Baptiste SIMON a écrit 614 commentaires

Je te promets que bcp de boites font n'importe koi parce qu'elles ne comprennent rien aux méthodes propres aux LL... après, je ne dis pas qu'elles ne comprennent pas la GPL, je dis que c'est la mise en place de ses effets de bord qui sont plus difficiles à saisir...

M'enfin, je fais là l'avocat du diable, ca ne les excuse en rien, et je trouve ca tout à fait anormal !!

Ne pensez vous pas qu'il puisse s'agir d'une regrettable erreur de la part de Kiss ? C'est vrai, bcp de boites sont en galère avec la facon de faire de la GPL (c pas si simple de mettre ses sources à disposition de tous à la manière des LL........), et bcp se mettent à baliser qd on leur pointe du doigt une violation dont elles n'avaient mm pas explicitement conscience.

Je pense que leur manque de réaction peut venir de plusieurs sources :
- "merde qu'a-t-on fait ? comment réagir pour que tout se passe pour le mieux au nivo commercial ? .... aaaaaaaaaaaah ca commence à trainer !!"
- "arf zut ! on a oublié ces détails quant à nos modifs... bon, ben il va falloir faire un truc propre pour nos contribs maintenant... allez zou, achat d'un nouveau serveur, étude des outils appropriés, etc... ca va prendre du temps. Tant que tout n'est pas en place, on évite les vagues les gars !"
- "Ils font chier avec leur GPL... de tte manière, il parait qu'ils n'ont aucun poids juridique... ca nous coutera moins cher de répondre à un proces que d'être dans les regles..." (tres improbable je pense de la part de kiss)

glop,

C'est bizarre qu'il n'existe pas une clause dans les licences MS de ses produits de devel interdisant de faire du code Libre (sous GPL par exemple) :c/ Qqn pour contredire ?

"Sans même revenir sur la débacle de la VM des premières versions du noyau 2.4 qui a été remplacée par une autre, ReiserFS n'était pas présent dans 2.4.0 mais a été ajouté par la suite (2.4.1 je crois),"

et n'était-ce pas tossati déjà au départ du 2.4 ? peut-etre Linus garde-t-il en charge les premieres versions des noyaux stables... j'ai un peu oublié en fait :c/

allez... un peu de pub, pk ca le vaut bien (oui, je sais, le titre est buggué) :
[ http://www.e-glop.net/howtos/vserver-debian-sid.xhtml(...) ]

pour le fork... arachne qui cause plus bas pourra mieux te renseigner que moi (j'ai pas assez de temps en ce moment)...

pour ce qui est du futur de la gentoo... je l'envisage à double tranchant (sans compter que je n'en ferais pas partie) :
- une distro libre ou du monde contribue de manière communautaire
- une distro revendable sous forme proprio (pour ce qui est des outils purs) bénéficiant à certains.

C'est pas forcément pourri... quand on l'annonce au départ haut et fort. Gentoo Inc. n'a jamais fait que de l'obscurantisme (désolé pour le mot un peu trop fort...). En plus, si on prend trolltech, ils font du proprio (parfois) basé sur du Libre... mais au moins ils avertissent ! et la majorité des contribs sont employés par trolltech... m'enfin... vous m'avez compris...

Donc pour l'avenir de Gentoo (Inc.), je l'envisage surtout sans moi.

les raisons sont-elles techniques ou est-ce lié à une inquiétude devant les menaces récentes de fork ?

j'oubliais cela... peut-etre les raisons sont-elles commerciales ? Dommage que la Gentoo soit une si agréable distribution, j'ai eu des regrets à la lacher...

nb: ce post sent le post de trop qui va me retrouver à [-] x 250 ... :) mais si il fallait aller toujours dans le sens du poil... ca se saurait :)

glop... ils sont trop forts !!
on a attendu 1 an la 1.4... et maintenant, ils nous font du versionning à la MS :c) Déjà que la 1.4 a pris bcp de retard entre autre à cause d'un portage qui n'était pas encore ng à l'époque... et c'était il y a à peine qqs mois, et voilà que maintenant, il reboulversent tout ! Vive Gentoo-stable alors ;c)

Sinon, en rigolant un peu moins... je conseille à tout contributeur de bien regarder [ http://www.gentoo.org/doc/en/policy.xml(...) ]... vous aurez le grand plaisir de voir que tout nom de devel ne doit pas etre inscrit avec le code mais dans un fichier à part... et que donc tout copyright est automatiquement légué à Gentoo Inc. l'entreprise qui entretient Daniel Robbins, le "inventor.gentoo.org" (son rDNS) qui est aussi "le chief architect" (son petit patronyme), ainsi que deux de ses potes...

PS: n'oubliez pas de demander votre salaire à la fin du mois ;c) si vous etes assez nombreux, peut-etre daigneront-ils vous répondre... "non".

