JGO a écrit 2437 commentaires

La procédure est à Wikipédia:Respect de la licence à vérifier.

La justification est que le professionnel (plombier, déménageur, dépanneur info...) doit laisser un papier au client, devis ou autre. Soit il a une imprimante dans la camionnette, mais c'est pas très pratique, soit il veut faire suivre par mail. S'il doit sortir un carnet de factures puis les saisir à la maison sur son compte, il n'a pas besoin de ton offre dans le nuage, il peut utiliser un logiciel de gestion d'entreprise hors-ligne, il y a déjà pas mal d'offre même dans le libre.

À mon avis, le cas d'utilisation où ton offre cloud a tout son sens, c'est pour les professionnels en déplacement. Je pense que serait donc bien de te préoccuper des besoins de cette branche de professionnels. Pour l'instant, l'électricien qui se rend chez le client peut acheter un terminal dédié où il récupère les coordonnées du client, le type d'intervention et fait la saisie de la signature. Ce sont des petites merveilles, mais ça doit couter bien cher. Si le professionnel peut utiliser son smartphone et ton offre peu onéreuse, pour une part significative des fonctionnalités qu'il aurait avec un terminal dédié, ton offre accède à un marché bien plus large, où possiblement tu es le seul prestataire de cette nature, et certainement le seul à le faire à ce prix.

Pour un service au domicile du client, c'est possible de saisir les données depuis un smartphone (le layout est compatible avec un écran de téléphone ?), et faire suivre immédiatement la facture par email au client ?

« Accédez à l'application où que vous soyez et de manière sécurisée en SSL. » Tu utilises HTTPS avec un certificat auto-signé ou tu as investi dans un certificat officiel ?

Pourquoi (si je suis un client potentiel), aurais-je envie d'utiliser ton service, plutôt qu'une autre solution ?

Si je saisis (je suis lent), ton produit aide à faire sa compta et ses factures. Pour la compta, il y a des logiciels monoposte en vente dans les magasins, et pour les devis et factures, un cahier à souches fonctionne aussi (si je suis un petit autoentrepreneur, ça devrait suffire pour commencer).

Je ne suis pas auto-entrepreneur, imaginons que je souhaite le devenir. Quelles sont les étapes, outre souscrire ton service ? Peut-être pourrais-tu fournir ce genre d'informations sur ton site ? Si j'ai trouvé ton site par hasard, mais que je dois continuer ma recherche pour trouver les autres informations, je vais probablement trouver d'autres solutions entre-temps pour ma compta et oublier ton offre.

Je lance un fil de discussion avec certains arguments. Puis on se répond de post en post, et à la fin on se retrouve à argumenter sur des détails qui n'ont rien à voir avec les arguments initiaux.

Ma théorie du bonheur, dans le post bien bien plus haut, c'est que de fait, les distributions de bureau marchent bien, y'a des failles mais elles sont souvent trouvées (parfois 2 ans après, je sais, mais autant pour nous que pour la mafia), à mon humble niveau je trouve parfois de minuscules bugs, et des gars balaises trouvent les bugs compliqués. Je dis pas que c'est parfait, je dis que ça marche plutôt pas mal, et qu'y a pas de raison que ça ne continue pas de marcher à l'avenir, ou sur une distro d'app pour mobile.

Oui c'est théoriquement possible, mais je doute que cette appli libre ne recevra pas de rapport de bug public si elle n'honore pas la configuration proxy. Ça va finir par se voir dans les logs.

Pour les logiciels libres ce genre de choses est déjà documenté par les autres paranos qui se sont déjà plaints. J'ai aussi testé avec Firefox, pour vérifier quelles options désactiver pour qu'il arrête d'appeler sa maison à intervalles réguliers.

Je pense que ça n'a rien à voir avec le débat. Oui des gens font des erreurs, et parfois les mailing list ne suffisent pas, surtout si le mainteneur omet de poster son patch sur la mailing list qui va bien.

c'est cool, mais il est pas encore sorti.

et j'ai pas encore acheté, tu noteras.

Sachant que personne ne trouvera la faille,

Ah ben là si tu fais ce genre d'hypothèse, c'est sûr que je peux pas répondre grand chose. Mais si je préfère supposer que quelqu'un trouvera la faille, comme l'expérience de tant d'années l'a montré ?

Il y en a sans doute, mais ce qui compte ici, c'est que dans une distribution libre, il y aune mailing-list pour discuter des paramètres, et tout ce fil de discussion sert à t'expliquer que, dans le cas de logiciels libres, les problèmes que tu soulèves, et qui sont pertinents, auraient une chance supplémentaire d'être résolus avant de toucher la masse des utilisateurs.

J'ai pas de téléphone 3g. Si j'en avais un, je me mettrais probablement dans le cas d'utilisation mis en avant par la MoFo, où les fonctionnalités sont fournies par des applications en ligne ou développées sur la plateforme Firefox. Firefox honore la configuration proxy, qui passe par un proxy filtrant écrit en C, compilable sur à peu près n'importe quoi, j'ai nommé privoxy. Les applis natives lisent la configuration proxy depuis les variables d'environnement. Bien sûr, je choisirais l'un des rares téléphones « hackables » où je pourrais régler ces choses.

P.S. J'ai pas dit textuellement « installer n'importe quoi », mais ce commentaire est effectivement apparu dans un journal récent.

Je l'ai fait une seule fois pour la seule appli proprio que j'avais installé. Et effectivement elle appelait sa maison. J'ai pas gardé.

Un lecteur RSS accède aux flux que l'utilisateur choisit, un lecteur multimédia aussi. Ce sera pas facile de cache un appel à www.site-douteux.com dans le code. De toute façon sans configuration proxy, ils l'ont dans le baba.

Le soft a une chance d'etre dans le depot de la distrib ?

Waou c'est quoi ton soft qui télécharge des mises à jour sans passer par la distro ? Sur ma machine y'a que Firefox qui essaie de faire ça et c'est bien le truc que j'ai désactivé en premier. De toute façon le gros malin il aurait rien pu écrire dans /opt, mais je préfère qu'il essaie même pas.

Tu veux dire, les mêmes qui ont laissé passer la faille OpenSLL chez Debian?

Non lui c'était un mainteneur de distribution. Je suis sûr que le code de OpenSSL est très bien audité par ses contributeurs. Mais si le mainteneur de distro fait son patch dans son coin et ne le soumet pas sur la mailing list upstream, il ne sera pas relu.

T'as fini de faire exprès de rien comprendre ? Je parle du commun des mortels dans une expression à visée humoristique. Tu as vraiment besoin que j'explicite en quoi la cryptographie est vraiment particulier par rapport à l'application moyenne qui appelle une API pour dessiner des fenêtres ?

Oui je dois faire confiance aux dépôts de ma distribution, mais c'est pas du tout trivial pour le logiciel lambda sorti la veille d'y entrer. Faut poster des patches sur le bugzilla, faut qu'un développeur compatissant décide de se charger de l'intégration, ensuite ça part dans la branche testing pendant un temps indéterminé jusqu'à ce que le mainteneur de la branche stable décide que cette version particulière des patches est bonne pour tout le monde... Ça prend des mois, des gens aventureux testent les versions récentes, moi je profite des versions stables, et j'ai rarement des problèmes.

Certes tu pourrais avec beaucoup d'astuce, arriver à dissimuler du code malicieux, mais ça n'a rien à voir avec la situation initialement proposée par pbpg, où un inconnu télécharge un binaire malicieux sur les dépôts d'appstore android pour distribution immédiate, et attend que les pigeons téléchargent dans la minute suivante.

Ça dépend ce que tu appelles personne, moi j'ai bidouillé trois de mes extensions pour FF (imageblock, httpseverywhere, randomuseragent). Je ne suis pas informaticien et je hais javascript, alors j'imagine que les types qui s'y intéressent vraiment relisent encore plus et encore mieux.

Il est légal d'utiliser un pseudonyme, nom de scène ou nom de plume.

Dans le monde parfait où y'aurait un appstore libre pour Android, tu pourrais sans nul doute ajouter une entrée dans le suivi pour demander qu'en plus de la relecture du code (que tu juges insuffisante), un outil d'analyse de comportement soit utilisé.

Faut savoir à qui tu peux faire confiance. Faire confiance au développeur unique d'une appli proprio gratuite d'un appstore du net, bof bof. Faire confiance à Mozilla pour que le binaire officiel de firefox ne soit pas vérolé, j'ai déjà plus confiance.

Et si le matériel veut t'espionner, il y arrivera, mais ce n'est pas la question ici.

Tu propose quoi comme reflexion?

L'appli a-t-elle un site, l'auteur répond-il aux questions, tient-il compte des suggestions ? Pour les poids lourds parmi mes extensions FF (adblock, noscript), je fais confiance à la communauté autour. Pour les petites extensions sans renommée, je relis, normalement par curiosité pour savoir comment ça marche ou pour changer une valeur par défaut. Je suis pas spécialiste, mais je ne suis pas seul à relire.

OpenSSL est une grosse application à laquelle la plupart des mortels ne comprennent rien, on en est donc réduit à faire confiance au fournisseur (debian). Si debian fait une erreur, on est dans la mouise. Mais si on a le choix entre télécharger openSSL depuis les serveurs debian ou depuis app-store.GRATIS-JEUX-3D-PR0N.com, je choisis quand même debian. Sur le fond, le mainteneur aurait dû poster son patch sur la mailing-list upstream avant de le valider. Il aurait eu une réponse affolée immédiatement.

Si demain j'uploade un malware libre sur le marketplace,

Les distributions libres pour le bureau fonctionnent bien. Les projets ont en général plusieurs contributeurs, une mailing-list de développement, ils existent depuis plusieurs mois avant d'être intégrés dans une distribution connue. Et n'importe qui n'uploade pas une archive sur les serveurs de la distro. Malheureusement, Android, n'est pas organisé comme ça. Google aime bien avoir une sorte de mainmise, moins que MS mais un peu quand même.

J'ai cherché deux minutes et le site "chaque plouc son kawa . fr" propose un paiement à crédit ou 3 fois sans frais à partir d'un certain montant (élevé pour du café, mais on fait partie de l'élite ou on en fit pas partie).