cg a écrit 1869 commentaires

On rigole bien et c'est pédagogique : Cybersécurité : épisode 1 - Clé USB inconnue

Un exemple de boîte de décontamination : usbsas is a free and open source (GPLv3) tool and framework for securely reading untrusted USB mass storage devices.

Et la présentation en 2022 : Sasusb: présentation d'un protocole sanitaire pour l'usb

De ce que je comprend, ça dépend énormément de l'utilisation, et c'est compliqué car soumis à interprétation.

Une personne s'autodiffuse en direct en train de jouer à Newton Adventure. Il n'y a pas de travaux dérivés des sprites du jeu vidéo ni du jeu lui-même, juste une utilisation de "consommation", dirais-je.

Une personne intègre les sprites du jeu vidéo Webkorisu dans un splash screen ou dans son logo, il y a travail dérivé, et le logo ou le splash screen doivent être sur une licence compatible (mais pas le processus qui a permis d'obtenir le logo).

Après, on peut s'écharper des années sur est-ce qu'un stream est une oeuvre ou non, qu'est-ce qui est du fair use ou non…

Quelques ressources que j'ai trouvé intéressantes :

https://creativecommons.org/faq/fr/#quand-mon-usage-est-consid%C3%A9r%C3%A9-comme-une-adaptation
https://creativecommons.org/faq/fr/#est-ce-que-les-licences-creative-commons-affectent-les-exceptions-et-limitations-au-droit-dauteur-comme-lutilisation-%C3%A9quitable-et-lusage-%C3%A9quitable
https://creativecommons.org/faq/fr/#quest-ce-quune-adaptation
https://creativecommons.org/faq/#what-is-a-by-sa-compatible-license

arriver à taper sur le capitalisme à "cause" de Bitcoin, faut y aller

je dirais plutôt : "en autre choses". Il y a plein de bonnes raisons de taper sur le capitalisme. Et parler des problèmes ce n'est pas ne rien faire :).

Le bonhomme non plus n'a pas perdu 8 milliards. Il n'a pas gagné 8 milliards, c'est très différent. Le "si j'avais su", ça n'a aucune valeur tant qu'on ne sait pas voyager dans le temps ;).

Sans solution magique, la fondation recommande simplement de mieux prendre en compte le vieillissement technologique : plus une technologie est ancienne, moins elle est entretenue et plus son utilisation devient risquée.

Comme Bind, Apache, ou PHP :) ?

Je ne m'y intéresse pas trop, et c'est proprement incroyable de voir la gigue de la valeur du Bitcoin. +8000$ en deux heures, +30000$ en un mois et demi…

C'est tellement volatile que c'est super risqué de savoir si c'est "le bon moment" pour en acheter. De ce point de vue, appeler ça une réserve de valeur me semble un peu tiré par les cheveux :-/.

En tout cas, les personnes qui en ont acheté quelques-uns en 2011 pour jouer doivent être bien contentes, oui :).

Oui, par exemple, mais pas complètement.

Le mode d'utilisation classique est :

• tu installes une machine, tu fais la conf générique (à la main ou avec cloud-init, kickstart, anaconda, preseed…). Cette machine peut même être une VM.
• tu rebootes sur le réseau (en PXE) et tu lances le mode "capture" de FOG. La machine est capturée et transformée en template.
• depuis la console FOG, tu définis des cibles pour ce template (en déclarant les adresses MAC dans FOG, par exemple).
• sur ces machines cibles, tu démarres en PXE, et ça clone en masse.

Le truc sympa c'est que FOG sait gérer quelques règles pour retailler les partitions si les stockages cibles ne sont pas homogènes (le debian-installer le fait aussi).

FOG est surtout utilisé en entreprise, car ça demande un peu de services réseaux, un peu d'infra, et de s'y pencher quelques heures. Mais c'est très efficace pour installer les PCs en masse, on peut même faire des installations en multicast !

Le commit de répétition permet-il de faire croire qu'on commit alors qu'on rebase ?

Je ne connaissais pas du tout le principe de la garantie financière dans ce cas de figure, mais pour ton exemple de Sectigo, on dirait que la différence entre les offres "positive wildcard", "wildcard" et "premium wildcard" va être la garantie financière applicable, pour le cas où le prestataire fournit par erreur ton certificat à quelqu'un d'autre.

Cette article semble dire que c'est un peu du gadget de nos jours : https://www.ssldragon.com/fr/blog/quest-ce-que-garantie-certificat-ssl/ .

J'en conclu que si tu n'as pas besoin de validation spécifique, prendre le moins cher chez un opérateur dont la CA est courante suffira.

Concernant Gandi, si tu n'as pas suivi, il y a un ou deux ans, l'entreprise s'est faite racheter par un groupe qui cherche la rentabilité, ce qui a fait augmenter les tarifs et fuir une partie des clients.

Merci ! J'avais cherché, et justement il m'a semblé que dépréciation est un faux-ami, car il a surtout un sens économico-financier en langue français.

En cherchant de nouveau, je trouve :

• déclassé : j'aime vraiment bien, le sens est me semble très proche.
• dépassé : pas mal, on a pas envie de se faire traiter de ringard, le levier psychologique pourrait fonctionner :).
• désapprouvé : y'a un côté plus autoritaire, j'aime moins (ça plairaît aux pythonistas tiens).

Et donc obsolète et déprécié.

Ben ouais mais si tu meurs avant ta mort, ben faut changer le mot de passe, et l'ANSSI dit que c'est tellement 1995 !

Un paragraphe de "Quels sont les avantages et les inconvénients du modèle open source par rapport aux logiciels propriétaires ?" est intéressant, car il est dit à la fois des choses justes et des choses incorrectes :

Cependant, il existe aussi des potentiels inconvénients à utiliser des logiciels open source. Dans certains cas, la qualité du code peut varier en fonction du niveau d'expertise des contributeurs, ce qui peut parfois entraîner des problèmes de fiabilité ou de sécurité.

Bon, c'est totalement du FUD, pas la peine de passer du temps là-dessus. La qualité du code n'a rien à voir avec la licence. Y'a plein de logiciels proprio comme libres qui sont de mauvaise qualité.

De plus, le support technique peut être limité, en particulier pour les projets open source gérés par des communautés informelles ou de petite taille.

Oh oui, les histoires comme log4j, xz, résumées avec brio dans l'image https://xkcd.com/2347/ montrent bien que pas mal de projets ne peuvent pas forcément avoir l'attention nécessaire à leur maintenance, même si à un moment, ces briques logicielles deviennent omniprésentes.

En outre, certaines entreprises peuvent être réticentes à adopter des solutions open source en raison de préoccupations liées à la conformité, à la propriété intellectuelle ou à la garantie de continuité du support.

Là aussi, c'est globalement vrai. Obtenir un audit de conformité indépendant est coûteux, et peu de logiciels libres sont "certifiés". SQLite a eu des financement dans ce sens pour avoir une suite de test de niveau très exigeant, et Veracrypt fait auditer son code régulièrement (avec plus ou moins de bonheur). GPG a eu une certification via un front-end pour une version précise, je crois. Mais si on regarde les visas accordés par l'ANSSI par exemple, il y a deux-trois trucs libres (par exemple nftables pour Debian 12.1), mais c'est très minoritaire.

Bref, les deux points "inconvénients" du open source par-rapport au proprio reviennent à poser la question du financement du logiciel ouvert et/ou libre.

J'ai eu des trucs du genre avec du Debian 5 et 6 en 2023 (oui oui…). Ma solution a été de déporter un par un les services.

Peut-être qu'en exportant le bout de système de fichier en NFS, et en autorisant la base de données à être accédée depuis une machine tierce, tu peux installer ta Debian 12, y mettre le bon PHP. Comme ça tu peux migrer les services un par un au fur et à mesure en dehors de la Debian 8.

Quand il ne reste plus que la base de données et le système de fichiers, tu copies sur la Debian 12 et hop.

C'est amusant de voir que cette loi porte le nom de quelqu'un qui travaille sur la maintenance de logiciels à grande échelle¹, dans une entreprise qui a cimetière pour les services qu'elle a tuée.

Plus simplement, les versions majeures et les notifications de futur abandon² plusieurs versions en avance (parfois plusieurs années) sont utilisées pour ce genre de cas.

Sur mon téléphone, je peux choisir appli par appli lesquelles peuvent utiliser les données 4G.

Toutes sont désactivées sauf deux trois trucs utiles en balade. Quand j'ai besoin de faire un truc intense sur le tel (sauvegarde ou mise à jour), j'active le wifi le temps de, puis le coupe de nouveau (j'ai un raccourci exprès). J'imagine qu'on peut faire pareil avec Android, /e/ et autres.

Niveau conso je suis à environ 250Mo par mois (avec un forfait qui comporte un palier tarifaire à 20Go). En bonus j'ai plusieurs jours d'autonomie, ce qui est rare sur les appareils Apple.

Comme la base n'a pas l'air très grande, voici une autre idée pour diagnostiquer (ce n'est pas forcément une solution à long terme) : mettre des buffers suffisamment gros pour que la base soit entièrement en RAM. Ainsi, si le problème est au niveau du stockage ou sur l'alignement de la partition, ça devrait redevenir rapide. Si le problème est au niveau des CPUs ou d'index corrompus, le problème persistera.

Quand je vois la distro de Canonical je comprends que je ne suis pas la cible d’une part et que le public est probablement les foyers Michu.

Je découvre Ubuntu cette année, après avoir principalement bossé avec Debian ces 20 dernières années¹. Et en vrai ça ne change pas grand chose : c'est de qualité, bien adapté aux particuliers et aux entreprises. Mais surtout, je découvre que Canonical a des offres pour les entreprises, avec des produits de gestion de conformité, d'inventaire, de gestion de parc… Ce qui me fait dire que Ubuntu se place peut-comme un concurrent de RHEL.

J'ignorais que ça se faisait, la vente "sous X" pour des livres. Merci !

Dans beaucoup d'entreprises, pour beaucoup de produits, avoir un simple réplica "à chaud" prêt à prendre le relais suffit. Une minute, voire deux minutes de coupure tous les deux ans ? Et après ? La plupart des utilisateurs croiront que c'est leur perruche qui s'est perchée sur l'antenne Wi-Fi.

Mon avis est qu'il y a moins de systèmes critiques que ce que l'on croit. Et pour ces systèmes vraiment critiques, Kubernetes est une bénédiction !

Je l'ai vu hier avec ma famille, sans savoir que c'était fait avec Blender.

Sur la technique, j'ai trouvé les rendus assez simples, ce qui est très surprenant face à la surenchère de hair et de fur des gros studios. J'imagine que c'est lié à une contrainte financière, mais que c'est aussi un parti pris esthétique d'être proche des jeux vidéos des années 1990-début 2000. Le film précédent de Gints Zilbalodis, Ailleurs, m'avait fait penser très fort à Another World. C'est également le cas avec la musique de Ailleurs et de Flow. J'ai trouvé que d'un autre côté, il y a un gros travail sur l'animation, ce qui rend les animaux très expressifs et vivants, et c'est vraiment bien réussi ! Le décalage esthétique entre ce qui est immergé et ce qui est submergé est assez frappant.

Je pense que je ne suis pas complètement rentré dans l'histoire, car je n'aurai regardé rien de tout ces détails techniques sinon :).

Merci, c'est terrible la mémoire musculaire :).

Et ne pas confondre non plus avec l'objet osc~ de Pure Data, un logiciel open source (licence BSD) de programmation artistique temps réel, qui a lui-même des extensions Open Sound Control et Art-Net.

Salut,

MIDI a l'avantage d'être omniprésent et capable de fonctionner sur des puces avec très peu de ressources.

Des protocoles comme Open Source Control et Art-Net (plutôt pour compléter DMX pour l'éclairage scénique) sont arrivés entre temps, et permettent entre autres du transport sur Ethernet ou IP. Sur les instruments de musique "grand public", je ne crois pas que c'est très développé, mais pour le VJing, DJing ou l'intégration entre des consoles lumière/son/un ordi/un séquenceur, ça a bien ouvert les possibilités.

Ce qui me semble intéressant avec MIDI 2.0, c'est qu'il est compatible avec MIDI 1.0, et c'est précieux :).

Je pense que c'est parce que la partie de Wireguard qui écoute est en kernel-space et non user-land, et donc n'est pas un processus.