ce dernier cas. Bah en fait, ils n'ont pas besoin non plus d'utiliser de dépôts persos à partir du moment où la distribution de base est bien choisie.
Et ? je dis juste qu'une distribution peut le faire ou que quiconque peut le faire. Flathub le fait par exemple. Cela permet de résoudre la critique récurrente quant à l'absence de dépôts : ici tu as un tiers de confiance qui gère / ajoute des paquets sous certaines conditions, tu peux facilement avoir accès à tous les programmes qu'il propose et la mise à jour est automatique et centralisé. De quoi réduire l'écart entre les deux mondes.
Tout à fait, n'importe qui peut faire un dépôt de Flatpak, dans des buts divers et variés. Comme la distribution massive d'un logiciel en plus intégré dans tout les Flatpaks proposés, de adware, ou d'outils de télémétries. Cf plus haut dans ce commentaire.
Et cela a aussi de l'intérêt. Si un utilisateur d'Ubuntu veut la version de LibreOffice plus récente proposée par Fedora, il pourra facilement le faire. Si un utilisateur de Fedora veut une version plus stable de Firefox proposée par Debian (ESR + correctifs perso), il pourrait le faire aussi facilement. Cela découple en fait la base du système et les applications haut niveau. Cette flexibilité est très intéressante que ce soit en contexte professionnelle comme personnelle.
Quand on parle de découpler la partie système et applicative, j'ai très fortement envie de dire pour faire un peu comme sous FreeBSD quoi ;). Mais je m'en abstiendrais parce que clairement la séparation entre les deux est bien plus importante, ca serait plutôt comme ce que permet de faire Windows ou MacOS X (la dernière fois que je m'en suis servi date un peu cela dit).
Cette séparation est tout à fait louable, à partir du moment où l'utilisateur a un gestionnaire de Flatpak pour les garder à jour. Sinon on arrive dans une situation similaire à Windows ou MacOS, qui est un peu un des points les plus importants en sécurité informatique : la non installation des mises à jours de sécurités des applications.
Par contre, présenter deux gestionnaires de paquets à un utilisateur non averti est un excellent moyen de le perdre. C'est comme ca qu'on se retrouve avec, par exemple, deux versions de LibreOffice différentes installés, que l'utilisateur pense avoir installé une version plus récente avec un Flatpak mais se retrouve à ouvrir ses documents avec la version de sa distribution, et finalement se retrouve à porter un jugement négatif sur LibreOffice, sa distribution, voir l'écosystème GNU/Linux en général dans le pire des cas.
D'ailleurs ca me fait penser à une question un peu biscornue : est-ce qu'un programme installé en Flatpak peut se lancer directement en ligne de commande comme un programme installé par le gestionnaire de paquet, et si oui, comment ca se passe quand les deux versions sont présentes ?
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
Awi tiens, j'avais oublié celle là.
Et c'est pas parce que je ne les vois pas percé que ca n'arrive pas x). La seule isolation qu'on connaisse d'à peu prêt sûr, c'est une machine physique complètement isolée des autres (et avec quelques particularités matériels spécifiques).
Bon sinon, pour ceux qui moinssent, j'aimerais bien continuer la discussion avec vous, je suis ouvert à vos opinions :).
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
Tout d'abord Flatpak (je ne parle pas des autres) apporte une isolation du processus pour limiter les possibilités de nuisance au maximum. C'est sans doute plus sûr de se servir de Flatpak que d'utiliser un logiciel mal codé mais fourni par ta distribution.
Il s'avère que les moyens d'isolations sont moins étanches qu'on peut le croire. Les seules isolations que je n'ai pas encore vu se faire percer sont à minima de l'ordre de la VM (coucou Qubes OS). De plus, l'isolation ne protège pas contre les ajouts de popups publicitaires par exemple, de bout de code de télémétrie, etc. En fait, l'isolation n'est pas un processus magique rendant d'un coup un logiciel saint, mais plutôt une sécurité (pouvant être percée) pour éviter que le dit logiciel n'ait accès à tout. Cependant, le dit logiciel peut toujours faire sa vie.
Ensuite, on oublie qu'il y a des technos type PPA, Copr, etc. pour installer des dépôts tiers pour installer des trucs que sa distribution ne fournie pas. Ces dépôts sont non sûrs également, pourtant il ne semble pas que leur existence soit remise en question.
Je n'ai pas entendu parler d'une telle technologie dans la quinzaine de distribution que j'utilise, ou que j'ai utilisé. Généralement lorsqu'on cherche la façon d'ajouter un dépôt, on a le droit sur le wiki de la distro (si elle est généraliste) les dangers d'ajouter un dépôt externe Mais bon, j'ai besoin de faire ce genre de chose qu'en entreprise, pour des logiciels déjà éprouvés, qui proposent des dépôts séparés pour des versions de bibliothèques (mais s'intégrant sans conflits).
