Ce n'est pas pour des raisons de sécurité qu'ils ont limité à 3
mois ? Juste éviter d'avoir un certificat compromis qui se
trimbale trop longtemps ?
Oui.
Encore une mauvaise pratique de sécurité.
Oui, mais je peux imaginer qu'il y a ds cas ou ça a du sens. Letsencrypt repose quand même fortement sur le fait que tu arrives à automatiser autant que possible tout.
C'est parfois pas le cas pour des questions de moyens et de limitations techniques. Moi, j'utilise letsencrypt à fond pour les sites que mon travail implique de déployer mais j'ai aussi tout automatisé via ansible. Quelqu'un qui va faire ça à la main parce qu'il ne connait pas ansible et consorts, ou qui va devoir ajouter à la main le certificat dans son boitier F5 via une interface web, ça va sans doute l'arranger d'avoir ça.
Bien sur, la solution est d'embaucher des sysadmins capables d'automatiser tout (ou plus proasiquement de laisser le temps aux dits sysadmins de se former) et/ou remplacer les boitiers à 10 000 boules, mais ça reviens à des questions de moyens qui se corrige pas d'un coup.
Tout de suite, les propos insultants, c'est triste.
(et pour répondre à la personne qui demande mes sources, c'est des discussions avec des anciens de Sun au boulot, ce qui revient à me dire "me croire sur parole", car ça serait interdit par mon contrat de travail que de publier les mails)
Tu opposes 2 licences, mais rien n'aurais empêché Sun/Oracle de basculer les choses sous GPL v3 à la sortie, Ou de rendre les licences compatibles en changeant la dite licence. Ou de mettre plusieurs licences. Si QT arrive à avoir du code qui peut être libre et non-libre à la fois, j'ai aucun doute qu'une boite avec des avocats comme Oracle puisse avoir une solution si c'était vraiment le but.
Donc bon, non, je pense que j'ai vu plus loin que le bout de mon nez. Tu es libre de ne pas le croire et te dire que je suis jaloux de zfs, mais si je voulais vraiment zfs, je prendrais un freebsd, ç'est un système libre au même titre que Linux, donc je vois pas vraiment en quoi ça me poserais des soucis.
La différence est sans doute que Stallman l'a fait pour une raison politique en vue de préserver le code de qu'il voyait comme un péril, la ou Sun l'a fait juste pour faire chier ses concurrents et se garder un avantage commercial.
Bien sur, c'est pareil si tu trouves qu'on peut mettre au même niveau un acte commercial visant à défavoriser la concurrence et un acte visant à soutenir une idéologie. Mais c'est croire que les logiciels libre sont en concurrence entre eux, et que faire du pognon est une idéologie équivalente à faire progresser la science et les libertés des gens.
Il y a besoin d'être mainteneur pour avoir un avis sur systemd?
non, mais y a besoin de faire le taf pour que l'avis compte.
Tout le monde peut avoir un avis, mainteneur ou non. Et donc,
tout le monde peut être pro, anti, ou entre les deux.
Bien sur, mais au final, ceux qui font le boulot décident. Et quand je vois le temps que Devuan a mis pour sortir une beta (sachant que Mageia a mis 4 mois pour sortir la première stable, avec infra, gouvernance, etc), le fait d'avoir eu 0 exode des utilisateurs (cf le journal sur devuan), j'ai tendance à dire qu'avoir un avis est plus facile que faire le taf. Et même si c'est triste, c'est la dur loi du logiciel libre. Si personne fait le taf, le taf est pas fait.
Là, franchement, il est hyper complexe, il peut remplacer le
vénérable init mais aussi fstab,
mais supporte encore /etc/fstab.
crontab
mais supporte encore crontab comme avant. Rajouter l'execution periodique, ç'est quasiment logique (cf upstart et launchd). Entre lancer un soft sur un event (genre tel autre soft vient de se lancer) et lancer un soft sur un event temporel, y a pas grand chose de différent, donc y a du sens de faire les 2.
iptables
non. ce que systemd fait, c'est d'activer des regles de nat pour lancer des containers. C'est pas vraiment remplacer iptables, sauf si tu as une vision vachement réduite d'iptables.
su
pas vraiment. su va juste changer le userid, et parfois suivant les options, lancer ou pas l'initialisation. machinectl shell va te lancer une session, mais aussi dans un container. Le fait de lancer ça sans changer de namespace est juste une feature logique (vu que le namespace par defaut est juste un namespace comme un autre).
udev…
udev a été mergé par les devs upstreams, au cas ou tu as oublié.
En fait, je pense que si tu prends "le systeme d'init" comme "/bin/init", oui, tu va pas comprendre. Si tu prends en compte "/bin/init et /etc/rc.d" et les fichiers afférants, alors ça prends plus de sens. Genre /etc/rc.d/network, qui va gérer le réseau (comme networkd), /etc/rcS.d/S08mountall.sh va gérer le montage des partoches (d'ou le fait d'avoir un type mount, qui n'est que l'exposition du type interne de systemd pour les montages), et tout les sous morceaux de script qui font l'init.
Ou pour les distros RH-like, le gros bousin de /etc/rc.sysinit
avec des choix très discutables sur la gestion de l'UEFI
Alors, je suppose que tu parles des machines de MSI (https://github.com/systemd/systemd/issues/2402). Comme dit dans le rapport de bug, il y a des raisons de vouloir écrire dans efivars pour des programmes externes. Et on l'a vu avec les gens de tmux, quand on soumet des demandes pour adopter le comportement d'un soft à un changement de systemd, c'est non car c'est à systemd de rien changer, et quand systemd ne change pas pour ne pas casser les programmes, c'est "très discutables" et le comportement aurait du changer.
On pourrait presque croire qu'il y a aucun moyen de faire le bon choix.
ou plus récemment sur la survie des process après logout
(nohup ca veut dire ce que ca veut dire, il n'y a pas besoin
d'une option pour ca).
Le pourquoi du comment est pourtant expliqué dans les divers bug reports pour qui veut savoir ce qui est le souci derrière.
Et je vois pas en quoi nohup change grand chose. Ni même ce que ça veut dire en pratique, vu que ça ne s'applique que pour les programmes avec un concept de tty (vu que tout ce que ça fait, c'est d'ignorer le signal qui est envoyé quand tu perds ton port série, et par extension, ton terminal virtuel). Ça ne veux pas vraiment dire "lance ça en background", et par définition, ça n'a aucun sens sur un programme non lié à un tty (genre certains demons utilise SIGHUP pour autre chose que voir qu'il y a plus personne face à eux ).
S'il faut à tout prix remplacer l'init,
alors en fait, si tu regardes un peu l'histoire:
- gentoo a remplacé son init (openrc)
- ubuntu a remplacé son init (upstart)
- apple a remplacé son init (launchd)
- sun a remplacé son init (smf)
Fedora avait adopté upstart (et RHEL 6 en a hérité), Suse et Mandriva voulait faire de même. Et je pense que certains BSD ont aussi refait leur init (genre openbsd).
Donc ouais, depuis un bout de temps, les unix veulent changer leur init.
il y a d'autres
alternatives mais qui ont a priori le tort de ne faire que ce
qu'ils doivent faire (par exemple openrc souvent cité, mais
aussi runit qui est, lui, vraiment impressionnant de rapidité).
En fait non, le tort, c'est d'avoir intéressé personne.
Sur les tonnes de distros de distrowatch, y en a aucune dans le top 30 qui s'est dit depuis que runit existe "tiens, on va mettre ça".
Openrc, c'est pire. Dans le débat du TC de Debian, personne n'a poussé. Le packager qui s'en occupait était grosso modo tout seul alors que ça aurait collé sans doute mieux aux problématiques de debian. Et dans gentoo, personne n'a corrigé les bugs du au lancement de service en parallèle présent pendant 4 ou 5 ans. Et tout comme upstart, c'était bien dormant avant que systemd n'arrive.
Donc non, leur seul tort, c'est que ça n'a motivé personne. Et en général, si un truc motiv e personne, y a des chances que ça soit pas si bien que ça, que ça répondes pas aux problèmes des gens. Y a pas à
Donc non, je ne comprends pas ce mouvement de foule qui ne
jure que par systemd.
C'est pourtant pas faute d'avoir eu largement le temps de lire les discutions des 5 dernières années.
Et puis le processeur baseband GSM ne sera jamais ouvert en
logiciel libre. Et c'est l'endroit parfait pour les logiciels
espions.
Pas vraiment. Déjà, le dit processeur a l'air d'avoir des besoins assez fort en terme de temps réel (il traite le signal radio), donc rajouter des trucs risque de perturber le fonctionnement du baseband GSM.
Ensuite, l'espace est vachement limité. Le firmware que j'avais regardé, c'était sur une base de nucleus ( de Mentor graphics), et c'était 5M tout mouillé. Y a sans doute moyen de faire des choses, mais je pense pas que tu va réussir à faire un truc de folie qui soit générique, et il te faut avoir les ingénieurs radios et embarqués (et ça court pas vraiment les rues, vu le peu d'engouement qu'il y a sur osmocombb). Et bon, on parle de supporter la 3G, et la 4G aussi. Et parfois tout le reste (FM, GPS, etc).
Et enfin, ce genre de firmware sont proprios, et sans doute sous NDA, avec des lourdes certifications (car bon, tu mets pas n'importe quoi n'importe comment sur le marché). Quand tu t'appelles Apple, tu peux 1) négocier pour le changer 2) payer la certif autant que possible. Si tu es pas Apple, bah, dommage, fallait naitre milliardaire.
La on parle de gens qui font une campagne de financement de 50k sur un marché qui va intéresser quasiment personne. Ça serait déjà un miracle de sortir un tel avec ça.
Le fait d'avoir des firmwares proprios est un souci, et je suis sur que la majorité sont pourris (cf les divers talks qu'il y a eu sur le sujet).
Je ne nie pas ce fait. mais malgré ça, toutes les attaques documentés et utiliser en pratique (ie, en dehors du POC et ou d'une conf) sont sur
1) des failles dans SS7
2) es failles dans l'OS (ou tu as largement plus la place de faire des tas de choses)
3) des failles dans les applicatifs.
Que je sache, même dans les groupes qui sont le plus à fond sur l'étude des dits firmwares, ça n'a pas été au delà de "ç'est de la merde et ça plante dés qu'on change un paramètre du signal". Ou les boites commerciales à la Gamma Group et/ou Hacking Team ont été au plus simple (ou au plus réaliste).
L'état de l'art est que ça plante sans grande raison si tu touches trop. Et si le firmware fait de la merde, plante le réseau GSM, tu peux être sur que 1) l'opérateur va le voir 2) l'opérateur va contacter le porteur du tel 3) l'opérateur va faire vite le lien entre "ça fait 5 tels du même fabricant" et "ça fait de la merde" 4) l'opérateur va faire ce qu'il faut.
Je sais pas vraiment pour toi, mais un truc limité, fragile, qui est globalement plus complexe à programmer, j'appelle pas ça "un endroit parfait". L'os est plus intéressant pour un attaquant:
- API standard et public (ie, tu peux tester sur ton tel, tu réutilises le code sans passer 6 mois)
- API de haut niveau (genre, tu as de quoi lire un fichier, de quoi envoyer un fichier, de quoi fouiller tout ce qui existe)
- des ressources et vachement moins besoin de répondre à la microseconde
- une connectivité internet la plupart du temps
- des applis préinstallées sans doute moisies (et donc exploitable)
Il y a le fait que les sites vont te forcer à suivre une certains façon d'interagir avec eux, et que tu est bien plus limité au niveau du filtrage que tu va pouvoir faire, même si des personnes motivés arrivent à faire des choses impresionnantes.
L'exemple le plus probant, c'est travail de Randi Lee Harper qui a écrit ggautoblocker, un système de blocage sur twitter ce qui a visiblement mis hors d'eux les membres du mouvement gamergate (parce qu'on pouvait d'un coup les ignorer de façon efficace, et que visiblement, le fait qu'une personne choisisse de ne pas les lire est une atteinte à leur liberté d'expression, car c'est bien connu que se faire insulter et menacer n'est visiblement pas un truc qu'on devrait pouvoir bloquer…). Elle a également écrit des articles sur le sujet, comme:
Et ensuite, ben tu as le risque de perte de mots de passes et d'infos. C'est pas que les gros réseaux sociaux sont moins sécurisés, mais c'est des cibles bien plus attirantes pour trouver des mots de passes en masse. Encore une fois, Linkedin, dont les conséquences d'une fuite en 2012 commencent à se faire voir. Et en effet, même si ton instance de diaspora est pas à jour et tes 5 utilisateurs risquent de perdre leur mot de passe, personne ne va passer plus de 5 minutes pour ça dans la majorité des cas, car ça n'a aucune valeur (pour le compte moyen, j'entends, je peux imaginer en effet des cas particuliers).
Après je connais pas mal de gens dans la même position qui
attendent que Devuan sorte en stable pour tester et migrer,
Donc si je comprends bien, aucun des gens de ton entourage ne semble vouloir s'investir et contribuer malgré la demande du projet ?
mais bon je crois qu'on s'en fout tous un peu de savoir la
popularité de telle ou telle distrib', l'important c'est
d'avoir une distrib qui correspond à ce qu'on cherche, et qui
fonctionne.
En général, le fait de fonctionner est corrélé directement avec la popularité de la distro, ou dans le cas des dérivés, de la distribution parente (surtout dans le cas des dérivés, qui en général ne sont pas capable de s'en sortir sans la distro parente)
Je peux juste dire que la ML Devuan est très active
et très
intéressante, et qu'il y a une effervescence pas
inintéressante autour du projet :)
Je suis toujours sous le choc de n'avoir réussi à trouver aucune faille de sécurité malgré des choix technologiques audacieux (comprendre: "un soft en pascal qui lance un backend C qui fait des appels à grep,sed et awk pour filtrer les réseaux") qui ont alerté mon instinct.
