Il y a besoin d'être mainteneur pour avoir un avis sur systemd?
non, mais y a besoin de faire le taf pour que l'avis compte.
Tout le monde peut avoir un avis, mainteneur ou non. Et donc,
tout le monde peut être pro, anti, ou entre les deux.
Bien sur, mais au final, ceux qui font le boulot décident. Et quand je vois le temps que Devuan a mis pour sortir une beta (sachant que Mageia a mis 4 mois pour sortir la première stable, avec infra, gouvernance, etc), le fait d'avoir eu 0 exode des utilisateurs (cf le journal sur devuan), j'ai tendance à dire qu'avoir un avis est plus facile que faire le taf. Et même si c'est triste, c'est la dur loi du logiciel libre. Si personne fait le taf, le taf est pas fait.
Là, franchement, il est hyper complexe, il peut remplacer le
vénérable init mais aussi fstab,
mais supporte encore /etc/fstab.
crontab
mais supporte encore crontab comme avant. Rajouter l'execution periodique, ç'est quasiment logique (cf upstart et launchd). Entre lancer un soft sur un event (genre tel autre soft vient de se lancer) et lancer un soft sur un event temporel, y a pas grand chose de différent, donc y a du sens de faire les 2.
iptables
non. ce que systemd fait, c'est d'activer des regles de nat pour lancer des containers. C'est pas vraiment remplacer iptables, sauf si tu as une vision vachement réduite d'iptables.
su
pas vraiment. su va juste changer le userid, et parfois suivant les options, lancer ou pas l'initialisation. machinectl shell va te lancer une session, mais aussi dans un container. Le fait de lancer ça sans changer de namespace est juste une feature logique (vu que le namespace par defaut est juste un namespace comme un autre).
udev…
udev a été mergé par les devs upstreams, au cas ou tu as oublié.
En fait, je pense que si tu prends "le systeme d'init" comme "/bin/init", oui, tu va pas comprendre. Si tu prends en compte "/bin/init et /etc/rc.d" et les fichiers afférants, alors ça prends plus de sens. Genre /etc/rc.d/network, qui va gérer le réseau (comme networkd), /etc/rcS.d/S08mountall.sh va gérer le montage des partoches (d'ou le fait d'avoir un type mount, qui n'est que l'exposition du type interne de systemd pour les montages), et tout les sous morceaux de script qui font l'init.
Ou pour les distros RH-like, le gros bousin de /etc/rc.sysinit
avec des choix très discutables sur la gestion de l'UEFI
Alors, je suppose que tu parles des machines de MSI (https://github.com/systemd/systemd/issues/2402). Comme dit dans le rapport de bug, il y a des raisons de vouloir écrire dans efivars pour des programmes externes. Et on l'a vu avec les gens de tmux, quand on soumet des demandes pour adopter le comportement d'un soft à un changement de systemd, c'est non car c'est à systemd de rien changer, et quand systemd ne change pas pour ne pas casser les programmes, c'est "très discutables" et le comportement aurait du changer.
On pourrait presque croire qu'il y a aucun moyen de faire le bon choix.
ou plus récemment sur la survie des process après logout
(nohup ca veut dire ce que ca veut dire, il n'y a pas besoin
d'une option pour ca).
Le pourquoi du comment est pourtant expliqué dans les divers bug reports pour qui veut savoir ce qui est le souci derrière.
Et je vois pas en quoi nohup change grand chose. Ni même ce que ça veut dire en pratique, vu que ça ne s'applique que pour les programmes avec un concept de tty (vu que tout ce que ça fait, c'est d'ignorer le signal qui est envoyé quand tu perds ton port série, et par extension, ton terminal virtuel). Ça ne veux pas vraiment dire "lance ça en background", et par définition, ça n'a aucun sens sur un programme non lié à un tty (genre certains demons utilise SIGHUP pour autre chose que voir qu'il y a plus personne face à eux ).
S'il faut à tout prix remplacer l'init,
alors en fait, si tu regardes un peu l'histoire:
- gentoo a remplacé son init (openrc)
- ubuntu a remplacé son init (upstart)
- apple a remplacé son init (launchd)
- sun a remplacé son init (smf)
Fedora avait adopté upstart (et RHEL 6 en a hérité), Suse et Mandriva voulait faire de même. Et je pense que certains BSD ont aussi refait leur init (genre openbsd).
Donc ouais, depuis un bout de temps, les unix veulent changer leur init.
il y a d'autres
alternatives mais qui ont a priori le tort de ne faire que ce
qu'ils doivent faire (par exemple openrc souvent cité, mais
aussi runit qui est, lui, vraiment impressionnant de rapidité).
En fait non, le tort, c'est d'avoir intéressé personne.
Sur les tonnes de distros de distrowatch, y en a aucune dans le top 30 qui s'est dit depuis que runit existe "tiens, on va mettre ça".
Openrc, c'est pire. Dans le débat du TC de Debian, personne n'a poussé. Le packager qui s'en occupait était grosso modo tout seul alors que ça aurait collé sans doute mieux aux problématiques de debian. Et dans gentoo, personne n'a corrigé les bugs du au lancement de service en parallèle présent pendant 4 ou 5 ans. Et tout comme upstart, c'était bien dormant avant que systemd n'arrive.
Donc non, leur seul tort, c'est que ça n'a motivé personne. Et en général, si un truc motiv e personne, y a des chances que ça soit pas si bien que ça, que ça répondes pas aux problèmes des gens. Y a pas à
Donc non, je ne comprends pas ce mouvement de foule qui ne
jure que par systemd.
C'est pourtant pas faute d'avoir eu largement le temps de lire les discutions des 5 dernières années.
Et puis le processeur baseband GSM ne sera jamais ouvert en
logiciel libre. Et c'est l'endroit parfait pour les logiciels
espions.
Pas vraiment. Déjà, le dit processeur a l'air d'avoir des besoins assez fort en terme de temps réel (il traite le signal radio), donc rajouter des trucs risque de perturber le fonctionnement du baseband GSM.
Ensuite, l'espace est vachement limité. Le firmware que j'avais regardé, c'était sur une base de nucleus ( de Mentor graphics), et c'était 5M tout mouillé. Y a sans doute moyen de faire des choses, mais je pense pas que tu va réussir à faire un truc de folie qui soit générique, et il te faut avoir les ingénieurs radios et embarqués (et ça court pas vraiment les rues, vu le peu d'engouement qu'il y a sur osmocombb). Et bon, on parle de supporter la 3G, et la 4G aussi. Et parfois tout le reste (FM, GPS, etc).
Et enfin, ce genre de firmware sont proprios, et sans doute sous NDA, avec des lourdes certifications (car bon, tu mets pas n'importe quoi n'importe comment sur le marché). Quand tu t'appelles Apple, tu peux 1) négocier pour le changer 2) payer la certif autant que possible. Si tu es pas Apple, bah, dommage, fallait naitre milliardaire.
La on parle de gens qui font une campagne de financement de 50k sur un marché qui va intéresser quasiment personne. Ça serait déjà un miracle de sortir un tel avec ça.
Le fait d'avoir des firmwares proprios est un souci, et je suis sur que la majorité sont pourris (cf les divers talks qu'il y a eu sur le sujet).
Je ne nie pas ce fait. mais malgré ça, toutes les attaques documentés et utiliser en pratique (ie, en dehors du POC et ou d'une conf) sont sur
1) des failles dans SS7
2) es failles dans l'OS (ou tu as largement plus la place de faire des tas de choses)
3) des failles dans les applicatifs.
Que je sache, même dans les groupes qui sont le plus à fond sur l'étude des dits firmwares, ça n'a pas été au delà de "ç'est de la merde et ça plante dés qu'on change un paramètre du signal". Ou les boites commerciales à la Gamma Group et/ou Hacking Team ont été au plus simple (ou au plus réaliste).
L'état de l'art est que ça plante sans grande raison si tu touches trop. Et si le firmware fait de la merde, plante le réseau GSM, tu peux être sur que 1) l'opérateur va le voir 2) l'opérateur va contacter le porteur du tel 3) l'opérateur va faire vite le lien entre "ça fait 5 tels du même fabricant" et "ça fait de la merde" 4) l'opérateur va faire ce qu'il faut.
Je sais pas vraiment pour toi, mais un truc limité, fragile, qui est globalement plus complexe à programmer, j'appelle pas ça "un endroit parfait". L'os est plus intéressant pour un attaquant:
- API standard et public (ie, tu peux tester sur ton tel, tu réutilises le code sans passer 6 mois)
- API de haut niveau (genre, tu as de quoi lire un fichier, de quoi envoyer un fichier, de quoi fouiller tout ce qui existe)
- des ressources et vachement moins besoin de répondre à la microseconde
- une connectivité internet la plupart du temps
- des applis préinstallées sans doute moisies (et donc exploitable)
Il y a le fait que les sites vont te forcer à suivre une certains façon d'interagir avec eux, et que tu est bien plus limité au niveau du filtrage que tu va pouvoir faire, même si des personnes motivés arrivent à faire des choses impresionnantes.
L'exemple le plus probant, c'est travail de Randi Lee Harper qui a écrit ggautoblocker, un système de blocage sur twitter ce qui a visiblement mis hors d'eux les membres du mouvement gamergate (parce qu'on pouvait d'un coup les ignorer de façon efficace, et que visiblement, le fait qu'une personne choisisse de ne pas les lire est une atteinte à leur liberté d'expression, car c'est bien connu que se faire insulter et menacer n'est visiblement pas un truc qu'on devrait pouvoir bloquer…). Elle a également écrit des articles sur le sujet, comme:
Et ensuite, ben tu as le risque de perte de mots de passes et d'infos. C'est pas que les gros réseaux sociaux sont moins sécurisés, mais c'est des cibles bien plus attirantes pour trouver des mots de passes en masse. Encore une fois, Linkedin, dont les conséquences d'une fuite en 2012 commencent à se faire voir. Et en effet, même si ton instance de diaspora est pas à jour et tes 5 utilisateurs risquent de perdre leur mot de passe, personne ne va passer plus de 5 minutes pour ça dans la majorité des cas, car ça n'a aucune valeur (pour le compte moyen, j'entends, je peux imaginer en effet des cas particuliers).
Après je connais pas mal de gens dans la même position qui
attendent que Devuan sorte en stable pour tester et migrer,
Donc si je comprends bien, aucun des gens de ton entourage ne semble vouloir s'investir et contribuer malgré la demande du projet ?
mais bon je crois qu'on s'en fout tous un peu de savoir la
popularité de telle ou telle distrib', l'important c'est
d'avoir une distrib qui correspond à ce qu'on cherche, et qui
fonctionne.
En général, le fait de fonctionner est corrélé directement avec la popularité de la distro, ou dans le cas des dérivés, de la distribution parente (surtout dans le cas des dérivés, qui en général ne sont pas capable de s'en sortir sans la distro parente)
Je peux juste dire que la ML Devuan est très active
et très
intéressante, et qu'il y a une effervescence pas
inintéressante autour du projet :)
Je suis toujours sous le choc de n'avoir réussi à trouver aucune faille de sécurité malgré des choix technologiques audacieux (comprendre: "un soft en pascal qui lance un backend C qui fait des appels à grep,sed et awk pour filtrer les réseaux") qui ont alerté mon instinct.
Je suis content que des gens s'attaquent au souci de ne pas avoir assez de gestionnaire de réseau ( car bon, on a networkd, network manager, connman, wicd et sans doute une paire d'autres, y a clairement de la place pour encore 2 ou 3…), mais j'ai quand même des doutes sur un truc qui semble pire que wicd au niveau code ( https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=692417 ).
Ensuite, on verra quand ça sortiras.
Donc je note que la date de l'exode en masse, c'est le jour de la sortie de devuan stable ( avec un peu de chance, avant le freeze de Debian en février 2017).
C'est plutôt le nombre de contributeurs qui m'intéresse. S'il
y a des utilisateurs mais personne pour maintenir, ça n'ira
pas loin et les utilisateurs passeront à autre chose.
En effet, mais pour le moment, je pense que les gens qui sont la sont 1) habitué à tester des tas de trucs obscures 2) trop impliqué pour changer d'avis.
Maintenant, perso, j'aurais pas forké comme ça (cad, changer tout puis sortir une version, j'aurais fait l'inverse histoire d'en effet avoir une communauté en premier)
on a essayé de profiter des délais administratifs pour lui
couper l'herbe sous le pied à l'arrache et monter une pseudo
fondation dont on sait meme pas encore a quoi elle va servir…
Si je peux me permettre, je pense que le terme français juridiquement correct est "association". (on m'a rabaché qu'une fondation est un truc différent en droit français).
Je pense aussi que même si c'est peut être ce qui est arrivé, la création d'une structure de ce genre me parait trop rapide pour que ça se soit fait sans qu'il le sache et juste après son départ.
Ensuite, peut être que c'est plus rapide qu'en france, bien sur.
Et je trouve aussi curieux qu'un actionnaire reprenne ses billes du jour au lendemain, forcant à rembourser le prêt ou ce genre de choses. Encore une fois, c'est peut être légal, mais je suis pas sur que les nuances de l'histoire correspondent à la réalité.
Mais ceci dit, quand je voit les chiffres (surtout sur talk, et sur reddit/voat), je me pose la question.
On m'avais dit qu'une fois que Centos 7 arriverait, les gens partiraient en masse (donc en juillet 2014 ). Puis on a dit "tu verras quand Debian sortira" ( avril 2015 ). Et ensuite "quand ça toucheras Ubuntu" (octobre 2015). Puis "nan mais je voulais dire Ubuntu stable" (avril 2016).
On m'avais dit "les gens vont quitter Linux", donc naturellement, je regarde sur les BSD, qui me paraissent quand même les endroits naturels vers ou bouger, car c'est des OS matures et qui marchent.
Je sais pas comment mesurer le nombre d'utilisateur, mais je pense que si ils augmentent fortement, alors l'augmentation va se voir dans divers indicateurs, tel que le nombre de posts sur les listes.
J'ai pas trouvé de liste pour freebsd qui pourraient correspondre, mais pareil, j'ai pas vu une grosse augmentation d'activité.
Alors, est ce que tout le monde attends que Devuan sorte de beta pour migrer, ou est ce que finalement, l'exode n'a pas eu lieu ?
Ou est ce que bien sur, mes estimations sont fausses, et pour voir l'exode, il faut que je regarde ailleurs (avec un ailleurs qui ne soit pas autour de moi non plus, car je pense que je suis le seul de mon entourage à apprendre à utiliser un BSD plus en profondeur, et dans mon cas, c'est en partie pour des raisons pros).
Plus ça coute cher, plus ça va finir par faire mal aux portefeuilles et en effet rendre le truc plus compliqué.
Mais plus ça coute cher, plus il y a de raisons de rendre ça plus facile.
Soit par des lois (cf le FBI par exemple), soit en faisant appel au secteur privé (HT, gamma group), qui va voir en effet une opportunité business.
Et bon, je doute aussi que tout les services secrets débordent d'experts. Ils doivent en avoir bien sur, mais pas non plus des tonnes. Et donc partir du principe qu'ils misent surtout sur le fait qu'ils ont des gens dédiés (cf la présentation de l'équipe TAO durant la conf enigma), et que leur force, c'est surtout d'avoir du temps pour être méticuleux.
Et cf le catalogue de la NSA, il y a aussi de la refacturation interne pour le matos, c'est donc pas non plus la fête du slip.
(encore une fois, ça reste une administration, avec le secret défense et tout, donc ça doit être lourd procéduralement, d'autant plus après les leaks de snowden).
J'ai aussi l'impression qu'ils ont juste tendance à bruteforcer les trucs ( "alors, on va prendre une tonne de serveur mysql pour stocker xkeyscore, c'est plus simple") la ou Google (pour donner un exemple de boite avec des ingés et des besoins de monter à l’échelle) a refait toute l'infra from scratch, de part une pression plus forte à être compétitif (et sans doute plus d'ingés que la NSA).
Donc ouais, je pense que "rendre le truc plus cher" est une bonne idée. De la même façon qu'on juge les coffres par le temps pour être percés plus que savoir si on rentre ou pas. C'est plus honnête et logique vis à vis du modèle d'attaque courant.
Alors la question est pas pour moi, mais ça dépend du service et de l'attaquant.
Tu peux avoir une VM (sans doute pas ton cas), et l'hébergeur peut en théorie et "trivialement" faire des trucs à partir de ça (genre 'freeze de la mémoire' et extraction des clés depuis le dump).
Techniquement, une attaque du même genre à base de coldboot est possible: https://en.wikipedia.org/wiki/Cold_boot_attack . Ca implique un reboot du serveur et 5 ou 6 minutes de downtime au mieux.
Techniquement, une attaque à base de modification de l'initrd est aussi possible: https://github.com/GDSSecurity/EvilAbigail
Ça requiert aussi un reboot, et ça laisse des traces.
Théoriquement, tu peux aussi dumper la ram via jtag/openocd en fonction de l'archi de la machine. Je sais que ça passe pour de l'arm embarqué (ou du mips), mais je sais pas du tout pour les archis plus classiques (genre x86 ou serveur). En fonction de la machine, ça requiert sans doute du matos et des trucs spéciaux et peut être éteindre la machine pour mettre les connecteurs. C'est une piste à explorer AMHA.
Mais non, à part la VM, y a rien de trivial mais ça dépend vraiment des attaquants.
Ça requiert en effet 2 serveurs, mais tu peux dire "utilise le réseau et le tpm", ce qui fait qu'un attaquant volant le disque doit prendre le serveur, la carte mère et répliquer le réseau.
Ça ne réponds pas forcément à tout types d'attaques, bien sur, mais ça me semble un élément de réponse.
Grosso modo le même genre de souci que la multiplication des bibliothèque qui retourne les chaines en js. Ou que refaire sa crypto. Si tu fait plus que modifier le nom en prenant l'existant, y a des chances que ça soit incorrect.
Dans les comptages c'est compliqué ? Ne comptons pas mon code,
il est inutile et pas intéressant ! Il y a des subtilités dans
la licence ? Ma licence est là pour dire que j'abandonne tous
les droits possibles. C'est pas cool pour les empaqueteurs ?
Il n'y a pas de packaging de prévu à court et moyen terme.
Visiblement, tu sembles ne voir que dans le cas particulier de tes projets sans chercher à voir une vision plus haut niveau.
