Le fait que ce soit du code ouvert a permis une correction plus rapide.
Néanmoins , le fait que cela ne coûte pas 50k la licence a fait que c'est utilisé dans de nombreux logiciels, et de ce fait, même si la correction a été rapide (la mitigation presque instantané) , l'appliquer prendra du temps.
Si le journal des événements windows est troué, le correctif pourra arriver avec quelques années de retard, mais ce sera assez simple de le déployer , puisque seul windows l'utilise
Attention quand même, log4j 1 semble quand même moins troué pour le moment.
Mais oui, tout ça me rapelle le bon vieux temps où le prof sysadmin d'iut nous disait
"plus de sécurité, moins de confort. Plus de confort , moins de sécurité" .
Aujourd'hui, c'est "putain fait chier, ma banque me demande de confirmer mon achat sur mon smartphone"
Cela répond souvent à des demandes clients. Si tu savais les request for enhancement que j'ai reçu dernièrement. Tout pour judstement élargir le périmètre d'attaque. Par contre , les demandes d'update de modules sont bcp plus rare.
On reçoit plus "on aimerait pouvoir faire …."
Que
"Votre lib ne supporte pas tls v1.3…"
je ne suis pas sûr, il y a certaines différence. Encore que pour SSL , cela pourrait en effet y ressembler
Mais il est clair que si log4j pourrait recevoir des contributions financières, ce serait cool.
Encore cette semaine, j'ai eu des clients m'annonçant sur un autre dossier "et à propos de la faille log4j, mon mgr m'a dit que le produit n'était pas touché, tu peux confirmer ?" , heureusement que la personne a eu l'audace de me poser la question.
La grande différence est que le SSL est la clé d'une connection, et il est compliqué d'oublier qu'on l'utilise , y compris sur de la db standrd (d'ailleurs, cela me fait penser à ses admins paniqué q, car incapable de faire du tomcat -> mysql ssl , ce mysql ne recevant que du localhost en inbound)
Alors que log4j, c'est un truc limite comme les sauvegardes , oui on doit logguer, mais on regarde jamais les logs, uniquement en cas de désastres
Concernant le CI , oui un mvn audit serait bien, encore faudrait il que eles serveurs maven suivent (il n'y a pas uniquement maven central )
Globalement, déjà , je ne suis pas sûr que blamer quelqu'un , surtout sur un telle faille, soit vraiment bénéfique. Seuls les paresseux ne laissent passer aucune faille.
Courage aux quelques developpeurs sans vacances pour créer les patches sans regression
Courage aux customer services pour se prendre les foudres et pressions des admins
Soutien aux admins sous pressiondes infosecs qui doivent être pas loin du burn out à defaut de Burnhaupt
et courage aux admins qui refusent de patcher pour garder leur uptime car ne se sentant pas concernés
A mon avis, donne leur TON téléphone, et prends un comme le pinephone etc… voir celui de Duval ainsi, pour toi , ce sera du bonheur, pour eux, moins de depaysement avec un rom android libre
Aux millenials sortant de l'epita se la racontant "j'utilise i3wm". Nous, les vieux, pourront dire "et moi fyndesk, le desktop des mentors de pkus de 40 ans"
oui, le gouvernement NATIONALISTE et REVISIONISTE du PLD a décidé de relancer le nucléaire ( qui tente en vain depuis plusieurs années d'avoir 66% à l'assemblée pour recréer une armée d'intervention extérieure).
Mais bon, je n'ai jamais dit que j'était contre le nucléaire, et il est même préférable au charbon. Mais c'était aussi pour montrer que les anti nucleaires, souvent se qualifiant d'écologistes, ne sont que des lobbyistes également pour le charbon.
C'est pas comme si il n'y a pas eu de mouvements de gilets jaunes dernièrement et donc que personnes n'étaient vraiment dans le besoin . Moi, je n'accepterais, mais dans les quartiers, oui certains acceptent .
donc qui sait si , dans le même dénuement financier et social, je n'accepterais pas moi aussi ?
Bref, que ce taff soit sale, on est OK
Mais dire que c'est de leur faute, non non non. C'est pas eux qui prennent les décisions finales
et aussi les pro eoliennes qui tuent des milliers d'oiseaux migrateurs chaques années.
Le problème n'est pas tant dans la source d'energie mais dans le fait qu'on a toujours besoin de plus d'energie. Et que des mesures populistes (type fermeture du periph) va juste augmenter la consommation de petrole et d'electricité plutôt que de décourager les automobilistes
tu pars du princcipe quee tu peux te nourrir sans emplois.
C'est tout d'abord pour se nourrir qu'on a un emploi.
Je suis au chomage, total m'embauche, je vais pas dire non
Ensuite, on me propose une position de lobbyiste. Moralement, je trouverais ça mal, mais pas envie de me retrouver au chomage.
Là est la logique.
Par contre, je serais étonné de voir des decisionnaire croire en des conneries préparées par mon chef
Faut il vraiment les blamer ?
Ils ont une boulot qui est de détruire à petit feu la planète , ils font leur boulot.
Si on leur donne un boulot qui est l'inverse, je pense qu'ils pourraient le faire également.
Maintenant, le problème est que le lobbying existe, que les preneurs de décision ne puissent pas prendre de décision en toute conscience (ce sont souvent leurs conseillers qui les conseillent, souvent mal)
Que faire contre ça ?
j'ai pas de vrais idées mais je suis curieux d'avoir la tienne
Tout est dit. Néanmoins, il y a beaucoup "ça marche bien donc je ne touche à rien" jusqu'au jour au disaster sans procédure vraiment prête. La prod n'a pas forcément à être bleeding edge mais les cve majeurs doivent être à minima corrigé asap.
On peux éviter d'être insultant. Les goûts et les couleurs , ça ne se discute pas.
Surtout que cette façon de parler fera oublier l'essentiel: pourquoi utiliser vscode quand eclipse existe?
[^] # Re: outils et génie logiciel
Posté par Eh_Dis_Mwan . En réponse au journal log4shell : Et après ?. Évalué à 2.
Le fait que ce soit du code ouvert a permis une correction plus rapide.
Néanmoins , le fait que cela ne coûte pas 50k la licence a fait que c'est utilisé dans de nombreux logiciels, et de ce fait, même si la correction a été rapide (la mitigation presque instantané) , l'appliquer prendra du temps.
Si le journal des événements windows est troué, le correctif pourra arriver avec quelques années de retard, mais ce sera assez simple de le déployer , puisque seul windows l'utilise
[^] # Re: La vraie remise en question
Posté par Eh_Dis_Mwan . En réponse au journal log4shell : Et après ?. Évalué à 2.
Attention quand même, log4j 1 semble quand même moins troué pour le moment.
Mais oui, tout ça me rapelle le bon vieux temps où le prof sysadmin d'iut nous disait
"plus de sécurité, moins de confort. Plus de confort , moins de sécurité" .
Aujourd'hui, c'est "putain fait chier, ma banque me demande de confirmer mon achat sur mon smartphone"
[^] # Re: La vraie remise en question
Posté par Eh_Dis_Mwan . En réponse au journal log4shell : Et après ?. Évalué à 5.
Cela répond souvent à des demandes clients. Si tu savais les request for enhancement que j'ai reçu dernièrement. Tout pour judstement élargir le périmètre d'attaque. Par contre , les demandes d'update de modules sont bcp plus rare.
On reçoit plus "on aimerait pouvoir faire …."
Que
"Votre lib ne supporte pas tls v1.3…"
[^] # Re: L'opensource et maven fonctionne très bien
Posté par Eh_Dis_Mwan . En réponse au journal log4shell : Et après ?. Évalué à 3.
Entendu dans une start up / licorne Française "Tester, c'est pas très agile"
[^] # Re: Comme openssl
Posté par Eh_Dis_Mwan . En réponse au journal log4shell : Et après ?. Évalué à 1.
je ne suis pas sûr, il y a certaines différence. Encore que pour SSL , cela pourrait en effet y ressembler
Mais il est clair que si log4j pourrait recevoir des contributions financières, ce serait cool.
Encore cette semaine, j'ai eu des clients m'annonçant sur un autre dossier "et à propos de la faille log4j, mon mgr m'a dit que le produit n'était pas touché, tu peux confirmer ?" , heureusement que la personne a eu l'audace de me poser la question.
La grande différence est que le SSL est la clé d'une connection, et il est compliqué d'oublier qu'on l'utilise , y compris sur de la db standrd (d'ailleurs, cela me fait penser à ses admins paniqué q, car incapable de faire du tomcat -> mysql ssl , ce mysql ne recevant que du localhost en inbound)
Alors que log4j, c'est un truc limite comme les sauvegardes , oui on doit logguer, mais on regarde jamais les logs, uniquement en cas de désastres
Concernant le CI , oui un mvn audit serait bien, encore faudrait il que eles serveurs maven suivent (il n'y a pas uniquement maven central )
[^] # Re: outils et génie logiciel
Posté par Eh_Dis_Mwan . En réponse au journal log4shell : Et après ?. Évalué à 10.
Globalement, déjà , je ne suis pas sûr que blamer quelqu'un , surtout sur un telle faille, soit vraiment bénéfique. Seuls les paresseux ne laissent passer aucune faille.
Courage aux quelques developpeurs sans vacances pour créer les patches sans regression
Courage aux customer services pour se prendre les foudres et pressions des admins
Soutien aux admins sous pressiondes infosecs qui doivent être pas loin du burn out à defaut de Burnhaupt
et courage aux admins qui refusent de patcher pour garder leur uptime car ne se sentant pas concernés
[^] # Re: Talend Open Studio
Posté par Eh_Dis_Mwan . En réponse au message data pipeline. Évalué à 0.
mais c'est du java
# Talend Open Studio
Posté par Eh_Dis_Mwan . En réponse au message data pipeline. Évalué à 1.
Tu peux essayer Talend Open Studio
# pin des pices
Posté par Eh_Dis_Mwan . En réponse au message Quel téléphone pour Noël?. Évalué à 1.
Demande la boulangère de ploum.
A mon avis, donne leur TON téléphone, et prends un comme le pinephone etc… voir celui de Duval ainsi, pour toi , ce sera du bonheur, pour eux, moins de depaysement avec un rom android libre
[^] # Re: Enfin!
Posté par Eh_Dis_Mwan . En réponse au lien Fynedesk : un bureau Linux en Go. Évalué à 7.
Aux millenials sortant de l'epita se la racontant "j'utilise i3wm". Nous, les vieux, pourront dire "et moi fyndesk, le desktop des mentors de pkus de 40 ans"
[^] # Re: joliment dit
Posté par Eh_Dis_Mwan . En réponse au lien Open Source : Un choix qui doit s'imposer dans le secteur public comme dans le privé . Évalué à 4.
en 1998, la FNAC vendait des boites de Redhat 5.2 et pourtant, Redhat était libre
C'est notamment l'échec de ventes de boites qui a fait qu'ils se sont tourné uniquement vers les serveurs :
le marché bureautique n'était pas prêt à acheter des boites de distributions linux
https://cdn.mgig.fr/2018/10/mg-811ece67-6ac5-4402-9c64-full.jpg
[^] # Re: Géographie
Posté par Eh_Dis_Mwan . En réponse au lien L'Allemagne doit passer 25 000 postes sous LibreOffice (et in-fine sous GNU/Linux). Évalué à 2.
Rien que pour la limitation des long path sous windows, actif par défaut, je trouve que c'est une bonne nouvelle pour eux
# long path
Posté par Eh_Dis_Mwan . En réponse au lien Le Land du Schleswig-Holstein passe au Libre et à GNU/Linux. Évalué à 3.
Rien que pour la limitation des long path sous windows, actif par défaut, je trouve que c'est une bonne nouvelle pour eux
[^] # Re: 500 auxquels il faut rajouter les anti-nucléaires
Posté par Eh_Dis_Mwan . En réponse au lien La COP26 infiltrée par plus de 500 lobbyistes du charbon, du gaz et du pétrole. Évalué à -2. Dernière modification le 13 novembre 2021 à 00:54.
oui, le gouvernement NATIONALISTE et REVISIONISTE du PLD a décidé de relancer le nucléaire ( qui tente en vain depuis plusieurs années d'avoir 66% à l'assemblée pour recréer une armée d'intervention extérieure).
Mais bon, je n'ai jamais dit que j'était contre le nucléaire, et il est même préférable au charbon. Mais c'était aussi pour montrer que les anti nucleaires, souvent se qualifiant d'écologistes, ne sont que des lobbyistes également pour le charbon.
[^] # Re: 500 auxquels il faut rajouter les anti-nucléaires
Posté par Eh_Dis_Mwan . En réponse au lien La COP26 infiltrée par plus de 500 lobbyistes du charbon, du gaz et du pétrole. Évalué à 0.
Va dire que le nucléaire ne pollue pas au pays du soleil levant.
[^] # Re: Faut il les blamer ?
Posté par Eh_Dis_Mwan . En réponse au lien La COP26 infiltrée par plus de 500 lobbyistes du charbon, du gaz et du pétrole. Évalué à -3. Dernière modification le 12 novembre 2021 à 19:14.
C'est pas comme si il n'y a pas eu de mouvements de gilets jaunes dernièrement et donc que personnes n'étaient vraiment dans le besoin . Moi, je n'accepterais, mais dans les quartiers, oui certains acceptent .
donc qui sait si , dans le même dénuement financier et social, je n'accepterais pas moi aussi ?
Bref, que ce taff soit sale, on est OK
Mais dire que c'est de leur faute, non non non. C'est pas eux qui prennent les décisions finales
[^] # Re: 500 auxquels il faut rajouter les anti-nucléaires
Posté par Eh_Dis_Mwan . En réponse au lien La COP26 infiltrée par plus de 500 lobbyistes du charbon, du gaz et du pétrole. Évalué à -3. Dernière modification le 12 novembre 2021 à 16:20.
et aussi les pro eoliennes qui tuent des milliers d'oiseaux migrateurs chaques années.
Le problème n'est pas tant dans la source d'energie mais dans le fait qu'on a toujours besoin de plus d'energie. Et que des mesures populistes (type fermeture du periph) va juste augmenter la consommation de petrole et d'electricité plutôt que de décourager les automobilistes
[^] # Re: Faut il les blamer ?
Posté par Eh_Dis_Mwan . En réponse au lien La COP26 infiltrée par plus de 500 lobbyistes du charbon, du gaz et du pétrole. Évalué à -4.
tu pars du princcipe quee tu peux te nourrir sans emplois.
C'est tout d'abord pour se nourrir qu'on a un emploi.
Je suis au chomage, total m'embauche, je vais pas dire non
Ensuite, on me propose une position de lobbyiste. Moralement, je trouverais ça mal, mais pas envie de me retrouver au chomage.
Là est la logique.
Par contre, je serais étonné de voir des decisionnaire croire en des conneries préparées par mon chef
[^] # Re: Il ne faut utiliser que des produits bio.
Posté par Eh_Dis_Mwan . En réponse au journal Du ménage autour de nos ordinateurs. Évalué à 2.
Moi je ne retire surtout pas la poussière, je n'aime pas tuer des acariens, je secoue la poussière devant la porte du voisin
# Faut il les blamer ?
Posté par Eh_Dis_Mwan . En réponse au lien La COP26 infiltrée par plus de 500 lobbyistes du charbon, du gaz et du pétrole. Évalué à 0.
Bonjour
Faut il vraiment les blamer ?
Ils ont une boulot qui est de détruire à petit feu la planète , ils font leur boulot.
Si on leur donne un boulot qui est l'inverse, je pense qu'ils pourraient le faire également.
Maintenant, le problème est que le lobbying existe, que les preneurs de décision ne puissent pas prendre de décision en toute conscience (ce sont souvent leurs conseillers qui les conseillent, souvent mal)
Que faire contre ça ?
j'ai pas de vrais idées mais je suis curieux d'avoir la tienne
[^] # Re: Utilisation en production
Posté par Eh_Dis_Mwan . En réponse au journal RHEL 9 beta is out : 1 an après , quid des successeurs ?. Évalué à 3.
Tout est dit. Néanmoins, il y a beaucoup "ça marche bien donc je ne touche à rien" jusqu'au jour au disaster sans procédure vraiment prête. La prod n'a pas forcément à être bleeding edge mais les cve majeurs doivent être à minima corrigé asap.
[^] # Re: régression
Posté par Eh_Dis_Mwan . En réponse au journal Et moi, 6ans plus tard.. Évalué à 8.
On peux éviter d'être insultant. Les goûts et les couleurs , ça ne se discute pas.
Surtout que cette façon de parler fera oublier l'essentiel: pourquoi utiliser vscode quand eclipse existe?
[^] # Re: plus d'infos ?
Posté par Eh_Dis_Mwan . En réponse au message Problème Virtualbox machine Windows 10. Évalué à 1.
sur ta VM , ce sont les nic virtuels qui sont pris en compte
et y'a que du intel
[^] # Re: en même temps ...
Posté par Eh_Dis_Mwan . En réponse au lien La loi pour verdir le numérique déçoit les écologistes . Évalué à 3. Dernière modification le 04 novembre 2021 à 18:28.
comme Devuan en quelque sorte
[^] # Re: Maître esclave
Posté par Eh_Dis_Mwan . En réponse au journal Comme une impression de déjà vu…. Évalué à 2.
Réponse par rapport à ta carte , ce n'et pas parce que l'alphabet romain n'est pas officiellement utilisé qu'il n'est utilisé nulle part.
D'ailleurs au Japon, certaines communications dans les préféctures sont faites en Portugais et Espagnol our les japonais revenant d'amérique du Sud
https://www.pref.shiga.lg.jp/foreignlanguage/index.html