Les développeurs de GnuPG sont taquins, ils ont sorti GnuPG 2.1.23 le 9 août, soit une quinzaine de jours à peine après GnuPG 2.1.22.
Cette version apporte un changement important pour les mainteneurs des paquets GnuPG : jusqu’à présent, le binaire principal de GnuPG 2.x s’appelait gpg2, le nom gpg étant réservé au binaire de la branche 1.x. À partir de cette version 2.1.23 la logique est inversée : gpg désigne par défaut la branche « moderne » de GnuPG (2.1), gpg1 désignant la branche « classique » (1.x).
Les distributions sont bien sûr toujours libres de changer ça comme elles l’entendent (chez certaines, gpg désignait déjà la branche 2.x depuis bien longtemps — rien ne changera donc pour les utilisateurs de ces distributions).
Parmi les autres changements, on notera que désormais le comportement par défaut de l’agent GnuPG est de ne pas saisir le clavier et la souris lorsque l’utilisateur est invité à saisir une phrase de passe (option --no-grab). Une des raisons de ce changement est qu’apparemment le “grabbing” du clavier et de la souris n’est pas possible avec Wayland (cf. cette discussion sur le bug tracker de GnuPG). Les utilisateurs de X (où le grabbing est possible) peuvent restaurer l’ancien comportement par défaut en ajoutant l’option grab dans ~/.gnupg/gpg-agent.conf.
Il est désormais possible d’examiner une clef sans l’importer dans son trousseau public avec l’option --import-options show-only.
On peut interdire à GnuPG toute interaction avec le réseau avec l’option --disable-dirmngr.
Je ne suis pas utilisateur et je ne connais pas assez bien le projet pour répondre à la plupart des questions, mais sur celle-là :
D'autre part, est-ce qu'on a une idée du nombre d'utilisateurs ?
ce que je peux dire est que Hubzilla représente environ 6% des nœuds connus de ma propre instance Friendica (128 nœuds sur 2244, précisément). Évidemment, ce n’est pas forcément représentatif de l’ensemble de la Fédération, c’est seulement ce que voit mon serveur…
Pour information, la Fédération vue depuis mon serveur, c’est précisément :
Là où l'article est carrément moins intéressant c'est qu'ils sous-entendent que ça serait la faute de l'open source
Il faut bien préciser que c’est le journaleux de Futura-Sciences qui fait ce sous-entendu, qui n’apparaît nulle part dans l’article original. Les auteurs ont étudié des programmes open source parce que ① par définition on peut étudier leur code source (et donc trouver des failles potentielles sans recourir au fuzzing ou autres techniques assimilées) et ② la plupart des programmes d’analyse de séquences sont de toutes façons open source. Mais à aucun moment le caractère open source de ces programmes n’est avancé comme une cause de leurs vulnérabilités, contrairement à ce que prétend l’article de Futura-Sciences…
Il est aussi intéressant de noter que la « preuve de concept » rapportée a été établie avec une vulnérabilité délibérément introduite dans un logiciel open source par les auteurs de l’article (pourquoi se fatiguer à chercher une vraie vulnérabilité exploitable quand on peut la créer soi-même).
Quand j'achète un téléphone, si je le démonte complètement, je perds la garanti. Mais ce n'est pas pour autant que je ne suis pas libre de le démonter.
Sauf qu’ici, le vendeur du téléphone (et de la garantie associée) a lui-même obtenu le téléphone (et le droit de te le revendre) en vertu d’un contrat qui lui interdit d’interdire son client de le démonter…
Toute la question est de savoir si associer la garantie à une condition de non-démontage (« j’ai pas le droit de vous interdire de démonter le téléphone, mais si vous le faites, je fais sauter la garantie ») est une violation de ce contrat. Ça semble être évidemment le cas pour certains, et tout aussi évidemment pas le cas pour d’autres — donc ce n’est probablement pas évident du tout.
(Et c’est une question qui ne sera vraisemblablement pas tranchée par l’affaire Grsecurity contre Bruce Perens, parce que la question essentielle dans ce litige est plutôt « Bruce Perens a-t-il tenu des propos diffamatoires ? » — la question de l’éventuelle violation de la GPL sera au mieux abordée de manière périphérique, voire pas abordée du tout à mon avis.)
mais si vous êtes pas un bon partenaire commercial on fera plus de business à l'avenir
Ce n’est pas seulement « on ne fera plus de business à l’avenir », c’est aussi et avant tout « nous révoquons unilatéralement votre accès aux mises à jour de notre produit pour lequel vous avez souscrit un abonnement — et peut-être qu’on vous remboursera les mois de souscription perdus, peut-être pas, ce sera à notre convenance. » (the Company will at its own discretion refund payment for any remaining pre-paid period.)
Le contrat privé entre les deux est peut-être attaquable, j'en sais rien, mais dire qu'ils violent la GPLv2 sur un code qui n'existe même pas, c'est un peu fort de café.
Personne ne parle d’un code qui n’existe même pas.
Si violation de la GPL il y a, c’est celle qui concerne le code du noyau Linux à partir duquel ils ont dérivé leur patch v2.0 (et qu’ils ont vendu ensuite à leurs clients).
Toute la question est de savoir si la clause dans leur contrat de souscription stipulant que ladite souscription est annulée en cas de redistribution constitue une further restriction on the recipients’ exercise of the rights granted [in the GPL]. Si oui, alors Grsecurity viole la GPL entre les développeurs du noyau et eux-mêmes.
Mais ils gardent la liberté de t'envoyer balader pour les versions suivantes, qu'ils ne t'ont pas encore donnée, donc sur lesquels tu n'as pour l'instant aucun droit.
Si je comprends bien, les clients ont payé non seulement pour la version actuelle, mais aussi pour les versions suivantes (au moins jusqu’à la fin de l’abonnement souscrit).
Donc la GPL ne te donne évidemment aucun droit sur les versions suivantes, mais le contrat avec Grsecurity, lui, te donne le droit de te procurer les versions suivantes (toujours sous les conditions de la GPL). Et c’est ce droit-là que Grsecurity te retire unilatéralement si tu exerces ta liberté de redistribution sur la version actuelle.
La phrase, telle que je la comprend, a 2 parties : son opinion est d'éviter, mais pourquoi? réponse en deuxième partie, car ça enfreint, sans opinion (présenté comme un fait "because it presents", et le mot à la fin "risk" ne tempère que peu)
Je lis la phrase un petit peu différemment. Pour moi, le “It’s my strong opinion” s’applique à la phrase entière :
It’s my strong opinion that
you should avoid… (opinion)
because it presents… (opinion aussi)
au lieu de
It’s my strong opinion that you should avoid… (opinion)
because it presents… (affirmation)
Mais je suis d’accord que la formulation est ambigüe. Et venant d’un “intellectual property specialist” (donc quand même un peu juriste même si pas “avocat”), je me demande si l’ambigüité n’est pas voulue…
Sur le fond du sujet, je me permets de reposter ce message de Jonathan Corbet sur LWN, selon lequel ce que fait Grsecurity serait conforme aux termes de la GPL :
You can't forbid redistribution, but you can terminate the contract if redistribution happens. I remember that even Richard Stallman has said that such terms are legitimate, though I can't find the reference now.
Mais comment dans le même temps conclure que Linux c'est mieux, alors qu'il n'est même pas le sujet de l'étude ?
Je ne vois pas où l’auteur conclut que « Linux c’est mieux ».
Le constat initial était que Linux a beaucoup plus de vulnérabilités que les noyaux BSD, ce que de Raadt mettait sur le compte du fait que les développeurs BSD, eux, se préoccupent vraiment de la Qualité (la majuscule est d’origine) — ce que je me permettrais de traduire grossièrement par « BSD c’est mieux ».
L’auteur montre simplement que quand on cherche des vulnérabilités dans les BSD, surprise : on en trouve. À aucun moment il ne dit que ça signifie que Linux est « mieux ».
Par contre, même sur le net, on en parle quand même très peu, il y a peu de références à elle
En même temps, pourquoi parlerait-on d’une distribution dont le (quasi-)seul développeur n’est pas une grande gueule, n’a pas d’opinion tranchée sur Systemd, Wayland, Flatpak ou tous les autres sujets qui animent les forums des autres distributions, et globalement fait son job dans son coin sans faire d’histoires ? (À ma connaissance, la seule opinion tranchée bien connue de Patrick Volkerding est sa préférence marquée pour KDE par rapport à GNOME, et même là-dessus on ne peut pas dire qu’il soit très véhément.)
Slackware n’est pas non plus une distribution qui se fixe des objectifs grandiloquents (genre faire tomber Windows de son piédestal sur le marché du desktop, cf. un certain « bug numéro 1 »), et ne se précipite pas pour intégrer les dernières nouveautés.
Franchement, pourquoi parlerait-on de Slackware ? Les seules fois où il y a quelque chose à dire sur cette distribution, c’est pour annoncer une nouvelle version. Et à chaque fois, ça semble d’ailleurs surprendre du monde de constater que, ah tiens, Slackware est encore là.
Ben oui, Slackware est encore là. Ce n’est pas parce ce qu’elle est médiatiquement inexistante qu’elle a cessé d’être.
Je suggère respectueusement que l’on évite de lui poser des questions dont la réponse se trouve en consultant le code source… less est un logiciel libre après tout.
En l’occurence, aucune trace dans le code d’une quelconque « bibliothèque vim ». L’auteur ne cache pas que « les commandes sont basés sur vi et sur more », mais a implémenté lui-même les comportements en question.
Slackware (on voit mal Patrick Volkerding changer le système d'init particulier de la distribution)
En quoi le système d’init de la Slackware est « particulier » ?
Slackware n’a pas un init qui lui est propre, elle utilise le sysvinit de Miquel van Smoorenburg dont l’historique remonte à 1992 (un an avant la naissance de la Slack). Rien de spécifique à Slackware, Debian et RedHat par exemple utilisaient aussi cet init.
Et moi ce que je vois mal, c’est Patrick Volkerding se farcir la maintenance d’une alternative à Systemd. Le jour où intégrer Systemd représentera moins de travail que de continuer à faire en sorte que tout fonctionne sans Systemd, m’est avis que la décision sera vite prise (comme ça a été le cas pour PulseAudio, quand Pat s’est rendu compte que les dernières versions de Bluez — la pile Bluetooth pour Linux — dépendaient de PulseAudio).
Voilà, je suis prêt à parier que dans les mois qui vont venir, certains seront tentés de migrer de distribution, si ce n'est déjà fait.
Bof, pas si sûr.
Tiens, puisqu’on parle de Slackware, quelqu’un a prophétisé un « exode massif » des Slackeux vers les BSD si jamais un jour Slackware passe à Systemd. J’avoue n’avoir pas lu les 113 pages (!) de la discussion, mais rien qu’à voir quelques réactions sur la première page, cette prophétie a l’air assez bancale :
several Slackware users have declared, in this forum, that if Patrick decides to adopt systemd, they will trust his judgement and continue using Slackware.
[…]
I really don't see the sense in advising Slackware users to just switch to *BSD.
[…]
I trust Patrick Volkerding to make sound decisions, and if this means shipping systemd in the future, well, so be it.
[…]
Should Slackware ship systemd as a whole, that won't be in the upcoming release, so I'm not in a hurry, and anyway I'd (fairly, IMO) give it a go if/when that happens before making a decision to move or not.
[…]
Init is not a make or break issue for me, nor do I really believe that it is for the majority of users. I can't see why we should sacrifice everything great about Slackware just to avoid systemd.
[…]
Who here selected Slackware purely because of its init? I'm not saying it wasn't a factor for some people but I doubt it was in the primary selection criteria for most.
[…]
Well, I'm pretty anti-systemd and can't stand its creator, but I don't think I'll be dumping Slackware if and/or when it's adopted.
Et je m’ajoute volontiers à cette liste : si j’apprécie Slackware, c’est pour la distribution dans son ensemble, pas parce qu’elle est systemd-free.
Ah , et pour donner des sueurs froides à certains : Systemd dans Slackware, ça existe déjà. :D
Outre le fait qu’ils semblent fournir un service moderne (config TLS digne de ce nom, DNSSEC, DANE, HSTS, OPENPGPKEY/SMIMEA¹), j’apprécie tout particulièrement le fait qu’ils ne sont pas avares d’explication sur ce qu’ils font. Leur page sur le chiffrement est un modèle du genre, ça change agréablement de tous les fournisseurs de services « sécurisés » qui se sont créés après les révélations de Snowden en clamant « faites-nous confiance chez nous vos mails sont à l’abri, la preuve on utilise PGP » mais dont on a bien du mal à discerner exactement ce qu’ils ont à apporter…
Disclaimer : Je ne suis pas client chez eux, je n’ai jamais essayé leur service.
¹ À mon humble connaissance, c’est le premier fournisseur de messagerie à proposer la publication des clefs OpenPGP de leurs clients dans le DNS. Rien que pour ça, je les aime. Si je n’avais pas déjà pas mon propre serveur mail depuis des années, c’est volontiers chez eux que j’irais.
Le seul soucis est que pour le moment certaines fonctionnalités comme celles-ci ne sont pas encore standardisées
Non. Le soucis est qu’Adobe s’est empressé, à peine la version ISO (qui comprenait déjà des fonctionnalités d’inclusion de formulaires ou de vidéos, ça ne date pas d’hier) publiée, de créer des extensions non-standard dupliquant ces mêmes fonctionnalités. Et que depuis les outils Adobe de création de PDF (Adobe Acrobat, Adobe LiveCycle) génèrent par défaut des PDF utilisant les extensions non-standard au lieu de leurs homologues standardisés.
Le soucis, c’est aussi qu’on s’arrête un peu vite au fait que « PDF = standard » sans se poser de questions, alors qu’entre les différentes versions, les différents profils (PDF/A-1, PDF/A-2, PDF/A-3, PDF/E, PDF/UA, PDF/X-1a, etc), les différentes extensions… c’est un peu plus compliqué que ça.
On ne m’ôtera pas de l’idée que cette confusion fait bien les affaires de Adobe…
Ça dépend de la technique utilisée. Si ce sont des objets PDF Artwork, a priori oui ça a été introduit dans PDF 1.6 donc ça doit figurer dans la version ISO (qui est basée sur la version 1.7). Si c’est du Flash, alors non, c’est une extension postérieure à la standardisation.
(C’est en gros la même situation que pour les formulaires : il y a le format Acrobat Forms, dans le standard, et le format XML Forms Architecture, rajouté ensuite. Et c’est aussi la même chose pour les vidéos : il y a les Screen Annotations dans le standard, puis les RichMedia, ajoutés ensuite. Il y a comme un pattern ici…)
Cette dualité PA/Jack est en effet très énervante quand on souhaite un ordinateur "desktop" qui puisse aussi se transformer en station de travail audio, sans avoir à installer une distrib dédiée en dual-boot ou sans impacter sur la partie desktop.
J’ai un ordinateur « desktop » (bon, « laptop » en réalité) que j’utilise pour tout et qui « se transforme aussi en station de travail audio ». Je n’ai jamais installé de distribution dédiée à l’audio-numérique : je n’ai qu’un seul système sur cette machine, pour l’usage « desktop » et pour l’usage « audio ». Et mon utilisation « audio » n’a jamais impacté l’utilisation « desktop ».
C'est clairement pas plug'n play.
Ça pourrait l’être. Ça ne l’a pas été chez moi parce que j’utilise Slackware, donc bon je l’ai un peu cherché, mais rien de ce que j’ai eu à faire pour avoir un système « dual-use » desktop/audio-pro (installer Jack, créer un cgroup dédié aux applications audio avec les privilèges temps-réel, faire cohabiter Jack et PulseAudio) ne pourrait pas être fait automatiquement par les distributions (et pas seulement les distributions dédiées à l’audio pro). Peut-être pas par défaut, mais par exemple dès que l’utilisateur demande l’installation d’Ardour, Rosegarden, ou toute autre application marquée « audio pro », boum : on installe automatiquement Jack et on configure tout pour que ça marche tout seul. Qu’on ne me dise pas que ce n’est pas possible.
Mais peaufiner ce genre de détails d’intégration est moins excitant que d’annoncer yet-another-framework-de-base qui va tout révolutionner, c’est vrai…
Sinon il y a aussi Master PDF Editor, qui prend en charge les formulaires XFA.
C’est toujours non-libre (le free ici est du free as in free beer, not as in free speech), mais au moins ça fonctionne nativement sous GNU/Linux, ce que je préfère encore à faire fonctionner Acrobat Reader via WINE…
Non, je ne vais pas payer quelqu'un pour faire du reverse-engineering sur un format fermé
[…]
il utilise des fonctionnalités qui ne sont pas standard (et non documentées)
Pas la peine de faire du reverse-engineering, les formulaires XFA ne sont certes pas standardisés mais ils sont documentés¹. Il faut juste se farcir 1584 pages de specs.
Apparemment, le futur PDF 2.0 (en cours de standardisation à l’ISO) inclura un truc appelé XML Forms Data Format qui je suppose est une sorte de XFA. Évidemment, l’ISO étant l’ISO, les parties normatives du standard (ce qui compte, quoi) ne sont pas publiquement accessibles sans sortir le porte-monnaie, parce que bon faut pas déconner quoi.
¹ J’ai pas mal de choses à reprocher à Adobe (standardiser un format de formulaire puis sortir juste après un autre format non-standard, et fournir des outils de création de PDF qui utilisent par défaut le format non-standard, c’est quand même un sacré coup de pute™), mais pour autant que je sache ils ont toujours documenté leurs formats.
mais de savoir si les PDF avec formulaires sont standards ou pas :
Les formulaires « Acrobat Forms » font partie du standard (et sont pris en charge par plusieurs lecteurs libres), mais pas les formulaires « XML Forms Architecture », qui ont été ajoutés au format après sa standardisation (et qui ne sont quasiment pris en charge par aucun autre logiciel que Acrobat, et encore même pas la version GNU/Linux, Adobe a explicitement renoncé à en implémenter le support parce que c’était trop compliqué).
Au passage, même les formulaires standards (Acrobat Forms) sont interdits dans certains profils du format PDF destinés à l’archivage.
Je ne sais pas de quel mythe tu parles, mais je ne crois pas que quiconque ait prétendu que ASIO avait quelque chose à voir avec le temps réel…
Au passage, attention à ne pas confondre « faible latence » et « ordonnancement en temps réel ». En gros, la latence, c’est le temps de traitement, le délai entre l’entrée et la sortie. L’ordonnancement en temps réel, c’est le fait de garantir un délai de traitement le plus constant possible, qu’il soit court ou long.
L’ordonnancement en temps réel est strictement du ressort du noyau¹, un démon en espace utilisateur comme Jack n’a pas d’impact là-dessus. Au maximum, on peut augmenter la latence au profit du temps réel : en gros, si le système n’arrive pas à garantir qu’il peut traiter les données en 8 ms, on va lui demander de le faire en 16 ms, parce qu’une latence plus élevée mais régulière est généralement préférable, en audio, à une latence plus faible mais erratique.
Ah, et concernant Windows qui ne serait « pas RT » : Windows est tout-à-fait capable de faire du « temps réel mou » (= le système fait son maximum pour respecter les délais, mais hé ho hein bon, parfois il peut être à la bourre, ça arrive aux meilleurs), tout comme Linux. Il ne peut pas faire du temps réel « dur » (= strictement aucun retard permis, c’est peut-être une question de vie ou de mort), mais de toute façon aucun système d’exploitation généraliste ne le peut (même Linux avec le patch -rt) — le temps réel dur nécessite un OS expressément et entièrement conçu dans ce but.
¹ Ce qui, aujourd’hui, ne nécessite plus forcément le patch -rt. Plusieurs des fonctionnalités de ce patch ont été progressivement intégré au noyau mainline, dans bien des cas c’est suffisant. Je recommande systématiquement au MAOïste amateur de faire ses premiers essais avec un noyau standard, et seulement si nécessaire de passer à un noyau -rt.
Et puis la confusion? La bonne blague, les utilisateurs lambda ne savent sans doute pas qu'ils utilisent PulseAudio.
Les utilisateurs lambda, sans doute pas, mais les fameux « créateurs de contenu » (ceux dont le but du projet est de faire des « citoyens de première classe », et c’est la seule putain de raison avancée), eux, savent qu’ils utilisent Jack (tout comme les mêmes « créateurs » sous Windows savent qu’ils utilisent ASIO.
Parce que le dév avait envie, ou qu'il avait une vision différente à proposer, ou parce qu'il veut coder en Go et pas en Java, qu'importe!
Peu importe la raison, OK, c’est le droit le plus strict du développeur.
Mais lorsque la raison, c’est grosso modo « on veut que les créateurs de contenu soient des citoyens de première classe, sous-entendu je méprise tout le travail abattu par tous les développeurs de logiciels d’audio-numérique depuis vingt ans sous GNU/Linux — grâce à qui les “créateurs” sont des citoyens de première classe sous GNU/Linux aujourd’hui — et je propose donc une nouvelle fois de tout recommencer à zéro » … mon droit le plus strict est de dire que c’est une raison à la con, qui va directement à l’encontre de l’objectif affiché — tellement à l’encontre d’ailleurs que je ne peux pas croire que ce soit la véritable raison, à mon avis c’est surtout un cas supplémentaire de NIH.
Je le redis : ce dont ont besoin les « créateurs », ce sont des applications. Changer une brique de base utilisée par tout le monde (enfin, le petit monde des utilisateurs audio « pro ») et dont personne ne se plaint, ça ne va aider personne. Ça n’aidera sûrement pas à donner l’impression qu’on est à l’écoute des attentes des utilisateurs.
Merde, GNU/Linux sur le desktop, c’est une maison dont on veut en permanence recouler les fondations alors que les occupants n’attendent plus que le carrelage dans la salle de bains et la peinture sur les murs…
(Pour info, depuis au moins vingt ans que Steinberg a inventé ASIO, personne n’a songé à le remplacer juste pour satisfaire un syndrome NIH, pas même les concurrents de Steinberg.)
Pourquoi vouloir remplacer un composant qui ne pose aucun problèmes à ses utilisateurs par un truc encore en conception et même pas conçu pour faire la même chose ?
Autant je peux comprendre qu’on ait voulu remplacer aRtsd ou EsounD par PulseAudio (unification de couches concurrentes), autant je peux comprendre qu’on ait voulu remplacer SysVinit par Systemd (remplacement d’un outil devenu trop limité parce que trop vieux), autant je ne comprends pas l’intérêt de remplacer Jack par PipeWire. Et le post de blog mentionné ne donne aucune raison, autre que « donner aux créateurs l’impression d’être des citoyens de première classe » — alors que cette proposition, au mieux ne changera rien, au pire créera de la confusion (et renforcera encore un peu plus l’idée que décidément GNU/Linux n’est pas prêt pour le desktop, ils en sont encore à chercheur leurs briques de base au lieu de se concentrer sur les applications attendus par les utilisateurs).
(Ah, et comme je la vois venir : non, PipeWire qui remplacerait à la fois Jack et PulseAudio n’est pas comparable à PulseAudio qui a remplacé aRtsd et EsounD — comme déjà expliqué, PulseAudio et Jack n’ont pas le même rôle, ce que leurs développeurs respectifs reconnaissent très bien.)
Ben non, j’explique que je n’ai rien à gérer, ça marche tout seul. C’est si difficile à croire que des choses peuvent fonctionner out-of-the-box sous GNU/Linux ?
Ouais, il « suffit » que les développeurs d’applications (qui n’ont que ça à foutre) implémentent le support de Jack ET de PipeWire. Une broutille, quoi.
# GnuPG 2.1.22 → GnuPG 2.1.23
Posté par gouttegd . En réponse à la dépêche Nouvelles versions logicielles du projet GNU juin et juillet 2017. Évalué à 10.
Les développeurs de GnuPG sont taquins, ils ont sorti GnuPG 2.1.23 le 9 août, soit une quinzaine de jours à peine après GnuPG 2.1.22.
Cette version apporte un changement important pour les mainteneurs des paquets GnuPG : jusqu’à présent, le binaire principal de GnuPG 2.x s’appelait
gpg2, le nomgpgétant réservé au binaire de la branche 1.x. À partir de cette version 2.1.23 la logique est inversée :gpgdésigne par défaut la branche « moderne » de GnuPG (2.1),gpg1désignant la branche « classique » (1.x).Les distributions sont bien sûr toujours libres de changer ça comme elles l’entendent (chez certaines,
gpgdésignait déjà la branche 2.x depuis bien longtemps — rien ne changera donc pour les utilisateurs de ces distributions).Parmi les autres changements, on notera que désormais le comportement par défaut de l’agent GnuPG est de ne pas saisir le clavier et la souris lorsque l’utilisateur est invité à saisir une phrase de passe (option
--no-grab). Une des raisons de ce changement est qu’apparemment le “grabbing” du clavier et de la souris n’est pas possible avec Wayland (cf. cette discussion sur le bug tracker de GnuPG). Les utilisateurs de X (où le grabbing est possible) peuvent restaurer l’ancien comportement par défaut en ajoutant l’optiongrabdans~/.gnupg/gpg-agent.conf.Il est désormais possible d’examiner une clef sans l’importer dans son trousseau public avec l’option
--import-options show-only.On peut interdire à GnuPG toute interaction avec le réseau avec l’option
--disable-dirmngr.[^] # Re: Identité nomade
Posté par gouttegd . En réponse à la dépêche Sortie de Hubzilla 2.6. Évalué à 4.
Je ne suis pas utilisateur et je ne connais pas assez bien le projet pour répondre à la plupart des questions, mais sur celle-là :
ce que je peux dire est que Hubzilla représente environ 6% des nœuds connus de ma propre instance Friendica (128 nœuds sur 2244, précisément). Évidemment, ce n’est pas forcément représentatif de l’ensemble de la Fédération, c’est seulement ce que voit mon serveur…
Pour information, la Fédération vue depuis mon serveur, c’est précisément :
# Déformation journalistique
Posté par gouttegd . En réponse au journal ADN overflow : c'est de la faute de l'open source. Évalué à 10.
Il faut bien préciser que c’est le journaleux de Futura-Sciences qui fait ce sous-entendu, qui n’apparaît nulle part dans l’article original. Les auteurs ont étudié des programmes open source parce que ① par définition on peut étudier leur code source (et donc trouver des failles potentielles sans recourir au fuzzing ou autres techniques assimilées) et ② la plupart des programmes d’analyse de séquences sont de toutes façons open source. Mais à aucun moment le caractère open source de ces programmes n’est avancé comme une cause de leurs vulnérabilités, contrairement à ce que prétend l’article de Futura-Sciences…
Il est aussi intéressant de noter que la « preuve de concept » rapportée a été établie avec une vulnérabilité délibérément introduite dans un logiciel open source par les auteurs de l’article (pourquoi se fatiguer à chercher une vraie vulnérabilité exploitable quand on peut la créer soi-même).
[^] # Re: Les quatre libertés des logiciels libres
Posté par gouttegd . En réponse au journal Grsecurity attaque Bruce Perens en justice pour diffamation. Évalué à 7.
Sauf qu’ici, le vendeur du téléphone (et de la garantie associée) a lui-même obtenu le téléphone (et le droit de te le revendre) en vertu d’un contrat qui lui interdit d’interdire son client de le démonter…
Toute la question est de savoir si associer la garantie à une condition de non-démontage (« j’ai pas le droit de vous interdire de démonter le téléphone, mais si vous le faites, je fais sauter la garantie ») est une violation de ce contrat. Ça semble être évidemment le cas pour certains, et tout aussi évidemment pas le cas pour d’autres — donc ce n’est probablement pas évident du tout.
(Et c’est une question qui ne sera vraisemblablement pas tranchée par l’affaire Grsecurity contre Bruce Perens, parce que la question essentielle dans ce litige est plutôt « Bruce Perens a-t-il tenu des propos diffamatoires ? » — la question de l’éventuelle violation de la GPL sera au mieux abordée de manière périphérique, voire pas abordée du tout à mon avis.)
[^] # Re: Les quatre libertés des logiciels libres
Posté par gouttegd . En réponse au journal Grsecurity attaque Bruce Perens en justice pour diffamation. Évalué à 5. Dernière modification le 06 août 2017 à 23:37.
Ce n’est pas seulement « on ne fera plus de business à l’avenir », c’est aussi et avant tout « nous révoquons unilatéralement votre accès aux mises à jour de notre produit pour lequel vous avez souscrit un abonnement — et peut-être qu’on vous remboursera les mois de souscription perdus, peut-être pas, ce sera à notre convenance. » (the Company will at its own discretion refund payment for any remaining pre-paid period.)
[^] # Re: Pas d'informations et pas de contact
Posté par gouttegd . En réponse au journal Openmailbox. Évalué à 4.
Ne cherche pas, c’est explicitement impossible.
Ils expliquent leur décision à ce sujet dans leur FAQ (Can I use Posteo with my own domains?).
[^] # Re: Les quatre libertés des logiciels libres
Posté par gouttegd . En réponse au journal Grsecurity attaque Bruce Perens en justice pour diffamation. Évalué à -1.
Personne ne parle d’un code qui n’existe même pas.
Si violation de la GPL il y a, c’est celle qui concerne le code du noyau Linux à partir duquel ils ont dérivé leur patch v2.0 (et qu’ils ont vendu ensuite à leurs clients).
Toute la question est de savoir si la clause dans leur contrat de souscription stipulant que ladite souscription est annulée en cas de redistribution constitue une further restriction on the recipients’ exercise of the rights granted [in the GPL]. Si oui, alors Grsecurity viole la GPL entre les développeurs du noyau et eux-mêmes.
[^] # Re: Les quatre libertés des logiciels libres
Posté par gouttegd . En réponse au journal Grsecurity attaque Bruce Perens en justice pour diffamation. Évalué à 8.
Si je comprends bien, les clients ont payé non seulement pour la version actuelle, mais aussi pour les versions suivantes (au moins jusqu’à la fin de l’abonnement souscrit).
Donc la GPL ne te donne évidemment aucun droit sur les versions suivantes, mais le contrat avec Grsecurity, lui, te donne le droit de te procurer les versions suivantes (toujours sous les conditions de la GPL). Et c’est ce droit-là que Grsecurity te retire unilatéralement si tu exerces ta liberté de redistribution sur la version actuelle.
[^] # Re: Diffamation vs opinion
Posté par gouttegd . En réponse au journal Grsecurity attaque Bruce Perens en justice pour diffamation. Évalué à 4.
Je lis la phrase un petit peu différemment. Pour moi, le “It’s my strong opinion” s’applique à la phrase entière :
au lieu de
Mais je suis d’accord que la formulation est ambigüe. Et venant d’un “intellectual property specialist” (donc quand même un peu juriste même si pas “avocat”), je me demande si l’ambigüité n’est pas voulue…
Sur le fond du sujet, je me permets de reposter ce message de Jonathan Corbet sur LWN, selon lequel ce que fait Grsecurity serait conforme aux termes de la GPL :
[^] # Re: Il manque encore un peu de travail pour conclure :)
Posté par gouttegd . En réponse au journal Les BSD sont‐ils tous égaux devant les bugs ?. Évalué à 10.
Je ne vois pas où l’auteur conclut que « Linux c’est mieux ».
Le constat initial était que Linux a beaucoup plus de vulnérabilités que les noyaux BSD, ce que de Raadt mettait sur le compte du fait que les développeurs BSD, eux, se préoccupent vraiment de la Qualité (la majuscule est d’origine) — ce que je me permettrais de traduire grossièrement par « BSD c’est mieux ».
L’auteur montre simplement que quand on cherche des vulnérabilités dans les BSD, surprise : on en trouve. À aucun moment il ne dit que ça signifie que Linux est « mieux ».
[^] # Re: Ah le désespoir
Posté par gouttegd . En réponse au journal Vous avez aimé BSD vs System V ? Vous aimerez systemd vs openRC (et le reste du monde). Évalué à 10.
En même temps, pourquoi parlerait-on d’une distribution dont le (quasi-)seul développeur n’est pas une grande gueule, n’a pas d’opinion tranchée sur Systemd, Wayland, Flatpak ou tous les autres sujets qui animent les forums des autres distributions, et globalement fait son job dans son coin sans faire d’histoires ? (À ma connaissance, la seule opinion tranchée bien connue de Patrick Volkerding est sa préférence marquée pour KDE par rapport à GNOME, et même là-dessus on ne peut pas dire qu’il soit très véhément.)
Slackware n’est pas non plus une distribution qui se fixe des objectifs grandiloquents (genre faire tomber Windows de son piédestal sur le marché du desktop, cf. un certain « bug numéro 1 »), et ne se précipite pas pour intégrer les dernières nouveautés.
Franchement, pourquoi parlerait-on de Slackware ? Les seules fois où il y a quelque chose à dire sur cette distribution, c’est pour annoncer une nouvelle version. Et à chaque fois, ça semble d’ailleurs surprendre du monde de constater que, ah tiens, Slackware est encore là.
Ben oui, Slackware est encore là. Ce n’est pas parce ce qu’elle est médiatiquement inexistante qu’elle a cessé d’être.
[^] # Re: Question vim
Posté par gouttegd . En réponse au journal Interview de Mark Nudelman, auteur de less et mainteneur actif depuis 34 ans . Évalué à 10.
Je suggère respectueusement que l’on évite de lui poser des questions dont la réponse se trouve en consultant le code source… less est un logiciel libre après tout.
En l’occurence, aucune trace dans le code d’une quelconque « bibliothèque vim ». L’auteur ne cache pas que « les commandes sont basés sur vi et sur more », mais a implémenté lui-même les comportements en question.
# Slackware ?
Posté par gouttegd . En réponse au journal Vous avez aimé BSD vs System V ? Vous aimerez systemd vs openRC (et le reste du monde). Évalué à 9.
En quoi le système d’init de la Slackware est « particulier » ?
Slackware n’a pas un init qui lui est propre, elle utilise le sysvinit de Miquel van Smoorenburg dont l’historique remonte à 1992 (un an avant la naissance de la Slack). Rien de spécifique à Slackware, Debian et RedHat par exemple utilisaient aussi cet init.
Et moi ce que je vois mal, c’est Patrick Volkerding se farcir la maintenance d’une alternative à Systemd. Le jour où intégrer Systemd représentera moins de travail que de continuer à faire en sorte que tout fonctionne sans Systemd, m’est avis que la décision sera vite prise (comme ça a été le cas pour PulseAudio, quand Pat s’est rendu compte que les dernières versions de Bluez — la pile Bluetooth pour Linux — dépendaient de PulseAudio).
Bof, pas si sûr.
Tiens, puisqu’on parle de Slackware, quelqu’un a prophétisé un « exode massif » des Slackeux vers les BSD si jamais un jour Slackware passe à Systemd. J’avoue n’avoir pas lu les 113 pages (!) de la discussion, mais rien qu’à voir quelques réactions sur la première page, cette prophétie a l’air assez bancale :
Et je m’ajoute volontiers à cette liste : si j’apprécie Slackware, c’est pour la distribution dans son ensemble, pas parce qu’elle est systemd-free.
Ah , et pour donner des sueurs froides à certains : Systemd dans Slackware, ça existe déjà. :D
# Posteo
Posté par gouttegd . En réponse au message Hébergement mail ?. Évalué à 5. Dernière modification le 10 juillet 2017 à 14:54.
Posteo.de m’a l’air pas mal du tout.
Outre le fait qu’ils semblent fournir un service moderne (config TLS digne de ce nom, DNSSEC, DANE, HSTS, OPENPGPKEY/SMIMEA¹), j’apprécie tout particulièrement le fait qu’ils ne sont pas avares d’explication sur ce qu’ils font. Leur page sur le chiffrement est un modèle du genre, ça change agréablement de tous les fournisseurs de services « sécurisés » qui se sont créés après les révélations de Snowden en clamant « faites-nous confiance chez nous vos mails sont à l’abri, la preuve on utilise PGP » mais dont on a bien du mal à discerner exactement ce qu’ils ont à apporter…
Disclaimer : Je ne suis pas client chez eux, je n’ai jamais essayé leur service.
¹ À mon humble connaissance, c’est le premier fournisseur de messagerie à proposer la publication des clefs OpenPGP de leurs clients dans le DNS. Rien que pour ça, je les aime. Si je n’avais pas déjà pas mon propre serveur mail depuis des années, c’est volontiers chez eux que j’irais.
[^] # Re: Animations dans les PDF
Posté par gouttegd . En réponse au journal Un nouveau visualiseur de PDF sous Linux. Évalué à 10.
Non. Le soucis est qu’Adobe s’est empressé, à peine la version ISO (qui comprenait déjà des fonctionnalités d’inclusion de formulaires ou de vidéos, ça ne date pas d’hier) publiée, de créer des extensions non-standard dupliquant ces mêmes fonctionnalités. Et que depuis les outils Adobe de création de PDF (Adobe Acrobat, Adobe LiveCycle) génèrent par défaut des PDF utilisant les extensions non-standard au lieu de leurs homologues standardisés.
Le soucis, c’est aussi qu’on s’arrête un peu vite au fait que « PDF = standard » sans se poser de questions, alors qu’entre les différentes versions, les différents profils (PDF/A-1, PDF/A-2, PDF/A-3, PDF/E, PDF/UA, PDF/X-1a, etc), les différentes extensions… c’est un peu plus compliqué que ça.
On ne m’ôtera pas de l’idée que cette confusion fait bien les affaires de Adobe…
[^] # Re: PDF format ouvert?
Posté par gouttegd . En réponse au journal Un nouveau visualiseur de PDF sous Linux. Évalué à 5.
Ça dépend de la technique utilisée. Si ce sont des objets PDF Artwork, a priori oui ça a été introduit dans PDF 1.6 donc ça doit figurer dans la version ISO (qui est basée sur la version 1.7). Si c’est du Flash, alors non, c’est une extension postérieure à la standardisation.
(C’est en gros la même situation que pour les formulaires : il y a le format Acrobat Forms, dans le standard, et le format XML Forms Architecture, rajouté ensuite. Et c’est aussi la même chose pour les vidéos : il y a les Screen Annotations dans le standard, puis les RichMedia, ajoutés ensuite. Il y a comme un pattern ici…)
[^] # Re: Leave Jack alone!
Posté par gouttegd . En réponse au journal PipeWire veut unifier la gestion des flux audio et video. Évalué à 2.
J’ai un ordinateur « desktop » (bon, « laptop » en réalité) que j’utilise pour tout et qui « se transforme aussi en station de travail audio ». Je n’ai jamais installé de distribution dédiée à l’audio-numérique : je n’ai qu’un seul système sur cette machine, pour l’usage « desktop » et pour l’usage « audio ». Et mon utilisation « audio » n’a jamais impacté l’utilisation « desktop ».
Ça pourrait l’être. Ça ne l’a pas été chez moi parce que j’utilise Slackware, donc bon je l’ai un peu cherché, mais rien de ce que j’ai eu à faire pour avoir un système « dual-use » desktop/audio-pro (installer Jack, créer un cgroup dédié aux applications audio avec les privilèges temps-réel, faire cohabiter Jack et PulseAudio) ne pourrait pas être fait automatiquement par les distributions (et pas seulement les distributions dédiées à l’audio pro). Peut-être pas par défaut, mais par exemple dès que l’utilisateur demande l’installation d’Ardour, Rosegarden, ou toute autre application marquée « audio pro », boum : on installe automatiquement Jack et on configure tout pour que ça marche tout seul. Qu’on ne me dise pas que ce n’est pas possible.
Mais peaufiner ce genre de détails d’intégration est moins excitant que d’annoncer yet-another-framework-de-base qui va tout révolutionner, c’est vrai…
[^] # Re: Exemple de formulaire ?
Posté par gouttegd . En réponse au journal Un nouveau visualiseur de PDF sous Linux. Évalué à 6.
Sinon il y a aussi Master PDF Editor, qui prend en charge les formulaires XFA.
C’est toujours non-libre (le free ici est du free as in free beer, not as in free speech), mais au moins ça fonctionne nativement sous GNU/Linux, ce que je préfère encore à faire fonctionner Acrobat Reader via WINE…
[^] # Re: PDF format ouvert?
Posté par gouttegd . En réponse au journal Un nouveau visualiseur de PDF sous Linux. Évalué à 10.
Pas la peine de faire du reverse-engineering, les formulaires XFA ne sont certes pas standardisés mais ils sont documentés¹. Il faut juste se farcir 1584 pages de specs.
Apparemment, le futur PDF 2.0 (en cours de standardisation à l’ISO) inclura un truc appelé XML Forms Data Format qui je suppose est une sorte de XFA. Évidemment, l’ISO étant l’ISO, les parties normatives du standard (ce qui compte, quoi) ne sont pas publiquement accessibles sans sortir le porte-monnaie, parce que bon faut pas déconner quoi.
¹ J’ai pas mal de choses à reprocher à Adobe (standardiser un format de formulaire puis sortir juste après un autre format non-standard, et fournir des outils de création de PDF qui utilisent par défaut le format non-standard, c’est quand même un sacré coup de pute™), mais pour autant que je sache ils ont toujours documenté leurs formats.
[^] # Re: PDF format ouvert?
Posté par gouttegd . En réponse au journal Un nouveau visualiseur de PDF sous Linux. Évalué à 10.
Les formulaires « Acrobat Forms » font partie du standard (et sont pris en charge par plusieurs lecteurs libres), mais pas les formulaires « XML Forms Architecture », qui ont été ajoutés au format après sa standardisation (et qui ne sont quasiment pris en charge par aucun autre logiciel que Acrobat, et encore même pas la version GNU/Linux, Adobe a explicitement renoncé à en implémenter le support parce que c’était trop compliqué).
Au passage, même les formulaires standards (Acrobat Forms) sont interdits dans certains profils du format PDF destinés à l’archivage.
[^] # Re: Leave Jack alone!
