Glandos a écrit 1215 commentaires

https://github.com/hauntsaninja/pyp Pour piper du shell dans du Python
https://github.com/amoffat/sh Pour appeler du shell depuis Python

Le deuxième est particulièrement efficace.

Il y a même la page d'accueil de mon site web, pourtant inconnu, et qui ne contient qu'un texte pour dire qu'il n'y a rien.

https://github.blog/2021-02-12-avoiding-npm-substitution-attacks/

Pour résumer (traduction libre):
- Utiliser les scopes
- Utiliser un fichier .npmrc à la racine du projet pour paramétrer les dépôts.
- Faites attention lors de l'utilisation d'un proxy.
- Soyez attentifs aux échecs de construction de projet.

L'accordéon marche aussi chez nos amis Saxons : https://youtu.be/QYnSzxS9Wx8

Attention quand même à ne pas basculer dans la situation inverse.

La CI/CD existe et marche très bien sans ces gestionnaires de paquets drogués à la version latest.

Dans ma boîte, j'ai un Jenkins qui recompile tous nos logiciels, qu'ils soient en C++ ou en Python. Et on a même plusieurs environnements, SuSE 10, SuSE 11, CentOS 7, Ubuntu 20.04, avec des compilateurs différents (GCC de 7 à 9), des versions de boost différents (pour le C++), etc.

Mais TOUT est hors-ligne. C'est le développeur qui choisit la version, qui la regarde, et qui la soumet à la plateforme de CI/CD (souvent par le biais d'un dépôt Git). C'est pour moi hors de question qu'une plateforme de CI/CD aille chercher une version d'une bibliothèque sur Internet à poil.

Pour Yarn, il existe par exemple yarn install --offline --non-interactive --frozen-lockfile, et dans le lockfile, il y a les condensats des paquets. C'est sûr, le développeur ne peut pas tout vérifier, mais au moins, la plateforme de CI/CD ne fait rien en cachette.

Avant, yavait pas de CI/CD. Mais un logiciel comme Jenkins, forké en 2011 à partir de Hudson créé en 2005. Et avant ça, il existait d'autres solutions. npm est sorti en 2010. Il n'y a donc aucune excuse pour lui, d'un point de vue de la sécurité. Pareil pour pip, 2011, aucune excuse. RubyGems date de 2003, donc c'est plus excusable.

https://tracker.debian.org/news/1228455/accepted-firefox-8501-1-source-into-unstable/

Ah, je suis rabat-joie, mais j'ai récemment migré de ferm vers nftables, et même si ça a été laborieux, j'y ai bien gagné au change.

Je ne sais pas si iptables est sur la pente descendante, mais… ça serait bien que Easywall gère nftables ;)

Je pense que c'est la traduction de l'acronyme anglais TIL (Today I learned) qui vient de reddit: Aujourd'hui J'Apprends. Ou bien, Aujourd'hui, J'Ai Appris. Je ne sais pas trop.

Non, c'est vraiment dommage la télémétrie. Et si je me souviens bien, y a pas ça dans VLC. Et retirer la télémétrie dans Chrome est très très difficile, Microsoft a passé plusieurs mois à le faire.

Enfin, il existe VSCodium, comme mentionné dans l'article, qui lui, est libre, contrairement à VSCode. La télémétrie est un moyen de surveillance. C'est léger, mais c'en est un.

Je développe une application Web, dont une partie du backend est en Javascript, sur Node.js. Je veux déployer ça avec des RPMs, parce que je suis un vieux croûtons, et parce que mes machines n'ont pas accès à Internet. Elles sont 200 et plus, parfois sur des lignes ADSL.
Voilà la recommendation qu'on m'a faite : https://github.com/kelektiv/node.bcrypt.js/issues/573#issuecomment-771660008

@Glandos If your deployment is an RPM, just copy the node_modules folder verbatim.

Pour tous ceux qui ont déjà fait ça, un node_modules/, c'est 500Mo. On me demande explicitement de faire un transfert de 500Mo (en xz, 30Mo) juste parce que tout le monde a une bande passante grosse comme… comme… enfin, très grosse ?

Allons bon.

(Au final, j'ai fait du webpack, mon RPM fait 2Mo, il est autonome ;) )

UPDATE: At 2020-01-30 23:17 UTC we received a call from a VP at Google who apologised for the bad communication from Google and explained the situation, which related to some extremely abusive content which was accessible on the default matrix.org homeserver. Our Trust and Safety team had already identified and acted on this content to enforce the server's terms of use, and so we've explained how Element and Matrix works, established a channel for communication over any future moderation concerns, and expect the app to be restored shortly.

UPDATE: The app is restored as of 2020-01-31 00:30 UTC. Huge thanks to everyone for your patience and support while we sorted this out, and to the wider Element team who spent their Saturday on this. Thanks also to Google for being transparent and apologetic and the rapid resolution once we'd established contact.

En effet, c'est revenu. Quand je vois ce qu'il a été nécessaire de faire, je me dis que quand même, ils ont de la chance d'avoir une boîte, des gens motivés et compétents sur la technologie. Je ne suis pas sûr que Google mette en place un « canal de communication pour toutes les affaires futures à propos de la modération ».

Allez, soyons positifs, ça n'a pris que 24h ;)

https://framagit.org/Glandos/deliver_scan/-/blob/master/deliver_scan.py#L19

Genre… j'ai même pas essayé. Mais je crois que progressive et optimize sont par défaut. Le reste, j'ai jamais testé, mais ça vaut le coup. Bon, évidemment, là, j'ai pas le temps. Je vais devoir mettre ton commentaire très instructif de côté :)

https://framagit.org/Glandos/deliver_scan

Attention, c'est du gros bricolage. Mais souvent, je gagne 20% sur la taille finale.

J'y ai quand même trouvé l'OCTO 5 et le META 5, qui sont de l'embarqué avec des Ryzen V1000.

Autant sur des configurations basse consommation, les CPU de Intel sont intéressants, autant sur des configurations « normales », Intel n'a plus d'intérêt aujourd'hui. Pour le Kubb 12, c'est de base un bi-cœur. Le quadri-cœur « performant » rajoute +230 €. J'ai acheté un AMD Ryzen PRO 4750G pour 330€ : 8 cœurs, 16 threads, et une carte graphique intégré.

Donc, c'est dommage :)

Je suis exactement au même point. J'ai récupéré il y a 7 ans d'occasion une Lexmark Pro 715 qui a le bon goût d'être réseau, et d'envoyer le scan par courriel. C'est même mon usage principal, depuis qu'elle refuse d'imprimer en noir et blanc sous prétexte qu'il n'y a plus de cyan.

Je lui cherche donc un remplaçant, et sur la technique, je suis un bon maximizer. Donc j'ai beaucoup écumé, les multifonctions parce que c'est ce dont j'ai besoin. Les réservoirs d'encre liquide me paraissait le top aussi, jusqu'à ce que je constate la chose suivante : toutes les imprimantes ont un firmware kikoolol. Oui, elles peuvent numériser des documents, mais seulement dans le cloud. J'ai vérifié, j'ai lu TOUS les manuels d'Epson, de HP et de Canon. En fait, c'est possible chez Epson à partir de l'imprimante à 1000 € qui fait beaucoup plus que ce dont j'ai besoin, et qui est donc trop chère.

Et puis j'ai vu Brother, qui n'hésite pas à garder ces vieilles fonctionnalités qui ont fait leurs preuves. Sauf que… INKVestment n'est pas vendu. C'est une marque utilisée en Amérique, et en Europe, c'est inkbenefit. Et : 0 modèle. Rien. J'en veux. Mais c'est pas possible. Donc si quelqu'un a un tuyau…

Sinon, pour la consommation électrique, c'est pas 99% en veille : ça fait 87h d'activités par an, ça me paraît énorme. On est plus à 99,9%, donc oui, la consommation en veille, c'est la plus importante. Et, personnellement, j'éteins mon imprimante quand je ne m'en sers plus. Avec une rallonge multiprise à interrupteur, parce que c'est trop démodé de mettre des interrupteurs sur les appareils.

Je n'ai pas saisi quelles APIs allaient être inutilisables… J'ai bien compris Sync, mais personnellement, ça me va ;)

Rappelons donc qu'ils ont écrit "We did not change the license of any of the Apache 2.0 code of Elasticsearch, Kibana, Beats, and Logstash — and we never wil […] We believe in open source, and our investment in it will continue unchanged" alors que c'est factuellement faux.

Pour être complet, il y a une note rajoutée à cette phrase qui dit :

Since we made this change in 2018, circumstances have changed, and we announced a further change to our licensing strategy.

Ça ne change quand même rien à l'argumentaire pour moi ;)

Oui, c'est vrai, je n'ai pas assez insisté sur ce point. Les enseignants ne sont pas formés, mais la plupart peuvent y arriver. En plus, la pédagogie, c'est leur métier, donc souvent, ils ont envie de le faire.

Les parents… c'est autre chose. On n'a même pas tous appris à se servir d'un crayon et d'un cahier étant jeune. Ou alors pas en France, et pas en français. Alors l'outil numérique, qui n'a évidemment rien à voir avec celui d'il y a 5 ans (et récursivement pendant 20 ans en arrière), c'est très difficile pour beaucoup de parents. Il faut :
- Du temps
- De la motivation
- Des compétences cognitives entraînées (tout le monde peut y arriver, mais faut-il encore s'être habitué)
- Du matériel qui coûte cher

Toutes ces choses là, ça ne se trouve pas sous le pas d'un cheval…

euh il n'y a pas de stockage dans l'ENT ? avec une URL de partage… Un Nextcloud le fait bien pourtant.

Alors… Y a du stockage, mais pas de lien de partage. Nextcloud, c'est bien, mais c'est gratuit, faut pas déconner ;)

Bon alors… Est-ce qu'il y avait Da Scritch dans cette vidéo, ou bien c'est celui qui est flouté pendant la conférence de presse ? ;)

Bon, ça va être un peu tard pour s'organiser, et être à 13h là-bas…

Je n'ai jamais été voir Mix'art Myrys, je n'ai jamais approché Tetaneutral, et pourtant… j'habite juste à côté :) Donc je connais la zone. Je crois que la volonté politique actuelle est : nettoyage. C'est une ancienne zone industrielle, mal entretenue, qui bloque l'accès au canal. Et probablement, vu l'arrivée prévue d'une station de métro dans le secteur, faire de la place pour un pôle d'échange est dans les cartons. Attention, ce ne sont que des suppositions complotistes. Malheureusement, la communication de la ville est toujours sporadique, voire inexistante.

En France, un numéro de téléphone est plutôt pérenne, oui.

Par contre, je n'en ai qu'un seul. C'est un problème, comment je fais pour séparer vie privée et vie professionnelle ? Ou gérer mes différentes identités en ligne, comme mon pseudonymat sur ce site, et mon identité « officielle » sur d'autres ?

Pour la postérité, c'est une capture de apps.education.fr qui dit :

L'instruction de la version complète et pérenne de la plate-forme d’outils communs numériques Apps a commencé. Elle remplacera à terme cette version "béta" mise en production durant la crise sanitaire et prolongée jusqu'à la fin de l'année.

Croisons les doigts !

Merci, j'y penserai :)

Par contre, en général, les identifiants et mots de passe nous sont communiqués directement, on n'a pas le choix à la création :/