barmic 🦦 a écrit 5917 commentaires

Je n'ai pas lu ton journal mis à part les premières lignes. J'évite les contenus anxiogènes en ce moment avoir trop de détail pourrait aller jusqu'à me faire somatiser.

Je te souhaite comme d'autres un bon rétablissement et beaucoup de courage et force d'ici là.

On se dis rarement des choses très positives ici sur linuxfr, mais je suis toujours content de te lire (bon cette fois-ci je ne t'ai pas trop lu, mais j'ai une excuse !).

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

J'avoue ne pas avoir lu/vu la conférence de Ken Thomson, mais je crois que faire confiance à son éditeur de texte c'est pas trop fou tout de même, surtout qu'on peut le lire sur plusieurs distro avec plusieurs outils différents, donc ça augmente grandement la confiance que l'on peut accorder au contenu du fichier texte.

Tout comme il existe plusieurs compilateurs C, si tu désactive les optimisation et que le code produit est équivalent avec gcc, clang, tcc et icc est-ce que ça n'est pas suffisant du coup ? Voir plus intéressant et utile pour l'utilisateur final ?

Pour l'assembleur, je n'ai pas creusé assez mais peut-être ont-ils codé aussi leur assembleur ?

Reste qu'il faut le valider.

Pour ce qui est du matériel, je dirai que c'est un autre sujet qui ne concerne pas la distribution. Eux ils font leur part, ensuite c'est aux personnes à qui appartient le matériel sur lequel la distribution est compilée de faire le travail de vérification de son matériel.

Tout comme faire l'amorce d'un compilateur n'est pas le boulot d'une distribution, mais d'un compilateur.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Et si l'admin du serveur était malveillant

Vu qu'il a la main sur un script que tu va exécuter avec les droits root et qu'il n'existe aucun moyen officiel de vérifier ce dis script, pourquoi est-ce qu'il ferrait quelque chose d'aussi complexe alors qu'il suffit de pourrir le script une bonne fois pour toute.

Tant qu'il n'y a pas de validation du script l'un ou l'autre c'est précisément les même dégâts. Note que tu parle de lancer un script qui vient d'un serveur d'on l'admin est malveillant en tant que root. Qu'il détecte tout ce qu'il veut tu as déjà perdu.

Note que ta revue du script est loin d'être suffisante pour parer à une attaque (sans présumer de tes compétences).

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

L'objectif du trusting trust c'est de ne pas accorder sa confiance, donc la donner comme ça a un quelconque éditeur de texte et à un assembleur (le logiciel qui compile ton code ascii/unicode en binaire) et une limite forte. D'autant que ça leur met une pression particulière.

Tu aura compris autant je trouve l'exercice intéressant, autant c'est une façon très très obtus de comprendre la conférence de Ken Thompson. D'autant qu'une fois que tu as fait tout ça tu n'a pas vérifier le matériel (le CPU, mais pas que).

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Merci pour le conseil. Les informations ne sont pas particulièrement sensibles, mais je vais le suivre (en fait je voulais éviter un gros carré noir car ça fait "moche" dans la vidéo, bref…).

Alors ça dépend beaucoup du contexte, mais je trouve que souvent ce qui marche bien (dans le sens ou ça reste confortable) c'est d'assumer d'avoir quelque chose. Le classique c'est de mettre un smiley par exemple ou un carré, mais avec du texte. Dis autrement au lieu d'essayer que ça ne se vois pas et chaque imperfection sautera aux yeux, assumer le fait de cacher et choisir une image sympa à insérer.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

un énorme effort est fait pour rendre la distribution bootstrapable (désolé pour l’anglicisme) et ainsi pouvoir compiler l’ensemble des sources (même gcc) à partir d’un unique binaire très léger dont le code assembleur est lisible, ceci afin d’éviter les attaques dites de « trusting trust » ;

Le code assembleur lisible avec quoi est-ce qu'on le lit ?

désolé pour l’anglicisme

Sinon amorçable c'est bien, si tu ne voulais pas faire d'anglicisme (il y avait déjà boot dans les traductions classiques j'ai ajouté bootstrap si c'est utile).

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

En effet je me suis laissé avoir par le fait que la solution recommandée n'est qu'un petit encart dans la page que tu pointe. Je trouve vraiment bizarre comme façon de le présenter…

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Le projet demande à vérifier la signature gpg du fichier que tu as téléchargé. C'est le truc dont on parle.

À noter que ça fait partie de leur procédure de téléchargement. C'est pas une option mise dans un coin comme beaucoup d'autres projets.

Ils sont vraiment propre sur la sécurité.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Pour bien comprendre le coup de gueule, il faut savoir que de plus en plus de projets "modernes" donnent comme instructions d’installations officielles des variantes autour de ce curl … | sudo bash, à tel point que cette méthode se banalise et n’est plus considérée comme problématique.

C'est largement plus compliqué que ça. Si un projet ne te file pas de moyen de vérifier les binaires qu'il te file, un curl | sh ou un plouf.<extension_de_paquet_de_ta_distribution_préféré> sera pareil (sauf si ta distribution refuse d'installer des paquets non signés, ce qui n'est pas le cas de Debian, ses dérivées ni d'arch si je ne m'abuse).

Bref oui ça pose un problème de sécurité, mais non ça n'est pas une question de commande.

Ici en l'occurrence le projet upstream propose quelque chose qui a l'air propre c'est dommage de l'outrepasser.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Même si l’étape de vérification du script n’est pas explicitement citée avec ces deux commandes, elle n’est plus rendue impossible.

C'est donc une question de principe plus qu'autre chose. On a beaucoup dis que curl … | sh - c'est mal donc, il ne fait pas l'écrire, même si ce ne sont que des circonvolutions autour ?

Si le problème c'est de faire la vérification ça ne coûte rien de mettre un :

aria2c "https://…"
# vérifier la signature comme indiqué ici : https://
sh plouf.sh

Soit la question de la vérification est importante et on la met en évidence, soit OSEF.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Tu peux partager un dossier en upload uniquement. Ça crée un lien les gens peuvent envoyer directement

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Qu'en est il de l'utilisation de ce langage dans le monde du libre ?

Beaucoup de projet dans les fondations eclipse et apache utilisent ce langage par exemple.

Un éditeur que je connais bien as récemment basculé sur openjdk, bon cela ne concernait que l'outil d'installation mais quand même …

Je ne comprends pas ce que tu sous-entend ?

OpenJDK est un projet libre. C'est l'implémentation de référence du JDK et du langage Java. Ils ne fournissent que du code. Il y a des intégrateurs qui sont là pour compiler et mettre à disposition des build. On pense beaucoup aux nouveaux comme Amazon Corretto, mais debian fourni son propre build depuis un paquet d'années, RedHat aussi. L'une des distributions les plus en vogue actuellement (et agnostique de ta distribution linux ou de ton OS) est adoptopenjdk. Le changement qui a eu lieux récemment c'est qu'Oracle n'a plus sa propre implémentation, mais qu'il ne fourni plus qu'une distribution d'OpenJDK.

« Plus que » il faut voir ce qu'on entends par fournir une distribution (ça marche aussi pour linux ou LaTeX par exemple) :

• construire et créer les paquets pour la cible que tu cherche
• suivre les mises à jour et les rendre disponibles ASAP
• éventuellement fournir des choses en plus (ajouter des outils, fournir plus ou moins de documentation avec)
• faire tout le suivi de sécurité (est-ce que tu suit simplement la ligne upstream ou est-ce que tu fourni du support plus long terme comme RedHat le fait sur ses paquets ?)

Selon l'intégrateur que tu choisi se travail peut être fais gratuitement (comme Debian) ou payant (comme RedHat avec RHEL).

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

La plupart des gens sont maintenant incapables de s'orienter avec une carte en papier, encore moins sans carte, et se retrouvent complètement perdus sans leur téléphone. C'est pour moi plus une régression qu'un progrès.

La plupart des créations de notre histoire en rendant possible ce qui était impossible avant rendent aussi facile ce qui était compliquée auparavant. Ça rend une capacité bien moins importante pour ceux qui n'avait pas un besoin si compliqué que ça.

• la roue a réduit les distances
• l'imprimerie et tout ce qui s'en ai suivi jusqu'à l'informatique a tué l'écriture manuscrite et encore plus la calligraphie
• …

Ça rend aigris ceux qui ont ses compétences si elles ne sont plus nécessaires. On perds en prestige ou en ayant travaillé pour avoir une tel compétence on aime pas la voir perdre en valeur.

L'argument classique du « imagine tu n'a plus cette innovation ? », ça marche aussi avec toutes les autres (une roue peut casser, on peut ne plus avoir le droit de faire décoller les avions, les pannes électriques ça existe,…), mais l'expérience montre que c'est plutôt marginal. On considère ses technologies comme importantes et on fait ce qu'il faut pour les maintenir.