Posté par gouttegd . En réponse au journal PipeWire veut unifier la gestion des flux audio et video. Évalué à 3.
Je ne sais pas de quel mythe tu parles, mais je ne crois pas que quiconque ait prétendu que ASIO avait quelque chose à voir avec le temps réel…
Au passage, attention à ne pas confondre « faible latence » et « ordonnancement en temps réel ». En gros, la latence, c’est le temps de traitement, le délai entre l’entrée et la sortie. L’ordonnancement en temps réel, c’est le fait de garantir un délai de traitement le plus constant possible, qu’il soit court ou long.
L’ordonnancement en temps réel est strictement du ressort du noyau¹, un démon en espace utilisateur comme Jack n’a pas d’impact là-dessus. Au maximum, on peut augmenter la latence au profit du temps réel : en gros, si le système n’arrive pas à garantir qu’il peut traiter les données en 8 ms, on va lui demander de le faire en 16 ms, parce qu’une latence plus élevée mais régulière est généralement préférable, en audio, à une latence plus faible mais erratique.
Ah, et concernant Windows qui ne serait « pas RT » : Windows est tout-à-fait capable de faire du « temps réel mou » (= le système fait son maximum pour respecter les délais, mais hé ho hein bon, parfois il peut être à la bourre, ça arrive aux meilleurs), tout comme Linux. Il ne peut pas faire du temps réel « dur » (= strictement aucun retard permis, c’est peut-être une question de vie ou de mort), mais de toute façon aucun système d’exploitation généraliste ne le peut (même Linux avec le patch -rt) — le temps réel dur nécessite un OS expressément et entièrement conçu dans ce but.
¹ Ce qui, aujourd’hui, ne nécessite plus forcément le patch -rt. Plusieurs des fonctionnalités de ce patch ont été progressivement intégré au noyau mainline, dans bien des cas c’est suffisant. Je recommande systématiquement au MAOïste amateur de faire ses premiers essais avec un noyau standard, et seulement si nécessaire de passer à un noyau -rt.
[^] # Re: Leave Jack alone!
Posté par gouttegd . En réponse au journal PipeWire veut unifier la gestion des flux audio et video. Évalué à 8.
Les utilisateurs lambda, sans doute pas, mais les fameux « créateurs de contenu » (ceux dont le but du projet est de faire des « citoyens de première classe », et c’est la seule putain de raison avancée), eux, savent qu’ils utilisent Jack (tout comme les mêmes « créateurs » sous Windows savent qu’ils utilisent ASIO.
Peu importe la raison, OK, c’est le droit le plus strict du développeur.
Mais lorsque la raison, c’est grosso modo « on veut que les créateurs de contenu soient des citoyens de première classe, sous-entendu je méprise tout le travail abattu par tous les développeurs de logiciels d’audio-numérique depuis vingt ans sous GNU/Linux — grâce à qui les “créateurs” sont des citoyens de première classe sous GNU/Linux aujourd’hui — et je propose donc une nouvelle fois de tout recommencer à zéro » … mon droit le plus strict est de dire que c’est une raison à la con, qui va directement à l’encontre de l’objectif affiché — tellement à l’encontre d’ailleurs que je ne peux pas croire que ce soit la véritable raison, à mon avis c’est surtout un cas supplémentaire de NIH.
Je le redis : ce dont ont besoin les « créateurs », ce sont des applications. Changer une brique de base utilisée par tout le monde (enfin, le petit monde des utilisateurs audio « pro ») et dont personne ne se plaint, ça ne va aider personne. Ça n’aidera sûrement pas à donner l’impression qu’on est à l’écoute des attentes des utilisateurs.
Merde, GNU/Linux sur le desktop, c’est une maison dont on veut en permanence recouler les fondations alors que les occupants n’attendent plus que le carrelage dans la salle de bains et la peinture sur les murs…
(Pour info, depuis au moins vingt ans que Steinberg a inventé ASIO, personne n’a songé à le remplacer juste pour satisfaire un syndrome NIH, pas même les concurrents de Steinberg.)
[^] # Re: Leave Jack alone!
Posté par gouttegd . En réponse au journal PipeWire veut unifier la gestion des flux audio et video. Évalué à 6.
Une question : pourquoi ?
Pourquoi vouloir remplacer un composant qui ne pose aucun problèmes à ses utilisateurs par un truc encore en conception et même pas conçu pour faire la même chose ?
Autant je peux comprendre qu’on ait voulu remplacer aRtsd ou EsounD par PulseAudio (unification de couches concurrentes), autant je peux comprendre qu’on ait voulu remplacer SysVinit par Systemd (remplacement d’un outil devenu trop limité parce que trop vieux), autant je ne comprends pas l’intérêt de remplacer Jack par PipeWire. Et le post de blog mentionné ne donne aucune raison, autre que « donner aux créateurs l’impression d’être des citoyens de première classe » — alors que cette proposition, au mieux ne changera rien, au pire créera de la confusion (et renforcera encore un peu plus l’idée que décidément GNU/Linux n’est pas prêt pour le desktop, ils en sont encore à chercheur leurs briques de base au lieu de se concentrer sur les applications attendus par les utilisateurs).
(Ah, et comme je la vois venir : non, PipeWire qui remplacerait à la fois Jack et PulseAudio n’est pas comparable à PulseAudio qui a remplacé aRtsd et EsounD — comme déjà expliqué, PulseAudio et Jack n’ont pas le même rôle, ce que leurs développeurs respectifs reconnaissent très bien.)
[^] # Re: Leave Jack alone!
Posté par gouttegd . En réponse au journal PipeWire veut unifier la gestion des flux audio et video. Évalué à 5.
Ben non, j’explique que je n’ai rien à gérer, ça marche tout seul. C’est si difficile à croire que des choses peuvent fonctionner out-of-the-box sous GNU/Linux ?
[^] # Re: Leave Jack alone!
Posté par gouttegd . En réponse au journal PipeWire veut unifier la gestion des flux audio et video. Évalué à 4.
Ouais, il « suffit » que les développeurs d’applications (qui n’ont que ça à foutre) implémentent le support de Jack ET de PipeWire. Une broutille, quoi.