barmic 🦦 a écrit 5976 commentaires

Ils ont pas des réimplémentations logiciel justement ? Le principe c'est justement de virtualiser une architecture différente de celle que tu as sinon on perd une partie de l'intérêt du truc. S'ils n'ont pas prévu d'implémentation logiciel de SSE2, peut être virtualiser un ARM, mais ça doit être compliqué parce qu'il faut reproduire complètement un SOC connu type RPi ou banana pi.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Pour le lol, virtualise une machine qui va bien par dessus. Tu n'a pas les instructions de virtualisation mais j'espère qu'ils n'obligent pas tous à les avoir. Alors oui jeter le peu de puissance de ton CPU dans de la virtualisation ça paraît pas une bonne idée, mais si tu as des petits besoins.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

C'est plus rigolo à lire

Non c'est horripilant, énervant et rend difficile la discussion (la discussion est un échange de point de vu et pas un jeté de son point de vu à la gueule de son lectorat). Ça participe a une ambiance pas très agréable.

J'aime les commentaires qui ont du style

Tu confond style et violence, c'est assez triste. Quand bien même se serait un style, il doit être à la hauteur du propos et ce n'est clairement pas le cas ici. On a quelque chose à dire, on choisi un style pour le dire. Si c'est pour sortir une soupe insipide sans la moindre argumentation ça tombe à plat. Je ne sais pas qui tu cherche à copier, mais tu ne le fais pas dans le bon sens.

aussi j'ai plein d'karma donc ça fout :p

Tout ton karma ne te protègera pas de mon plonkage car, non, je n'ai aucune intention de te censurer, je préfère simplement t'éviter.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

La dissonance cognitive ?

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Il existe suffisamment d'environnements de bureau et de gestionnaires de fenêtres pour que tu fasse ton choix comme bon te semble. Personne n'oblige personne à utiliser gnome.

À partir de là, si tu veux en discuter pourquoi mettre autant de véhémence et d'énervement dans tes propos ?

Tu n'es pas le seul à qui cette remarque peu s'appliquer.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Le fait d'avoir des termes plus ou moins précis n'indique en rien que c'est marketing ou non. La « musique » ce n'est pas bien précis, le « rock » non plus. Est-ce qu'il faut pour autant mettre n'importe quoi derrière en disant haut et fort qu'on s'en fout ?

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

En gros tu t'en fout de ce que ça signifie tu as choisi ta définition tu l'utilise comme tu l'entends et tu conclus que de toute façon c'est comme ça et pas autrement. Tu voudrais pas lui cracher au visage aussi ?

Il prends le temps de donner des explications détaillé sur ce que c'est et toi tu n'oppose rien d'autres que « de toute façon c'est marketing ! ».

Je trouve ça sincèrement pas terrible comme remarque.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Pour l'assembleur, je n'ai pas creusé assez mais peut-être ont-ils codé aussi leur assembleur ?

Heu je ne sais pas si c'est moi qui déconne, mais tu choisis pas ton langage assembleur. C'est la machine sur laquelle tu es qui définit ce que tu dois utiliser.

Tu confond le langage assembleur (défini par une architecture matériel) et le logiciel assembleur qui prends une représentation textuelle du langage d'assemblage et en produit un binaire. On parle ici de logiciels comme nasm ou yasm par exemple.

Ensuite pour relire l'assembleur effectivement, je ne vois pas le souci car même pour lire un script il faut un outil (soit faire confiance à cat soit un éditeur).

Trusting trust tel que pris par les puriste. Consiste en un modèle d'attaque assez large qui prendrait pour cible ce en quoi tu as confiance avant la cible finale. C'est pour cela qu'ils veulent pas faire confiance à un compilateur au cas où le compilateur serais lui-même corrompu. Mon point c'est que c'est un modèle d'attaque qui n'est que théorique parce qu'extrêmement compliqué et de mettre en évidence aux jusque boutistes que c'est impossible avec des architectures modernes et la complexité mise en branle. Parce qu'on en revient toujours à 2 points :

• on fini par faire confiance à un truc sans qu'il y ai plus de raison que pour autre chose (pourquoi faire confiance en cat ou en un éditeur de texte ?)
• qui se sent sincèrement assez capable pour exécuter un bootstrap complet en s'assurant qu'il n'y a pas d'intrusion ?

C'est pas un travaille inintéressant. C'est même assez important mais faut d'après moi, le prendre comme un travaille de recherche en informatique plus que comme un travaille de sécurité.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

C'est stocké dans une "blockchain".

Non c'est une DHT (ce qui est bien mieux).

Et Richard Stallman en a fait la promotion donc on peut considérer que c'est ok de ce point de vue là.

C'est un argument d'autorité ça. Irais oui le côté pair à pair est pas mal pour ne pas enfreindre la RGPD.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Je n'ai pas lu ton journal mis à part les premières lignes. J'évite les contenus anxiogènes en ce moment avoir trop de détail pourrait aller jusqu'à me faire somatiser.

Je te souhaite comme d'autres un bon rétablissement et beaucoup de courage et force d'ici là.

On se dis rarement des choses très positives ici sur linuxfr, mais je suis toujours content de te lire (bon cette fois-ci je ne t'ai pas trop lu, mais j'ai une excuse !).

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

J'avoue ne pas avoir lu/vu la conférence de Ken Thomson, mais je crois que faire confiance à son éditeur de texte c'est pas trop fou tout de même, surtout qu'on peut le lire sur plusieurs distro avec plusieurs outils différents, donc ça augmente grandement la confiance que l'on peut accorder au contenu du fichier texte.

Tout comme il existe plusieurs compilateurs C, si tu désactive les optimisation et que le code produit est équivalent avec gcc, clang, tcc et icc est-ce que ça n'est pas suffisant du coup ? Voir plus intéressant et utile pour l'utilisateur final ?

Pour l'assembleur, je n'ai pas creusé assez mais peut-être ont-ils codé aussi leur assembleur ?

Reste qu'il faut le valider.

Pour ce qui est du matériel, je dirai que c'est un autre sujet qui ne concerne pas la distribution. Eux ils font leur part, ensuite c'est aux personnes à qui appartient le matériel sur lequel la distribution est compilée de faire le travail de vérification de son matériel.

Tout comme faire l'amorce d'un compilateur n'est pas le boulot d'une distribution, mais d'un compilateur.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Et si l'admin du serveur était malveillant

Vu qu'il a la main sur un script que tu va exécuter avec les droits root et qu'il n'existe aucun moyen officiel de vérifier ce dis script, pourquoi est-ce qu'il ferrait quelque chose d'aussi complexe alors qu'il suffit de pourrir le script une bonne fois pour toute.

Tant qu'il n'y a pas de validation du script l'un ou l'autre c'est précisément les même dégâts. Note que tu parle de lancer un script qui vient d'un serveur d'on l'admin est malveillant en tant que root. Qu'il détecte tout ce qu'il veut tu as déjà perdu.

Note que ta revue du script est loin d'être suffisante pour parer à une attaque (sans présumer de tes compétences).

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

L'objectif du trusting trust c'est de ne pas accorder sa confiance, donc la donner comme ça a un quelconque éditeur de texte et à un assembleur (le logiciel qui compile ton code ascii/unicode en binaire) et une limite forte. D'autant que ça leur met une pression particulière.

Tu aura compris autant je trouve l'exercice intéressant, autant c'est une façon très très obtus de comprendre la conférence de Ken Thompson. D'autant qu'une fois que tu as fait tout ça tu n'a pas vérifier le matériel (le CPU, mais pas que).

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Merci pour le conseil. Les informations ne sont pas particulièrement sensibles, mais je vais le suivre (en fait je voulais éviter un gros carré noir car ça fait "moche" dans la vidéo, bref…).

Alors ça dépend beaucoup du contexte, mais je trouve que souvent ce qui marche bien (dans le sens ou ça reste confortable) c'est d'assumer d'avoir quelque chose. Le classique c'est de mettre un smiley par exemple ou un carré, mais avec du texte. Dis autrement au lieu d'essayer que ça ne se vois pas et chaque imperfection sautera aux yeux, assumer le fait de cacher et choisir une image sympa à insérer.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

un énorme effort est fait pour rendre la distribution bootstrapable (désolé pour l’anglicisme) et ainsi pouvoir compiler l’ensemble des sources (même gcc) à partir d’un unique binaire très léger dont le code assembleur est lisible, ceci afin d’éviter les attaques dites de « trusting trust » ;

Le code assembleur lisible avec quoi est-ce qu'on le lit ?

désolé pour l’anglicisme

Sinon amorçable c'est bien, si tu ne voulais pas faire d'anglicisme (il y avait déjà boot dans les traductions classiques j'ai ajouté bootstrap si c'est utile).

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

En effet je me suis laissé avoir par le fait que la solution recommandée n'est qu'un petit encart dans la page que tu pointe. Je trouve vraiment bizarre comme façon de le présenter…

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Le projet demande à vérifier la signature gpg du fichier que tu as téléchargé. C'est le truc dont on parle.

À noter que ça fait partie de leur procédure de téléchargement. C'est pas une option mise dans un coin comme beaucoup d'autres projets.

Ils sont vraiment propre sur la sécurité.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Pour bien comprendre le coup de gueule, il faut savoir que de plus en plus de projets "modernes" donnent comme instructions d’installations officielles des variantes autour de ce curl … | sudo bash, à tel point que cette méthode se banalise et n’est plus considérée comme problématique.

C'est largement plus compliqué que ça. Si un projet ne te file pas de moyen de vérifier les binaires qu'il te file, un curl | sh ou un plouf.<extension_de_paquet_de_ta_distribution_préféré> sera pareil (sauf si ta distribution refuse d'installer des paquets non signés, ce qui n'est pas le cas de Debian, ses dérivées ni d'arch si je ne m'abuse).

Bref oui ça pose un problème de sécurité, mais non ça n'est pas une question de commande.

Ici en l'occurrence le projet upstream propose quelque chose qui a l'air propre c'est dommage de l'outrepasser.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Même si l’étape de vérification du script n’est pas explicitement citée avec ces deux commandes, elle n’est plus rendue impossible.

C'est donc une question de principe plus qu'autre chose. On a beaucoup dis que curl … | sh - c'est mal donc, il ne fait pas l'écrire, même si ce ne sont que des circonvolutions autour ?

Si le problème c'est de faire la vérification ça ne coûte rien de mettre un :

aria2c "https://…"
# vérifier la signature comme indiqué ici : https://
sh plouf.sh

Soit la question de la vérification est importante et on la met en évidence, soit OSEF.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Tu peux partager un dossier en upload uniquement. Ça crée un lien les gens peuvent envoyer directement

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Qu'en est il de l'utilisation de ce langage dans le monde du libre ?

Beaucoup de projet dans les fondations eclipse et apache utilisent ce langage par exemple.

Un éditeur que je connais bien as récemment basculé sur openjdk, bon cela ne concernait que l'outil d'installation mais quand même …

Je ne comprends pas ce que tu sous-entend ?

OpenJDK est un projet libre. C'est l'implémentation de référence du JDK et du langage Java. Ils ne fournissent que du code. Il y a des intégrateurs qui sont là pour compiler et mettre à disposition des build. On pense beaucoup aux nouveaux comme Amazon Corretto, mais debian fourni son propre build depuis un paquet d'années, RedHat aussi. L'une des distributions les plus en vogue actuellement (et agnostique de ta distribution linux ou de ton OS) est adoptopenjdk. Le changement qui a eu lieux récemment c'est qu'Oracle n'a plus sa propre implémentation, mais qu'il ne fourni plus qu'une distribution d'OpenJDK.

« Plus que » il faut voir ce qu'on entends par fournir une distribution (ça marche aussi pour linux ou LaTeX par exemple) :

• construire et créer les paquets pour la cible que tu cherche
• suivre les mises à jour et les rendre disponibles ASAP
• éventuellement fournir des choses en plus (ajouter des outils, fournir plus ou moins de documentation avec)
• faire tout le suivi de sécurité (est-ce que tu suit simplement la ligne upstream ou est-ce que tu fourni du support plus long terme comme RedHat le fait sur ses paquets ?)

Selon l'intégrateur que tu choisi se travail peut être fais gratuitement (comme Debian) ou payant (comme RedHat avec RHEL).

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

La plupart des gens sont maintenant incapables de s'orienter avec une carte en papier, encore moins sans carte, et se retrouvent complètement perdus sans leur téléphone. C'est pour moi plus une régression qu'un progrès.

La plupart des créations de notre histoire en rendant possible ce qui était impossible avant rendent aussi facile ce qui était compliquée auparavant. Ça rend une capacité bien moins importante pour ceux qui n'avait pas un besoin si compliqué que ça.

• la roue a réduit les distances
• l'imprimerie et tout ce qui s'en ai suivi jusqu'à l'informatique a tué l'écriture manuscrite et encore plus la calligraphie
• …

Ça rend aigris ceux qui ont ses compétences si elles ne sont plus nécessaires. On perds en prestige ou en ayant travaillé pour avoir une tel compétence on aime pas la voir perdre en valeur.

L'argument classique du « imagine tu n'a plus cette innovation ? », ça marche aussi avec toutes les autres (une roue peut casser, on peut ne plus avoir le droit de faire décoller les avions, les pannes électriques ça existe,…), mais l'expérience montre que c'est plutôt marginal. On considère ses technologies comme importantes et on fait ce qu'il faut pour les maintenir.

Ce n'est pas pour autant que c'est bien, mais je pense pas que l'on ai assez de recul pour savoir si c'est bien ou pas. Là où pour l'agriculture, on a déjà une meilleure vision ;)

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

C'est pas une bonne idée. Il est difficile de faire des sauvegardes cohérentes via des volumes docker par exemple.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Donc oui, on évite de se faire contaminer

Justement, un masque type chirurgical n'est pas une protection pour celui qui le porte, tu peux te faire contaminer. Il est une protection pour les autres.

T'a quand même coupée ma phrase alors que la seconde proposition était associée avec une conjonctions de coordination en gras…

Édition : ma phrase voulait dire qu'aujourd'hui on doit tous chercher à ne pas contaminer. C'est ce qu'on fait quand on tousse dans notre coude par exemple. C'est ce que font ce genre de masque.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Il n'est utile qu'au malade (bon ici on peut supposer que beaucoup soient à risque, y compris sans le savoir).

On en est définitivement plus à chercher à savoir qui est malade ou pas. C'est tout le principe du confinement : on se considère comme contagieux par défaut et on fait le maximum pour ne pas être vecteur de contamination. Donc oui, on évite de se faire contaminer et de contaminer.

Utiliser ce qu'on peut pour éviter les projections ne paraît pas plus ridicule/inutile que de tousser dans son coude.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll