barmic 🦦 a écrit 5976 commentaires

Tu as déjà configuré un firewall pour du ftps ?

Vraiment ça fait une grosse dizaine d'années que vous cumulez de la dette technique et que tout le monde fuit ce protocole. Il y a un moment où ça casse.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Java et flash avaient leurs sandbox, potentiellement meilleures que celle du navigateur au moment de leur arrivés. C'est le passage d'une sandbox à l'autre qui posait beaucoup de problèmes.

Je ne comprends pas bien ce premier paragraphe qui est là plus pour libérer une frustration que pour apporter de l'information. Ça se pleins de faire des choses dans un navigateur puis de faire des choses à côté du navigateur par exemple.

C'est loin de la ligne éditoriale plus neutre que je préfère en dépêche, mais ça doit être mon opinion personnelle.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Je ne comprends pas. Firefox n'a jamais pu faire d'upload ftp donc tu créé un compte mais tu devais passer par autre chose au final pour le partage.

Et encore une fois :

Ce qui est dommage c'est de pas passer au ftpS :/

ftps est au moins aussi cramé que ftp.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

À ce propos attention, scp n’utilise pas SFTP (à ma grande surprise quand j’ai découvert ça)

Le lien que tu donne indique que c'est entrain de changer.

As it turns out, Jakub Jelen is working on such a thing; it is an scp command that uses the sftp protocol under the hood.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Récemment c'est l'histoire du port 22 que j'ai lu (The story of getting SSH port 22).

En particulier Tatu Ylonen (concepteur de SSH) a choisi 22 car il voulait remplacer telnet (port 23) et ftp (port 21) et quand il a demandé l'obtention de à l'IANA a reçu un mail surprenant de simplicité :

Date: Mon, 10 Jul 1995 15:35:33 -0700
From: jkrey@ISI.EDU
To: ylo@cs.hut.fi
Subject: Re: request for port number
Cc: iana@ISI.EDU

Tatu, We have assigned port number 22 to ssh, with you as the point of contact.  Joyce

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

SSHFS est un vrai système de fichiers en réseau ;)

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Et je sais pas si on aurait eu le kernel dans le même état sans la GPL v2. Fondamentalement, le fait de faire un fork proprio est coûteux sur le long terme donc la GPL ne fait que forcer une coopération qui serait sans doute arrivé naturellement.

Je ne sais sincèrement pas. Linux ne s'est pas fait en un jour. Avant qu'il passe le point d'équilibre de ne plus être forkable (ce qui est intéressant comme concept pour un fleuron du libre), il n'aurait peut-être pas connu ce succès.

De la même manière j'ai vu des gens dire que gcc, sa licence et sa non modularité ne servent à rien vu comme llvm est un succès. llvm n'aurait peut-être pas vu le jour qui gcc n'avait pas été un succès et que chaque plate-forme venait avec son compilateur, sans chercher l'interopérabilité avec gcc.

Ce sont 2 logiciels qui ont fait émerger un bien commun, mais rien ne le garantit au départ et il y a pleins d'exemples qui montrent que ça n'est pas simple (ni juste une histoire de licence).

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

C'est Mozilla qui développe le support de ces plugins

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

• sftp (et bien sftp commencez pas à acheter des appliances impossible à mettre à jour qui ne savent faire que du scp)
• nfs
• cifs
• bittorrentsync
• syncthings

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Le truc qui empire les problèmes de firewall. Ça fais quand même une bonne dizaine d'années que l'on connait les problèmes de FTP et qu'on a de multiples alternatives

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Il faut continuer à maintenir flash parce que tu va encore trouver des gens qui s'en servent par exemple ?

Mozilla particierait-il à l'obsolescence programmée ?

C'est ton fabriquant ou ton vendeur qui ne fait pas de support ça n'a rien à avoir. Surtout que bon filezilla existe toujours.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

La pertinence et les problèmes des protocoles qu'ils prennent en charge ? Oui évidement.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Le transfert ASCII peut changer le fichier que tu distribue.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Une fois je lui ai demandé si elle avait besoin d'un Windows et elle m'a répondu 'Non, pas besoin, Ubuntu c'est bien'. (quelque part ça m'a fait plaisir).

Tu l'a pas trollé « ubuntu c'est pour les noob. slackware c'est pour les vrais »

comme ça il comprendra qu'un logiciel non libre n'est pas donné en général

Ou il fera l'association libre as a free beer.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Le problème, c'est qu'il n'y a pas vraiment de remplaçant dans le navigateur, pour se partager facilement des fichiers. http(s), l'upload est compliqué.

Firefox n'a jamais permis de faire un upload FTP, il y a des extensions qui l'ont fait (je ne sais pas si ça existe encore) qui avait leur propre implémentation du protocole.

Donc :

Alors on fait quoi ?

Je dirais comme jusqu'à présent.

Si ce qui t'embête ce que tu cherche c'est à présenter un dossier tous les serveurs web font ça très bien.

Sinon il reste webdav qui a le bon goût d'être supporté par les explorers ms-windows. Bin oui, il faut que ça tourne sur le parc, tout ça.

Si c'est pour une question de gestion de parc (pas ouvert sur internet) tu as l'embaras du choix :

• webdav
• nfs
• cifs
• seafile/bittorrentsync/…

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Firefox a tendance à supprimer des fonctions utiles

Comme flash et les applets java par exemple ? Et ils n'ont jamais implémenté les activX, ces gredins !

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Tout le monde veut la mort de FTP c'est un protocole obsolète. Ce n'est pas qu'une question de sécurité.

On peut avoir envie de partager des documents publiquement, sans que la confidentialité ne soit un problème.

On peut dire la même chose pour http, mais ne pas vérifier l'identité du serveur ça rend transparent le fait que tu le visite et ça permet de man in the middle (wikipedia a des données publiques pour autant si je peux placer mon serveur devant pour fournir des fausses information ça pose un problème par exemple).

En plus c'est un mauvais protocole pour la distribution. Son unique intérêt sur https à ce niveau là c'est de permettre l'envoi de données, mais je suis pas certain que les navigateurs aient un jour implémenté l'envoi.

C'est un protocole très difficile à administrer, son mode passif/actif le rend très couteux pour les firewall par exemple. Sa gestion de l'encodage peut aussi poser problème.

Il existe différents protocoles qui marchent bien mieux (en fonction du sftp, bittoren, https,…).

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

La même qui fait accepter des jeux propriétaires alors qu'on refuse des systèmes d'exploitation propriétaire : les concessions.

Pour le coup ce que ça apporte :

• un cloisonnement fort, tu es sur une appliance
• un besoin de SAV minimaliste

Arpès tu peux aller plus loin et installer des jeux propriétaires sur une console dont l'OS est libre mais ça marche surtout quand on est fan de retrogaming et j'ai l'impression que c'est rare de commencer les jeux vidéos par là.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

OSI ? :p

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

tu attends et tu envoie chier ton chef et tes clients, en disant que Linuxfr ne comprendrais pas

Ah non désolé si c'est ce qui a était compris je m'interroge sur la raison.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Debian a prouvé que faire des choses dans son coin était risqué, des fois cela se cache dans les détails, dans la manière dont ils ont vérifier leurs backports

D'une part, je trouve que généraliser à partir d'un exemple datant d'il y a 10 ans est méthodologiquement faible.

Justement je ne généralise pas, je dis que sortir du processus de développement standard de la bibliothèque augmente le risque quelque soit la qualité du développeur.

J'attire l'attention sur son profil:

"Software Developer at OpenSSL Software Foundation"

Mais il a fait quelque chose :

• qui n'est pas dans le projet amont
• qui n'est pas recommandé dans le projet amont

Il a, j'en suis certain, de très bonnes raisons, mais pourquoi n'en faire profiter que Fedora et pas tous les utilisateurs d'openssl ?

Et encore une fois, c'est une fonction de hash.

