Je suis d'accord avec le propos en plus c'est juste qu'il montre quelque chose qui est plus proche de du vaisseau de Wall-e que du monde actuel, il me semble.
il est contre les 'reproducible builds' car ça se contourne
Je suis pas vraiment d'accord avec :
Q. A reproducible build is a good quality build. Whether there are security benefits or not, I just want people to do it.
Whether reproducible builds are better quality or not is a matter of opinion, and we shouldn’t be trying to force our opinions on others by claiming it’s for security.
Mais en soit rebuilder les logiciels c'est tout de même pour ça qu'ils utilisent du logiciel libre et tu as des distributions qui font ce choix. On pense bien sûr à gentoo, mais elle n'est pas seule. Et tu peux très bien demander à ta gentoo de compiler en statique il me semble.
Mais au final le jdk est probablement plus Ă comparer aux runtimes de flatpak, c'est quelque chose qui arrive batteries inclues (qu'il ne faut pas comparer avec juste la libstdc++ ou gtk) et sa taille n'est plus si grande.
[^] # Re: une question de cout
Posté par barmic 🦦 . En réponse au journal sécurité, trop de sécurité, pas de sécurité?. Évalué à  4.
Puis des fois, t'a beau en avoir besoin, elle reste trop chère
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: Les techniques de sécurités
Posté par barmic 🦦 . En réponse au journal sécurité, trop de sécurité, pas de sécurité?. Évalué à  2. Dernière modification le 12 août 2020 à 16:55.
(Je te trouve bien magnanime après un premier message aussi condescendant…)
Je ne sais pas à quoi tu fais référence. Limiter le nombre de tentatives n'est pas un sujet simple. Tu te base sur quoi ? L'IP ? Et tu fais quoi pour limiter le nombre de tentative (une fois que tu as déclenché ton indicateur de trop de requêtes) ? Tu blacklist l'IP ? Tu verrouille le compte ?
Tu as les techniques anti-DDOS qui peuvent t'aider mais elles ne vont pas faire le café.
Perso j'aime pas mal OAuth. Tu laisse un service gérer ça pour toi. Il choisira lui-même la méthode d'authentification avec du double facteurs ou non. En terme de praticité, un truc comme le fait google où il tu a juste à pointer une notif' de ton téléphone, ça me paraît plutôt pratique. Je sais pas ce que vaut des trucs comme FranceConnect que je n'ai pas encore essayé.
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: Testé et approuvé
Posté par barmic 🦦 . En réponse au journal Au revoir Google - 1. Évalué à  2.
Je n'ai pas entendu parler de failles sur ces processeurs, mais là on parle de données qui ne sont jamais manipulées par le CPU. Ce n'est pas juste un changement de contexte. Une faille est toujours possible, mais c'est plus global au niveau du SoC qu'il faut regarder.
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: Testé et approuvé
Posté par barmic 🦦 . En réponse au journal Au revoir Google - 1. Évalué à  4.
De ce qu'on m'a expliqué ce n'est pas légale car il faut que ce soit associé au contexte de la transaction (le montant par exemple).
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: Les techniques de sécurités
Posté par barmic 🦦 . En réponse au journal sécurité, trop de sécurité, pas de sécurité?. Évalué à  5.
Sympathique… Généralement je me méfie de ceux qui considèrent qu'un problème de sécurité est facile. D'une part à cause de l'effet Dunning-Kruger. D'autre par comme pour beaucoup de domaine, il est toujours bon de remettre en cause les bases et de les revoir. Have I Been Pwned n'aurait pas tant de succès, si le sujet était aussi simple que ça. Les HSM ne seraient pas non plus si chères si c'était si simple.
Enfin… Il y a ce document de l'OWASP : Password Storage Cheat Sheet.
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: N'importe quoi…
Posté par barmic 🦦 . En réponse au lien Électricité bas carbone et vision politique en cette période de canicule. Évalué à  0.
Je suis pas vraiment du mĂŞme avis :)
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: N'importe quoi…
Posté par barmic 🦦 . En réponse au lien Électricité bas carbone et vision politique en cette période de canicule. Évalué à  2.
Ils ont pris 5 ans dans la tête à cause d'un permis de construire plus quelques années pour des raisons purement politique (Sortir du nucléaire qui s'oppose à EDF par principe).
Je n'en ai pas trouvé trace. J'ai vu qu'Onet (français), Areva (français) et Mammoet (néerlandais) en plus d'EDF sont impliqués. Tu as un lien ?
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: N'importe quoi…
Posté par barmic 🦦 . En réponse au lien Électricité bas carbone et vision politique en cette période de canicule. Évalué à  2.
Je n'ai fais ni l'un ni l'autre. Mais bon samwang aurait à redire du fait que des commentaires argumentés et développés sont mal vu :)
Ici moi je trouve sincèrement que l'argumentation est plutôt faible :
un bullshit job est un travail qui est considéré par l'employé comme inutile. C'est une notion qui est là pour parler de boreout par exemple. Tu peux considérer ton travail comme totalement inutile qu'il le soit ou pas. Dites-vous que ça arrive pour des gens dans nos métiers. Ce n'est pas quelque chose qui est fait pour pointer du doigt certains métiers. ↩
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: Briser la glace
Posté par barmic 🦦 . En réponse à la dépêche À la découverte de FreeBSD. Évalué à  4.
La carte survie à ce genre de traitements ?
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: Briser la glace
Posté par barmic 🦦 . En réponse à la dépêche À la découverte de FreeBSD. Évalué à  6.
DragonflyBSD est un fork de FreeBSD de ce que j'en sais il a 2 particularités :
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: Comment ça, Google sait ?
Posté par barmic 🦦 . En réponse au journal Nous avons un super‑pouvoir pour faire déguerpir les automobilistes 📱 => ⛔ 🚗. Évalué à  2.
C'est pas totalement overkill ?
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: Low tech
Posté par barmic 🦦 . En réponse au journal Nous avons un super‑pouvoir pour faire déguerpir les automobilistes 📱 => ⛔ 🚗. Évalué à  10. Dernière modification le 07 août 2020 à 00:40.
Euh….
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
# Berlin
Posté par barmic 🦦 . En réponse au journal Nous avons un super‑pouvoir pour faire déguerpir les automobilistes 📱 => ⛔ 🚗. Évalué à  10.
Je ne connais pas Berlin et je ne doute pas que les capitales de l'UE sont de manière générale chargées en voitures, mais j'ai du mal à croire ce qui est présenté. Il n'y a absolument personne ni avant ni après. Il y a tout juste 2 voitures qui passent. Aucun scooter, juste 2 voitures qui passent (aucune ne passe à coté et vois que c'est vide ?), aucune voiture avant qu'il arrive dans une rue (il y a quand même une latence pour la prise en compte par gmaps + la prise en compte par les automobilistes),…
Je ne pense pas que c'est faux, juste qu'il a choisi le moment le plus propice possible pour augmenter l'impact, mais ça en devient presque mensonger (c'est plus proche du cinéma que du documentaire dans l'intention). Oui il parle d'œuvre, mais l'intention politique donne une responsabilité en plus.
Je suis d'accord avec le propos en plus c'est juste qu'il montre quelque chose qui est plus proche de du vaisseau de Wall-e que du monde actuel, il me semble.
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: En informatique comme dans la "vrai" vie
Posté par barmic 🦦 . En réponse au journal sécurité, trop de sécurité, pas de sécurité?. Évalué à  4.
Ça peut être un critère de sécurité mais dans un approche différente. Tu peux vouloir avoir 2 implémentations différentes séquentielles (si elles sont en parallèle ça n'a pas de sens) pour éviter qu'une faille traverse tout.
Ça peut vouloir dire utiliser un système différent dans la DMZ qu'ailleurs. Si quelqu'un arrive à entrer dans la DMZ il faudra qu'il abuse d'une autre faille pour entre dans le reste du réseau.
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
# HTTP ?
Posté par barmic 🦦 . En réponse à la dépêche Haiku a 19 ans. Évalué à  6.
Je ne comprends pas bien. Les OS exposent une API de socket plutôt qu'un protocole applicatif (il y a des fonctionnalité de plus haut niveau proposé comme la résolution de nom, mais c'est plus qu'un protocole). Là il est question d'API du noyau, d'une bibliothèque inclue de base, d'un utilitaire type curl ?
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: Aie mes yeux...
Posté par barmic 🦦 . En réponse au lien Nim plus rapide que C++ sur du ray tracing. Évalué à  2.
Désolé je n'ai pas était très clair et même certains raccourcis font penser ça. Non c'est "juste" que le bench devrait être là pour appuyer une hypothèse ou être expliqué par une hypothèse.
C'est véritablement compliqué de faire un bench et l'auteur de celui-ci a fait un travail (tester plusieurs compilateurs, donner une description de la machine sur le quel il a fait son test, donner les sources du test,…) mais ce n'est pas plus que de l'amusement perso (ce qui est très bien !).
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: Critique du SMS en second facteur, pas du 2FA en tant que tel
Posté par barmic 🦦 . En réponse au journal sécurité, trop de sécurité, pas de sécurité?. Évalué à  2.
Je ne sais pas ce qu'il en est d'Apple, mais je trouve Google pas mal. Ils "auditent" ton téléphone pour te dire s'il n'a pas de verrouillage par exemple.
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: Aie mes yeux...
Posté par barmic 🦦 . En réponse au lien Nim plus rapide que C++ sur du ray tracing. Évalué à  2.
Donc à partir d'un point précis, tu pense que l'on peut faire une déduction sur des langages ? S'il n'y a pas d'hypothèses posée avant, alors ton hypothèse c'est le test. En quoi ce test là plutôt qu'un autre ? Quels sont ses propriétés ? Pourquoi choisir ses paramètres (surtout quand on ne les fais pas varier) ?
