Oui, alors là pour le coup, vu le niveau de la sécurité dans l’internet grand public, y’a moyen de bien s’arrondir les fins de mois.
Je doute que ça soit facile pour n’importe qui, mais pour quelqu’un qui bosse, ou veut bosser, dans la sécu, avec des concepts de base, c’est pas bien compliqué de se faire 1000 à 2000 dol’ par mois en plus. Et ça donne de l’entraînement dans le domaine, de qui aide donc à enrichir son cv et ses compétences.
C’est en tout cas ce que je vois dans notre programme hackerone, IDOR par ci, persisted xss par la, PII leak la bas. Et le pire, c’est les mêmes problèmes qui reviennent tout le temps.
Je serais très, très, très surpris qu’on soit les seuls. Boites d’internet grand public qui sont là depuis le début des années 2000 (tech debt, produits legacy et autres features obscures que tout le monde a oublié), à priori service gratuit qui demande un gros volume pour être rentable et qui met à jour très souvent.
Filtre par salaire moyen pour un ingé front end un peu plus bas, combines ca avec une recherche sur LinkedIn qui bosse la bas. J’imagine qu’une recherche github doit aider à identifier les clampins et autres pallaissons qui disent jamais non un peu mieux.
Bonus si t’arrives a trouver des talks/blogs publiques qui montrent qu’ils sont un chtouille derrière la courbe de veille technique, mais pas trop. Ça veut dire qu’ils essayent de se tenir à jour, mais savent pas vraiment comment faire, et donc ils vont avoir des trous dans leurs implémentations.
Ça te donne une bonne idée de quelles boites ont des bras cassés qui comprennent pas vraiment ce qu’ils font. Une fois que t’as ta liste de suspects, tu passes un jour ou deux sur chaque site. Commence par le login, registration, le genre de trucs qui a des PII et qui sont des points de frictions dans le produit: les product managers détestent ça, et ont tendance à vouloir bâcler les choses la desssus. Une fois que tu trouves un fil, tu tires dessus jusqu’à ce que ça paye.
En optimisant un peu pour les sous, ca doit même pouvoir se tourner en boulot à plein temps. Payé pas forcément beaucoup, mais avec plein de temps libre, et pas de patron sur le dos.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
Ah oui, ça a été corrigé. Ca été tellement corrigé qu’ils ont du corrigé la correction:
I appreciate the effort made in patch bash43-026, but this patch doesn't even BEGIN to solve the underlying shellshock problem. This patch just continues the "whack-a-mole" job of fixing parsing errors that began with the first patch. Bash's parser is certain have many many many other vulnerabilities; it was never designed to be security-relevant…
Sinon:
Toutes les distributions actives ont proposé le binaire corrigé en moins de quarante-huit heures. La transparence n'a pas fait défaut mais visiblement tu as préféré fermer les yeux et faire comme si c'était comparable à du Wana Cry…
La question c’est pas la transparence ou pas.
L’assertion initiale était, je le rappelle, « vu que le code est dispo, il est audite par tout le monde sur internet, donc c’est plus sûr » (aka « with enough eyes, all bugs are shallow »).
Ce que je dit c’est que cette méthodologie est une connerie monstrueuse, et shellshock en est la preuve. Ça fait pas de mal d’avoir le code dispo, mais de la à en conclure que c’est audite parce que le code est dispo, c’est du grand n’importe quoi.
On a un bug qui a existé pendant 25 ans, dans un outil fondamental et critique. C’est pas une question d’avoir assez d’yeux à ce niveau. La question c’est surtout d’avoir les bons yeux dessus: a savoir des gens qui savent ce qu’ils font et comment auditer, et surtout, les payer pour qu’ils fassent ça. Une fois qu’ils sont payés, leur donner le source me parait pas être un problème insurmontable.
D’autre part, ce bug a été affreusement géré. Il était là depuis 25 ans, disclosé de façon responsable. Il s’est écoulé 12 jours entre la notification et la release. Une fois disclosé, la communauté (celle qui sait ce qu’elle fait) a trouvé 4 autres problèmes en 24 heures. Ce qui renforce le point précédent, et jette de l’ombre sur le « les mises à jours de sécu sont mieux gérées ». Et aussi me fait questionner la compétence sécurité du projet.
Dit autrement, ils pouvaient pas prendre quelques jours de plus pour s’assurer qu’il n’y avait pas autre chose? Visiblement y’avait beaucoup de doutes sur la qualité du patch de la part de la communauté sécurité.
Savoir que les distros ont distribué le patch en 2 jours, qu’est ce qu’on s’en cogne. C’est arrivé en 2014, recompiler un soft et le distribuer en 2 jours, c’est meme pas la base de la base, surtout quand c’est pas eux qui ont écrit le patch.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
D’une part, comme dit au dessus, le salaire représente beaucoup la difficulté à embaucher.
D’autre part, un salaire median sur un pays à l’échelle des us est pas super pertinent, surtout avec un titre aussi vague. Tu peux facilement avoir plus de 50% d’écarts entre SF et des villes, disons, moins attrayantes, et encore plus si un gros employeur se met à décider d’embaucher tout ce qui bouge. Et j’imagine que ça inclue pas le stock/bonus courants dans les boites high tech, et qui rajoute bien encore 20-50% du salaire.
Y’a des chances pour que les “Windows administrator” incluent beaucoup de postes bas niveau, genre “maintenir le contrôleur de domaine pour la pizzeria du coin et ses 2 employés”, qui demande beaucoup moins de compétences. Et qui vont donc être sur-représenté par rapport aux postes style “gérer l’infrastructure de stackoverflow”.
Et inversement, les postes “Linux admin” vont être sur-représentés dans les catégories “gérer toute l’infrastructure de Facebook”.
Dit autrement, ces postes mélangent allègrement “IT old school pour toute petites boites”, “IT plutôt sérieuse” et “admin d’un gros environment de production avec un gros traffic”.
Bref, faudrait commencer par définir ce qu’on veut dire par “admin sys” en premier lieu, parce que sinon ça va être la fête au cueillage de cerises.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
Ca prouve qu’ils ne sont pas audités. Ou en tout cas, pas plus que les logiciels propriétaires.
Shell Shock a duré 25 ans, donc les “with enough eyes all bugs are shallow”, on repassera. Surtout sur des outils critiques écrits en c.
Et avec ses 2 patches coup sur coup, ça montre que la résolution a été bâclée, donc les “mieux mis à jour”, on repassera aussi.
J’oubliais, y’a sudo aussi qui était troué pendant 10 ans.
Après, je cherche pas à dire que le proprio est vachement mieux la dessus. Mais préjuger de la sécurité d’un soft à partir de sa licence est ridicule. C’est du même tonneau que de préjuger de la compétence d’une personne sur son costard.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
Pourquoi les deux seraient liés? C’est des compétences et champs complètement différents.
Et surtout, y’en a qui sert à mesurer directement l’augmentation de ca, et l’autre qui apparaît surtout comme un coup sans aucun intérêt direct.
C’est comme si je te disait “puisqu’il habite en appartement, il doit pas aimer la glace à la vanille”.
Et d’autre part, non, c’est pas ce que tu dit depuis le début.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
Par défaut, un serveur Linux sous une distribution classique est mieux sécurisé
Ton admin Linux-qui-est-plus-competent-que-la-moyenne, il va te laisser la config par défaut? Ou il va la changer? C’est un peu un argument à la con “la config qu’on est pas censé utilisé est mieux”. Ok, cool.
Les serveurs Linux sont enrichis en logiciels libres, qui sont probablement mieux audités et mieux mis à jour que certains logiciels propriétaires, et les failles de sécurité sont gérées de manière plus transparente (à commencer par l'OS)
Ouais, alors là, pour le coup, on a un certain nombre d’exemples cette derniere décennie qui prouvent que non, pas du tout. Genre Shell shock, genre heart bleed, genre Debian OpenSSL.
Les admins des serveurs Linux sont probablement plus compétents et expérimentés que ceux des serveurs Windows
“Comme j’aime pas Windows, je vais sortir un truc à la con du chapeau sans aucune source”
Les décideurs qui choisissent des solutions Linux sont plus compétents (ils écoutent mieux les "gars de la technique") que ceux qui choisissent des solutions Windows
c’est les décideurs qui s’occupent d’administrer l’infrastructure chez toi? Et dans le genre argument récursif “Linux est mieux parce que les décideurs qui choisissent Linux sont plus compétents parce que Linux est mieux”
La diversité des distributions et des logiciels fait que la plupart des serveurs Linux ont une configuration unique, donc l'attaque se fait au cas par cas
Chaque argument offre un peu de sécurité supplémentaire, mais tous ensemble, ça commence à faire une sacrée différence.
Enfin un argument qui tient vaguement la route. Sauf qu’en fait, pas tant que ça au final. Y’a pas tant de distro qui sont viables en production, et si tu te limites aux lts, t’as quoi, 6 à 10 candidats pour 95% des installs. C’est plus que Windows, mais c’est pas non plus le bout du monde.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
C’est une façon de voir les choses. Tu peux aussi zapper l’analyse statistique, et conclure via tes métriques techniques (success/failure et response times), bien plus vite, sans avoir à te demander si t’as choisi la bonne p-value, si t’as pas un biais de sélection qui influence les résultats et autres joyeusetés qui viennent avec l’analyse d’un ab test.
Dit autrement, tu peux enfoncer un clou avec un tournevis, mais c’est pas forcément le plus adapté.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
La question c’est surtout combien de clients ils ont. La majorité de ces serveurs sont là pour eux, pas les employés. ‘Fin c’est très bizarre comme métrique, surtout qu’on sait pas si ces 800 machines Windows sont des VM ou des serveurs physiques.
C’est dur d’estimer quel genre de traffic ils prennent, mais une autre façon de voir les choses c’est que chaque serveur génère plus de 650k euros de chiffre d’affaire par an.
C’est assez incongru comme métrique aussi, mais vu sous cet angle, ça devient moins stupide.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
Ab test, pas test test.
C’est censé tester l’impact de nouvelles (ou changement de) fonctionnalités sur le business, pas valider l’infrastructure sous jacente.
Y’a des moyens beaucoup plus simple de valider qu’une mise à jour de Windows pete pas le service. Tu déploies un canary, et tu gardes un œil sur tes métriques techniques et tes logs.
Quand il s’agit de mises à jour systèmes, t’as pas toujours l’option de faire ça non plus. Si t’as updaté ton sqlserver, c’est pas garantit que tu puisses le downgrader derrière et que ça continue à marcher.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
Ça me parait pas choquant.
Ils font pas loin d’un milliard d’euros de chiffre d’affaire, et ils ont 2500 employés.
A cette échelle, ils ont pas juste un apache/php/mysql. Entre tous les systèmes de productions, les systèmes de support, les outils interne d’analytique, ab test et que sais je encore, Kafka, kibana, graphite, les serveurs de builds, l’intégration continue, toute l’infrastructure it pour gerer 2500 personnes, si en plus tu rajoutes les environnements de dev et de preprod, ça monte vite.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
Je veux pas dire, mais 25 filiales, 2500 employés et 800 serveurs, j'appelle pas ça une pme, et s’ils ont pas des équipes (pluriel) en astreinte pour gérer ça, ils vont avoir d’autres problèmes que les mise à jour.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
Pour les notification, ça fonctionne aussi dans le navigateur, si tu les autorise.
Chose que personne ne fait, parce les sites webs ont tendance à abuser de tout. Je suis pas sur que tu puisses changer l’icône des notifications non plus, et ca dilue l’intérêt d’avoir une icône dans le dock badgée avec le nombre de messages non lus (chose qui n’est de toutes façon pas supporté avec les push web).
Par rapport aux onglets, rien n'interdit de l'ouvrir dans une fenêtre séparée, voir avec un profil et un thème différent pour mieux la distinguer
Sauf que ça casse le cmd tab, et ca déplace la gestion de l’UX sur l’utilisateur qui doit se demerder à singer le comportement d’une appli native dans un navigateur.
Tu te farcis le chrome du browser (window chrome, pas le navigateur) qui sert à rien, des raccourcis clavier qui n’ont aucun sens, des pop up bloquées et autre incongruité du genre.
Aussi, rien de tout ça va fonctionner sur mobile, ce qui est un peu un gros problème pour quelque chose comme Teams.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
Quite à avoir la lourdeur d'un navigateur web, autant en avoir les fonctionnalités.
Heu ben quand même. D’un point de vue technique, t’as pas forcément tord, même si tu forces le trait un peu.
D’un point de vue ux, y’a un monde entre les deux. Icône dans le dock/ne pas avoir à chercher dans 40 tabs celui que tu veux, notifications push, raccourcis claviers qui ne sont pas en conflit avec le navigateur (genre cmd t dans slack), t’as des menu dédiés à l’appli.
Ca demande du boulot pour faire une appli qui a vraiment l’air native, mais dans l’ensemble, on est quand même à des lieux d’un simple onglet dans un browser.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
Je regarde du point de vue de la masse et/ou des dév pas intéressés par autre chose que la masse
Définit "masse" pour commencer.
A supposer que les ad blocker ne sont installés que chez 1 a 5% (estimation au doigt mouillé, somme tout très conservatrice), ben 5% ca commence a faire une grosse masse. Surtout quand ton audience c'est "ceux qui ont un permis de conduire français". 400k a 2 millions de personnes laisses sur le carreau, elle commence a piquer ta minorité.
Pourquoi je sort 5% du chapeau? Vu le nombre de sites de news qui se font chier a implémenter un filter anti ad block, je me dit qu'ils doivent voir au minimum 5% de traffic avec des bloqueurs de pubs. Probablement plus, mais comme dit, c'est conservateur.
Dit differement: quand t'atteints une certain échelle, raisonner en "majorité" ne marche pas, parce que les nombre absolus de la minorité sont juste trop gros pour que ca passe.
Et la cible ne comprendra pas que tu dises que ça ne marche pas si chez eux ça marche.
Ok, s'ils sont incompetents et pas foutus d'accepter que le bug report est reel, ni de penser qu'un ad blocker cause une page blanche, je suis plus quoi dire la.
🤷
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
C'est un facon de voire les choses, ma réponse a mes ingénieurs qui me sortent ce genre de conneries c'est "bon, ben cool, on a qu'a livrer ton navigateur et ta config avec le site web, vu que ca marche pour toi".
Le fait que la page ne rende pas si le JS de cdn.machin.com n'est pas chargé est un bug critique et bloquant dans mon monde. Tu fais quoi si cdn.machin.com a un outage? Ou s'ils mettent la clé sous la porte dans 2 mois et que le domaine par chez quelqu'un d'autre? Ou si, tout simplement, quelqu'un se pointe avec un ad blocker qui bloque (probablement a juste titre) ce domaine?
Parce qu'ici avec safari et un ad blocker de base, ca passe pas non plus, on peut pas vraiment dire que ca soit une config de gros geek qui hack le web.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
Y’a un paquet de raisons pour laquelle ces clients ont marchés.
Tu remarqueras que le point commun c’est qu’ils se sont concentrés sur le produit et pas sur la technique. Identifie un probleme, résoud le. La technologie est un moyen, pas une fin en soi.
La critique que j’aurais à faire aux projets purs libres/communautaire grand publique c’est qu’ils ont tendance à se focaliser presque exclusivement sur le côté technique, et pire encore, sur un remplacement libre d’un outil proprio.
Ca se voit sur “Linux sur le desktop”, les suites bureautiques, les jeux, et du coup, xmpp.
Ça crée l’effet pervers de se focaliser sur le passé et complètement rater des innovations majeures, genre OpenOffice tellement occupé a singer office qu’ils ont raté le train en ligne, Linux grand publique qui rate le monde mobile trop occupé à singer Windows (pitié, non, android n’est pas Linux, pas plus qu’iOS est nextstep en tout cas), ou xmpp qui arrive à rater l’explosion des messageries mobiles alors qu’ils étaient durs à la tâche au bon moment et avait probablement la technologie pour décoller comme une fusée.
Et le truc frustrant c’est que tu trouves à droite à gauche des trucs très bien gaulés. Genre les mecs de khtml qui avait une très bonne techno, xmpp était au parfait endroit au parfait moment, OpenOffice aurait put être le socle de l’office online, que sais je encore.
Y’a des success story dans le libre, clairement, mais ça a tendance à se confiner à des projets très techniques ou la technologie est le produit: Linux sur le serveur/embarque, dev tools, ce genre de choses.
J’imagine qu’il y’a probablement de bonnes raisons à ces travers, mais, bordel, c’est triste.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
Je pense plus simplement parce que Facebook avait les utilisateurs et beaucoup plus de moyens.
Si c'était le cas, Google aurait un client de messagerie populaire. C'est pas faute d'avoir essayé pourtant. Hangout, Allo, GTalk, et j'en oublie probablement plusieurs.
C'est sur que ca aide d'avoir 1 milliards d'utilisateurs, mais clairement c'est pas juste ca. WhatsApp a grossi de façon phénoménale en venant de nulle part, idem pour Signal, telegram ou discord.
Mais ça va pas plaire.
Ouais, mais visiblement, offrir une douzaine de clients subtilement incompatibles entre eux, ca plait pas non plus 😉
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
Certes ça n'existait pas au début mais ça n'existait pas non plus à l'époque sur aucun autre protocole de messagerie. Ce concept de réaction est relativement récent et finalement vient d'un besoin particulier en réponse aux réseaux sociaux. En effet dans un contexte pur chat, c'est d'un intérêt limité puisqu'on peut directement répondre avec un émoticone dans la discussion
Euh, ouais, non, pas du tout la.
iMessage supporte ça depuis 2016, slack depuis 2015. 6 ans, c’est pas vraiment récent.
Ensuite, non, répondre avec juste un emoji, c’est vraiment pas cool pour le salon de discussion.
