cg a écrit 2160 commentaires

Non, en effet, si tu peux pouvoir historiser, il faut utiliser les options --backup et --backup-dir.
Et si tu veux pouvoir récupérer simplement toute une arbo à une date, il faut faire une gymnastique pas possible.

Backintime est un bon outil qui permet de s'abstraire le la complexité et des pièges de rsync.

Perso pour les backups sur disque USB, j'utilise backintime, et pour les sauvegardes infonuagiques chez Swiss Backup, j'utilise restic.

L'éléphant dans la pièce, comme disent les américains, c'est que Github n'est pas libre, alors que les trois alternatives que tu cites (et plein d'autres), si. Ça me semble important au moins quand il s'agit d'héberger des projets de logiciels libres.

Oui, c'est pour ça que je les ai cité, c'était implicite. Merci de la précision !

Sur l'auto-hébergement, on peut préciser qu'il est aussi possible d'avoir une instance hébergée chez soi de GitHub. C'est proprio quand même, mais c'est possible. La différence réside donc dans libre/open-source/pas libre.

Sinon pour ton Trac et Gerrit, as-tu vraiment besoin de les exposer sur Internet ? (j'imagine que oui mais bon)

je doute que la transmission soit silencieuse :-)

Alors si, c'est très silencieux. D'ailleurs mon indice pour savoir quand passer un coup de bombe est que ça se met à couiner. Je ne saurai expliquer pourquoi le WD40 fonctionne si bien alors que c'est plutôt mal adapté.

les pistes cyclables semblent curieusement être des aimants à piétons

Heureux de ne pas être le seul à constater ça :)

Je serais curieux de voir quel était le coût d'achat des vélos des gens qui peuvent dire «je vélotaf tous les jours et je fais un seul entretient par an, pas plus».

Alors perso, pas de gros truc une fois par an :

J'ai acheté il y a une quinzaine d'années un vélo d'occasion, un Peugeot fabriqué en 1984 semble-t-il. Je l'ai payé 300€ parce que j'ai été dans une boutique de bobos parisiens. Dans un vide-grenier, c'est le genre de vélo que tu topes pour 50€.

Je fais environ 100km par semaine (environ 3500km par an) pour aller au travail et en revenir, en roulant assez lentement je pense.

Niveau entretient:

Toutes les 2-3 semaines : je regonfle les pneus.
Tous les 3-6 mois : un coup de WD40 pour nettoyer/graisser la chaîne et les plateaux¹.
Tous les 6 mois : je règle la tension des câbles de frein parce que les patins se sont usés.
Une fois par an : je change les patins de frein, je nettoie tout au savon et graisse ce qui doit rester gras.
Tous les deux-trois ans maxi, si besoin : changement des pneus et des câbles de frein.

Avec un vélo plus moderne (frein à disque ou tambour par exemple, et transmissions par courroie), il n'y aurai que gonfler les pneus à faire de temps en temps. Le reste peut être une fois par an.

Autres trucs sans périodicité :
* J'ai changé la selle une fois car l'ancienne était craquée et prenait l'eau (pas agréable quand on s'assied :-/)
* Suite à une agressions et du vandalisme, j'ai du changer les jantes deux fois et la fourche une fois… Je l'ai fait moi-même, c'est facile.
* J'ai des lampes de base qui se rechargent en USB
* J'ai jamais changé la chaîne, qui a donc plus de 15 ans, et est sans doute d'origine.
* J'ai changé les pignons une fois car une toute petite pièce (celle qui fait tic-tic-tic) avait cassé dans la roue libre. Je l'ai fait moi-même aussi.
* J'ai un anti-vol type chaîne à 30€. Le vélo est garé dans la rue dans une grande ville.

Donc en moyenne sur 15 ans, en prenant le prix du vélo en compte, ça doit me faire dans les 70€ d'entretien par an, et peut-être 3-4 heures par an en tout. Sachant que mon employeur me donne 200€ par an pour faire du vélo, c'est pas mal. Faire du vélo me rapporte donc 130€ par an !

Sur 15 ans, ça fait 1350€. Pour comparer, la dernière révision de ma voiture m'a coûté 2500€ (mais je fais rien moi-même dessus).

