damaki a écrit 385 commentaires

  • [^] # Re: Autres retour d'expérience : 2 utilisateurs, synchro calendrier et contacts

    Posté par  . En réponse au journal Retour d'expérience Nextcloud. Évalué à 2. Dernière modification le 27 décembre 2017 à 09:18.

    Merci, j'avoue que je n'avais pas poussé la réflexion jusque là. Je n'avais pas non plus trop fait attention aux fonctionnalités de recherche et de métadonnées inclues dans Nextcloud.
    J'en viens à me poser des questions sur la sécurité des métadonnées des fichiers quand on active le chiffrement. Ça n'a pas l'air trop documenté, je crois que je vais jeter un coup d'oeil à leur modèle en base.

    Je vais revoir ravaler mes complaintes, Nextcloud inclut le chiffrement end-to-end depuis septembre. Faut que je teste ça.

  • [^] # Re: Verrouillage de fichiers et script cron

    Posté par  . En réponse au journal Retour d'expérience Nextcloud. Évalué à 2.

    J'avais eu la réponse dans ce sujet de l'aide. J'avais utilisée la solution bourinnissime décrite .
    DELETE FROM oc_file_locks WHERE 1;
    Vu la tronche de la requête, c'est à utiliser avec modération. C'est probablement plus malin de regarder si la valeur dans la colonne TTL a expiré.

  • # Autres retour d'expérience : 2 utilisateurs, synchro calendrier et contacts

    Posté par  . En réponse au journal Retour d'expérience Nextcloud. Évalué à 3.

    Je n'ai pas du tout la contrainte de haute disponibilité, donc mon install est beaucoup plus simple. J'utilise un VPS d'OVH pour faire tourner. On utilise principalement la synchro des contacts et des calendriers, un peu moins le stockage de fichiers. Je n'ai relevé aucun souci de perf sur ce modeste environnement et pas de problème d'erreurs.
    Comme dit ci avant, j'ai mal lu la doc et j'ai oublié la mise en place du cron initialement, donc ça m'a verrouillé tous mes fichiers. Mais ça a vite été résolu, avec une recherche.

    Voici les défauts que j'y trouve :
    - chiffrement/déchiffrement côté serveur. C'est une limitation de sécurité que je trouve hallucinante en 2017. Par contre, dans un contexte pro l'avantage est certain ; l'administrateur peut avoir une clé de déchiffrement de secours qui permet de déchiffrer les fichiers de tous les utilisateurs si besoin est
    - côté administration système, ça n'est pas une bonne pratique de pousser autant les mises à jour par le site lui même. Ça suppose que le site ait le droit d'écrire dans les dossiers du site et ça ouvre le serveur de façon béante en cas de faille de sécurité. A noter qu'un outil en ligne de commande est aussi fourni pour mettre à jour. Je n'ai pas vu si on peut aussi installer ou mettre à jour les plugins en ligne de commande.

  • # Verrouillage de fichiers et script cron

    Posté par  . En réponse au journal Retour d'expérience Nextcloud. Évalué à 3.

    Pour l'histoire d'impossibilité de modifier, supprimer ou déplacer des fichiers, c'est le système de verrouillage de fichiers qui est en cause. La solution est normalement le job cron.

    Je n'arrive ceci dit toujours pas à comprendre pourquoi ce qui me semble être un contournement misérable est obligatoire.

  • [^] # Re: Pourquoi avoir une base de donnée ?

    Posté par  . En réponse au journal Coffre numérique.. Évalué à 1.

    Comment fais tu pour changer un mot de passe ? (X s'est fait trouer ou simplement rotation régulière forcée ou souhaitable)

    A part si tu change ton mot de passe master, et donc tous ces autres mots de passe, aucune solution. Ça peut donc être utile d'avoir deux ou trois mots de passe master et de tester les mots de passe générés séquentiellement.

    Mais la question qui me gêne le plus : comment je fais pour supporter les contraintes de complexité des mots de passe qui varient du tout au tout suivant les sites ? Genre pas le droit aux caractères spéciaux (/_){}, et maximum 16 caractères, ou d'autre systèmes débiles que j'ai pu voir sur certains sites.
    Eh bien c'est impossible par design, vu que ça ne peut générer qu'un type de mot de passe. Échec complet ce qui rend ce soft inutilisable dans la vraie vie.

  • [^] # Re: Pourquoi héberger en ligne sa base de mots de passe ?

    Posté par  . En réponse au journal Coffre numérique.. Évalué à 2. Dernière modification le 22 décembre 2017 à 12:15.

    Tu pourrais détailler ? En passant par l'interface web + https ce n'est pas assez pour sécuriser le flux entre ton infra maison (de confiance donc) et le pc tiers que tu utilises ?

    Comme dit dans un autre de mes messages, NextCloud déchiffre les fichiers côté serveur, pas côté client. Donc le code PHP manipule joyeusement une variable $password qui contient le mot de passe de l'utilisateur actuellement connecté. Les fichiers sont chiffrés sur le disque, mais ça ne sert à rien vu que si on peut modifier le code PHP du serveur on peut récupérer en clair les mots de passe des utilisateurs.
    Je cherche plutôt une alternative Open Source à MEGA qui me permettrait de déchiffrer mes fichiers dans le navigateur et non pas sur le serveur.

  • [^] # Re: bancs publics

    Posté par  . En réponse au journal Coffre numérique.. Évalué à 1. Dernière modification le 22 décembre 2017 à 12:09.

    Les clés USB sont chiffrées avec VeraCrypt. Et je considère que la probabilité qu'une clé USB chiffrée correctement soit déchiffrée est largement inférieure à la probabilité qu'un serveur Nextcloud soit compromis. Nextcloud a un problème de sécurité connu ; les mots de passe des clients transitent en clair côté serveur.
    Donc tant que je n'ai pas un équivalent open source à MEGA (dépôt de fichiers en arborescence avec chiffrement côté client), j'évite de mettre tout et n'importe quoi en ligne.

  • # Pourquoi héberger en ligne sa base de mots de passe ?

    Posté par  . En réponse au journal Coffre numérique.. Évalué à 4. Dernière modification le 17 décembre 2017 à 11:54.

    Héberger en ligne, c'est quand même l'exact opposé de la sécurité. Je m'étais posé la question d'héberger en ligne ma base de mots de passe Keepass (ou d'utiliser une solution en ligne) et j'ai finalement laissé ça de côté, pour raison de sécurité. Je changerai peut-être d'avis un jour si Nextcloud fournit un jour une solution de chiffrement/déchiffrement côté client.

    Ma solution de stockage, c'est d'avoir plusieurs copies de ma base de mot de passe hors-ligne et d'utiliser la solution de synchronisation de bases de mots de passe intégrée à Keepass.
    J'ai donc ma base de mots de passe intégrale hébergée sur :
    - deux clés USB chiffrées (j'ai tendance à les perdre dans la nature)
    - mon fixe, sur une partition non chiffrée
    - mon laptop, sur une partition chiffrée
    J'ai aussi une copie partielle sur mon mobile, avec le strict minimum de mots de passe mais surtout sans aucun mot de passe critique (boîte mail, auth google, etc…). Je saisis les rares mots de passe critiques à la main sur mon mobile.

    La synchro manuelle n'est pas si contraignante que ça vu que je crée au final grand max 3 mots de passe par mois.

    Alors oui, je sais que la base Keepass est chiffrée, mais ça n'est pas une excuse pour la laisser traîner en ligne.

  • # Plugin nextcloud presque dans le même genre

    Posté par  . En réponse au journal Taliesin, serveur de streaming audio. Évalué à 1.

    Pour les feignants qui auraient déjà un serveur Nextcloud sous la main, il y a un plugin pour streamer de la musique directement dessus. Mais c'est juste du streaming sans transcoding.

  • # Optimisez la clarté de votre code !

    Posté par  . En réponse au journal Optimisez votre code !. Évalué à 10.

    L'optimisation de la vitesse du traitement, c'est bien, mais la base de l'optimisation, c'est de ne jamais commencer par l'optimisation. Déjà, faire du code clair et modulaire, ça permet en moyenne de s'assurer que l'optimisation sera moins complexe car plus localisée.
    Ensuite, on ne doit optimiser que ce dont on peut mesurer la performance. Si vous n'arrivez pas à prouver quel bout de code, SQL ou quoi que ce soit est lent, faut pas se lancer dans l'optimisation. D'abord il faut ajouter des mesures de performance, puis si on se rend compte que la granularité des mesures est insuffisante, en mettre encore plus et enfin seulement optimiser.
    Enfin, l'optimisation, ça n'est pas juste un travail de développeur, c'est aussi un travail d'administrateur système, d'administrateur réseau et de DBA. Le code n'est pas la seule source de lenteur ou de performances non déterministes.

  • [^] # Re: rééducation visuelle

    Posté par  . En réponse au journal Je suis hypermétrope. Évalué à 4.

    Ce conseil n'est pas du tout une bonne idée dans la plupart des cas.
    Si vos lunettes ont une grande différence de correction entre les deux yeux, vous allez fatiguer très nettement votre œil le plus fort et sous-utiliser l’œil le plus faible, ce qui peut favoriser des problèmes de convergence. Si vos deux yeux ont une correction identique, c'est déjà moins gênant, mais ça fatiguera quand plus votre œil dominant.

  • # Avis indirect

    Posté par  . En réponse au journal Je suis hypermétrope. Évalué à 2.

    Bonjour,
    Dans mon cas, j'ai observé et discuté des effets de l'opération chez 3 personnes différentes. Une fois par coup de bistouri, il y a eu une légère erreur dans la correction de la myopie et la personne devait utiliser des lunettes de temps à autres, mais pas d'autre inconvénient après des années. Le deuxième a eu une correction complète par laser, myopie aussi, et aucune conséquence spéciale. Le troisième, myopie également et correction au laser complète sans souci.
    Les témoignages étaient 4 ans après l'opération, juste après l'opération puis pendant 2 ans et enfin 5 ans après l'opération.

    A noter que si vous êtes patient, en cas de cataracte, on sait désormais mettre un implant qui corrige les défauts de la vue, que ce soit myopie, hypermétropie ou même presbytie. J'en avais entendu parler sur le blog d'un photographe pro et il est toujours hyper content de son implant après 5 ans.

  • [^] # Re: Je ne suis pas sûr que tu aies bien compris

    Posté par  . En réponse au journal Après l'UEFI, la VBS. Évalué à 2.

    Quand ton environnement cible en production est sous Linux, c'est quand même beaucoup plus simple d'avoir au moins une VM en local pour tester voire développer. Même le sous-système Linux pour Windows ne remplace pas une vraie VM, ou un conteneur si c'est votre préférence.
    Après oui, s'évader de Windows est un peu exagéré.

  • [^] # Re: Docker fourre-tout ?

    Posté par  . En réponse à la dépêche L’application « OnlyOffice pour Nextcloud » est disponible. Évalué à 5.

    Ça a l'air d'être documenté là bas.
    Et sinon +1 contre docker dans le cadre de petites prods. J’abhorre le concept d'utiliser une vm (vous pouvez appeler ça un container, si ça vous chante) non signée et créée par de parfaits inconnus, sur ma prod ou même dans ma machine de test, mais en plus devoir me fader le téléchargement de centaines de mégas sur ma connexion pourrave, juste pour tester, non merci.

  • [^] # Re: cegid ?

    Posté par  . En réponse à la dépêche Développement très rapide d’applications libres : Extended Man/XML Frames. Évalué à 2.

    Dans les petites boîtes par lesquelles je suis passé, je te garanti que c'est aussi compliqué. On considère implicitement que l'innovation doit venir des commerciaux, de la MOA, des architectes où du pôle R&D (1 personne). Toute innovation venant du bas de la chaîne a tendance à être de base mal considérée, même si on s'applique à démontrer un impact business positif ou pire à démontrer l'impact négatif par rapport à la concurrence de ne pas le faire. Pire, l'innovation technique est mal vue dans des boîtes qui pourtant se vantent d'être à la pointe (IoT et compagnie) parce que c'est toujours trop cher.

  • # Assets copié-collés

    Posté par  . En réponse à la dépêche Mr.Boom version GNU/Linux. Évalué à 8.

    Il y a beaucoup plus urgent que de réécrire le code converti depuis l'assembleur, si on veut le pérenniser : les graphismes volés de Super Bomberman 3 (les bombers, les montures, les bombes et les items) sont beaucoup plus dangereux sur le long terme.
    Bref, si le jeu vous plait, clonez vite fait le repo et virez tout ça parce qu'il pourrait ne pas faire long feu du tout.

  • [^] # Re: "Le JSON, c'est pour les hipsters"

    Posté par  . En réponse au journal Tous les parsers JSON sont mauvais. Évalué à 2.

    but may be elsewhere in the file depending on the exact syntax problem.

    Je tombe souvent sur ce cas là :'-(

  • [^] # Re: HS CSV

    Posté par  . En réponse au journal Tous les parsers JSON sont mauvais. Évalué à 1. Dernière modification le 23 octobre 2017 à 16:19.

    Ok, donc on peut parser le CSV qu'on me file qui est forcément en win1252, séparé par des tabulations, avec des retours de chariot windows, avec les tabulations échappées par des doubles quotes, en omettant les champs de fin de ligne comme Excel et avec des champs vides signifiants null avec mon parser CSV qui ne lit que l'UTF-8, séparé par des points-virgule avec des retours de chariot de mac, des points virgule échappés par des \, où les champs vide signifient chaîne vide et qui part du principe qu'on a forcément toujours 10 champs, c'est supposé passer.

    Le CSV n'est pas un standard, c'est un meta-standard. A moins qu'on te file la description complète du format de CSV qu'on le file, tu ne peux que très très difficilement deviner comment le parser. La dernière fois que j'ai bossé sur du CSV, on du aller jusqu'à sortir des heuristiques pour détecter le charset et se protéger des caractères \0 fournis au pif en plus du caractère de fin de ligne par certains de nos clients.

  • # La récursion serait le seul problème ?

    Posté par  . En réponse au journal Tous les parsers JSON sont mauvais. Évalué à 2.

    Si on enlève la récursion dans le code, ça ne résout pas totalement le soucis. On met alors plus de temps à atteindre la limite, puisque c'est la taille max de la pile de stockage du chemin vers le nœud actuellement traité, mais la limite existe toujours.
    J'ai un peu de mal à comprendre cette fixation sur ce point, alors que les parseurs json ont des points d'incompatibilité plus gênants que ça. J'sais plus avec quel parseur c'était, mais j'ai souvenir des champs mis volontairement à null virés de l'arbre en mémoire, parce qu'allez vous faire voir avec les standards.
    Avec en entrée

    { "toto": null }
    

    ça donnait en sortie :

    {}
    

    Il fallait alors activer un flag pour être compatible avec le standard.
    Sans parler des fonctionnalités utiles mais pas dans le standard pour des raisons dogmatiques, comme les commentaires. Vu que c'est pratique, forcément, il y a des parseurs qui l'intègrent. Et quand on tombe sur un autre parseur pas compatible, on déchante.

    Ceci dit, ça reste toujours moins pire que le CSV qui est l'absence totale de standard.

  • [^] # Re: "Le JSON, c'est pour les hipsters"

    Posté par  . En réponse au journal Tous les parsers JSON sont mauvais. Évalué à 8.

    Les parseurs yaml sont pas dans un état fou non plus. Celui utilisé par ansible, par exemple, ne sait toujours pas te dire précisément la nature et l'emplacement d'une erreur de syntaxe. Tout comme dans pas mal de parseurs json, d'ailleurs. En XML, ça marche à tous les coups.
    J'me souvent ce temps rigolo où le simple fait de mettre une tabulation dans un yml faisait péter un plomb au parseur en java et t'indiquait pas l'emplacement de l'erreur. Les mainteneurs comprenaient pas pourquoi c'était un problème. C'était la bonne ambiance.

  • [^] # Re: Utilité des plateformes génériques ?

    Posté par  . En réponse à la dépêche Un petit état des lieux des plates‐formes IoT FOSS. Évalué à 1. Dernière modification le 20 octobre 2017 à 09:59.

    Merci de vos éclaircissements.

    En complément d'information pour les gens, parce que ça n'est pas forcément explicite sur le site et mis en avant dans la doc, le côté client et embarqué est expliqué dans Using Kaa endpoint SDKs.

  • # NesPI

    Posté par  . En réponse au journal Raspberry Pi et vintage. Évalué à 3. Dernière modification le 19 octobre 2017 à 19:20.

    Dans le genre pseudo Lego et rétro, pour 35€ frais de port inclu il y a le NesPI.

  • [^] # Re: Vérification

    Posté par  . En réponse au journal RAID is no Backup!. Évalué à 1.

    --checksum avec rsync

  • [^] # Re: go 2.0

    Posté par  . En réponse au journal Pourquoi la recherche en langages de programmation ?. Évalué à 2.

    Absolument. Go 1 ne part pas du tout de la recherche en langages mais du vécu des langages existants. Go 1 part du principe que continuer à faire tout ce qu'on fait actuellement en C, c'est douloureux, c'est complexe et qu'on a souvent aucune autre bonne raison que "le compilateur est dispo partout". Un autre principe est que la programmation orientée objet ajoute de la complexité et de l'imprévisibilité. Et pour finir, il y a des outils pour la concurrence de processus, prévus de base, parce que c'est toujours pénible à gérer à la main.

  • [^] # Re: Contiki ??

    Posté par  . En réponse à la dépêche Un petit état des lieux des plates‐formes IoT FOSS. Évalué à 1.

    En vrai c'est un peu un mix des deux dans le document. Ce qui n'est pas idiot, puisque trouver les stacks clientes n'est pas toujours évident.