Donc on prend 2 bout de code, dont rien indique l'effort qui a était fait pour qu'ils soient pertinents. On les a lancé et on a ni hypothèses initiales qui cherchée à être vérifiée, ni conclusion qui tentent d'expliquer les résultats.
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
# Déterminisme
Posté par barmic 🦦 . En réponse au journal sécurité, trop de sécurité, pas de sécurité?. Évalué à  5.
Je suis pas vraiment d'accord avec :
Un code déterministe est une qualité objective. On peut choisir que ce n'est pas la qualité la plus importante pour nous, mais c'est une qualité objective.
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: Highway to dependency hell
Posté par barmic 🦦 . En réponse au journal DD: entre le marteau et l'enclume. Évalué à  2.
Pourquoi ? Parce que la machine de build est sous l'eau ? Ça je peux le comprendre mais par principe, sur changement d'une dépendance faire du rebuild n'est pas une mauvaise chose au contraire. Ils n'ont d'ailleurs pas le choix avec les programme go.
Je comprends mieux la volonté de partager et c'est un choix, tu as le même avec toute dépendance quelque soit la techno1, est-ce que tu préfère optimiser pour chaque cas ou utiliser une solution réutilisable mais moins optimale.
Mais en soit rebuilder les logiciels c'est tout de même pour ça qu'ils utilisent du logiciel libre et tu as des distributions qui font ce choix. On pense bien sûr à gentoo, mais elle n'est pas seule. Et tu peux très bien demander à ta gentoo de compiler en statique il me semble.
C'est une décision qui a des impacts on est d'accord, mais une décision et pas une obligation.2
Mais au final le jdk est probablement plus Ă comparer aux runtimes de flatpak, c'est quelque chose qui arrive batteries inclues (qu'il ne faut pas comparer avec juste la libstdc++ ou gtk) et sa taille n'est plus si grande.
si tu compile tes logiciels C++ en statique, tu va pouvoir bénéficier d'une élimination de code mort plus agressive. ↩
après c'est un dogme d'ops (dont on a déjà beaucoup parlé ici) de vouloir changer les dépendances des logiciels sans repasser par les développeurs parce que de toute manière les développeurs ne comprennent rien aux problèmes des ops ↩
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: Highway to dependency hell
Posté par barmic 🦦 . En réponse au journal DD: entre le marteau et l'enclume. Évalué à  3.
Oui à savoir aussi pour ceux qui cherchent la perf que graalvm n'est pas forcément plus performant. Il démarre plus et à une empreinte mémoire plus faible, mais sur des charges qui créent/détruisent un certain nombre d'objets, le fait que le gc va se débrouiller pour compacter la mémoire peut devenir vraiment utile.
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: Highway to dependency hell
Posté par barmic 🦦 . En réponse au journal DD: entre le marteau et l'enclume. Évalué à  3.
graalvm c'est vraiment particulier. C'est presque un fork de java qui ne peux compiler qu'un sous-ensemble du langage.
Par contre en standard, depuis java9 tu as la modularisation du jdk avec jlink tu peux créer un jdk sans les parties qui ne t'intéressent pas et c'est une étape que tu ne fais qu'une fois et si d'aventure tu change les module du jdk dont tu as besoin, mais ça ne devrait pas arriver tous les 4 matins.
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: Aie mes yeux...
Posté par barmic 🦦 . En réponse au lien Nim plus rapide que C++ sur du ray tracing. Évalué à  3.
Il faut que le bench soit vraiment établi pour ça mais bon…
Non à l'état de l'art. Sinon tu risque de juste comparer la simplicité des langages.
Non, tu compare 2 implémentations données, sur une machine donnée, à un moment donné sur un test donné.
Et attention ! Tu gagne 3.7s, on ne sait pas comment évolue cette valeur par rapport aux paramètres du test.
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: Aie mes yeux...
Posté par barmic 🦦 . En réponse au lien Nim plus rapide que C++ sur du ray tracing. Évalué à  2.
Quand tu es CPU bound, tu as une part de ta performance qui vient de ton algo (ne pas refaire des calcul n fois comme le décrit freem) et une autre part qui va être très pointue les différentes formes de parallélisation, la manipulation des registres, l'utilisation des extensions que te proposent ou non ton CPU,…
Tu établi comment que tes algos sont au niveau à l'état de l'art ? Que cette implémentation du ray tracing ne tire pas particulièrement parti d'une opti qui est plus anodine généralement ? Même sans pointer une malfaçon, on tombe facilement dans les biais. Rien que l'expertise que tu as ou pas sur un langage et son écosystème peut avoir des conséquences (ne pas utiliser la bonne implémentation de ta structure de données par exemple).
En plus là il n'est pas question de tel rapport de différence. Deux versions de compilateurs donnent plus de différence que ce qu'il y a entre nim et c++.
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: Highway to dependency hell
Posté par barmic 🦦 . En réponse au journal DD: entre le marteau et l'enclume. Évalué à  4.
Je me suis toujours dis que le JDK était gros puis, un jour, j'ai installé beam et son écosystème :)
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll