ckyl a écrit 3877 commentaires

J'avoue ne rien comprendre au fonctionnement d'une banque et lorsqu'on mon banquier m'explique, 1h après, j'ai de nouveau de fort doute.

J'ai de forts doutes que ton banquier sache comment une banque fonctionne ;)

désormais réduire encore plus leurs revenus pour raquer un logiciel et ses mises à jour.

Ouvre un compte chez freelancer, ils annoncent pouvoir être certifié et ca devrait rester gratuit pour les petits CA. Voilà on peut maintenant arrêter de pleurer.

Si ca tient à coeur à quelqu'un. Il peut aussi faire un LL et offrir le service à ceux qui bouffent des cailloux.

Ce genre de trucs, ça met juste un frein au démarrage de l'activité, ça peut représenter un coût fixe même si on a 0€ de CA, c'est juste nul et pas du tout dans l'esprit.

C'est chiant oui.

Maintenant tu auras certainement du service certifié dispo gratos (exemple freelancer pense changer ses tarifs à la bascule et garder une tranche gratuite si CA < 10K puis payant au dessus).

Et même si c'est pas gratos on parle de quelque chose comme 40€ ou 5€/mois. Si ça compromet ton démarrage arrête tout de suite ca va mal se passer.

J'avais lu (sur une étude de l'INSEE il me semble) que le revenu moyen des auto-entrepreneurs était de… 410 € !

Aucune idée de la distribution réelle. Mais vu le faible coût, il y a aussi beaucoup de gens qui laisse leur AE ouverte sans chercher à y faire rentrer des ronds.

et devoir de surcroît acheter un logiciel

Ca oui

— qui sera très vraisemblablement propriétaire, ce qui va aussi plus ou moins imposer Windows sur le PC

Ca tu peux éviter en passant par des services en ligne

(le tout sans rien pouvoir amortir, évidemment).

Faut pas déconner. Le status d'AE est SUPER avantageuse par rapport au régime normal. Et si jamais il ne l'était pas pour toi et bien il suffit de changer de statut…

C'est quand même dingue que lorsque l'on parle de lutte contre la fraude, ce soit toujours contre les mêmes, c'est à dire les petits, la base, les sans-dents…

Heu ce n'est pas une mesure qui vise les AE hein. C'est une mesure générale dont les AE n'ont pas été dispensé. Le but original c'est d'essayer d'endiguer la fraude généralisée notamment des commerçants. IIRC le problème à la base c'est qu'il y a des caisses avec fonctionnalités cachées qui permettent d'oublier magiquement une partie des recettes pour lesquels une facture a été émise.

Et enfin, si tu faisais à la main avant tu pourras toujours le faire. Le monde n'est pas parfait, mais il faut être un tout petit peu objectif.

La question, c'est quelle est le caractère non ASCII dans epic.com, autrement dit xn--e1awd7f.com.

Tous.

Ce genre d'attaque est veille comme le monde, enfin comme au moins le début des années 2000, et les navigateurs s'en protège en affichant l'URL en punycode lorsqu'ils détectent une URL qui correspond au mixed script confusable c'est à dire qu'un caractère d'un autre script a été utilisé (exemple: tu remplaces le a latin de paypal par un a cyrillique).

La seule nouveauté ici, c'est qu'ici quelqu'un a pensé a remplacer tous les caractères du domaine par leur équivalent d'un autre script. Forcément les navigateurs ne gueulent pas par ce que c'est valide et souhaité par certains utilisateurs utilisant autre chose que les caractères latins.

Pour ceux que ca intéresse la notion de confusable, mixed script confusables ou whole script confusables est très bien expliquée et documentée là: http://unicode.org/reports/tr39/

Unicode est un outil formidable qui te permet de prendre en pleine face tous les problèmes issus de quelques milliers d'évolution humaine et quelques dizaines d'années d'évolution informatique. Les normalisations NFC / NFD, le dépassement des 16 bits du BMP, le bi-di, les algos de collation, de localisation et les dizaines d'autres subtilités sont des sources de joies permanentes :)

Pour être exacte ça s'appelle String Concatenation Operator +.

Puisque tu veux la version courte. Ta question originelle était:

Est-ce Mozilla a des mesures pour démasquer ce genre de technologies ?

Non. Le fonctionnement actuel est un choix assumé et documenté.

Si tu penses que c'est une erreur, direction le bug tracker.

Tu posais aussi une autre vague question

"Concernant le HPKP j'avais lu des trucs déplaisant : un administrateur de réseau pouvait contourner cette protection, un peu comme si, les entreprises passaient devant les utilisateurs."

