Mais ceci dit, quand je voit les chiffres (surtout sur talk, et sur reddit/voat), je me pose la question.
On m'avais dit qu'une fois que Centos 7 arriverait, les gens partiraient en masse (donc en juillet 2014 ). Puis on a dit "tu verras quand Debian sortira" ( avril 2015 ). Et ensuite "quand ça toucheras Ubuntu" (octobre 2015). Puis "nan mais je voulais dire Ubuntu stable" (avril 2016).
On m'avais dit "les gens vont quitter Linux", donc naturellement, je regarde sur les BSD, qui me paraissent quand même les endroits naturels vers ou bouger, car c'est des OS matures et qui marchent.
Je sais pas comment mesurer le nombre d'utilisateur, mais je pense que si ils augmentent fortement, alors l'augmentation va se voir dans divers indicateurs, tel que le nombre de posts sur les listes.
J'ai pas trouvé de liste pour freebsd qui pourraient correspondre, mais pareil, j'ai pas vu une grosse augmentation d'activité.
Alors, est ce que tout le monde attends que Devuan sorte de beta pour migrer, ou est ce que finalement, l'exode n'a pas eu lieu ?
Ou est ce que bien sur, mes estimations sont fausses, et pour voir l'exode, il faut que je regarde ailleurs (avec un ailleurs qui ne soit pas autour de moi non plus, car je pense que je suis le seul de mon entourage à apprendre à utiliser un BSD plus en profondeur, et dans mon cas, c'est en partie pour des raisons pros).
Plus ça coute cher, plus ça va finir par faire mal aux portefeuilles et en effet rendre le truc plus compliqué.
Mais plus ça coute cher, plus il y a de raisons de rendre ça plus facile.
Soit par des lois (cf le FBI par exemple), soit en faisant appel au secteur privé (HT, gamma group), qui va voir en effet une opportunité business.
Et bon, je doute aussi que tout les services secrets débordent d'experts. Ils doivent en avoir bien sur, mais pas non plus des tonnes. Et donc partir du principe qu'ils misent surtout sur le fait qu'ils ont des gens dédiés (cf la présentation de l'équipe TAO durant la conf enigma), et que leur force, c'est surtout d'avoir du temps pour être méticuleux.
Et cf le catalogue de la NSA, il y a aussi de la refacturation interne pour le matos, c'est donc pas non plus la fête du slip.
(encore une fois, ça reste une administration, avec le secret défense et tout, donc ça doit être lourd procéduralement, d'autant plus après les leaks de snowden).
J'ai aussi l'impression qu'ils ont juste tendance à bruteforcer les trucs ( "alors, on va prendre une tonne de serveur mysql pour stocker xkeyscore, c'est plus simple") la ou Google (pour donner un exemple de boite avec des ingés et des besoins de monter à l’échelle) a refait toute l'infra from scratch, de part une pression plus forte à être compétitif (et sans doute plus d'ingés que la NSA).
Donc ouais, je pense que "rendre le truc plus cher" est une bonne idée. De la même façon qu'on juge les coffres par le temps pour être percés plus que savoir si on rentre ou pas. C'est plus honnête et logique vis à vis du modèle d'attaque courant.
Alors la question est pas pour moi, mais ça dépend du service et de l'attaquant.
Tu peux avoir une VM (sans doute pas ton cas), et l'hébergeur peut en théorie et "trivialement" faire des trucs à partir de ça (genre 'freeze de la mémoire' et extraction des clés depuis le dump).
Techniquement, une attaque du même genre à base de coldboot est possible: https://en.wikipedia.org/wiki/Cold_boot_attack . Ca implique un reboot du serveur et 5 ou 6 minutes de downtime au mieux.
Techniquement, une attaque à base de modification de l'initrd est aussi possible: https://github.com/GDSSecurity/EvilAbigail
Ça requiert aussi un reboot, et ça laisse des traces.
Théoriquement, tu peux aussi dumper la ram via jtag/openocd en fonction de l'archi de la machine. Je sais que ça passe pour de l'arm embarqué (ou du mips), mais je sais pas du tout pour les archis plus classiques (genre x86 ou serveur). En fonction de la machine, ça requiert sans doute du matos et des trucs spéciaux et peut être éteindre la machine pour mettre les connecteurs. C'est une piste à explorer AMHA.
Mais non, à part la VM, y a rien de trivial mais ça dépend vraiment des attaquants.
Ça requiert en effet 2 serveurs, mais tu peux dire "utilise le réseau et le tpm", ce qui fait qu'un attaquant volant le disque doit prendre le serveur, la carte mère et répliquer le réseau.
Ça ne réponds pas forcément à tout types d'attaques, bien sur, mais ça me semble un élément de réponse.
Grosso modo le même genre de souci que la multiplication des bibliothèque qui retourne les chaines en js. Ou que refaire sa crypto. Si tu fait plus que modifier le nom en prenant l'existant, y a des chances que ça soit incorrect.
Dans les comptages c'est compliqué ? Ne comptons pas mon code,
il est inutile et pas intéressant ! Il y a des subtilités dans
la licence ? Ma licence est là pour dire que j'abandonne tous
les droits possibles. C'est pas cool pour les empaqueteurs ?
Il n'y a pas de packaging de prévu à court et moyen terme.
Visiblement, tu sembles ne voir que dans le cas particulier de tes projets sans chercher à voir une vision plus haut niveau.
Déjà, tu confonds 'avoir sa licence' avec 'avoir une copie de la WTFPL à son nom'. C'est 2 choses différentes. Parce que quand la licence est subtilement changé (au delà de juste changer le nom), ça cause d'autres soucis. Genre tel personne qui dit que le code est utiliser "for good and not for evil".
Et donc rajouter des licences qui ne change rien, ça rajoute juste du bruit, et dire que c'est ok, ça envoie un message plus compliqué ("alors faire sa license, c'est pas super, sauf si tu change rien, auquel cas, c'est pas un souci") qui n'aboutit qu'à embrouiller les gens. On a encore des gens qui pensent que "free software" == "gratuit", donc je pense que si on peut s'éviter de rajouter des choses, ça serait mieux.
Ensuite, peut être que tu veux pas non plus te préoccuper de ça, et je peux pas te forcer bien sur. Tu as le droit de faire ta licence, mais je pense que c'est la responsabilité de toute la communauté du libre de pas se tirer dans le pied comme ça.
Je peux difficilement ne pas me sentir concerné par cette
assertion. La question n'est pas d'avoir le « melon », d'être
« moche » ou « narcissique » (je ne crois mettre aussi
violemment fait reprendre sur linuxfr auparavant…).
Je ne voulais pas te viser (sinon, j'aurais répondu directement à ton commentaire), mais je comprends que tu puisses le percevoir comme tel, et je suis désolé que mes propos (grossiers et provocateurs) t'es visiblement mis mal à l'aise pour avoir fait un truc qui est ton droit.
Quel est le rapport avec les licences ?
C'est un exemple de dérive du mode de pensée de "je m'occupe que de tel truc, le reste est trop compliqué", et la rapport avec les licences, c'est qu'il y a assez souvent des gens qui trouvent les choses trop compliqués (cf par exemple ta propre réponse).
Non c'est bien plus vieux que ça.
Ma foi, je suis pas sur. Mon souvenir des discussions d'il y a 15 ans, c'est que l'argument "coder pour le plaisir" n'avais pas l'importance qu'il a maintenant dans les discussions de licenses (GPL vs BSD). Bien sur, le coté "je ne veux pas donner de restriction" était la comme position philosophique assumé par rapport à la culpabilisation des partisans de la GPL, mais c'est un argument un chouia différent.
Avec l’émergence de GitHub, je pense qu'il y a eu un fossé générationnel qui est apparu entre les gens qui faisaient du libre pour changer le monde (à tort ou à raison) et les gens qui en font parce que la collaboration, c'est bien. C'est bien sur une approximation tracé dans des grandes lignes, et la réalité est sans doute plus subtil, mais il y a quand même quelque chose.
Il y a des gens qui veulent coder et partager leur code, pas
donner un tas de restriction parce que c'est compliqué et que
ça rend tout compliqué. Si vraiment tu rencontre un problème
tu limite les choses en changeant de licence, mais par défaut
non.
Je suis pas non plus vraiment d'accord pour dire que ça rende tout si compliqué. Si c'était le cas, je pense qu'il y aurait plus de matos avec une variante de netbsd/freebsd plutôt que Linux. Surtout dans la mesure ou on arrête pas de dire que le code de Linux est pas claire, que les BSD ont une meilleur pile réseau et que la GPL est trop compliqué.
Donc soit plusieurs de ses affirmations sont fausses sur les BSD, soit la GPL est pas si compliqué. Ou bien sur, les gens ne font pas des choix rationnels
Et en fait, quand on dit "la GPL est compliqué", j'ai parfois le sentiment que c'est surtout dans le cas ou:
- tu veux faire du proprio
- tu veux faire chier tes concurrents (cough zfs cough)
Les distributions Linux (qui sont des distributeurs, et donc concernés pas mal par le souci) ne passent pas un temps fou sur les licences (à part vérifier que le code est bien libre en premier lieu, ou dans le cas de Fedora, faire gaffe aux histoires de brevets, qu'on a tendance à totalement occulter malgré tout les emmerdes que ça apporte au secteur).
Les licences courtes ont le vent en poupe pour divers raisons.
D'un coté, on a des boites qui vont poussés des licences comme les BSD/MIT dans le but de pouvoir faire du proprio, tout en racontant un chouia de FUD sur la GPL (au pire), ou en interdisant la GPL, ce qui grave dans l'esprit des gens que "c'est trop compliqué, on va prendre une BSD".
Ensuite, il y a aussi toute une montée de gens qui font du libre parce que c'est cool, mais qui veulent pas se fatiguer avec le reste. Choisir une licence, c'est compliqué, prendre un bug tracker qui tient la route (genre autre chose que les issues github), c'est compliqué. Faire de la maintenance, c'est compliqué. En gros, tout une partie des gens qui veulent juste coder et rien de plus, une image AMHA fortement influence par les articles de Paul Graham et la mouvance startup.
Bien sur, dire aux gens "tu t'occupes de ça, je me charge du reste", c'est un peu la porte ouverte aux risques d'abus. Par exemple, j'ai en tête une interview (https://motherboard.vice.com/read/the-hacking-team-defectors) d'un des anciens de Hacking Team, ou il a raconté qu'après avoir eu vent d'un rapport liant la société à des abus des droits de l'hommes, les chefs ont décidés de compartimenter les équipes au contact des clients et les équipes d'ingénieurs, afin d'éviter les discussions. Et sans aller dans des cas aussi extrêmes, le fait que le commercial gère la presta en vendant n'importe quoi et que l'ingé le fasse quand même, c'est bien un des trucs qu'on reproche aux SSII.
Donc oui, je pense qu'il y a tout une pression qui pousse à prendre une licence plus courte de la part des développeurs Parfois c'est juste le fait que ça les renvoient au fait qu'ils sont pas juristes et écorne l'image de toute puissance qu'on leur renvoie sans arrêt. Parfois, c'est du FUD. Parfois, c'est aussi une préférence.
J'écris plein de trucs (des modules ansible) sous la MIT parce que je pense que c'est important que les gens utilisent ça pour leur truc interne (ie, souvent proprio). Mais je reconnais aussi l'importance de la GPL pour la santé de l'écosystème du libre, et ça m'attriste de lire ici ou la des trucs sur le fait que c'est trop compliqué, alors que la GPL a eu des tas d'effets positifs. Par exemple, c'est une des raisons d'avoir openwrt en premier lieu. A son tour, openwrt a bien aidé pour les mouvements comme freifunk et france-wireless, ce qui a également permis de faire avancer la recherche dans les réseaux et apporter le réseau à des endroits ou il est pas. Bien sur, on peut pas dire que la GPL a tout fait, c'est avant le travail des bénévoles et non bénévoles qui a permis tout ça. Mais ça a sans doute donner un bon coup d'accélération à ce niveau.
On peut parler de cyanogenmod aussi, comme autre exemple.
Et pour répondre à la question, non, j'ai pas ma propre licence, parce que je pense que ça serait une connerie. Je suis globalement satisfait des choix déjà existant, et j'ai pas le melon au point de croire que ma personne requiert ma propre licence que j'ai torché au coin d'une table après 2 bières. Il y a quand même de quoi faire en matière de logiciel libres, entre les licences qui ont un but politique (genre la GPL et co), et les licences de nihilistes (genre la BSD, la MIT).
Ne pas mettre une version sur 1 seule page comme lien aurait sans doute suffit.
La, quelqu'un clique et charge toute les images d'un coup, donc bon. Au contraire, mettre des pages plus petites aurait en effet sans doute pris plus de requêtes http, mais moins de bp.
Mais je pense aussi que les banques vont réagir le jour ou ça va toucher leur porte monnaie directement, et ça implique d'avoir un scandale médiatique. Quand quelqu'un a un souci chez McDo (comme y a 2 ou 3 ans), les ventes de Quick et de tout le secteur prennent 30% dans la vue. Une attaque à large échelle pourrait avoir le même effet, sauf que logiquement, aucun criminel ne veut qu'une banque améliore ses protections, donc il y a incitation à ne pas être trop gourmand.
L'immense majorité des patients sont peu intéressants en termes
de pédagogie. Parce qu'ils ont tous les mêmes pathologies, et
que quand on en a vu un, on les a tous vus.
Je ne voulais réagir que sur la fin du journal. Le reste, je laisse le reste du monde apporter son avis, et je suppose que mon avis est similaire a un avis déjà exprimé, donc n'apporte rien.
D'un côté ton post souligne le problème de trouver
(éventuellement) un modèle économique pour financer le
logiciel libre.
Je pense que des modèles, y en a. Des modèles efficaces, je sais pas, mais je pense que c'est indépendant du logiciel libre, même si j'ai pas de données pour le prouver. Des boites qui marchent pas, y en a partout, donc savoir si le fait de publier du libre a un impact ou pas, je pense pas qu'on puisse le déduire. Tu peux très bien suivre la licence et ne pas réussir à motiver une communauté pour que ça décolle. Tu peux faire un soft libre qui est un succès sans que ça soit ton cœur de métier (exemple, rails, django), mais qui crée tout un pan de l'industrie.
Et bon, j'ai pas parlé non plus de la tendance à demander d'avoir un compte github qui sert de portfolio pour les devs (vu que j'ai croisé ça rarement), ou la condition est donc d'avoir soit eu la chance de bosser sur du libre, soit d'avoir pris un temps non négligeable pour coder en dehors du travail. On va pas demander à un plombier de prouver qu'il bricole en dehors de son travail que je sache, mais ça semble normal pour les devs, parce qu'on estime que faire ce qu'on aime, ç'est un substitut adéquat à un bout de salaire.
Et ça semble normal aussi parce qu'on ressort le mythe du codeur solitaire qui peut pas se retenir de coder comme l'archétype de la profession. Tout en occultant le fait que ç'est un travail d'équipe, que le dev n'est qu'un maillon dans la chaine de production logiciel, que passion != compétence, et tout ça.
Bien sur que les bénévoles existent et sont nombreux, mais ça ne doit pas apparaitre comme le seul type de contributeurs, et pas uniquement parce que c'est factuellement incorrect, mais parce que c'est dommageable.
Oui, bon, la ça n'a rien à voir avec le nombre de banques ou
leur qualité, juste un cas tellement rare que c'est chiant
pour tout le monde de gérer ça.
Mon souci dans ce cas la n'est pas tant de m'imposer un truc. C'est de me mentir purement et simplement 2 fois d'affilée quand je pose la question de façon explicite.
Trop de sécurité tue la sécurité. Il faut savoir adapter la
sécurité au besoin.
ça tombe bien, j'ai bossé dans la sécurité après avoir fait mes études dedans, donc j'en suis parfaitement conscient. Quand je dit qu'ils sont incapables, c'est pas basé sur le fait que ça me fait chier. C'est basé sur le fait qu'ils ont du retard depuis toujours.
Et l'expérience montre que ça coûte moins cher de gérer les
rares cas où ça foire que de faire chier 99% des gens avec
plus, c'est tout.
La sécurité, c'est pas forcément faire chier les gens. C'est une fausse dichotomie et le genre de connerie qu'on entends quand quelqu'un qui connait pas grand chose en parle. Pour donner un exemple, d'autres banques ont mis en place l'authentification 2 facteurs plus vite et de manière plus sur que ma banque. Alors bien sur, ça aurait sans doute couter plus cher pour eux sur le coup, mais quand après avoir vu qu'un compte WoW avait une authentification plus sur que ma banque (ou du moins, c'était le cas vers 2010), je pense que je peux raisonnablement dire "c'est des guignols". Et pas forcément les pauvres ingés en charge, voir même leur responsables, car j'imagine qu'ils doivent se battre contre un système opaque limitant tout changement, parce que tout l'organisation vit encore au moyen age.