Déjà, tu confonds 'avoir sa licence' avec 'avoir une copie de la WTFPL à son nom'. C'est 2 choses différentes. Parce que quand la licence est subtilement changé (au delà de juste changer le nom), ça cause d'autres soucis. Genre tel personne qui dit que le code est utiliser "for good and not for evil".
Et donc rajouter des licences qui ne change rien, ça rajoute juste du bruit, et dire que c'est ok, ça envoie un message plus compliqué ("alors faire sa license, c'est pas super, sauf si tu change rien, auquel cas, c'est pas un souci") qui n'aboutit qu'à embrouiller les gens. On a encore des gens qui pensent que "free software" == "gratuit", donc je pense que si on peut s'éviter de rajouter des choses, ça serait mieux.
Ensuite, peut être que tu veux pas non plus te préoccuper de ça, et je peux pas te forcer bien sur. Tu as le droit de faire ta licence, mais je pense que c'est la responsabilité de toute la communauté du libre de pas se tirer dans le pied comme ça.
Je peux difficilement ne pas me sentir concerné par cette
assertion. La question n'est pas d'avoir le « melon », d'être
« moche » ou « narcissique » (je ne crois mettre aussi
violemment fait reprendre sur linuxfr auparavant…).
Je ne voulais pas te viser (sinon, j'aurais répondu directement à ton commentaire), mais je comprends que tu puisses le percevoir comme tel, et je suis désolé que mes propos (grossiers et provocateurs) t'es visiblement mis mal à l'aise pour avoir fait un truc qui est ton droit.
Quel est le rapport avec les licences ?
C'est un exemple de dérive du mode de pensée de "je m'occupe que de tel truc, le reste est trop compliqué", et la rapport avec les licences, c'est qu'il y a assez souvent des gens qui trouvent les choses trop compliqués (cf par exemple ta propre réponse).
Non c'est bien plus vieux que ça.
Ma foi, je suis pas sur. Mon souvenir des discussions d'il y a 15 ans, c'est que l'argument "coder pour le plaisir" n'avais pas l'importance qu'il a maintenant dans les discussions de licenses (GPL vs BSD). Bien sur, le coté "je ne veux pas donner de restriction" était la comme position philosophique assumé par rapport à la culpabilisation des partisans de la GPL, mais c'est un argument un chouia différent.
Avec l’émergence de GitHub, je pense qu'il y a eu un fossé générationnel qui est apparu entre les gens qui faisaient du libre pour changer le monde (à tort ou à raison) et les gens qui en font parce que la collaboration, c'est bien. C'est bien sur une approximation tracé dans des grandes lignes, et la réalité est sans doute plus subtil, mais il y a quand même quelque chose.
Il y a des gens qui veulent coder et partager leur code, pas
donner un tas de restriction parce que c'est compliqué et que
ça rend tout compliqué. Si vraiment tu rencontre un problème
tu limite les choses en changeant de licence, mais par défaut
non.
Je suis pas non plus vraiment d'accord pour dire que ça rende tout si compliqué. Si c'était le cas, je pense qu'il y aurait plus de matos avec une variante de netbsd/freebsd plutôt que Linux. Surtout dans la mesure ou on arrête pas de dire que le code de Linux est pas claire, que les BSD ont une meilleur pile réseau et que la GPL est trop compliqué.
Donc soit plusieurs de ses affirmations sont fausses sur les BSD, soit la GPL est pas si compliqué. Ou bien sur, les gens ne font pas des choix rationnels
Et en fait, quand on dit "la GPL est compliqué", j'ai parfois le sentiment que c'est surtout dans le cas ou:
- tu veux faire du proprio
- tu veux faire chier tes concurrents (cough zfs cough)
Les distributions Linux (qui sont des distributeurs, et donc concernés pas mal par le souci) ne passent pas un temps fou sur les licences (à part vérifier que le code est bien libre en premier lieu, ou dans le cas de Fedora, faire gaffe aux histoires de brevets, qu'on a tendance à totalement occulter malgré tout les emmerdes que ça apporte au secteur).
Les licences courtes ont le vent en poupe pour divers raisons.
D'un coté, on a des boites qui vont poussés des licences comme les BSD/MIT dans le but de pouvoir faire du proprio, tout en racontant un chouia de FUD sur la GPL (au pire), ou en interdisant la GPL, ce qui grave dans l'esprit des gens que "c'est trop compliqué, on va prendre une BSD".
Ensuite, il y a aussi toute une montée de gens qui font du libre parce que c'est cool, mais qui veulent pas se fatiguer avec le reste. Choisir une licence, c'est compliqué, prendre un bug tracker qui tient la route (genre autre chose que les issues github), c'est compliqué. Faire de la maintenance, c'est compliqué. En gros, tout une partie des gens qui veulent juste coder et rien de plus, une image AMHA fortement influence par les articles de Paul Graham et la mouvance startup.
Bien sur, dire aux gens "tu t'occupes de ça, je me charge du reste", c'est un peu la porte ouverte aux risques d'abus. Par exemple, j'ai en tête une interview (https://motherboard.vice.com/read/the-hacking-team-defectors) d'un des anciens de Hacking Team, ou il a raconté qu'après avoir eu vent d'un rapport liant la société à des abus des droits de l'hommes, les chefs ont décidés de compartimenter les équipes au contact des clients et les équipes d'ingénieurs, afin d'éviter les discussions. Et sans aller dans des cas aussi extrêmes, le fait que le commercial gère la presta en vendant n'importe quoi et que l'ingé le fasse quand même, c'est bien un des trucs qu'on reproche aux SSII.
Donc oui, je pense qu'il y a tout une pression qui pousse à prendre une licence plus courte de la part des développeurs Parfois c'est juste le fait que ça les renvoient au fait qu'ils sont pas juristes et écorne l'image de toute puissance qu'on leur renvoie sans arrêt. Parfois, c'est du FUD. Parfois, c'est aussi une préférence.
J'écris plein de trucs (des modules ansible) sous la MIT parce que je pense que c'est important que les gens utilisent ça pour leur truc interne (ie, souvent proprio). Mais je reconnais aussi l'importance de la GPL pour la santé de l'écosystème du libre, et ça m'attriste de lire ici ou la des trucs sur le fait que c'est trop compliqué, alors que la GPL a eu des tas d'effets positifs. Par exemple, c'est une des raisons d'avoir openwrt en premier lieu. A son tour, openwrt a bien aidé pour les mouvements comme freifunk et france-wireless, ce qui a également permis de faire avancer la recherche dans les réseaux et apporter le réseau à des endroits ou il est pas. Bien sur, on peut pas dire que la GPL a tout fait, c'est avant le travail des bénévoles et non bénévoles qui a permis tout ça. Mais ça a sans doute donner un bon coup d'accélération à ce niveau.
On peut parler de cyanogenmod aussi, comme autre exemple.
Et pour répondre à la question, non, j'ai pas ma propre licence, parce que je pense que ça serait une connerie. Je suis globalement satisfait des choix déjà existant, et j'ai pas le melon au point de croire que ma personne requiert ma propre licence que j'ai torché au coin d'une table après 2 bières. Il y a quand même de quoi faire en matière de logiciel libres, entre les licences qui ont un but politique (genre la GPL et co), et les licences de nihilistes (genre la BSD, la MIT).
Ne pas mettre une version sur 1 seule page comme lien aurait sans doute suffit.
La, quelqu'un clique et charge toute les images d'un coup, donc bon. Au contraire, mettre des pages plus petites aurait en effet sans doute pris plus de requêtes http, mais moins de bp.
Mais je pense aussi que les banques vont réagir le jour ou ça va toucher leur porte monnaie directement, et ça implique d'avoir un scandale médiatique. Quand quelqu'un a un souci chez McDo (comme y a 2 ou 3 ans), les ventes de Quick et de tout le secteur prennent 30% dans la vue. Une attaque à large échelle pourrait avoir le même effet, sauf que logiquement, aucun criminel ne veut qu'une banque améliore ses protections, donc il y a incitation à ne pas être trop gourmand.
L'immense majorité des patients sont peu intéressants en termes
de pédagogie. Parce qu'ils ont tous les mêmes pathologies, et
que quand on en a vu un, on les a tous vus.
Je ne voulais réagir que sur la fin du journal. Le reste, je laisse le reste du monde apporter son avis, et je suppose que mon avis est similaire a un avis déjà exprimé, donc n'apporte rien.
D'un côté ton post souligne le problème de trouver
(éventuellement) un modèle économique pour financer le
logiciel libre.
Je pense que des modèles, y en a. Des modèles efficaces, je sais pas, mais je pense que c'est indépendant du logiciel libre, même si j'ai pas de données pour le prouver. Des boites qui marchent pas, y en a partout, donc savoir si le fait de publier du libre a un impact ou pas, je pense pas qu'on puisse le déduire. Tu peux très bien suivre la licence et ne pas réussir à motiver une communauté pour que ça décolle. Tu peux faire un soft libre qui est un succès sans que ça soit ton cœur de métier (exemple, rails, django), mais qui crée tout un pan de l'industrie.
Et bon, j'ai pas parlé non plus de la tendance à demander d'avoir un compte github qui sert de portfolio pour les devs (vu que j'ai croisé ça rarement), ou la condition est donc d'avoir soit eu la chance de bosser sur du libre, soit d'avoir pris un temps non négligeable pour coder en dehors du travail. On va pas demander à un plombier de prouver qu'il bricole en dehors de son travail que je sache, mais ça semble normal pour les devs, parce qu'on estime que faire ce qu'on aime, ç'est un substitut adéquat à un bout de salaire.
Et ça semble normal aussi parce qu'on ressort le mythe du codeur solitaire qui peut pas se retenir de coder comme l'archétype de la profession. Tout en occultant le fait que ç'est un travail d'équipe, que le dev n'est qu'un maillon dans la chaine de production logiciel, que passion != compétence, et tout ça.
Bien sur que les bénévoles existent et sont nombreux, mais ça ne doit pas apparaitre comme le seul type de contributeurs, et pas uniquement parce que c'est factuellement incorrect, mais parce que c'est dommageable.
Oui, bon, la ça n'a rien à voir avec le nombre de banques ou
leur qualité, juste un cas tellement rare que c'est chiant
pour tout le monde de gérer ça.
Mon souci dans ce cas la n'est pas tant de m'imposer un truc. C'est de me mentir purement et simplement 2 fois d'affilée quand je pose la question de façon explicite.
Trop de sécurité tue la sécurité. Il faut savoir adapter la
sécurité au besoin.
ça tombe bien, j'ai bossé dans la sécurité après avoir fait mes études dedans, donc j'en suis parfaitement conscient. Quand je dit qu'ils sont incapables, c'est pas basé sur le fait que ça me fait chier. C'est basé sur le fait qu'ils ont du retard depuis toujours.
Et l'expérience montre que ça coûte moins cher de gérer les
rares cas où ça foire que de faire chier 99% des gens avec
plus, c'est tout.
La sécurité, c'est pas forcément faire chier les gens. C'est une fausse dichotomie et le genre de connerie qu'on entends quand quelqu'un qui connait pas grand chose en parle. Pour donner un exemple, d'autres banques ont mis en place l'authentification 2 facteurs plus vite et de manière plus sur que ma banque. Alors bien sur, ça aurait sans doute couter plus cher pour eux sur le coup, mais quand après avoir vu qu'un compte WoW avait une authentification plus sur que ma banque (ou du moins, c'était le cas vers 2010), je pense que je peux raisonnablement dire "c'est des guignols". Et pas forcément les pauvres ingés en charge, voir même leur responsables, car j'imagine qu'ils doivent se battre contre un système opaque limitant tout changement, parce que tout l'organisation vit encore au moyen age.
Je ne sais pas où tu es, mais sérieux la tu peux quand même te
poser la question que tu restes au plus mauvais endroit.
La caisse d'épargne. Et oui, je reste principalement par flemme pour le moment. Pas la flemme de partir, la flemme de finir un tableau de comparaison et de décider sur la shortlist des banques choisis.
Mais je pense aussi qu'à un moment, les banques vont finir par faire comme les assurances (ou du moins, comme une certaine assurance française en 3 lettres que je ne citerais pas), et commencer à se bouger après avoir réalisé que peut être, un des géants du web qui investit massivement dans les statistiques et le fait d'avoir des infos sur les gens pourrait aller sur leur terrain.
On pourrait maintenant faire une transition vers le travail du
développement des logiciels libres, qui rassemble, dans beaucoup
de cas, une communauté de programmeurs.
C'est pas très cool d'occulter complétement le travail des non programmeurs et de perpétuer l'idée que c'est secondaire.
Pour caricaturer, on peut donc dénoncer un véritable travail au
noir organisé où, horreur, des travailleurs ne seraient même pas
rémunérés. Mais quand nos dirigeants y verront-ils un manque à
gagner cruel aux cotisations organiques ?
Il y a déjà suffisamment de personnes de la communauté qui se pose la question de comment gagner leur vie, donc je ne pense pas que ça soit une caricature, et vraiment une vraie question.
Il y a aussi suffisamment d'exemple de produit ou des SSIIs ont juste repris le soft pour se faire payer des prestas à prix d'or. L'exemple courant, c'est nessus, qui est devenu proprio, mais j'avais aussi en tête MNF (mandrake network firewall), ou on peut regarder grsec et j'ai facile 2/3 autres histoires dans le même domaine (ie, la sécurité informatique, parce que c'est quand même un milieu sans grande morale (HT, gammagroup, etc).
Et bon, se dire "on travaille gratos", c'est aussi perpétuer le mythe que 1) le libre ne coute rien à produire 2) l'informatique mérite pas vraiment un salaire, vu qu'il y a des gens qui le font gratos. Mythe qu'on retrouve aussi pour les designers par exemple ("mon cousin de 10 ans le fait pour 100€, pourquoi je devrait vous payer ?").
Ça occulte complétement le fait que les gens qui le font sur leur temps libre le font assez souvent parce qu'ils ont déjà un salaire suffisant et du temps libre, chose que tout le monde, loin de la, n'a pas.
j'ai demandé à ne pas avoir de NFC sur ma carte. Ma banque m'a dit que c'est sur, ne comprenant pas ce que je dit quand j'ai parlé de doute sur la vie privé, mais me disant qu'ils vont le désactiver. Ils l'ont pas fait (ie, non seulement j'ai le nfc sur la carte, mais en plus, le paiement sans fil est pas désactiver). Double foutage de gueule, par 2 conseillers au téléphone.
pour une raison qui m'échappe, mais qui me parait pas être en ma faveur, je suis soit obligé d'appeler ma banque au tel, soit de venir sur place, soit de passer par leur site web pour interagir. Leur site web a été fermé pendant 1 mois ou 2 plus d'une fois suite à des campagnes de fishing, donc j'avais la possibilité de venir à l'agence. A 300 km de chez moi, car la banque, comme le reste de l'industrie, est régionalisé. Pourquoi, je sais pas, mais je suis sur que c'est pas pour me donner un meilleur service.
niveau sécu, c'est un peu n'imp. Je râle pas trop parce que ça joue parfois en ma faveur, mais ça fait peur. Genre, un simple coup de fil avec des informations publiques suffit à faire certaines opérations.
Ils sont pas non plus vraiment réactif. SI je dépasse le plafond de ma carte, je doit attendre un jour ouvré. Si je veux rajouter un compte bénéficiaire pour un virement sur le web, je doit attendre 72h incompressible.
Et en fait, c'est pareil presque partout. J'arrête pas de me dire qu'il faut que je change de banque, mais j'arrive pas vraiment à choisir la nouvelle. Et en fait, peut être que la solution, c'est faire comme mes amis, et avoir 2 banques. Parce que finalement, peut être qu'en effet, on peut pas faire confiance à une seul banque pour suffire. Y a 0 conséquences pour elles, donc pourquoi elles vont se fatiguer ?
[^] # Re: LinuxFR est pro-Systemd
Posté par Misc (site web personnel) . En réponse à la dépêche Debian Jessie, 1 an plus tard. Évalué à 3.
non, mais y a besoin de faire le taf pour que l'avis compte.
Bien sur, mais au final, ceux qui font le boulot décident. Et quand je vois le temps que Devuan a mis pour sortir une beta (sachant que Mageia a mis 4 mois pour sortir la première stable, avec infra, gouvernance, etc), le fait d'avoir eu 0 exode des utilisateurs (cf le journal sur devuan), j'ai tendance à dire qu'avoir un avis est plus facile que faire le taf. Et même si c'est triste, c'est la dur loi du logiciel libre. Si personne fait le taf, le taf est pas fait.
[^] # Re: LinuxFR est pro-Systemd
Posté par Misc (site web personnel) . En réponse à la dépêche Debian Jessie, 1 an plus tard. Évalué à 10.
mais supporte encore /etc/fstab.
mais supporte encore crontab comme avant. Rajouter l'execution periodique, ç'est quasiment logique (cf upstart et launchd). Entre lancer un soft sur un event (genre tel autre soft vient de se lancer) et lancer un soft sur un event temporel, y a pas grand chose de différent, donc y a du sens de faire les 2.
non. ce que systemd fait, c'est d'activer des regles de nat pour lancer des containers. C'est pas vraiment remplacer iptables, sauf si tu as une vision vachement réduite d'iptables.
pas vraiment. su va juste changer le userid, et parfois suivant les options, lancer ou pas l'initialisation. machinectl shell va te lancer une session, mais aussi dans un container. Le fait de lancer ça sans changer de namespace est juste une feature logique (vu que le namespace par defaut est juste un namespace comme un autre).
udev a été mergé par les devs upstreams, au cas ou tu as oublié.
En fait, je pense que si tu prends "le systeme d'init" comme "/bin/init", oui, tu va pas comprendre. Si tu prends en compte "/bin/init et /etc/rc.d" et les fichiers afférants, alors ça prends plus de sens. Genre /etc/rc.d/network, qui va gérer le réseau (comme networkd), /etc/rcS.d/S08mountall.sh va gérer le montage des partoches (d'ou le fait d'avoir un type mount, qui n'est que l'exposition du type interne de systemd pour les montages), et tout les sous morceaux de script qui font l'init.
Ou pour les distros RH-like, le gros bousin de /etc/rc.sysinit
Alors, je suppose que tu parles des machines de MSI (https://github.com/systemd/systemd/issues/2402). Comme dit dans le rapport de bug, il y a des raisons de vouloir écrire dans efivars pour des programmes externes. Et on l'a vu avec les gens de tmux, quand on soumet des demandes pour adopter le comportement d'un soft à un changement de systemd, c'est non car c'est à systemd de rien changer, et quand systemd ne change pas pour ne pas casser les programmes, c'est "très discutables" et le comportement aurait du changer.