Bon aller, je vais arrêter de faire le malin et bien accepter que tu parles d'un truc dispo que sous une seule distribution, dont régulièrement les choix technologiques sont remis en question (Mir, upstart, Unity, les PPA et d'autres). Bah justement, au cours de ces 10 dernières années, j'ai entendu pas mal de monde râler sur le fonctionnement des PPA et sur leur existence même.
Par contre, jamais entendu parler de Copr ou autre, ca doit être des trucs pas très répandus.
Enfin, rien n'empêche de distribuer les Flatpak au sein d'un dépôt. Ta distribution pourrait même en avoir une ! C'est d'ailleurs ce que fait Flathub, et Fedora projette de le faire aussi à terme. Ce qui permet de gérer les mises à jour, mais aussi de n'installer que les Flatpak de confiance, etc.
Mes distributions préférées n'ont pas de dépôts Flatpak. Mais bon, si chaque distribution se met à gérer et maintenir son propre dépôt Flatpak, ca revient un peu à avoir des dépôts logiciels classiques, juste qu'on pourra utiliser ceux des autres distributions plus facilement (si il n'y a pas une incompatibilité qui apparaisse, par exemple avec une nouvelle version ou avec un fork, ca ne sera pas la première fois).
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
Donc t'es en train de dire que Flatpak va utiliser mes bibliothèques partagées ? Qu'on pourra en installer que depuis des dépôts officiels, avec clefs de validation des paquets, comme les paquets logiciels classiques des distros et que ca ne sera pas possible de les mettre en téléchargement depuis n'importe quel site ? Qu'il sera impossible de repackager un Flatpak pour lui inclure des trucs du genre Avast pour Linux ou un popup publicitaire ?
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
Tu veux dire que ca permet en gros de séparer les applications du système, avec les applications qui ont leurs propres bibliothèques embarquées. Ca permet aussi du coup au développeurs de logiciels de se contenter de faire qu'un paquet de son truc, et de le distribuer directement, ou via des sites de téléchargements.
En fait, ca permet de faire un peu comme sous Windows quoi. A se demander pourquoi Microsoft est en train de développer son dépôt logiciel pour justement garder les dit logiciels à jours dans les dernières versions et éviter de devoir télécharger son appli depuis un site proposant un installeur foireux avec 50 cacas logiciels ajoutés en même temps au passage.
Vous m'excuserez de ne pas être convaincu et de préférer conserver l'installation de mes logiciels avec les paquets maintenus par ma distribution ;)
Dire qu'Ubuntu est censée être une distribution pour débutant facile et simple à prendre en main, et qu'à côté, Arch a la réputation d'être instable et de pouvoir se casser avec une simple mise à jour …
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
Projet fort intéressant, pouvant peut-être enfin ammener au niveau du laptop une plus grande modularité équivalente à celle d'une tour. Honnêtement je n'ai pas tout lu, c'était un poil long à mon gout ; je me suis contenté du descriptif du projet. Et dans le design mis en vidéo, j'avoue que certains points me laissent perplexe.
Pouvoir avoir des composants faciles à changer est super chouette pour la durée de vie du laptop. Cependant si j'ai bien compris, les composants sont inclus dans des modules, un peu comme le blocphone ? Pourquoi ne passer laisser l'accès direct au connecteur (comme dans une tour quoi, ou les anciens laptops pour la ram) pour gagner en finesse ? Globalement les standards de connectiques changent peu, à part pour les CPUs …
Pour les CPUs, est-ce qu'il sera possible de changer le socket via un module ? Ce qui s'est passé pour mes dernières tours, c'est que lorsqu'elles atteignaient leur limite de perf du CPU (pour mon usage), le socket avait généralement changé, donc fallait prendre une nouvelle carte mère.
Pour les slots de connectiques externes, pourquoi faire seulement deux petits modules ? Ca n'offre que peu de connectique au laptop. A la place, un module qui prend plus de longueur serait plus pratique. Et bon, avec le thunderbolt 2/3 ou l'usb C, y a moyen de multiplexer énormément de connecteurs.
Bonne continuation !
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
Il faut que quelqu'un les ajoute à OSM ces numéros de rue. Pourquoi pas toi ?
Simple : parce que si je cherche à avoir le numéro de rue à un endroit où je me rends, c'est parce que je ne les connais pas ?
Autre réponse simple : y a pas d'appli sur mon OS de smartphone pour faire ca.
Je ne la trouve pas ? Alors tant pis je la cherche ailleurs.
Genre sur Google Maps pour avoir les numéros de rue ? Les numéros de rues n'étant pas forcément visible en fonction de l'endroit de destination. Tu vois un peu le problème.
Si tu as un smartphone Android je te recommande l'appli StreetComplete qui permet de compléter très facilement et rapidement (et aussi de façon un peu ludique) les données OSM déjà existantes.