Après un certains nombre d'années d’expérience, tu apprends que ce sont ces choses simples. Celles qui te font dire « oui mais c'est simple » qui sont de loin les plus dangereuses. C'est un biais humain qui n'est pas particulièrement lié à l'informatique. Les accidents d'escalade de gens d’expérience sont souvent liés à des nœuds mal voir pas fait) ils n'ont rien de complexe, il n'y a pas besoin d'aller vite, c'est juste qu'après l'avoir fais des milliers de fois ça devient machinal, on omet une vérif',…

C'est déterministe par nature, il y a une spécification sous forme d'une RFC et il y a des tests (genre beaucoup de tests: https://src.fedoraproject.org/rpms/openssl/blob/rawhide/f/openssl-1.1.1-krb5-kdf.patch#_2476 , genre à vue de nez, 100 à 120 tests ).

Ce n'est pas le code de la fonction de hash le danger c'est :

• l'application du patch
• le nouveau build
• toutes les opérations manuelles qui ne sont pas dans le processus standard

Il a probablement fais toutes les vérifications du monde et tout fais comme il faut et c'est cool, mais il a pris un risque et je ne comprends pas pourquoi.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Par contre, la ou c'est important de garder openssl à jour, c'est pour avoir les nouveaux algos, et donc permettre au reste du monde d'aller de l'avant pour les cas ou c'est plus important. Mais c'est rarement la raison donné, parce que tout le monde s'en fout un peu de la maintenance.

D'une part je pense que considérer le backport d'une version de développement vers une version stable (quand ça n'est pas la logique upstream) comme un processus de mise à jour est discutable. La branche 1.1.1 est en développement actif (dernière version il y a 22 jours version précédente le 26 février), on ne peut pas dire qu'il s'agit d'un legacy.

Perso, je pense déjà que les soucis de sécurité autour de la crypto sont assez souvent exagérés. Je veux pas dire par la que ça n'existe pas, ni que c'est pas important et qu'il faut s'en foutre. Mais c'est une question de contexte.

Debian a prouvé que faire des choses dans son coin était risqué, des fois cela se cache dans les détails, dans la manière dont ils ont vérifier leurs backports. Je trouve bien plus sûr de ne pas tenter de faire des bricolages dans son coin en particulier pour des éléments qui impliquent de la sécurité (sans attaque sur openssl, réduire la solidité de l'entropie qu'il utilise est déjà un problème).

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

LemmonLDAP::NG, GLPI, Fusion Durectory et xwiki sont des projets pas mal utilisés (pas par moi directement, mais mes collègues qui s'en servent sont content). Je vois sympa utilisé dans pas mal d'endroits. asm fonctionne bien aussi.

Ce sont peut être pas des projets excitants mais ils répondent à des besoins sont libres et communautaires.

Je ne suis pas certains de ce que tu leur reproche et je vais éviter de te faire un dire ce que tu n'a pas dit.

Quant au budget, je ne sais pas si c'est beaucoup ou pas pour ce qu'ils font. Je n'ai pas trouvé d'info ni sur le montant que tu indique ni sur d'où il vient. Si ça ne vient pas de financement publique, je me fou royalement du montant et de l'efficacité avec le quel ils le dépensent.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

La sape a commencé insidieusement en ajoutant de fonctionnalités non supportés (par exemple l'actuel Alphabet a voulu contribuer la sono et la vidéo avec Jiggle mais avec des infos au compte goutte et une implémentation fonctionnelle seulement pour son GoogleChat/Hangout/…)[…]

Ça n'a pas l'air d'être comme ça que ça s'est passé d'après wikipedia. J'ai le souvenir qu'ils ont poussé jingle avant l'adoption et qu'ils avaient une authentification non standard.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Il n’y a qu’à considérer l’état des amérindiens des réserves, ou encore les effets d’aubaines et la corruption que peuvent générer les parachutages de biftons pour tel ou tel grand plan national/international.

Ce n'est pas ce que j'ai par exemple en lisant des commentaires sur le plan de relance américain. J'imagine que c'est lié plus à la vision de chacun (et/ou un contexte) qu'une vérité absolue.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll