Glandos a écrit 1364 commentaires

Je crois que pendant un temps, la sécurité intrinsèque du navigateur était meilleure chez Chrome. Je ne sais pas si ça a évolué depuis, mais il était plus facile de transpercer un Firefox sans extension qu'un Chrome sans extension.

Maintenant, d'un point de vue utilisateur, les considérations sont un peu différentes. Les positions de Google sur les extensions de Chrome montrent que l'utilisateur va avoir moins de droit pour guider le navigateur dans son sens d'utilisation.

Dans un cas comme dans l'autre, dans une grosse boîte, des gens vont faire leur rebelles. Je crois qu'il va falloir l'accepter, parce que franchement, c'est pas la mort de supporter un Firefox ESR et un Chrome (ou Edge, alleeeeeez), pour un logiciel aussi ubiquitaire.

J’avais opté pour du Intel. Entre autres qualités : GPU intégré (gain direct sur le coût donc)

J'ai fini par changer mon Intel Core 2 Duo qui m'a fait plus de 10 ans, par un Ryzen 4750G. Avec donc un GPU intégré au CPU. C'est absolument parfait, vu que ça consomme et chauffe bien moins qu'une carte externe. Et le GPU est meilleur que ceux de chez Intel (en tout cas à l'époque).

Une fois acheté, je ne regarde plus l'évolution du matériel de près. Ça me prend trop de temps, et… ça me sert à rien de décortiquer le blabla en permanence.

• Y a encore presque 2% des gens qui ont Flash avec Firefox
• Malgré le meilleur rendement argent / performance des Ryzen, les gens ont principalement des Intel. Bon, allez, c'est aussi qu'ils ne renouvellent pas leur matériel tous les deux ans, c'est bien :)
• 15% des gens ont Windows 7
• Intel domine le marché du GPU
• Moins de 10% utilisent un bloqueur de publicité. Je pensais que c'était presque bundlé avec l'esprit de Firefox. Faut vraiment que je sorte de ma bulle de temps en temps.

Comme il dit, il faudrait que la clef soit dans ton ~/.ssh/ ; est-ce le cas de ton id_rsa_github_glandos.pub ?

Oui, je ne range pas mes clés ailleurs. Mais en effet, il n'essaie que les clés id_$algo. Les autres ne sont pas listées dans le Will attempt.

Et moi, si je veux m'y retrouver, je les nomme ces clés, sinon, je ne sais pas du tout à qui je les ai filées.

Ils parlent quand même de « au moins un an ». Le « peut-être plus si les gens le veulent », c'est une jolie promesse, pas facile à tenir…

Un certain nombre de clés sont essayées par défaut :

debug1: Will attempt key: /home/user/.ssh/id_rsa RSA SHA256:Ct1TO[…]
debug1: Will attempt key: /home/user/.ssh/id_ecdsa 
debug1: Will attempt key: /home/user/.ssh/id_ecdsa_sk 
debug1: Will attempt key: /home/user/.ssh/id_ed25519 
debug1: Will attempt key: /home/user/.ssh/id_ed25519_sk 
debug1: Will attempt key: /home/user/.ssh/id_xmss 

[…]

debug1: Trying private key: /home/user/.ssh/id_ecdsa
debug1: Trying private key: /home/user/.ssh/id_ecdsa_sk
debug1: Trying private key: /home/user/.ssh/id_ed25519
debug1: Trying private key: /home/user/.ssh/id_ed25519_sk
debug1: Trying private key: /home/user/.ssh/id_xmss

Plus celle que j'ai ajoutée dans mon ssh-agent. Les autres ne sont pas présentées. Donc ma clé nommée id_rsa_github_glandos.pub n’est jamais envoyée. Ou alors ssh -v me ment.

Ce genre d'article est très intéressant.

Mais quand je regarde ce que je fais, de manière complètement ingénue :

• Ma clé SSH de base est utilisée sur mon ordinateur pour me connecter à mes serveurs
• Mes clé GitHub/Gitlab ont des noms différents, je les configure donc dans le ~/.ssh/config
• Mon serveur n'est pas mon ordinateur, il n'a pas mes clés publiques SSH GitHub/Gitlab

Je me demande du coup qui possède son serveur SSH publiquement accessible sur une machine qui fait aussi du push ?

https://arstechnica.com/gadgets/2021/03/the-fairphone-2-hits-five-years-of-updates-with-some-help-from-lineageos/

Apparemment, le plus gros problème, c'est bien Qualcomm. Ça s'améliore, bonne nouvelle.

J'ignorais aussi l'existence de la batterie de test pour garder la certification de Google.

Non. Faut simplement être à la hauteur de ses ambitions, ou alors ne pas mentir et prétendre qu'on fait mieux que les autres pour la planète et pour le consommateur.

Fairphone, c'est aussi https://www.fairphone.com/en/impact/fair-materials/ En fait, c'était surtout ça au début, et ils étaient presque les seuls sur le créneau.
La société a été fondée en janvier 2013, et le FP2 est sorti en décembre 2015 soit environ 3 ans après la création de la boîte. Samsung est un empire, notamment de l'électronique grand public (1969 pour Samsung Electronics), et a sorti son premier Galaxy en 2009. Les moyens ne sont absolument pas les mêmes.

J'ai l'impression également que si l'on trouve encore des pièces de rechange, c'est un effet d'offre et de demande : les Galaxy étant très bien vendus, il y a un réel marché pour les pièces détachées. D'après Wikipedia:

Le Galaxy S4, disponible à sa sortie à 679€, 4 millions de modèles ont été écoulés durant les cinq jours suivants son lancement

Et de l'autre côté :

On 26 May 2016, Fairphone reported that their milestone of selling 40,000 of the Fairphone 2 had been reached

Je crois que mécaniquement, une offre de pièces détachées s'est créée, avec ou sans l'aval de Samsung.

Perso j'ai toujours eu du mal avec la notion de date du 1er exemplaire, et non pas celui du dernier.

Oui, ce débat est effectivement important. D'un point de vue de l'utilisateur, c'est quand même ce qui compte d'ailleurs.

D'un point de vue du fabricant / assembleur, c'est la legacy. Le code devait marcher avec la première sortie. Et si la base sur laquelle il s'appuie (AOSP/Linux) change, c'est parfois complètement incompatible sans tout refaire. Donc d'un point de vue logiciel : sortir un nouveau produit.

C'est un paradoxe de vendeur, et la communication n'est pas facile.

Pour le S9, moi ce que je vois, c'est que Samsung a fourni un effort de prise en charge pendant 4 ans (je reconnais l'effort, on progresse !). Oui, c'est différent du ressenti utilisateur, encore une fois.

Ça ressemble un peu à de la mauvaise foi quand même, non ? ;)

Maintenir AOSP, ça coûte probablement très cher à Google. Fairphone et sa petite équipe ne peut pas envisager ça. Je le vois comme si un petit assembleur de PC portables se disaient qu'ils allaient maintenir le noyau Linux forké en 3.13. Même les gros acteurs comme RedHat et SuSE, qui emploient une armée de gens pour cette maintenance, ne le font pas tout seul.

Les OS libres, c'est un beau projet, et je suis totalement pour, mais on a un problème. Google a verrouillé le marché à cause des ces maudites « applications ». Utiliser Plasma Mobile, Tizen ou Sailfish, c'est vraiment très réducteur pour son utilisation. C'est dommage, c'est vrai, mais encore une fois, la taille actuelle de Fairphone ne peut pas se permettre de cibler uniquement un tel marché.

Par contre, je me demande si ces OS libres fonctionnent actuellement sur le FP2. Des connaisseurs ?

Dans mon boulot, on utilise des cartes d'acquisitions PAL (pour des caméras). Certaines, très vieilles en PCI fonctionnent avec BTTV. Pas de problème logiciel (c'est dans le noyau Linux), mais niveau matériel, faut trouver des PC pas chers avec deux ports PCI.
On a d'autres cartes, qui utilisent un pilote non libre (cx25858), dont j'ai eu le code source un jour, je sais plus comment. On a dû passer à CentOS7 il y a quelques années, c'était déjà compliqué pour moi de le faire simplement compiler, et marcher. Aujourd'hui, ça va, mais par exemple, deux appels à open("/dev/video0") sans close() entre les deux font planter le noyau, et j'ai aucune idée de pourquoi. Le code du pilote est blindé de références à des spécifications auxquelles je n'ai pas accès, et qui ont probablement disparues avec le temps.

On devrait passer à SuSE 15, donc un noyau beaucoup trop récent : c'est fini pour ce pilote, il faudrait le réécrire de zéro. La maintenance est trop difficile.

Je crois que Fairphone ne peut que composer avec des géants sur ce point là.

Déjà, pour un matériel sorti en 2015, c'est très, très long.
Ensuite, si Google ne fait plus de support sur AOSP (j'ai pas vérifié ce point là), comment Fairphone peut-il en faire ?

Enfin, si les fabricants de puces intégrées au Fairphone 2 ne veulent plus fournir de mises-à-jour des microgiciels ou pilotes, c'est pareil, Fairphone est un petit joueur…

Et si vous le renvoyez avant fin mars 2023, un bon d'achat de 50€ sur leur boutique est offert.

Ça me semble une bonne proposition, pour un truc sorti y a 7 ans.

Sans le miroir, on fait un git clone (donc plusieurs Mo).

Il existe les sparse checkouts. Plutôt léger.

De plus, avec le miroir il y a un contrôle du checksum

C'est pour ça que Ruby/JS ont des lockfiles. J'étais pas très chaud au début, mais c'est quand même pas mal : un résumé des dépendances calculé une fois.

car beaucoup plus rapide

Yarn utilise un cache local sur ma machine, ça va plutôt vite, vu que la plupart des projets utilisent souvent des dépendances identiques. Et si je veux mutualiser, je monte un registre intermédiaire type Verdaccio. Visiblement, athens fait ça, comme discuté en dessous. Et ça a pas l'air trop dur à mettre en place (si on accepte docker) : https://docs.gomods.io/

La réponse est plus ou moins satisfaisante. D'un point de vue du développeur, c'est vraiment un plus que de profiter du cache de Google ?

Dans l'écosystème Javascript (qui n'est pas un exemple), on peut se passer du registre NPM, et en utiliser un autre. Ou bien spécifier des dépendances git directes, qui sont récupérées sans miroir caché.

J'ai l'impression que c'est un défaut de conception des outils de gestion de dépendances en Go.

C'est aussi le fer de lance de CozyCloud

La HDR en photographie n'est pas une histoire de limite du capteur mais plutôt du périphérique de sortie et le format d'enregistrement.

Alors si, justement, c'est une limite du capteur.

C'était déjà une limite du temps du film photographique : plus une pellicule est exposée, que ce soit en temps d'exposition ou en diamètre d'ouverture, plus elle marque la lumière. Ce même phénomène régit les règles de capture dans le numérique, et on ne fait pas de capteur capable d'avoir une grande plage de luminosité.

Donc, les appareils font plusieurs enregistrements, avec des réglages différents, puis compose un résultat. Je ne maîtrise pas du tout la composition (blend), mais c'est ce qui fait que c'est difficile aujourd'hui de faire de la photo HDR de sujets en mouvement : les différentes captures sont forcément séquentielles.

Ensuite, les écrans ont également une plage de rendu limitée. Avec le rétroéclairage LED, certains fabricants ont fait des zones plus ou moins sombres, agrandissant la plage globalement, mais pas localement. Avec les écrans OLED, c'est encore mieux, mais on n'est toujours pas au niveau de l'œil humain.

En tout cas, ce qui me fait vraiment envie, c'est pas vraiment un écran 8K (je suis toujours en 720p chez moi !), mais du HDR, pour des couleurs et des luminosités vraiment différentes, et probablement plus réalistes.

Dans le cas des jeux, les calculs peuvent aussi créer des scènes en HDR qu'il faut convertir avant de pouvoir l'envoyer sur un écran. Maintenant ça marche sous Linux.

Ça, c'est ce que j'ai compris aussi. J'ai surtout compris que le mot HDR est utilisé partout pour des choses très différentes. Le seul point commun, c'est qu'il s'agit bien d'intervalle de rendu des couleurs et de luminosité.

What they’ll do is allow people to use Signal without giving anyone else their phone number. So you can give someone your username, and someone can connect with you on Signal via your username without ever knowing your phone number. It’s another layer of privacy preservation. We’ve heard, particularly from journalists, or folks who use Signal in a professional or maybe more public capacity, that they want to be able to broadcast their Signal information without broadcasting their phone number. So this allows that.

Ce que j'en comprends, c'est qu'une fois son compte Signal créé et activé avec son smartphone, on pourra lui mettre un alias (nom d'utilisateur) qu'il sera possible de communiquer à un futur correspondant.

Oui, c'est un cas d'utilisation.

Moi, je veux une solution qui n'a pas besoin de smartphone pour commencer. J'imagine que c'est pas dans les tuyaux. Ça protège ptêt Signal des bots qui veulent créer des comptes, je ne sais pas…

Un très court article de Wikipédia : https://fr.wikipedia.org/wiki/High_dynamic_range_rendering

J'ai pas lu la version anglaise, c'est ptêt mieux…

Ah, si je comprends (un peu) la page https://www.citibank.co.kr/CusSecnCnts0100.act?P_name=DelfinoG3 Y a quand même de quoi installer sous Fedora et Ubuntu. Donc non, c'est probablement possible. Mais la vache, y a des noms qui inspirent pas confiance :)

Et sur la page, ça n'arrête pas de faire une requête à https://127.0.0.1:16105/?callback=jQuery3510660209543278881_1672694450532&data=%7B%22cmd%22%3A%22getOsInfo%22%2C%22sid%22%3A%221672694450725%22%2C%22data%22%3A%7B%7D%7D&_=1672694450545 c'est pas très rassurant.

Comme cité dans l'article, ce sujet a même sa page Wikipedia : https://en.wikipedia.org/wiki/Web_compatibility_issues_in_South_Korea

Personnellement, je découvre. Moi, je voyais la Corée du Sud comme un pays ultra-technologique avec de la 5G de partout. Mais ça empêche pas de se dépêtrer de son historique avec ActiveX apparemment.

En tout cas, ça a l'air sérieusement compliqué. Et avoir un Linux là-bas me semble… inconcevable ?

C'est marrant, parce que pour ma part, j'ai jamais réussi à utiliser twitter parce que je trouvais le fonctionnement vraiment obscur, probablement en grand partie à cause de la remontée 'algorithmique' de certains tweets sur la page d'accueil.

J'ai dû aider quelqu'un à se mettre sur Twitter pour suivre tout un tas de comptes dans un cadre professionnel. J'ai eu la même sensation de bordel : mélange de messages du compte suivi avec des messages « recommandés » en plein milieu, façon publicité intrusive.
Au final, on a fait à ma manière : des flux RSS des comptes Twitter dans un lecteur RSS. Ça marche nickel. Et pas d'algorithme obscur qui vient masquer des infos en plein milieu.

En gros, y a plein d'articles. Chacun son petit scandale.

Reflets.info et deux autres média StreetPress et Blast ont décidé de ne pas s'embêter avec les potentielles procédures judiciaires, et GO.

Je leur souhaite bonne chance, mais j'apprécie.

Alors je suis pas totalement d'accord avec ton analyse.

C'était une réaction polie à une analyse de sortie de chiottes de ma part.

Dans la vraie vie, je suis d'accord avec les questions que tu soulèves. Mais surtout, je ne perds pas de vue que ce sont quelques politiques qui ont eu ce discours, qui est probablement… politique.

Je garde malgré tout mon argument sur le fait d'avoir une entreprise privée, qui impose ses propres conditions de diffusion et ce depuis le début. Il y a certes en Europe tout un tas de jurisprudence sur la liberté d'expression et de la presse qui régulent l'activité d'entreprises privées, mais ce n'est pas de toute clarté non plus. D'ailleurs, un lien mentionné plus tôt dans la journée explique un peu les problèmes de DSA.

On touche à un problème d'extraterritorialité particulièrement velu. La solution n'est pas simple.