C'est meme possible que légalement, tu ne dois pas obliger de déclarer en dessous d'une certaine somme, mais je ne suis pas certain.
Lorsque tu vas aux us je sais pas, mais quand on t'envoie des us il y effectivement une "franchise de frais de douane" : ie en dessous de 23€ /fdp compris (les 23€ c'est de tête, mais c'est de cet ordre la), le colis n'est pas taxé.
au dessus (toujours en vpc), c'est la roulette : si ils choppe ton colis, ils ajoutent la TVA dessus, + différents frais de douanes si l'objet est soumis à des frais particulier.
En ce qui concerne la tva (toujours pour la vpc), elle est appliqué sur le prix du produit + les fdp.
1- Comme l'indique Ben Laurie, cette liste est de fait surtout utilisée par les développeurs d'applications basées sur openssl, et pas vraiment par les gens qui développent openssl. Ce qui change la façon d'interpréter les mails qui y sont soumis (cf. ci-dessous).
Sauf que c'est faux.
1°) le site d'openssl indique que openssl-dev est pour la librairie et pas les applis
2°) la majorité des messages concernent des messages propre à la librairie.
Ah ben oui c'est dur de vérifier les sources, faut savoir lire une mailing list
3°) ben laurie indique comme mailing list openssl-team. Petit hic, cette mailing list n'est pas indiqué sur le site. Et un google me sors que 63 réponse, face à plus de 12000 pour openssl-dev.
4°) Ben laurie invoque l'excuse qu'il avait pas vu ce qu'avait dit le dvp parce qu'il "n'a pas suffisament de bande passante". Sauf qu'il y a des interfaces web pour effectuer des recherches directement. interface web qui sont moins lourde que son blog. Pourtant il arrive a recharger son blog et à répondre dessus.
L'intention de Kurt (patcher un openssl utilisée en prod, et distribué massivement cette version) n'était absolument pas discernable.
Il était question de debugger openssl, et d'aider au debug des AUTRES applications (cf un mail ou quelqu'un indique le nombre d'erreur qu'il a en utilisant openssl vanilla (et a cause de lui) pour debugger une autre appli. (ca reste bien un probleme propre à openssl, vu que les erreurs sont provoqué par lui).
Quand tu debug une application, tu vas pas t'amuser a prendre la version de debug de libc6...
parce que l'une
1°) ne marche pas (poxy, toussa)
2°) est inutile dans le cas susvisé (ces sites ne sont pas "trouvables" facilement. Si filtré, aussitot recréer autre part, ...)
3°) a des inconvénient évident
Si c'est simple.
On en a déja discuté mainte fois, et je vois que même en contre-argumentant ce que tu dis de façon raisonné, comme ca vient pas de fedora, tu reste sur une position "c'est qu'un gros naze" (pour la faire courte).
Je ne me fatiguerais pas à continuer ce dialogue de sourd, et j'inviterais donc les lecteurs souhaitant avoir une vision peut etre un peu moins "simpliste" du probleme de regarder les commentaires et liens des autres journaux. (comme par exemple ce lien : http://blog.drinsama.de/erich/en/linux/2008051401-debian-ope(...)
)
Mais il a merdé et il faudrait arrêter de dire qu'il n'a pas merdé.
Ou j'ai dis qu'il avait pas merdé ?
j'avais dis danstte dépeche les dvp de debian ont tort dans une certaine mesure
Je reconnais bien qu'ils ont merdé, non ? (le certaine mesure est la uniquement pour contrebalance le "ils sont responsable de toute la misère du monde")
(et c'est loin d'être la seule foi que je le dis, entre autre sur les journaux traitant du sujet).
Ah mais faut mieux raconter n'importe quoi plutot que de faire un ctrl+f , hein isnotgood
d) La personne faisant la modification ne comprend pas vraiment ce que le code fait
Elle a tellement pas compris qu'elle a demandé à la liste de dvp , et a bien pointé les problèmes qui existaient...
Oui elle a merdé dans sa correction, mais il faut rester un minimum objectif et voir aussi ce qu'elle a fait.
1) D'accord sur ce point, mais visiblement les mainteneurs de Debian ont la permission de bricoler sans filet. Quand je pense qu'ils se prennent pour la référence des distributions, la plus stable, la mieux testée, etc....
C'est LEUR distrib. Ils font ce qu'ils veulent.
C'est pas eux qui se prennent pour la "référence des distributions". Contrairement à d'autres tu as pas en homepage "seulement 2 failles dans l'install par défaut depuis 10 ans".
2) Debian n'est pas nulle, simplement inadaptée à une utilisation professionnelle.
aucune distribution ne l'est ... mais toute le son.
En utilisation professionnelle,
il y a 3 choses qui compte
- le support.
Si tu as une merde, il faut qu'elle soit réparé (tu vois c'est différent de "ne pas avoir de merde", car tout le monde sait que c'est impossible).
- la fiabilité
il faut un minimum d'interruption de service lors de l'utilisation dudit service (dépend de l'os, et du hard).
- la sécurité
(tu sais qu'il y a des serveurs sous du windows...)
Si tu as une SS2I qui te fait un support 24/24 7/7 sur une ubuntu , suis la sécu dessus, elle peut être adapté en env professionnel, .
Ca pose pas de probleme.
Enfin je plains les sysadmins ayant choisi Debian ou dérivés ils vont se faire remonter les bretelles et avoir un week-end chargé.
Et quand windows à un probleme de sécu "Critique" , il se fait remonter les bretelle le sysadmin ?
un mainteneur de paquet n'est qu'une sous merde n'équivalent pas le génie des développeurs, les vrai ...
En tout cas c'est un peu ce que donne comme idée ton message.
la moindre des choses est de demander ET obtenir l'aval upstream avant de commenter/supprimer du code.
Ce qu'il a fait, et obtenue (quiproquo pe ?)
Mais bon, faut mieux calomnier que se renseigner, hein ...
mais ensuite on peut faire une faute aussi énorme et y trouver des excuses ?
Encore un amateur de "les torts ne sont jamais partagées. Vision binaire de base".
En somme c'est logique, développement communautaire, responsabilité, heu, communautaire... S'il fallait trouver une faille à cette perfection, la voilà.
Ca s'apelle le libre.
Maintenant si tu veux des assurances, trouve et paie un OS EAL7...
Et ça serait quoi un code bien documenté ?
Un code dans ce goût :
/* NB : ne pas supprimer cette ligne.
Elle n'est pas là pour rien. */
MD_Update(&m,buf,j);
Si t'es un codeur, je t'embauche pas ...
(d'autant plus qu'une des lignes était bien la pour rien XD)
Donc le mainteneur ne savait pas ce qu'il fesait, mais il a bien de le faire...
Il sait ce qu'il faisait, il a meme demandé conseil à la mailing list, et a pointé les problemes existant.
Mais désolé pour toi, quand tu as un code avec
/*Just use some garbage to add a little entropy*/
MD_UPDATE(...)
[...]
/*We use all the entropy available from /dev/random*/
MD_UPDATE(...)
bizarrement, le risque d'erreur (virer les deux lignes plutot qu'une seule, ...) en faisant le patch est ENORMEMENT diminué.
mais on a déja eu constation de ta mauvaise foi légendaire, tu nous en offre qu'un autre (triste?) exemple.
Si le mainteneur pense que la ligne est la pour rien, ben il envoye un patch en upstream et il attend que le patch soit upstream.
A chaque fois que tu ose faire une modif, tu l'envoie en upstream, tu attend qu'elle revienne (si elle revient!), puis tu continue a travailler (les autres modifs peuvent dépendre de la premiere)? Tu dois pas etre très efficient.
Encore une fois, j'admet tout a fait que le dvp de debian a commis des erreurs (suppressions d'une ligne en trop, pas d'envoie du patch final en upstream , ...)
C'est pas une raison pour le diaboliser, et raconter n'importe quoi.
C'est pas parce qu'il ne vient pas de RH que ca permet de dire franchement n'importe quoi sur son sérieux et sa méthode de travail.
Si le patch est ignoré durant plus d'un mois, ben il l'envoie à nouveau en poussant gueulante et en demandant des explications.
On rapelle que tu demande la modification d'une seule ligne là
Si a chaque fois que tu dois modifier une seule ligne dans openssl, tu dois envoyer un patch (malgré l'accord, quiproquoeste, précédent de la mailing list) avant de continuer ton boulot, l'efficacité, sans vouloir etre vexant, va s'en ressentir.
Pour des trucs de 1024 bits, à moins d'une "catastrophe" comme ici, ça doit être un sacré défi.
comme disais Sytoka Modon , il y a des moyens pour tester un générateur aléatoire et sa répartition (il me vient à l'esprit la méthode du khi², mais ca ne doit pas être la seule)
Et les stats nous informe qu'on a pas besoin de tester tout l'ensemble des possibilité pour avoir une idée du générateur.
Alors je dis pas que ca se fait en claquant des mains, mais ca reste faisable, et a mon avis , techniquement calculatoire dans un délai raisonnable (moins d'une semaine) meme pour des nombres de 1024 bits.
sans me faire l'avocat du diable, les "pauvres librairies" qui prenne le client pour des pigeons, qui n'ont que les derniers best seller, qui sont incapable d'avoir des conseils interessants, il y en a aussi un certain nombre. (je ne dis pas qu'il n'y a qu'elles, mais elles existent!)
La moindre perte de revenus signifierait la fin des publications de qualité.
Il y a des publications de qualité ... mais quand on voit le niveau de nombreux "best seller" et des magazines, on se dit que c'est peut etre pas le facteur commun le plus frappant des maisons d'éditions.
j'oubliais :
Les dev d'openssl ont un poil la responsabilité vu la superbe documentation du code incriminé, et le fait que valgrind gueule bien.
on dit "la sécu c'est génial faut faire super attention", c'est sur, (ie les dvp de debian ont tort dans une certaine mesure) mais si derrière les parties cryptiques, faut tout deviner tout seul, ca devient encore plus dur.
mais il me faut un peu plus qu'"un désolé on a merdé", j'espère une sérieuse reflexion sur toute la chaine de validation et voir apparaitre une politique de patch des logiciels upstream qui prenne en compte cet incident.
Propose ton aide, ils l'accepteront avec grand plaisir. C'est ca l'avantage de l'open source
juste petit troll hors sujet ;) Les phrases du FN qui ont tant choqué (le détail) sont maintenant interdites --> le FN devient-il respectable ou alors c'est juste qu'ils se taisent à cause de la loi et gagne des voix (en tout cas en 2002) ?
Pour le FN je sais pas si il est plus respectable, mais pour l'UMP c'est clair que c'est plutot le second cas (identité nationale ... rien que cette expression ca montre de qui elle vient!)
Faire des commentaires directement sur le bouquin ? (le pdf permet ça ... Mais utiliser des clients plus léger et puissant que le reader classique qq fois (comme foxit sous windows) ?
De copier une ou qq images en jpg afin de les envoyer à un pote?
(il est même autorisé de photocopier une (faible) partie d'un ouvrage dans une bibliothèque (elle paie des droits spécifiques qui couvre ce cas)
le gros problème, c'est que la liste est établis par ... on sait pas par qui!
Et ce n'est pas quelque chose d'établis au cas par cas, par un juge, avec les différents protagonistes, et surtout, le respect de la défense !
Juge qui possède déjà des moyens pour empêcher de voir le site (saisie, mandat d'arrêt internationaux, comission rogatoire aux FAI,...)
défend l'idée qu'un journaliste doit pouvoir écrire ce qu'il veut y compris des propos négationistes*.
Et, dans un état ou la liberté d'expression serait totale (tout en respectant la liberté d'expression des autres) , pourquoi ne pourrait on pas tenir des propos négationnistes ou racistes ? (bien que je ne cautionne pas ces propos)
(Mise à part que c'est interdit par la loi).
Parce que il y a des faits qui démontre le contraire pour le négationnisme ?
C'est aussi le cas pour le créationnisme, et on interdit pas la bible ...
Parce qu'il y a eu des morts ?
on devrait interdire l'humour noir alors...
Pour le racisme ?
Parce que c'est une incitation à la haine ? on peut dire que se prononcer contre les jeux olympiques en chine c'est une incitation à la haine des chinois en poussant le bouchon (et sans pousser trop le bouchon quand on voit qu'ils veulent faire des boycott, on a bien eu une incitation à la haine).
Bien entendu je ne cautionne absolument pas ces propos, et je comprend le pourquoi des lois... mais si elles n'existaient pas je comprendrai aussi.
Le soucis est qu'il l'a fait, mais semble s'être trompé de liste.
Le site d'openssl estime qu'il était sur la bonne liste.
il était sur openssl-dev et d'après le site d'openssl, ca correspond à openssl-dev open subscribers Discussions on development of the OpenSSL library. Not for application development questions!
Et personne ne lui a répondu, sauf après coup quand il était trop tard...
Faux, on lui a répondu, et en positif.
Simplement il y a un quiproquo (on va etre gentil) entre chaque partie (supression plus étendue que ce qu'avait peut être compris la team openssl, ...)
bref, pas totalement aussi manichéen que certains anti-debian/anti-distribution veulent le faire croire.
Ps : je ne dis pas que ce qu'a fait le dvp debian était "super top", je dis juste que dans le "création" du bug etc..., il était loin d'etre le seul en cause.
bon pour le reste tu es de mauvaise foi
(- prendre la toute premiere réponse , ou c'est meme marqué "first clue" , et dire "tu vois que c'est que pour le debug", sans prendre en compte les reste du messages
- dire "les dvp d'openssl savait pas ce qu'il fasait alors qu'il avait expliqué , ...
- ne pas savoir lire (inverser celui qui dis "pour moi pas de blem" et celui qui dis "j'ai fait des test")
et je ne perdrais pas plus de temps sur ce sujet avec toi.
Parce qu'en gros tu nous dis "tout va bien, tout c'est passé normalement, et ça va recommencer car il n'y a pas de raison qu'on revoir notre façon de faire".
Arrête de fumer pépé, et apprend à lire.
Ce que je dis c'est que le problème est partagé, et pas seulement celui du "bouh méchant dvp debian qui sait pas faire son boulot".
C'est inacceptable.
Et tu vas faire quoi ? Prendre la tapette a mouche et taper sur les méchants dvp de debian que tu aime pas , parce qu'ils sont pas de fedora ?
Taper sur les gens dont tu arrive pas à comprendre les commentaires ?
le problème n'est pas de payer l'infrastructure, c'est le prix que je _dois_ payer pour pouvoir bénéficier de l'infrastructure.
Bref rien a voir.
Mais encore une fois, tu dois etre quelqu'un qui a bien lu tous le thread, et qui a bien remarqué que ce qui me gêne c'est pas de payer mais le gaspillage sans nom.
Et tu as sans doute aussi remarqué, pour me faire ce style de moral, que j'ai dis "si il n'y avait pas de gaspillage, oui ca me generais pas de payer 20€ de plus" etc...
Bref, tu essaie pas de comprendre, mais comme tu veux faire la morale, tu balance n'importe quoi.
Enfin quand quelqu'un me dis "tu es bien content de bénéficier de la sécu", je lui fait simplement remarquer que bien que je sois content de bénéficier de la sécu
1°) je suis pas 100% et en plus je travaille 7 MOIS ENTIER POUR POYER CA. (cad que je travaille plus pour payer la sécu, la retraite, itou, que pour moi même.)
2°) Vu ce que j'utilise, ca m'amuse légèrement qu'on ose me faire la morale sur "je suis content de l'avoir".
3°) Vu les contraintes qu'ont les personnes QUI CONTRIBUENT AU SYSTEME, contrairement à ceux qui profitent du système*, se faire faire la morale quand on est dans le premier cas est relativement déplacé.
* je ne critique pas le fait d'offrir le RMI la CMU etc.., je critique que les fraudes ne sont pas recherché comme elle devrait, qu'il n'y a aucun moyen de déployé pour éviter les fraudes (et certainement pas les demandes du gvt qui ont un effet inverse): c'est plus facile d'imposer et de récupérer encore plus!
Exemple con : les caisse d'assurances maladie ne sont pas racordé entre elle : tu peux demander plusieurs fois la meme allocation.
Histoire marrante : une quintuplé imaginaire (qui touche les aides pour des quintuplé sans en avoir) a été découverte dans au moins 3 caisses primaire d'assurance maladie (ou un truc comme ça).
A un pot : qq inspecteurs parlaient entre eux (ils sont300 pour toute la france je crois), et ils se sont raconté chacun l'histoire de leur quintuplé ... avant de se rendre compte que c'était la même !
L'express estimait à 14 milliars les pertes du à la fraudes aux allocs/... par ans.
[^] # Re: Mise en perspéctive
Posté par briaeros007 . En réponse à la dépêche Découverte d'une faille de sécurité critique dans OpenSSL de Debian. Évalué à 6.
Désolé de dire ça, mais la paranoïa maladive, ça se soigne.
Désolé de dire ça, mais en sécurité informatique, il FAUT être paranoiaque.
Tiens exemple con : le pentagone cherche a virer TOUS les équipement réseau dont leur puce n'ont pas été concu et produit aux US.
Pourquoi ? Pour éviter une backdoor matérielle (presque)impossible à déceler.
Pour toi c'est de la paranoia maladive, pour les autres, c'est appliqué des normes de sécurité.
[^] # Re: ,
Posté par briaeros007 . En réponse au journal Un PC qui consomme 1 Watt. Évalué à 1.
Lorsque tu vas aux us je sais pas, mais quand on t'envoie des us il y effectivement une "franchise de frais de douane" : ie en dessous de 23€ /fdp compris (les 23€ c'est de tête, mais c'est de cet ordre la), le colis n'est pas taxé.
au dessus (toujours en vpc), c'est la roulette : si ils choppe ton colis, ils ajoutent la TVA dessus, + différents frais de douanes si l'objet est soumis à des frais particulier.
En ce qui concerne la tva (toujours pour la vpc), elle est appliqué sur le prix du produit + les fdp.
[^] # Re: Discussion avec upstream sur la suppression des lignes incriminées
Posté par briaeros007 . En réponse à la dépêche Découverte d'une faille de sécurité critique dans OpenSSL de Debian. Évalué à 2.
Sauf que c'est faux.
1°) le site d'openssl indique que openssl-dev est pour la librairie et pas les applis
2°) la majorité des messages concernent des messages propre à la librairie.
Ah ben oui c'est dur de vérifier les sources, faut savoir lire une mailing list
3°) ben laurie indique comme mailing list openssl-team. Petit hic, cette mailing list n'est pas indiqué sur le site. Et un google me sors que 63 réponse, face à plus de 12000 pour openssl-dev.
4°) Ben laurie invoque l'excuse qu'il avait pas vu ce qu'avait dit le dvp parce qu'il "n'a pas suffisament de bande passante". Sauf qu'il y a des interfaces web pour effectuer des recherches directement. interface web qui sont moins lourde que son blog. Pourtant il arrive a recharger son blog et à répondre dessus.
L'intention de Kurt (patcher un openssl utilisée en prod, et distribué massivement cette version) n'était absolument pas discernable.
Il était question de debugger openssl, et d'aider au debug des AUTRES applications (cf un mail ou quelqu'un indique le nombre d'erreur qu'il a en utilisant openssl vanilla (et a cause de lui) pour debugger une autre appli. (ca reste bien un probleme propre à openssl, vu que les erreurs sont provoqué par lui).
Quand tu debug une application, tu vas pas t'amuser a prendre la version de debug de libc6...
Sur les autres points je suis d'accord.
[^] # Re: Et pourquoi pas ?
Posté par briaeros007 . En réponse au journal Aïe !! une nouvelle loi à la con en perspective. Évalué à 1.
1°) ne marche pas (poxy, toussa)
2°) est inutile dans le cas susvisé (ces sites ne sont pas "trouvables" facilement. Si filtré, aussitot recréer autre part, ...)
3°) a des inconvénient évident
[^] # Re: Difficulté de créer un bon générateur de nombres aléatoires (ou
Posté par briaeros007 . En réponse à la dépêche Découverte d'une faille de sécurité critique dans OpenSSL de Debian. Évalué à 1.
On en a déja discuté mainte fois, et je vois que même en contre-argumentant ce que tu dis de façon raisonné, comme ca vient pas de fedora, tu reste sur une position "c'est qu'un gros naze" (pour la faire courte).
Je ne me fatiguerais pas à continuer ce dialogue de sourd, et j'inviterais donc les lecteurs souhaitant avoir une vision peut etre un peu moins "simpliste" du probleme de regarder les commentaires et liens des autres journaux. (comme par exemple ce lien :
http://blog.drinsama.de/erich/en/linux/2008051401-debian-ope(...)
)
Mais il a merdé et il faudrait arrêter de dire qu'il n'a pas merdé.
Ou j'ai dis qu'il avait pas merdé ?
j'avais dis danstte dépeche les dvp de debian ont tort dans une certaine mesure
Je reconnais bien qu'ils ont merdé, non ? (le certaine mesure est la uniquement pour contrebalance le "ils sont responsable de toute la misère du monde")
(et c'est loin d'être la seule foi que je le dis, entre autre sur les journaux traitant du sujet).
Ah mais faut mieux raconter n'importe quoi plutot que de faire un ctrl+f , hein isnotgood
[^] # Re: Tous ces commentaires sont désolants ...
Posté par briaeros007 . En réponse à la dépêche Découverte d'une faille de sécurité critique dans OpenSSL de Debian. Évalué à 1.
C'était pas juste EAL5 mandriva ?
D'ailleur ça en est où cette histoire ?
[^] # Re: Une réaction sur Debian Planet en français
Posté par briaeros007 . En réponse à la dépêche Découverte d'une faille de sécurité critique dans OpenSSL de Debian. Évalué à 4.
Elle a tellement pas compris qu'elle a demandé à la liste de dvp , et a bien pointé les problèmes qui existaient...
Oui elle a merdé dans sa correction, mais il faut rester un minimum objectif et voir aussi ce qu'elle a fait.
[^] # Re: Une réaction sur Debian Planet en français
Posté par briaeros007 . En réponse à la dépêche Découverte d'une faille de sécurité critique dans OpenSSL de Debian. Évalué à 0.
Personne.
Ah si tous les anti debian qui viennent dire "deb sapux" sans meme comprendre ce qu'ils disent
(Au rythme de 1 ligne par moi, je confirme, tu n'es pas très efficient pour les corrections de bugs).
[^] # Re: Tous ces commentaires sont désolants ...
Posté par briaeros007 . En réponse à la dépêche Découverte d'une faille de sécurité critique dans OpenSSL de Debian. Évalué à 2.
C'est LEUR distrib. Ils font ce qu'ils veulent.
C'est pas eux qui se prennent pour la "référence des distributions". Contrairement à d'autres tu as pas en homepage "seulement 2 failles dans l'install par défaut depuis 10 ans".
2) Debian n'est pas nulle, simplement inadaptée à une utilisation professionnelle.
aucune distribution ne l'est ... mais toute le son.
En utilisation professionnelle,
il y a 3 choses qui compte
- le support.
Si tu as une merde, il faut qu'elle soit réparé (tu vois c'est différent de "ne pas avoir de merde", car tout le monde sait que c'est impossible).
- la fiabilité
il faut un minimum d'interruption de service lors de l'utilisation dudit service (dépend de l'os, et du hard).
- la sécurité
(tu sais qu'il y a des serveurs sous du windows...)
Si tu as une SS2I qui te fait un support 24/24 7/7 sur une ubuntu , suis la sécu dessus, elle peut être adapté en env professionnel, .
Ca pose pas de probleme.
Enfin je plains les sysadmins ayant choisi Debian ou dérivés ils vont se faire remonter les bretelles et avoir un week-end chargé.
Et quand windows à un probleme de sécu "Critique" , il se fait remonter les bretelle le sysadmin ?
[^] # Re: Difficulté de créer un bon générateur de nombres aléatoires (ou
Posté par briaeros007 . En réponse à la dépêche Découverte d'une faille de sécurité critique dans OpenSSL de Debian. Évalué à 2.
En tout cas c'est un peu ce que donne comme idée ton message.
la moindre des choses est de demander ET obtenir l'aval upstream avant de commenter/supprimer du code.
Ce qu'il a fait, et obtenue (quiproquo pe ?)
Mais bon, faut mieux calomnier que se renseigner, hein ...
[^] # Re: Tous ces commentaires sont désolants ...
Posté par briaeros007 . En réponse à la dépêche Découverte d'une faille de sécurité critique dans OpenSSL de Debian. Évalué à -1.
mais ensuite on peut faire une faute aussi énorme et y trouver des excuses ?
Encore un amateur de "les torts ne sont jamais partagées. Vision binaire de base".
En somme c'est logique, développement communautaire, responsabilité, heu, communautaire... S'il fallait trouver une faille à cette perfection, la voilà.
Ca s'apelle le libre.
Maintenant si tu veux des assurances, trouve et paie un OS EAL7...
[^] # Re: Une réaction sur Debian Planet en français
Posté par briaeros007 . En réponse à la dépêche Découverte d'une faille de sécurité critique dans OpenSSL de Debian. Évalué à 0.
Et ça serait quoi un code bien documenté ?
Un code dans ce goût :
/* NB : ne pas supprimer cette ligne.
Elle n'est pas là pour rien. */
MD_Update(&m,buf,j);
Si t'es un codeur, je t'embauche pas ...
(d'autant plus qu'une des lignes était bien la pour rien XD)
Donc le mainteneur ne savait pas ce qu'il fesait, mais il a bien de le faire...
Il sait ce qu'il faisait, il a meme demandé conseil à la mailing list, et a pointé les problemes existant.
Mais désolé pour toi, quand tu as un code avec
/*Just use some garbage to add a little entropy*/
MD_UPDATE(...)
[...]
/*We use all the entropy available from /dev/random*/
MD_UPDATE(...)
bizarrement, le risque d'erreur (virer les deux lignes plutot qu'une seule, ...) en faisant le patch est ENORMEMENT diminué.
mais on a déja eu constation de ta mauvaise foi légendaire, tu nous en offre qu'un autre (triste?) exemple.
Si le mainteneur pense que la ligne est la pour rien, ben il envoye un patch en upstream et il attend que le patch soit upstream.
A chaque fois que tu ose faire une modif, tu l'envoie en upstream, tu attend qu'elle revienne (si elle revient!), puis tu continue a travailler (les autres modifs peuvent dépendre de la premiere)? Tu dois pas etre très efficient.
Encore une fois, j'admet tout a fait que le dvp de debian a commis des erreurs (suppressions d'une ligne en trop, pas d'envoie du patch final en upstream , ...)
C'est pas une raison pour le diaboliser, et raconter n'importe quoi.
C'est pas parce qu'il ne vient pas de RH que ca permet de dire franchement n'importe quoi sur son sérieux et sa méthode de travail.
Si le patch est ignoré durant plus d'un mois, ben il l'envoie à nouveau en poussant gueulante et en demandant des explications.
On rapelle que tu demande la modification d'une seule ligne là
Si a chaque fois que tu dois modifier une seule ligne dans openssl, tu dois envoyer un patch (malgré l'accord, quiproquoeste, précédent de la mailing list) avant de continuer ton boulot, l'efficacité, sans vouloir etre vexant, va s'en ressentir.
[^] # Re: Une réaction sur Debian Planet en français
Posté par briaeros007 . En réponse à la dépêche Découverte d'une faille de sécurité critique dans OpenSSL de Debian. Évalué à 1.
comme disais Sytoka Modon , il y a des moyens pour tester un générateur aléatoire et sa répartition (il me vient à l'esprit la méthode du khi², mais ca ne doit pas être la seule)
Et les stats nous informe qu'on a pas besoin de tester tout l'ensemble des possibilité pour avoir une idée du générateur.
Alors je dis pas que ca se fait en claquant des mains, mais ca reste faisable, et a mon avis , techniquement calculatoire dans un délai raisonnable (moins d'une semaine) meme pour des nombres de 1024 bits.
[^] # Re: Captain copyright ...
Posté par briaeros007 . En réponse au journal Les mésaventures d'un lecteur compulsif. Évalué à 2.
La moindre perte de revenus signifierait la fin des publications de qualité.
Il y a des publications de qualité ... mais quand on voit le niveau de nombreux "best seller" et des magazines, on se dit que c'est peut etre pas le facteur commun le plus frappant des maisons d'éditions.
[^] # Re: Une réaction sur Debian Planet en français
Posté par briaeros007 . En réponse à la dépêche Découverte d'une faille de sécurité critique dans OpenSSL de Debian. Évalué à 2.
Les dev d'openssl ont un poil la responsabilité vu la superbe documentation du code incriminé, et le fait que valgrind gueule bien.
on dit "la sécu c'est génial faut faire super attention", c'est sur, (ie les dvp de debian ont tort dans une certaine mesure) mais si derrière les parties cryptiques, faut tout deviner tout seul, ca devient encore plus dur.
[^] # Re: Une réaction sur Debian Planet en français
Posté par briaeros007 . En réponse à la dépêche Découverte d'une faille de sécurité critique dans OpenSSL de Debian. Évalué à 1.
Propose ton aide, ils l'accepteront avec grand plaisir. C'est ca l'avantage de l'open source
[^] # Re: Et pourquoi pas ?
Posté par briaeros007 . En réponse au journal Aïe !! une nouvelle loi à la con en perspective. Évalué à 1.
Les phrases du FN qui ont tant choqué (le détail) sont maintenant interdites --> le FN devient-il respectable ou alors c'est juste qu'ils se taisent à cause de la loi et gagne des voix (en tout cas en 2002) ?
Pour le FN je sais pas si il est plus respectable, mais pour l'UMP c'est clair que c'est plutot le second cas (identité nationale ... rien que cette expression ca montre de qui elle vient!)
# et on a le droit de
Posté par briaeros007 . En réponse au journal Les mésaventures d'un lecteur compulsif. Évalué à 3.
De copier une ou qq images en jpg afin de les envoyer à un pote?
(il est même autorisé de photocopier une (faible) partie d'un ouvrage dans une bibliothèque (elle paie des droits spécifiques qui couvre ce cas)
[^] # Re: détails techniques et exploits
Posté par briaeros007 . En réponse au journal Vulnérabilité Debian. Évalué à 1.
Je la reconnais, mais pas en disant "C'est que des gros naze tout est de leur faute".
Par ex je suis 100% d'accord avec l'auteur d'un blog donné plus bas par Jean-Philippe Garcia Ballester
http://blog.drinsama.de/erich/en/linux/2008051401-debian-ope(...)
Il indique bien que debian a fait des fautes, mais certainement pas "fait absolument n'importe quoi".
[^] # Re: On dit que le chien à mordu pour le tuer
Posté par briaeros007 . En réponse au journal Aïe !! une nouvelle loi à la con en perspective. Évalué à 3.
à divers groupe pedophile dans les années 2000.
Tout comme la poste avant, et après aussi.
Personne ne se dis "ouvrons tous les courriers" pourtant ...
[^] # Re: Et pourquoi pas ?
Posté par briaeros007 . En réponse au journal Aïe !! une nouvelle loi à la con en perspective. Évalué à 3.
Et ce n'est pas quelque chose d'établis au cas par cas, par un juge, avec les différents protagonistes, et surtout, le respect de la défense !
Juge qui possède déjà des moyens pour empêcher de voir le site (saisie, mandat d'arrêt internationaux, comission rogatoire aux FAI,...)
[^] # Re: Et pourquoi pas ?
Posté par briaeros007 . En réponse au journal Aïe !! une nouvelle loi à la con en perspective. Évalué à 4.
Et, dans un état ou la liberté d'expression serait totale (tout en respectant la liberté d'expression des autres) , pourquoi ne pourrait on pas tenir des propos négationnistes ou racistes ? (bien que je ne cautionne pas ces propos)
(Mise à part que c'est interdit par la loi).
Parce que il y a des faits qui démontre le contraire pour le négationnisme ?
C'est aussi le cas pour le créationnisme, et on interdit pas la bible ...
Parce qu'il y a eu des morts ?
on devrait interdire l'humour noir alors...
Pour le racisme ?
Parce que c'est une incitation à la haine ? on peut dire que se prononcer contre les jeux olympiques en chine c'est une incitation à la haine des chinois en poussant le bouchon (et sans pousser trop le bouchon quand on voit qu'ils veulent faire des boycott, on a bien eu une incitation à la haine).
Bien entendu je ne cautionne absolument pas ces propos, et je comprend le pourquoi des lois... mais si elles n'existaient pas je comprendrai aussi.
[^] # Re: En parlant de bugs..
Posté par briaeros007 . En réponse au journal OpenBSD : un bug vieux de 25ans. Évalué à 1.
Le site d'openssl estime qu'il était sur la bonne liste.
il était sur openssl-dev et d'après le site d'openssl, ca correspond à
openssl-dev open subscribers Discussions on development of the OpenSSL library. Not for application development questions!
Et personne ne lui a répondu, sauf après coup quand il était trop tard...
Faux, on lui a répondu, et en positif.
Simplement il y a un quiproquo (on va etre gentil) entre chaque partie (supression plus étendue que ce qu'avait peut être compris la team openssl, ...)
bref, pas totalement aussi manichéen que certains anti-debian/anti-distribution veulent le faire croire.
Ps : je ne dis pas que ce qu'a fait le dvp debian était "super top", je dis juste que dans le "création" du bug etc..., il était loin d'etre le seul en cause.
[^] # Re: détails techniques et exploits
Posté par briaeros007 . En réponse au journal Vulnérabilité Debian. Évalué à 1.
QU'IL NE LE FASSE PAS !
euh .. tu sais voir l'ironie ?
Visiblement pas.
bon pour le reste tu es de mauvaise foi
(- prendre la toute premiere réponse , ou c'est meme marqué "first clue" , et dire "tu vois que c'est que pour le debug", sans prendre en compte les reste du messages
- dire "les dvp d'openssl savait pas ce qu'il fasait alors qu'il avait expliqué , ...
- ne pas savoir lire (inverser celui qui dis "pour moi pas de blem" et celui qui dis "j'ai fait des test")
et je ne perdrais pas plus de temps sur ce sujet avec toi.
Parce qu'en gros tu nous dis "tout va bien, tout c'est passé normalement, et ça va recommencer car il n'y a pas de raison qu'on revoir notre façon de faire".
Arrête de fumer pépé, et apprend à lire.
Ce que je dis c'est que le problème est partagé, et pas seulement celui du "bouh méchant dvp debian qui sait pas faire son boulot".
C'est inacceptable.
Et tu vas faire quoi ? Prendre la tapette a mouche et taper sur les méchants dvp de debian que tu aime pas , parce qu'ils sont pas de fedora ?
Taper sur les gens dont tu arrive pas à comprendre les commentaires ?
[^] # Re: Beurk
Posté par briaeros007 . En réponse au journal Télédéclarer ses impôts et citoyenneté. Évalué à -1.
Bref rien a voir.
Mais encore une fois, tu dois etre quelqu'un qui a bien lu tous le thread, et qui a bien remarqué que ce qui me gêne c'est pas de payer mais le gaspillage sans nom.
Et tu as sans doute aussi remarqué, pour me faire ce style de moral, que j'ai dis "si il n'y avait pas de gaspillage, oui ca me generais pas de payer 20€ de plus" etc...
Bref, tu essaie pas de comprendre, mais comme tu veux faire la morale, tu balance n'importe quoi.
Enfin quand quelqu'un me dis "tu es bien content de bénéficier de la sécu", je lui fait simplement remarquer que bien que je sois content de bénéficier de la sécu
1°) je suis pas 100% et en plus je travaille 7 MOIS ENTIER POUR POYER CA. (cad que je travaille plus pour payer la sécu, la retraite, itou, que pour moi même.)
2°) Vu ce que j'utilise, ca m'amuse légèrement qu'on ose me faire la morale sur "je suis content de l'avoir".
3°) Vu les contraintes qu'ont les personnes QUI CONTRIBUENT AU SYSTEME, contrairement à ceux qui profitent du système*, se faire faire la morale quand on est dans le premier cas est relativement déplacé.
* je ne critique pas le fait d'offrir le RMI la CMU etc.., je critique que les fraudes ne sont pas recherché comme elle devrait, qu'il n'y a aucun moyen de déployé pour éviter les fraudes (et certainement pas les demandes du gvt qui ont un effet inverse): c'est plus facile d'imposer et de récupérer encore plus!
Exemple con : les caisse d'assurances maladie ne sont pas racordé entre elle : tu peux demander plusieurs fois la meme allocation.
Histoire marrante : une quintuplé imaginaire (qui touche les aides pour des quintuplé sans en avoir) a été découverte dans au moins 3 caisses primaire d'assurance maladie (ou un truc comme ça).
A un pot : qq inspecteurs parlaient entre eux (ils sont300 pour toute la france je crois), et ils se sont raconté chacun l'histoire de leur quintuplé ... avant de se rendre compte que c'était la même !
L'express estimait à 14 milliars les pertes du à la fraudes aux allocs/... par ans.