Je ne sais pas où tu es, mais sérieux la tu peux quand même te
poser la question que tu restes au plus mauvais endroit.
La caisse d'épargne. Et oui, je reste principalement par flemme pour le moment. Pas la flemme de partir, la flemme de finir un tableau de comparaison et de décider sur la shortlist des banques choisis.
Mais je pense aussi qu'à un moment, les banques vont finir par faire comme les assurances (ou du moins, comme une certaine assurance française en 3 lettres que je ne citerais pas), et commencer à se bouger après avoir réalisé que peut être, un des géants du web qui investit massivement dans les statistiques et le fait d'avoir des infos sur les gens pourrait aller sur leur terrain.
On pourrait maintenant faire une transition vers le travail du
développement des logiciels libres, qui rassemble, dans beaucoup
de cas, une communauté de programmeurs.
C'est pas très cool d'occulter complétement le travail des non programmeurs et de perpétuer l'idée que c'est secondaire.
Pour caricaturer, on peut donc dénoncer un véritable travail au
noir organisé où, horreur, des travailleurs ne seraient même pas
rémunérés. Mais quand nos dirigeants y verront-ils un manque à
gagner cruel aux cotisations organiques ?
Il y a déjà suffisamment de personnes de la communauté qui se pose la question de comment gagner leur vie, donc je ne pense pas que ça soit une caricature, et vraiment une vraie question.
Il y a aussi suffisamment d'exemple de produit ou des SSIIs ont juste repris le soft pour se faire payer des prestas à prix d'or. L'exemple courant, c'est nessus, qui est devenu proprio, mais j'avais aussi en tête MNF (mandrake network firewall), ou on peut regarder grsec et j'ai facile 2/3 autres histoires dans le même domaine (ie, la sécurité informatique, parce que c'est quand même un milieu sans grande morale (HT, gammagroup, etc).
Et bon, se dire "on travaille gratos", c'est aussi perpétuer le mythe que 1) le libre ne coute rien à produire 2) l'informatique mérite pas vraiment un salaire, vu qu'il y a des gens qui le font gratos. Mythe qu'on retrouve aussi pour les designers par exemple ("mon cousin de 10 ans le fait pour 100€, pourquoi je devrait vous payer ?").
Ça occulte complétement le fait que les gens qui le font sur leur temps libre le font assez souvent parce qu'ils ont déjà un salaire suffisant et du temps libre, chose que tout le monde, loin de la, n'a pas.
j'ai demandé à ne pas avoir de NFC sur ma carte. Ma banque m'a dit que c'est sur, ne comprenant pas ce que je dit quand j'ai parlé de doute sur la vie privé, mais me disant qu'ils vont le désactiver. Ils l'ont pas fait (ie, non seulement j'ai le nfc sur la carte, mais en plus, le paiement sans fil est pas désactiver). Double foutage de gueule, par 2 conseillers au téléphone.
pour une raison qui m'échappe, mais qui me parait pas être en ma faveur, je suis soit obligé d'appeler ma banque au tel, soit de venir sur place, soit de passer par leur site web pour interagir. Leur site web a été fermé pendant 1 mois ou 2 plus d'une fois suite à des campagnes de fishing, donc j'avais la possibilité de venir à l'agence. A 300 km de chez moi, car la banque, comme le reste de l'industrie, est régionalisé. Pourquoi, je sais pas, mais je suis sur que c'est pas pour me donner un meilleur service.
niveau sécu, c'est un peu n'imp. Je râle pas trop parce que ça joue parfois en ma faveur, mais ça fait peur. Genre, un simple coup de fil avec des informations publiques suffit à faire certaines opérations.
Ils sont pas non plus vraiment réactif. SI je dépasse le plafond de ma carte, je doit attendre un jour ouvré. Si je veux rajouter un compte bénéficiaire pour un virement sur le web, je doit attendre 72h incompressible.
Et en fait, c'est pareil presque partout. J'arrête pas de me dire qu'il faut que je change de banque, mais j'arrive pas vraiment à choisir la nouvelle. Et en fait, peut être que la solution, c'est faire comme mes amis, et avoir 2 banques. Parce que finalement, peut être qu'en effet, on peut pas faire confiance à une seul banque pour suffire. Y a 0 conséquences pour elles, donc pourquoi elles vont se fatiguer ?
Tu part du principe qu'il existe une bonne boulangerie. Mais les banques de détails semblent miser grandement sur le fait que personne ne va changer et que les autres banques appliquent les mêmes politiques vis à vis des clients.
Tout le monde qui regarde un peu sa banque va te trouver un truc à redire. Demande autour de toi.
J'avais pas entendu ça, mais non, je parlait plus de juste bloquer les fonds de quelqu'un et l’empêcher de dépenser son argent, tout comme des gens sont assignés à résidence.
C'est du pur bullshit. Prends une prison. Y a pas grand chose de plus surveillé dans le monde, et pourtant, les prisonniers arrivent à communiquer avec l’extérieur, arrivent à faire rentrer des trucs et font preuve d'ingéniosité pour trouver des armes.
C'est bien la preuve que même la surveillance constante n'apporte rien et ne ralentit rien.
Au final, ça reviens simplement à une question d'équilibre des pouvoirs, et la, le pouvoir va plus vraiment être équilibré.
Le traçage du trafic si c'est vraiment efficace, ça va de paire avec le traçage des dépenses des voisins "parce que tu as accés et que tu es curieux". Ça va aller de paire avec quelqu'un ayant accès aux données qui va s'en servir pour stalker son ex, de la même façon que des gens avec des accès abusent de ses accès pour lire les mails des gens (et j'ai déjà vu le cas dans ma carrière).
Autre example, les gens de la NSA qui abusent des moyens d'interceptions pour choper des photos de nus qui transitent http://arstechnica.com/tech-policy/2014/07/snowden-nsa-employees-routinely-pass-around-intercepted-nude-photos/ )
Parce que faut bien voir que personne ne va surveiller qui regarde quoi, vu que c'est déjà ce qui se passe partout. Si même la NSA n'a pas lu les logs montrant qu'un contractor a chopé une tonne d'info, je suis pas sur de voir ce qu'un groupe avec moins de pognon et des données moins sensibles va réussir à faire.
CB + code ? Mes parents me l'ont fait souvent dans ma jeunesse
sans difficulté ce coup là.
C'est quand même curieux que tu ne soit pas à l'aise de te trimballer avec 50€ mais que ça te paraisse normal de filer une carte capable de retirer beaucoup plus à un gamin qui ferait sans doute pas le malin face à un gamin plus grand que lui et mal intentionné. Une fois qu'il a la carte et le code, y a quand même pas grand chose qui va lui interdire de dépenser plus que le prix de ta baguette. (genre, si il est organisé, il pourrait juste prendre une crypto-monnaie quelconque).
Mais au delà de la surveillance, ça laisse quand même vachement trop de pouvoir à l'état.
Si demain au lieu d'utiliser l'état d'urgence pour interdire de séjour les gens sur des manifs, l'état bloque les dépenses de certaines personnes, ça va être vachement handicapant. Paypal a bloqué Wikileaks, par exemple: https://www.wired.com/2010/12/paypal-wikileaks/ (le même paypal fondé par un mec qui se réclame pour la liberté d'expression, mais qui finance des procès contre un site web (Gawker) qui a publié des trucs qu'il voulait garder secret (à savoir son orientation sexuel))
Si après demain, on se retrouve à avoir un gouvernement plus proche de Vichy qu'on voudrait, on serait pas non plus super jouasse de filer autant de pouvoir aux banques et aux organisations gouvernementales.
Pas vraiment, y a des boites qui se chargent de ça. Une fois que tu as trouvé un pays ou il faut juste faire un peu de papier pour faire une boite, tu as juste à faire un truc qui soit long à démêler et ou tu peux automatiser les transferts de fonds.
IE, dépenser du pognon et le faire passer partout, c'est automatisé et direct, car il y a une volontée de faire circuler l'argent (ce qui est la base d'une économie qui marche d'un point de vue théorique, si je me souviens bien, donc on cherche à réduire les frictions à ce niveau).
Auditer par contre, c'est souvent manuel et long, vu qu'il faut chaque fois obtenir l'info dans un format peut être différent, sans doute sur papier (surtout si tu veux ralentir l'analyse, tu fait le minimum), rentrer ça dans une machine (avec tout les risques de typo), examiner tout et recommencer à l'étape suivante quand tu as vu ou l'argent est parti.
Une fois que quelqu'un a monté ses 200 sociétés écrans et qu'elles s'appartiennent toute les unes aux autres, ce quelqu'un a juste à "louer" les sociétés pour masquer les flux. Si le coup d'entretien et de création est minuscule, ça se rentabilise assez vite.
C'est pas tant le fait d'être basé sur fuse que le fait d'être en réseau (et potentiellement distribué), vu que plein de petit fichier, ça implique plus de lookups de meta données qu'un gros fichier à taille équivalente.
Ceph souffre aussi du même souci, et c'est pas basé sur fuse dans mon souvenir.
C'est vrai mais la probabilité que GitHub change est faible
C'est amusant, parce que justement, Github a changé. Par exemple, ils ont changés les prix. J'ai entendu parlé de client avec pleins de repo publiques et quelques dépôts privés, et dont les tarifs passeraient de 50 par mois, vu que ça compte maintenant par personne au lieu de payer par dépot.
Github a aussi changé car ils étaient en train de s'endormir (avant d'avoir une lettre de gens pour dire "votre issue tracker est pourri", on peut pas dire que grand monde faisait des changements sur ce bout du logiciel)
Ensuite, pour le moment, les changements sont positifs (à mon sens) pour la majorité, mais je pense que c'est pas ce que tout le monde croit. Par exemple, il y a tout une frange des utilisateurs qui semble s'opposer aux positions actuelles de Github (http://dancerscode.com/blog/why-the-open-code-of-conduct-isnt-for-me/ et http://garrett.damore.org/2016/02/leaving-github.html pour 2 exemples). D'un coté, je me dit que c'est des opinions minoritaires, mais de l'autre, c'est souvent une source de discussions des plus chaudes et donc peut être que c'est moins minoritaires que je le crois.
Et je ne suis pas super confiant dans l'avenir de Github, car d'une part, le nombre de projet libre ne va faire qu'augmenter, donc les coûts de github aussi, mais je ne voit pas forcément le nombre de clients grimper aussi vite (ne serais ce que parce les startups semblent avoir moins de fond qu'avant, ce qui me rappelle la première bulle).
Je suppose que les changements de tarif sont aussi la pour ça, retirer un chouia plus de pognon des boites qui utilisent github maintenant qu'ils estiment être en position de force, afin d'absorber la crise qui vient.
Donc j'attendrais perso de voir ce que ça va donner d'ici 2 ans.
Tu ne parles pas non plus du principal souci, à savoir les divers facteurs humains, en estimant que c'est évident de décider qu'un projet est "over engineeré". Les gens sont rarement d'accord sur le sujet et y a plusieurs raisons pour ça.
Par exemple, les gens vont avoir tendance à sur estimer leur capacité (effet dunning kruger), et donc à voir de l'over enginering la ou il y a juste de leur part un manque de compréhension.
Ou voir du coté des choses qu'on a à peine commencé à explorer, comme l'effet Ikea (https://en.wikipedia.org/wiki/IKEA_effect), et comment les gens vont préférer ce qu'ils ont montés et dans lequel ils ont investis du temps.
De surcroit, tu ne parles pas du fait que tout le monde n'a pas forcément la même idée de ce qui doit être fait, en partie parce que les spécifications sont souvent flous, et changeantes, et que certaines personnes vont avoir le sentiment qu'on va vouloir faire d'autres choses plus tard et qu'il faut prendre ça en compte
Exemple, je déploie un site statique. Je fait un script de 5 lignes qui buildent tout. Parfait. Ensuite, on veut refaire ça. Du coup, mon script commence à avoir des paramétres, et je fait un role ansible pour déployer. Et puis, on commence à utiliser parfois des submodules, et parfois pas. Etc. Résultat, maintenant, mon script fait 243 lignes.
Pour le cas de base, il est clairement trop complexe. Pour tout les cas de bases des autres sites, il est pas encore suffisant, vu que les demandes ont évolués, et que je me retrouve à refactoriser les demandes dans 1 script.
Et pourtant, je pense pas que ça soit de l'over engineering, par rapport à l'alternative d'avoir 15 scripts presque semblables, voir pire, un logiciel pour produire les 15 scripts simples.
Et tu dit qu'un logiciel compliqué ne va pas avoir de contributions, mais c'est non évident. Au contraire, si le logiciel ne réponds pas aux besoins, il ne va pas attirer des gens pour s'en occuper.
Prends par exemple apache. Le système de module le rends plus complexe qu'un logiciel sans le même système. Mais pourtant, c'est ce qui permet d'avoir des contributions externes.
Donc non, l'over engineering, c'est comme la sécurité, c'est pas un état binaire, ça dépend des besoins qui doivent être précisés.
mais je ne vois pas en quoi du télétravail nécessite un bureau,
à part pour le confort donc autre chose que "clapier à lapin"
ça fait parti en général des recommandations des gens qui font du travail à la maison depuis longtemps (car je distingue "télétravail" de "travail à domicile"). Les raisons sont de se donner un rythme et un cadre (ie, j'arrete de bosser quand je suis en dehors du bureau), et de signaler à la famille qu'on est pas dispo ("non, maman travaille quand elle est dans la pièce avec le bureau, alors tu ne viens pas la déranger").
Et bien sur, les raisons classiques comme "avoir une vrai chaise de boulot", "poser un écran de taille suffisante", etc.
Mais en effet, si tu fait du travail à la maison de façon occasionnel et le reste chez des clients, au bureau, d'une bibliothèque, des conférences ou dans un bus, tu as pas forcément besoin d'investir dans tout ça. Et ça dépend aussi en effet du travail que tu as.
Mais aprés avoir vu des chambres en cité U de 9 m², je qualifierais pas non plus un 30 m² de clapier (bien que je trouverais ça sans doute un peu petit à mon gout)
# Ça manque d'info pour lancer un troll
Posté par Misc (site web personnel) . En réponse au journal Devuan β. Évalué à 10.
Tu peux rajouter aussi que la distribution grimpe à toute vitesse dans distrowatch, vu qu'ils sont à 77 maintenant, et 100 y a pas longtemps (https://www.mail-archive.com/dng@lists.dyne.org/msg10935.html).
Tu pourrais dire qu'il y a planet devuan (https://www.mail-archive.com/dng@lists.dyne.org/msg10952.html).
Tu pourrais aussi dire qu'il y a une communauté présente sur reddit (https://www.reddit.com/r/devuan), voat (https://www.voat.co/v/devuan), sur leur propre instance de discourse (https://talk.devuan.org/), sur les mls et l'irc.
Mais ceci dit, quand je voit les chiffres (surtout sur talk, et sur reddit/voat), je me pose la question.
On m'avais dit qu'une fois que Centos 7 arriverait, les gens partiraient en masse (donc en juillet 2014 ). Puis on a dit "tu verras quand Debian sortira" ( avril 2015 ). Et ensuite "quand ça toucheras Ubuntu" (octobre 2015). Puis "nan mais je voulais dire Ubuntu stable" (avril 2016).
On nous avais prédit un exode de Debian, et si je regarde popcon, c'est pas vraiment le cas:
http://popcon.debian.org/stat/sub-amd64.png
On m'avais dit "les gens vont quitter Linux", donc naturellement, je regarde sur les BSD, qui me paraissent quand même les endroits naturels vers ou bouger, car c'est des OS matures et qui marchent.
Je sais pas comment mesurer le nombre d'utilisateur, mais je pense que si ils augmentent fortement, alors l'augmentation va se voir dans divers indicateurs, tel que le nombre de posts sur les listes.
Je regarde le nombre de posts sur openbsd-misc:
https://marc.info/?l=openbsd-misc&r=1&w=2
et je vois pas de grand changements (genre, ça double pas, ça oscille entre 500 et 800).
De la même façon, je vois pas de grand changement de volume sur netbsd-users:
https://marc.info/?l=netbsd-users&r=1&w=2
J'ai pas trouvé de liste pour freebsd qui pourraient correspondre, mais pareil, j'ai pas vu une grosse augmentation d'activité.
Alors, est ce que tout le monde attends que Devuan sorte de beta pour migrer, ou est ce que finalement, l'exode n'a pas eu lieu ?
Ou est ce que bien sur, mes estimations sont fausses, et pour voir l'exode, il faut que je regarde ailleurs (avec un ailleurs qui ne soit pas autour de moi non plus, car je pense que je suis le seul de mon entourage à apprendre à utiliser un BSD plus en profondeur, et dans mon cas, c'est en partie pour des raisons pros).
[^] # Re: L'autohebergement oui, l'ADSL non
Posté par Misc (site web personnel) . En réponse au journal L'auto-hébergement vulgarisé. Évalué à 2.
Plus ça coute cher, plus ça va finir par faire mal aux portefeuilles et en effet rendre le truc plus compliqué.
Mais plus ça coute cher, plus il y a de raisons de rendre ça plus facile.
Soit par des lois (cf le FBI par exemple), soit en faisant appel au secteur privé (HT, gamma group), qui va voir en effet une opportunité business.
Et bon, je doute aussi que tout les services secrets débordent d'experts. Ils doivent en avoir bien sur, mais pas non plus des tonnes. Et donc partir du principe qu'ils misent surtout sur le fait qu'ils ont des gens dédiés (cf la présentation de l'équipe TAO durant la conf enigma), et que leur force, c'est surtout d'avoir du temps pour être méticuleux.
Et cf le catalogue de la NSA, il y a aussi de la refacturation interne pour le matos, c'est donc pas non plus la fête du slip.
(encore une fois, ça reste une administration, avec le secret défense et tout, donc ça doit être lourd procéduralement, d'autant plus après les leaks de snowden).
J'ai aussi l'impression qu'ils ont juste tendance à bruteforcer les trucs ( "alors, on va prendre une tonne de serveur mysql pour stocker xkeyscore, c'est plus simple") la ou Google (pour donner un exemple de boite avec des ingés et des besoins de monter à l’échelle) a refait toute l'infra from scratch, de part une pression plus forte à être compétitif (et sans doute plus d'ingés que la NSA).
Donc ouais, je pense que "rendre le truc plus cher" est une bonne idée. De la même façon qu'on juge les coffres par le temps pour être percés plus que savoir si on rentre ou pas. C'est plus honnête et logique vis à vis du modèle d'attaque courant.
[^] # Re: L'autohebergement oui, l'ADSL non
Posté par Misc (site web personnel) . En réponse au journal L'auto-hébergement vulgarisé. Évalué à 3.
Alors la question est pas pour moi, mais ça dépend du service et de l'attaquant.
Tu peux avoir une VM (sans doute pas ton cas), et l'hébergeur peut en théorie et "trivialement" faire des trucs à partir de ça (genre 'freeze de la mémoire' et extraction des clés depuis le dump).
Techniquement, une attaque du même genre à base de coldboot est possible: https://en.wikipedia.org/wiki/Cold_boot_attack . Ca implique un reboot du serveur et 5 ou 6 minutes de downtime au mieux.
Techniquement, une attaque à base de modification de l'initrd est aussi possible: https://github.com/GDSSecurity/EvilAbigail
Ça requiert aussi un reboot, et ça laisse des traces.
Théoriquement, tu peux aussi dumper la ram via jtag/openocd en fonction de l'archi de la machine. Je sais que ça passe pour de l'arm embarqué (ou du mips), mais je sais pas du tout pour les archis plus classiques (genre x86 ou serveur). En fonction de la machine, ça requiert sans doute du matos et des trucs spéciaux et peut être éteindre la machine pour mettre les connecteurs. C'est une piste à explorer AMHA.
Mais non, à part la VM, y a rien de trivial mais ça dépend vraiment des attaquants.
[^] # Re: question mail et DNS
Posté par Misc (site web personnel) . En réponse au journal L'auto-hébergement vulgarisé. Évalué à 2.
je préfère avoir un serveur séparé, vu que 1) c'est plus clair 2) c'est plus rapide de migrer sur un serveur séparé.
Mais les 2 marchent, donc question de gout.
[^] # Re: L'autohebergement oui, l'ADSL non
Posté par Misc (site web personnel) . En réponse au journal L'auto-hébergement vulgarisé. Évalué à 2.
Une solution possible serait de regarder clevis and tang:
https://speakerdeck.com/frasertweedale/tang-and-clevis-shackling-secrets-to-the-network
( https://github.com/latchset/ )
Ça requiert en effet 2 serveurs, mais tu peux dire "utilise le réseau et le tpm", ce qui fait qu'un attaquant volant le disque doit prendre le serveur, la carte mère et répliquer le réseau.
Ça ne réponds pas forcément à tout types d'attaques, bien sur, mais ça me semble un élément de réponse.
Sinon, y a des modules pour dracut pour faire ça par dessus ssh:
https://github.com/dracut-crypt-ssh
https://github.com/mk-fg/dracut-crypt-sshd
( le premier vient de https://bugzilla.redhat.com/show_bug.cgi?id=524727 et n'a pas été mergé upstream, hélas)
Ou d'autres solutions:
https://bitbucket.org/geekman/dracut-gmcrypt
[^] # Re: Les licenses courtes
Posté par Misc (site web personnel) . En réponse au journal Choisir une licence : facile à comprendre ?. Évalué à 3.
Grosso modo le même genre de souci que la multiplication des bibliothèque qui retourne les chaines en js. Ou que refaire sa crypto. Si tu fait plus que modifier le nom en prenant l'existant, y a des chances que ça soit incorrect.
Visiblement, tu sembles ne voir que dans le cas particulier de tes projets sans chercher à voir une vision plus haut niveau.
Déjà, tu confonds 'avoir sa licence' avec 'avoir une copie de la WTFPL à son nom'. C'est 2 choses différentes. Parce que quand la licence est subtilement changé (au delà de juste changer le nom), ça cause d'autres soucis. Genre tel personne qui dit que le code est utiliser "for good and not for evil".
Et donc rajouter des licences qui ne change rien, ça rajoute juste du bruit, et dire que c'est ok, ça envoie un message plus compliqué ("alors faire sa license, c'est pas super, sauf si tu change rien, auquel cas, c'est pas un souci") qui n'aboutit qu'à embrouiller les gens. On a encore des gens qui pensent que "free software" == "gratuit", donc je pense que si on peut s'éviter de rajouter des choses, ça serait mieux.
Ensuite, peut être que tu veux pas non plus te préoccuper de ça, et je peux pas te forcer bien sur. Tu as le droit de faire ta licence, mais je pense que c'est la responsabilité de toute la communauté du libre de pas se tirer dans le pied comme ça.
[^] # Re: Les licenses courtes
Posté par Misc (site web personnel) . En réponse au journal Choisir une licence : facile à comprendre ?. Évalué à 5.
Je ne voulais pas te viser (sinon, j'aurais répondu directement à ton commentaire), mais je comprends que tu puisses le percevoir comme tel, et je suis désolé que mes propos (grossiers et provocateurs) t'es visiblement mis mal à l'aise pour avoir fait un truc qui est ton droit.
C'est un exemple de dérive du mode de pensée de "je m'occupe que de tel truc, le reste est trop compliqué", et la rapport avec les licences, c'est qu'il y a assez souvent des gens qui trouvent les choses trop compliqués (cf par exemple ta propre réponse).
Ma foi, je suis pas sur. Mon souvenir des discussions d'il y a 15 ans, c'est que l'argument "coder pour le plaisir" n'avais pas l'importance qu'il a maintenant dans les discussions de licenses (GPL vs BSD). Bien sur, le coté "je ne veux pas donner de restriction" était la comme position philosophique assumé par rapport à la culpabilisation des partisans de la GPL, mais c'est un argument un chouia différent.
Avec l’émergence de GitHub, je pense qu'il y a eu un fossé générationnel qui est apparu entre les gens qui faisaient du libre pour changer le monde (à tort ou à raison) et les gens qui en font parce que la collaboration, c'est bien. C'est bien sur une approximation tracé dans des grandes lignes, et la réalité est sans doute plus subtil, mais il y a quand même quelque chose.
Je suis pas non plus vraiment d'accord pour dire que ça rende tout si compliqué. Si c'était le cas, je pense qu'il y aurait plus de matos avec une variante de netbsd/freebsd plutôt que Linux. Surtout dans la mesure ou on arrête pas de dire que le code de Linux est pas claire, que les BSD ont une meilleur pile réseau et que la GPL est trop compliqué.
Donc soit plusieurs de ses affirmations sont fausses sur les BSD, soit la GPL est pas si compliqué. Ou bien sur, les gens ne font pas des choix rationnels
Et en fait, quand on dit "la GPL est compliqué", j'ai parfois le sentiment que c'est surtout dans le cas ou:
- tu veux faire du proprio
- tu veux faire chier tes concurrents (cough zfs cough)
Les distributions Linux (qui sont des distributeurs, et donc concernés pas mal par le souci) ne passent pas un temps fou sur les licences (à part vérifier que le code est bien libre en premier lieu, ou dans le cas de Fedora, faire gaffe aux histoires de brevets, qu'on a tendance à totalement occulter malgré tout les emmerdes que ça apporte au secteur).
# Les licenses courtes
Posté par Misc (site web personnel) . En réponse au journal Choisir une licence : facile à comprendre ?. Évalué à 5.
Les licences courtes ont le vent en poupe pour divers raisons.
D'un coté, on a des boites qui vont poussés des licences comme les BSD/MIT dans le but de pouvoir faire du proprio, tout en racontant un chouia de FUD sur la GPL (au pire), ou en interdisant la GPL, ce qui grave dans l'esprit des gens que "c'est trop compliqué, on va prendre une BSD".
Ensuite, il y a aussi toute une montée de gens qui font du libre parce que c'est cool, mais qui veulent pas se fatiguer avec le reste. Choisir une licence, c'est compliqué, prendre un bug tracker qui tient la route (genre autre chose que les issues github), c'est compliqué. Faire de la maintenance, c'est compliqué. En gros, tout une partie des gens qui veulent juste coder et rien de plus, une image AMHA fortement influence par les articles de Paul Graham et la mouvance startup.
Bien sur, dire aux gens "tu t'occupes de ça, je me charge du reste", c'est un peu la porte ouverte aux risques d'abus. Par exemple, j'ai en tête une interview (https://motherboard.vice.com/read/the-hacking-team-defectors) d'un des anciens de Hacking Team, ou il a raconté qu'après avoir eu vent d'un rapport liant la société à des abus des droits de l'hommes, les chefs ont décidés de compartimenter les équipes au contact des clients et les équipes d'ingénieurs, afin d'éviter les discussions. Et sans aller dans des cas aussi extrêmes, le fait que le commercial gère la presta en vendant n'importe quoi et que l'ingé le fasse quand même, c'est bien un des trucs qu'on reproche aux SSII.
Donc oui, je pense qu'il y a tout une pression qui pousse à prendre une licence plus courte de la part des développeurs Parfois c'est juste le fait que ça les renvoient au fait qu'ils sont pas juristes et écorne l'image de toute puissance qu'on leur renvoie sans arrêt. Parfois, c'est du FUD. Parfois, c'est aussi une préférence.
J'écris plein de trucs (des modules ansible) sous la MIT parce que je pense que c'est important que les gens utilisent ça pour leur truc interne (ie, souvent proprio). Mais je reconnais aussi l'importance de la GPL pour la santé de l'écosystème du libre, et ça m'attriste de lire ici ou la des trucs sur le fait que c'est trop compliqué, alors que la GPL a eu des tas d'effets positifs. Par exemple, c'est une des raisons d'avoir openwrt en premier lieu. A son tour, openwrt a bien aidé pour les mouvements comme freifunk et france-wireless, ce qui a également permis de faire avancer la recherche dans les réseaux et apporter le réseau à des endroits ou il est pas. Bien sur, on peut pas dire que la GPL a tout fait, c'est avant le travail des bénévoles et non bénévoles qui a permis tout ça. Mais ça a sans doute donner un bon coup d'accélération à ce niveau.
On peut parler de cyanogenmod aussi, comme autre exemple.
Et pour répondre à la question, non, j'ai pas ma propre licence, parce que je pense que ça serait une connerie. Je suis globalement satisfait des choix déjà existant, et j'ai pas le melon au point de croire que ma personne requiert ma propre licence que j'ai torché au coin d'une table après 2 bières. Il y a quand même de quoi faire en matière de logiciel libres, entre les licences qui ont un but politique (genre la GPL et co), et les licences de nihilistes (genre la BSD, la MIT).
[^] # Re: cool mais...
Posté par Misc (site web personnel) . En réponse au journal L'auto-hébergement vulgarisé. Évalué à 4.
Ne pas mettre une version sur 1 seule page comme lien aurait sans doute suffit.
La, quelqu'un clique et charge toute les images d'un coup, donc bon. Au contraire, mettre des pages plus petites aurait en effet sans doute pris plus de requêtes http, mais moins de bp.
[^] # Re: FUD
Posté par Misc (site web personnel) . En réponse au journal La Suède abandonne les paiements en espèce — ne devrait-on pas s'en inquiéter?. Évalué à 2.
En pratique, c'est ce qui arrive.
Voir par exemple les attaques directement sur le reseau swift y a pas longtemps ( http://money.cnn.com/2016/05/13/news/swift-bangladesh-bank-sony-attack/index.html ), ou le fait que les créateurs de malware se sont adaptés pour proposer des couples malware sur le tel avec le malware sur le pc, et tout un tas de trucs.
Mais je pense aussi que les banques vont réagir le jour ou ça va toucher leur porte monnaie directement, et ça implique d'avoir un scandale médiatique. Quand quelqu'un a un souci chez McDo (comme y a 2 ou 3 ans), les ventes de Quick et de tout le secteur prennent 30% dans la vue. Une attaque à large échelle pourrait avoir le même effet, sauf que logiquement, aucun criminel ne veut qu'une banque améliore ses protections, donc il y a incitation à ne pas être trop gourmand.
[^] # Re: Uber, Lebonrecel, Airbnb : pas de le l'économie collaborative
Posté par Misc (site web personnel) . En réponse au journal Le Bon Coin, Airbnb, Uber : Les prochaines poules aux œufs d'or. Évalué à 6.
Citation obligatoire:
https://youtu.be/RFLxu5_m3r8?t=160
[^] # Re: Quid des hackers ? Ben voila "quid des hackers"
Posté par Misc (site web personnel) . En réponse au journal Le Bon Coin, Airbnb, Uber : Les prochaines poules aux œufs d'or. Évalué à 3.
Je ne voulais réagir que sur la fin du journal. Le reste, je laisse le reste du monde apporter son avis, et je suppose que mon avis est similaire a un avis déjà exprimé, donc n'apporte rien.
Je pense que des modèles, y en a. Des modèles efficaces, je sais pas, mais je pense que c'est indépendant du logiciel libre, même si j'ai pas de données pour le prouver. Des boites qui marchent pas, y en a partout, donc savoir si le fait de publier du libre a un impact ou pas, je pense pas qu'on puisse le déduire. Tu peux très bien suivre la licence et ne pas réussir à motiver une communauté pour que ça décolle. Tu peux faire un soft libre qui est un succès sans que ça soit ton cœur de métier (exemple, rails, django), mais qui crée tout un pan de l'industrie.
Et bon, j'ai pas parlé non plus de la tendance à demander d'avoir un compte github qui sert de portfolio pour les devs (vu que j'ai croisé ça rarement), ou la condition est donc d'avoir soit eu la chance de bosser sur du libre, soit d'avoir pris un temps non négligeable pour coder en dehors du travail. On va pas demander à un plombier de prouver qu'il bricole en dehors de son travail que je sache, mais ça semble normal pour les devs, parce qu'on estime que faire ce qu'on aime, ç'est un substitut adéquat à un bout de salaire.
Et ça semble normal aussi parce qu'on ressort le mythe du codeur solitaire qui peut pas se retenir de coder comme l'archétype de la profession. Tout en occultant le fait que ç'est un travail d'équipe, que le dev n'est qu'un maillon dans la chaine de production logiciel, que passion != compétence, et tout ça.
Bien sur que les bénévoles existent et sont nombreux, mais ça ne doit pas apparaitre comme le seul type de contributeurs, et pas uniquement parce que c'est factuellement incorrect, mais parce que c'est dommageable.
[^] # Re: FUD
Posté par Misc (site web personnel) . En réponse au journal La Suède abandonne les paiements en espèce — ne devrait-on pas s'en inquiéter?. Évalué à 4.
Mon souci dans ce cas la n'est pas tant de m'imposer un truc. C'est de me mentir purement et simplement 2 fois d'affilée quand je pose la question de façon explicite.
A un moment, faut pas chercher pourquoi les banquiers sont une profession mal vu (cf http://www.lexpress.fr/emploi/le-mot-banquier-est-devenu-synonyme-de-voleur_1245495.html ou http://www.le-pret-immobilier.com/actualite/assureur-et-banquier-des-professions-mal-aimees-5384.html ). Bien sur, il n'y a pas que ça, mais franchement, c'est une des raisons pour moi de ne pas répondre à mon conseiller car je sais qu'il est pas la pour moi si il peut pas me parler sans me mentir pour une question simple.