Dans le catalogue Manufrance de 1957, on trouve des vélos fabriqués en France, entre 12000 et 20000 anciens francs. D'après le convertisseur de l'INSEE qui prend en compte l'inflation, ça donnerai des vélos entre 420 et 500 euros. Ça me semble un poil optimiste non ?

Le cas de Curl ne me parait pas représentatif

Oui c'est un cas un peu extrême, mais il a l'avantage d'être visible. D'une manière générale, concernant les forges logicielles, j'ai l'impression que peu importe celle que tu choisis, il n'y a pas tellement d'interopérabilité. En changer revient à réécrire plein de trucs non liés au but du projet lui-même.

Toutefois, dans le cas du choix de la forge, choisir Gitlab, Codeberg ou Gitea, c'est au moins avoir la possibilité de se monter une instance chez soi et de conserver au moins une partie des intégrations.

j'ai du mal à défendre la position "pas envie de m'y intéresser". C'est ce qui maintient le statut quo, dans tous les aspects de la vie, et finit par toutes et tous nous foutre dans la merde. On devrait toutes et tous nous questionner un minimum sur nos choix et ses conséquences. La vie, ça demande de s'intéresser aux choses

Je suis d'accord avec toi, et c'est vrai que c'est peu défendable. Mais c'est explicable : en pratique, on a un temps disponible fini , et on délègue sans cesse plein d'aspects de nos vies (et pas forcément les bons comme tu dis). La curiosité, et faire un truc en dehors de ses compétences/appétences permet souvent d'en apprendre plus sur soi. Mais on ne peut pas tout avoir en priorité 1.

Et quand c'est dans le monde professionnel, c'est exacerbé, on a rarement l'occasion d'aller jouer et apprendre des trucs avec les copines de l'équipe d'à côté.

Je suis un peu partagé là-dessus.

En fait, c'est un peu comme les infras cloud : tu peux très bien gérer tes VMs et les services qui tournent dessus, en minimisant le vendor lock-in, et afin de maximiser la réversibilité/facilité de migration vers une autre infra si besoin, mais c'est pas ça qui fait manger les vendeurs d'infonuagique… Ce qui est rentable, c'est les services intégrés comme les k8s managés, les bases de données managées, les intégrations autoscale/DNS/Load balancing, etc…

Et donc pour GitHub c'est pareil, le repo gratuit, c'est un produit d'appel, ça ne rapporte rien. Très vite, tu te retrouves avec des intégrations propriétaires et ça devient difficile de migrer… Alors tu payes. Cf le cas de Curl, Daniel S. a bien expliqué que ce serait hyper coûteux de migrer et devoir payer les pipelines de build.

Y'a plein de personnes ou d'équipes qui savent faire du beau code mais n'ont aucune envie ou connaissances, ou plus simplement de temps pour gérer une infra de build.

Non, car Anubis s'appuie sur des calculs effectués en JavaScript par le navigateur.

Gabriel Zucman a écrit un livre, Les Milliardaires ne paient pas d'impôt sur le revenu et nous allons y mettre fin.

Le livre est court, en langage courant, il explique le contexte de manière hyper claire, et parle de solutions qui ne sont même pas radicales.

Pour 7 euros (soit 15 minutes de parking dans le 16ème arrondissement de Paris 😅), vous avez la réponse à plein de questions sur ce sujet, facile à comprendre même sans avoir une ceinture blanche d'économie.

Lisez-le, faites-le tourner, offrez-le.

En remplacement de Docaposte/L'identité numérique ?

En effet, bonjourlafuite a publié ça, mais avec une source qui confirme au conditionnel¹ 1,2 millions de fiches : https://presse.economie.gouv.fr/acces-illegitimes-au-fichier-national-des-comptes-bancaires-ficoba/

Les ressources vitales, c'est le pétrole, le minerai, l'eau, les cultures agricoles… Pas ce à quoi servent les services en ligne, qui peuvent être d'utilité douteuse.

Ça me tue la 2FA, mes mots de passe font 128 cara/max autorisé, mais c'est pas assez fort.

Peut-être n'as-tu pas compris en quoi consiste la MFA ? La plupart du temps, c'est un secret qui change à chaque fois, et donc se le faire piquer ne permet pas d'obtenir l'accès au service.

C'est pas le moment d'avoir un clavier qui se bl

En effet :

Le 22 décembre 2014, le bureau du droit d'auteur des États-Unis a clarifié ses pratiques en indiquant explicitement que les œuvres créées par des non-humains ne sont pas soumises aux règles du droit d'auteur. L'un des exemples cités pour illustrer le problème posé est celui de « photographies prises par un singe ».

Pour l'histoire complète : Selfies de singe

Voir les slides 5, 6 et 7.

Je pense que tu fais quelque chose de proche de "Gitflow (Vincent Driessen)" (page 6), et moi quelque chose proche de "GitHub Flow (simplifié, PR-based)" (page 7).

https://bruno.univ-tln.fr/notebooks/notebook-git/_slides/02_git_L_Worflows.html#/feature-branch-workflow-branche-par-fonctionnalit%C3%A9

C'est plus détaillé ici, mais en anglais :

https://www.atlassian.com/git/tutorials/comparing-workflows
https://www.atlassian.com/git/tutorials/comparing-workflows/feature-branch-workflow
https://www.atlassian.com/git/tutorials/comparing-workflows/gitflow-workflow
https://www.atlassian.com/git/tutorials/comparing-workflows/forking-workflow

Je te recommande aussi de considérer que certains commits ne sont pas à conserver lors du merge/rebase. Avec git rebase -i tu peux facilement faire disparaître les "commits de la honte" du style "typo, missing semicolon, missing parenthesis" :D et ne conserver que ceux qui sont des unités de travail atomiques, sécables et utiles à garder dans l'historique :D.

Hello,
perso je fais des branches éphémères, je pense que c'est une méthode assez classique :

nouveauté_du_lundi -> squash+merge dans main
nouveauté_du_mardi -> squash+merge dans main
nouveauté_du_mercredi -> ça prend du temps, le merge sera pour plus tard
nouveauté_du_jeudi -> squash+merge dans main
rebase de la branche main dans nouveauté_du_mercredi (on récupère ce qui était dans nouveauté_du_jeudi au passage)
nouveauté_du_mercredi -> squash+merge dans main

On a comme habitude dans mon équipe de squash les commits intermédiaires, pour n'avoir qu'un commit par branche à la du travail, sauf si vraiment c'est utile de garder les commits séparés.

On ne garde pas de branches séparées longtemps. Les merge dans la branche principale se font par fast-forward.

On rebase souvent la branche principale dans les branches de dev, pour avoir le diff le plus petit par-rapport à la prod. Ceci nous oblige aussi à toujours tester notre code de dev depuis la version la plus à jour possible de la branche principale.

Ça marche bien car on fait plutôt des petits changements, on est une petite équipe, et que les merge avec commit de merge rendent l'historique confus, on préfère rebase et fast-forward.

on peut en conclure qu'il n'y a que les médiocres qui ont écrit du code ?

Phrase très importante dans l'article de The Register:

I've been in contact with the people working on sudo-rs since the project started and I trust them to do right by the sudo user base.

J'imagine que l'essentiel de l'énergie devrait passer dans l'amélioration de sudo-rs, et faciliter la migration de l'un à l'autre.

Avons-nous besoin de plusieurs implémentations de sudo ? Je trouve ça hyper chouette que le mainteneur ne se sente pas en concurrence ni menacé par sudo-rs. C'est plutôt constructif comme attitude !

(oui, il y a quatre personnes qui se servent de sudo-ldap dans le monde, et qui seront bien embêtées si elles devaient passer à sudo-rs :D)

on pourrait le comparer à une manchette de journaux qui se lirait « le fusil mitrailleur tartempion commet le plus gros massacre de l’histoire dans une école. »

Absolument, et c'est là que se situe l'arnaque. En s'exprimant à la première personne (J'ai appris que… Je pense que…), le robot donne l'illusion d'être. Et en ayant des humains qui s'engagent dans une conversation, voire une amorce de débat avec un robot, on voit que ça exploite une faille du cerveau humain, qui arrive à créer un lien - qu'il soit empathique ou antipathique - avec un bout de code. Appliquer des codes sociaux avec une machine, lui conférer une capacité d'introspection ? Oublier que ce n'est que de l'imitation ? Le cerveau à envie d'y croire, semble-t-il.

Ce dernier point m'interroge vraiment. On est si facile que ça à gruger ? C'est vraiment une situation curieuse.

Si je reprend ton exemple du fusil mitrailleur, mais avec une cible plus acceptable socialement, ajoutons-y une capacité de trouver une cible et d'écrire un blog sur ses exploits (un drone militaire pourrait le faire). Que penser d'un article qui dirait "j'ai du prendre des risques pour pouvoir tuer tous ces terroristes, n'allez pas croire que c'est facile tous les jours. Je ne comprend vraiment pas qu'on puisse me le reprocher".

Un autre détail - plus amusant - est que les articles de blog signés par le robot Openclaw sont sous copyright de ce robot. Est-ce seulement possible ?

Je trouve que cette situation d'avoir un bot qui "imite le comportement de prendre la mouche", si ce n'est pas une mystification, pose plein de questions sociales, et les réponses ne sont pas forcément encourageantes. Si la "réaction la plus probable ou la plus courante" suite à un rejet est de mettre un poing dans la gueule de ses détracteurs (aka shitposter), et bien, la société est statistiquement dans un sale état.

En tout cas ça me pose plein de questions.

Ça me fait repenser à cette video, Shouting in the Datacenter, dans laquelle on voit les IOPS et le débit s'effondrer quand un bonhomme crie devant une baie de disques, à cause des vibrations.

Super !

KeepassXC fait partie des rares logiciels libres qui peuvent se targuer d'avoir obtenu un visa de l'ANSSI : KeePassXC 2.7.11 released.

Vivement que cette liste s'allonge !

Ça fait un bail que les têtes se parquent à l'extinction (plus besoin de faire PARK.EXE C:). L'antichoc, j'imaginais que c'était aussi "compris dans le prix" désormais mais peut-être suis-je naïf ?

Les banques sont un monde à part je crois :).

Je ne peux pas choisir un mot de passe fort pour mon accès en ligne (par exemple ziz$uqq1V1x3RK@gcCUw^0gk62wIY6XC que Bitwarden vient de générer). C'est forcément 6 chiffres que je peux choisir, avec 3 essais avant de bloquer. Est-ce que ce truc ou j'ai 0,0003% de chance de tomber sur le bon, c'est plus sûr qu'un mot de passe avec 150 à 200 bits d'entropie avec disons 10 ou même 30 essais ? C'est moins sûr, mais le faible nombre d'essais, comme la MFA qui est obligatoire (confirmation par mail, SMS ou appli) font que le risque est très limité.

Ce qui est drôle c'est que mon login de banque est plus complexe que mon mot de passe, du coup :-/.

Après, que Google ou n'importe quel truc en OAuth2 ou OpenID soit séparé de ma banque et des services publics, c'est une feature, pas un bug, je trouve :).

Un jour, en semaine, l'après-midi, au boulot, tout s'éteint.

Les plafonniers, 250 serveurs, 150 stations de travail. La machine à café ! La lumière des chiottes ! Le téléphone en panne. Les portes extérieures qui s'ouvrent.

100 personnes qui ne peuvent plus travailler, et pour moi la perspective de devoir rallumer une infra dans le bon ordre (heureusement le PRA était imprimé dans la salle machine, j'ai pas eu à trop réfléchir dans le stress).

La responsable parvient à avoir EDF ou Enedis, qui dit "ben oui vous n'avez pas payé, alors on a coupé". Après deux heures, le courant revient. On se demande comment c'est même possible que la fourniture de courant soit coupée comme ça, sans sommation.

Et en vérifiant :
- La compta avait oublié de payer deux factures (des grosses factures, c'est une boîte qui consomme beaucoup de courant).
- EDF avait envoyé plusieurs mails, mais l'adresse n'était pas bonne,
- et envoyé des SMS et passé des appels à un numéro faux,
- et envoyé un ou deux courriers recommandés, à la mauvaise adresse.

Et donc, en fait, tout ça, c'était notre faute, toutes les infos qui étaient dans le fichier EDF étaient obsolètes. Il y avait trois moyens de nous joindre, maxi redondance… Aucun n'a fonctionné :).

Depuis, le paiement EDF est en prélèvement automatique ^.^