benoar a écrit 4238 commentaires

je ne sait pas comment savoir celle qui est réellement utilisée sur mon navigateur…

Moi non plus, mais visuellement ça s'est vu direct : je ne connais aucun site qui me les fait aussi moche…

Regarde ta ligne de déclaration des polices :
Freesans, "Free Helvetian", "URW Nimbus Sans L", "Nimbus Sans L", NimbusSanL, URWNimbusSanL, Swiss, "Swiss 721 SWA", "Swiss 721 BT", "Swiss 721", Helvetica, Helvetic, Helv, "Arial Unicode MS", Arial, sans-serif

Tu pourrais pas simplifier un peu ? Les 3/4 ont l'air de variations pour systèmes trop pourris pour reconnaître le nom de manière générique, et la plus prioritaire est Freesans, qui n'est pas en fait celle à laquelle je pensais (c'est les Liberation qui servent de substitution aux polices populaires de chez MS) mais une police… du projet GNU ! Je ne connaissais pas, mais elle fait un rendu sans lissage sous-pixel je ne sais pas pourquoi, et c'est très moche. C'est étrange, je n'avais jamais entendu parler de ces polices avant, je connaissais surtout les DéjàVu/Bitstream.

Et en fait, quand je dis moche, c'est exactement comme sur la capture, sauf que je ne support pas ce genre d'anticrénelage baveux.

Je pense que tu peux juste supprimer Freesans au début de la liste et ça réglera le problème.

La police par défaut rend extrêmement mal chez moi avec avec du subpixel-rendering. C'est tout baveux et moche. Je suis en Debian sid.

J'ai regardé très vite fait la CSS, et je remarque que les polices choisies ne sont que des polices proprios, ou dérivées : il me semble que c'est Freesans qui est utilisée pour le texte des dépêches, et cette police n'est vraiment faite _que_ pour avoir un layout identique à je ne sais plus quelle fonte « Sans » de chez MS ; sinon, elle est vraiment moche.

Pourrait-on mettre simplement du « sans » tout court par défaut ? Ou en fallback de Lucida ou Arial (qui semblent utilisées aussi) ? (je suis assez nul en CSS) Mais par pitié, pas de Freesans…

Pour l'édition collaborative en direct, je connais etherpad : http://etherpad.org/

Alors, je ne connais pas ce genre de produit (d'ailleurs, t'aurais une référence de celui sur lequel tu lorgnes ?) mais ayant déjà vu un paquet de trucs bidons sur le port expresscard, il y a moyen que ce soit simplement un « SSD » sur port USB (connexion que l'expresscard propose ; l'autre c'est du PCIe 1x). De plus, ne connaissant aucun « grand » constructeur qui en fait (j'ai peut-être loupé quelque chose), je suppose que c'est en gros une clé USB (i.e. avec un contrôleur beaucoup plus merdique qu'un vrai SSD) avec un form-factor différent. Enocre plus si le prix n'est pas très élevé. Si c'était un truc un peu travaillé, il y aurait en plus un contrôleur SATA sur PCIe, et vu la place, le volume de production, etc, ça coûterais la peau du cul.

Bref, je peux me tromper, mais je flaire l'arnaque à 100km.

Après, Linux pourra tout à fait s'installer dessus ; mais attend-toi à avoir la même sensation que linux sur une clé USB…

Mais là tu m'expliques tu as un fichier source généré ?

Je ne lance que le préprocesseur :

gcc -E -D'printk(...)='

Et je ne vois aucun printk en sortie.
Ça se trouve, ton problème est plutôt du genre l'option est pas bien passée, ou alors les fichiers sont générés autrement, ou… ?

Heu, merci, je veux bien aider, mais je vais pas faire le boulot à ta place non plus. Si tu as un exemple concret de printk qui n'est pas supprimé par la directive de préprocesseur de gcc, montre-le, ça m'intéresse, et ça intéresse aussi sûrement des devs de gcc, car c'est sûrement un bug.

Et pour le tester, je grep simplement "printk" sur le fichier généré ; je ne vois pas en quoi j'ai besoin de le tester en live pour voir si les printk sont bien partis…

Ce problème m'a intrigué : j'ai essayé spatch, qui galère apparemment sur les directives de préprocesseur un peu ardues.

Par contre, que gcc n'y arrive pas, ce n'est pas normal : comment il pourrait le compiler sinon ?… J'ai essayé avec le code que tu fournis plus haut, la solution de Grégory marche nickel. Tu as un exemple qui ne passe pas ?

surtout sur le temps de démarrage.

Si tu veux démarrer rapidement, pense au suspend to ram / to disk. Après, il faut du matos « compatible » (= avec des drivers appropriés), mais normalement avec du AMD c'est bon (c'est ce que j'ai).

Le soir, je mets en veille (suspend to ram) en 2s. Le matin je l'allume en 2s. Que du bonheur. Et je retrouve tout mon bureau en l'état. (et quand je dis 2s, c'est 2 vraies secondes… bon ok, ptêt 3s…)
Après, si tu veux l'éteindre complètement, depuis un suspend to disk, ça doit taper dans les 15/20s (bon ok, avec un SSD).

Je pense que pour 100000 clients, soit 5M€ la solution Google, on peut essayer de se fabriquer un truc maison sympa, non ? (OK, tu n'auras pas la jolie GUI GMail et le super antispam, mais quand même…)

il les a serre et s'est fait taper dessus lui aussi.

Rappelle-moi les sanctions ? Ah oui, payer des dédommagements… en licences de produits MS.
Très beau foutage de gueule de la Justice, là, les mecs, bravo.

C'est l'abus qui est un crime, et ca fait des annees que je demandes qu'on me montre que c'est MS qui en est la cause, PERSONNE n'a jamais amene l'once du gramme de preuve allant dans ce sens.

Montrer les abus de MS, c'est comme quand tu nous dis des choses sur le source d'un produit MS, qu'on ne peut pas voir de toutes façons : personne ne pourra te le montrer clairement. Et tu le sais très bien, ce qui fait que tu auras toujours raison dans tous les cas : balaise ! C'est pour ça que des fois, on a juste envie que tu la fermes.

Ton point de vue compte proportionellement au nombre de gens qui ont le meme avis que toi, c'est bien ca la democratie et le systeme d'offre/demande non ?

Comparer la démocratie au système de l'offre et de la demande… comment dire : faut bien que tu vives aux US pour avoir le cerveau si déformé. Le système libéral du marché est l'anti-thèse de la démocratie représentative. C'est le jeu du plus fort, l'apogée du plus petit dénominateur commun, une illusion de liberté.

Mozilla a su amener un produit qui a plu suffisament pour bouffer des parts

Faut dire que vous y êtes allé fort dans l'incompétence avec IE…

Apple y arrive a chaque fois qu'ils bougent un doigt de pied

Avec des méthodes aussi peu recommandables que celles de MS.

linux y est arrive sur les serveurs

Ça me change la vie ça : ah, attends, le grand public ne sais pas ce qu'est un serveur, ça ne change strictement rien pour lui.

bizarrement Linux sur le desktop lui par contre c'est la faute a MS qui fait des coups bas par contre.

Je m'en branle de linux sur le desktop. Que les gens fassent ce qu'ils veulent avec leur bécane, qu'ils y installent ce qu'ils veulent, que ce soit du linux ou non. Je veux juste avoir le choix. N'essaye pas de détourner la question.

a) La vente liee n'est pas du ressort de MS mais des constructeurs
b) Rien n'empeche les constructeurs d'y mettre un autre OS

Ta gueule. Juste ferme-la.
Tu sais très bien les déséquilibres de puissance, la position dominante, on te le répète tout le temps, tu fais semblant d'oublier, etc.
Au bout d'un moment, on en a marre. Ça te fait marrer, parce que justement tu fais partie de ce pouvoir dominant, mais pas nous. Alors s'il te plaît, arrête de nous pourrir avec cet argument fallacieux du « choix » et de la « liberté » que nous avons tous dans ce fabuleux système « libéral ». Ta boîte nous encule bien profond et on le sait — pas la peine de le rappeler — et ce n'est pas une raison pour essayer de nous faire admettre qu'en plus, c'est parce que nous le voulons bien.