Bin tu as aussi la réponse…

Entre temps je te donne les liens, l'explication de pourquoi c'est comme ça et t'indique clairement que la désactivation du pinning est orthogonale au reste. Tu en fais ce que tu veux.

Maintenant si tu lis attentivement la troisième alternative de ma réponse, tu trouves un cas intéressant philosophiquement et techniquement. Tu peux aussi te poser la question avec les app de savoir si je devrais pouvoir faire du MITM sur les connections SSL sortant des app de mon téléphone, ou si l'éditeur de l'application peut / devrait m'en empêcher. Dans ce cas je ne pourrais plus savoir ce qu'il transmet à ses serveurs ou faire du reverse engineering via le réseau, mais devrait intercepté ça au niveau de l'OS.

Typiquement, les certificats de google sont en dure dans chrome et ne peuvent être changé

Absolument. Ils le sont aussi dans Firefox.

Les deux navigateurs publient la liste des domaines en question. Ça reste une solution pour un tout petit club, les autres n'ayant mieux que TOFU pour solution.

Maintenant certificat en dur dans le browser, pardon téléchargé depuis un site de confiance, ou TOFU, la décision d'appliquer le certificate pinning est la décision du navigateur. Et il se trouve que dans certains cas, ils décident de ne pas l'appliquer.

A part faire de l'espionnage, il n'y a aucune raison de toucher aux certificats des sites des moteurs recherches, des réseaux sociaux, etc…

C'est ton point de vu, et il se défend.

D'autres ont un avis différent et pensent que si tu as accès au private trust store du navigateur, alors tu as la main sur la machine, que tu sois admin ou que tu l'ai déjà compromis, et qu'il n'y a pas de raison de ne pas te laisser faire du MITM si le certificat racine qui est utilisé est celui que tu as inséré. Les cas d'usages vont de la politique d'entreprise de tout inspecter, à l'espionnage en passant par des trucs bizarres comme la mesure d'audience où les gens sont volontaires pour se faire ouvrir leurs connexions.

Pour le moment les navigateurs ont choisi cet autre point de vu et implémentent ce comportement. Si ton admin insère un certificat dans ton private trust store, alors il peut faire du MITM.

De l'autre côté n'importe qui maitrisant ton réseau peut faire du MITM sur tout ce qui repose sur une stratégie TOFU.

Concernant le HPKP j'avais lu des trucs déplaisant : un administrateur de réseau pouvait contourner cette protection, un peu comme si, les entreprises passaient devant les utilisateurs. Je voulais connaître la situation actuelle.

De toute façon la plupart des navigateurs laissent faire du MITM sur un certificat a été déployé manuellement dans le private trust store:

• https://www.chromium.org/Home/chromium-security/security-faq#TOC-How-does-key-pinning-interact-with-local-proxies-and-filters-
• https://developer.mozilla.org/en-US/docs/Web/HTTP/Public_Key_Pinning

C'est une fonctionnalité voulue et assumée.

Après HPKP présente forcément le problème que c'est du trust on first use. Si un méchant te répond à la première utilisation, c'est mort. Or par définition, si je contrôle ton réseau j'ai accès à ton premier appel sur un domaine.

Si tu veux pas que quelqu'un face du MITM, passe par une app ;)

Oui, je pense qu'ils se remettrons de l'abandon à venir de flash et shockwave ;)

https://finance.yahoo.com/quote/ADBE/financials?p=ADBE

La machine à cash, c'est effectivement la bascule réussie à Creative Cloud.

Moi qui suit plutôt pythoniste, je dois t'avouer que baser la structure du code sur l'indentation est sans doute la meilleur idée qu'on ait pu avoir dans l'histoire des langages. Je suis extrêmement à l'aise avec ça, tant est si bien que je ne supporte pas qu'un langage m'oblige à écrire des caractères qui pourraient être simplement substituable par des retours à la ligne et de l'indentation.

Tu veux dire qu’empêcher de pouvoir facilement copier / coller du code est la meilleur idée qu'on ait pu avoir dans l'histoire des langages ?

/me sort sur la pointe des pieds :)

On parlera plutôt de FaaS, pour "Function as a Service", ce qui n'est pas terrible, j'en conviens.

Je te propose "CGI as a service" ;)

Donc tu affirme que:

• ton expérience est statistiquement significative
• il y a causalité être le choix kvm / xen et la stabilité de la plateforme

Je suis sur qu'une telle découverte intéresserait beaucoup de monde et devrait être documentée.

C'est difficile avec admettre dans une industrie qui ne veut rien apprendre et ou tout devient legagy dans l'heure ou il a été produit, mais l'argument historique n'est pas sale. Toutes les décisions sont prises dans un contexte donné avec des pour et des contre. L'expertise autour d'une techno et de son utilisation / exploitation est souvent beaucoup plus significative que la différence intrinsèque entre deux technos. La rationalité économique voudrait que le status quo soit renversé lorsque les clients remettent en cause ce choix: tout le monde se casse chez GCE qui est BEAUCOUP plus stable pour un coût similaire.

Je consière KVM (Kernel Virtual Machine) comme un choix plus judicieux pour un serveur de virtualisation, et c'est surtout la suprise de trouver Xen, moins standardisé dans le noyau Linux, AMHA.

Ton avis est certainement plus pertinent et informé que celui des gens qui ont conçu la solution et qui sont chargé de son opérationnel ;)

Et c'est pas comme si tout AWS tournait sur Xen.

Je n'ai aucun avis sur OVH, mais faire attention à son avis de bricolo du dimanche par rapport des boîtes qui exploitent des infras à grosses échelles. Au pire, payer quelques mecs pour maintenir Xen, c'est rien quand tu exploites un tas de machine qui vaut quelques centaines de millions d'euros.

Ou alors Azul s'appelle Azul depuis 2002, et leur coeur de métier c'est pas le cloud mais la niche de faire des JVM aux performances à faire pleurer toute les autres (ce que n'est PAS Zulu). Ils font aussi l'hardware qui va avec, CPU, mais depuis quelques années ils ont trouvé le truc pour aussi faire tourner zing sur du hardware standard avec un noyau standard.

C'est aussi proprio que possible et hors de prix. Mais techniquement c'est très fort et les mecs d'azul font des trucs intéressant, font pleins de pédagogies sur les problèmes de perf contribuent à pas mal de trucs (voir les talks de Gil Tene ou Nitsan Wakart).

Bref on peut ne pas être client mais ça fait partie des belles boîtes avec un gros savoir faire.

D'ailleurs le TCK n'est même pas nécessaire pour utiliser la marque OpenJDK si j'ai bien compris

Tu as bien compris.

Par contre tu ne peux pas utiliser le mot Java si tu ne passes pas le TCK.

D'ailleurs tant mieux, vu que le TCK c'était juste un truc pour faire… suer les implémentations alternatives (Harmony, GCJ).

Ou alors garantir qu'une implémentation de Java est bien une implémentation de Java (ie. quelle respecte la spécification).

Si tu trouves que c'est une mauvaise chose, nous n'avons pas le même avis. Note que rien ne t'empêche de changer ce que tu veux au langage, au runtime ou a l’implémentation sans rien demander à personne, tu perds juste le droit de dire que c'est Java.

Que ca puisse servir comme outil contre des concurrents bien sur. Mais en l’occurrence Oracle fourni gracieusement l'accès au TCK aux distros…

Je crois que tu n'expliques pas bien la différence avec les autres builds d'openJDK

C'est le moins que l'on puisse dire.

Un fork d'openjdk ?

Oui. Fork est un peu fort cependant. "Quelque patches et build correct d'OpenJDK" serait surement plus exact.

Il a quels avantages ?

La plupart des binaires OpenJDK, dont ceux fourni par les distrib, sont issus dont ne sait quoi, dont ne sait où et on ne sait comment. Souvent on ne devrait même pas les appeler Java car ils ne sont jamais passés par le TCK, la suite de tests qui permet de vérifier qu'un build est conforme aux spécifications.

Bref ca permet d'avoir un build OpenJDK identifié, testé et maintenu. Ni plus, ni moins.

Il est possible que les distros aient fait quelques progrès ces derniers mois et années, mais à l'époque les paquets fournis par la plupart des distro était en effet très limites (version non identifiables, pas de TCK) et on ne parle pas de Windows.

Un peu de contexte via la PR de l'époque https://www.infoq.com/articles/Gil-Tene-QA et tu retrouveras facilement les débats sur les build "de l'espace" de Debian.

Bah, c'est la troisième fois qu'il fait le coup, si j'ai bien compris le parcours du monsieur.

Le monsieur à quand même un gros gros niveau: https://www.linkedin.com/pulse/je-suis-un-entrepreneur-combatif-%C3%A9puis%C3%A9-et-d%C3%A9vast%C3%A9-%C3%A9ric-charpentier?articleId=6214438128694894592

Mais ça marche ! La MAIF y retourne pour continuer à se faire cracher dessus et perdre un peu plus de pognon. Comme quoi il suffit d'oser et de ne surtout pas se remettre en question :)

Je préfère le faible enfoncement des touches du Typematrix, mais, pour moi, ça ne compense pas le fait qu'il soit uniquement droit :

Je fais le même reproche au typematrix.

Mais psychologiquement le TE est beaucoup trop cher, 250€ le tas de plastique quoi :)

La liste est intéressante d'un point de vue historique. D'un point de vue plus pratique, il serait utile de faire la liste des clavier commercialisés, leur prix (en France / EU) et leurs avantages / problème connus.

J'ai fait l'exercice il y a quelques années suite à des problèmes de poignet. C'est assez décevant. La plupart des trucs sont hors de prix (200..500 euros) pour une qualité de fabrication à priori assez mauvaise et des options limitées (sans fil / BT etc.). Si on ajoute qu'il faut souvent faire un x2 pour en avoir un à la maison et un au bureau c'est justifiable professionnellement mais objectivement ça devient n'importe quoi.

Je suis arrivé à la conclusion que le typematrix est le seul compromis a peu prêt abordable. Mais même là les prix en France on grimpés de ~20%. On arrive a 120 euros pour un clavier à fil, non mécanique, qui ne résoud pas tous les problèmes et dont l'espérance de vie ne semble pas folle.

Accessoirement, une petite boîte gère tout son code sous Perforce en mode trunk dev siouplé

Google n'utilise plus perforce depuis un moment. Ils ont tout réécrit maison sous le nom de code Piper dont peu de détails ont fuités en dehors de quelques Google Tech Talks et de la présentation @Scale 2015 sur leur approche qui est l'orgine de l'article que tu cites.

(ca c'est pour les afficionados des PR ala Githhub/Bitbucket/Gitlab):

Dans l'idée, le processus de Google est assez proche des PR. Lorsqu'un patch est soumis pour code review, le pre-commit s'occupe de faire passer tout l'outillage sur trunk + ton patch (CI, TU, analyse statique etc.), puis review par le maintainer du module, puis intégration du patch.

Si l'outillage est maison, la dynamique est très semblable.

Tiens, un fan boy ;-)

Je n'aime pas Apple, n'ai pas de macbook / mac / iphone et garde une mémoire très bof des macbook de ~2010.

Je ne compare juste pas des choux et des carottes (neuf VS occase & configuration similaire)

Et oui, 90% des X et T que tu trouves en occase ont des écrans dégueulasses qui étaient déjà mauvais avec des critères de 2010.

Après, libre à certains d'acheter une machine volontairement fermée et non évolutive

C'est aussi le résultat de la course à la finesse.

Ça arrive chez Lenovo avec les X1, Yoga & co ou tout est soudé et ça va finir par arriver sur le reste de la gamme.

avec un SSD soudé sur la carte mère et des firmwares signés pour empêcher l'installation d'un autre OS.

Depuis le T450 Lenovo whitelist certains composants dans le firmware aussi :(

Bref personnellement je partage tes critères, mais je reste un peu objectif.

Écran HD, mais de définition raisonnable.

C'est juste une honte que Lenovo continue a mettre de 1366x768 TN sur des 14"

Ils commencent a arrêter leurs conneries en proposant des écrans correctes de manière de plus en plus large sur leur gamme. Mais combien de génération de T et X aura t-il fallu pour ne pas voir l'IPS réservé à une version spécifique. On bascule enfin sur du FHD en mini aussi…

Acheté sur ebay sans OS, pour environ 600€. J'ose à peine imaginer le prix d'un équivalent en Mac book…

Pour être un peu honnête:

• Y'a pas de macbook avec un écran aussi dégueux
• Tu ne comparerais pas prix catalogue pour l'un et prix d'occasion de l'autre ? Non pas ce qu'un T460 bien équipe tu fais x3 sur ton prix

Après oui tu trouves des séries T pour pas trop cher en occase et ça fait de bonnes machines ou il reste un petit peu d'évolutivité (mais de moins en moins). Un T450s 12GB, 128SSD, écran FHD IPS est parti hier à 530 euros par exemple.

tout réécrire, c'est se tirer une balle dans le pied

Très pertinent, surtout quand on parle de Firefox, qui est né sur les cendres de Netscape, et qu'on n'a pas la mémoire trop courte

http://www.joelonsoftware.com/articles/fog0000000069.html

Perso, je ne peux qu'être d'accord et je ne compte plus les projets de réécriture de zéro auxquels j'ai participé et qui ont presque toujours mal fini.

De plus webkit est loin d’être la solution idéale techniquement parlant en référence à sa complexité exagérée — quiconque l'a déjà compilé comprendra.

On peut juger de la complexité de quelque chose en le compilant ?

Bon je te l'accorde, on doit pouvoir juger hâtivement un bout du système de build et encore.