Ce n'est pas pour autant que c'est bien, mais je pense pas que l'on ai assez de recul pour savoir si c'est bien ou pas. Là où pour l'agriculture, on a déjà une meilleure vision ;)

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

C'est pas une bonne idée. Il est difficile de faire des sauvegardes cohérentes via des volumes docker par exemple.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Donc oui, on évite de se faire contaminer

Justement, un masque type chirurgical n'est pas une protection pour celui qui le porte, tu peux te faire contaminer. Il est une protection pour les autres.

T'a quand même coupée ma phrase alors que la seconde proposition était associée avec une conjonctions de coordination en gras…

Édition : ma phrase voulait dire qu'aujourd'hui on doit tous chercher à ne pas contaminer. C'est ce qu'on fait quand on tousse dans notre coude par exemple. C'est ce que font ce genre de masque.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Il n'est utile qu'au malade (bon ici on peut supposer que beaucoup soient à risque, y compris sans le savoir).

On en est définitivement plus à chercher à savoir qui est malade ou pas. C'est tout le principe du confinement : on se considère comme contagieux par défaut et on fait le maximum pour ne pas être vecteur de contamination. Donc oui, on évite de se faire contaminer et de contaminer.

Utiliser ce qu'on peut pour éviter les projections ne paraît pas plus ridicule/inutile que de tousser dans son coude.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

celui la merite d'etre regardé

Il a le mérite d'avoir eu du succès ?

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Euh… non. Porteur sain tant qu'on a pas de difficulté respiratoire. Des vecteurs de contamination sans besoin d'aller en réanimation.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Oui mais avec l'absence de test, on fait aussi bien de tous se considérer comme porteur sain.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Il faut surtout regarder le nombre de morts (puisque là les données sont fiables).

On a aussi une autre stats qui devrait être fiable : le nombre de personnes ayant développées des complications au point d'être en réa, mais qui sont guéries. Tant que nos hôpitaux ne sont pas (ou pas trop) en surcharge, c'est une valeur qui doit être mesurée.

Si on arrête d'essayer de savoir qui a ou n'a pas le virus. Non seulement c'est compliqué, mais c'est pas hyper utile et qu'on base les calculs sur le nombre de complications, on peut déjà en tirer des choses. Il faut faire attention par contre au fait que la guérison est probablement plus lente que le décès.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Je ne sais pas si c'est ce que nous allons utilisé mais merci sincèrement et bon courage pour gérer le surplus de charge sur vos serveurs !

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Ça me fait penser à une discussion qu'on a eu : c'est trompeur de parler de ligne éditoriale sur linuxfr car il n'en a pas. Il peut avoir un ou plusieurs thèmes, mais une ligne éditoriale demande un statut différent. Ça sous-entendrait que l'équipe est responsable du contenu (légalement entre autre) et placerait les contributeurs dans un rôle de pigistes.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Cela ne s'improvise pas et demande de l'habitude mais quand l'équipe est prête et bien organisée, cela roule bien.

On essaie de s'y préparer, mais ça va globalement être de l'improvisation. On est loin d'être prêt.

De toute façon s'organiser pour autoriser le télétravail a de nombreux avantages.

Ça j'en ai aucun doute.

Merci pour ton retour :)

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Nous utilisons Zoom pour les vidéo-conférence et le partage d'écrans principalement.

J'avais oublié cet outil. J'en avais entendu beaucoup de bien.

Pour le partage de code avec intellij, il y a une issue dans laquelle on peut voir que beaucoup son demandeur avec cette pandémie. Moi aussi je l'attends, je n'utilise pas vscode

Oui je l'ai vu, mais elle est super vielle cette entrée.

Merci pour le lien je vais potasser ça.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Tu parle d'Hangout pro j'imagine ?

Faire un point en visio le matin. Ça fait un point de synchro et ça permet de planifier sa journée. En général toutes les questions en suspend sont traitées à ce moment puis ensuite on est tranquille pour le reste de la journée.

J'aurais eu tendance à le faire en audio, mais ok.

Faire le chiffrage en visio et le répartir sur plusieurs jours. J'ai eu des sessions de trois heures de chiffrage et ça chauffe bien les oreilles. C'est mieux de faire quelques stories par jour.

Merci pour l'idée.

Ne pas hésiter à s'appeler en visio sans prévenir.

J4aurais tendance à faire l'exact inverse. Demander par IM avant de préempter quelqu'un.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll