barmic 🦦 a écrit 5211 commentaires

Et plus il y a d'utilisateurs plus c'est pentesté.

Par des chapeaux blancs ou des noirs?

Les 2 mon général. Mais c'était surtout pour mettre en avant que c'est pas trivial de dire comme ça sur des critères purement extérieur/quantitatif ce qui est le plus sécurisé ou non. Par contre :

Dans le cas des blancs, les correctifs arrivent-ils réellement rapidement? Sur quelles distro?

Là il y a un glissement. Ce n'est pas une question de sudo ou de la taille de son code. Si ta distribution ne met pas à jour ta bibliothèque TLS ou ton client SSH quand une mise à jour de sécurité apparaît c'est pas la faute des développeurs upstream.

D'ailleurs, si quelqu'un pouvait m'expliquer pourquoi il fait une requête DNS sur le hostname (que contourne Debian en ajoutant 127.0.1.1 dans /etc/hosts) ça m'intéresse, parce que perso, j'ai bien du mal a voir l'intérêt de cette… fonctionnalité.

Tu présente le truc de manière assez biaisée, tu ne trouve pas ? Je suis sur que tu es capable d'aller voir la doc (celle upstream que tu peux retrouver via l'outil man de ton unix-like préféré si tu as installé sudo) de sudo qui explique à quoi ça sert¹ et qui décrit la manip' utilisée par debian → ce n'est pas un contournement de la part de debian c'est une configuration prévue par les développeurs upstream.

Au lieu de commencer par s'offusquer ça pourrait être marrant de se renseigner, c'est comme ça qu'on évite les FUD et autres fausses informations ;)

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Plus il y a de code, plus il y a de bugs. Mais pour généraliser, plus il y a de code, plus les audits sont compliqués.

Et plus il y a d'utilisateurs plus c'est pentesté.

Mais la diversité améliore la sécurité en soit même si les alternatives à sudo faisaient 1M de lignes ça serait intéressant d'un point de vu sécurité pour qu'une faille n'impacte pas tout le monde.

Après sudo a énormément de fonctionnalités et fait un job cool (même si je trouve dommage de continuer à voir des overflow aujourd'hui…), mais c'est super d'avoir des façons différentes de faire (plus simple comme doas, juste de réimplémentations comme calife ou complètement autrement).

Les projets libres non commercial comme ça ne sont pas des ennemis à la recherche de la plus grande part de marché.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Quoi ?! Mais tu peux pas dire ça !

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Alors, c'est pas ce qu'eux même disent (cf mon commentaire en dessous) et de 2 si c'est le cas il vaut mieux pour eux le retirer plutôt que laisser une fonctionnalité contenant des bugs connus qui leur sont du coup remontés, les utilisateurs non averti que cette fonctionnalité serait dépréciée l'essai et peuvent avoir un très mauvais ressenti de leur usage de l'outil.

Bref soit ça les intéresse pas et il faut qu'ils le déprécient avant suppression, soit ça les intéresse et il faudrait finir le travail.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

L'idée, qui ne date pas de cette version[…]

Ils en parlent presque depuis la création de LibO j'ai l'impression, mais aucune idée de où est-ce que ça en est. Il en parlent pas dans la note de version. Tu as un lien pour connaître l'état actuel ?

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Moins de java (exit les versions 6 et 7), un beau python (3.7.6), pas de boa ni de truc en plume par contre, et adieu GTK+ 2 VCL. L’intégration de KDE 5 se poursuit.

Alors Java était utilisé dans LibreOffice (LibO) et avant dans OpenOffice.org (OOo) pour certaines extensions et pour le module Base. Ici il est question de ne plus supporter les versions 6 (2005 → 2013) et 7 (2011 → 2015) de java. Je ne sais pas ce qu'il en est de l'utilisation de java dans le projet. Par contre je ne vois pas d'informations sur une diminution de l'utilisation de java dans la note ?

Python est utilisable pour scripter LibO, de ce que je comprends ils embarquent CPython et l'ont mis à jour vers 3.7.6 (version précédente 3.5.9).

« pas de boa ni de truc en plume par contre » j'ai pas la référence par contre.

VCL était un framework graphique construit pour OOo au dessus de GTK. Il possède différentes implémentations. Ils ont supprimé l'implémentation GTK2 et amélioré la version Qt5 (qui dépend peut être aussi de KDE framework).

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

C'est dommage de parler d'un moteur de jeu sans montrer aucune capture d'écran :)

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Ça n'a aucun rapport. Mozilla a commencé à travailler sur maildir, mais faute d'investissement il reste de nombreux bugs sur ce sujet. Ça n'a rien à voir avec un autre MUA qui ne s'intéresserait pas au format maildir.

C'est même pas une question de point de vu. Il y a 6 ans Mozilla annonçait le renouveau de Thunderbird (et je m'en faisais l'écho ici même). Certaines choses ont évoluées, mais clairement pas toutes. Donc même Mozilla trouve qu'il y a des choses à faire sur thunderbird. Plus récemment les contributeurs eux-même expliquaient ce qu'ils voulaient faire sur thunderbird.

Que Thunderbird te convienne tel qu'il est, on en est tous très content pour toi. Mais il reste encore un paquet de choses à faire et la dette technique s'accumule avec le maintiens de XUL par exemple.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Il y a 2 raisons pour faire ça soit tu es bien installé et tu souhaite grandir, soit ton modèle économique ne fonctionne pas et tu cours vers là où tu espère trouver de l'argent… La première raison marche infiniment mieux, les gens de chez docker ou Mozilla pourront probablement en parler.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Peut être parce qu'un simple lien ne suffit pas à déclencher une discussion ? Pour qu'il y ai discussion il peut être pas mal de présenter quelque chose, de donner son point de vue,… Bref d'avoir quelque chose à dire.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Je suis désolé pour vous parce que vous passez à côté d'un changement de paradigme en terme de gestion de paquets à cause de simples arguments de rhétorique.

Rien que ça ? Faudrait se calmer un peu, non ? Tu as vu la lumière et tout ce que les gens peuvent dire qui ne seraient pas dans ton sens ne sont que rhétorique ?

Quand on en fait autant de caisse pour un outil qui fait pour beaucoup la même chose que ce qui existe déjà mais en mieux intégré avec quelques fonctionnalités (pas forcément utile pour grand monde) en plus, ça peut avoir évidement tendance à rendre septique.

D'autant que personnellement un outils qui intègre mieux que ce qui existe déjà un ensemble de fonctionnalités, je n'appelle pas ça un changement de paradigme. Mais alors pas du tout.

Le changement important est dans le fait de découpler ce qui est installé de ce qui est accessible. On installe dans un store et par des jeux de liens symboliques, on rend accessible ou pas dans le système ce qui est installé. C'est là dessus que tout nix/guix se base. L'aspect fonctionnel me paraît plus être un jouet de description de paquets.

Très franchement personnellement cette indirection et ce changement de sémantique ne m'intéressent pas. Ça ajoute une complexité à mon système sans m'apporter la moindre fonctionnalité dont j'ai pu ressentir le besoin.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Oui curl, httpie ou n'importe quel client http.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Ça n'est clairement pas du second degré. Oui le troll ça existe mais là un gars comme El titi est persuadé savoir de manière objective et absolu ce qui est bien en méprisant les autres points de vue. Tu remarque que le mépris arrive dès le début et ne donne clairement pas envi de s'engager dans une véritable discussion car elle sera parasitée par cette prétention et ce mépris. J'y ai déjà eu affaire plus d'une fois sur divers sujets (impossible de parler objectivement de js sans qu'un gars vienne t'expliquer que le js c'est tout pourri, impossible de parler de mode sombre sans qu'une fille vienne t'expliquer que le mode sombre c'est tout pourri,…).

Quelque part cette culture du mépris me semble faire parti d'un tout qui est l'absence de bienveillance généralisée (et oui on pourra me dire que je fais parti du problème).

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Une hérésie ? Rien que ça ? Et on démontre les hérésies avec des sondages.

Rust et go n'ont rien à voir. Ils ne s'adressent pas aux même usages et proposent des solutions différentes.

Après dans les hérésies classiques on a lisp et javascript. Ça ne trompe pas ces langages sont mort-né.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Le fait d'utiliser un langage turing complet t'empêche d'établir un certain nombre de propriétés sur le code. Il devient très complexe de faire des validations et va probablement demander à faire de l'analyse statistique qui peut montrer ses limites.

