-=[ silmaril ]=- a écrit 1463 commentaires

Il existe un bug en XCP-ng > 7.4 impactant XenMotion (Live Migration):

https://github.com/xcp-ng/xcp/issues/72

En gros Citrix a rajouté un nouveau processus de migration closed-source en 7.4 pour gérer les migration avec vGPU et en 7.5 ils ont supprimé l'ancien système (https://bugs.xenserver.org/browse/XSO-878).

XCP-ng à donc du refaire emu-manager from scratch et il y a quelques difficultées rencontrées notamment sur des VMs avec beaucoup d'activité

Perso j'en ai usé deux en 3/4 ans, je suis passé au MX Ergo depuis l'an dernier qui est encore plus confortable et semble bien plus résistant.

PS: Et pourtant je suis gaucher

Gare au eval, y a moyen de faire des trucs … pas drole (genre /tmp/$(rm -rf /)/hello …)

Le monsieur utilise LILO qu'il a dit ;)

bon en même temps si en plus d'utiliser des ordinosaures il utilise des bootloader de la préhistoire c'es sur que ça aide pas.

En tout cas pour moi le symptome est plus probablement un pilote de chipset spécifique non compilé / pre-chargé dans l'initrd utilisé actuellement.

la problèmatique du nom de partition est envisageable aussi, surtout avec lilo … mais s'il utilise bien les UUID c'est justement fait pour ne pas avoir de problème du genre.

dans tout les cas un dump des messages kernel va être nécessaire pour aller plus avant.
Et/ou un boot avec livecd et une inspection des devices pci et autre modules a charger

A priori steam n'est dispo que pour les archi i386, est-ce que tu as bien activé le multiarch sur ta machine ?

Essaye:
$ sudo dpkg --add-architecture i386
$ sudo apt install libgl1-mesa-dri:i386 libgl1-mesa-glx:i386

Avant même de penser à utiliser /etc/cron.d, a directement loguer au bon endroit ou autre blagues de chemin, il y a un truc important à comprendre: avec un fichier cron tu planifie UNE tache.

Si cette tache est complexe comme "mettre a jour le système" on va créer un script, exemple un fichier "unattended-upgrades.sh" qui va contenir les commandes à exécuter pour réaliser cette tâche.

Ce fichier/script va permettre d'enchainer des commandes, de réagir en fonction du résultat etc. et une fois le fichier testé et validé alors on va rajouter une ligne cron pour en planifier l'exécution.

Attention lors de l'exécution d'un programme via CRON on ne bénéficie pas forcement de tous les paramétrages de notre shell personnel, il est recommandé de ne pas faire confiance au PATH aveuglement (override du PATH ou utilisation de commande via full-path '/bin/rm', …)

Autre remarque "sudo" est une commande qui permet temporairement (ou pas tant que ça avec sudo -i) d'obtenir des droits différents (en général les droits root mais ça ne s'y limite pas). C'est une commande qui n'a d'intérêt que dans une session utilisateur et qui peut nécessiter une interactivité (demande de mot de passe): pour un script de mise a jour du système on va plutôt faire en sorte que le programme soit directement lancé par l'utilisateur root directement via la crontab de root ou via /etc/crontab,/etc/cron.d en spécifiant une exécution par root.

Dernière remarque … le nom du script n'était pas innocent, il existe un programme "unattended-upgrade" qui fait le taf bien mieux que tout ce que tu pourras mettre en place ^{^}

sérieux, c'est vraiment ça qui te choque le plus dans le post initial ??

le fait qu'il utilise cron comme un script en enchainant des commandes à des timestamp différents pour s'assurer de leur execution dans l'ordre me semble plus prioritaire..

Ce que tu veut faire est faisable, mais pas en mettant un proxy http devant un site https, la negotiation HTTPS commence avant même que le premier octet de communication du protocole http ne s'etablisse.

Tu as deux options:
1 gérer le https et le certificat sur un proxy http/https standard
2 utiliser un proxy tcp

Sachant que la négociation https (ssl plus précisement) nécessite en théorie de fournir un certificat "à l'aveugle" (ie sans savoir quel est le site demandé par le navigateur) l'option permettant le plus de support client est un proxy tcp sur une IP dédiée.

Comme cette solution devient in-envisageable rapidement, notamment vis-a-vis de la réduction des IP, on a rajouter le "SNI": en gros le navigateur lors de l'établissement de la session ssl envoi le nom du site voulu, ce qui permet d'utiliser plusieurs certificats sur une seule IP, cela ouvre la voie à deux techniques:
* un proxy HTTPS qui gère plusieurs domaines et certificats (nginx,apache,traefik,haproxy)
* un proxy TCP qui inspecte le SNI, et route le trafic sur un autre logiciel (haproxy, peut-etre d'autres)

Perso, ayant un serveur avec une seule IPv4 et plusieurs IPv6 j'ai choisi la solution d'utiliser haproxy en proxy pour IPv4 et des accès directs en IPv6, du coup pour le https j'ai mis en place haproxy en inspecteur SNI, qui renvoi sur les webserveurs des jails, en rajoutant son entete ProxyProtocol pour garder les IP sources

# https routing on SNI (https isn't handled by haproxy to allow one ssl configration v4/v6)
frontend https-in
    bind <ip>:443
    tcp-request inspect-delay 5s
    tcp-request content accept if { req_ssl_hello_type 1 }

    ## figure out which one to use
    use_backend jblog-sni if { req_ssl_sni -i blog.example.com }
    use_backend jcloud-sni if { req_ssl_sni -i cloud.example.com }
    use_backend imap-sni if { req_ssl_sni -i imap.example.com }

    default_backend jblog-sni

backend jcloud-sni
    acl clienthello req_ssl_hello_type 1
    acl serverhello rep_ssl_hello_type 2

    tcp-request inspect-delay 5s
    tcp-request content accept if clienthello

    tcp-response content accept if serverhello
    server jcloud <ip priv jail>:443 maxconn 32 send-proxy

Exemple de configuration nginx:

server {
    listen       <ip priv jail>:443      ssl http2 proxy_protocol;
    listen       [ <ipv6 jail> ]:443 ssl http2;

    server_name cloud.example.com;

    # Set the client remote address to the one sent in the X_FORWARDED_FOR header from trusted addresses.
    set_real_ip_from                <ip priv haproxy>;
    real_ip_header                  proxy_protocol;
    real_ip_recursive               on;

    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers                 ECDHE;
    ssl_prefer_server_ciphers   on;
    ssl_ecdh_curve              secp384r1;
    ...
}

Après selon la configuration, un outil comme traefik dont la config se gère dynamiquement en relation avec la solution de conteneurs et qui gère LE nativement peut être une bien meilleure idée

PS: faire du docker pour faire du docker …

Mais il faut des retours à la ligne pour séparer les différentes parties du script.

echo "en effet" | sed -e "s/en/absolument/;s/effet/pas/; s/^/ce n'est /; s/$/ necessaire/"

XD

Je ne pense pas que tu pose ta question au bon endroit, linuxfr.org ne va pas pouvoir aider à faire du support utilisateur sur un produit propriétaire …

réparer ? tu as une manip précise en tête ?

Aide > Informations de dépannages > Reparer firefox

(ou attendre 60j sans relancer firefox il va le proposer tout seul ⁾

je ne vois qu'une corruption de la base de certif locale du profil, j'envisagerai une reparation ou une re-creation a zero

ca-certificates-mozilla 3.39-1, qui, chez moi, est daté du 1er septembre

en général ce paquet n'est pas utilisé par firefox, mais fourni aux autres applications le bundle de CA validé par mozilla.

pour ton problème du coup je ne sais pas trop, corruption mémoire du firefox, soucis sur le profil, Single event upset …

il s'agit du firefox "officiel" avec les mises a jours depuis mozilla.org ou un firefox géré par la distribution ?

j'ai quelques soucis avec le firefox officiel lors du redemarrage "in-place" suite aux mises a jours: l'exécution de programmes externes (evince pour les PDF, thunderbird pour le send-by-mail, ..) sont cassés.

Si c'est le firefox de la distribution et qu'il ya eu mise a jours sans que tu relance proprement FF possible qu'il y ai des comportements aberrants aussi

qu'est-ce qui te fait croire que scanner la même photo avec le même scanner 20x va te donner autre chose que 20 images relativement identiques ?

et que "moyenner" 20 images médiocre donnerait un résultat correct?

Quand l'information est perdue par le changement de support elle est perdue, si tu veut protéger ton image je dirais prend contact avec un labo photo pas loin de chez toi pour voir ce qu'ils peuvent te proposer, en général ils dispoent de scanners haute résolution pour récuperer les vieilles images

LinuxFR.org et ces trois sites sont sous un certificat de l'autorité Let's Encrypt, j'imagine que tu doit manquer du certificat AC correspondant.

Pour l'impossibilité d'ajouter une exception de sécurité c'est car les trois sites en questions bloquent la possibilité via l'usage du header Strict-Transport.

Essaye via un nouveau profil ça devrait fonctionner

Wifi Direct c'est du wifi hein, tu y fait passer ce que tu veut. c'est juste un wifi dans dhcp/dns donc si ça peut servir a imprimer une photo ça peut servir a afficher un site web.

et surtout que le hub USB de l'écran ne nécessite pas un PC actif pour fonctionner, même en alimentation électrique (car de tout les écrans Dell par exemple, oui c'est du vécu, et exactement pour cet usage d'ailleurs !)

Tout est résumé dans le titre mais si effectivement un android (ou tout autre machine) peut avoir deux connections réseau actives à un instant T il ne sait pas interroger deux serveurs DNS distincts.

La seule solution a ma connaissance est d'installer un serveur DNS à la main sur le client et de le configurer pour rooter la zone .local sur le dns du raspberry et le reste sur la connection 3G, ce qui est pas simple sur un PC et encore moins sur un android qui "passerait dans le coin".

Je pense qu'il faut regarder pour un fonctionnement type "Wifi Direct", avec configuration ZeroConf (pas de DHCP/DNS) et diffuser l'adresse du "service web" via un DNS-SD/mDNS (type bonjour)

c'est une manière relativement simple et assez fiable de détecter un réseau wifi à portail: interroger un service connu externe et si l'adresse en réponse est une adresse du LAN c'est très probablement que le réseau demande une authentification Web

c'est l'intérêt de passer par un VPN dont il maitrise les clefs

Heu pour le coup ça n'a rien à voir avec un VPN, il s'agit plus certainement d'un proxy https intercepteur, avec génération de certificats en live pour les domaines visités.

Plus je lis le texte de loi, plus je pense que le fait de le faire dans mon coin est légal mais que le partage tel quel à des tiers l'est moins.

Je crois que tu te prend la tête pour rien, il existe tant d'exemples d'outils publiés sur base de reverse enginering qu'une liste exaustive est impossible:

Samba => ré-écriture d'un protocole propriétaire
support fat32,vfat,ntfs,exfat, … (80% du kernel linux a vue de nez) => écritures de drivers pour systèmes de fichiers propriétaires et sous licences, de matériels, ..
weboob,
…

ça ressemble au mauvais usage de la notation hongroise, Joel Spolsky à fait un super article la dessus il y a un paquet d'années: https://www.joelonsoftware.com/2005/05/11/making-wrong-code-look-wrong/

I’m using the word kind on purpose, there, because Simonyi mistakenly used the word type in his paper,
and generations of programmers misunderstood what he meant.

C'est comme le porc-salut c'est écrit dessus: "use ant target…." donc il faut utiliser ant et la target adaptée issue de la liste.

Ant est le "make" de java.

Cela étant dit, j'ai de gros gros doutes qu'un Raspberry même 3 soit capable de gérer des traitements vidéos temps-réel, encore moins en java..

Je ne vais pas reproduire les manquements déjà relevé dans le journal, si j'ai bien compris l'idée derrière tes librairies et tes interfaces l'idée c'est de développer des applications Web sans écrire de javascript ?

En gros le framework se charge d'écrire le javascript nécessaire a binder le serveur ("l'application") et le navigateur et tout ce gère coté serveur ?

Du coup au final l'application est en interface directe sur le web ? c'est donc un serveur web indépendant à chaque fois ?

Personnellement en tant qu'admin-sys ce genre d'appli je n'ai pas confiance, ça implique un vecteur d'entrée sur mes systèmes qui n'a jamais été vraiment testé en terme de sécu…

Pour packager une appli avec medias ça implique d'avoir un serveur web a coté juste pour les medias ?

Dans tout les cas mon plus gros warning sur ta techno qui me fait dire qu'elle ne peut pas prendre de l'élan est tout simplement que ça va à l'encontre des besoins "primaires" des utilisateurs: de la réactivité.

Les applis web actuelles cherchent toutes à optimiser les opérations faites 'en local' (sur le navigateur client) et à réduire les interactions coté serveur (réductions des échanges en nombres de requêtes, mise en caches des datas, stockages locaux au navigateurs, opérations asynchrones, …) car au final c'est ça qui coute le plus.

Et au contraire d'un javascript généré dont on a pas le contrôle on va préférer un JS optimisé, "compilé" pour être testé et validé sur les différents navigateurs, voir traduit depuis un language superset un peu plus clean type typescript.

Tes librairies traduisent d'un mode de fonctionnement client-serveur fort datant des débuts du web et qui sont à l'abandon maintenant

Par contre, s'il existe une méthode toute faite pour remplacer mon escape(), je suis
preneur…

La référence: https://www.owasp.org/index.php/OWASP_Java_Encoder_Project

PS: L'échappement des inputs web c'est pas quelque chose qui se gère en trois lignes, les règles changent en fonction du contexte.

Le plus gros soucis avec l'utilisation de C++ pour la gestion d'interface Web a mon sens n'a rien a voir avec le language, mais tout a voir avec le fait que comme très peu de personnes l'utilisent dans ce but, tout l'ecosystème de la sécurité web va être à refaire …