Doit on laisser une société privée comme Google installer des blobs binaires, qui en plus utilisent le micro de la machine, dans un logiciel tel que Chromium ?
Vous avez 4 heures.
Doit on laisser une société privée comme Google installer des blobs binaires, qui en plus utilisent le micro de la machine, dans un logiciel tel que Chromium ?
Vous avez 4 heures.
# Commentaire supprimé
Posté par Anonyme . Évalué à 10. Dernière modification le 17 juin 2015 à 15:19.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Non !
Posté par finss (site web personnel) . Évalué à 5.
Ça manque d'arguments. 1/20 T'auras pas ton bac.
Vu ta belgitude, je me doute que tu t'en fous.
\_o<
# reproductibilité ?
Posté par eastwind☯ . Évalué à 1. Dernière modification le 17 juin 2015 à 15:30.
Je ne comprends pas cet argument, tel que la reproductibilité est possible via un blob binaire ?
Comment peut on recompiler qqch de non recompilable par définition du fait de la non distribution des sources (du fait de la licence propriétaire) ( les sources publics ne sont pas suffisante , elles ne correspondantes que pour les parties déjà publiés, quid du blob ) ?
de ce fait le hash serra forcément différent donc on ne peut qualifier cette situtation de reproducible build .
Enfin c'est ce qui me semble , sinon il me semble que les autres arguments me semblent à priori pertinent
[^] # Re: reproductibilité ?
Posté par Michaël (site web personnel) . Évalué à 6.
Il y a écrit reproducibly build it from public sources soit compiler de façon reproductible à partir de sources publiques et pas seulement compiler de façon reproductible.
[^] # Re: reproductibilité ?
Posté par eastwind☯ . Évalué à 3. Dernière modification le 17 juin 2015 à 15:44.
les sources publiques n'incluent pas les sources du blob binaire (par définition). La reproductibilité n'est possible que pour la patie des sources publiques et pas celles des blobs binaires. Donc ce n'est qu'une reproductibilité partielle , donc qui ne prennent pas en compte le blob donc la question de la reproductibilité est pas réellement pertinente car il est impossible de prouver cette partie , enfin je trouve.
[^] # Re: reproductibilité ?
Posté par RoyalPanda . Évalué à 4.
M'est avis que ce qu'il veut dire c'est que même si des sources sont ouvertes à posteriori et que ces dernières semblent donner le même résultat après compilation, rien ne dit que ce seraient bien les mêmes sources qui auraient permis de compiler ce blob en question. Enfin c'est ce que moi je comprends.
[^] # Re: reproductibilité ?
Posté par eastwind☯ . Évalué à 2. Dernière modification le 17 juin 2015 à 16:12.
Si les sources sont là et qu'ils permettent de recompiler , (y compris le blob binaire) , et que le hash est identique après recompilation, alors on a atteint la reproductibilité. Cela prouve que les sources fournies (et les fichiers afférents - tels que scripts de configuration pour la compilation etc … - ) correspondent effectivement au binaire , et cela du fait que le hash est identique (et non prévisible et non identique pour deux fichiers différents - donc problèmes des collisions réglés via des algo de hash plus puissant ).
Pourrais tu m'expliquer ton post, car je ne le comprends pas
[^] # Re: reproductibilité ?
Posté par Sufflope (site web personnel) . Évalué à 10.
C'est pas parce que tartempion développeur Debian de son état a vu son chromium DL un blob conforme aux sources, que des mecs avec des IP à Cupertino se feront pas servir un OK Google qui espionne les réunions malusiennes.
[^] # Re: reproductibilité ?
Posté par copapa . Évalué à 10.
Par définition de quoi ? Quand j'installe ma debian, j'installe des tonnes de blobs; et portant je pourrait la compiler de façon reproductible à partir des sources. Blob veut juste dire Binary large object (blob binaire est un pléonasme); ce qui ne me donne aucune information quand à la disponibilité publique ou non des sources ayant servies à le construire.
Ce que le monsieur sur le bug tracker veut dire c'est (à mon humble avis) :
Si jamais demain google décide de libérer (ou juste rendre lisible) le code (les sources deviennent publiques) et que oui on constate après recompilation que ce que Chromium télécharge correspond de façon reproductible (quand je compile dans telle configuration les sources devenues publiques, j'obtiens toujours exactement ce fichier téléchargé (il suffit de faire une correspondance octet-à-octet, osef du hachage)) c'est cool mais rien ne garantit que coté serveur il n'y a pas distribution d'un autre blob que celui habituel servi à la tête/nationalité/score dans la BDD PRISM/autre du client.
[^] # Re: reproductibilité ?
Posté par eastwind☯ . Évalué à 7.
effectivement tu as raison, je pensais au fait que la licence est propriétaire sur le blob. Ce qui me semblait la manière dont on nomme ces logiciels qui s'intègrent à du libre (n'est ce pas comme cela qu'on nomme les drivers binaires propriétaires qui sont chargé dans le kernel ? )
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 10.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: reproductibilité ?
Posté par eingousef . Évalué à 2.
https://en.wikipedia.org/wiki/Binary_blob
*splash!*
[^] # Re: reproductibilité ?
Posté par Michaël (site web personnel) . Évalué à 4. Dernière modification le 17 juin 2015 à 17:57.
Je pense que tu prends le sens de la phrase de façon beaucoup trop compliquée. Il dit que même dans le cas super favorable où on aurait des sources publiques permettant de reproduire le blob – je comprends “juste du code“ peu importe d'où il sort – alors on ne pourrait pas conclure que etc.
Si on relit le message d'avant (du même auteur) on comprend que d'après lui, le téléchargement n'est pas sécurisé, ce qui signifie que rien ne garantit que tout le monde reçoit le même blob binaire.
Il dit juste qu'on ne peut pas vérifier les téléchargements passés.
Ceci dit, si quelque chose n'est toujours pas clair, autant demander à l'auteur de ces lignes de clarifier sa positon. :)
[^] # Re: reproductibilité ?
Posté par khivapia . Évalué à 4.
Désinformation : le monsieur dit qu'il n'y a aucune garantie que du code malicieux ait été distribué à des personnes précises, il pose le problème à l'envers : le gros problème est qu'il n'y a aucune garantie que le code qui a été distribué n'est pas malicieux !
En sécurité informatique, tout ce qui n'est pas explicitement autorisé est interdit, ici c'est la même chose : tant qu'on n'est pas sûr que le code distribué n'a pas de problème, il faut le considérer comme problématique.
[^] # Re: reproductibilité ?
Posté par eastwind☯ . Évalué à 5.
je pense que c'est cela qu'il a voulu dire , étant donné le contexte du message
[^] # Re: reproductibilité ?
Posté par copapa . Évalué à 2.
Le problème est dans les deux sens et le monsieur a déjà mentionné ton axe en supposant qu'on arrive à garantir le comportement du code distribué soit via reverse engineering, soit par libération des sources. Ce qui est critiqué ici est le mode de distribution; l'intégrité du blob est-elle vérifiée ? Si non, est-il signé ? Est ce qu'au moins la communication pour récupérée ce blob est authentifiée et chiffrée ?
# Faux
Posté par gnumdk (site web personnel) . Évalué à -10.
C'est ce que je me suis dit en lisant le texte: FAUX
Fedora ne distribue pas Chromium.
[^] # Re: Faux
Posté par louiz’ (site web personnel) . Évalué à 1.
Et… alors… ?
C’est quoi le rapport avec la question ?
[^] # Re: Faux
Posté par gnumdk (site web personnel) . Évalué à -2.
Bien sûr, ça demande d'ouvrir le lien et de le lire…
[^] # Re: Faux
Posté par louiz’ (site web personnel) . Évalué à 5.
Si tu veux répondre à une phrase précise, faut la citer.
Et puis c’est encore une fois le coup du type qui fait semblant de pas comprendre le principe de l’hyperbole. Évidemment que c’est pas TOUTES. C’est une façon de parler.
(surtout que là c’est dans le sens « et MÊME SI elles le faisaient vraiment toutes, ça serait pas une raison pour nous de faire pareil »)
Bref, ça change strictement rien au message, qu’une distro ne propose pas Chromium dans ses dépôts officiels.
[^] # Re: Faux
Posté par ohm . Évalué à -2.
…mais elle distribue Firefox. =]
--
Envoyé depuis mon Firefox sous Fedora.
# merci pour l'info
Posté par Adrien . Évalué à 10.
Il est tout à fait salutaire de faire de la pub pour ce genre de comportement malsain. Si ça peut éviter aux développeurs de faire n'importe quoi…
Donc merci pour avoir sonné l'alerte sur linuxfr.
[^] # Re: merci pour l'info
Posté par Ramón Perez (site web personnel) . Évalué à 5.
ding, daing, dong !
[^] # Re: merci pour l'info
Posté par mansuetus (site web personnel) . Évalué à 10.
Oh! You touch my tralalala!
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 2.
Ce commentaire a été supprimé par l’équipe de modération.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.