On pourrait presque croire qu'il y a aucun moyen de faire le bon choix.
Le pourquoi du comment est pourtant expliqué dans les divers bug reports pour qui veut savoir ce qui est le souci derrière.
Et je vois pas en quoi nohup change grand chose. Ni même ce que ça veut dire en pratique, vu que ça ne s'applique que pour les programmes avec un concept de tty (vu que tout ce que ça fait, c'est d'ignorer le signal qui est envoyé quand tu perds ton port série, et par extension, ton terminal virtuel). Ça ne veux pas vraiment dire "lance ça en background", et par définition, ça n'a aucun sens sur un programme non lié à un tty (genre certains demons utilise SIGHUP pour autre chose que voir qu'il y a plus personne face à eux ).
alors en fait, si tu regardes un peu l'histoire:
- gentoo a remplacé son init (openrc)
- ubuntu a remplacé son init (upstart)
- apple a remplacé son init (launchd)
- sun a remplacé son init (smf)
Fedora avait adopté upstart (et RHEL 6 en a hérité), Suse et Mandriva voulait faire de même. Et je pense que certains BSD ont aussi refait leur init (genre openbsd).
Donc ouais, depuis un bout de temps, les unix veulent changer leur init.
En fait non, le tort, c'est d'avoir intéressé personne.
Sur les tonnes de distros de distrowatch, y en a aucune dans le top 30 qui s'est dit depuis que runit existe "tiens, on va mettre ça".
Openrc, c'est pire. Dans le débat du TC de Debian, personne n'a poussé. Le packager qui s'en occupait était grosso modo tout seul alors que ça aurait collé sans doute mieux aux problématiques de debian. Et dans gentoo, personne n'a corrigé les bugs du au lancement de service en parallèle présent pendant 4 ou 5 ans. Et tout comme upstart, c'était bien dormant avant que systemd n'arrive.
Donc non, leur seul tort, c'est que ça n'a motivé personne. Et en général, si un truc motiv e personne, y a des chances que ça soit pas si bien que ça, que ça répondes pas aux problèmes des gens. Y a pas à
C'est pourtant pas faute d'avoir eu largement le temps de lire les discutions des 5 dernières années.
[^] # Re: mwais
Posté par Misc (site web personnel) . En réponse au journal UnaOS - UnaPhone - Un smartphone axé autour de la vie privée ?. Évalué à 2.
Alors je me réponds à moi même, le papier le plus à jour sur les basebands que j'ai trouvé, c'est un truc de 2012:
https://www.usenix.org/system/files/conference/woot12/woot12-final24.pdf
(mais je reste quand même sur ma conclusion)
[^] # Re: mwais
Posté par Misc (site web personnel) . En réponse au journal UnaOS - UnaPhone - Un smartphone axé autour de la vie privée ?. Évalué à 2.
Pas vraiment. Déjà, le dit processeur a l'air d'avoir des besoins assez fort en terme de temps réel (il traite le signal radio), donc rajouter des trucs risque de perturber le fonctionnement du baseband GSM.
Ensuite, l'espace est vachement limité. Le firmware que j'avais regardé, c'était sur une base de nucleus ( de Mentor graphics), et c'était 5M tout mouillé. Y a sans doute moyen de faire des choses, mais je pense pas que tu va réussir à faire un truc de folie qui soit générique, et il te faut avoir les ingénieurs radios et embarqués (et ça court pas vraiment les rues, vu le peu d'engouement qu'il y a sur osmocombb). Et bon, on parle de supporter la 3G, et la 4G aussi. Et parfois tout le reste (FM, GPS, etc).
Et enfin, ce genre de firmware sont proprios, et sans doute sous NDA, avec des lourdes certifications (car bon, tu mets pas n'importe quoi n'importe comment sur le marché). Quand tu t'appelles Apple, tu peux 1) négocier pour le changer 2) payer la certif autant que possible. Si tu es pas Apple, bah, dommage, fallait naitre milliardaire.
La on parle de gens qui font une campagne de financement de 50k sur un marché qui va intéresser quasiment personne. Ça serait déjà un miracle de sortir un tel avec ça.
Le fait d'avoir des firmwares proprios est un souci, et je suis sur que la majorité sont pourris (cf les divers talks qu'il y a eu sur le sujet).
Je ne nie pas ce fait. mais malgré ça, toutes les attaques documentés et utiliser en pratique (ie, en dehors du POC et ou d'une conf) sont sur
1) des failles dans SS7
2) es failles dans l'OS (ou tu as largement plus la place de faire des tas de choses)
3) des failles dans les applicatifs.
Que je sache, même dans les groupes qui sont le plus à fond sur l'étude des dits firmwares, ça n'a pas été au delà de "ç'est de la merde et ça plante dés qu'on change un paramètre du signal". Ou les boites commerciales à la Gamma Group et/ou Hacking Team ont été au plus simple (ou au plus réaliste).
L'état de l'art est que ça plante sans grande raison si tu touches trop. Et si le firmware fait de la merde, plante le réseau GSM, tu peux être sur que 1) l'opérateur va le voir 2) l'opérateur va contacter le porteur du tel 3) l'opérateur va faire vite le lien entre "ça fait 5 tels du même fabricant" et "ça fait de la merde" 4) l'opérateur va faire ce qu'il faut.
Je sais pas vraiment pour toi, mais un truc limité, fragile, qui est globalement plus complexe à programmer, j'appelle pas ça "un endroit parfait". L'os est plus intéressant pour un attaquant:
- API standard et public (ie, tu peux tester sur ton tel, tu réutilises le code sans passer 6 mois)
- API de haut niveau (genre, tu as de quoi lire un fichier, de quoi envoyer un fichier, de quoi fouiller tout ce qui existe)
- des ressources et vachement moins besoin de répondre à la microseconde
- une connectivité internet la plupart du temps
- des applis préinstallées sans doute moisies (et donc exploitable)
[^] # Re: Un an après, qui a changé l'init par défaut ou est passé à une autre distribution ?
Posté par Misc (site web personnel) . En réponse à la dépêche Debian Jessie, 1 an plus tard. Évalué à 2.
Je suis pas vraiment sur qu'on puisse blâmer la calvitie sur systemd.
[^] # Re: Centralisation
Posté par Misc (site web personnel) . En réponse au journal Les réseaux sociaux sont ils liberticides et comment ne pas l’être. Évalué à 2.
Je pense qu'il y a d'autres soucis au dela de la centralisation et de la confiance.
Il y a le fait que le réseau social a tout intéret à t'inciter à rester, et va donc utiliser des trucs d'un point de vue de l'interface pour ça (l'exemple le plus connu, c'est Linkedin par exemple, mais ça a fait pas mal de bruit y a pas longtemps avec https://medium.com/@tristanharris/how-technology-hijacks-peoples-minds-from-a-magician-and-google-s-design-ethicist-56d62ef5edf3 ).
Il y a le fait que les sites vont te forcer à suivre une certains façon d'interagir avec eux, et que tu est bien plus limité au niveau du filtrage que tu va pouvoir faire, même si des personnes motivés arrivent à faire des choses impresionnantes.
L'exemple le plus probant, c'est travail de Randi Lee Harper qui a écrit ggautoblocker, un système de blocage sur twitter ce qui a visiblement mis hors d'eux les membres du mouvement gamergate (parce qu'on pouvait d'un coup les ignorer de façon efficace, et que visiblement, le fait qu'une personne choisisse de ne pas les lire est une atteinte à leur liberté d'expression, car c'est bien connu que se faire insulter et menacer n'est visiblement pas un truc qu'on devrait pouvoir bloquer…). Elle a également écrit des articles sur le sujet, comme:
https://medium.com/@randileeharper/solving-twitter-dogpiles-7d7b102116c8#.88bp24g1c
https://medium.com/art-marketing/putting-out-the-twitter-trashfire-3ac6cb1af3e#.k485laj89
https://medium.com/@randileeharper/diving-into-the-cesspool-fixing-youtube-3775a8afcd82#.nlni6ibf0
Et ensuite, ben tu as le risque de perte de mots de passes et d'infos. C'est pas que les gros réseaux sociaux sont moins sécurisés, mais c'est des cibles bien plus attirantes pour trouver des mots de passes en masse. Encore une fois, Linkedin, dont les conséquences d'une fuite en 2012 commencent à se faire voir. Et en effet, même si ton instance de diaspora est pas à jour et tes 5 utilisateurs risquent de perdre leur mot de passe, personne ne va passer plus de 5 minutes pour ça dans la majorité des cas, car ça n'a aucune valeur (pour le compte moyen, j'entends, je peux imaginer en effet des cas particuliers).
[^] # Re: double licence et fin du CLA: pas le choix ?
Posté par Misc (site web personnel) . En réponse au journal NextCloud : le fork d'OwnCloud. Évalué à 3.
Ou un CLA sur des modules en plus, voir en récrivant un par un les modules existants.
[^] # Re: Ça manque d'info pour lancer un troll
Posté par Misc (site web personnel) . En réponse au journal Devuan β. Évalué à 10.
Donc si je comprends bien, aucun des gens de ton entourage ne semble vouloir s'investir et contribuer malgré la demande du projet ?
