GeneralZod a écrit 2316 commentaires

> A priori il y a Scala pour ça!

Je connais pas du tout Scala.

> Et sa portabilité (cross compilation chiante pleine de ifdef vs copie d'un jar), ses IDE et Maven...

Bof, si on fait du C++ standard + Boost ou qu'on utilise un bon framework (Qt, Gtk+), la cross-compilation se fait pas trop mal (C++0xA apporte le support de stdint.h ce qui améliore les choses). D'un autre côté, avec Java, faut s'assurer de l'existence de la VM sur la cible, que les paths ne soient pas cassés (c'est un vrai casse-tête d'empaqueter proprement certains logiciels Java à partir des sources *ET* sans jar précompilés autre que ceux présent dans le système).

Maven, je ne le regrette pas spécialement, CMake, Waf font très bien leur boulot.
En revanche, pour les IDE, un regret, le support de la documentation en ligne et de la complétion qui est excellent. QtCreator se rapproche de ce que devrait être un bon IDE C++, mais c'est spécifique à Qt (pour le moment), et quelques petits trucs. Sinon GNU Emacs me convient parfaitement, sans le côté usine à gaz (tant pis pour les 8 Mo et le swap que je n'ai pas !)

> regarde juste la majorité des pojets qui l'utilise...

la plupart utilisent un idiome désuet et antérieur à la norme C++98, ils n'ont qu'à apprendre à coder dans un idiome du XXI siècle ...

> débordement de mémoire, point non initialisé et cie

En C++ "moderne", on évite au maximum les pointeurs, pour celà, il y a les références, les conteneurs, diverses abstractions des pointeurs (itérateurs, pointeurs habiles, etc ...) et également le RAII !

Le C++ moderne n'est pas aussi compliqué que Java, et propose des alternatives élégantes à la gestion mémoire via un garbage collector.
Certes Java a une syntaxe plus simple que C++, mais ça se paie en fonctionnalités (les generics sont du sucre syntaxique qui n'ont qu'un rapport lointain avec les templates C++) et en performances (par exemple, en Java, toutes les méthodes non final sont virtuelles)
Le seul truc que C++ peut réellement envier à Java, c'est sa bibliothèque standard qui est très riche. Néanmoins, des frameworks comme Qt offrent des alternatives toutes aussi puissantes et gomment certains aspects rugueux de C++ (notamment la syntaxe des signaux/slots bcp plus digeste que la version C++ standard à base de templates - Cf Boost.Signal ou libsigc++).

> c'est souvent un des premiers langages enseignés

Et très souvent mal enseigné dans le cas de C++. Idem en Java, même si la difficulté est moindre.

> performant, des bench démontre qu'il peut arriver à des performances comparable à du c, c++ et même les dépasser lors de certaine occasion,

ça suppose de bien connaître Java, et pas de pisser du code en croyant maitriser Java
La très grande majorité des développeurs Java ne comprennent pas le fonctionnement de Swing d'où des IHM pauvres, lentes et moches (Pour ceux-là, je recommande le bouquin de Romain Guy et de Chet Haase "Filthy Rich Clients")

Mono est libre, Mono est protégé par OIN (grâce aux brevets des services web fournis par Novell entre autre).
L'article est écrit par une personne qui utilise Ubuntu, Ubuntu qui promeut les pilotes propriétaires (ce qui est autrement pire que Mono), qui installe Mono par défaut, qui jusqu'à peu utilisait une version de FreeType avec le support d'algorithmes *brevetés* (finalement désuets fin 2009), etc ... Bref, c'est un ramassis de merde écrit par un anti-mono primaire.
Bref, ne pas aimer Mono/Java & cie parce que ça bouffe les perfs, je conçois, si c'est pour jouer au puriste du libre, autant installer une distro FSF compliant (ou bien qui reste dans cet esprit-là)
http://www.gnu.org/distros/free-distros.fr.html

Au lieu de pleurnicher "Mono gnagnagnagna", soit vous utilisez autre chose, soit vous programmez une alternative.

Gabriel Burtz est certes l'auteur de PdfMod, mais il n'est pas l'auteur de Banshee (qui n'est autre que l'actuel mainteneur Aaron Bockover son collègue chez Novell), ni de F-Spot (le regretté Ettore Perazzoli) dont il fut un des mainteneurs.

Sinon, le paquet est en cours de revue chez Fedora.

> Mercury
Mercurial merci de ne pas déformer le nom du meilleur DVCS au monde (c'est vendredi quoi !)

