jihele a écrit 1330 commentaires

déverrouiller le bootloader, télécharger la ROM, flasher la ROM, verrouiller le bootloader.

Ce long post sur Reddit explique que relocker le bootloader c'est pas forcément une bonne idée.

Je vais réessayer, merci. J'avais des doutes sur la sécurité, mais je vois qu'il est assez maintenu.

Oui, je pense. Je l'utilise depuis longtemps et il y a des mises à jour régulières. Mais je sais pas dire si c'est 2 jours ou 3 semaines après celles de Signal.

Non, il faut parfois l'application pour recevoir les notifications et autoriser, lorsque, justement, on utilise le site web pour faire des transferts.

Ah mince. J'ai un compte depuis peu et pas encore fait le tour de tout mais j'espérais bien tout faire sans application. En tout cas j'ai pu faire un achat CB en ligne en me connectant au site pour valider.

Je crois qu'il y a Mini-G, maintenant.

Je crois que ça se choisit à l'installation et après c'est trop tard. Si on parle de la même chose :

Warning: If you want to install Google Apps add-on package (use the arm64 architecture), you can download it from here. This add-on needs to be installed before booting into LineageOS for the first time!

Il y a des solutions de cloisonnement sous linux (SELinux cité plus haut), même si c'est pas activé par défaut à l'install d'une Debian.

Qu'est-ce qui est plus simple dans le temps ? Maintenir un fork de AOSP ou maintenir un Linux mobile ? J'ai pas la réponse.

Une (grosse) difficulté est d'atteindre la masse critique pour que les fabricants portent leurs pilotes et que les devs produisent des applications compatibles.

Ça pourrait se faire petit à petit en se concentrant sur la compatibilité matérielle de quelques appareils et avec une couche de compatibilité/émulation pour faire tourner les applis Android.

Ça me choque de lire ça mais chez moi Linux est parfait parce que tout est dans les dépôts Debian (+ qqs dépôts tiers pour quelques logiciels libres supplémentaires).

Sur les téléphones, on s'oriente vers un système où tout est appli. Si tu dois faire tourner 15000 saloperies propriétaires pour que le truc soit utilisable, le modèle de sécurité a rien à voir, il faut se méfier des logiciels installés et tout cloisonner. C'est peut-être à ça que GrafeneOS fait référence.

Oui, c'est clairement parodique. C'est bien fait et c'est drôle.

Our legally-trained robots analyze only public documentation—README files, API docs, and type definitions. They never see a single line of source code. The clean room stays clean.

Si une IA recode toutes les libs à partir de la doc, on a pas fini de rigoler.

Peut-être que dans certains cas c'est la version MALUS qui sera correcte, mais dans le code que je maintiens, c'est souvent la doc qui est en cause quand il y a désaccord entre le comportement observé et l'attendu.

Morale de l'histoire, si tu veux pas te faire pomper par MALUS, ne documente pas, ou écrit la doc dans le code .

Ce journal n'est pas un journal sur le cynimse.

Merci pour l'explication, c'est clair.

On peut faire un profil propre et un crade pour le proprio pour empêcher l'accès aux données sensibles. Sauf que le jour où on a pas mal de proprio, les applis proprios ne sont pas cloisonnées entre elles, je ne sais pas ce que ça implique, par exemple si l'appli Uber peut consulter les données de l'appli Doctolib, ou si ça veut juste dire qu'elles ont toutes les deux accès aux mêmes données persos mais pas aux données les unes des autres.

Pour cloisonner plus on peut effectivement utiliser les comptes, mais un compte par appli c'est relou. D'où ta démarche de regrouper par type, un peu moins relou.

Je ne sais pas trop arbitrer parce que ça dépend de la question que je me pose au-dessus sur la segmentation entre applis du même profil.

J'ai déjà lu (ici, sans doute) que les applis pouvaient avoir accès à la liste des autres applis installées, ce qui peut déjà être considéré comme une info sensible (c'était utilisé en Inde par exemple pour estimer la classe de pouvoir d'achat de l'utilisateurice).

Paramètres > Système > Utilisateurs

Ah oui, j'ai ça aussi. Je suis intéressé par la différence avec la notion de profil.

Ça cloisonne plus mais tu es obligé de changer de session, c'est ça ?

J'avais lu que sur Android on pouvait avoir un double profil (ex. perso/pro, mais peut faire clean/dirty). Tu parles de N profils. C'est spécifique à Grafene ?

Pour Signal, tu peux utiliser Molly qui est dans F-Droid.