Ca cause beaucoup de bruit dans le channel, ce qui est un gros problème si le salon a une taille décente (tout le monde y va de son 👍 ou son party parrot et paf, t’as 4 pages à scroller avant de retrouver le contexte). Et ça marche pas du tout en asynchrone. Quand un de mes gars annonce qu’il a corrigé un bug dur à trouver, et que je voit ça 4 heures plus tard, je peux pas répondre dans le salon, et je vais pas ouvrir un thread juste pour dire “ok, cool”. Je lui met un emoji en réaction, il voit ça apparaître dans ses notifications “soft” et tout le monde est content.
On s’en sert aussi comme “ack” pour notre bot dans le salon des incidents, pour marquer les messages enregistrés et ajoutés au ticket automatiquement. C’est juste impossible d’avoir ce genre de choses sans les réactions.
Et ne pas avoir de réactions en 2021, c’est être vraiment à la bourre.
Donc toutes les plaintes sur raison technologique, c'est juste n'avoir rien compris à l'historique de XMPP.
Ben ouais, mais avoir le meilleur protocole du monde, ça sert pas à grand chose si personne ne l’utilise, ou si personne ne peut l’utiliser en pratique parce que les implémentations sont trop fragmentées/disjointes.
C’est précisément parce que xmpp n’a pas été capable de se federer derrière un produit viable que Facebook et consorts ont raflés le jackpot.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
A bon, qu'est-ce qu'ils ont mis des années à implémenter que les autres avaient déjà?
De memoire, jingle qui est resté en draft pendant des annees, les messages hors ligne (ou peut être est ce le support du "online presence" auquel je pense? Ou peut être les deux?), et les reactions aux messages. Le support du transfert de fichiers a aussi l'air d'être un joyeux bordel, et n'a pas l'air d'avoir été correctement supporte avant 2015
Alors, ouais, ya des XEP en experimental, et ca pète entre les clients divers et varies, a supposer que t'as la chance d'avoir des serveurs qui offrent la XEP en premier lieu.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
L’e-mail a décollé dans les années 90 avec des contraintes techniques et un public très différentes de ce qu’on a aujourd’hui.
Ca a pas évolue depuis 1984, c’est inutilisable sorti de quelques cas d’utilisation spécifiques, et c’est un pot de pus niveau spam et autre.
C’est absolument délirant de suggérer qu’un nouveau service puisse décoller de nos jours avec un modèle similaire.
Et en pratique, c’est super centralisé, avec plus de 90% du traffic partagé entre Google, Microsoft et Yahoo. Yen a un de ces 3 qui tombe, tu fais tomber un tiers de l’e-mail mondial.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
Les outils de communications créent par nature un effet réseau, d’une part. Ceux qui s’en sortent sont ceux qui arrivent à atteindre une masse critique suffisamment rapidement (fb messenger, WhatsApp, msn), fonctionnent de base sur plusieurs réseaux de façon 100% transparent (iMessage), ou sont dans de niches suffisamment grosses/importantes (les signal et autre chiffres de bout à bout).
En parallèle a ça, t’as les outils corporate, slack/teams/etc, qui sont sur un marché très différent.
D’autre part, la decentralisation, c’est cool, mais ça complique énormément les choses, que ça soit d’un point de vue ingénierie ou produit.
Non pas que ça soit 100% impossible, mais ceux qui s’y sont attelé ont soit approché le problème d’un point de vue 100% geek (xmpp), soit se sont ramassé d’un point de vue business. Pas assez de marketing, pas assez de fond, placement douteux, et rien de tout ça n’est facile quand t’as Facebook et Apple en face qui poussent très fort du haut de leur milliards de clients et chiffre d’affaire faramineux.
Et de base si la première question que ton client demande c’est “quel est ton serveur?” Tu vas tout droit dans un mur. Les clients e-mails ont résolu ca en mettant gmail/outlook/whatever bien en avant, mais ca va pas trop marcher avec des clients IM cette approche.
Il faut donner une très bonne raison aux gens pour qu’ils se fassent chier à reconstruire un réseau. iMessage a perce parce que lié au téléphone, intégration transparente des sms, appli par défaut, intégration entre différents devices, et grosse base d’utilisateurs d’entrée. FB parce que Facebook a poussé tout ce qu’ils pouvaient sur leur 2 milliards d’utilisateurs. Skype parce que téléphone pas cher et ils sont arrivés tôt. Signal etc parce que secret de communication est très important pour leurs utilisateurs. WhatsApp parce qu’ils ont comblés les trous qui existaient dans la messagerie mobile au tout début. MSN parce que appli par défaut sur 90% des pc de la planète.
Google s’est ramassé en beauté parce qu’ils n’avaient rien à offrir et repartaient de 0 tous les 2 ans. Xmpp s’est ramassé parce qu’ils ont mit des années à implémenter des trucs que tout le monde avait, parce que fragmentation causé par la décentralisation et parce qu’ils passaient plus de temps à se demander si leur spec était parfaite qu’à faire en sorte que les gens puisse utiliser le protocole au quotidien.
Les clients libres qui se pointent en disant en substance “notre facteur de différentiation c’est de rendre vachement plus compliqué la construction de ton réseau social grâce à la décentralisation sans offrir quoi que ce soit de plus que la concurrence” vont effectivement droit dans le mur, a plus forte raison s’ils n’ont pas une entité commerciale très forte pour les aider à percer.
En l’occurrence, pour élément, je suppose que ça signe le début de la fin. Quand ton argument de vente c’est “tu peux utiliser les produits de la concurrence”, c’est pas franchement un bon signe.
Donc oui, rien de nouveau sous le soleil. Les mêmes causes ont les mêmes conséquences.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
[^] # Re: Nuance...
Posté par groumly . En réponse au journal Coût de piratage des serveurs Linux. Évalué à 3.
Oui, alors là pour le coup, vu le niveau de la sécurité dans l’internet grand public, y’a moyen de bien s’arrondir les fins de mois.
Je doute que ça soit facile pour n’importe qui, mais pour quelqu’un qui bosse, ou veut bosser, dans la sécu, avec des concepts de base, c’est pas bien compliqué de se faire 1000 à 2000 dol’ par mois en plus. Et ça donne de l’entraînement dans le domaine, de qui aide donc à enrichir son cv et ses compétences.