Tu sais lire ? Je ne l'ai pas inventé le fait que Sun ait volontairement choisi une licence incompatible avec la GPL, hein c'est Danese Cooper qui a créé puis dirigé la division open source de Sun qui le dit ... Après, tu n'as qu'à regarder la vidéo de son discours au debconf 2006, pour t'en convaincre:
http://meetings-archive.debian.net/pub/debian-meetings/2006/(...)

> Le fanboy va aussi nous expliquer que les batteries Apple ne prennent jamais feu ou ne gonfle jamais

le "fanboy" n'achète plus de machines Apple puisqu'elles nécessitent de pilotes propriétaires sous GNU/Linux. C'est mon expérience personnelle, tout les portables Apple que mon entourage et moi avont achetés se sont révélés robustes. Je comptais pleins de geeks qui sont encore très contents de leur iBook G4 12" (ça c'était du portable de qualité).

Effectivement, pour la coque fendillée hors garantie, je m'attendais à ce qu'Apple ou le partenaire (à qui je n'ai pas versé un centime) me fasse des difficultés. Au final, j'ai juste eu à présenter le portable, à prendre un bon pour le récupérer, c'était réglé en moins de 10 minutes et j'ai récupéré le portable en fin de semaine. Si j'avais du passer par le SAV de DELL pour les particuliers, j'aurais dû galéré au moins une bonne semaine pour les convaincre, et je ne l'aurais pas revu avant au moins deux autres semaines si ce n'est pas plus. Certes le SAV pro de DELL est très compétent, mais t'as pas affaire aux mêmes gars pour les particuliers.

Je n'ai jamais rencontré le problème des batteries en question, mais je te ferais remarquer qu'il provenait du fournisseur Sony et qu'il a frappé quasiment tout les vendeurs de portables (Dell, HP, Fujitsu, Sony, etc ...)

http://news.softpedia.com/news/Sony-Exploding-Batteries-Chro(...)

Et il marche comme un charme, les seuls soucis:
* capot fendillé au bout de 2 ans: remplacé gracieusement par Apple hors garantie.
* batterie cassée: ça c'est moi qui a fait une chute, en voulant grimper au premier étage.

J'ai également un iBook G4 vieux de 5/6 ans qui fonctionne tout aussi bien excepté la batterie d'origine qui est usé.

Fallait juste pas acheter de la merde.

Sinon, je suis d'accord que si on n'a pas besoin de portabilité et de puissance, autant se tourner vers les mini-PC ou les netbooks/tablettes. C'est moins cher, et plus robuste dans le cas des mini-PC.

La différence, c'est que Sun a volontairement choisi une licence incompatible avec la GPL pour distribuer ZFS pour des raisons discutables.

http://en.wikipedia.org/wiki/Common_Development_and_Distribu(...)

> ca sert a quoi si le distrib est dans un etat tel qu'elle est inutilsiable par le pekin moyen ?
FUD

> Personne ne deploie Fedora comme desktop en entreprise, quasiment personne n'a Fedora a la maison(hein, qui a dit Ubuntu ?).

Il y a 3 mois, j'ai aidé un gars sur un déploiement de Fedora 12 sur 1200 postes de travail pour un marché public. Le plus ancien que j'ai en tête, c'est 3000 postes de travail sous Fedora 7 au Mozambique au ministères des finances. Et je ne mentionne pas OLPC qui a dépassé 1/1.5 millions de machines et dont l'OS est édité par Fedora.
http://wiki.laptop.org/go/Deployments

Pour te donner une idée, on recense près de 2 millions de machines distinctes sur smolts.org (par défaut, smolt est désactivé). D'après le popcon d'ubuntu, libacl1 a été installé 1601017 fois (c'est le paquet le plus installé).
http://popcon.ubuntu.com/
Et si on comptait le nombre d'utilisateurs comme Canonical le fait c-a-d en se basant sur le nombre d'IPs uniques, on pourrait revendiquer 22 millions d'utilisateurs.
http://www.linuxplanet.com/linuxplanet/reports/7032/1/
http://fedoraproject.org/wiki/Statistics

Si on voulait des stats précises et tirer des conclusions, faudrait que Canonical nous file les sources et la méthodologie d'estimations. Pour fp.o, elles sont librement disponibles (notamment pour le lobbying, ça permet de présenter des données fiables aux industriels et aux officiels).
La seule chose que l'on puisse conclure c'est que Fedora n'est pas partie négligeable par rapport à Ubuntu au niveau mondial.


> Les chiffres parlent d'eux-memes et son publiques : IE a bcp moins de failles que Firefox, idem pour .Net face a Java

Ça ne compatibilise que les failles rendues publiques, ça ne tient pas compte de la gravité de la faille et pire encore du délai pour corriger la faille. Là, ce serait nettement moins avantageux pour IE.

> Non c'est pas necessaire, ca ameliore les choses mais c'est pas necessaire

Tu admets que sans la présence de NX, l'ASLR n'est pas activable dans Windows et que ce n'est pas disponible pour tout les processus y compris ceux du système.

> parce que exec-shield et PaX c'est bien beau mais si la plupart des distribs ne les utilisent pas ca sert pas a grand-chose.

J'utilise une distribution avec ASLR depuis plus de 6 ans, RHEL le propose depuis au moins 3 ans. Debian fournit les patch exec-shield, GrSecurity et PaX via des paquets pour leur kernel (en même temps, Debian un spectre très large). Là, où je te rejoins, c'est que beaucoup de distributions ont une attitude trop laxiste vis à vis de la sécurité.

> Parce que Fedora Core c'est une version publique maintenant ?
T'es ridicule, ne fais pas celui qui comprends pas.
C'était bien évidemment, version disponible au public par opposition aux alphas, bétas et autres bestioles de cet acabit.

> Non, Fedora ca n'a jamais ete concu pour le grand publique, juste comme une beta de RHEL
Du point de vue de Red Hat peut-être (et encore une minorité au sein de Red Hat), mais Fedora repose sur un partenariat avec la communauté (qui représente quoi ? 3/4 des contributeurs et qui de fait dirige la distribution). Depuis près de 3 ans, Fedora s'est émancipé du contrôle de Red Hat pour devenir une distribution communautaire de plein droit.
Fedora ne vise pas à être la distribution universelle comme Debian mais à faire avancer le logiciel libre et à le rendre accessible aux plus grand nombre.

> Ce qu'on fait en interne, ca n'a pas grand-chose a voir avec les beta

Je me doute bien que dans les labos, on est nettement plus avancés que ce que l'on distribue aux testeurs. Néanmoins, la première version de "test" à l'avoir inclus est la béta 2.

> Ce que tu oublies de realiser c'est qu'avant Vista il y avait des methodes non-MS d'avoir ASLR sur Windows 2000 notamment.

les mots clés sont non-MS, tu disais que Microsoft avait une longueur d'avance niveau sécurité et là, tu nous sort que vos partenaires vous ont précédés.

> Du grand n'importe quoi, ASLR n'a absolument pas besoin de NX, ca sert simplement a changer l'endroit ou sont chargees les librairies.

L'implémentation de Microsoft requiert le bit NX, je ne l'ai pas inventé. Après, est-ce que effectivement, ça fonctionne sans, peut-être, mais c'est un pré-requis pour l'activer.
http://www.eweek.com/c/a/Security/Windows-Vista-Randomizatio(...)

However, for randomization to be effective, DEP/NX (Data Execution Prevention/No eXecute) must be enabled by default.

> Vraiment ? C'est rigolo parce que niveau failles Firefox est de loin pire qu'IE, Java est bien pire que .Net, Flash et Acrobat j'en parles meme pas, etc.

Je veux bien reconnaitre que Flash, Adobe sont des nids à merde, je serais moins catégorique entre Java et .Net (pourtant, en tant que développeur, je préfère Mono à Java).
Par contre, affirmer que Firefox est pire qu'IE est risible à souhait

> Mature ? Haha, il dit simplement que l'entropie pour l'emplacement des libs est un peu moindre que PaX pour des raisons de perf et fragmentation de l'espace d'addressage, visiblement tu ne comprends meme pas ce que tu lis.

Tu souffres de malcomprenance ou tu fais exprès ?

> Et il ne parle que de PaX, pas de exec-shield qui lui a moins d'entropie que PaX lui aussi.

PaX est plus mature mais également plus complexe qu'exec-shield et ne fait que l'ASLR. Néanmoins, exec-shield est plus mature que l'ASLR microsoft et surtout activé pour tout les processus depuis 2003 alors que l'implémentation microsoft ne protége que certains processus.
Dire que PaX est plus mature qu'exec-shield, l'implémentation microsoft ou les autres est un peu redondant vu que c'est PaX qui a réalisé la première implémentation et qu'ils ont même forgé l'acronyme ASLR ...

> Bref, apprends en un peu sur le sujet avant de venir m'expliquer ce que c'est, juste un conseil

Je ne prétenderais pas en savoir plus que toi à ce sujet mais j'en sais suffisamment pour voir que tes arguments ne tiennent pas debout. Soit tu es de très mauvaise foi, soit tu es payé pour venir dénigrer les logiciels libres.

Dès le départ, il a été décidé qu'ext4 serait le dernier de la série, et qu'on passerait à un FS de nouvelle génération reposant sur le copy-on-write utilisé par ZFS et Btrfs (par opposition à la journalisation d'ext3/4). À l'époque, Btrfs était déjà présenti pour être le futur FS de Linux et ça semble se confirmer.
http://thread.gmane.org/gmane.linux.file-systems/26246/focus(...)

> L'installation en parallèle d'un RPM sur un groupe de machine, ça, ça n'existe nulle part ailleurs à ma connaissance...

C'est possible sous Fedora via Func qui permet de contrôler un groupe de machines, tu as une API Python et un utilitaire en ligne de commande.
https://fedorahosted.org/func/wiki

La puissance de l'afro à portée de n'importe quel administrateur système. :o)

> Tu n'as absolument aucune idee de quand on s'est mis a ASLR, et tu serais sacrement surpris si tu savais, bref, evites de raconter n'importe quoi.

Fear, Uncertainty and Doubt, tout les ingrédients sont présents.
La réalité c'est que fin 2003, Fedora Core 1 proposait déjà exec-shield (tu doutes qu'on a pas commencé à coder ça 2 jours avant la sortie), Microsoft ne l'a proposé dans une version publique qu'à partir de 2007. Et si mes souvenirs ne me trompent pas, ça n'existait même pas dans les versions béta de l'époque où Vista s'appelait encore Longhorn (donc ça n'est apparu qu'après 2005/2006).
Ce que t'oublie de dire dans ton FUD, c'est que la première implémentation de l'ALSR s'appelle PaX qui date de 2001. Quant à Microsoft, ils ne l'ont intégré qu'à partir de la béta 2 de Vista et c'était encore un "work-in-progress" à l'époque donc tu peux ranger tes conneries dans la boite à FUD. Et en plus, ça nécessite le bit NX (qui n'est apparu qu'en 2003 avec les premiers AMD64)
http://www.eweek.com/c/a/Security/Microsoft-Finds-Random-Way(...)
http://blogs.msdn.com/b/michael_howard/archive/2006/05/26/ad(...)

> Ah oui la belle methode, tu lui fais dire ce qu'il n'a pas dit.

pitoyable, c'est pourtant ce qu'il dit.

> Mais quel amas de conneries tu nous sors...
> Merci de bien nous faire rire hein !

Tu devrais te relire, parce que là, c'est énorme.


> C'est quand meme fantastique que tu essaies de nous sortir qu'une flopee de pontes en securite soient tous corrompus et mentent quand ils ne disent pas ce que tu veux entendre.

La réalité, c'est que sans les failles de sécurités sur pattes que vends ton employeur, beaucoup de ces experts en sécurité seraient au chômage. La réalité est qu'un poste de travail sous une distribution GNU/Linux est beaucoup plus robuste que son homologue sous Windows. Le nier serait malhonnête.

> Ca te ferait trop mal de reconnaitre qu'ils ont raison hein ? Mieux vaut chercher des excuses.

La réalité c'est que l'ASLR est arrivé sur le tard dans Windows et est loin d'être aussi mature que PaX et exec-shield. Hein, c'est un gars de Microsoft qui le dit.
http://blogs.msdn.com/b/michael_howard/archive/2006/10/04/al(...)
Tes excuses sont toutes plus minables les unes que les autres.

> C'est drole, parce qu'a peu pres tous les experts en securite disent le contraire.

http://www.oneitsecurity.it/01/03/2010/interview-with-charli(...)
http://news.cnet.com/8301-12640_3-9990465-91.html

Regardons, un peu ce que ces messieurs disent. Déjà, ils mettent en avant la randomisation de l'espace d'adressage, ça existe sous Windows depuis Vista (début 2007), sous OS X depuis 10.5 (fin 2007) et sous Linux et BSD depuis des années. Fedora proposait déjà exec-shield fin 2003.
Je veux bien croire que l'implémentation d'OS X soit plus faiblarde mais voilà, ça existait déjà et c'était déjà bien robuste sous GNU/Linux avant même que Microsoft n'ait commencé à écrire un bout de support de la randomisation.
Idem pour les segments de données non exécutables, c'est inclus dans exec-shield et OS X le propose dans la 10.5.

Linux is no harder, in fact probably easier, although some of this is dependent on the particular flavor of Linux you’re talking about.

Le mec dit que certaines variantes seraient plus facile à attaquer, c'est sûr que si je prends la version x.y de la distribution tartampion avec la faille bidule dans le logiciel machin en version z.p mais corrigé dans z.p+1 disponible dans les mises à jours. Du pipeau, encore du pipeau, toujours du pipeau.

Ils mettent en avant que Windows n'inclut pas par défaut Flash et Java, mouarf, et ils oublient bien rapidement .Net qui n'a rien à envier à Java de ce point de vue.


La réalité, c'est que Windows constitue pour la plupart le gagne-pain de ces pseudos-expert en sécurité et que ça leur ferait très mal au portefeuille que le public s'en détournent. Les failles de sécurité de Windows sont à elles seules la source d'une industrie florissante toute entière.

> Oh super, ils ont pique la fonctionnalite a XP SP2

J'ai pas souvenir que XP SP2 (au passage le dernier Windows que j'ai du utilisé quotidiennement) le fasse. Tu dois probablement parler du machin qui te prévient avant d'installer du code *depuis* le net, avant c'était fait silencieusement.

Je suis d'accord sur le fait que l'utilisateur soit le maillon faible, mais Windows n'aide pas. Sous *nix, tu as différents mécanismes pour limiter les dégâts.
Pour les humains, ça passe par la formation du personnel et l'utilisation d'outils adaptés si nécessaire.

> mais si un utilisateur clique sur une pièce jointe avec un .exe à la fin provenant d'un message en anglais de sa mère qui ne le parle pas, et bien le même cas sous Linux ou MacOs aurais eu les mêmes conséquences

OS X permet de mettre un fichier téléchargé en quarantaine, si tu cliques dessus, tu auras un message qui te préviendras que le fichier a été téléchargé etc ...

Je pense que cette décision concerne principalement le personnel non-technicien. Les techniciens auront toujours des machines sous Windows ne serait-ce que pour assurer le support de cette plateforme.

Windows étant la plus grosse faille de sécurité d'une machine sous Windows, il était logique de le supprimer là où des alternatives plus sûres sont présentes. C'est également l'occasion d'imposer en interne le nouvel OS maison.

Comme dit Linus If you need more than 3 levels of indentation, you're screwed anyway, and should fix your program.

En général, le code perl et PHP est nettement plus cryptique que son équivalent Python. AMHA, on peut trouver des contre-exemples mais ça demande beaucoup plus d'efforts.

Je te crois sur parole, perl et php sont certainement plus appropriés que Python pour faire de l'ascii art. :o)

L'important c'est que le code soit lisible, concis et fonctionnel, le choix de l'indentation pour définir les blocs dans Python aide grandement pour les deux premiers points.

> Désolé, cette indentation la con me donne des boutons
> PS: pour vous dire, je préfère encore coder un script en PERL ou en PHP cli plutot que de taper une ligne de code python....

Toi, t'es le genre à aimer le code pas lisible et imbitable.

> Ca ressemble un peu à un chroot amélioré, on parle de container.

Euh non, la virtualisation par conteneur implique tu utilises le même noyau, l'isolation se fait au niveau espace utilisateur. C'est nettement plus performant que la virtualisation par hyperviseur (full ou para) type Xen/KVM/VMWare, qui fait tourner un OS entier. Si tu veux faire de la virtualisation par conteneur sous Linux faut passer par des trucs genre OpenVZ ou LXC.

L'atelier LaTeX sera animé par Kévin Raymond, ambassadeur Fedora. Pour le reste, voici le programme:
http://asso.fedora-fr.org/wiki/Rencontres_Fedora_13_%C3%A0_P(...)

Juste une précision pour l'install-party Fedora, on propose également l'installation de version live sur clé USB (compter 1Go minimum, 2 Go si vous souhaitez la persistence des données et être à l'aise). Donc n'oubliez pas vos clés !

En même temps, faut pas être très malin pour attaquer *directement* une barbe fournie avec un rasoir. Le mieux c'est les bons vieux ciseaux ou une tondeuse.

Le module subprocess est apparu avec Python 2.4, ça fait bientôt six ans. La famille de fonctions os.popen* (mais également l'infâme os.system) est certes dépréciée mais elles ne sont supprimées qu'à partir de Python3.

Qu'est-ce qui t'agace ? D'avoir une interface unifiée pour lancer un processus ? Une interface tout aussi simple qu'avant mais plus robuste ?