ça tombe bien, j'ai bossé dans la sécurité après avoir fait mes études dedans, donc j'en suis parfaitement conscient. Quand je dit qu'ils sont incapables, c'est pas basé sur le fait que ça me fait chier. C'est basé sur le fait qu'ils ont du retard depuis toujours.
La sécurité, c'est pas forcément faire chier les gens. C'est une fausse dichotomie et le genre de connerie qu'on entends quand quelqu'un qui connait pas grand chose en parle. Pour donner un exemple, d'autres banques ont mis en place l'authentification 2 facteurs plus vite et de manière plus sur que ma banque. Alors bien sur, ça aurait sans doute couter plus cher pour eux sur le coup, mais quand après avoir vu qu'un compte WoW avait une authentification plus sur que ma banque (ou du moins, c'était le cas vers 2010), je pense que je peux raisonnablement dire "c'est des guignols". Et pas forcément les pauvres ingés en charge, voir même leur responsables, car j'imagine qu'ils doivent se battre contre un système opaque limitant tout changement, parce que tout l'organisation vit encore au moyen age.
La caisse d'épargne. Et oui, je reste principalement par flemme pour le moment. Pas la flemme de partir, la flemme de finir un tableau de comparaison et de décider sur la shortlist des banques choisis.
Mais je pense aussi qu'à un moment, les banques vont finir par faire comme les assurances (ou du moins, comme une certaine assurance française en 3 lettres que je ne citerais pas), et commencer à se bouger après avoir réalisé que peut être, un des géants du web qui investit massivement dans les statistiques et le fait d'avoir des infos sur les gens pourrait aller sur leur terrain.
# Quid des hackers ? Ben voila "quid des hackers"
Posté par Misc (site web personnel) . En réponse au journal Le Bon Coin, Airbnb, Uber : Les prochaines poules aux œufs d'or. Évalué à 7.
C'est pas très cool d'occulter complétement le travail des non programmeurs et de perpétuer l'idée que c'est secondaire.
Il y a déjà suffisamment de personnes de la communauté qui se pose la question de comment gagner leur vie, donc je ne pense pas que ça soit une caricature, et vraiment une vraie question.
Il y a aussi suffisamment d'exemple de produit ou des SSIIs ont juste repris le soft pour se faire payer des prestas à prix d'or. L'exemple courant, c'est nessus, qui est devenu proprio, mais j'avais aussi en tête MNF (mandrake network firewall), ou on peut regarder grsec et j'ai facile 2/3 autres histoires dans le même domaine (ie, la sécurité informatique, parce que c'est quand même un milieu sans grande morale (HT, gammagroup, etc).
Donc je pense qu'il faut quand mettre ta vison un chouia bisounours à coté de https://linuxfr.org/users/lebouquetin/journaux/pourquoi-une-petite-societe-a-interet-a-contribuer-et-produire-du-libre-mais-pas-que
Et bon, se dire "on travaille gratos", c'est aussi perpétuer le mythe que 1) le libre ne coute rien à produire 2) l'informatique mérite pas vraiment un salaire, vu qu'il y a des gens qui le font gratos. Mythe qu'on retrouve aussi pour les designers par exemple ("mon cousin de 10 ans le fait pour 100€, pourquoi je devrait vous payer ?").
Ça occulte complétement le fait que les gens qui le font sur leur temps libre le font assez souvent parce qu'ils ont déjà un salaire suffisant et du temps libre, chose que tout le monde, loin de la, n'a pas.
[^] # Re: FUD
Posté par Misc (site web personnel) . En réponse au journal La Suède abandonne les paiements en espèce — ne devrait-on pas s'en inquiéter?. Évalué à 2.
Oh, moi, je parle plus de trucs comme:
j'ai demandé à ne pas avoir de NFC sur ma carte. Ma banque m'a dit que c'est sur, ne comprenant pas ce que je dit quand j'ai parlé de doute sur la vie privé, mais me disant qu'ils vont le désactiver. Ils l'ont pas fait (ie, non seulement j'ai le nfc sur la carte, mais en plus, le paiement sans fil est pas désactiver). Double foutage de gueule, par 2 conseillers au téléphone.
pour une raison qui m'échappe, mais qui me parait pas être en ma faveur, je suis soit obligé d'appeler ma banque au tel, soit de venir sur place, soit de passer par leur site web pour interagir. Leur site web a été fermé pendant 1 mois ou 2 plus d'une fois suite à des campagnes de fishing, donc j'avais la possibilité de venir à l'agence. A 300 km de chez moi, car la banque, comme le reste de l'industrie, est régionalisé. Pourquoi, je sais pas, mais je suis sur que c'est pas pour me donner un meilleur service.
niveau sécu, c'est un peu n'imp. Je râle pas trop parce que ça joue parfois en ma faveur, mais ça fait peur. Genre, un simple coup de fil avec des informations publiques suffit à faire certaines opérations.
Ils sont pas non plus vraiment réactif. SI je dépasse le plafond de ma carte, je doit attendre un jour ouvré. Si je veux rajouter un compte bénéficiaire pour un virement sur le web, je doit attendre 72h incompressible.
Et en fait, c'est pareil presque partout. J'arrête pas de me dire qu'il faut que je change de banque, mais j'arrive pas vraiment à choisir la nouvelle. Et en fait, peut être que la solution, c'est faire comme mes amis, et avoir 2 banques. Parce que finalement, peut être qu'en effet, on peut pas faire confiance à une seul banque pour suffire. Y a 0 conséquences pour elles, donc pourquoi elles vont se fatiguer ?
[^] # Re: FUD
Posté par Misc (site web personnel) . En réponse au journal La Suède abandonne les paiements en espèce — ne devrait-on pas s'en inquiéter?. Évalué à 2.
Tu part du principe qu'il existe une bonne boulangerie. Mais les banques de détails semblent miser grandement sur le fait que personne ne va changer et que les autres banques appliquent les mêmes politiques vis à vis des clients.
Tout le monde qui regarde un peu sa banque va te trouver un truc à redire. Demande autour de toi.
[^] # Re: FUD
Posté par Misc (site web personnel) . En réponse au journal La Suède abandonne les paiements en espèce — ne devrait-on pas s'en inquiéter?. Évalué à 2.
J'avais pas entendu ça, mais non, je parlait plus de juste bloquer les fonds de quelqu'un et l’empêcher de dépenser son argent, tout comme des gens sont assignés à résidence.
[^] # Re: Pas grave
Posté par Misc (site web personnel) . En réponse au journal La Suède abandonne les paiements en espèce — ne devrait-on pas s'en inquiéter?. Évalué à 10.
C'est du pur bullshit. Prends une prison. Y a pas grand chose de plus surveillé dans le monde, et pourtant, les prisonniers arrivent à communiquer avec l’extérieur, arrivent à faire rentrer des trucs et font preuve d'ingéniosité pour trouver des armes.
C'est bien la preuve que même la surveillance constante n'apporte rien et ne ralentit rien.
Au final, ça reviens simplement à une question d'équilibre des pouvoirs, et la, le pouvoir va plus vraiment être équilibré.
Le traçage du trafic si c'est vraiment efficace, ça va de paire avec le traçage des dépenses des voisins "parce que tu as accés et que tu es curieux". Ça va aller de paire avec quelqu'un ayant accès aux données qui va s'en servir pour stalker son ex, de la même façon que des gens avec des accès abusent de ses accès pour lire les mails des gens (et j'ai déjà vu le cas dans ma carrière).
Autre example, les gens de la NSA qui abusent des moyens d'interceptions pour choper des photos de nus qui transitent http://arstechnica.com/tech-policy/2014/07/snowden-nsa-employees-routinely-pass-around-intercepted-nude-photos/ )
Parce que faut bien voir que personne ne va surveiller qui regarde quoi, vu que c'est déjà ce qui se passe partout. Si même la NSA n'a pas lu les logs montrant qu'un contractor a chopé une tonne d'info, je suis pas sur de voir ce qu'un groupe avec moins de pognon et des données moins sensibles va réussir à faire.
[^] # Re: FUD
Posté par Misc (site web personnel) . En réponse au journal La Suède abandonne les paiements en espèce — ne devrait-on pas s'en inquiéter?. Évalué à 7.
C'est quand même curieux que tu ne soit pas à l'aise de te trimballer avec 50€ mais que ça te paraisse normal de filer une carte capable de retirer beaucoup plus à un gamin qui ferait sans doute pas le malin face à un gamin plus grand que lui et mal intentionné. Une fois qu'il a la carte et le code, y a quand même pas grand chose qui va lui interdire de dépenser plus que le prix de ta baguette. (genre, si il est organisé, il pourrait juste prendre une crypto-monnaie quelconque).
Mais au delà de la surveillance, ça laisse quand même vachement trop de pouvoir à l'état.
Si demain au lieu d'utiliser l'état d'urgence pour interdire de séjour les gens sur des manifs, l'état bloque les dépenses de certaines personnes, ça va être vachement handicapant. Paypal a bloqué Wikileaks, par exemple: https://www.wired.com/2010/12/paypal-wikileaks/ (le même paypal fondé par un mec qui se réclame pour la liberté d'expression, mais qui finance des procès contre un site web (Gawker) qui a publié des trucs qu'il voulait garder secret (à savoir son orientation sexuel))
Si après demain, on se retrouve à avoir un gouvernement plus proche de Vichy qu'on voudrait, on serait pas non plus super jouasse de filer autant de pouvoir aux banques et aux organisations gouvernementales.
[^] # Re: Et les Panama Papers, alors ?!?
Posté par Misc (site web personnel) . En réponse au journal La Suède abandonne les paiements en espèce — ne devrait-on pas s'en inquiéter?. Évalué à 3.
Pas vraiment, y a des boites qui se chargent de ça. Une fois que tu as trouvé un pays ou il faut juste faire un peu de papier pour faire une boite, tu as juste à faire un truc qui soit long à démêler et ou tu peux automatiser les transferts de fonds.
IE, dépenser du pognon et le faire passer partout, c'est automatisé et direct, car il y a une volontée de faire circuler l'argent (ce qui est la base d'une économie qui marche d'un point de vue théorique, si je me souviens bien, donc on cherche à réduire les frictions à ce niveau).
Auditer par contre, c'est souvent manuel et long, vu qu'il faut chaque fois obtenir l'info dans un format peut être différent, sans doute sur papier (surtout si tu veux ralentir l'analyse, tu fait le minimum), rentrer ça dans une machine (avec tout les risques de typo), examiner tout et recommencer à l'étape suivante quand tu as vu ou l'argent est parti.
Une fois que quelqu'un a monté ses 200 sociétés écrans et qu'elles s'appartiennent toute les unes aux autres, ce quelqu'un a juste à "louer" les sociétés pour masquer les flux. Si le coup d'entretien et de création est minuscule, ça se rentabilise assez vite.
[^] # Re: Et les performances ?
Posté par Misc (site web personnel) . En réponse au journal Monter un cluster mémoire avec un raspberry pi. Évalué à 2.
C'est pas tant le fait d'être basé sur fuse que le fait d'être en réseau (et potentiellement distribué), vu que plein de petit fichier, ça implique plus de lookups de meta données qu'un gros fichier à taille équivalente.
Ceph souffre aussi du même souci, et c'est pas basé sur fuse dans mon souvenir.
[^] # Re: GitHub
Posté par Misc (site web personnel) . En réponse au journal Migration d'un projet de SourceForge vers TuxFamily. Évalué à 6.
C'est amusant, parce que justement, Github a changé. Par exemple, ils ont changés les prix. J'ai entendu parlé de client avec pleins de repo publiques et quelques dépôts privés, et dont les tarifs passeraient de 50
par mois, vu que ça compte maintenant par personne au lieu de payer par dépot.
Github a aussi changé car ils étaient en train de s'endormir (avant d'avoir une lettre de gens pour dire "votre issue tracker est pourri", on peut pas dire que grand monde faisait des changements sur ce bout du logiciel)
Ensuite, pour le moment, les changements sont positifs (à mon sens) pour la majorité, mais je pense que c'est pas ce que tout le monde croit. Par exemple, il y a tout une frange des utilisateurs qui semble s'opposer aux positions actuelles de Github (http://dancerscode.com/blog/why-the-open-code-of-conduct-isnt-for-me/ et http://garrett.damore.org/2016/02/leaving-github.html pour 2 exemples). D'un coté, je me dit que c'est des opinions minoritaires, mais de l'autre, c'est souvent une source de discussions des plus chaudes et donc peut être que c'est moins minoritaires que je le crois.
Et je ne suis pas super confiant dans l'avenir de Github, car d'une part, le nombre de projet libre ne va faire qu'augmenter, donc les coûts de github aussi, mais je ne voit pas forcément le nombre de clients grimper aussi vite (ne serais ce que parce les startups semblent avoir moins de fond qu'avant, ce qui me rappelle la première bulle).
Je suppose que les changements de tarif sont aussi la pour ça, retirer un chouia plus de pognon des boites qui utilisent github maintenant qu'ils estiment être en position de force, afin d'absorber la crise qui vient.
Donc j'attendrais perso de voir ce que ça va donner d'ici 2 ans.
# Un chouia simpliste ?
Posté par Misc (site web personnel) . En réponse au journal Lutter contre l'overengineering. Évalué à 10.
Tu ne parles pas non plus du principal souci, à savoir les divers facteurs humains, en estimant que c'est évident de décider qu'un projet est "over engineeré". Les gens sont rarement d'accord sur le sujet et y a plusieurs raisons pour ça.
Par exemple, les gens vont avoir tendance à sur estimer leur capacité (effet dunning kruger), et donc à voir de l'over enginering la ou il y a juste de leur part un manque de compréhension.
Ou voir du coté des choses qu'on a à peine commencé à explorer, comme l'effet Ikea (https://en.wikipedia.org/wiki/IKEA_effect), et comment les gens vont préférer ce qu'ils ont montés et dans lequel ils ont investis du temps.
De surcroit, tu ne parles pas du fait que tout le monde n'a pas forcément la même idée de ce qui doit être fait, en partie parce que les spécifications sont souvent flous, et changeantes, et que certaines personnes vont avoir le sentiment qu'on va vouloir faire d'autres choses plus tard et qu'il faut prendre ça en compte
Exemple, je déploie un site statique. Je fait un script de 5 lignes qui buildent tout. Parfait. Ensuite, on veut refaire ça. Du coup, mon script commence à avoir des paramétres, et je fait un role ansible pour déployer. Et puis, on commence à utiliser parfois des submodules, et parfois pas. Etc. Résultat, maintenant, mon script fait 243 lignes.
Pour le cas de base, il est clairement trop complexe. Pour tout les cas de bases des autres sites, il est pas encore suffisant, vu que les demandes ont évolués, et que je me retrouve à refactoriser les demandes dans 1 script.
Et pourtant, je pense pas que ça soit de l'over engineering, par rapport à l'alternative d'avoir 15 scripts presque semblables, voir pire, un logiciel pour produire les 15 scripts simples.
Et tu dit qu'un logiciel compliqué ne va pas avoir de contributions, mais c'est non évident. Au contraire, si le logiciel ne réponds pas aux besoins, il ne va pas attirer des gens pour s'en occuper.
Prends par exemple apache. Le système de module le rends plus complexe qu'un logiciel sans le même système. Mais pourtant, c'est ce qui permet d'avoir des contributions externes.
Donc non, l'over engineering, c'est comme la sécurité, c'est pas un état binaire, ça dépend des besoins qui doivent être précisés.
[^] # Re: HS folie des grandeurs
Posté par Misc (site web personnel) . En réponse au journal Quelqu'un intéressé par du coworking sur Paris, France?. Évalué à 4.
ça fait parti en général des recommandations des gens qui font du travail à la maison depuis longtemps (car je distingue "télétravail" de "travail à domicile"). Les raisons sont de se donner un rythme et un cadre (ie, j'arrete de bosser quand je suis en dehors du bureau), et de signaler à la famille qu'on est pas dispo ("non, maman travaille quand elle est dans la pièce avec le bureau, alors tu ne viens pas la déranger").
Et bien sur, les raisons classiques comme "avoir une vrai chaise de boulot", "poser un écran de taille suffisante", etc.
Mais en effet, si tu fait du travail à la maison de façon occasionnel et le reste chez des clients, au bureau, d'une bibliothèque, des conférences ou dans un bus, tu as pas forcément besoin d'investir dans tout ça. Et ça dépend aussi en effet du travail que tu as.
[^] # Re: Loyer
Posté par Misc (site web personnel) . En réponse au journal Quelqu'un intéressé par du coworking sur Paris, France?. Évalué à 5.
Je suppose à Londres, à SF et à Tokyo aussi.
Mais aprés avoir vu des chambres en cité U de 9 m², je qualifierais pas non plus un 30 m² de clapier (bien que je trouverais ça sans doute un peu petit à mon gout)