Goffi a écrit 1537 commentaires

Bien que ça soit effectivement dérangeant de ne pas avertir dessus, il y a eu, comme toujours, énormément de prises de photos et de films que ça soit par l'orga, des stands ou des particuliers, et on peut s'attendre à apparaître sur un tas d'endroits dans ce genre d'événements publics. Nous avons eu des gens qui sont venus nous filmer sur notre stand, et pour ceux dont je me souviens, ils nous ont demandé avant si ça ne nous dérangeait pas et ont été très corrects.

Les caméras sur les stands par contre rien n'était demandé, mais on peut supposer que rien n'était enregistré non plus. Il y a aussi eu le mat omnidirectionel de Foxel qui est passé plusieurs fois aux journées grand public, aucune idée si ça filmait/faisait une capture 3D ou pas et si ça sera diffusé quelque part, ou si c'était juste pour le montrer.

Bref, bien que ça passe à peu près parce qu'on se dit que c'est pour des démonstrations et qu'on espère qu'on ne sera pas visible n'importe où sans être avertis, il y a une banalisation de l'utilisation des vidéos et photos de plus en plus inquiétante.

Bon sinon on est tout de même très contents d'être venus, et merci aux orgas malgré les couacs et aux participants. L'organisation d'un truc pareil doit être un enfer…

Oui, en fait j'ai découvert en allant à La Navette qu'Ambiance bois était à 2 pas, et j'ai d'ailleurs appris que c'était la raison pour laquelle ils s'étaient installés là bas.

Pour ceux qui s'intéressent au sujet, le réseau REPAS publie des bouquins sur ces sujets (il y aussi des choses comme le lycée auto-géré de Paris).

En recherchant les la précédente s annonces de la Foire à l'Autogestion sur LinuxFr je suis tombé sur ce commentaire de Goffi (que je remercie chaleureusement pour tout ce qu'il fait) :

Oh c'est gentil tout ça. Alors l'année dernière j'y suis allé et j'y ai rencontré plusieurs entreprises très intéressantes, notamment La Navette chez qui je viens de passer 1 semaine pour voir leur fonctionnement, et afin de créer la notre pour gérer Salut à Toi (et se salarier dès que possible). Cette coopérative est située à Faux-la-montagne, petit village dans la creuse qui est très dynamique dans ce milieu, une expérience très intéressante !

Bref, je vous recommande vraiment d'y aller, vous m'y trouverez d'ailleurs le dimanche (en tant que visiteur).

À noter aussi que dans ma conf samedi à Pas Sage en Seine (à 16h), je vais brièvement aborder l'autogestion, l'occasion de débattre si le sujet vous intéresse.

Sur les sites que j'ai en ce moment, il y a du tout fait (Dotclear, pour mon blog, même si ça devrait changer bientôt), du Django pour voir ce que c'est (et c'est effectivement bien), et pour SàT l'interface web est faite tout en Python y compris la partie navigateur grâce à Pyjamas (avec Twisted pour la partie serveur)..

Outre le fait que c'est pas lourd du tout (créer un compte sur un site tiers pour accéder à quelque chose), c'est juste déplacer le problème: le serveur open ID pourra associer les sites consultés à moi.

Et encore une fois, j'ai dit qu'Open ID était le seul potentiellement utilisable.

Non centralisé c'est « pas bien » comme tu dis, et la solution traditionnelle du login/mot de passe est très bien pour éviter ça. Je reproche à ce site de ne pas l'offrir, je ne lui reproche pas de permettre de se connecter en Open ID, faudrait voir à lire les commentaires avant d'attaquer.

ce n'est pas tant le fait qu'il utilise microsoft/twitter/facebook/github/google/yahoo, c'est surtout le fait qu'il n'y a pas possibilité de faire un compte autrement, donc on peut recouper tes informations plus facilement, t'identifier plus facilement, on t'incite à créer un compte sur ces sites si tu n'en as pas déjà un, et tu te retrouves exclus si tu refuses d'utiliser ces sites. Sauf pour OpenID (bien que comme mentionné plus haut il y a toujours le pb de la traçabilité plus facile), mais comme je l'ai dit c'est lourd à installer pour un seul site, et ça t'obliges à avoir un serveur.

Le concept est vraiment bien et tout le monde peut participer.

Non pas tout le monde, uniquement les gens qui ont un compte microsoft/twitter/facebook/github/google/yahoo/openid, le seul potentiellement utilisable dans le tas étant openid et c'est très lourd pour un seul site, cf https://linuxfr.org/users/nicolas_raoul/journaux/softwarerecommendations-le-nouveau-petit-frere-de-stackoverflow#comment-1532941

Tiens pendant qu'on y est, je cherche un co-voiturage Paris/Montpellier pour les RMLL, si y'a des gens qui ont une place libre, je suis preneur :)

merci pour la découverte, j'ai testé rapidement et on garde les raccourcis connus de mplayer/mplayer2 avec des améliorations agréables:

• le « Q » qui sauvegarde la position est une killer feature, clairement ! Rien que ça justifie le changement à mon avis: non seulement si on veut voir un film plus tard, mais aussi si on veut changer une options en ligne de commande sans devoir rechercher la position, c'est tout con, mais qu'est-ce que c'est pratique.

• pour les sous-titre le --autosub-match=fuzzy est super, plus besoin de mettre le nom exact ou de spécifier en ligne de commande, probablement à mettre dans la conf (par défaut c'est « exact »)

• pas de sortie de pause sur une commande et avance/retour plus pratiques (mais je crois que ça vient déjà de mplayer2 ça)

• les captures directement avec les raccourcis vont sûrement m'être utiles pour faire des vidéo webm (pour l'image affichée quand la vidéo ne tourne pas)

• lecture directe des vidéo sur les sites populaires de streaming (plus besoin de passer par weboob/youtube-dl apparemment, je n'ai pas testé): mpv https://www.youtube.com/watch?v=…

• possibilité de scripter en lua

• syntaxe en ligne de commande plus proche des standards type GNU, bien que l'ancienne soit conservée aussi

• une API pour embarquer mpv

cette page indique les différences plus en détails: https://github.com/mpv-player/mpv/blob/master/DOCS/man/en/changes.rst

Bref, je passais de plus en plus souvent à VLC en particulier pour la possibilité de booster la lecture sur un film très utile sur un portable en voyage. Là avec "Q" ça ne me semble plus nécessaire (je peux faire un --af volume=+10, à noter qu'il n'y a plus de "dB" à la fin). Hum, après lecture de la page de manuel, il y a même mieux: --softvol-max=xxx (200 par défaut) permet de booster pendant la vidéo et ça existait déjà dans mplayer, je n'avais jamais noté ! Apparemment --softvol est par défaut sur mpv ce qui n'est pas le cas sur mplayer.

Bon bref, apparemment du tout bon, je pense l'adopter aussi.

La question cependant est : qu'un élu ne le sache pas, c'est une chose, mais pourquoi n'y a-t-il donc pas des personnes compétentes dans les services municipaux de ces communes (Nice, c'est pas Trifouillis-les-Oies, avec ses 47 habitants…) ?!?

À Nice ils sont trop occupés à chasser les roms et autres personnes dans la misère :(

Ce genre de témoignage serait super intéressant pour la série « se passer de… », la partie idoine n'est pas pour tout de suite (plusieurs semaines voire mois), mais ça serait intéressant de commencer à mettre ce genre de choses: https://linuxfr.org/redaction/news/se-passer-de-google-facebook-et-autres-big-brothers-2-0

quelques jours après, de retour en France, je donne le lien magique à un gars qui faisait beaucoup de recherches sur le Web

on a trouvé le coupable !

Vu que Laurent Chemla est l'auteur du projet, cofondateur de Gandi et qu'il est au comité stratégique de la quadrature du net, je penche carrément pour la dernière option (et de toute façon je ne vois aucune ambiguïté quand on dit « supporter », la contexte est souvent clair).

Non, la confiance (et c'est comme ça que tu le décris) c'est quand tu te permet de réduire ta sécurité. Pleins de gens ont confiance en Google, tu pense que c'est de la sécurité ?

Euh non, la confiance est également utilisée en chiffrement: les autorités de certification par exemple, ou le web of trust qui est utilisé par PGP.

Pleins de gens sont curieux et aiment les potins leur laisser lire tes mails c'est de la sécurité ?

Qui parle de laisse lire les courriels ? Je te dis justement que ça joue un rôle parce que j'ai bien plus confiance en mes amis pour ne pas lire les courriel qu'en Google (que je sais le faire). Je sais à qui je peux laisser mon portable sans risque qu'il lise mes messages. Le chiffrement c'est la serrure, la confiance c'est d'estimer que la personne va tenter de la crocheter ou pas.

Mettre mon mot de passe sur un port-it à coté du clavier parce que j'ai confiance en mes collègues de boulots c'est de la confiance ?

Non, ça c'est juste tendre le bâton pour se faire battre. Laisser un post-it aux yeux de tous c'est un problème qui n'a rien à voir avec la confiance.

Clairement pas. C'est peut être suffisant chacun met le curseur de sécurité là où il le souhaite, mais ça n'est pas ce que l'on appel communément de la sécurité (après tu peut te faire ta définition, hein).

Encore une fois tu as lu à moitié, qui parle de suffisant ?

Là où tu as de la sécurité c'est quand tu es en mesure d'auditer, de vérifier, de contrôler,… et donc que tu as une transparence sur ce qui est fait de tes données. C'est en ça que le pote ou l'association peut se révéler meilleur en terme de sécurité.

Je n'ai jamais dit qu'il ne fallait pas faire ça si on en avait la possibilité (physique et technique).

La confiance c'est ce que te vendent les marketeux pour te faire manger du cheval payé au prix du bœuf.

Tu cite justement ce en quoi je n'ai pas confiance. Si un jour le maraîcher de mon AMAP me vend de fausses tomates cœur de bœuf, ma confiance sera trahie.

Ça veut dire qu'ils doivent se mettre à quelque chose de nouveau (est-ce que ça existe sur tous les terminaux qu'ils utilisent ? est-ce que c'est aussi pratique ?), ça veut dire que toi tu dois gérer 2 listes de contacts ceux avec qui tu chiffre et ceux avec qui tu ne chiffre pas, etc

oui donc on ne parle pas de la même chose, moi j'entendais avec des outils nouveaux, et dans le meilleur des mondes avec tout le monde qui les utilise. Avec les outils d'aujourd'hui ça ne peut pas se passer simplement ça on est d'accord.

Tu as parlé d'OTR pour faire de l'authentification ce qui n'a pas grand chose à voir. Je ne connais pas OTR.
Imaginons que je veuille aujourd'hui utiliser OTR et que mes contacts ont des logiciels qui gèrent OTR. Si je me mets à l'utiliser, je présume que je dois créer une paire de clefs ou un mot de passe ou quelque chose comme ça. Qu'est ce que doivent faire mes contacts pour pouvoir lire mes messages ?

la création de clef peut être automatisée, la négociation est faite par les logiciels (en gros ça chiffre tout seul, mais si tu veux t'assurer de l'identité de ton contact, avec la V2 il y a une clef à vérifier par un canal séparé, ou une question secrète à répondre, en V3 tu n'as rien à faire). Bon OTR n'est pas adapté, c'est pour de la messagerie instantanée en texte uniquement, c'était juste un exemple pour montrer que ça peut être simple.

le chiffrement de bout en bout → personne ne doit être capable de le déchiffrer mis à part ton interlocuteur, donc c'est impossible que ce soit transparent

je ne vois pas la relation de cause à effet, ou alors on ne parle pas du même transparent. Est-ce que tu entends transparent = sans que ça se voit avec les outils actuels, ou sans que ça se voit tout court (c.-à-d. même une fois l'outil changé). Si c'est dans le deuxième cas, j'ai donné l'exemple d'OTR v3+ qui ne demande plus de vérification manuelle.

le chiffrement pas de bout en bout → est-ce que c'est vraiment un plus ? Est-ce que la version sécurisée SMTP ne suffit pas ?

Oui bien sûr que c'est un plus. Même si mon serveur et celui de mon correspondant (qu'on peut tout à fait administrer nous même) voient le message en clair, c'est déjà bien de le protéger des autres yeux indiscrets.

Tu lis à moitié. Je dis qu'il y a des solutions techniques, mais elles sont (et seront probablement toujours) insuffisantes. Et oui la confiance joue un rôle en sécurité: je n'ai aucun problème à laisser mes clefs à ma famille ou mes amis, voire parfois (assez souvent en fait) à des inconnus, et pourtant ils pourraient s'en servir pour fouiller dans ma vie très facilement. À côté de ça, j'ai un gros problème à laisser des messages dans les mains de Google ou FB.

Pour faire simple: j'ai clairement plus confiance en une association, surtout si je connais les gens, qu'en de grosses entreprises avec des milliers d'employés (et souvent des pratiques qu'on sait douteuses).

le rôle des associations est sous-estimé. Par exemple j'ai été en contact avec Nanterrux (j'avais invité à faire une conf avec eux): ils font ce genre de choses: gestion de serveurs, des sauvegardes, support humain (c.-à-d. à proximité, et sans suivre un questionnaire pré-établi ou prendre les gens pour des cons), rencontres conviviales etc.

Pour les courriels j'ai conseillé mailoo a plusieurs amis qui en sont très contents (et qui sont prêts à donner quelques euros de temps en temps pour ça). Enfin on y reviendra dans la prochaine dépêche de toute façon.