En général, le fait de fonctionner est corrélé directement avec la popularité de la distro, ou dans le cas des dérivés, de la distribution parente (surtout dans le cas des dérivés, qui en général ne sont pas capable de s'en sortir sans la distro parente)
Alors je doit reconnaitre que j'éprouve un intérêt, mais sans doute pas du même genre. Par exemple, ma dernière trouvaille, c'est https://git.devuan.org/edbarx/netman/tree/master
Je suis toujours sous le choc de n'avoir réussi à trouver aucune faille de sécurité malgré des choix technologiques audacieux (comprendre: "un soft en pascal qui lance un backend C qui fait des appels à grep,sed et awk pour filtrer les réseaux") qui ont alerté mon instinct.
Démonstration:
https://git.devuan.org/edbarx/netman/blob/master/backend_src/src/file_functions.c#L98
Je suis content que des gens s'attaquent au souci de ne pas avoir assez de gestionnaire de réseau ( car bon, on a networkd, network manager, connman, wicd et sans doute une paire d'autres, y a clairement de la place pour encore 2 ou 3…), mais j'ai quand même des doutes sur un truc qui semble pire que wicd au niveau code ( https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=692417 ).
Ensuite, on verra quand ça sortiras.
Donc je note que la date de l'exode en masse, c'est le jour de la sortie de devuan stable ( avec un peu de chance, avant le freeze de Debian en février 2017).
Parfait, enfin une réponse claire et précise.
[^] # Re: Ça manque d'info pour lancer un troll
Posté par Misc (site web personnel) . En réponse au journal Devuan β. Évalué à 3.
Il y a aussi un gitlab:
https://git.devuan.org/
Et on peut voir les gens dans les groupes.
Genre pour le groupe devuan:
https://git.devuan.org/groups/devuan/group_members
En effet, mais pour le moment, je pense que les gens qui sont la sont 1) habitué à tester des tas de trucs obscures 2) trop impliqué pour changer d'avis.
Maintenant, perso, j'aurais pas forké comme ça (cad, changer tout puis sortir une version, j'aurais fait l'inverse histoire d'en effet avoir une communauté en premier)
[^] # Re: That escalated quickly...
Posté par Misc (site web personnel) . En réponse au journal NextCloud : le fork d'OwnCloud. Évalué à 3.
Si je peux me permettre, je pense que le terme français juridiquement correct est "association". (on m'a rabaché qu'une fondation est un truc différent en droit français).
Je pense aussi que même si c'est peut être ce qui est arrivé, la création d'une structure de ce genre me parait trop rapide pour que ça se soit fait sans qu'il le sache et juste après son départ.
Ensuite, peut être que c'est plus rapide qu'en france, bien sur.
Et je trouve aussi curieux qu'un actionnaire reprenne ses billes du jour au lendemain, forcant à rembourser le prêt ou ce genre de choses. Encore une fois, c'est peut être légal, mais je suis pas sur que les nuances de l'histoire correspondent à la réalité.
# Ça manque d'info pour lancer un troll
Posté par Misc (site web personnel) . En réponse au journal Devuan β. Évalué à 10.
Tu peux rajouter aussi que la distribution grimpe à toute vitesse dans distrowatch, vu qu'ils sont à 77 maintenant, et 100 y a pas longtemps (https://www.mail-archive.com/dng@lists.dyne.org/msg10935.html).
Tu pourrais dire qu'il y a planet devuan (https://www.mail-archive.com/dng@lists.dyne.org/msg10952.html).
Tu pourrais aussi dire qu'il y a une communauté présente sur reddit (https://www.reddit.com/r/devuan), voat (https://www.voat.co/v/devuan), sur leur propre instance de discourse (https://talk.devuan.org/), sur les mls et l'irc.
Mais ceci dit, quand je voit les chiffres (surtout sur talk, et sur reddit/voat), je me pose la question.
On m'avais dit qu'une fois que Centos 7 arriverait, les gens partiraient en masse (donc en juillet 2014 ). Puis on a dit "tu verras quand Debian sortira" ( avril 2015 ). Et ensuite "quand ça toucheras Ubuntu" (octobre 2015). Puis "nan mais je voulais dire Ubuntu stable" (avril 2016).
On nous avais prédit un exode de Debian, et si je regarde popcon, c'est pas vraiment le cas:
http://popcon.debian.org/stat/sub-amd64.png
On m'avais dit "les gens vont quitter Linux", donc naturellement, je regarde sur les BSD, qui me paraissent quand même les endroits naturels vers ou bouger, car c'est des OS matures et qui marchent.
Je sais pas comment mesurer le nombre d'utilisateur, mais je pense que si ils augmentent fortement, alors l'augmentation va se voir dans divers indicateurs, tel que le nombre de posts sur les listes.
Je regarde le nombre de posts sur openbsd-misc:
https://marc.info/?l=openbsd-misc&r=1&w=2
et je vois pas de grand changements (genre, ça double pas, ça oscille entre 500 et 800).
De la même façon, je vois pas de grand changement de volume sur netbsd-users:
https://marc.info/?l=netbsd-users&r=1&w=2
J'ai pas trouvé de liste pour freebsd qui pourraient correspondre, mais pareil, j'ai pas vu une grosse augmentation d'activité.
Alors, est ce que tout le monde attends que Devuan sorte de beta pour migrer, ou est ce que finalement, l'exode n'a pas eu lieu ?
Ou est ce que bien sur, mes estimations sont fausses, et pour voir l'exode, il faut que je regarde ailleurs (avec un ailleurs qui ne soit pas autour de moi non plus, car je pense que je suis le seul de mon entourage à apprendre à utiliser un BSD plus en profondeur, et dans mon cas, c'est en partie pour des raisons pros).
[^] # Re: L'autohebergement oui, l'ADSL non
Posté par Misc (site web personnel) . En réponse au journal L'auto-hébergement vulgarisé. Évalué à 2.
Plus ça coute cher, plus ça va finir par faire mal aux portefeuilles et en effet rendre le truc plus compliqué.
Mais plus ça coute cher, plus il y a de raisons de rendre ça plus facile.
Soit par des lois (cf le FBI par exemple), soit en faisant appel au secteur privé (HT, gamma group), qui va voir en effet une opportunité business.
Et bon, je doute aussi que tout les services secrets débordent d'experts. Ils doivent en avoir bien sur, mais pas non plus des tonnes. Et donc partir du principe qu'ils misent surtout sur le fait qu'ils ont des gens dédiés (cf la présentation de l'équipe TAO durant la conf enigma), et que leur force, c'est surtout d'avoir du temps pour être méticuleux.
Et cf le catalogue de la NSA, il y a aussi de la refacturation interne pour le matos, c'est donc pas non plus la fête du slip.
(encore une fois, ça reste une administration, avec le secret défense et tout, donc ça doit être lourd procéduralement, d'autant plus après les leaks de snowden).
J'ai aussi l'impression qu'ils ont juste tendance à bruteforcer les trucs ( "alors, on va prendre une tonne de serveur mysql pour stocker xkeyscore, c'est plus simple") la ou Google (pour donner un exemple de boite avec des ingés et des besoins de monter à l’échelle) a refait toute l'infra from scratch, de part une pression plus forte à être compétitif (et sans doute plus d'ingés que la NSA).
Donc ouais, je pense que "rendre le truc plus cher" est une bonne idée. De la même façon qu'on juge les coffres par le temps pour être percés plus que savoir si on rentre ou pas. C'est plus honnête et logique vis à vis du modèle d'attaque courant.
[^] # Re: L'autohebergement oui, l'ADSL non
Posté par Misc (site web personnel) . En réponse au journal L'auto-hébergement vulgarisé. Évalué à 3.
Alors la question est pas pour moi, mais ça dépend du service et de l'attaquant.
Tu peux avoir une VM (sans doute pas ton cas), et l'hébergeur peut en théorie et "trivialement" faire des trucs à partir de ça (genre 'freeze de la mémoire' et extraction des clés depuis le dump).
Techniquement, une attaque du même genre à base de coldboot est possible: https://en.wikipedia.org/wiki/Cold_boot_attack . Ca implique un reboot du serveur et 5 ou 6 minutes de downtime au mieux.
Techniquement, une attaque à base de modification de l'initrd est aussi possible: https://github.com/GDSSecurity/EvilAbigail
Ça requiert aussi un reboot, et ça laisse des traces.
Théoriquement, tu peux aussi dumper la ram via jtag/openocd en fonction de l'archi de la machine. Je sais que ça passe pour de l'arm embarqué (ou du mips), mais je sais pas du tout pour les archis plus classiques (genre x86 ou serveur). En fonction de la machine, ça requiert sans doute du matos et des trucs spéciaux et peut être éteindre la machine pour mettre les connecteurs. C'est une piste à explorer AMHA.
Mais non, à part la VM, y a rien de trivial mais ça dépend vraiment des attaquants.
[^] # Re: question mail et DNS
Posté par Misc (site web personnel) . En réponse au journal L'auto-hébergement vulgarisé. Évalué à 2.
je préfère avoir un serveur séparé, vu que 1) c'est plus clair 2) c'est plus rapide de migrer sur un serveur séparé.
Mais les 2 marchent, donc question de gout.
[^] # Re: L'autohebergement oui, l'ADSL non
Posté par Misc (site web personnel) . En réponse au journal L'auto-hébergement vulgarisé. Évalué à 2.
Une solution possible serait de regarder clevis and tang:
https://speakerdeck.com/frasertweedale/tang-and-clevis-shackling-secrets-to-the-network
( https://github.com/latchset/ )
Ça requiert en effet 2 serveurs, mais tu peux dire "utilise le réseau et le tpm", ce qui fait qu'un attaquant volant le disque doit prendre le serveur, la carte mère et répliquer le réseau.
Ça ne réponds pas forcément à tout types d'attaques, bien sur, mais ça me semble un élément de réponse.
Sinon, y a des modules pour dracut pour faire ça par dessus ssh:
https://github.com/dracut-crypt-ssh
https://github.com/mk-fg/dracut-crypt-sshd
( le premier vient de https://bugzilla.redhat.com/show_bug.cgi?id=524727 et n'a pas été mergé upstream, hélas)
Ou d'autres solutions:
https://bitbucket.org/geekman/dracut-gmcrypt
[^] # Re: Les licenses courtes
Posté par Misc (site web personnel) . En réponse au journal Choisir une licence : facile à comprendre ?. Évalué à 3.
Grosso modo le même genre de souci que la multiplication des bibliothèque qui retourne les chaines en js. Ou que refaire sa crypto. Si tu fait plus que modifier le nom en prenant l'existant, y a des chances que ça soit incorrect.
Visiblement, tu sembles ne voir que dans le cas particulier de tes projets sans chercher à voir une vision plus haut niveau.
Déjà, tu confonds 'avoir sa licence' avec 'avoir une copie de la WTFPL à son nom'. C'est 2 choses différentes. Parce que quand la licence est subtilement changé (au delà de juste changer le nom), ça cause d'autres soucis. Genre tel personne qui dit que le code est utiliser "for good and not for evil".
Et donc rajouter des licences qui ne change rien, ça rajoute juste du bruit, et dire que c'est ok, ça envoie un message plus compliqué ("alors faire sa license, c'est pas super, sauf si tu change rien, auquel cas, c'est pas un souci") qui n'aboutit qu'à embrouiller les gens. On a encore des gens qui pensent que "free software" == "gratuit", donc je pense que si on peut s'éviter de rajouter des choses, ça serait mieux.
Ensuite, peut être que tu veux pas non plus te préoccuper de ça, et je peux pas te forcer bien sur. Tu as le droit de faire ta licence, mais je pense que c'est la responsabilité de toute la communauté du libre de pas se tirer dans le pied comme ça.
[^] # Re: Les licenses courtes
Posté par Misc (site web personnel) . En réponse au journal Choisir une licence : facile à comprendre ?. Évalué à 5.
Je ne voulais pas te viser (sinon, j'aurais répondu directement à ton commentaire), mais je comprends que tu puisses le percevoir comme tel, et je suis désolé que mes propos (grossiers et provocateurs) t'es visiblement mis mal à l'aise pour avoir fait un truc qui est ton droit.
C'est un exemple de dérive du mode de pensée de "je m'occupe que de tel truc, le reste est trop compliqué", et la rapport avec les licences, c'est qu'il y a assez souvent des gens qui trouvent les choses trop compliqués (cf par exemple ta propre réponse).
Ma foi, je suis pas sur. Mon souvenir des discussions d'il y a 15 ans, c'est que l'argument "coder pour le plaisir" n'avais pas l'importance qu'il a maintenant dans les discussions de licenses (GPL vs BSD). Bien sur, le coté "je ne veux pas donner de restriction" était la comme position philosophique assumé par rapport à la culpabilisation des partisans de la GPL, mais c'est un argument un chouia différent.
Avec l’émergence de GitHub, je pense qu'il y a eu un fossé générationnel qui est apparu entre les gens qui faisaient du libre pour changer le monde (à tort ou à raison) et les gens qui en font parce que la collaboration, c'est bien. C'est bien sur une approximation tracé dans des grandes lignes, et la réalité est sans doute plus subtil, mais il y a quand même quelque chose.
Je suis pas non plus vraiment d'accord pour dire que ça rende tout si compliqué. Si c'était le cas, je pense qu'il y aurait plus de matos avec une variante de netbsd/freebsd plutôt que Linux. Surtout dans la mesure ou on arrête pas de dire que le code de Linux est pas claire, que les BSD ont une meilleur pile réseau et que la GPL est trop compliqué.
Donc soit plusieurs de ses affirmations sont fausses sur les BSD, soit la GPL est pas si compliqué. Ou bien sur, les gens ne font pas des choix rationnels
Et en fait, quand on dit "la GPL est compliqué", j'ai parfois le sentiment que c'est surtout dans le cas ou:
- tu veux faire du proprio
- tu veux faire chier tes concurrents (cough zfs cough)
Les distributions Linux (qui sont des distributeurs, et donc concernés pas mal par le souci) ne passent pas un temps fou sur les licences (à part vérifier que le code est bien libre en premier lieu, ou dans le cas de Fedora, faire gaffe aux histoires de brevets, qu'on a tendance à totalement occulter malgré tout les emmerdes que ça apporte au secteur).
# Les licenses courtes
Posté par Misc (site web personnel) . En réponse au journal Choisir une licence : facile à comprendre ?. Évalué à 5.
Les licences courtes ont le vent en poupe pour divers raisons.
D'un coté, on a des boites qui vont poussés des licences comme les BSD/MIT dans le but de pouvoir faire du proprio, tout en racontant un chouia de FUD sur la GPL (au pire), ou en interdisant la GPL, ce qui grave dans l'esprit des gens que "c'est trop compliqué, on va prendre une BSD".
Ensuite, il y a aussi toute une montée de gens qui font du libre parce que c'est cool, mais qui veulent pas se fatiguer avec le reste. Choisir une licence, c'est compliqué, prendre un bug tracker qui tient la route (genre autre chose que les issues github), c'est compliqué. Faire de la maintenance, c'est compliqué. En gros, tout une partie des gens qui veulent juste coder et rien de plus, une image AMHA fortement influence par les articles de Paul Graham et la mouvance startup.
Bien sur, dire aux gens "tu t'occupes de ça, je me charge du reste", c'est un peu la porte ouverte aux risques d'abus. Par exemple, j'ai en tête une interview (https://motherboard.vice.com/read/the-hacking-team-defectors) d'un des anciens de Hacking Team, ou il a raconté qu'après avoir eu vent d'un rapport liant la société à des abus des droits de l'hommes, les chefs ont décidés de compartimenter les équipes au contact des clients et les équipes d'ingénieurs, afin d'éviter les discussions. Et sans aller dans des cas aussi extrêmes, le fait que le commercial gère la presta en vendant n'importe quoi et que l'ingé le fasse quand même, c'est bien un des trucs qu'on reproche aux SSII.
Donc oui, je pense qu'il y a tout une pression qui pousse à prendre une licence plus courte de la part des développeurs Parfois c'est juste le fait que ça les renvoient au fait qu'ils sont pas juristes et écorne l'image de toute puissance qu'on leur renvoie sans arrêt. Parfois, c'est du FUD. Parfois, c'est aussi une préférence.
J'écris plein de trucs (des modules ansible) sous la MIT parce que je pense que c'est important que les gens utilisent ça pour leur truc interne (ie, souvent proprio). Mais je reconnais aussi l'importance de la GPL pour la santé de l'écosystème du libre, et ça m'attriste de lire ici ou la des trucs sur le fait que c'est trop compliqué, alors que la GPL a eu des tas d'effets positifs. Par exemple, c'est une des raisons d'avoir openwrt en premier lieu. A son tour, openwrt a bien aidé pour les mouvements comme freifunk et france-wireless, ce qui a également permis de faire avancer la recherche dans les réseaux et apporter le réseau à des endroits ou il est pas. Bien sur, on peut pas dire que la GPL a tout fait, c'est avant le travail des bénévoles et non bénévoles qui a permis tout ça. Mais ça a sans doute donner un bon coup d'accélération à ce niveau.
On peut parler de cyanogenmod aussi, comme autre exemple.
Et pour répondre à la question, non, j'ai pas ma propre licence, parce que je pense que ça serait une connerie. Je suis globalement satisfait des choix déjà existant, et j'ai pas le melon au point de croire que ma personne requiert ma propre licence que j'ai torché au coin d'une table après 2 bières. Il y a quand même de quoi faire en matière de logiciel libres, entre les licences qui ont un but politique (genre la GPL et co), et les licences de nihilistes (genre la BSD, la MIT).
[^] # Re: cool mais...
Posté par Misc (site web personnel) . En réponse au journal L'auto-hébergement vulgarisé. Évalué à 4.
Ne pas mettre une version sur 1 seule page comme lien aurait sans doute suffit.
La, quelqu'un clique et charge toute les images d'un coup, donc bon. Au contraire, mettre des pages plus petites aurait en effet sans doute pris plus de requêtes http, mais moins de bp.
[^] # Re: FUD
Posté par Misc (site web personnel) . En réponse au journal La Suède abandonne les paiements en espèce — ne devrait-on pas s'en inquiéter?. Évalué à 2.
En pratique, c'est ce qui arrive.
Voir par exemple les attaques directement sur le reseau swift y a pas longtemps ( http://money.cnn.com/2016/05/13/news/swift-bangladesh-bank-sony-attack/index.html ), ou le fait que les créateurs de malware se sont adaptés pour proposer des couples malware sur le tel avec le malware sur le pc, et tout un tas de trucs.