Pour Wise, et peut-être d'autres, tu peux utiliser le site web.

J'ai LineageOS et pour l'instant pas de Google et que du F-Droid tant que c'est possible mais je n'exclue pas de devoir installer des saletés un jour, donc je me renseigne.

Ça pourrait déjà s'améliorer si l'agent lisait les PR existantes et les issues qu'il prétend résoudre.

On a encore eu trois PR aujourd'hui qui sont plus ou moins des copies de PR en cours ou d'un PR fermée parce que l'issue conclut que le comportement actuel est bon (mais qu'on pourrait mettre un commentaire dans le code).

Le LLM est bon (il fait du code, des tests, etc.) mais il est con (il lit pas toutes les infos à disposition).

Et l'utilisateur est égoïste et un peu con aussi. Il est clairement piloté par ses stats.

(Le fameux "quand un indicateur devient un objectif, il cesse d'être un bon indicateur.)

OK donc il y a du basé Debian comme alternative à Android. Je me demande si c'est pleinement fonctionnel (gestion des périphériques et tout).

Et je suppose que ça fait pas tourner les applis Android.

Perso j'ai pris LineageOS, j'ai pas de Google Play, uniquement du F-Droid et pour l'instant ça me va, mais je trouve "rassurant" de me dire qu'au pire un jour si j'ai pas le choix je pourrai installer un .apk proprio.

Le top (à défaut d'arriver à avoir des applis libres pour la banque, etc. le jour où l'appli devient incontournable), serait un OS comme Mobian (dérivé Debian) puisse faire tourner des .apk dans des sandboxes. C'est peut-être beaucoup demander…

Oui, tu as raison. Je mélange avec une autre news (j'ai plus la source) qui créait une inquiétude à ce sujet.

Concernant les applis non signées, on en a déjà parlé ici et il se disait à juste titre que même s'il est possible de les faire tourner sur les OS alternatifs, on peut craindre que ce soit trop niche pour que leur développement se poursuive.

C'est un fork de LineageOS, qui est basé sur Android.

Si demain Android n'est plus libre ou du moins plus utilisable, il n'y a plus d'upstream.

À partir d'août 2026, la règle sera inversée. Le démarchage téléphonique sera complètement interdit par la loi, sauf si vous y consentez.

Les publicitaires ne vont pas en rester là.

Je crains qu'au moindre achat on doive signer des CGV qui autorisent les partenaires, etc.

Je m'interroge sur le devenir de LineageOS si ça se ferme upstream.

Existe-t-il des systèmes alternatifs viables qui ne soient pas des Android custom?

Le seul auquel je pense est FirefoxOS, qui a été abandonné il y a longtemps.

Et j'imagine que c'est compliqué d'avoir le support matériel sur un OS minoritaire vu que les fabricants vont pas y mettre du leur.

Grave.

Je l'utilise que pour gérer les impôts, ProNote et Tinder.

Le code, je le fais moi-même.

Je suis assez d'accord.

Il se trouve qu'on a un environnement, entre l'intégration GitHub, les LLM qui annoncent la lune, etc. qui fait que le premier noob qui passe n'a pas honte d'envoyer 70 PR quitte à ce que seulement 3 soient acceptées. Voire à la fin il va être content parce que 3 PR acceptées, c'est bien, sans réaliser le coût en bruit.

L'analyse statique, le formatage de code, on fait déjà, et sans LLM.

J'aurais même pas d'objection à ce qu'un contributeur fasse tourner un Valgrind ou LLM et nous envoie le rapport, idéalement commenté et priorisé, ou nous donne la config pour le faire nous-même. Je dis bien dans le journal qu'il peut y avoir un apport positif de ces technos.

Mais balancer des PR aveuglément sans chercher à les comprendre, c'est du bruit (avec un peu de signal dedans).

Effectivement, passer sur une plateforme différente pourrait freiner ce bruit. Assez pour le stopper, dans un premier temps. Mais c'est pas super satisfaisant. Éduquer les contributeurs le serait plus, mais c'est un vaste programme.

Peut-être que l'IA fait qu'on décèle plus de faille.

Et une vulnérabilité dans un logiciel codé avec les pieds et l'IA que personne utilise, c'est pas aussi important qu'une vulnérabilité dans OpenSSH par exemple, et j'espère bien que dans les libs critiques (même celles qui dépendent d'un développeur seul dans son coin) on injecte pas bêtement du code de ChatGPT.

Donc chiffre à prendre avec des pincettes, même s'il traduit une vraie tendance de fond.

Dit autrement, on a peut-être toujours autant de code de qualité, mais plus de code de merde autour.

Je suis d'accord.

Effectivement, ils auront peut-être leur nom au générique d'une lib connue, mais si on consulte leur historique, on voit bien qu'ils ont mitraillé à l'IA.

Je doute que les recruteurs en question se donnent cette peine, mais je doute aussi qu'ils voient que le postulant est cité dans les auteurs de telle ou telle lib.

Et un technique qui prend la peine de regarder verra rapidement à qui il a affaire.

Donc je pense en effet que c'est vain.

Et oui, c'est pas nouveau, mais l'outil démultiplie l'effet de telle sorte que ça en fait une vraie nuisance là où avant c'était assez marginal.

Je me demande si c'est une coïncidence ou si c'est lié à une nouvelle fonctionnalité d'une IA.

Un co-mainteneur me souffle qu'il s'agirait d'OpenClaw.

J'ai ouvert un compte Wise l'autre jour et j'ai dû passer par une procédure similaire.

J'ai commencé sur l'ordi de bureau, puis j'ai été invité à passer sur un téléphone pour le scan du passeport et de ma tête. J'ai tenté sur la webcam de l'ordi portable du boulot, sans succès.

J'ai énormément galéré avec un téléphone. Peut-être que la caméra est pas top. Il y a effectivement le problème des motifs sur la photo qui génèrent des reflets brillants, il faut trouver le bon angle. Et la page qui scanne la photo a des traits pour indiquer où placer le document, mais vu la résolution de la caméra c'était trop petit, donc j'ai débordé allègrement pour utiliser toute la résolution de la page. Et ça restait encore un peu flou.

Comme je galérais avec le passeport, j'ai tenté une vieille carte d'identité mais le logiciel a détecté qu'elle était périmée.

Le passeport a fini par être reconnu et ensuite c'était au scan de mon visage que ça foirait. Je crois que le Firefox du téléphone n'arrivait pas à accéder à la caméra, ou pas en mode selfie, alors qu'il réussissait bien à scanner le doc juste avant. J'ai pourtant tenté de donner toutes les autorisations.

J'ai essayé de gruger le système avec le PC en simulant une webcam dans laquelle je streamais une photo de moi avec vlc mais ça a pas marché non plus…

J'ai fini par réussir avec la procédure "normale" (smartphone) avec le navigateur par défaut au bout de plusieurs essais.

Grosse galère, en tout cas. Je sais pas si d'autres y arrivent directement. Peut-être que leur caméra est meilleure.

D'autant qu'on apprend que le mec s'est relevé, avait envie de recommencer, a refusé d'aller à l'hosto et est mort plus tard. C'est plus compliqué de dire qu'il a été "laissé pour mort".

Je suis d'accord sur le fait qu'on décrète l'obligation en laissant le privé faire n'importe quoi.

Sur l'implémentation d'une solution "propre", je sais pas si c'est simple. En tout cas, ça fait pas consensus.

J'ai fait une recherche rapide pour mieux comprendre les systèmes à double anonymat et trouvé cette page qui critique deux méthodes de double anonymat. (Je recommande la lecture pour bien comprendre comment ça marche.)

Je ne comprends pas bien l'intérêt du "challenge" émis par le site "Origin" et transmis au tiers de confiance "Issuer".

Dit autrement, je ne vois pas pourquoi on ne pourrait pas se contenter d'un certificat signé électroniquement par une autorité reconnue avec le minimum d'info (ex. âge) et juste une limite de temps de quelques minutes. Est-ce seulement à cause de la possibilité de revente ?

Je pense pas qu'on puisse tuer le fascisme en éliminant physiquement les fascistes. C'est une idéologie qu'il faut démonter. Mais affirmer ça ne répond pas à la question de que faire face à la menace qu'ils représentent concrètement aujourd'hui.

Les collectifs antifas se sont créés en réaction à la menace fasciste (ils étaient pas là avant, ça n'aurait pas de sens, hein) et je n'ai pas de leçon à donner sur comment on lutte contre l'ED, notamment physiquement, dans la rue, quand elle tente d'y occuper l'espace. Ceci dit le rapport à la violence fait débat en interne chez eux aussi. Féminisme vs. postures virilistes, etc.

La mort du militant ED invite les forces de gauches et antifascistes à questionner le rapport à la violence. D'un point de vue moral. Et d'un point de vue efficacité : l'ED a maintenant son martyr et ça pourrait avoir des conséquences politiques graves.