Le pire, c'est que personnellement, je joue le jeu du libéralisme : je n'achète plus de nouvelles machines qui sont vendues avec Windows, j'évite au maximum tout logiciel qui touche de près ou de loin à des formats ou protocoles made in MS. Après, on nous dit que si l'économie numérique va mal c'est justement parce qu'on n'achète pas de produits, et on nous fait des lois liberticides sous ce prétexte. Je subis aussi quotidiennement les inconvénients de tous ceux qui refusent ces formats/protocoles. Pourtant, je devrais être fier : je suis la loi du libéralisme, je joue le jeu. Et donc, si au final mon point de vue ne compte pas, c'est que je dois m'écraser, parce que le marché en a décidé ainsi, non ?

Bizarre, des tribunaux viennent justement de décider le contraire…

Bah, cite-là, parce que 99% des marques que je connais font des DD qui marchent en USB mass-storage. Histoire qu'on lui fasse un peu de mauvaise pub.

Ya que moi qui ai envie de crier « vaporware » en voyant ce site ? Des contraintes impossibles à tenir, mais avec l'espoir que si beaucoup de gens précommandes, ça peut aider, des mockups uniquement, une pauvre page à deux francs, ça sent l'attrape gogo.

t'auras peut-être déjà un "client".

Bah, c'est ça le « problème » avec FDN et les projets similaires : si tu te considères comme un « client » et que tu attends que ça soit monté, je crois que tu peux attendre longtemps…

En fait, la plupart du temps, c'est un problème d'œuf de et poule : tant que ton hébergeur/fournisseur de transit ne te fournit pas une connectivité IPv6, ça ne « sert à rien » d'essayer de passer à IPv6, puisque tu n'as pas les moyens de le faire (quoique, tu peux monter un tunnel, mais bon…). Par contre, s'il te le fournit, tu n'auras presque rien à faire : normalement, juste mettre ton IP dans ton /etc/network/interfaces (ou équivalent) et ajouter un AAAA dans ton DNS. Tu redémarres tes services, et c'est bon.

De plus le DNAT fournissait un firewall à pas cher

Ah, c'est sûr, être obligé d'analyser tous les paquets, de tracker certains protocoles, et d'enregistrer chaque correspondance du NAT en mémoire, c'est vachement « moins cher » que de simplement router (ou non) des paquets.

Ça fait des années qu'Orange casse _gravement_ le réseau en ayant sur ses box un resolver DNS qui ignore _sciemment_ toute requête DNS pour un enregistrement autre que A. C'est à dire qu'il ignore les AAAA ; pas en répondant qu'il ne connaît pas, comme le ferait tout resolver qui ne connait pas IPv6, non, non, il est programmé pour laisser les clients faire un timeout sur ce genre de requêtes. Conclusion : ça « casse » tout distro IPv6-ready, c'est à dire toutes aujourd'hui, en faisant que le réseau répond de manière super lente. Pas besoin d'une quelconque connectivité IPv6 non plus : du moment que l'OS le gère, ça provoque le problème.

Accessoirement, ça casse tous les protocoles qui se basent sur les engeristrements SRV, comme Jabber par exemple, pour certains serveurs.

Alors qu'ils arrêtent d'abord de nous péter les couilles avec ça avant d'essayer de gérer l'IPv6 (qui sera fait d'une manière ignoble de toutes façons, j'en suis sûr).

PS: je ne suis bien sûr pas chez eux, mais ce bug a notablement écorné la réputation de linux et d'IPv6 chez un paquet de gens. Merci Orange.

Absolument pas, ma box laisse tout passer, sans que j'ai eu à configurer quoi que ce soit, et c'était le cas de tous les FAI quand la box n'est pas configuré en NAT, à moins d'un changement récent.

Parce que la configuration par défaut (sans NAT) c'est un bridge, et que filtrer quand tu bridges c'est pas super propre, et que le but du bridge, justement, est en général de laisser une autre machine derrière le bridge filtrer elle-même.

Comme dit précédemment, et il semblerai que l'on se soit pas en accord la dessus, ce n'est pas le cas en ipv4, ce n'est pas le cas, en ce moment en ipv6, je ne vois absolument pas pourquoi ça changerai

Parce qu'en IPv4 actuellement, sans NAT, tu bridges (enfin, ta box), alors qu'en IPv6, tu vas router, ce qui n'est pas pareil, et les cas d'usage sont différents, et donc (c'est mon avis) la configuration par défaut aussi.

tiens si mon expérience personnelle ne te suffit pas en voila un autre qui a fait le même constat
http://blog.koreus.com/freebox-routeur-ipv6/

Free n'est peut-être pas encore décidé là-dessus. Moi je pense aussi qu'ils n'ont pas encore mis les moyen pour pousser la connectivité IPv6 jusqu'au bout, et qu'à défaut d'avoir une interface web pour configurer le firewall de la freebox en v6, ils ne filtrent rien. C'est tout le problème de ne pas avoir la maîtrise du « CPE », comme on dit.

ah oui c'est clair que faire un ssh user@rubicon ... /bin/su ; iptables ... c'est plus simple... (en plus de devoir taper un mot de passe root)

Je dirais que tu te poses les mauvaises questions. Si c'est pour une redirection temporaire, c'est que c'est donc pour accéder à certains services de ton réseau ? Monte alors un VPN. Ça tombe bien, IPSEC est fait pour ça : filtre les connexions entrantes de ton réseau, mais tout ce qui arrive par IPSEC passera. Ainsi, quand tu as la « clé » de ton réseau, toutes tes machines deviennent « visibles », ou plutôt atteignables. Et tout ça en gardant le même adressage que tu sois à l'intérieur ou à l'extérieur !

mais SSH marche très bien pour faire mes tests...

Au pire, tu peux toujours faire un SSH sur la machine directement (en laissant passer le SSH depuis l'extérieur pour toutes les machines), mais dans la limite où le service que tu veux atteindre est accessible en SSH ; ça gène un peu pour les machines Windows, effectivement.

En fait, faire du v6, c'est à dire de l'IP routé, c'est une vision vraiment différente du NAT ; il faut revoir un peu sa manière de penser.

Mais par défaut, quand je configure un nat, les machine derrière ne sont pas accessible, alors oui par défaut un firewall ne fait pas de nat, mais à partir du moment où tu as ajouté la règle magique ainsi que le echo 1 > /proc/net/.../ip_forward tu es en nat, et a moins de rajouter une règle à la con, les machine derrières ne sont pas accessible.

Encore une fois, une règle aussi en IPv6 pour que les machines derrière ne soient pas accessible. Je ne vois pas la différence.

Le fait que ce soit ou non un firewall derrière je m'en fout, (enfin moi non), ce que je veux c'est pas un firewall, c'est que les machine derrière puisse accéder à internet que ce soit ipv421 ip666 ou ip111 c'est le cadet de mes soucis. La limitation d'adresse ipv4 force un NAT; que ce NAT soit fait sur un firewall n'est pas l'important.
Si demain y a plus besoin de nat, le firewall imposé par le nat disparaîtra chez un paquet de gens.

Je pense que la conf par défaut des FAI qui feront « bien » leur boulot, ce sera de bloquer les connexions entrantes. Actuellement, c'est surtout les geeks qui s'y sont intéressés, donc au contraire un blocage par défaut aurait sûrement provoqué un tollé. Je pense qu'avec la maturité du l'offre, on va voir certains paramètres par défaut changer.

Et juste pour relancer une petite pique, si les gens avaient plus le choix dans le matériel qu'ils utilisent pour accéder à leur FAI (leur box, quoi), peut-être que certains se seraient plus vite bougé le cul en voyant les clients qui gueulent.

Sous linux oui c'est iptables qui s'en charge; sous windows ça ne l'est sûrement pas.