C’est en tout cas ce que je vois dans notre programme hackerone, IDOR par ci, persisted xss par la, PII leak la bas. Et le pire, c’est les mêmes problèmes qui reviennent tout le temps.
Je serais très, très, très surpris qu’on soit les seuls. Boites d’internet grand public qui sont là depuis le début des années 2000 (tech debt, produits legacy et autres features obscures que tout le monde a oublié), à priori service gratuit qui demande un gros volume pour être rentable et qui met à jour très souvent.
Filtre par salaire moyen pour un ingé front end un peu plus bas, combines ca avec une recherche sur LinkedIn qui bosse la bas. J’imagine qu’une recherche github doit aider à identifier les clampins et autres pallaissons qui disent jamais non un peu mieux.
Bonus si t’arrives a trouver des talks/blogs publiques qui montrent qu’ils sont un chtouille derrière la courbe de veille technique, mais pas trop. Ça veut dire qu’ils essayent de se tenir à jour, mais savent pas vraiment comment faire, et donc ils vont avoir des trous dans leurs implémentations.
Ça te donne une bonne idée de quelles boites ont des bras cassés qui comprennent pas vraiment ce qu’ils font. Une fois que t’as ta liste de suspects, tu passes un jour ou deux sur chaque site. Commence par le login, registration, le genre de trucs qui a des PII et qui sont des points de frictions dans le produit: les product managers détestent ça, et ont tendance à vouloir bâcler les choses la desssus. Une fois que tu trouves un fil, tu tires dessus jusqu’à ce que ça paye.
En optimisant un peu pour les sous, ca doit même pouvoir se tourner en boulot à plein temps. Payé pas forcément beaucoup, mais avec plein de temps libre, et pas de patron sur le dos.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
[^] # Re: Nuance...
Posté par groumly . En réponse au journal Coût de piratage des serveurs Linux. Évalué à 4.
Ah oui, ça a été corrigé. Ca été tellement corrigé qu’ils ont du corrigé la correction:
Sinon:
La question c’est pas la transparence ou pas.
L’assertion initiale était, je le rappelle, « vu que le code est dispo, il est audite par tout le monde sur internet, donc c’est plus sûr » (aka « with enough eyes, all bugs are shallow »).
Ce que je dit c’est que cette méthodologie est une connerie monstrueuse, et shellshock en est la preuve. Ça fait pas de mal d’avoir le code dispo, mais de la à en conclure que c’est audite parce que le code est dispo, c’est du grand n’importe quoi.
On a un bug qui a existé pendant 25 ans, dans un outil fondamental et critique. C’est pas une question d’avoir assez d’yeux à ce niveau. La question c’est surtout d’avoir les bons yeux dessus: a savoir des gens qui savent ce qu’ils font et comment auditer, et surtout, les payer pour qu’ils fassent ça. Une fois qu’ils sont payés, leur donner le source me parait pas être un problème insurmontable.
D’autre part, ce bug a été affreusement géré. Il était là depuis 25 ans, disclosé de façon responsable. Il s’est écoulé 12 jours entre la notification et la release. Une fois disclosé, la communauté (celle qui sait ce qu’elle fait) a trouvé 4 autres problèmes en 24 heures. Ce qui renforce le point précédent, et jette de l’ombre sur le « les mises à jours de sécu sont mieux gérées ». Et aussi me fait questionner la compétence sécurité du projet.
Dit autrement, ils pouvaient pas prendre quelques jours de plus pour s’assurer qu’il n’y avait pas autre chose? Visiblement y’avait beaucoup de doutes sur la qualité du patch de la part de la communauté sécurité.
Savoir que les distros ont distribué le patch en 2 jours, qu’est ce qu’on s’en cogne. C’est arrivé en 2014, recompiler un soft et le distribuer en 2 jours, c’est meme pas la base de la base, surtout quand c’est pas eux qui ont écrit le patch.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
[^] # Re: Nuance...
Posté par groumly . En réponse au journal Coût de piratage des serveurs Linux. Évalué à 2.
D’une part, comme dit au dessus, le salaire représente beaucoup la difficulté à embaucher.
D’autre part, un salaire median sur un pays à l’échelle des us est pas super pertinent, surtout avec un titre aussi vague. Tu peux facilement avoir plus de 50% d’écarts entre SF et des villes, disons, moins attrayantes, et encore plus si un gros employeur se met à décider d’embaucher tout ce qui bouge. Et j’imagine que ça inclue pas le stock/bonus courants dans les boites high tech, et qui rajoute bien encore 20-50% du salaire.
Y’a des chances pour que les “Windows administrator” incluent beaucoup de postes bas niveau, genre “maintenir le contrôleur de domaine pour la pizzeria du coin et ses 2 employés”, qui demande beaucoup moins de compétences. Et qui vont donc être sur-représenté par rapport aux postes style “gérer l’infrastructure de stackoverflow”.
Et inversement, les postes “Linux admin” vont être sur-représentés dans les catégories “gérer toute l’infrastructure de Facebook”.
Dit autrement, ces postes mélangent allègrement “IT old school pour toute petites boites”, “IT plutôt sérieuse” et “admin d’un gros environment de production avec un gros traffic”.
Bref, faudrait commencer par définir ce qu’on veut dire par “admin sys” en premier lieu, parce que sinon ça va être la fête au cueillage de cerises.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
[^] # Re: Nuance...
Posté par groumly . En réponse au journal Coût de piratage des serveurs Linux. Évalué à 10.
Ca prouve qu’ils ne sont pas audités. Ou en tout cas, pas plus que les logiciels propriétaires.
Shell Shock a duré 25 ans, donc les “with enough eyes all bugs are shallow”, on repassera. Surtout sur des outils critiques écrits en c.
Et avec ses 2 patches coup sur coup, ça montre que la résolution a été bâclée, donc les “mieux mis à jour”, on repassera aussi.
J’oubliais, y’a sudo aussi qui était troué pendant 10 ans.
Après, je cherche pas à dire que le proprio est vachement mieux la dessus. Mais préjuger de la sécurité d’un soft à partir de sa licence est ridicule. C’est du même tonneau que de préjuger de la compétence d’une personne sur son costard.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
[^] # Re: ha...
Posté par groumly . En réponse au journal Manutan, cyberattaque et Windows/Linux . Évalué à 1.
Pourquoi les deux seraient liés? C’est des compétences et champs complètement différents.
Et surtout, y’en a qui sert à mesurer directement l’augmentation de ca, et l’autre qui apparaît surtout comme un coup sans aucun intérêt direct.
C’est comme si je te disait “puisqu’il habite en appartement, il doit pas aimer la glace à la vanille”.
Et d’autre part, non, c’est pas ce que tu dit depuis le début.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
[^] # Re: Nuance...
Posté par groumly . En réponse au journal Coût de piratage des serveurs Linux. Évalué à 8.
Ton admin Linux-qui-est-plus-competent-que-la-moyenne, il va te laisser la config par défaut? Ou il va la changer? C’est un peu un argument à la con “la config qu’on est pas censé utilisé est mieux”. Ok, cool.
Ouais, alors là, pour le coup, on a un certain nombre d’exemples cette derniere décennie qui prouvent que non, pas du tout. Genre Shell shock, genre heart bleed, genre Debian OpenSSL.
“Comme j’aime pas Windows, je vais sortir un truc à la con du chapeau sans aucune source”
c’est les décideurs qui s’occupent d’administrer l’infrastructure chez toi? Et dans le genre argument récursif “Linux est mieux parce que les décideurs qui choisissent Linux sont plus compétents parce que Linux est mieux”
Enfin un argument qui tient vaguement la route. Sauf qu’en fait, pas tant que ça au final. Y’a pas tant de distro qui sont viables en production, et si tu te limites aux lts, t’as quoi, 6 à 10 candidats pour 95% des installs. C’est plus que Windows, mais c’est pas non plus le bout du monde.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
[^] # Re: ha...
Posté par groumly . En réponse au journal Manutan, cyberattaque et Windows/Linux . Évalué à 1.
C’est une façon de voir les choses. Tu peux aussi zapper l’analyse statistique, et conclure via tes métriques techniques (success/failure et response times), bien plus vite, sans avoir à te demander si t’as choisi la bonne p-value, si t’as pas un biais de sélection qui influence les résultats et autres joyeusetés qui viennent avec l’analyse d’un ab test.
Dit autrement, tu peux enfoncer un clou avec un tournevis, mais c’est pas forcément le plus adapté.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
[^] # Re: ha...
Posté par groumly . En réponse au journal Manutan, cyberattaque et Windows/Linux . Évalué à 2.
La question c’est surtout combien de clients ils ont. La majorité de ces serveurs sont là pour eux, pas les employés. ‘Fin c’est très bizarre comme métrique, surtout qu’on sait pas si ces 800 machines Windows sont des VM ou des serveurs physiques.
C’est dur d’estimer quel genre de traffic ils prennent, mais une autre façon de voir les choses c’est que chaque serveur génère plus de 650k euros de chiffre d’affaire par an.
C’est assez incongru comme métrique aussi, mais vu sous cet angle, ça devient moins stupide.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
[^] # Re: ha...
Posté par groumly . En réponse au journal Manutan, cyberattaque et Windows/Linux . Évalué à 1.
Ab test, pas test test.
C’est censé tester l’impact de nouvelles (ou changement de) fonctionnalités sur le business, pas valider l’infrastructure sous jacente.
Y’a des moyens beaucoup plus simple de valider qu’une mise à jour de Windows pete pas le service. Tu déploies un canary, et tu gardes un œil sur tes métriques techniques et tes logs.
Quand il s’agit de mises à jour systèmes, t’as pas toujours l’option de faire ça non plus. Si t’as updaté ton sqlserver, c’est pas garantit que tu puisses le downgrader derrière et que ça continue à marcher.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
[^] # Re: ha...
Posté par groumly . En réponse au journal Manutan, cyberattaque et Windows/Linux . Évalué à 0.
Il dit qu’il a plus de genoux.
C’est quoi le rapport?
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
[^] # Re: ha...
Posté par groumly . En réponse au journal Manutan, cyberattaque et Windows/Linux . Évalué à 3.
Ça me parait pas choquant.
Ils font pas loin d’un milliard d’euros de chiffre d’affaire, et ils ont 2500 employés.
A cette échelle, ils ont pas juste un apache/php/mysql. Entre tous les systèmes de productions, les systèmes de support, les outils interne d’analytique, ab test et que sais je encore, Kafka, kibana, graphite, les serveurs de builds, l’intégration continue, toute l’infrastructure it pour gerer 2500 personnes, si en plus tu rajoutes les environnements de dev et de preprod, ça monte vite.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
[^] # Re: ha...
Posté par groumly . En réponse au journal Manutan, cyberattaque et Windows/Linux . Évalué à 3.
UTC, c’est pas fait pour les chiens :)
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
[^] # Re: ha...
Posté par groumly . En réponse au journal Manutan, cyberattaque et Windows/Linux . Évalué à 10.
Je veux pas dire, mais 25 filiales, 2500 employés et 800 serveurs, j'appelle pas ça une pme, et s’ils ont pas des équipes (pluriel) en astreinte pour gérer ça, ils vont avoir d’autres problèmes que les mise à jour.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
[^] # Re: Ce n'est finalement qu'un navigateur
Posté par groumly . En réponse au journal ça y est, c'est fait . Évalué à 3.
Chose que personne ne fait, parce les sites webs ont tendance à abuser de tout. Je suis pas sur que tu puisses changer l’icône des notifications non plus, et ca dilue l’intérêt d’avoir une icône dans le dock badgée avec le nombre de messages non lus (chose qui n’est de toutes façon pas supporté avec les push web).
Sauf que ça casse le cmd tab, et ca déplace la gestion de l’UX sur l’utilisateur qui doit se demerder à singer le comportement d’une appli native dans un navigateur.
Tu te farcis le chrome du browser (window chrome, pas le navigateur) qui sert à rien, des raccourcis clavier qui n’ont aucun sens, des pop up bloquées et autre incongruité du genre.