D'autres parts je connais des DSL qui ne sont pas limitatifs. C'est par eexemple le cas de gradle ou des pipelines jenkins qui permettent d'utiliser tous groovy.

La notion de niveau d'abstraction dont tu parles qui serait en plus infini ne me paraît pas très clair ou pas très intéressante. L'abstraction n'est pas une fin en soit. En multiplier les couches est un anti patern. Il faut juste que tu puisses exprimer ce dont tu as besoin et je ne suis pas sûr que gérer des paquets demande à ce que chaque empaqueteur pose son propre design.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Un paquet utilisant inherit utilise la recette du paquet qu'il hérite et la modifie.

Si on veut continuer de filer la métaphore, c'est une mauvaise pratique d'utiliser l'héritage pour ça. Ça rend très difficile la maintenance (faire évoluer l'ancêtre tout en restant pertinent pour tous les descendants). Ça pète le principe open/close des concepts SOLID

Pour partager du code le mieux ça reste de faire de la composition

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Tu sais qu'opensolaris est abandonné depuis 12 ans ?
Hurd n'est pas une distribution et il n'est plus prévu qu'il soit autre chose qu'un projet expérimental. Mais à ma connaissance il a 2 distributions Debian et Arch.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Connaissant le commit, je peux à n'importe quel moment réutiliser la même graine et donc construire le paquet.

Tu le construis avec quels outils ?

Pour ce qui concerne le C, GNU Mes a fait un gros boulot et la graine commence à être raisonnable. :-)

Je veux bien mais tu va devoir faire confiance au binaire de ce compilateur si j'ai bien compris.

Se passer d'une étape de compilation est extrêmement complexe, c'est pas une question de guis, nix ou apt. Si tu veux remettre en cause les dépôts de ton outils, il y a soit un compilateur à qui tu es contrains de faire confiance soit tu prends des étapes hyper relous de construction d'un compilateur from scratch (tu fais confiance à quel éditeur hexa décimal ? ;)

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

C'est une information qui fait partie du paquet, donc tu peux l'installer et tu peux la vérifier de la même manière. Évidemment il peut y avoir un problème au bootstrap, mais je présume qu'ily een a un aussi aussi avec ta solution.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

C'est ce que permet apt-build. La composition n'est pas un concept uniquement fonctionnel tu l'a aussi pour en orienté objet et du effectivement fait par des méta paquets.

Guix/nix font probablement toutes ces choses mieux (l'inverse serais dommage), ils ne les ont pas forcément inventé et les gens n'ont pas attendu nix pour proposer des solutions

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Ça doit faire au moins 10 ans que je n'ai pas eu à lancer aptitude pour avoir un vrai résolveur 3-SAT pour mes dépendances (et t'avais vraiment fait n'importe quoi). Non pour moi c'est le téléchargement qui prend presque la totalité du au quotidien et le depaquetage et la configuration aussi sur les grosses installations ou mise à jour

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

apt-build permet de reconstruire un paquet très facilement et le comparer avec l'existant n'est pas très compliqué

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Peut être avoir des notifications lors de guerre d'inutilage/pertinage ?

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Je ne suis pas pour. Suites aux commentaires, le contenu pourrait changer et rendrait les commentaires obsolètes, dur à lire plus tard etc. Ce pourrait être un peu la foire quoi.

D'où vient cette hypothèse si négative ?

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Donc s'il n'y a pas 3 versions d'un logiciel dans votre distribution, c'est parce qu'on manque de petites mains pour maintenir les rétroportages, et qu'on privilégie la sécurité à la diversité.

Il y a une autre raison. Une distribution c'est le choix d'un ensemble d'éléments qui se veulent cohérents. Il y a une sélection, une organisation et des choix qui sont effectués. Cela permet entre autre de gérer la maintenance de la distribution. Une distribution peut par exemple choisir de n'avoir que libressl plutôt qu'openssl et c'est important car elle sait qu'elle n'a pas à se tenir à jour sur 5 ou 6 bibliothèques tls. L'objectif n'est pas de prendre et d'exécuter tout le code du monde. Ce n'est pas en principe le boulot d'une distribution qui se doit de faire des choix.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll