Glandos a écrit 1345 commentaires

https://linuxfr.org/users/wilk/liens/typescript-porte-en-go

https://sylvestre.ledru.info/coreutils-fosdem-2025/#47

L'auteur principal le dit : ce n'est pas un problème de sécurité. Les utilitaires GNU coreutils sont très bien de ce point de vue là.

Donc l'argument d'Ubuntu est mauvais.

Ça permet à l'utilisateur de refuser le chargement d'une application web dans son navigateur si la signature ne correspond pas à celle du développeur.
Pour l'instant, c'est fait par une extension Firefox, donc c'est débrayable à l'envi.

Les personnes qui ont fait ça ont en tête le cas d'utilisation des applications auto-hébergées type Element, CryptPad, et donc SecureDrop, pour lesquelles l'utilisateur/utilisatrice a besoin de savoir si le code reçu n'est pas infecté.

Pourquoi pas. Tant que c'est transparent et débrayable, ça me va.

Par contre, comment ça marche si on veut personnaliser un peu une application, avec des images, des mentions légales, etc. ?

/tmp [1] ❯ dd if=/dev/urandom of=/tmp/random bs=1k count=100M
dd: erreur d'écriture dans '/tmp/random': Aucun espace disponible sur le périphérique
9713473+0 enregistrements lus
9713472+0 enregistrements écrits
9946595328 octets (9,9 GB, 9,3 GiB) copiés, 25,2258 s, 394 MB/s
⏎                                                                                                                                                                                                                                             /tmp ⏰25s227ms[1] ❯ hyperfine "b3sum /tmp/random" "md5sum /tmp/random" "b3sum --num-threads 1 /tmp/random"
Benchmark 1: b3sum /tmp/random
  Time (mean ± σ):     466.7 ms ±   1.7 ms    [User: 5416.9 ms, System: 434.7 ms]
  Range (min … max):   464.9 ms … 469.2 ms    10 runs

Benchmark 2: md5sum /tmp/random
  Time (mean ± σ):     12.341 s ±  0.011 s    [User: 11.300 s, System: 1.040 s]
  Range (min … max):   12.322 s … 12.356 s    10 runs

Benchmark 3: b3sum --num-threads 1 /tmp/random
  Time (mean ± σ):      2.965 s ±  0.021 s    [User: 2.696 s, System: 0.267 s]
  Range (min … max):    2.945 s …  3.010 s    10 runs

Summary
  b3sum /tmp/random ran
    6.35 ± 0.05 times faster than b3sum --num-threads 1 /tmp/random
   26.44 ± 0.10 times faster than md5sum /tmp/random

Ouais donc md5 est lent et nul, même comparé à un b3sum sur un seul CPU :)

Mon /tmp est monté en RAM avec du tmpfs, donc la vitesse de lecture est maximale.

Oooooh, tout de suite :)

En fait, c'était vraiment une question plus ouverte : est-ce que BLAKE3 est simplement méconnu, ou bien est-ce que c'est le comportement habituel de ne pas se précipiter sur le nouveau truc à la mode ?

https://github.com/microsoft/typescript-go

Pas étonnant pour un projet comme TypeScript de publier son code, mais j'aime bien mettre le lien.

Y a quand même des lockfile pour ça.

Alors, effectivement, si on part du principe qu'on a besoin de Docker pour déployer des services de production, chaque service prendra beaucoup de place. Même si, il me semble, Docker fonctionne sur le principe de couche avec OverlayFS, donc deux conteneurs utilisant la même base ne devrait pas prendre 2 fois l'espace disponible.

Mais mon idée derrière tout ça, c'est que Docker est une solution qui permet d'aller vite, mais qui est bien plus consommatrice de ressources qu'un paquet RPM/DEB. Et on a l'avantage de bénéficier du support logiciel de sa distribution, et de mieux maîtriser la chaîne des dépendances.

Ce que j'apprécie, et que l'auteur n'aime pas, c'est que justement, je mets à jour tout mon système d'un simple apt -U full-upgrade, et la sécurité est assurée. Si un conteneur Docker est affecté par une faille, il faut le cibler, et le mettre à jour « manuellement ». J'imagine qu'il y a des outils pour automatiser ça, mais ça revient à mon postulat de base : il faut plus de ressources pour utiliser Docker (un gros stockage pour les images, des outils d'automatisation). Et mon défaut, c'est de considérer que l'informatique n'a pas des ressources illimitées, et d'essayer de les économiser au maximum. Je deviens un peu chatouilleux sur le sujet :)

Comparer Python et Go en utilisant Docker, c'est huhuhu.
Sur ma Debian, si j'ai deux scripts Python, j'ai effectivement un gros stock de départ avec la bibliothèque standard. Et après, j'ai quelques octets par script.
Avec Go, c'est 10 Mo par binaire.
Parce que j'utilise pas cette gabegie de dépenses de ressources que représente Docker.

La qualité du code ne dépend clairement pas du langage. En plus, l'article présente Python comme un problème de qualité de code, tout en parlant juste au dessus de C++ pour les performances. C'est très paradoxal, écrire du bon code C++ est bien plus difficile que du bon code Python.

La gestion des dépendances en Python est connue pour être bordélique, mais au moins, y a un fichier pyproject.toml qui les listes toutes. La chaîne de dépendances est facilement analysable par un humain, au moins au premier niveau. En Go, il faut simplement lire chaque fichier, et lire les imports. Merci, c'est cool.

Et enfin, les outils, qui ne sont plus écrits en Python. Oui, ça fait longtemps que Python est utilisé pour faire du calcul numérique. Qui utilise numpy, qui n'est pas codé en Python. Ça fait longtemps que Python est utilisé pour faire du code d'entrée, afin de faire quelque chose de simple.

Je rajouterais que quand un binaire Go ne marche pas, c'est très compliqué de le patcher. En Python, on édite le fichier, ça marche.

Je conclus : j'aime beaucoup déployer des binaires en Go/Rust. C'est simple, ça marche, c'est rapide. Mais de là à jeter le Python en production pour ces arguments, c'est non recevable.

Ça aurait mieux avec une source française ? https://www.radiofrance.fr/franceinter/podcasts/l-invite-de-8h20-le-grand-entretien/l-invite-de-8h20-le-grand-entretien-du-mercredi-05-mars-2025-7562174

En fait, c'est là https://github.com/MichiganTypeScript/typescript-types-only-wasm-runtime

Il est où le code, hein ?

Attend, la vidéo mentionne 177To de code source. Ouais, bon, euh, ça va, je te crois.

Je précise que Meylan est une commune.

Non parce que ses habitants ont hérités d'un nom qui sonne tellement fort le laboratoire pharmaceutique (ou la société de service) que je me demandais ce que c'était.

Sinon, bravo à eux !

« … seront toujours nos compagnons ! »

Oui, j'ai beaucoup écouté ça aussi.

La chronique n'a pas franchement d'intérêt. Elle manque tellement de profondeur que c'est navrant de se surprendre à avoir pitié de ce genre d'écriture fait pour soulever le cœur des lecteurs avec des émotions faciles.

Euh, je voulais dire quoi déjà ? Ah, oui, bien sûr, les automates. Non parce que l'autrice émet un constat qu'on a tous plus ou moins fait : les interfaces sont parfois confuses (au mieux), parfois à chier (soyons polis). Pourtant, on n'est pas dans le dark pattern, la RATP a bien envie d'en vendre le plus possible des tickets quand même.

Donc je n'ai pas de solution, mais pour moi, c'est clairement un problème d'expérience utilisateur mal fagotée. Oui, les gens s'énervent plus facilement en face d'une machine. Mais en même temps, ça pourrait être plus ergonomique…

Ah, merci.

Je sais pourquoi je n'aime pas trop la déclaration des dépendances de Go du coup :)

Le texte de l'article affichent des liens avec pour texte « github.com/boltdb-go/bolt » qui renvoie vers https://socket.dev/go/package/github.com/boltdb-go/bolt

Sérieusement ? C'est quoi ce phishing de bas étage ?

Je suis en automatique, mais je surveille quand même : https://github.com/Matty9191/ssl-cert-check

D'ailleurs, je surveille pas que moi. ssl-cert-check envoie des courriels :)

“We essentially store all of our evidence in the cloud,” one said.

Ah, j'aurais pas fait ça. Mais c'est peut-être pour ça que je ne suis pas employé par la CPI :)

Si j'ai bien compris, c'est la production de disques BluRay inscriptible. C'est pas tout à fait la même chose que l'arrêt complet des BluRay.

Ça permet de mettre un terme au piratage. Oh, enfin presque :)

https://dl.antipoul.fr/f.php?h=3g1_lGxR&p=1

On en est là. J'ai pas le JavaScript activé, donc on va me dire que mon ordinateur est « infecté ». Et le truc tente de me faire croire que c'est pour mon bien.
On a le droit de porter plainte contre ce genre de mensonge ? Je sais pas, pour tromperie ?

Attention, je crois qu'on inverse cause et conséquence.

Pour accumuler autant d'argent, il faut avoir un comportement d'enfant-roi à la base. Savoir marcher sur les autres, etc.

Une fois que t'en as autant, d'autres travers se mettent en place.

La. Vache.

J'avais COMPLÈTEMENT oublié. Je sais même plus où j'ai joué à ça. Mais j'y ai beaucoup joué aussi.

J'ai l'impression que ça m'a fait le même effet.

le bruit des switchs d’un clavier mécanique me manquaient

C'est l'argument que je ne comprends pas. « Le bruit me manque ». Pour moi, le bruit est une pollution. Encore plus dans un espace de travail avec plusieurs personnes. C'est justement ça que j'apprécie dans les TypeMatrix : il est silencieux.

Ça, c'est la matière grasse qui provient des mains.

C'est dur de juger, moi aussi j'ai la flemme de me les laver à chaque fois que je me remets au clavier.