Je n'ai pas parut calme ? toute mes excuses dans ce cas, je l'étais pourtant :c/

J'ai relu de nouveau calmement (de nouveau aussi) ce que tu as dis, et je persiste... on n'est pas obligé de se tourner vers d'autres alternatives Libres si le mainteneur principal d'un projet a foutu le camp :c/ A moins que la phrase en italique citée plus haut ne soit pas de toi (ou soit une reformulation menant à démontrer une erreur)... auquel cas, soit, tu as raison.

si le mainteneur upstream de tel ou tel package se moque de tel ou tel bug ou a disparu dans la nature et que personne n'as repris le logiciel, tu est exactement dans la meme situation qu'un logiciel proprietaire.

ben non ce n'est pas la mm chose...

- si un mainteneur "upstream" veut pas intégrer la correction d'un bug, deux choix : soit tu patches pour ta gueule (distro, @home, @work) en ayant de préférence publier les sources sous GPL qqpart, soit tu forkes.

- si un mainteneur a disparut dans la nature, là encore tu as faux. Si le projet est à l'abandon, soit tu trouves un moyen pour en récupérer le leadership, soit tu forkes...

Tu vois qu'on est pas autant dans la merde avec du logiciel libre (notez le petit "L") qu'avec du soft proprio...

- Oui on connait la date exacte [ http://www.wiggy.net/debian/explanation/(...) ]
- Oui on est surs que les serveurs n'étaient pas patchés
- Tu as raison, une fois le rootkit en place, on se fout de cette faille ;)

Je connais des paranos chez Debian, entre autres, qui vont froler la crise épileptique après ce genre de merdier à force d'ultra-paranoia ! :cb

et il n'apparaît à personne que ce bug était un trou de sécurité

Dès le départ il a été possible d'imaginer des exploits il me semble... un bufferoverflow est toujours extremement dangereux sur x86 et assimilé (je précise ca à cause de GMsoft et ses FOUTUS HPPA !!!! ;c)

Bref, pour le reste il me semble que tu aies raison... par contre, les petits vicieux qui épluchent les changelogs, ca court la planete !!! sinon, on se ferait pas chier à patché tout le temps nos systemes ;c)

Cela dit, je me souviens d'un MISC présentant les risques d'un cyberterrorisme mieux organisé qu'actuellement........

oui oui, j'avais compris le merdier :cb C'est aussi pour ca que j'ai rajouté le changelog de marcelo... Cela dit, je pige pas pkoi le DSA dit qu'il s'agit d'un patch de Morton... :c/

Rendons à César ce qui appartient à César !! ;c)

oui oui, je sais... se répondre à soi-même, c pas très poli... mais je regardais le changelog du 2.4.23... et je n'ai rien trouvé en relation avec ce bug :c/

Je n'ai trouvé que 3 interventions de Morton... donc aucune ne parle de cette faille.

Andrew Morton:
o make printk more robust with "null" pointers
o sis900 skb free fix
o [netdrvr 3c527] add MODULE_LICENSE tag

Andrew Morton:
o inodes_stat.nr_inodes race fix

Andrew Morton:
o fix possible busywait in rtc_read()
o tty oops fix

Je n'ai trouvé qu'un seul corrictif sur le code de brk... mais pas fait par Morton, fait par marcelo :

<marcelo:dmt.cyclades>:
o Fix missing part of Centrino cache detection change
o Add TASK_SIZE check to do_brk()

bref... j'ai besoin de lumiere dans ma lanterne :c/

Juste un mot pour dire deux choses (oulà... c contradictoire tout ca, malgré l'existance de jeux de mot... mais là je me barre en couilles ;c) :

- le bug a été connu et corrigé bien avant l'exploit des serveurs debian, puisque cela date de septembre, juste après la sortie du 2.4.22 (ce qui explique sa vulnérabilité)

- ce qui s'est passé montre une faiblesse de l'OSS : le bug a été connu, "annoncé" (mais pas crié sur tous les toits) et corrigé... mais juste après la sortie d'une release... donc on a attendu qqs mois et la release suivante pour avoir un noyau patché "par défaut" contre cette faille.

Donc moi je dis bravo au Libre.... mais zut pour cette foutue faille connue depuis un moment qui n'a pas accéléré la sortie d'un nouveau noyau... pourtant cette faille était suffisament importante à mes yeux pour amployer de "grands" moyens ! L'acces au kernelspace par n'importe quel user dans le userland... ca fait mal au c** qd mm !

allez bonne nuité

pour le cas 3, il ne faut pas forcément etre root pour voler la clé pv SSH d'un user. il suffit d'etre le user en question (qui a forcément besoin d'avoir le droit en lecture sur le fichier contenant sa clé pv).

Pas forcé d'avoir à exploiter une faille logicielle connue pour obtenir les droits root en tant que user lambda. Prends l'exemple du binaire /bin/passwd : Il a (normalement et logiquement) un bit SUID et est la propriété de root, ce qui permet à quiconque de passer momentanément root à l'exécution de ce programme.

Le souci c'est s'il existe un bug sur ce genre de soft. Alors il n'est pas très compliqué d'obtenir un shell root. Vous allez dire qu'il "suffit" de se tenir à jour ? oui mais dans le cas du srv "Master", il existait une copie brute (suffisament ancienne) de son système contenant des binaires SUID non mis à jour. CQFD...

Résultat, ici, pour master, la faille a été dans les actions humaines, et non dans les outils installés eux mm. Donc comme d'hab', on retrouve l'erreur la plus commune dans tout système de sécu : l'Homme. C'est inévitable et incontournable, quoi qu'on fasse.

sauf que... quel est le plus dur ? Topper un mot de passe écrit uniquement dans la tete de son possesseur... ou récupérer une clé privée ? Je n'ai pas de réponse... et je pense que l'une comme l'autre, ces méthodes sont faillibles (la faiblesse humaine est la pire invention de l'Homme, et des clés réparties sur 200 systemes maintenus par 200 personnes totalement indépendantes n'est guere une meilleure solution à mes yeux)

Cela dit, c'est vrai, l'auth par clés pub/pv est une bonne chose, merci OpenSSH :c)

D'après moi, même si je ne suis pas juriste et jamais je ne me prétendrais l'être, la GPL ne stipule pas que l'auteur doive mettre en ligne ses "sources". Elle stipule que toute personne possédant un outil doit pouvoir trouver ses sources, les recopier, les modifier, les publier, etc...

Donc le truc est que qqn qui achète un soft GPL non distribué gratuitement a tout à fait le droit de le publier, le modifier, etc... mm si la boite éditrice a décidé de ne pas le rendre dispo au départ.

pas forcément... j'ai des potes qui jouent sur leur portable... et sérieux ca le fait !! bien entendu, ils rajoutent qd mm une vraie souris, voire un vrai clavier... mais pour ce qui est de la bébete et de l'écran, c très souvent d'origine !

mais c'est bien sur !!! J'oubliais Battle Ground. Sur le coup, j'avais confondu avec Battle Fields... :cb Bref, Gueben, bien entendu que y'aura moyen de se déplacer pour se faire un battle ground ce WE là !! :c)

> Dis moi mon cher BeTa... y'a de la place pour combien de personnes en gros ?

Y'a de la place pour une bonne trentaine de personnes si on est pret à se tenir chaud (mais je crois qu'on en aura besoin) je pense.

> Faut apporter sa multiprise, des switchs autre chose ?

Il faut amener toute sa connectique réseau telle qu'on peut l'imaginer minimale... après si tu as des switches ou autre hubs... Par contre, les multiprises sont _fortement_ appréciées !!

> Sinon j'ai America's Army qui tourne bien...

J'ai un TRES FORT a priori sur ce jeu... mais bien entendu que je pense qu'on le verra passer :c) d'autant qu'avec le live cd gentoo permettant de jouer à ce jeu sous nux sans l'installer forcément... c'est de la balle pour faire découvrir nux aux potentiels windowsiens.

Pour wine(x), moins on l'utilisera mieux ca sera. Wine passera encore peut-être... mais winex, c'est presque déjà bcp trop. C'est vraiment fait pour des jeux qui n'ont rien à faire de GNU/Linux (ou autre)... et là... ca va un peu à l'encontre de l'idée instigatrice de la LAN je pense.

> For King and country !
> Freeeeeeeeeeedom !!!!

Je vois que tu as d'EXCELLENTES références ;c) tu seras encore plus le bienvenu dans ces conditions :c)

en fait, l'idée, c'est de faire découvrir le Libre par des moyens plus plaisant que de simples portes ouvertes ou des linux-parties qui demandent d'être vraiment motivé vers le Libre au préalable. Ici, on met une revetement plaisant et non contraignant pour amené les gens à découvrir le monde des LL.

Ensuite, j'espère, et c'est en ca que je dis d'amener sa distro préférée sous le coude, qu'on arrivera à convaincre certains participants à passer de Windows(tm) à GNU/Linux... mais pour ca, je compte sur tout le monde, ce qui implique que ce monde là ai les moyens de faire découvrir à sa manière ce qu'il aime des LL. Dans un cadre plus restreint, toute rencontre entre geeks est aussi une manière plaisante de découvrir des choses, et donc de vouloir les tester..... ;c)

juste comme ca...

- LN@Game c un jeu de mot avec LAN@GAME, rien à voir autrement.... :c)
- pour dormir, ca sera possible sur place, mais à même le sol... prévoir ce qu'il faut pour...
- pour le "repas", il vous faut impérativement nous avertir par mail de votre venue !!

gloppement :c)

et c'est quoi son petit nom ? ;c)