Glandos a écrit 1251 commentaires

Oui, ça paie mieux les failles sur les appareils personnels, justement parce qu'ils sont… personnels. Ciblés.

Avec une telle faille, les États peuvent faire dans la finesse. Une faille sous Linux, c'est sympa, mais t'as pas forcément tout, par rapport à la faille iOS qui permet de transformer le téléphone de tel ou tel dissident en espion de ses activités. Et ça, c'est plus cher.

Oui, c'est très bien zstd, c'est rapide et suffisamment efficace. LZMA fait mieux, mais au prix de beaucoup plus de CPU.

Je reprochais, comme l'a deviné mon VDD, le manque de documentation :)

Utilisateur de longue date de borg (après l'arrêt de obnam), j'avais étudié restic, mais franchement, sans la compression, c'était pas top.

Là, ça parle de compression et… c'est tout. Ça dit juste qu'on peut mettre des niveaux de compression. D'accord, mais ça utilise quoi comme algorithme de compression ?

Même la pull request n'en parle pas. J'ai dû aller lire le code pour avoir la réponse : c'est du zstd.

Bon, je vais continuer à utiliser borg :)

Afin de vérifier votre identité et sécuriser votre achat de formation, nous vous invitons à suivre la procédure suivante. Ce contrôle d’identité effectué manuellement par nos services nécessite un temps de traitement d’environ quatre semaines.

Quatre semaines. Plus le temps d'envoi du recommandé, etc.

Ohoh, bien joué pour la procédure. C'est littéralement un non choix.

4 semaines d'attente, un courrier recommandé à recevoir, pour valider un achat.

Attention, ça pique :

Un smartphone Jolla, ça va pas. Un OS libre, ça va pas non plus. Bref, pour La Poste, le pré-requis, c'est de s'enchaîner.

Après la création de Gitea Ltd., un groupe de contributeurs a été déçu de la tournure des choses et considère le transfert de propriété comme hostile, tout du moins au regard de la gouvernance.
Ils ont donc fait une lettre ouverte : https://gitea-open-letter.coding.social/ Elle est resté lettre morte.

Ils sont donc parti pour faire un soft fork. Et donc changement de nom.

Ça vient de l'esperanto Forĝejo, ça se prononce forgéio pour les francophones.

La suite… est en cours sur https://codeberg.org/Forgejo

Je valide, ça marche chez moi. Bon, je sais pas pourquoi, j'attendais que offpunk me trouve un flux RSS sur https://www.service-public.fr/particuliers/actualites mais non, il a bel et bien disparu avec le nouveau site.

Va falloir que je me coltine un scrapeur pour RSS-bridge. J'ai comme pas du tout envie.

Welcome to Offpunk!
Type `help` to get the list of available command.
- is not a valid URL to go
ON> go https://www.service-public.fr/
ERROR4: <class 'requests.exceptions.SSLError'> : HTTPSConnectionPool(host='www.service-public.fr', port=443): Max retries exceeded with url: / (Caused by SSLError(SSLError(1, '[SSL: DH_KEY_TOO_SMALL] dh key too small (_ssl.c:997)')))

HTTPSConnectionPool(host='www.service-public.fr', port=443): Max retries exceeded with url: / (Caused by SSLError(SSLError(1, '[SSL: DH_KEY_TOO_SMALL] dh key too small (_ssl.c:997)')))

C'est pas vraiment offpunk le problème là, évidemment. Dans cURL, ça marche.

Mais mince quoi, un DH_KEY_TOO_SMALL c'est quoi le principe ? Le site vient d'être refait, il a pas besoin de marcher sous IE6/WinXP ou encore Opera/Wii…

Apparemment, ça fait 10 ans que Facebook/Meta développe son client/serveur de gestion de code source, initialement à partir de Mercurial.

J'y ai vu un but double :
- Les performances en dépôt monolithique (monorepo)
- Simplifier le travail quotidien chez Facebook

Sur le deuxième point, je sais pas, mais sur le premier… Microsoft a eu une meilleur stratégie : https://devblogs.microsoft.com/devops/introducing-scalar/

Scalar est distribué avec Git, point barre. En tout cas, Facebook est suffisamment gros pour maintenir son truc tout seul.

Le bon release manager, il voit du code, il fait une release, et c'est une bonne release tu vois ?

Le bon lecteur LinuxFR, il fait un commentaire, et c'est bon commentaire.

Se demander pourquoi ce qqun n'a pas mis autant ou moins dans Mastodon.

Je suis pas expert financier. Mais c'est certainement pas pour la qualité technique de Twitter :)

Je plussoie ce genre de solutions.
Un switch basique, c'est très bien. Quand on veut faire du managé, chez soit, finalement, un vrai ordinateur avec l'OS qu'on veut c'est mieux.

l'exemple donné me fait un retour en « Error 400 (Bad Request)!!1 » sur google.com

J'avais la même chose, mais des fois, on a la flemme de l'écrire… C'était pas hyper pertinent non plus.

fd=$(comm -13 <(ls /proc/$$/fd | sort) <(seq 255 | sort) | sort -g | head -1)

OK. J'ai appris un truc (surtout comm).

Par contre, ça en fait des forks:
- 2 sous-shell pour les arguments de comm
- 7 processus lancés pour avoir le fd
- 2 builtin (eval + exec) et 2 processus pour le duo requête-réponse. Mais ça change pas trop d'avant.

On va s'abstenir de lancer des perf stat là-dessus je crois :) En attendant io_uring_spawn en tout cas.

La vraie critique pour moi n'est pas sur le dév qui a pêché par excès de naïveté. Mais je m'accrocherais sur un autre passage :

If they need to buy a license, that's fine, that's part of their usual business. But supporting (or giving money away to) "free" software is almost impossible. It raises too many questions at every level of management. What is the accounting item it should be categorized to? Is there any legal implication? Who can approve it in the first place? And last but not least, why do they have to do it if it's available for free?

Je l'ai vu dans ma boîte. Tout le management achète des logiciels de merde (coucou McAffee), parce que justement, c'est payant. Y a une facture. Et ça, ça rentre dans le processus. Faire un don ça rentre pas.

Pourtant, je suis sûr d'un truc : si ma boîte prend un virus à cause d'une faille dans McAffee, elle pourra pas en tirer un rond. Pas plus que si elle avait donné des sous à ClamAV.

Évidemment, pour mold, il faudrait :
- qu'il monte une boîte
- qu'il fasse des relations commerciales pour négocier des contrats avec des fonctionnalités à intégrer en open source
- d'autres trucs chiant d'entrepreneurs

L'argent qui tombe tout seul, c'est un peu un rêve. Oui, parfois, je l'ai aussi.

Pour Hurd, mettons, mais c'est pas réaliste de booter sur un Hurd aujourd'hui…

Ce que bash propose, c'est… pas top. Déjà, c'est que dans Bash. Si j'ai envie de le faire en Python ou en C, je vais pas lancer un bash. Ensuite, il faut choisir soi-même un numéro de descripteur de fichier, bon courage pour éviter les conflits.
Enfin, la syntaxe à base de 3<> et de cat <&3 est particulièrement pas simple. Peut-être parce que justement, tout devrait être stocké dans une variable, dès l'ouverture du flux bidirectionnel ?

Plan 9 is much more Unix in its approach: you open /net/tcp/clone to reserve a connection, and read the connection ID from it. Then you open /net/tcp/n/ctl and write “connect 127.0.0.1!80” to it, where “n” is that connection ID. Now you can open /net/tcp/n/data and that file is a full-duplex stream. No magic syscalls, and you can trivially implement it in a shell script.

J'avais connaissance de ça, mais je me suis toujours demandé… pourquoi personne n'avait tenté de faire un module noyau (ou espace utilisateur ?) qui fait la même chose dans Linux ? Au moins pour tenter.

Ça existe ?

https://nitter.fdn.fr/MattAudibert/status/1589619954764349441#m

Dernière question en suspens: s'agit-il d'une atteinte au droit de ne pas s'auto incriminer ?
Pour le Conseil constitutionnel et la Cour de cassation ce n'est pas le cas.
La CEDH est saisie.

A priori, les gens du milieu ne sont pas sûrs et certains.

Je rajouterai que les syndicats allemands sont "réalistes", font grève pour acter un énorme différent et non pas pour commencer une négociation, et qu'ils ont le soutien des salariés.

Si j'ai bien compris ce que m'ont dit mes collègues Allemands, les syndicats ne peuvent pas représenter (et défendre) des salariés qui ne leurs sont pas affiliés.
Résultat : la grande majorité des employés est syndiquée. Et quelque part, ça force les gens à croire, s'investir, et comprendre les actions de leur syndicat. Et ça contraint le syndicat à être ce qu'il devrait être : une instance de représentation des employés.

J'ai pas beaucoup d'expérience, mais dans ma boîte, les syndicats parlent souvent pour eux-mêmes, pour faire du bruit. OK, ils défendent le statut des employés, y a plein de bons cas d'école aussi, mais malgré tout, ça reste une lutte entre la direction et les syndicats. C'est fatigant.

Pour ceux qui, comme moi, pensaient que le droit de ne pas s'incriminer était incompatible avec ce délit, et bien c'est faux.

Si j'ai bien compris l'en-tête de cet article : https://www.dalloz-actualite.fr/essentiel/droit-de-ne-pas-s-auto-incriminer-un-droit-aux-contours-flous c'était déjà jugé en 2009.

Et pour le droit suisse, on a https://www.penalex.ch/jurisprudence/droit-de-ne-pas-sauto-incriminer-vs-mesures-de-contrainte/ qui conclut :

On retient en substance de cet arrêt que le droit de ne pas s’auto-incriminer ne vaut que pour des moyens de preuve qui n’existent pas encore au moment où la contrainte est exercée (dépositions futures, déterminations à venir, …). En revanche, il est admissible de mettre en oeuvre des mesures de contrainte, même à l’encontre de personnes pouvant se prévaloir du droit à ne pas s’auto-incriminer, lorsqu’il s’agit de collecter des moyens de preuve qui existaient déjà avant que la contrainte soit exercée.

Donc je dirais, au pif, de ne pas le faire sans avoir d'avocat d'abord. Mais il va surement dire qu'il faut le faire :)

Dans How VCs work > 3. Credential verification

It obtains the Subject and Issuer public keys from a Verifiable Data Registry.

Voilà. En effet, il faut faire confiance à un registre centralisé. Donc oui, ça ne semble qu'un joli emballage de ce qui se fait déjà.

Après, c'est auth0, c'est leur cœur de métier :)

Alors, suite à mon journal sur JPEG-XL, je suis tombé sur une comparaison des formats sur https://cloudinary.com/blog/time_for_next_gen_codecs_to_dethrone_jpeg

Attention, c'est écrit par les gens qui font JPEG-XL. Donc oui, ils prêchent quand même pour leur paroisse, mais la comparaison me semble honnête.

Et les limitations m'ont l'air franchement bloquantes. Surtout sur les dimensions. Mince quoi.

On digresse, mais oui, j'ai pas compris Wikipédia. Ceci dit, je ne l'ai pas activé justement.
Et pour les instances pas disponibles… Oui, c'est pareil, j'ai mis une instance Nitter (pour Twitter) et une instance Piped (pour YouTube), parce que sinon, c'est très chiant.

Allez, je peux officiellement lever mon rideau : ça sent la mauvaise foi.

La réponse sur le suivi de ticket par un membre de l'équipe Chromium : https://bugs.chromium.org/p/chromium/issues/detail?id=1178058#c84

We will be removing the JPEG XL code and flag from Chromium for the following reasons:
- Experimental flags and code should not remain indefinitely
- There is not enough interest from the entire ecosystem to continue experimenting with JPEG XL
- The new image format does not bring sufficient incremental benefits over existing formats to warrant enabling it by default
- By removing the flag and the code in M110, it reduces the maintenance burden and allows us to focus on improving existing formats in Chrome

Sachant que pour avoir expérimenté AVIF, c'est très bien, mais le temps de décodage est visiblement lent sur une page. Et y a pas de décodage progressif. Et pour faire des grosses images (plus de 8193×4320), c'est de la mosaïque, avec des effets de bords (voir https://cloudinary.com/blog/time_for_next_gen_codecs_to_dethrone_jpeg#limitations).

Je sais que Jon Sneyers défend sa soupe. C'est juste normal. Mais je dois avouer qu'il le fait de manière posée et objective, autrement dit : « professionnelle ». Il a d'ailleurs répondu dans le ticket : https://bugs.chromium.org/p/chromium/issues/detail?id=1178058#c101

Le temps d'encodage pourrait ne pas être un argument (on encode qu'une seule fois), mais même ça, ça donne l'avantage à JPEG-XL.

Il y a peut-être un **vrai* problème à JPEG-XL, mais il ne semble pas technique : brevet, conflit d'intérêt, produit concurrent, etc.