Mais je pense aussi que les banques vont réagir le jour ou ça va toucher leur porte monnaie directement, et ça implique d'avoir un scandale médiatique. Quand quelqu'un a un souci chez McDo (comme y a 2 ou 3 ans), les ventes de Quick et de tout le secteur prennent 30% dans la vue. Une attaque à large échelle pourrait avoir le même effet, sauf que logiquement, aucun criminel ne veut qu'une banque améliore ses protections, donc il y a incitation à ne pas être trop gourmand.
[^] # Re: Uber, Lebonrecel, Airbnb : pas de le l'économie collaborative
Posté par Misc (site web personnel) . En réponse au journal Le Bon Coin, Airbnb, Uber : Les prochaines poules aux œufs d'or. Évalué à 6.
Citation obligatoire:
https://youtu.be/RFLxu5_m3r8?t=160
[^] # Re: Quid des hackers ? Ben voila "quid des hackers"
Posté par Misc (site web personnel) . En réponse au journal Le Bon Coin, Airbnb, Uber : Les prochaines poules aux œufs d'or. Évalué à 3.
Je ne voulais réagir que sur la fin du journal. Le reste, je laisse le reste du monde apporter son avis, et je suppose que mon avis est similaire a un avis déjà exprimé, donc n'apporte rien.
Je pense que des modèles, y en a. Des modèles efficaces, je sais pas, mais je pense que c'est indépendant du logiciel libre, même si j'ai pas de données pour le prouver. Des boites qui marchent pas, y en a partout, donc savoir si le fait de publier du libre a un impact ou pas, je pense pas qu'on puisse le déduire. Tu peux très bien suivre la licence et ne pas réussir à motiver une communauté pour que ça décolle. Tu peux faire un soft libre qui est un succès sans que ça soit ton cœur de métier (exemple, rails, django), mais qui crée tout un pan de l'industrie.
Et bon, j'ai pas parlé non plus de la tendance à demander d'avoir un compte github qui sert de portfolio pour les devs (vu que j'ai croisé ça rarement), ou la condition est donc d'avoir soit eu la chance de bosser sur du libre, soit d'avoir pris un temps non négligeable pour coder en dehors du travail. On va pas demander à un plombier de prouver qu'il bricole en dehors de son travail que je sache, mais ça semble normal pour les devs, parce qu'on estime que faire ce qu'on aime, ç'est un substitut adéquat à un bout de salaire.
Et ça semble normal aussi parce qu'on ressort le mythe du codeur solitaire qui peut pas se retenir de coder comme l'archétype de la profession. Tout en occultant le fait que ç'est un travail d'équipe, que le dev n'est qu'un maillon dans la chaine de production logiciel, que passion != compétence, et tout ça.
Bien sur que les bénévoles existent et sont nombreux, mais ça ne doit pas apparaitre comme le seul type de contributeurs, et pas uniquement parce que c'est factuellement incorrect, mais parce que c'est dommageable.
[^] # Re: FUD
Posté par Misc (site web personnel) . En réponse au journal La Suède abandonne les paiements en espèce — ne devrait-on pas s'en inquiéter?. Évalué à 4.
Mon souci dans ce cas la n'est pas tant de m'imposer un truc. C'est de me mentir purement et simplement 2 fois d'affilée quand je pose la question de façon explicite.
A un moment, faut pas chercher pourquoi les banquiers sont une profession mal vu (cf http://www.lexpress.fr/emploi/le-mot-banquier-est-devenu-synonyme-de-voleur_1245495.html ou http://www.le-pret-immobilier.com/actualite/assureur-et-banquier-des-professions-mal-aimees-5384.html ). Bien sur, il n'y a pas que ça, mais franchement, c'est une des raisons pour moi de ne pas répondre à mon conseiller car je sais qu'il est pas la pour moi si il peut pas me parler sans me mentir pour une question simple.
ça tombe bien, j'ai bossé dans la sécurité après avoir fait mes études dedans, donc j'en suis parfaitement conscient. Quand je dit qu'ils sont incapables, c'est pas basé sur le fait que ça me fait chier. C'est basé sur le fait qu'ils ont du retard depuis toujours.
La sécurité, c'est pas forcément faire chier les gens. C'est une fausse dichotomie et le genre de connerie qu'on entends quand quelqu'un qui connait pas grand chose en parle. Pour donner un exemple, d'autres banques ont mis en place l'authentification 2 facteurs plus vite et de manière plus sur que ma banque. Alors bien sur, ça aurait sans doute couter plus cher pour eux sur le coup, mais quand après avoir vu qu'un compte WoW avait une authentification plus sur que ma banque (ou du moins, c'était le cas vers 2010), je pense que je peux raisonnablement dire "c'est des guignols". Et pas forcément les pauvres ingés en charge, voir même leur responsables, car j'imagine qu'ils doivent se battre contre un système opaque limitant tout changement, parce que tout l'organisation vit encore au moyen age.
La caisse d'épargne. Et oui, je reste principalement par flemme pour le moment. Pas la flemme de partir, la flemme de finir un tableau de comparaison et de décider sur la shortlist des banques choisis.
Mais je pense aussi qu'à un moment, les banques vont finir par faire comme les assurances (ou du moins, comme une certaine assurance française en 3 lettres que je ne citerais pas), et commencer à se bouger après avoir réalisé que peut être, un des géants du web qui investit massivement dans les statistiques et le fait d'avoir des infos sur les gens pourrait aller sur leur terrain.
# Quid des hackers ? Ben voila "quid des hackers"
Posté par Misc (site web personnel) . En réponse au journal Le Bon Coin, Airbnb, Uber : Les prochaines poules aux œufs d'or. Évalué à 7.
C'est pas très cool d'occulter complétement le travail des non programmeurs et de perpétuer l'idée que c'est secondaire.
Il y a déjà suffisamment de personnes de la communauté qui se pose la question de comment gagner leur vie, donc je ne pense pas que ça soit une caricature, et vraiment une vraie question.
Il y a aussi suffisamment d'exemple de produit ou des SSIIs ont juste repris le soft pour se faire payer des prestas à prix d'or. L'exemple courant, c'est nessus, qui est devenu proprio, mais j'avais aussi en tête MNF (mandrake network firewall), ou on peut regarder grsec et j'ai facile 2/3 autres histoires dans le même domaine (ie, la sécurité informatique, parce que c'est quand même un milieu sans grande morale (HT, gammagroup, etc).
Donc je pense qu'il faut quand mettre ta vison un chouia bisounours à coté de https://linuxfr.org/users/lebouquetin/journaux/pourquoi-une-petite-societe-a-interet-a-contribuer-et-produire-du-libre-mais-pas-que
Et bon, se dire "on travaille gratos", c'est aussi perpétuer le mythe que 1) le libre ne coute rien à produire 2) l'informatique mérite pas vraiment un salaire, vu qu'il y a des gens qui le font gratos. Mythe qu'on retrouve aussi pour les designers par exemple ("mon cousin de 10 ans le fait pour 100€, pourquoi je devrait vous payer ?").
Ça occulte complétement le fait que les gens qui le font sur leur temps libre le font assez souvent parce qu'ils ont déjà un salaire suffisant et du temps libre, chose que tout le monde, loin de la, n'a pas.
[^] # Re: FUD
Posté par Misc (site web personnel) . En réponse au journal La Suède abandonne les paiements en espèce — ne devrait-on pas s'en inquiéter?. Évalué à 2.
Oh, moi, je parle plus de trucs comme:
j'ai demandé à ne pas avoir de NFC sur ma carte. Ma banque m'a dit que c'est sur, ne comprenant pas ce que je dit quand j'ai parlé de doute sur la vie privé, mais me disant qu'ils vont le désactiver. Ils l'ont pas fait (ie, non seulement j'ai le nfc sur la carte, mais en plus, le paiement sans fil est pas désactiver). Double foutage de gueule, par 2 conseillers au téléphone.
pour une raison qui m'échappe, mais qui me parait pas être en ma faveur, je suis soit obligé d'appeler ma banque au tel, soit de venir sur place, soit de passer par leur site web pour interagir. Leur site web a été fermé pendant 1 mois ou 2 plus d'une fois suite à des campagnes de fishing, donc j'avais la possibilité de venir à l'agence. A 300 km de chez moi, car la banque, comme le reste de l'industrie, est régionalisé. Pourquoi, je sais pas, mais je suis sur que c'est pas pour me donner un meilleur service.
niveau sécu, c'est un peu n'imp. Je râle pas trop parce que ça joue parfois en ma faveur, mais ça fait peur. Genre, un simple coup de fil avec des informations publiques suffit à faire certaines opérations.
Ils sont pas non plus vraiment réactif. SI je dépasse le plafond de ma carte, je doit attendre un jour ouvré. Si je veux rajouter un compte bénéficiaire pour un virement sur le web, je doit attendre 72h incompressible.
Et en fait, c'est pareil presque partout. J'arrête pas de me dire qu'il faut que je change de banque, mais j'arrive pas vraiment à choisir la nouvelle. Et en fait, peut être que la solution, c'est faire comme mes amis, et avoir 2 banques. Parce que finalement, peut être qu'en effet, on peut pas faire confiance à une seul banque pour suffire. Y a 0 conséquences pour elles, donc pourquoi elles vont se fatiguer ?