Dommage, j'utilise SailfishOS, on a pas ce genre d'appli dessus. Mais bon, je vais pas me plaindre, déjà on a une appli GPS qui marche en offline avec les cartes de OSM.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
Je ne suis pas sûr de comprendre cette partie : Qt est un ensemble de bibliothèques, entre autre pour la partie graphique, pouvant être utilisées en C++, Python et autres, là où C est un langage de programmation pouvant utiliser des bibliothèques externes, entre autre pour la partie graphique.
C'est plutôt un passage de Qt/C++ à Gtk/C qui est annoncé du coup ?
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
Et puis, la raison d'être d'un éleveur, c'est bien d'accroître son cheptel par reproduction animale ! :D
Pas forcément, ca peut être d'améliorer la qualité de la viande par exemple. Mais surtout, ca sera dans le but d'être rentable et de se faire des pépètes, pour des raisons allant de l'enrichissement personnel à simplement pouvoir vivre normalement et pouvoir se payer.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
Parfois on tombe à un endroit où les numéros ne sont pas mentionnés
s/Parfois/Souvent/
Un jour on pourra utiliser les cartes de OSM comme remplacement complet des autres solutions : quand on aura les numéros de rue partout, et aussi une recherche qui gère des approximations plus larges qu'actuellement. En attendant, j'utilise les GPS des autres qui ont Android ou un iPhone.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
Et y a une "procédure standard" pour réclamer cette petite fiche ?
Tiens d'ailleurs, je me suis toujours demandé, y a une plateforme où indiquer à la CNIL les plateformes qui ne respectent pas le RGPD ?
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
Y en a aussi qui "résistent" à cause des modalités de transmissions du bulletin numérique. Personnellement j'aimerais beaucoup le recevoir au format numérique, mais soit dans ma boite mail, de préférence chiffré par GPG, ou autrement dans un coffre-fort numérique que j'héberge, ou hébergé par mon employeur.
Mais surement pas via une plateforme me demandant de créer un ène-ième compte, sur une plateforme à propos de laquelle je n'ai pas accès aux audits de sécurités, et qui stipule dans ses CGUs (au moins dans le cas de Digiposte) pouvoir transmettre les données personnelles à des tiers.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
Par contre Digiposte a dans ses clauses la possibilité de transmission des données personnelles à des tiers, qui ne sont précisés nul part et ne précisant pas non plus les modalités d'accès et de conservations des données.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
Venant de relire y a quelques jours les modalités de bulletins de pais électroniques, l'employeur est censé conserver une copie pendant 50 ans ou jusqu'à ce que l'employé ait 75 ans. Si la boite coule par contre, aucune idée de comment ca se passe.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
Posté par Astaoth .
En réponse au journal projet s2s.
Évalué à 3.
Dernière modification le 03 juin 2019 à 00:24.
Hum est si tu détruis ton instance au bout de 3 ans pour en faire une autre avec le même contenu, accessible de la même façon mais indiquant clairement que c'est pas la même instance (via un changement de charte graphique ?), comment ca se passe ?
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
Bah par rapport à Markdown, j'ai pas l'impression qu'il soit limité. Je peux me tromper et avoir loupé des killer features, mais de ce que j'ai vu, Org-mode fait à peu près tout ce que fait Markdown.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
Un format comme markdown ?
Org-mode les enfants : un seul standard, léger, efficace, complet, avec des exports en pdf, odf, LaTeX et pleins d'autres possibles. Ca existera toujours quand vous aurez oublié comment fonctionne l'informatique.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
Quitte à mettre des navigateur non-libre, autant inclure aussi Vivaldi. En terme d'utilisation, c'est pour moi celui qui offre la meilleure expérience. Son moteur de rendu est celui de Chromium, mais avec les fuites mémoires en moins et des fonctionnalités en plus.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
Pour moi, l'anonymat c'est quand il n'y a aucune données permettant de t'identifier (adresse IP et dates de connexions par exemple). Le pseudonymat c'est quand on peut toujours t'identifier en cherchant un poil, mais sans crier son identité dans les rues non plus. Par exemple comme quand un auteur publie un ouvrage sous un nom de plume : il est identifiable en demandant à l'éditeur, mais il aura la paix auprès du commun des mortels.
Un des intérêt du pseudonymat sur Internet est d'avoir un droit à l'oublie très facile à mettre en place. Quand on a 13 ans, on peut sortir des conneries qu'on regrettera plus tard. Avec un pseudonyme, c'est simple, suffit de changer de pseudo. Avec son identité réelle, bah ca pourra toujours porter préjudice, comme si il était inconcevable qu'on puisse changer d'opinion.
Par ailleurs, l'interdiction du pseudonymat aura surtout pour conséquence que les trolleurs pro seront encore plus dure à identifier. Au lieu de faire un compte du style "gégédu42" avec une photo de chat, on aura le droit à un "Jean Dupont" avec une photo venant de https://thispersondoesnotexist.com/ (aucune des personnes visible sur ce site n'est réelle ; les photos sont toutes générées par ordi). Et potentiellement, au lieu de pouvoir faire une simple requête judiciaire pour avoir des infos d'identifications de la personne, faudra potentiellement se coltiner des histoires de relations internationales pour récupérer ces infos stockées sur un VPN en Chine.
À moins d'interdire les connexions depuis un pays étranger vers des serveurs francais ? Ca sera vachement pratique pour le tourisme ou pour les francais en déplacement à l'étranger. A moins de faire un genre de VPN national pour centraliser toutes les connexions des francais ? Ca va être rigolo pour traiter les logs d'un tel système.
En bref, à force de vouloir trop contrôler et surveiller, le résultat le plus concret qui sera obtenu, c'est que les personnes qu'on voudra identifier sur internet seront de plus en plus dur à trouver, au détriment de la population général qui n'a rien à se reprocher (mais qui a toujours des choses à cacher ;) ).
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: Bien d'accord !
Posté par Astaoth . En réponse au journal Snap, Flatpak, Packagekit : c'est quoi ce bordel ?. Évalué à 2.
Je n'ai jamais parlé de charte, mais de paquets qui dégagent si on constate des fonctionnements clairement malveillant. Ca arrive régulièrement, suffit de suivre un peu les évolutions des dépôts.
En fonction de la distribution il n'y a d'ailleurs pas forcément besoin de charte, ca peut se faire mécaniquement. Par exemple pour Arch, l'installation des nouveaux programmes, non-vérifiés par les mainteneurs de paquets, passe par AUR. Dans AUR, il existe un système de vote et de commentaires de paquets.
Pour Debian, avant qu'un paquet se retrouve dans Stable, il doit satisfaire différents critères de stabilités. Autrement, il aura du mal à passer de Sid à Unstable, et de Unstable à Stable.
Pour Red Hat et ses dérivés, les dépôts sont maintenus par Red Hat qui a tout intérêt à avoir des paquets cleans si ils ne souhaitent pas perdre de PdM.
Non, à la base je fais juste remarquer que Flatpak permet exactement les mêmes dérives que les sites d'installations de logiciels Windows. Après on me vend de la sécurité, je fais remarquer que cette dite sécurité ne pare en rien les dérives en question, ce à quoi on me fait remarquer que la sécurité n'est pas l'objet de Flatpak, que si je veux mieux j'ai qu'à faire et que je fais des amalgame. Faudrait choisir un peu, hein :)
Non, les gestionnaires de paquets ne sont pas des solutions à l'arrache (dire ca c'est un peu insulter les devs des distributions en fait) et Flatpak n'a pas à vocation de les remplacer (en particulier pour la partie système).
Pour le reste, j'ai déjà donné mon opinion plus haut, flemme de me répéter.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: Bien d'accord !
Posté par Astaoth . En réponse au journal Snap, Flatpak, Packagekit : c'est quoi ce bordel ?. Évalué à 2.
Rien à voir avec mon propos, je ne parle pas d'audit de l'application mais de vecteurs de distribution de logiciels.
Les paquets présents dans mes distributions habituels ont reçu une validation pour l'intégration aux dépôts. Ca implique donc de vérifier que le logiciel ne balance pas 50 popup à l'utilisation (sinon il dégage) ou n'installe pas d'autres logiciel en même temps (sinon il dégage). Ce qu'un Flatpak distribué par un site random n'assure pas du tout en fait.
Pour ce qui est de la télémétrie de Firefox, elle est désactivable. Pareil pour la télémétrie de la distribution si il y en a. Par contre, un Flatpak distribué par un site random peut avoir une partie de télémétrie ajouté par le dit site sans que l'utilisateur en soit averti ni qu'elle soit désactivable. Certes un logiciel peut le faire, alors autant ne pas multiplier les vecteurs d'ajout d'outils de télémétries.
Autrement dans mon propos, je ne parle pas de la fiabilité du logiciel installé, que ce soit un Flatpak ou un paquet logiciel de la distribution le problème reste le même, mais de la fiabilité du media d'installation. J'ai bien plus confiance dans un paquet logiciel fourni par les dépôts officiels de ma distribution que dans un Flatpak distribué par n'importe quel site au hasard trouvé sur le web. Tu me diras que j'ai qu'à passer par un site "sérieux" de Flatpak (j'en connais aucun, j'utilise pas ce format), mais c'est la réponse trop facile à faire, je reste un utilisateur averti. Par contre pour un utilisateur non averti qui a fait le choix de ne pas utiliser Windows ou d'utiliser Linux pour diverses raisons pas forcément techniques, il y a un risque loin d'être négligeable de tomber sur un site ayant repackagé les Flatpaks de façon malveillante. Les dépôts officiels d'une distribution servent justement entre autre à fournir des logiciels empackagés d'une façon honnête et non malveillante. Un site lié à aucune distribution fourni des Flatpaks dans le but qu'il souhaite, tout comme les sites de logiciels pour Windows le font.
Ou alors parce que je suis libre de mes choix je vais voir ailleurs. À un moment faut voir ce que vous voulez aussi. Avec ce genre de remarque, faut pas s'étonner qu'on dépasse pas les 5% de parts de marchés, toutes distributions confondues, dans la partie grand publique.
Autrement, ca serait avec plaisir que j'accepterai tes dons pour pouvoir suivre une formation me permettant de "faire moi même". Je les attends même avec impatience.
J'utilise Fedora au boulot, jamais entendu parlé de Copr. C'est toujours bon à connaître pour la culture, si jamais un des utilisateurs (plutôt des devs) que j'ai aidé à passer sous Fedora me pose la question.
Que ca soit sous ArchLinux (et ses dérivés), Debian (et ses dérivés), FreeBSD (et ses dérivés), Fedora, CentOS ou Gentoo (et Sabayon), je n'ai jamais eu besoin d'utiliser de petit dépôt persos en fait. Les seuls dépôts externes que j'ai ajouté sont ceux proposés par des éditeurs d'applis serveurs, pour CentOS. Et pourtant sur mon ordi perso (actuellement sur Arch c'est il est passé sous pleins d'autres distros) je joue aux JV, je fais de la photo, je joue avec mes systèmes, j'utilise du hardware exotique (lecteur de smartcard, hardware de gaming, interface neurale), bref j'ai un rapport avec mes OS assez large d'une façon générale. Mais ca vient peut-être du fait que j'ai pas hésité à changer de distribution pour aller vers celle qui me plaisait le plus et collait le plus à mes usages. Après tout, on ne va pas sur une Debian Stable si on souhaite avoir les dernières versions des logiciels.
Tu vas me dire que oui, je suis un utilisateur averti, je fais de mon cas une généralité, blablabla. Si tu veux on peut étendre ce propos à mon entourage composé de devs qui ne connaissent rien au fonctionnement d'un OS, mais aussi de néophytes, de gens qui l'utilisent au travail mais sans forcément volonté de leur part, de gens qui ont voulu quitter Windows par lassitude, de gens pas forcément jeune dans ce dernier cas. Bah en fait, ils n'ont pas besoin non plus d'utiliser de dépôts persos à partir du moment où la distribution de base est bien choisie.
Tout à fait, n'importe qui peut faire un dépôt de Flatpak, dans des buts divers et variés. Comme la distribution massive d'un logiciel en plus intégré dans tout les Flatpaks proposés, de adware, ou d'outils de télémétries. Cf plus haut dans ce commentaire.
Quand on parle de découpler la partie système et applicative, j'ai très fortement envie de dire pour faire un peu comme sous FreeBSD quoi ;). Mais je m'en abstiendrais parce que clairement la séparation entre les deux est bien plus importante, ca serait plutôt comme ce que permet de faire Windows ou MacOS X (la dernière fois que je m'en suis servi date un peu cela dit).
Cette séparation est tout à fait louable, à partir du moment où l'utilisateur a un gestionnaire de Flatpak pour les garder à jour. Sinon on arrive dans une situation similaire à Windows ou MacOS, qui est un peu un des points les plus importants en sécurité informatique : la non installation des mises à jours de sécurités des applications.
Par contre, présenter deux gestionnaires de paquets à un utilisateur non averti est un excellent moyen de le perdre. C'est comme ca qu'on se retrouve avec, par exemple, deux versions de LibreOffice différentes installés, que l'utilisateur pense avoir installé une version plus récente avec un Flatpak mais se retrouve à ouvrir ses documents avec la version de sa distribution, et finalement se retrouve à porter un jugement négatif sur LibreOffice, sa distribution, voir l'écosystème GNU/Linux en général dans le pire des cas.
D'ailleurs ca me fait penser à une question un peu biscornue : est-ce qu'un programme installé en Flatpak peut se lancer directement en ligne de commande comme un programme installé par le gestionnaire de paquet, et si oui, comment ca se passe quand les deux versions sont présentes ?
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: Bien d'accord !
Posté par Astaoth . En réponse au journal Snap, Flatpak, Packagekit : c'est quoi ce bordel ?. Évalué à 2.
Awi tiens, j'avais oublié celle là.
Et c'est pas parce que je ne les vois pas percé que ca n'arrive pas x). La seule isolation qu'on connaisse d'à peu prêt sûr, c'est une machine physique complètement isolée des autres (et avec quelques particularités matériels spécifiques).
Bon sinon, pour ceux qui moinssent, j'aimerais bien continuer la discussion avec vous, je suis ouvert à vos opinions :).
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: Bien d'accord !
Posté par Astaoth . En réponse au journal Snap, Flatpak, Packagekit : c'est quoi ce bordel ?. Évalué à 1. Dernière modification le 17 octobre 2019 à 20:11.
Il s'avère que les moyens d'isolations sont moins étanches qu'on peut le croire. Les seules isolations que je n'ai pas encore vu se faire percer sont à minima de l'ordre de la VM (coucou Qubes OS). De plus, l'isolation ne protège pas contre les ajouts de popups publicitaires par exemple, de bout de code de télémétrie, etc. En fait, l'isolation n'est pas un processus magique rendant d'un coup un logiciel saint, mais plutôt une sécurité (pouvant être percée) pour éviter que le dit logiciel n'ait accès à tout. Cependant, le dit logiciel peut toujours faire sa vie.
Je n'ai pas entendu parler d'une telle technologie dans la quinzaine de distribution que j'utilise, ou que j'ai utilisé. Généralement lorsqu'on cherche la façon d'ajouter un dépôt, on a le droit sur le wiki de la distro (si elle est généraliste) les dangers d'ajouter un dépôt externe Mais bon, j'ai besoin de faire ce genre de chose qu'en entreprise, pour des logiciels déjà éprouvés, qui proposent des dépôts séparés pour des versions de bibliothèques (mais s'intégrant sans conflits).
Bon aller, je vais arrêter de faire le malin et bien accepter que tu parles d'un truc dispo que sous une seule distribution, dont régulièrement les choix technologiques sont remis en question (Mir, upstart, Unity, les PPA et d'autres). Bah justement, au cours de ces 10 dernières années, j'ai entendu pas mal de monde râler sur le fonctionnement des PPA et sur leur existence même.
Par contre, jamais entendu parler de Copr ou autre, ca doit être des trucs pas très répandus.
Mes distributions préférées n'ont pas de dépôts Flatpak. Mais bon, si chaque distribution se met à gérer et maintenir son propre dépôt Flatpak, ca revient un peu à avoir des dépôts logiciels classiques, juste qu'on pourra utiliser ceux des autres distributions plus facilement (si il n'y a pas une incompatibilité qui apparaisse, par exemple avec une nouvelle version ou avec un fork, ca ne sera pas la première fois).
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: Bien d'accord !
Posté par Astaoth . En réponse au journal Snap, Flatpak, Packagekit : c'est quoi ce bordel ?. Évalué à 2.
Donc t'es en train de dire que Flatpak va utiliser mes bibliothèques partagées ? Qu'on pourra en installer que depuis des dépôts officiels, avec clefs de validation des paquets, comme les paquets logiciels classiques des distros et que ca ne sera pas possible de les mettre en téléchargement depuis n'importe quel site ? Qu'il sera impossible de repackager un Flatpak pour lui inclure des trucs du genre Avast pour Linux ou un popup publicitaire ?
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: Bien d'accord !
Posté par Astaoth . En réponse au journal Snap, Flatpak, Packagekit : c'est quoi ce bordel ?. Évalué à 4. Dernière modification le 16 octobre 2019 à 19:15.
Tu veux dire que ca permet en gros de séparer les applications du système, avec les applications qui ont leurs propres bibliothèques embarquées. Ca permet aussi du coup au développeurs de logiciels de se contenter de faire qu'un paquet de son truc, et de le distribuer directement, ou via des sites de téléchargements.
En fait, ca permet de faire un peu comme sous Windows quoi. A se demander pourquoi Microsoft est en train de développer son dépôt logiciel pour justement garder les dit logiciels à jours dans les dernières versions et éviter de devoir télécharger son appli depuis un site proposant un installeur foireux avec 50 cacas logiciels ajoutés en même temps au passage.
Vous m'excuserez de ne pas être convaincu et de préférer conserver l'installation de mes logiciels avec les paquets maintenus par ma distribution ;)
Dire qu'Ubuntu est censée être une distribution pour débutant facile et simple à prendre en main, et qu'à côté, Arch a la réputation d'être instable et de pouvoir se casser avec une simple mise à jour …
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
# Finesse du produit final, modularité des composants et des connectiques
Posté par Astaoth . En réponse à la dépêche Open Computer v0.1 : Preuve de concept d’un ordinateur portable modulaire sous GNU/Linux. Évalué à 4.
Projet fort intéressant, pouvant peut-être enfin ammener au niveau du laptop une plus grande modularité équivalente à celle d'une tour. Honnêtement je n'ai pas tout lu, c'était un poil long à mon gout ; je me suis contenté du descriptif du projet. Et dans le design mis en vidéo, j'avoue que certains points me laissent perplexe.
Pouvoir avoir des composants faciles à changer est super chouette pour la durée de vie du laptop. Cependant si j'ai bien compris, les composants sont inclus dans des modules, un peu comme le blocphone ? Pourquoi ne passer laisser l'accès direct au connecteur (comme dans une tour quoi, ou les anciens laptops pour la ram) pour gagner en finesse ? Globalement les standards de connectiques changent peu, à part pour les CPUs …
Pour les CPUs, est-ce qu'il sera possible de changer le socket via un module ? Ce qui s'est passé pour mes dernières tours, c'est que lorsqu'elles atteignaient leur limite de perf du CPU (pour mon usage), le socket avait généralement changé, donc fallait prendre une nouvelle carte mère.
Pour les slots de connectiques externes, pourquoi faire seulement deux petits modules ? Ca n'offre que peu de connectique au laptop. A la place, un module qui prend plus de longueur serait plus pratique. Et bon, avec le thunderbolt 2/3 ou l'usb C, y a moyen de multiplexer énormément de connecteurs.
Bonne continuation !
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
# The Great Hack
Posté par Astaoth . En réponse à la dépêche Des documentaires sur le Libre, la vie privée, l’informatique ?. Évalué à 5.
Je ne l'ai pas encore vu, mais je pense qu'on pourrait ajouter The Great Hack qui porte sur l'affaire Cambridge Analytica à cette liste.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: .
Posté par Astaoth . En réponse au journal Comment occuper une soirée: mettre à jour son GPS. Évalué à 3.
Simple : parce que si je cherche à avoir le numéro de rue à un endroit où je me rends, c'est parce que je ne les connais pas ?
Autre réponse simple : y a pas d'appli sur mon OS de smartphone pour faire ca.
Genre sur Google Maps pour avoir les numéros de rue ? Les numéros de rues n'étant pas forcément visible en fonction de l'endroit de destination. Tu vois un peu le problème.
Dommage, j'utilise SailfishOS, on a pas ce genre d'appli dessus. Mais bon, je vais pas me plaindre, déjà on a une appli GPS qui marche en offline avec les cartes de OSM.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
# Passage de Qt à C
Posté par Astaoth . En réponse à la dépêche Ultracopier 2. Évalué à 10.
Je ne suis pas sûr de comprendre cette partie : Qt est un ensemble de bibliothèques, entre autre pour la partie graphique, pouvant être utilisées en C++, Python et autres, là où C est un langage de programmation pouvant utiliser des bibliothèques externes, entre autre pour la partie graphique.
C'est plutôt un passage de Qt/C++ à Gtk/C qui est annoncé du coup ?
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: À la recherche du domaine perdu, la plaie des SEO
Posté par Astaoth . En réponse au journal Écrire des liens pérennes dans ses pages web. Évalué à 8.
Puis comme ca on anticipe la future loi sur la taxation des liens hypertextes.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
# Et pour la partie physique
Posté par Astaoth . En réponse au journal Composition d'un layout de clavier personnalisé. Évalué à 2.
Ca sera peut-être l'occasion de tester un ergodox https://www.ergodox.io/ !
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: Attention à la sélection
Posté par Astaoth . En réponse au journal À la campagne, application éducative javascript. Évalué à 3.
Pas forcément, ca peut être d'améliorer la qualité de la viande par exemple. Mais surtout, ca sera dans le but d'être rentable et de se faire des pépètes, pour des raisons allant de l'enrichissement personnel à simplement pouvoir vivre normalement et pouvoir se payer.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: .
Posté par Astaoth . En réponse au journal Comment occuper une soirée: mettre à jour son GPS. Évalué à 1.
s/Parfois/Souvent/
Un jour on pourra utiliser les cartes de OSM comme remplacement complet des autres solutions : quand on aura les numéros de rue partout, et aussi une recherche qui gère des approximations plus larges qu'actuellement. En attendant, j'utilise les GPS des autres qui ont Android ou un iPhone.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: RE : « votre bulletin de paye électronique »
Posté par Astaoth . En réponse au journal « votre bulletin de paye électronique ». Évalué à 2.
Et y a une "procédure standard" pour réclamer cette petite fiche ?
Tiens d'ailleurs, je me suis toujours demandé, y a une plateforme où indiquer à la CNIL les plateformes qui ne respectent pas le RGPD ?
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: Inciter les gens à se faire hammeçonner
Posté par Astaoth . En réponse au journal « votre bulletin de paye électronique ». Évalué à 10.
Y en a aussi qui "résistent" à cause des modalités de transmissions du bulletin numérique. Personnellement j'aimerais beaucoup le recevoir au format numérique, mais soit dans ma boite mail, de préférence chiffré par GPG, ou autrement dans un coffre-fort numérique que j'héberge, ou hébergé par mon employeur.
Mais surement pas via une plateforme me demandant de créer un ène-ième compte, sur une plateforme à propos de laquelle je n'ai pas accès aux audits de sécurités, et qui stipule dans ses CGUs (au moins dans le cas de Digiposte) pouvoir transmettre les données personnelles à des tiers.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: RE : « votre bulletin de paye électronique »
Posté par Astaoth . En réponse au journal « votre bulletin de paye électronique ». Évalué à 3.
Par contre Digiposte a dans ses clauses la possibilité de transmission des données personnelles à des tiers, qui ne sont précisés nul part et ne précisant pas non plus les modalités d'accès et de conservations des données.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: RE : « votre bulletin de paye électronique »
Posté par Astaoth . En réponse au journal « votre bulletin de paye électronique ». Évalué à 3.
Venant de relire y a quelques jours les modalités de bulletins de pais électroniques, l'employeur est censé conserver une copie pendant 50 ans ou jusqu'à ce que l'employé ait 75 ans. Si la boite coule par contre, aucune idée de comment ca se passe.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: peertube / docker
Posté par Astaoth . En réponse au journal projet s2s. Évalué à 3. Dernière modification le 03 juin 2019 à 00:24.
Hum est si tu détruis ton instance au bout de 3 ans pour en faire une autre avec le même contenu, accessible de la même façon mais indiquant clairement que c'est pas la même instance (via un changement de charte graphique ?), comment ca se passe ?
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: OnlyOffice, ça pue
Posté par Astaoth . En réponse à la dépêche Chiffrement de documents de bout en bout dans ONLYOFFICE. Premier aperçu.. Évalué à 2.
Bah par rapport à Markdown, j'ai pas l'impression qu'il soit limité. Je peux me tromper et avoir loupé des killer features, mais de ce que j'ai vu, Org-mode fait à peu près tout ce que fait Markdown.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: et Gentoo PowerPC ?
Posté par Astaoth . En réponse au journal Debian pour PowerPC. Évalué à 3.
Ca veut dire se taper une recompilation de Gnome ou KDE une fois par mois sur un petit PPC ? Faut être patient là :D
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: OnlyOffice, ça pue
Posté par Astaoth . En réponse à la dépêche Chiffrement de documents de bout en bout dans ONLYOFFICE. Premier aperçu.. Évalué à 3. Dernière modification le 20 avril 2019 à 16:44.
Un format comme markdown ?
Org-mode les enfants : un seul standard, léger, efficace, complet, avec des exports en pdf, odf, LaTeX et pleins d'autres possibles. Ca existera toujours quand vous aurez oublié comment fonctionne l'informatique.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
# Vivaldi ?
Posté par Astaoth . En réponse au journal Navigateur web, l'impossible choix. Évalué à -3.
Quitte à mettre des navigateur non-libre, autant inclure aussi Vivaldi. En terme d'utilisation, c'est pour moi celui qui offre la meilleure expérience. Son moteur de rendu est celui de Chromium, mais avec les fuites mémoires en moins et des fonctionnalités en plus.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
# Dates/Horaires
Posté par Astaoth . En réponse au journal Conférence : «Le logiciel libre face à l'informatique» - Richard Stallman - 29/03 - ISTIC Rennes. Évalué à 2.
Pourquoi faire ca un vendredi aprem ? A cause du boulot, ca va être compliqué de venir.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: je pense que tu t'emportes sur le texte ou la traduction est mauvaise ;)
Posté par Astaoth . En réponse au journal L'Allemagne veut criminaliser l'hébergement d'un nœud TOR. Évalué à 7.
Pour moi, l'anonymat c'est quand il n'y a aucune données permettant de t'identifier (adresse IP et dates de connexions par exemple). Le pseudonymat c'est quand on peut toujours t'identifier en cherchant un poil, mais sans crier son identité dans les rues non plus. Par exemple comme quand un auteur publie un ouvrage sous un nom de plume : il est identifiable en demandant à l'éditeur, mais il aura la paix auprès du commun des mortels.
Un des intérêt du pseudonymat sur Internet est d'avoir un droit à l'oublie très facile à mettre en place. Quand on a 13 ans, on peut sortir des conneries qu'on regrettera plus tard. Avec un pseudonyme, c'est simple, suffit de changer de pseudo. Avec son identité réelle, bah ca pourra toujours porter préjudice, comme si il était inconcevable qu'on puisse changer d'opinion.
Par ailleurs, l'interdiction du pseudonymat aura surtout pour conséquence que les trolleurs pro seront encore plus dure à identifier. Au lieu de faire un compte du style "gégédu42" avec une photo de chat, on aura le droit à un "Jean Dupont" avec une photo venant de https://thispersondoesnotexist.com/ (aucune des personnes visible sur ce site n'est réelle ; les photos sont toutes générées par ordi). Et potentiellement, au lieu de pouvoir faire une simple requête judiciaire pour avoir des infos d'identifications de la personne, faudra potentiellement se coltiner des histoires de relations internationales pour récupérer ces infos stockées sur un VPN en Chine.
À moins d'interdire les connexions depuis un pays étranger vers des serveurs francais ? Ca sera vachement pratique pour le tourisme ou pour les francais en déplacement à l'étranger. A moins de faire un genre de VPN national pour centraliser toutes les connexions des francais ? Ca va être rigolo pour traiter les logs d'un tel système.
En bref, à force de vouloir trop contrôler et surveiller, le résultat le plus concret qui sera obtenu, c'est que les personnes qu'on voudra identifier sur internet seront de plus en plus dur à trouver, au détriment de la population général qui n'a rien à se reprocher (mais qui a toujours des choses à cacher ;) ).
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.