Laissons encore quelques années à la communauté LinuxFR pour finalement avouer que les remarques de Zenitram sur Mozilla sont plus que justifiées 😉
Oui, Mozilla porte de beaux projets, mais est-ce qu'ils sont portés à la hauteur des attentes des utilisateurs et de leurs moyens ?
On peut clairement en douter. Que ce soit sur les choix de fonctionnalités à ajouter/supprimer ou les salaires de certains et certaines qui sont très décorrélés de leurs résultats.
L'argument "c'est bien ce qu'ils font" ne soit pas éclipser leurs erreurs.
Et autant je suis d'accord qu'il faut soutenir les acteurs du libre, autant Mozilla est peut-être l'exemple le plus visible d'un acteur avec de profonds problèmes qui s'accentuent d'année en année …
C'est donc toi qui installe d'obscurs logiciels sur les serveurs, télécharge des ISOs à partir d'un nom de domaine qui ressemble à du sha1, achète du matériel dans une langue que personne ne connait et démarre des images Docker faites par un pur inconnu !
Très content d’échanger avec toi ! Je n’ai même pas pensé à me renseigner un peu sur l’auteur de bliss, ni même de chercher s’il y avait un article dessus sur linuxfr, mais en fait si, tu en avais fait un : sortie de la bibliothèque d’analyse musicale Bliss 1.0 (2016).
En plus je l’avais lu à l’époque :)
En le parcourant je découvre également d’autres outils qui semble relativement maintenu :
Ils me semblent malgré tout être moins clé en main que bliss pour mon usage. Mes connaissances dans le sujet sont quasiment inexistantes, donc je cherche les raccourcis.
Donc pour le moment, j’utilise bliss via le binding python, les performances sont excellentes, j’ai pu l’exécuter sur des dizaines de milliers de titres en moins d’une heure, malgré la non-parallélisation de mon programme pour y stocker les résultats dans une base de données sqlite comme blissify. Je n’utilise pas blissify parce que le dernier commit daté de 2017 et que je me suis dit que j’aurais probablement besoin d’ajouter des informations en bdd, cela serait mieux que je ne délègue pas cette partie.
J’aurais bien voulu que Song.analysis retourne un dictionnaire plutôt qu’un tableau pour savoir qu’est-ce qui correspond à quoi directement. (au passage, le lien vers bliss-rs dans la description du paquet pypi est cassé https://pypi.org/project/bliss-audio/ )
Les métriques renvoyées par bliss semblent en tout cas dans les extrêmes plutôt bien faire le travail pour permettre de créer une playlist où les titres s’enchainent de façon agréable, mais je n’ai pas encore davantage exploité le sujet. Certaines valeurs proches ne m’ont pas donné pleine satisfaction, les titres avaient en effet quelque chose de similaire, mais "humainement" je ne les aurais pas mis si proche que ça, je n’ai plus d’exemple en tête en revanche.
Bliss reste le meilleur outil que j’ai trouvé, il remplit parfaitement son rôle et sans blabla en fournissant de façon claire et quantifiable des éléments de comparaison pour des titres. Un énorme merci à toi, sans ton travail je n’aurais pas cherché plus loin ! Merci !
Au final, je me retrouve avec différents indicateurs pour chaque musique :
- artiste
- genre / sous-genre
- année
- nombre d’écoute mondiale (via les plateformes de streaming) (popularité générale)
- occurrences (via les playlists des plateformes de streaming) (popularité spécifique)
- nombre d’écoutes personnelle (via mdp/airsonic) (popularité personnelle)
- note personnelle (via mpd/airsonic) (popularité personnelle)
- métriques de bliss
L’objectif étant de constituer une playlist, j’envisage de créer une petite IHM web (désolé pour les anti tout-web, mais le web reste la plateforme universelle pc/téléphone, et je pleure la mort de Firefox OS) connectable à une instance airsonic-advanced pour y générer des playlists à partir de :
- un ensemble de titre
- un ensemble de genre / sous-genre
- intervalle d’année
- un intervalle de distance (je veux des musiques très similaires, ou j’accepte quelques musiques un peu plus lointaines pour découvrir, ou au contraire que des titres assez lointains pour me faire voyager)
- un intervalle d’habitude (je veux mes musiques préférées, ou contraire je suis fatigué de celles-ci)
avec un système de mixage pour y gérer les poids associés aux différents critères.
On lui donne un nom, ça mouline avec la base de données et ça crée la playlist directement dans le serveur musical !
Les serveurs de streaming n’ont qu’à bien se tenir !
Heureusement bliss calcule un ensemble de 20 attributs (j’ignore leurs noms) pour chaque titre, et quand tu veux trouver un autre morceau proche, il te suffit de calculer la distance euclidienne entre celui-ci et tous les autres. En constituant une base de données comme c’est déjà fait dans bliss_audio, ça te permet de faire ça très rapidement !
J’ai un peu avancé depuis et en lisant vos réponses, j’ai eu quelques idées, probablement assez pour faire un prochain journal, donc je vous partagerais peut-être ça dans quelques temps ;)
Ou alors ça finira dans la liste des projets à finir, que je finirais un jour … ! :D
Oui on peut voir les choses comme ça …
Mais ça revient à dire que Microsoft quoi qu'ils fassent c'est des méchants.
Bloquer le dual boot, empêcher toute passerelle entre Windows et Linux : pas bien.
Expliquer aux gens qu'un dual boot est possible, mettre en place WSL2 permettant le partage bidirectionnel des fichiers entre Windows et Linux, comment installer Linux, proposer du Linux sur son cloud : pas bien ?
J'ai parfois l'impression que les libristes souhaitent davantage défendent l'image du vilain gros Microsoft que promouvoir Linux en tant que tel.
WSL2 oui ça peut éviter d'étudier la question de la bascule vers Linux, mais c'est surtout un pied dans la porte, et peut-être suffisant pour répondre aux besoins de certains. Il y a une atteinte à la pureté de Linux ? "
Et même en étant cynique, c'est pas génial que Microsoft n'arrive plus à lutter contre Linux ?
C'est parce que c'est pas fait avec les bonnes intentions ? Oui Microsoft pense avant tout pour l'argent, tant mieux c'est une entreprise, c'est son but. Et si finalement elle fait ce choix c'est que le marché l'incite à faire ça, en quoi ça serait une mauvaise chose ? C'est pas bien de faire de l'argent avec Linux ? Ou c'est pas bien parce que tu le fait pas depuis le début ?
Je ne suis pas naif pour autant et on peut en revanche rediscuter de certains points si ils participent upstream, si ils financent des projets, etc.
Mais c'est dommage je trouve de voir tout en noir en restant avec la vision datée de Microsoft vs Linux.
Après je suis peut-être la cible ou même l'agent d'un programme de propagande de Microsoft pour faire installer Linux uniquement via WSL2, mettre les serveurs sur Azure et rediffuser ces idées extrémistes sur un forum de libristes pour les pervertir, auquel cas je suis démasqué ;)
en bien "Linux is an operating system, similar to Windows, but with many different versions due to the nature of being open source and fully customizable."
propose un tutoriel pour l'installer via wsl2
mais aussi sur leur cloud et leur hyperviseur
mais aussi directement sur une machine, en dual boot !
On peut être cynique et se dire qu'ils sentent peut-être le vent tourner ici et là (serveur, cloud, steamdeck, logiciel=>service), mais aussi être simplement heureux que Linux réussit finalement à faire plier Microsoft pour être reconnu, accepté, et lui faire une place dans son écosystème. Et peu importe les inévitables calculs financiers derrière. Linux y gagne dans un jeu qui n'est pas forcément à somme nulle.
L'un des premiers problèmes, c'est comme le suggère NVD c'est la première communication de la CVE avec la note associée. Est-ce que la politique d'attribuer une note plus élevée faute d'informations au risque de faire paniquer les utilisateurs est la bonne ? Je dirais que oui, mais en lui ajoutant également une note sur la certitude de celle-ci, le temps que des analyses plus approfondies soient faites.
Cela permettrait de distinguer une CVE assurément critique d'une autre potentielle.
Les CVE à 9.8 qui n'en sont pas finalement pas font toujours l'effet d'un enfant qui criait au loup :)
Autre point qu'un score CVE ne remonte pas, c'est le scope d'exploitation de celui-ci, en prenant comme exemple curl, est-ce qu'il s'agit d'un problème exploitable du côté ligne de commande, ou en remote, et sur quel protocole ?
Est-ce que cette CVE peut amener à un leak d'information ou "juste" un DOS ? En fonction de la réponse, sa gestion par les acteurs concernés peut-être très différente.
J'ignore comment on pourrait normaliser ces aspects, mais associer une unique note à une faille de sécurité me semble très très réducteur, au point où les CVE ne sont pas utilisables sauf à y mettre une équipe dédiée en interne pour répondre à ces questions dans le contexte de l'acteur. (entreprise, collectivité, gouvernement, etc.)
J'ai déjà eu affaire à des outils d'analyse d'artefact qui remontent des centaines de CVE sur des projets interne, mais impossible de vraiment savoir à quel point elles sont vraiment critiques, ou même exploitables (une faille sur une fonctionnalité non utilisée par exemple)
Au final, malgré l'importance de la sécurité informatique aujourd'hui, je trouve que la communication et la gestion autour des failles de sécurité n'est pas au niveau des enjeux, ou du moins reste un luxe accessible uniquement aux acteurs ayant un gros budget à y consacrer.
Et je vous parle même pas de la polique des artefacts suite à la découverte d'une CVE, on garde les artefacts vulnérables combien de temps ? et les équipes responsables font comment ? Ils mettent à jour vers la dernière version ? Et si elle n'est pas supportée par l'environnement ? On coupe l'application ? On fait des dérogations ?
Bref, c'est à se demander pourquoi aujourd'hui les développeurs mettent encore des bugs dans leurs programmes …
Les téléphones, la question de la maintenance des mises à jour par les constructeurs se posent en effet, mais en général les problèmes n'arrivent pas aussi vite malgré tout, bien que cela semble malheureusement inévitable avec les acteurs actuels et la difficulté à reprendre la main sur ces petites bêtes.
Pour les télés, c'est un problème utilisateur, personne ne devrait leur laisser un accès à Internet :)
Et toujours passer par un mini-pc sur lequel on est administrateur pour consulter du contenu.
Malheureusement cette solution n'est pas toujours évidente pour les non-initiés, après l'usage de clés hdmi type chromecast qui s'est beaucoup répandu ces dernières années permet de redonner une jeunesse au "logiciel de la télé" en déportant le problème initial certes.
Je peux comprendre l'aversion au javascript, sans en être un grand défendeur, bien utilisé, il permet d'ajouter des fonctionnalités à des sites sans lequel cela ne serait pas possible. Après nous seront d'accord pour dire que beaucoup de sites pourraient être fait sans javascript, être plus rapide et plus efficace pour tout le monde, ça c'est certain.
Maintenant, quelle version de Firefox utilises-tu ? Dans quel environnement te trouves-tu pour rester sur une ancienne version de Firefox, probablement non maintenue ? Pour quel bénéfice à côté du danger potentiel que cela représente ? Je doute que désactiver l'exécution du javascript 90 % du temps te protège de tout.
Les pc de plus de 3 ans accèdent très bien au web d'aujourd'hui, mais il est possible qu'en effet, ne pas faire de mise à jour devant 3 ans de ton navigateur puisse te causer des problèmes, et oui le web évolue rapidement, et la rétrocompatiblité a ses limites techniques (ou de budget ;) )
Et les standards sont parfois définis par l'usage, tout simplement. Ce n'est pas forcément quelque chose de mal.
Le Web Environment Integrity est un danger, mais cela me semble assez différent malgré tout.
Je précise tout de même que comme j’ai bien sauvegardé tous ces livres dans un format standard depuis toutes ces années, les changements d’Audible n’ont pas eu de conséquences pour moi, si ce n’est que je n’achèterais plus chez eux.
Si je n’avais pas fait ça, aujourd’hui je serais totalement dépendant d’eux pour accéder au contenu que j’ai payé.
Faites attention à vos contenus et à vos sauvegardes ;)
J'y ai pensé à un moment, et je ne sais plus pourquoi c'est sorti de mes critères de choix … Probablement l'envie de voir un peu ce qui existe ailleurs (bien que propriétaire :/)
En effet OpenWRT c'est bien sympa et c'est très personnalisable ! Merci de la suggestion !
Ah oui, dès que c'est POE, ça souffle ces bêtes là :/
Comme expliqué dans le journal, en effet si je me deconnecte, le curl ne fonctionne plus ;)
Mais il faut m'expliquer "le cas prévu", parce que là j'y vois un "That's not a bug, that's a feature!" :D Je ne m'attends pas à ce qu'un autre programme que mon navigateur puisse utiliser l'accès que je viens d'ouvrir en me connectant sur l'interface web du switch.
Je ne vois pas pour ma part de raisons pour lesquelles cela s'appliquerait plus particulièrement aux micro-services. Simplement, le non respect de ces bonnes pratiques s'avère plus (et très) vite périlleux quand le nombre de services, d'instances et d'interconnexions augmentent. Libre à toi de ne pas suivre ces recommandations, mais remarque que parmi le public assez calé ici, personne ne semble vraiment les remettre en cause, alors sans que ce soit un argument d'autorité, envisage que cela s'applique de façon assez générale à toutes les applications. Ne cédons pas non plus au dogme malgré tout et n'oublions pas qu'il s'agit avant tout de conseils ;)
Je ne sais pas si c'est un exercice ou si tu n'as pas trouvé ton bonheur ailleurs, mais tu peux jeter un coup d'oeil à detox, utilitaire en ligne de commande pour retirer les caractères et espaces qui peuvent poser problème dans les scripts en général ou dans les systèmes de fichiers, je l'utilise parfois sur des milliers de fichiers et ça fait le job ;)
J'ai l'impression que tu connectes tes pc sur les deux entrées d'un seul écran (et pareil pour le deuxième).
Tu devrais plutôt prendre un kvm clavier/souris/écran. Tu branches donc tes deux ordinateurs sur le kvm et le kvm sur l'écran et c'est lui qui fait le switch pour toi. ;)
C'est ce que j'ai chez moi et c'est fonctionne bien.
Ou j'ai pas compris ?
(jamais vu de kvm pour switch deux entrées vers deux sorties en revanche, donc pour gérer tes deux écrans, il t'en faudrait un autre en plus)
Je sais bien que cette proposition ne semble pas répondre à ton besoin initialement, mais parfois on peut oublier les trucs les plus simples :)
As-tu une raison particulière pour vouloir faire du télécommandé plutôt qu'une commande filaire comme ici ?
Outre que ça peux te simplifier la commande, ça t'ouvre plus facilement la voie pour de la vidéo si tu as ce besoin plus tard et aussi une sécurité pour pouvoir récupérer le sous-engin en cas de problème.
[^] # Re: C'est quel morceau?
Posté par Julien.D . En réponse au lien La Fondation Mozilla se restructure et licencie 30% de son personnel . Évalué à 3.
Certes, mais les décisions de la MoFo finissent par impacter Firefox (Thunderbird n'as eu que du positif à ma connaissance pour le moment).
Pocket/Wallabag, RSS, publicité, IA, etc …
[^] # Re: C'est quel morceau?
Posté par Julien.D . En réponse au lien La Fondation Mozilla se restructure et licencie 30% de son personnel . Évalué à 6.
Laissons encore quelques années à la communauté LinuxFR pour finalement avouer que les remarques de Zenitram sur Mozilla sont plus que justifiées 😉
Oui, Mozilla porte de beaux projets, mais est-ce qu'ils sont portés à la hauteur des attentes des utilisateurs et de leurs moyens ?
On peut clairement en douter. Que ce soit sur les choix de fonctionnalités à ajouter/supprimer ou les salaires de certains et certaines qui sont très décorrélés de leurs résultats.
L'argument "c'est bien ce qu'ils font" ne soit pas éclipser leurs erreurs.
Et autant je suis d'accord qu'il faut soutenir les acteurs du libre, autant Mozilla est peut-être l'exemple le plus visible d'un acteur avec de profonds problèmes qui s'accentuent d'année en année …
[^] # Re: sources
Posté par Julien.D . En réponse au lien Switching customers from Linux to BSD because boring is good. Évalué à 4.
C'est donc toi qui installe d'obscurs logiciels sur les serveurs, télécharge des ISOs à partir d'un nom de domaine qui ressemble à du sha1, achète du matériel dans une langue que personne ne connait et démarre des images Docker faites par un pur inconnu !
Tu sais que c'est pas bien, j'espère ? 😅
# Enfin !
Posté par Julien.D . En réponse au lien La France rend obligatoire l’installation de logiciel de contrôle parental sur les smartphones et PC. Évalué à 8.
Nos enfants sont désormais sauvés du dangereux Internet ! 🥳
Quant à l'éducation de ces derniers sur le sujet ou le fait qu'ils sauront mieux que tout le monde comment le contourner …
[^] # Re: Paywall
Posté par Julien.D . En réponse au lien Orange condamné à 650 000 € pour non-respect de la licence GPL. Évalué à 2.
Décidément, que nous cache-t-on ?!
[^] # Re: Quelques remarques sur bliss
Posté par Julien.D . En réponse au journal IA, fais-moi écouter ce que j'aime ?. Évalué à 7.
Salut !
Très content d’échanger avec toi ! Je n’ai même pas pensé à me renseigner un peu sur l’auteur de bliss, ni même de chercher s’il y avait un article dessus sur linuxfr, mais en fait si, tu en avais fait un : sortie de la bibliothèque d’analyse musicale Bliss 1.0 (2016).
En plus je l’avais lu à l’époque :)
En le parcourant je découvre également d’autres outils qui semble relativement maintenu :
Ils me semblent malgré tout être moins clé en main que bliss pour mon usage. Mes connaissances dans le sujet sont quasiment inexistantes, donc je cherche les raccourcis.
Donc pour le moment, j’utilise bliss via le binding python, les performances sont excellentes, j’ai pu l’exécuter sur des dizaines de milliers de titres en moins d’une heure, malgré la non-parallélisation de mon programme pour y stocker les résultats dans une base de données sqlite comme blissify. Je n’utilise pas blissify parce que le dernier commit daté de 2017 et que je me suis dit que j’aurais probablement besoin d’ajouter des informations en bdd, cela serait mieux que je ne délègue pas cette partie.
J’aurais bien voulu que
Song.analysisretourne un dictionnaire plutôt qu’un tableau pour savoir qu’est-ce qui correspond à quoi directement. (au passage, le lien versbliss-rsdans la description du paquet pypi est cassé https://pypi.org/project/bliss-audio/ )Les métriques renvoyées par bliss semblent en tout cas dans les extrêmes plutôt bien faire le travail pour permettre de créer une playlist où les titres s’enchainent de façon agréable, mais je n’ai pas encore davantage exploité le sujet. Certaines valeurs proches ne m’ont pas donné pleine satisfaction, les titres avaient en effet quelque chose de similaire, mais "humainement" je ne les aurais pas mis si proche que ça, je n’ai plus d’exemple en tête en revanche.
Bliss reste le meilleur outil que j’ai trouvé, il remplit parfaitement son rôle et sans blabla en fournissant de façon claire et quantifiable des éléments de comparaison pour des titres. Un énorme merci à toi, sans ton travail je n’aurais pas cherché plus loin ! Merci !
Au final, je me retrouve avec différents indicateurs pour chaque musique :
- artiste
- genre / sous-genre
- année
- nombre d’écoute mondiale (via les plateformes de streaming) (popularité générale)
- occurrences (via les playlists des plateformes de streaming) (popularité spécifique)
- nombre d’écoutes personnelle (via mdp/airsonic) (popularité personnelle)
- note personnelle (via mpd/airsonic) (popularité personnelle)
- métriques de bliss
L’objectif étant de constituer une playlist, j’envisage de créer une petite IHM web (désolé pour les anti tout-web, mais le web reste la plateforme universelle pc/téléphone, et je pleure la mort de Firefox OS) connectable à une instance airsonic-advanced pour y générer des playlists à partir de :
- un ensemble de titre
- un ensemble de genre / sous-genre
- intervalle d’année
- un intervalle de distance (je veux des musiques très similaires, ou j’accepte quelques musiques un peu plus lointaines pour découvrir, ou au contraire que des titres assez lointains pour me faire voyager)
- un intervalle d’habitude (je veux mes musiques préférées, ou contraire je suis fatigué de celles-ci)
avec un système de mixage pour y gérer les poids associés aux différents critères.
On lui donne un nom, ça mouline avec la base de données et ça crée la playlist directement dans le serveur musical !
Les serveurs de streaming n’ont qu’à bien se tenir !
[^] # Re: Comment je fais le tri dans mes milliers de titres ?
Posté par Julien.D . En réponse au journal IA, fais-moi écouter ce que j'aime ?. Évalué à 2.
Heureusement bliss calcule un ensemble de 20 attributs (j’ignore leurs noms) pour chaque titre, et quand tu veux trouver un autre morceau proche, il te suffit de calculer la distance euclidienne entre celui-ci et tous les autres. En constituant une base de données comme c’est déjà fait dans bliss_audio, ça te permet de faire ça très rapidement !
J’ai un peu avancé depuis et en lisant vos réponses, j’ai eu quelques idées, probablement assez pour faire un prochain journal, donc je vous partagerais peut-être ça dans quelques temps ;)
Ou alors ça finira dans la liste des projets à finir, que je finirais un jour … ! :D
# Incroyable !
Posté par Julien.D . En réponse au journal Coroutines, histoire d'un nouvel inutilitaire…. Évalué à 10.
Superbe annonce de recrutement, on aimerait en voir plus souvent des comme ça !
C'est vrai que l'ihm et les api OVH sont bien lentes malheureusement.
Top ce projet, mais il faudrait en faire une version web, les clients lourds et efficaces ne sont plus dans l'air du temps ;)
[^] # Re: Les choses changent ! Et dans le bon sens !
Posté par Julien.D . En réponse au lien Comment installer linux. Évalué à 5.
Oui on peut voir les choses comme ça …
Mais ça revient à dire que Microsoft quoi qu'ils fassent c'est des méchants.
Bloquer le dual boot, empêcher toute passerelle entre Windows et Linux : pas bien.
Expliquer aux gens qu'un dual boot est possible, mettre en place WSL2 permettant le partage bidirectionnel des fichiers entre Windows et Linux, comment installer Linux, proposer du Linux sur son cloud : pas bien ?
J'ai parfois l'impression que les libristes souhaitent davantage défendent l'image du vilain gros Microsoft que promouvoir Linux en tant que tel.
WSL2 oui ça peut éviter d'étudier la question de la bascule vers Linux, mais c'est surtout un pied dans la porte, et peut-être suffisant pour répondre aux besoins de certains. Il y a une atteinte à la pureté de Linux ? "
Et même en étant cynique, c'est pas génial que Microsoft n'arrive plus à lutter contre Linux ?
C'est parce que c'est pas fait avec les bonnes intentions ? Oui Microsoft pense avant tout pour l'argent, tant mieux c'est une entreprise, c'est son but. Et si finalement elle fait ce choix c'est que le marché l'incite à faire ça, en quoi ça serait une mauvaise chose ? C'est pas bien de faire de l'argent avec Linux ? Ou c'est pas bien parce que tu le fait pas depuis le début ?
Je ne suis pas naif pour autant et on peut en revanche rediscuter de certains points si ils participent upstream, si ils financent des projets, etc.
Mais c'est dommage je trouve de voir tout en noir en restant avec la vision datée de Microsoft vs Linux.
Après je suis peut-être la cible ou même l'agent d'un programme de propagande de Microsoft pour faire installer Linux uniquement via WSL2, mettre les serveurs sur Azure et rediffuser ces idées extrémistes sur un forum de libristes pour les pervertir, auquel cas je suis démasqué ;)
# Les choses changent ! Et dans le bon sens !
Posté par Julien.D . En réponse au lien Comment installer linux. Évalué à 4.
On peut être cynique et se dire qu'ils sentent peut-être le vent tourner ici et là (serveur, cloud, steamdeck, logiciel=>service), mais aussi être simplement heureux que Linux réussit finalement à faire plier Microsoft pour être reconnu, accepté, et lui faire une place dans son écosystème. Et peu importe les inévitables calculs financiers derrière. Linux y gagne dans un jeu qui n'est pas forcément à somme nulle.
# Se démarquer des autres en fournissant l'essentiel
Posté par Julien.D . En réponse au message Offre d'emploi Administrateur/administratrice système & devops à Makina Corpus. Évalué à 9.
Encore une offre sans rémunération, à croire que les employeurs pensent que cela n'est pas important dans la considération ;)
# La valeur qu'on leur donne :)
Posté par Julien.D . En réponse au journal En sécurité informatique, que valent les identificateurs CVE et les évaluations CVSS ?. Évalué à 7.
Ah cette éternelle question.
L'un des premiers problèmes, c'est comme le suggère NVD c'est la première communication de la CVE avec la note associée. Est-ce que la politique d'attribuer une note plus élevée faute d'informations au risque de faire paniquer les utilisateurs est la bonne ? Je dirais que oui, mais en lui ajoutant également une note sur la certitude de celle-ci, le temps que des analyses plus approfondies soient faites.
Cela permettrait de distinguer une CVE assurément critique d'une autre potentielle.
Les CVE à 9.8 qui n'en sont pas finalement pas font toujours l'effet d'un enfant qui criait au loup :)
Autre point qu'un score CVE ne remonte pas, c'est le scope d'exploitation de celui-ci, en prenant comme exemple curl, est-ce qu'il s'agit d'un problème exploitable du côté ligne de commande, ou en remote, et sur quel protocole ?
Est-ce que cette CVE peut amener à un leak d'information ou "juste" un DOS ? En fonction de la réponse, sa gestion par les acteurs concernés peut-être très différente.
J'ignore comment on pourrait normaliser ces aspects, mais associer une unique note à une faille de sécurité me semble très très réducteur, au point où les CVE ne sont pas utilisables sauf à y mettre une équipe dédiée en interne pour répondre à ces questions dans le contexte de l'acteur. (entreprise, collectivité, gouvernement, etc.)
J'ai déjà eu affaire à des outils d'analyse d'artefact qui remontent des centaines de CVE sur des projets interne, mais impossible de vraiment savoir à quel point elles sont vraiment critiques, ou même exploitables (une faille sur une fonctionnalité non utilisée par exemple)
Au final, malgré l'importance de la sécurité informatique aujourd'hui, je trouve que la communication et la gestion autour des failles de sécurité n'est pas au niveau des enjeux, ou du moins reste un luxe accessible uniquement aux acteurs ayant un gros budget à y consacrer.
Et je vous parle même pas de la polique des artefacts suite à la découverte d'une CVE, on garde les artefacts vulnérables combien de temps ? et les équipes responsables font comment ? Ils mettent à jour vers la dernière version ? Et si elle n'est pas supportée par l'environnement ? On coupe l'application ? On fait des dérogations ?
Bref, c'est à se demander pourquoi aujourd'hui les développeurs mettent encore des bugs dans leurs programmes …
[^] # Re: D'accord, mais pourquoi ?
Posté par Julien.D . En réponse au journal Le grand remplacement des navigateurs Web d’avant 2020. Évalué à 5.
Les téléphones, la question de la maintenance des mises à jour par les constructeurs se posent en effet, mais en général les problèmes n'arrivent pas aussi vite malgré tout, bien que cela semble malheureusement inévitable avec les acteurs actuels et la difficulté à reprendre la main sur ces petites bêtes.
Pour les télés, c'est un problème utilisateur, personne ne devrait leur laisser un accès à Internet :)
Et toujours passer par un mini-pc sur lequel on est administrateur pour consulter du contenu.
Malheureusement cette solution n'est pas toujours évidente pour les non-initiés, après l'usage de clés hdmi type chromecast qui s'est beaucoup répandu ces dernières années permet de redonner une jeunesse au "logiciel de la télé" en déportant le problème initial certes.
# D'accord, mais pourquoi ?
Posté par Julien.D . En réponse au journal Le grand remplacement des navigateurs Web d’avant 2020. Évalué à 10. Dernière modification le 24 août 2023 à 13:33.
Je peux comprendre l'aversion au javascript, sans en être un grand défendeur, bien utilisé, il permet d'ajouter des fonctionnalités à des sites sans lequel cela ne serait pas possible. Après nous seront d'accord pour dire que beaucoup de sites pourraient être fait sans javascript, être plus rapide et plus efficace pour tout le monde, ça c'est certain.
Maintenant, quelle version de Firefox utilises-tu ? Dans quel environnement te trouves-tu pour rester sur une ancienne version de Firefox, probablement non maintenue ? Pour quel bénéfice à côté du danger potentiel que cela représente ? Je doute que désactiver l'exécution du javascript 90 % du temps te protège de tout.
Les pc de plus de 3 ans accèdent très bien au web d'aujourd'hui, mais il est possible qu'en effet, ne pas faire de mise à jour devant 3 ans de ton navigateur puisse te causer des problèmes, et oui le web évolue rapidement, et la rétrocompatiblité a ses limites techniques (ou de budget ;) )
Et les standards sont parfois définis par l'usage, tout simplement. Ce n'est pas forcément quelque chose de mal.
Le Web Environment Integrity est un danger, mais cela me semble assez différent malgré tout.
Faites vos mises à jour non ?
[^] # Re: poster un tel journal est dangereux.
Posté par Julien.D . En réponse au journal Une simulation de drone de combat qui tourne mal. Évalué à 4.
Attention, suivre ce lien peut vous attirer des problèmes
https://fr.wikipedia.org/wiki/LessWrong#Basilic_de_Roko
# Finalement, rien de perdu
Posté par Julien.D . En réponse au journal [Audible] Encore un exemple d' "achats" qui s'envolent aujourd'hui. Évalué à 10.
Je précise tout de même que comme j’ai bien sauvegardé tous ces livres dans un format standard depuis toutes ces années, les changements d’Audible n’ont pas eu de conséquences pour moi, si ce n’est que je n’achèterais plus chez eux.
Si je n’avais pas fait ça, aujourd’hui je serais totalement dépendant d’eux pour accéder au contenu que j’ai payé.
Faites attention à vos contenus et à vos sauvegardes ;)
# Tqdm
Posté par Julien.D . En réponse au message iterator et barre de progression. Évalué à 10.
Salut !
T'as la lib tqdm pour faire ça en une ligne ;)
On peux faire beaucoup de choses avec, mais dans le cas le plus simple, comme ici, il suffit de faire ça :
[^] # Re: Installation sur MacOS ?
Posté par Julien.D . En réponse au journal Offpunk 1.7. Évalué à 4.
Typo, c'est readability-lxml ;)
(et oui readability existe aussi)
il faut toujours faire attention aux noms des libs, on a vite fait d'installer un mauvais package !
[^] # Re: Avec support OpenWRT ?
Posté par Julien.D . En réponse au journal Un switch beaucoup trop à l'écoute .... Évalué à 1.
J'y ai pensé à un moment, et je ne sais plus pourquoi c'est sorti de mes critères de choix … Probablement l'envie de voir un peu ce qui existe ailleurs (bien que propriétaire :/)
En effet OpenWRT c'est bien sympa et c'est très personnalisable ! Merci de la suggestion !
Ah oui, dès que c'est POE, ça souffle ces bêtes là :/
[^] # Re: quid si tu te deconnectes de l'interface web ?
Posté par Julien.D . En réponse au journal Un switch beaucoup trop à l'écoute .... Évalué à 4.
Comme expliqué dans le journal, en effet si je me deconnecte, le curl ne fonctionne plus ;)
Mais il faut m'expliquer "le cas prévu", parce que là j'y vois un "That's not a bug, that's a feature!" :D Je ne m'attends pas à ce qu'un autre programme que mon navigateur puisse utiliser l'accès que je viens d'ouvrir en me connectant sur l'interface web du switch.
[^] # Re: Merci à tous pour vos retours
Posté par Julien.D . En réponse au journal Douze facteurs dans ta tronche. Évalué à 4.
Je ne vois pas pour ma part de raisons pour lesquelles cela s'appliquerait plus particulièrement aux micro-services. Simplement, le non respect de ces bonnes pratiques s'avère plus (et très) vite périlleux quand le nombre de services, d'instances et d'interconnexions augmentent. Libre à toi de ne pas suivre ces recommandations, mais remarque que parmi le public assez calé ici, personne ne semble vraiment les remettre en cause, alors sans que ce soit un argument d'autorité, envisage que cela s'applique de façon assez générale à toutes les applications. Ne cédons pas non plus au dogme malgré tout et n'oublions pas qu'il s'agit avant tout de conseils ;)
# C'est bien simple
Posté par Julien.D . En réponse au message [résolu] Problème de proba. Évalué à 7.
Bonjour,
Soit j'ai pas compris, soit c'est tout simplement (python) :
# Alternative déjà dispo
Posté par Julien.D . En réponse au message renommage de fichiers en masse. Évalué à 3. Dernière modification le 22 février 2022 à 18:02.
Bonjour,
Je ne sais pas si c'est un exercice ou si tu n'as pas trouvé ton bonheur ailleurs, mais tu peux jeter un coup d'oeil à detox, utilitaire en ligne de commande pour retirer les caractères et espaces qui peuvent poser problème dans les scripts en général ou dans les systèmes de fichiers, je l'utilise parfois sur des milliers de fichiers et ça fait le job ;)
(rien à voir, mais ton site perso est cassé :/ )
# KVM manquant sur tes écrans ?
Posté par Julien.D . En réponse au message Matos télétravail. Évalué à 2.
Bonjour,
J'ai l'impression que tu connectes tes pc sur les deux entrées d'un seul écran (et pareil pour le deuxième).
Tu devrais plutôt prendre un kvm clavier/souris/écran. Tu branches donc tes deux ordinateurs sur le kvm et le kvm sur l'écran et c'est lui qui fait le switch pour toi. ;)
C'est ce que j'ai chez moi et c'est fonctionne bien.
Ou j'ai pas compris ?
(jamais vu de kvm pour switch deux entrées vers deux sorties en revanche, donc pour gérer tes deux écrans, il t'en faudrait un autre en plus)
# Connexion filaire ?
Posté par Julien.D . En réponse au message [ HS ] Radiocommande pour un mini sous marin. Évalué à 3.
Je sais bien que cette proposition ne semble pas répondre à ton besoin initialement, mais parfois on peut oublier les trucs les plus simples :)
As-tu une raison particulière pour vouloir faire du télécommandé plutôt qu'une commande filaire comme ici ?
Outre que ça peux te simplifier la commande, ça t'ouvre plus facilement la voie pour de la vidéo si tu as ce besoin plus tard et aussi une sécurité pour pouvoir récupérer le sous-engin en cas de problème.