Bruce Le Nain a écrit 2517 commentaires

Et moi de Postal

En tout cas ta section "Coding standards" sur Movim 0.5 est très amusante

vivement que Movim domine le monde :) !

Réponse amusante, mais qui ne répond pas vraiment :)

En quoi n'était-ce-pas un menu déporté, même si le code était dégueulasse ?

Oups, désolé pour la question en doublon alors

Juste une petite question, étant au crédit coopératif, je me demandais si je pouvais suggérer d'ajouter cette banque dans la liste prochaine ?

Cela sera plus cohérent en 2014, l'année du cheval.

Sachant que Cheval/Mouche = π

Tu voulais bien sûr dire cette « πqûre » de rappel.

Je me souviens de l'avoir découverte dans un article de feu linuxfrench.net en 2004
(J'ai même encore le lien, mais ça dirige désormais vers un truc qui n'a rien à voir)

Ça ne nous rajeunit pas ^{^}

Tu as bien raison, il est temps de réagir

Sans oublier cette nimage là, un grand classique

Non je comprends bien ta position, on peut bien aller encore plus loin, en dénonçant les luttes spécifiquement contre le racisme, ou contre la maltraitance infantile en parlant de l'égalité des humains et de la lutte contre la discrimination en général. Et j'approuve cette vision. Mais il y a parfois des concessions à faire, sans entrer dans un schéma de complaisance ou de victimisation.

Aujourd'hui la journée de la femme revêt en France un caractère quasi folklorique, comme la saint valentin, ou la fête des mères. Toujours est-il qu'en attendant qu'une meilleure forme soit attribuée, il s'agit surtout d'une tentative, mauvaise ou non, de changer des mentalités dans le monde. Et pour répondre à Baud à sa remarque plus bas, c'est une tentative d'inciter les femmes (et les hommes) à faire changer les choses dans les pays ou il y a une véritable discrimination, par le mécanisme de l'exemple, ce n'est donc pas forcément de l'ingérence, mais une espèce de manipulation qu'on considère "juste" (c'est bien sûr contestable, mais on entre dans un débat sans fin) :).

C'est pas si facile de dire : oui, mais nous on arrête la journée de la femme en france, on a d'autres problèmes à régler et on n'en a plus vraiment besoin, les autres vous vous démerdez.

Chaque année Jehane nous fait un journal sur la journée internationale des femmes.

Chaque année il y a plein de commentaires qui disent que vazy spo juste en plus les femmes elles sont méchantes avec les hommes et que c'est pas normal, elles ont la garde des enfants etc. et qu'elles ont des avantages que les hommes n'ont pas que ça veut rien dire une journée de la femme. Et quelque part c'est assez vrai, parce qu'on oublie toujours le mot "internationale" à cette journée.

En soi c'est vrai que la situation des femmes en France n'est pas la même que dans beaucoup d'autres pays. En France l'intérêt est moindre : il s'agit plus de faire changer des mentalités, et je trouve des démarches comme la marche des salopes intéressantes. Mais dans certains pays, il s'agit de faire changer une société complète qui considérerait les femmes mineures à vie, sans âme, à la merci de leur mari (qui peut même l'exécuter), ou pute si elle n'ont pas d'époux ou qu'elles ne sont pas vierges au mariage.
Par rapport à cela il peut être intéressant d'avoir une certaine solidarité internationale. Alors merci à Jehane pour ce journal.

C'est vraiment une de mes distributions préférées, depuis que le l'ai découverte vers 2007.

Par contre :

Depuis notre dernière version stable, les paquets ont été reconstruits deux fois pour s'assurer de leur qualité.

Je ne comprends pas comment garantir une qualité en reconstruisant deux fois la même chose ? J'imagine qu'il y a eut des étapes ou procédures intermédiaires, parce que la reconstruction en soi n'implique pas une meilleure qualité, non ?

Et Linux restera toujours à moins de 1% de part de marché sur le desktop tellement les linuxiens refusent d'essayer de comprendre les 99% autres pourcents.

Mais pourquoi
1) Croire que Linux est une entité unique comme Microsoft ou Apple, et que ses utilisateurs sont responsables des choix des autres utilisateurs.
2) Oublier que "dans le « libre », l’argent n’est plus le moteur principal. Il cède la place à la motivation et à la passion, deux valeurs en chute libre dans le modèle consumériste." (J'ai repris la citation d'ici, car je trouve que c'est bien dit.)

Encore une fois je ne vois pas l'intérêt de l'insulte personnelle, ça ne me dérange pas outre mesure, mais ça pollue un peu le débat.

J'essaie de mettre les choses en perspectives, sans dire qu'aucun système n'est parfait, et que pour appréhender le monde, il est toujours intéressant de le comprendre un peu. Plus un système est simple en apparence, plus sa mécanique interne peut s'avérer exponentiellement complexe, et qu'il est intéressant de se trouver à un point ou on profite des avantages que les outils modernes peuvent apporter, sans perdre complètement le contrôle sur ces outils. L'exemple de la voiture est que si on n'a pas une simple compréhension de son véhicule, évidemment il paraît extrêmement compliqué pour Tante Marthe de rajouter du liquide de refroidissement. Il y a des voitures modernes tellement "simples" et automatisées qu'on ne peut même plus remplacer soi-même les ampoules, on doit le faire faire chez le concessionnaire. Et certains s'en accomodent très bien, trouvent ça super. D'autres moins. Mais certains, dans ce même journal arrivent semble-t-il à mieux expliquer la notion de compromis simplicité/indépendance que moi.

Ensuite tu as l'air de dire que la gestion d'un certificat X.509 est ultra-simple, non, la simplicité est telle qu'une fois installé, tu n'as plus rien à faire, sauf retaper ton mot de passe, ou insérer ta clef et taper ton PIN, car tu fais entièrement confiance au CA, voire aux chaines de CA. Mais la démarche pour obtenir son certificat est malgré tout complexe, car il faut choisir un CA (les comparer), souvent payer, choisir les services associés (ce qu'on veut être capable de signer/chiffrer), prouver son identité, récupérer en main propre ses certificats ou par une autre façon sécurisée (si c'est un bon CA qui fait bien son travail), configurer les paramètres de sécurité de son poste de travail notamment en installant le certificat racine de l'autorité (essaie de le faire sans doc, tu vas vite considérer selon tes normes que c'est un "mauvais" produit). Ensuite, il faut bien sûr convaincre l'oncle Bill de faire la même procédure pour effectuer un échange signé/chiffré avec lui. En passant, je ne sais pas après si la procédure aussi "facile" à faire en Tunisie ou en Iran. Tu peux bien sûr concevoir ta propre PKI, mais tu ne pourras échanger qu'avec ceux inscrits dans cette PKI (vu qu'il ne fait pas partie des chaines de CA, sauf si tu réussis à valider toutes les étapes complexes et coûteuses de certification). Donc X.509 c'est un certificat certainement pratique pour une entreprise, mais pas forcément pour l'ensemble des utilisateurs, et très loin du "1 click install". Encore une fois, il s'agit d'une mise en perspective. Concernant la sécurité, le problème du mot de passe reste le même, si on a volé/craqué le mot de passe de ton certificat, n'importe qui peut se faire passer pour toi, et les gens seront d'autant moins méfiant que c'est Verisign, Thawte, BNP/Paribas ou autre qui authentifie ton certificat. À l'opposé, se faire une clef OpenPGP sous Enigmail, kpgp, retroshare etc, c'est entre deux et cinq clics, et trois/quatre champs à remplir. Et le même problème que pour X.509, le mot de passe : trop simple, on peut le craquer, trop complexe, on peut l'oublier.

Ensuite je ne comprends pas trop ce que viennent faire les linuxiens dedans. On parlait bien de OpenPGP non ? Moi même je ne me considère pas comme un linuxien, même si c'est mon système de choix, et que j'ai bien conscience d'avoir laissé derrière moi une certains "avantages" techniques liés aux autres environnements, mais c'est un autre débat.

De quelle fonctionnalité parles-tu ?

oulah, ça a l'air d'un très bon réquisitoire, mais je n'utilise que des WM et DE sous Linux :)
Moi je disais juste ça au premier coup d'œil, comme ça.

Merci pour tes mots qui semblent expliquer ceci bien plus clairement que je n'arrive à le faire à moi même (malgré plusieurs essais différents) :)

J'en profite pour demander à Renault, l'auteur du Journal, on conduit un ou une Espace ?

Objectivement, windows 7 est une nette amélioration.

Je propose même la création d'un outil qui créerait ton adresse mail (chez gmail, what else?), son mot de passe, un compte utilisateur local et administrateur (root? nah linux trop compliqué) en un seul clic, plus un code pin, un compte facebook (what else?) et un certificat chez thawte ou verisign, toujours en un seul clic, sans avoir jamais besoin de vérifier ses paramètres ou retaper un mot de passe, voire s'en souvenir, et en plus envoie toutes les informations nécessaires à ses correspondants, et même configure leur compte à la volée pour qu'ils aient un beau cadenas vert dans outlouque quand ils reçoivent une message.

Tiens j'aperçois une une analogie avec les voitures à l'horizon, comme c'est original :)
Il faudrait des voitures sans manuel, qui vérifient la pression des pneus, les change si besoin, vérifie le niveau d'huile, de liquide de freins, lave-glace, liquide de refroidissement, l'état d'usure des pneus, fasse le plein et lave la voiture d'une simple pression sur un écran tactile. Parce que pour Michelle Michu, c'est bien trop compliqué.

C'est en effet un désavantage, l'avantage c'est que tu n'es pas dépendant d'un fournisseur tiers et que c'est gratuit :)

On revient au truc de base : dit-moi ce dont tu as besoin, je te dirais comment t'en passer.

?
Je n'ai pas compris ton développement, ni la raison de cette citation surexploitée de Coluche. mais je suppose que tu n'as pas compris le mien : Si tu considères que tu as besoin de vérifier, tu vérifie (tu y prends un certain temps), si tu considères que tu n'as pas besoin tu ne vérifies pas (ou peu). Ça fait juste appel à une notion qui est malheureusement non automatisable, du moins pas encore, le bon sens. Pour utiliser une nimage, j'ai dis que si tu as besoin d'écraser une mouche, tu n'as pas forcément besoin de marteau-piqueur (et non que tu n'as pas besoin d'écraser de mouche), sauf si la mouche est Jeff Goldblum, mais là tu es aussi dans la merde avec un marteau-piqueur. Pour être plus dans le contexte, c'est que si quelqu'un t'envoie régulièrement un message avec des blagues powerpoint dedans, tu n'as peut-être pas besoin de vérifier que Jules de la compta est bien l'émetteur du courriel.

Par contre, si tu échanges souvent une conversation avec l'oncle Bill, c'est peut être déjà plus intéressant d'écrire sur skype à Tonton Bill en lui disant : "coucou tonton bill lol ta clef, c'est bien A832E12AC ? Oui, ok merci ^{^} je la tague niveau 5 top confiance alors ptdr"

Oui, donc en fait c'est "démerde-toi j'en ai rien à foutre que ce ne soit pas simple". Justement, c'est la critique faite à PGP.

??

Rien compris… Enfin si, mais je n'ai pas compris l'agressivité sous-jacente du message. Un principe de sécurité, c'est souvent le principe de double-confirmation. La même information provenant de deux canaux différents a plus de… raison, on va dire, d'être vraie (avec tout le bon sens qui est encore une fois de mise). Donc si tu reçois un mail de Tonton Bill avec la signature A832E12AC et qu'il te la confirme via un autre medium (par exemple la boîte de messagerie de sa société, par un twitt, la page de son site web ou son blog, par tout ce que tu veux (y compris les serveurs de clef GPG) tu as d'autant plus de raison d'y accorder une confiance plus importante. Si tu n'as pas d'autre moyen de vérifier, ben ça n'empêche pas la clef de fonctionner, il faut juste se dire que son niveau de confiance soit considérée moindre, c'est tout. Si le fait d'avoir plein de mediums, tu le considère comme un "démerdes-toi" pédant, soit. Pour moi, il s'agit de trouver le plus adapté sans se prendre la tête. Comme on ne peut pas connaître toutes les situations, sauf si on s'appelle Chuck Norris, une liste non exhaustive me semble un bon début plus que correct.

Pour finir sur le "C'est dur". C'est moins simple, à priori, que d'acheter un certificat. Mais certains outils, comme enigmail, on vraiment simplifié le processus. Pour moi, c'est assez simple pour que j'aie pu l'expliquer aux employés de la mairie ou je travaille, afin qu'ils l'utilisent régulièrement, avec une bonne doc et de jolis dessins explicatifs. Pour finir, la notion de dureté est toujours relative. Pour certains c'est dur de vérifier le niveau d'huile de leur voiture, et ils ne le font jamais ou le font faire par d'autres.

En fait il s'agit d'une hygiène de vie, si tu signes tout le temps avec la même clef (enfin pas non plus trop longtemps, car plus une clef est utilisée depuis longtemps, plus elle a des risque d'être compromise ou que son utilisateur en ait oublié le mot de passe, il m'est arrivé la même chose que ploum, c'est désagréable, mais j'utilise beaucoup plus mes mails pour signer, et rarement pour chiffrer, sauf quand il s'agit d'envoyer des informations de type mdp+pass par ex), tes correspondants pourront y attribuer un certain niveau de confiance, et ça sera utile pour le jour il deviendrait vraiment intéressant voire nécessaire de signer.

Mon idée est qu'il est judicieux d'avoir une durée de vie de deux ans, cinq max de validité de la clef. Car on a toujours un risque non négligeable de perdre sa clef de révocation.

Comme dit plus haut ou plus bas, il faudrait que cette hygiène de vie soit applicable aux webmails, de plus en plus utilisés, et peut-être que GPG4browser sera une solution.

Sinon pour répondre à la question de ploum, GPG est aussi utilisé, par exemple, dans retroshare.

Ne vérifie pas ce qui ne nécessite pas d'être vérifié. Aujourd'hui, quelqu'un qui envoie une clé pgp pour signer ses messages est tellement rare que tu peux lui augmenter son niveau de confiance (tu peux attribuer un niveau de confiance à une clef gpg)

Si la personne signe avec la même clef depuis des mois voire des années, tu peux logiquement lui augmenter son niveau de confiance. Mais encore une fois, avoir confiance absolue en une clef n'est utile que si tu veux être vraiment sûr de la personne avec qui tu es en contact, par exemple si tu veux chiffrer un mail pour pas qu'un voisin (ou un curieux) le lise, ou si tu veux envoyer une info confidentielle. Il suffit déjà de confirmer la clef par n'importe quel autre medium : IRC, messagerie instantannée, gmail, courrier, signaux de fumée et imaginer quelle raison aurait quelqu'un d'usurper une identité si vraiment c'est très important.