Je pense que c'est la stack réseau niveau kernel, comme linux. iptables ne veut pas dire « firewall », comme son nom l'indique : il manipule la gestion des paquets au niveau du kernel. Que ce soit pour filtrer le trafic, ce qu'on appelle couramment « firewall », ou pour faire du NAT, ou pour faire de la QoS, ou pour faire quoi que ce soit d'autre.

Pourquoi ne pas simplement gérer en local 2 interfaces ?

Parce que ça sert à rien et qu'on sait mettre plusieurs IP sur une même interface depuis longtemps.

Une avec adresse MAC fixe et une autre avec l'adresse MAC qui change tout le temps (dès qu'on le souhaite)

Je pense qu'il y a une grosse incompréhension sur cette histoire d'adresse MAC : c'est _une_ méthode d'attribuer l'IP d'une interface, mais après tu peux aussi choisir l'IP que tu veux. Pas la peine de bidouiller les adresses MAC pour ça, heureusement.

Pour beaucoup ça évite aussi une réécriture d'un soft ipv4.

Ah bah oui c'est clair, mais jusqu'à quand on va continuer à écrire des softs basés sur une technologie qui ne peut pas supporter un Internet moderne ?

La différence, c'est qu'une machine derrière un nat ne peut, par définition, pas être accessible sans configuration particulière (port forwarding)

une machine en ipv6, est par définition accessible. La configuration du firewall est un plus absolument pas indispensable.

Bon, je ne sais pas comment ne pas m'énerver, je l'avais déjà expliqué là à l'époque : https://linuxfr.org//comments/1001451.html#1001451
Ça fait deux ans, et toujours autant d'ignorance…
Alors, en gras, puisque tu ne veux pas comprendre : le nat _EST_ une règle du firewall, bordel de merde !. « Par défaut », on a une règle _en moins_ quand on ne fait pas de NAT. Et on en a _autant_ quand on rajoute la règle qui provoque l'effet _équivalent_ au nat de bloquer les connexions entrantes.

C'est ce que j'ai chez moi et pendant un temps uniquement certaines machines étaient forwardé - maintenant tout le réseau local est forwardé, par contre si j'ai effectivement fait du port forwarding avec iptables, j'ai trouvé ssh plus pratique (pour la plage de port >1024) (pas besoin de passer par root)

Ah, encore mieux que le NAT : utiliser le layer 5 pour palier les problèmes de pénurie d'IPv4… Genial.

Tu peux détailler?

Déjà fait au dessus. Ce que je voulais dire dans la remarque que tu cites, c'est que je pense que les FAI ont un minimum de « jugeote » (i.e. ils savent que derrière leurs box se trouvent des passoires) et bloqueront par défaut les connexions entrantes sur leurs routeurs IPv6. C'est tout.

Je crois que tu te plantes radicalement sur mon compte, je suis pour le passage en ipv6, ne serai-ce que pour la souplesse que ça apporte, mais nier qu'une passerelle NAT apporte une certaine sécurité au réseau derrière, est, a mon avis, une erreur monumentale. Oui la machine nat peut être remplacé par un pare feu, et dans beaucoup de cas cela devra être fait, mais moi ça me ferai grave chier que par défaut les box bloquent tout et qu'il faille se connecter dessus pour dire oui le trafic sur les ports 21,22, 194, 443, 80, 995, allant vers telles machine c'est ok. Et encore j'en oublie, les partage bittorrent, et autre truc dont je ne suis pas forcément au courant des ports utilisé, et si les box par défaut laissent tout passer, va y avoir un paquet d'ordi infecté.

Mais t'es con ou t'es con ? Ta passerelle IPv6 bloquera par défaut les connexions entrantes, et te proposera une jolie interface web pour configurer quoi laisser passer où. Exactement comme le fait actuellement ta box.

J'ai un doute quand même.

T'as bien douté : j'ai cherché une référence mais je n'ai rien trouvé… Du coup j'ai un doute aussi. Je ne sais pas d'où vient cette idée. Peut des instructions dst/dsdt et consort de l'Altivec, qui conseillent le processeur sur l'utilisation du cache, mais pas sur le branchement.

Je vais continuer à chercher, mais peut-être donc que ça n'existe pas. (j'irai bien voir du côté du Cell, qui a pas mal d'instructions « explicites » sur différents aspects du CPU et des SPU)

Je comprends tes réticences, surtout sur un projet comme OpenWRT où tout n'est pas toujours très clair. Mais sache que perso, en tant que bidouilleur de routeurs (j'en suis pas à mon premier flashage d'OpenWRT, ça doit bien faire 5 routeurs aujourd'hui) j'ai choisi ce modèle Buffalo pour avoir un routeur performant et qui marche bien : j'ai assez goûté du routeur qui marche à peu près avec 3 patchs sur la dernière version SVN. Ici, il est officiellement déclaré comme « supporté » http://wiki.openwrt.org/toh/start#buffalo et t'as des images précompilées de Backfire pour lui : http://downloads.openwrt.org/backfire/10.03.1-rc4/ar71xx/ (ok, ça c'est pas une version finale, mais tu as une 10.3 finale qui date un peu si tu veux, même si il me semble qu'il y avait encore quelques bugs à l'époque, d'où mon choix de la 10.3.1). Plus d'infos ici : http://wiki.openwrt.org/toh/buffalo/wzr-hp-g300h

En ce qui concerne les VLANs, je n'ai jamais rien fait de plus que de réassigner les ports (et ça marche), mais /normalement/ tu dois pouvoir assigner n'importe quel numéro de vlan à tel endroit, etc. Un peu de doc : http://wiki.openwrt.org/doc/uci/network#switch
Mais je n'ai pas énormément de connaissances là-dedans, donc je te laisse faire des recherches. Si tu trouves des infos ou si tu veux que je fasse des tests, je peux.

L'article ne semble pas le dire, mais sur certaines archi (PowerPC en ce qui me concerne, mais il me semble que sur x86 récent aussi) certaines instructions assembleur peuvent avoir un flag qui indique la branche la plus probable. Ça aide le prédicteur de branchement du CPU. Même si le fait de mettre la branche la moins probable « plus loin » dans le code comme le fait GCC dans l'article est la manière la plus « simple » de dire au CPU quelle est la branche qui sera sûrement prise (ou pas), sur x86. C'est le côté CISC : l'ordonnanceur d'instructions est super complexe et essaye de deviner l'intention du programmeur. Sur PowerPC, on compte sur le compilo pour aider le CPU.

Alors Oui, on peut avoir une passerelle IPV6 qui fait pare feu, mais là j'ai plusieurs remarques :
* ) qui va le faire?

Bah, les même que ceux qui font les box actuellement ? Forcément, si les gens pensent qu'il existe une solution gratuite à la raréfaction de l'adressage v4, on ne va pas y arriver. En même temps, vu tout l'argent perdu à contourner les NAT, je me demande ce qui revient le moins cher au final…

*) si les FAI font un pare feu trop violent sur leur box y a encore des gens qui vont râler

Mais qu'est-ce que ça veut dire, bordel ? C'est quoi la différence avec une box qui NAT ? As-tu déjà utilisé iptables ? Tu sais que le port forwarding, c'est deux lignes (1 règle ACCEPT dans le forward, et 1 règle DNAT), et que quand t'enlèves la règle de DNAT, il te reste la ligne dont tu as besoin pour faire passer ta connexion en v4 ou v6, en adaptant les adresses, tout ça sans NAT ?!?!

*) si ils laissent tout passer, c'est l'utilisateur bêta qui va se faire véroler ses machines mal protégées

J'adore les mecs qui supposent des trucs complètement irréalistes pour soutenir leurs propositions.

Bordel, tant d'incompétence, tu devrais être punis à RTFM pendant un mois.

Et puis au final, je pense que les mecs comme toi feront moins les malins le jour où ils n'auront plus d'IP publique du tout et seront NATés derrière le gros NAT de leur FAI, sans aucun contrôle sur celui-ci…