Un serveur c'est pas forcément « celui qui s'y connaît » dans la famille, ça a bien plus de sens si c'est des associations. Ça peut poser d'autres problèmes (quelqu'un qu'on connaît aura plus intérêt à lire nos courriels), mais il y a des solutions techniques (chiffrement), et surtout un truc qu'on perd pas mal: la confiance.

Bref, il faudrait augmenter le nombre d'associations, et qu'elles collaborent facilement entre elles. Quand je vois les réseaux de distribution impressionnant qui s'organisent avec les AMAP par exemple, je me dis que dans l'info c'est tout à fait faisable. Je pense aussi qu'il faudrait beaucoup de petites assoces qui collaborent, plutôt qu'un énorme truc au niveau national.

pas nécessairement: si tu mets de côté les problème d'autorité de vérification, SSL est relativement facile. OTR V3+ est capable de vérifier l'identité du contact sans intervention manuelle. Après oui ça nécessite un changement d'outil, c'est peut-être ça que tu entendais, mais ça n'est pas forcément beaucoup complexe…

Oui, avec SàT c'est ce que nous prévoyons, cf Recevez et envoyez vos messages XMPP/Jabber avec votre lecteur de courriel grâce à Salut à Toi !.

Il y a encore du boulot pour remplacer SMTP, mais c'est envisageable à pas si long terme.

Salut,

est-ce qu'il y a des gens impliqués dans le projet dans les contributeurs de la dépêche (je dis ça à cause du « je » dans « nombreux j'espère ») ?

Bon c'est un projet dont j'avais déjà entendu parlé (j'ai loupé la conf à l'Ubuntu Party, mais je me rattraperai à Pas Sage en Seine), qui jusqu'ici me paraissait très très flou, c'est bien qu'il y ait une dépêche pour éclaircir :).

À première vu il y a beaucoup d'idées communes, d'ailleurs ça partage beaucoup de points avec des projets actuels comme Movim, Friendica, ou Salut à Toi (installation simple je pense qu'on le souhaite tous, unification des outils de communication c'est très à la mode, vues personnalisées ça en découle logiquement, confidentialité ça tout le monde y pense clairement).

Je ne suis pas fan du tout de jouer sur le côté « ludique » et la compétition, pour différentes raisons:

• je n'aime pas ce tout divertissement permanent ni l'infantilisation qui l'accompagne

• j'aime encore moins (pour ne pas dire déteste) la mise en compétition qui devient de plus en plus courante aussi (et qui s'ancre dans les esprits comme la meilleure façon d'avancer, y compris chez les libristes, pfffff)

• je pense que les gens sont capables de comprendre les choses quand elles sont présentées correctement. On leur demande pas de comprendre les algos ou l'implémentation, mais ce qu'est le chiffrement et pourquoi c'est important tout le monde est capable de le comprendre.

Ceci dit, je trouve les idées d'afficher une « barre de confidentialité » et une dégradation en fonction de l'environnement très bonnes.

Maintenant question technique: y'a quoi en dessous ? C'est une sur-couche à SMTP et consort ? Ça utilise un protocole maison ? Un protocole connu (XMPP ?) ? C'est un outil de centralisation des communication un peu comme un super Pidgin, ou un truc décentralisé capable de communiquer avec d'autre Caliopen ?

Bon bref, c'est encore flou pour moi, et pour le moment je suis un peu mi figue mi raisin sur ce projet.

edit: j'ai oublié de dire un autre bon point: l'interface a l'air claire et accessible sur la capture

Où je ne suis pas calme ? Je dis juste que pinailler sur ce genre de truc ça fait 6 mois qu'on peut le faire, maintenant vous pouvez toujours le faire pour les prochaines.

On parle des moteurs de recherche ici, elle est valide dans ce cas. Sinon ça fait 6 mois au doigt mouillé que le dépêche est en rédaction collective, personne ne vous a empêché de faire les corrections qui vont bien…

elles n'ont pas été mise parce qu'un service propriétaire implique que ça soit centralisé (enfin techniquement non on pourrait avoir un blob binaire à installer chez soi, ou ça pourrait être réparti entre plusieurs boîtes, mais en pratique c'est toujours le cas).

mysearch comme présenté dans le journal était centralisé, visiblement ça n'est plus le cas. Le fait de pouvoir installer une instance chez soi ne le rend pas décentralisé pour autant: elgg est centralisé et tu peux l'installer chez toi, de même que dotclear ou wordpress.

super ! Est-ce qu'un modo peut mettre une note dans la dépêche vers ce commentaire ?