Aussi, rien de tout ça va fonctionner sur mobile, ce qui est un peu un gros problème pour quelque chose comme Teams.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
[^] # Re: Ce n'est finalement qu'un navigateur
Posté par groumly . En réponse au journal ça y est, c'est fait . Évalué à 8.
Heu ben quand même. D’un point de vue technique, t’as pas forcément tord, même si tu forces le trait un peu.
D’un point de vue ux, y’a un monde entre les deux. Icône dans le dock/ne pas avoir à chercher dans 40 tabs celui que tu veux, notifications push, raccourcis claviers qui ne sont pas en conflit avec le navigateur (genre cmd t dans slack), t’as des menu dédiés à l’appli.
Ca demande du boulot pour faire une appli qui a vraiment l’air native, mais dans l’ensemble, on est quand même à des lieux d’un simple onglet dans un browser.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
[^] # Re: Titre faux
Posté par groumly . En réponse au journal Le site gouvernemental de la Sécurité Routière force la surveillance. Évalué à 10.
Définit "masse" pour commencer.
A supposer que les ad blocker ne sont installés que chez 1 a 5% (estimation au doigt mouillé, somme tout très conservatrice), ben 5% ca commence a faire une grosse masse. Surtout quand ton audience c'est "ceux qui ont un permis de conduire français". 400k a 2 millions de personnes laisses sur le carreau, elle commence a piquer ta minorité.
Pourquoi je sort 5% du chapeau? Vu le nombre de sites de news qui se font chier a implémenter un filter anti ad block, je me dit qu'ils doivent voir au minimum 5% de traffic avec des bloqueurs de pubs. Probablement plus, mais comme dit, c'est conservateur.
Dit differement: quand t'atteints une certain échelle, raisonner en "majorité" ne marche pas, parce que les nombre absolus de la minorité sont juste trop gros pour que ca passe.
Ok, s'ils sont incompetents et pas foutus d'accepter que le bug report est reel, ni de penser qu'un ad blocker cause une page blanche, je suis plus quoi dire la.
🤷
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
[^] # Re: Titre faux
Posté par groumly . En réponse au journal Le site gouvernemental de la Sécurité Routière force la surveillance. Évalué à 10.
C'est un facon de voire les choses, ma réponse a mes ingénieurs qui me sortent ce genre de conneries c'est "bon, ben cool, on a qu'a livrer ton navigateur et ta config avec le site web, vu que ca marche pour toi".
Le fait que la page ne rende pas si le JS de cdn.machin.com n'est pas chargé est un bug critique et bloquant dans mon monde. Tu fais quoi si cdn.machin.com a un outage? Ou s'ils mettent la clé sous la porte dans 2 mois et que le domaine par chez quelqu'un d'autre? Ou si, tout simplement, quelqu'un se pointe avec un ad blocker qui bloque (probablement a juste titre) ce domaine?
Parce qu'ici avec safari et un ad blocker de base, ca passe pas non plus, on peut pas vraiment dire que ca soit une config de gros geek qui hack le web.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
[^] # Re: Pas trop étonnant
Posté par groumly . En réponse au journal Comme une impression de déjà vu…. Évalué à 9.
Y’a un paquet de raisons pour laquelle ces clients ont marchés.
Tu remarqueras que le point commun c’est qu’ils se sont concentrés sur le produit et pas sur la technique. Identifie un probleme, résoud le. La technologie est un moyen, pas une fin en soi.
La critique que j’aurais à faire aux projets purs libres/communautaire grand publique c’est qu’ils ont tendance à se focaliser presque exclusivement sur le côté technique, et pire encore, sur un remplacement libre d’un outil proprio.
Ca se voit sur “Linux sur le desktop”, les suites bureautiques, les jeux, et du coup, xmpp.
Ça crée l’effet pervers de se focaliser sur le passé et complètement rater des innovations majeures, genre OpenOffice tellement occupé a singer office qu’ils ont raté le train en ligne, Linux grand publique qui rate le monde mobile trop occupé à singer Windows (pitié, non, android n’est pas Linux, pas plus qu’iOS est nextstep en tout cas), ou xmpp qui arrive à rater l’explosion des messageries mobiles alors qu’ils étaient durs à la tâche au bon moment et avait probablement la technologie pour décoller comme une fusée.
Et le truc frustrant c’est que tu trouves à droite à gauche des trucs très bien gaulés. Genre les mecs de khtml qui avait une très bonne techno, xmpp était au parfait endroit au parfait moment, OpenOffice aurait put être le socle de l’office online, que sais je encore.
Y’a des success story dans le libre, clairement, mais ça a tendance à se confiner à des projets très techniques ou la technologie est le produit: Linux sur le serveur/embarque, dev tools, ce genre de choses.
J’imagine qu’il y’a probablement de bonnes raisons à ces travers, mais, bordel, c’est triste.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
[^] # Re: Pas trop étonnant
Posté par groumly . En réponse au journal Comme une impression de déjà vu…. Évalué à 3.
whatsapp était payant pendant longtemps.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
[^] # Re: Pas trop étonnant
Posté par groumly . En réponse au journal Comme une impression de déjà vu…. Évalué à 3.
Si c'était le cas, Google aurait un client de messagerie populaire. C'est pas faute d'avoir essayé pourtant. Hangout, Allo, GTalk, et j'en oublie probablement plusieurs.
C'est sur que ca aide d'avoir 1 milliards d'utilisateurs, mais clairement c'est pas juste ca. WhatsApp a grossi de façon phénoménale en venant de nulle part, idem pour Signal, telegram ou discord.
Ouais, mais visiblement, offrir une douzaine de clients subtilement incompatibles entre eux, ca plait pas non plus 😉
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
[^] # Re: Pas trop étonnant
Posté par groumly . En réponse au journal Comme une impression de déjà vu…. Évalué à 3.
Euh, ouais, non, pas du tout la.
iMessage supporte ça depuis 2016, slack depuis 2015. 6 ans, c’est pas vraiment récent.
Ensuite, non, répondre avec juste un emoji, c’est vraiment pas cool pour le salon de discussion.
Ca cause beaucoup de bruit dans le channel, ce qui est un gros problème si le salon a une taille décente (tout le monde y va de son 👍 ou son party parrot et paf, t’as 4 pages à scroller avant de retrouver le contexte). Et ça marche pas du tout en asynchrone. Quand un de mes gars annonce qu’il a corrigé un bug dur à trouver, et que je voit ça 4 heures plus tard, je peux pas répondre dans le salon, et je vais pas ouvrir un thread juste pour dire “ok, cool”. Je lui met un emoji en réaction, il voit ça apparaître dans ses notifications “soft” et tout le monde est content.
On s’en sert aussi comme “ack” pour notre bot dans le salon des incidents, pour marquer les messages enregistrés et ajoutés au ticket automatiquement. C’est juste impossible d’avoir ce genre de choses sans les réactions.
Et ne pas avoir de réactions en 2021, c’est être vraiment à la bourre.
Ben ouais, mais avoir le meilleur protocole du monde, ça sert pas à grand chose si personne ne l’utilise, ou si personne ne peut l’utiliser en pratique parce que les implémentations sont trop fragmentées/disjointes.
C’est précisément parce que xmpp n’a pas été capable de se federer derrière un produit viable que Facebook et consorts ont raflés le jackpot.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
[^] # Re: Pas trop étonnant
Posté par groumly . En réponse au journal Comme une impression de déjà vu…. Évalué à 7.
De memoire, jingle qui est resté en draft pendant des annees, les messages hors ligne (ou peut être est ce le support du "online presence" auquel je pense? Ou peut être les deux?), et les reactions aux messages. Le support du transfert de fichiers a aussi l'air d'être un joyeux bordel, et n'a pas l'air d'avoir été correctement supporte avant 2015
Alors, ouais, ya des XEP en experimental, et ca pète entre les clients divers et varies, a supposer que t'as la chance d'avoir des serveurs qui offrent la XEP en premier lieu.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
[^] # Re: Maître esclave
Posté par groumly . En réponse au journal Comme une impression de déjà vu…. Évalué à 5.
L’e-mail a décollé dans les années 90 avec des contraintes techniques et un public très différentes de ce qu’on a aujourd’hui.
Ca a pas évolue depuis 1984, c’est inutilisable sorti de quelques cas d’utilisation spécifiques, et c’est un pot de pus niveau spam et autre.
C’est absolument délirant de suggérer qu’un nouveau service puisse décoller de nos jours avec un modèle similaire.
Et en pratique, c’est super centralisé, avec plus de 90% du traffic partagé entre Google, Microsoft et Yahoo. Yen a un de ces 3 qui tombe, tu fais tomber un tiers de l’e-mail mondial.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
# Pas trop étonnant
Posté par groumly . En réponse au journal Comme une impression de déjà vu…. Évalué à 10.
Les outils de communications créent par nature un effet réseau, d’une part. Ceux qui s’en sortent sont ceux qui arrivent à atteindre une masse critique suffisamment rapidement (fb messenger, WhatsApp, msn), fonctionnent de base sur plusieurs réseaux de façon 100% transparent (iMessage), ou sont dans de niches suffisamment grosses/importantes (les signal et autre chiffres de bout à bout).
En parallèle a ça, t’as les outils corporate, slack/teams/etc, qui sont sur un marché très différent.
D’autre part, la decentralisation, c’est cool, mais ça complique énormément les choses, que ça soit d’un point de vue ingénierie ou produit.
Non pas que ça soit 100% impossible, mais ceux qui s’y sont attelé ont soit approché le problème d’un point de vue 100% geek (xmpp), soit se sont ramassé d’un point de vue business. Pas assez de marketing, pas assez de fond, placement douteux, et rien de tout ça n’est facile quand t’as Facebook et Apple en face qui poussent très fort du haut de leur milliards de clients et chiffre d’affaire faramineux.
Et de base si la première question que ton client demande c’est “quel est ton serveur?” Tu vas tout droit dans un mur. Les clients e-mails ont résolu ca en mettant gmail/outlook/whatever bien en avant, mais ca va pas trop marcher avec des clients IM cette approche.
Il faut donner une très bonne raison aux gens pour qu’ils se fassent chier à reconstruire un réseau. iMessage a perce parce que lié au téléphone, intégration transparente des sms, appli par défaut, intégration entre différents devices, et grosse base d’utilisateurs d’entrée. FB parce que Facebook a poussé tout ce qu’ils pouvaient sur leur 2 milliards d’utilisateurs. Skype parce que téléphone pas cher et ils sont arrivés tôt. Signal etc parce que secret de communication est très important pour leurs utilisateurs. WhatsApp parce qu’ils ont comblés les trous qui existaient dans la messagerie mobile au tout début. MSN parce que appli par défaut sur 90% des pc de la planète.
Google s’est ramassé en beauté parce qu’ils n’avaient rien à offrir et repartaient de 0 tous les 2 ans. Xmpp s’est ramassé parce qu’ils ont mit des années à implémenter des trucs que tout le monde avait, parce que fragmentation causé par la décentralisation et parce qu’ils passaient plus de temps à se demander si leur spec était parfaite qu’à faire en sorte que les gens puisse utiliser le protocole au quotidien.
Les clients libres qui se pointent en disant en substance “notre facteur de différentiation c’est de rendre vachement plus compliqué la construction de ton réseau social grâce à la décentralisation sans offrir quoi que ce soit de plus que la concurrence” vont effectivement droit dans le mur, a plus forte raison s’ils n’ont pas une entité commerciale très forte pour les aider à percer.
En l’occurrence, pour élément, je suppose que ça signe le début de la fin. Quand ton argument de vente c’est “tu peux utiliser les produits de la concurrence”, c’est pas franchement un bon signe.
Donc oui, rien de nouveau sous le soleil. Les mêmes causes ont les mêmes conséquences.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
# C’est toi le kebab!
Posté par groumly . En réponse au journal On s'en fout de vos tartiflettes. Évalué à -1. Dernière modification le 20 octobre 2021 à 21:47.
Voila, tout est dit
Linuxfr, le portail francais du logiciel libre et du neo nazisme.