cg a écrit 2049 commentaires

un système opaque, géré par une élite

Et oui, c'est fou ça, le nucléaire est géré par des ingénieurs spécialistes du domaine

Roh la mauvaise foi :). Il parle du système, pas de l'exploitation des centrales. Les incidents non publiés, les défauts de fabrication, le coût réel de fabrication et de démantèlement, le transport et la gestion des déchets, les rejets d'eau trop chaude dans les rivières, le futur manque d'eau, l'approvisionnement des minerais… Tous les impacts et les risques sont minimisés.

C'est une filière beaucoup trop opaque politiquement étant donné le projet d'en faire l'énergie phare de l'électricité.

(Mais oui, je suis d'accord que c'est mieux que le charbon, ou même que les centrales à gaz qu'on continue à construire en France aussi.)

Arte informe sur son fournisseur de vérification d'identité/âge, c'est bien. Mais j'ai l'impression que c'est loin d'être le cas général.

Très loin, oui, ou pas aussi clairement. J'ai passé 15 minutes à chercher des infos sur divers site, et tu vas de sous-traitant en sous-traitant, partenaire, fournisseur etc… Sans jamais trouver l'info clairement exprimée. Arte est une exception dirait-on.

Sinon, grâce au lien de Faya vers un article de l'EFF, j'ai pu trouver ça, tiré de cet article :

(HB 1126 est une règlementation au Mississippi sur la preuve d'âge)

Under the plain language of HB 1126, those intermediaries are not required to delete users’ identifying data and, unlike the online service providers themselves, they are also not restricted from sharing, disclosing, or selling that sensitive data. Indeed, the incentives are the opposite: to share the data widely.

Donc les prestataires ne sont pas obligés de supprimer les données, ce qui implique qu'ils peuvent les supprimer. Dans ce cas, les conserver tient d'un choix interne et non d'une obligation légale… En cas de fuite, le prestataire est donc fautif d'avoir conservé les données ?

Absolument, mais est-ce que ce n'est pas disproportionné étant donné l'enjeu ? C'est un peu s'encombrer de procédures et de paperasse pour pas grand chose.

Oui, pouvoir "rejouer" la transaction ou faire une seconde vérification manuellement pourrait justifier. Je n'ai pas trouvé de textes juridiques aux US parlant de ça, et en Europe c'est pas encore en place.

Ceci dit, je me souviens que cet été, j'ai voulu regarder un film sur arte.tv qui était en accès gratuit, et le site m'a demandé de vérifier mon âge, avec ma CNI et une photo de moi. Arte utilise un fournisseur qui dit ne pas conserver les documents :

• J’ai téléchargé une pièce d’identité dans mon compte MonARTE, que deviennent mes données ?
• Le fournisseur en question

Indépendamment de la question de fond, je me pose la question de pourquoi, en tant que responsable d'un traitement, une fois le traitement terminé, conserver les documents ? Autrement dit, après avoir validé l'âge, l'image de la carte ne sert plus. Autant la supprimer, non ?

---

Ptite anecdote de quartier…

L'autre jour j'ai participé à un vide-grenier vers chez moi, et l'asso qui l'organise (merci <3) envoie un mail à tout le monde (en Cc au lieu de Bcc) pour dire qu'ils ont une obligation de faire un fichier des participant·es, selon cette règlementation. Et donc le message demande d'envoyer une photo ou un scan de sa carte d'identité ou passeport. Or l'article dit qu'il faut simplement avoir les références du document, pas une copie du document (ex: CNI, remise par le préfet de bidule, le 1er avril 1912).

Je comprend l'intention : c'est plus facile d'envoyer une photo que de taper des chiffres. En baissant la barre, l'asso augmente ses chances d'avoir un fichier assez complet. Mais tout de même, je trouve ça un peu naze.

Donc j'explique ça par retour de mail (à l'expéditeur seulement) en précisant pourquoi c'est dangereux pour eux de récupérer des copies de papiers officiels. Et voilà-t-y pas qu'en parallèle, une personne envoie une photo de sa CNI à toute la mailing-list¹ :(. La copie de la carte du bonhomme est donc dans une soixantaine de boîtes mails/téléphones/ordis divers et variés. Et sans nul doute que l'asso a reçu (et va conserver dans son compte Google) plein d'autres copies de CNI et passeports.

Quelques jours plus tard, l'asso fait un petit rappel en demandant de nouveau une photo. Je n'ai pas relancé, mais j'ai bien peur que ce soit monnaie courante. Le risque de fuite est tellement abstrait qu'on n'y prête pas garde.

si le mount /dev/mmcblck0p3 /home fonctionne et que tu vois bien tes fichiers dans /home, tu n'as plus qu'à faire CTRL-D (ou exit) pour continuer le démarrage. Ensuite tu seras dans ton environnement habituel, et j'imagine que ce sera plus facile pour toi de consulter les lgs et corriger les erreurs.

J’ai pu vérifier que tout mes fichiers sont présents

Donc tu connais le nom de la bonne partition à monter, chouette !

Ce que tu peux faire dans un premier temps, pour gagner en confort pour faire les manips, c'est que quand tu es dans ton shell d'urgence, tu montes la partition /home manuellement et tu continues le boot, cela devrait fonctionner.

L'auteur de la première vidéo dit lui-même que sa vidéo est pourrie : " j'ai clairement chier (sic) dans la colle avec cette vidéo ". Sur YT c'est simple, plus c'est polémique plus ça rapporte à l'éditeur. Pas la peine de s'attarder sur ces contenus :).

En France, on a un truc sympa, la FNSEA, qui pousse fort sur la zootechnie et l'agriculture pétrochimique (ce qu'on appelle étrangement l'agriculture "conventionnelle"). Parcourir vite fait la page Wikipedia permet déjà de se faire une idée du débat dont tu parles.

Par ailleurs, c'est un peu curieux d'opposer "biologique" et "technique"… Comme si c'était un truc d'ignare d'avoir une exploitation qui respecte le cahier des charges AB. C'est du taf, de la précision, des savoirs différents, mais certainement pas un truc spécieux comme la biodynamie.

J'en profite pour poser un lien : Le site de la mission Agrobiosciences de l'INRAE a pas mal de textes et vidéos sur plein de sujets autour du vivant et de l'agriculture biologique.

Ben ça fait plaisir à lire !

On est loin de ce que certaines écoles faisaient il y a 20 ans : destruction du matériel parfaitement fonctionnel (mobiliers, ordis…) lors du renouvellement, pour empêcher la récup dans les bennes. Les temps ont changé !

su rend obligatoire de mettre un mot de passe au compte root si on veut obtenir un shell.

qui est faux. On peut avoir un compte root verrouillé et obtenir un shell avec SSH par exemple.

En effet, c'est mal formulé, c'était plus clair d'écrire : su rend obligatoire de mettre un mot de passe au compte root si on veut obtenir un shell avec su :).

La partie détection/réglage avec xrandr/wlr-randr n'est pas trop compliquée, la partie retour visuel doit pouvoir se faire en affichant une image fixe (avec feh, mpv ou peut-être même zenity).

Par contre, ce qui me semble difficile, c'est comment tu sais s'il faut étendre le bureau à gauche, à droite, voir en haut ? Car la topologie de la salle n'est pas dans l'ordi j'imagine.

Bon, peut-être que ça va piquer l'orgueil des personnes qui développement SSH et qu'elles vont ajouter QUIC rapidement :).

De ce que j’imagine d’eux, ils vont surtout faire bien attention à continuer à faire ce qu’ils font sans rien changer.

Ah ah bien vu ! C'est sans doute fort vrai… C'est d'ailleurs ce qu'il s'est passé dirait-on :).

Dans le même goût, il y a un projet, qui s'appelle hpn-ssh, qui est, pour faire court, un patch d'OpenSSH pour pouvoir faire des transferts de fichiers super rapides. Il y a eu demande et débat, sur le bien fondé d'intégrer ça dans OpenSSH, et la réponse a été non. L'argument étant que ça fait plus de code à maintenir pour un cas qui n'intéresse pas l'équipe. L'équipe préfère se concentrer sur l'aspect shell et pas l'aspect transfert de fichiers.

Hello,

on est d'accord, si tu es OK avec le fait d'obtenir ou donner les pleins pouvoirs, tu peux te contenter de su.

J'ai peut-être une déformation ou un biais à force de chercher à sécuriser les systèmes dont je suis responsable… Mais je vais donner d'autres arguments :

• le partage de mot de passe rend la traçabilité très complexe. Une session locale ouverte par root ou admin ne permet pas de savoir qui l'a fait. En se logeant avec voltairine ou cg puis fait sudo systemctl stop syslog-ng, on sait qui a lancé la commande.
• Si le mot de passe est partagé et qu'on souhaite révoquer l'accès à cg mais pas aux 5 autres utilisateurs, et bien il faut communiquer le mot de passe aux 5 autres, et ce de manière rapide et sécurisée.
• sudo permet d'enregistrer toutes les commandes lancées et leur affichage (y compris pour un shell root), ce que su ne fait pas¹.
• `su' rend obligatoire de mettre un mot de passe au compte root si on veut obtenir un shell.
• si l'accès est basé sur un mot de passe, alors un utilisateur peut bloquer les autres en le changeant.

---

surtout si on n'a pas besoin de ses spécificités (ce qui est généralement le cas)

Je me permet de faire comme toi : renversement de la charge de preuve 😉. Quel est ce "cas général" dans lequel un utilisateur peut passer root avec su, voire même connaître le mot de passe des autres comptes ?

Dans les environnements autres que mon ordi perso, sudo offre une granularité sans laquelle il est dangereux d'offrir plus que les permissions standard.

sudo a certainement des défauts (que doas n'a pas, que sudo-rs mitige, on peut aussi regardee polkit mais c'est encore un autre monde), en particulier, souvent que la config par défaut est laxiste. Mais en aucun cas ça ne plaide pour un mot de passe partagé ou un mécanisme "tout ou rien" comme su ou sudo bash. Quand tu veux centraliser des permissions complexes dans un LDAP ou en posant des fichiers de conf avec Puppet ou Ansible, avec sudo, tu peux. Avec su, aucune finesse possible.

Bref, je voulais mettre en lumière les avantages qu'offre sudo, parce que ça peut donner des idées et peut-être pouvoir se dire qu'en fait, ses spécificités, on en a besoin 😇.

En quoi sudo réduit-il la surface d'attaque par rapport à su ?

Ce n'est pas comparable : sudo permet d'exécuter des commandes précises avec des permissions utilisateur différentes. Cette granularité permet de donner quelques privilèges sans donner accès à toutes les commandes. Si on veux comparer, il faut comparer avec polkit par exemple.

Si la config sudo permet d'avoir un shell, et que l'usage de sudo se limite à faire sudo -i, alors oui, c'est équivalent à su, mais le problème ne provient pas de sudo dans ce cas :).

Vu ces derniers jours sur Mastodon : nixCraft poste un lien vers le repo moribond. Korben poste un article, Stéphane Bortzmeyer poste un lien vers l'article de Korben.

Et puis https://mastodon.social/@tbr@society.oftrolls.com/115278018820033429 :

The project seems to have dropped dead at the exact time the main person behind it switched from PhD at university to working for Apple.
This thing is not going anywhere.

Ce qui est compréhensible, c'est sans doute un projet assez vaste. Bon, peut-être que ça va piquer l'orgueil des personnes qui développement SSH et qu'elles vont ajouter QUIC rapidement :).

Mais honnêtement, si on a le choix, oui on peut choisir, mais cela ne doit pas être un critère de choix ou alors en tout dernier, pour départager.

C'est une question de priorités, chacun a sa grille. Tu peux très bien considérer que promouvoir NixOS c'est élargir l'auditoire des fachos en question, et que ça compte. Et comme en terme de distrib, on a le choix et l'embarras, ben ¢a peut être vite réglé (retour à Debian !).

Quand DHH dit que les politiques d'inclusivité (qui changent les critères de sélection artificiellement pour donner de l'élan à certaines classes/castes¹ de personnes sous-représentées) sont du caca, il laisse faire et même encourage le phénomène de "white boy club" (ou techbro). Dans le cas de Rails, y'a moins de choix que pour les distribs. du code Rails ne se porte pas sur un autre framework web… Donc, fork ?

Dans le cas des distributeurs de billets et des caisses enregistreuses, c'est sans doute lié à la certification de Windows NT sur la sécurité, dont j'ai oublié le nom (C2, peut-être) ? Pour les autres cas, la facilité d'intégration avec le reste du SI, et probablement la force de l'habitude.

C'est pas forcément d'excellentes raisons, mais ça semble plausible.

Voilà des années que je lis ce que DHH et Jason Fried peuvent écrire (les blogs mais aussi les livres). À partir de l'époque du COVID (2019), je trouve que DHH écrit des trucs bizarre, et est de plus en plus autoritaire et tranché dans ses positions, et donc j'ai réduit la dose, et me borne aux articles techniques qui sont parfois intéressants.

Les textes comme Ruby deserves better leadership than DHH et The Ruby community has a DHH problem aident à décoder le sous-texte, et il semble bien qu'on ait à faire à une personne très peu fréquentable.

<mauvaise_foi.mode=absolue>
pas du tout, ça dépend des options de cat utilisées, par exemple, euh… cat -E ?
<mauvaise_foi.mode=normale>

Hey !

une pratiquant l'holacracy

en as-tu profité ? Quel est ton ressenti ?

J'avais lu Reinventing Organizations, et après ça me suis pas mal documenté sur ces systèmes, c'est hyper intéressant ! Par conséquent je suis curieux d'avoir un retour de quelqu'un qui a baigné un peu dedans.

J'avais choisi justement ces caméras bas coût parce qu'elles étaient compatibles ONVIF mais ce n'est pas suffisant, zoneminder ou frigate ne savent pas davantage les gérer.

Ah c'est vraiment bête ça… Peut-être qu'en partant de ton outil en Python, y'a moyen de faire un patch Perl qui ajoute ce support pour Zoneminder ? Ou le problème est encore ailleurs ?

¢a fait quelques temps que je n'ai pas joué avec Zoneminder, mais ne peux-tu pas simplement utiliser le protocole ONVIF (avec une URL en http/https) directement au lieu de rtsp ?

Aussi, dans ton journal précédent j'avais remarqué que tu filmes la rue, selon le pays dans lequel tu te trouves, ça peut être un problème :)

Pour l'impression, ça semble ok, elle supporte IPP Everywhere (airprint), donc pas besoin de driver.
Niveau scanner, ça semble supporté aussi avec eSCL (airscan) mais la doc est moins claire sur ce sujet.

Canon semble fournir des deb et des rpm, ça peut aider si besoin.

Après consultation de la liste des outils présents dans coreutils, je trouve que Java est vraiment un bon candidat. Les enchaînements du type cat | cut | tr | sort | uniq ont tout à y gagner.

Il faudrait ajouter des easter eggs aux coreutils pour justifier l'utilisation du Pascal.

(je me dis que tu as loupé mon jeu de mots sur "de base" et BASIC :D)