Je suis content que des gens s'attaquent au souci de ne pas avoir assez de gestionnaire de réseau ( car bon, on a networkd, network manager, connman, wicd et sans doute une paire d'autres, y a clairement de la place pour encore 2 ou 3…), mais j'ai quand même des doutes sur un truc qui semble pire que wicd au niveau code ( https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=692417 ).
Ensuite, on verra quand ça sortiras.
Donc je note que la date de l'exode en masse, c'est le jour de la sortie de devuan stable ( avec un peu de chance, avant le freeze de Debian en février 2017).
C'est plutôt le nombre de contributeurs qui m'intéresse. S'il
y a des utilisateurs mais personne pour maintenir, ça n'ira
pas loin et les utilisateurs passeront à autre chose.
En effet, mais pour le moment, je pense que les gens qui sont la sont 1) habitué à tester des tas de trucs obscures 2) trop impliqué pour changer d'avis.
Maintenant, perso, j'aurais pas forké comme ça (cad, changer tout puis sortir une version, j'aurais fait l'inverse histoire d'en effet avoir une communauté en premier)
on a essayé de profiter des délais administratifs pour lui
couper l'herbe sous le pied à l'arrache et monter une pseudo
fondation dont on sait meme pas encore a quoi elle va servir…
Si je peux me permettre, je pense que le terme français juridiquement correct est "association". (on m'a rabaché qu'une fondation est un truc différent en droit français).
Je pense aussi que même si c'est peut être ce qui est arrivé, la création d'une structure de ce genre me parait trop rapide pour que ça se soit fait sans qu'il le sache et juste après son départ.
Ensuite, peut être que c'est plus rapide qu'en france, bien sur.
Et je trouve aussi curieux qu'un actionnaire reprenne ses billes du jour au lendemain, forcant à rembourser le prêt ou ce genre de choses. Encore une fois, c'est peut être légal, mais je suis pas sur que les nuances de l'histoire correspondent à la réalité.
Mais ceci dit, quand je voit les chiffres (surtout sur talk, et sur reddit/voat), je me pose la question.
On m'avais dit qu'une fois que Centos 7 arriverait, les gens partiraient en masse (donc en juillet 2014 ). Puis on a dit "tu verras quand Debian sortira" ( avril 2015 ). Et ensuite "quand ça toucheras Ubuntu" (octobre 2015). Puis "nan mais je voulais dire Ubuntu stable" (avril 2016).
On m'avais dit "les gens vont quitter Linux", donc naturellement, je regarde sur les BSD, qui me paraissent quand même les endroits naturels vers ou bouger, car c'est des OS matures et qui marchent.
Je sais pas comment mesurer le nombre d'utilisateur, mais je pense que si ils augmentent fortement, alors l'augmentation va se voir dans divers indicateurs, tel que le nombre de posts sur les listes.
J'ai pas trouvé de liste pour freebsd qui pourraient correspondre, mais pareil, j'ai pas vu une grosse augmentation d'activité.
Alors, est ce que tout le monde attends que Devuan sorte de beta pour migrer, ou est ce que finalement, l'exode n'a pas eu lieu ?
Ou est ce que bien sur, mes estimations sont fausses, et pour voir l'exode, il faut que je regarde ailleurs (avec un ailleurs qui ne soit pas autour de moi non plus, car je pense que je suis le seul de mon entourage à apprendre à utiliser un BSD plus en profondeur, et dans mon cas, c'est en partie pour des raisons pros).
Plus ça coute cher, plus ça va finir par faire mal aux portefeuilles et en effet rendre le truc plus compliqué.
Mais plus ça coute cher, plus il y a de raisons de rendre ça plus facile.
Soit par des lois (cf le FBI par exemple), soit en faisant appel au secteur privé (HT, gamma group), qui va voir en effet une opportunité business.
Et bon, je doute aussi que tout les services secrets débordent d'experts. Ils doivent en avoir bien sur, mais pas non plus des tonnes. Et donc partir du principe qu'ils misent surtout sur le fait qu'ils ont des gens dédiés (cf la présentation de l'équipe TAO durant la conf enigma), et que leur force, c'est surtout d'avoir du temps pour être méticuleux.
Et cf le catalogue de la NSA, il y a aussi de la refacturation interne pour le matos, c'est donc pas non plus la fête du slip.
(encore une fois, ça reste une administration, avec le secret défense et tout, donc ça doit être lourd procéduralement, d'autant plus après les leaks de snowden).
J'ai aussi l'impression qu'ils ont juste tendance à bruteforcer les trucs ( "alors, on va prendre une tonne de serveur mysql pour stocker xkeyscore, c'est plus simple") la ou Google (pour donner un exemple de boite avec des ingés et des besoins de monter à l’échelle) a refait toute l'infra from scratch, de part une pression plus forte à être compétitif (et sans doute plus d'ingés que la NSA).
Donc ouais, je pense que "rendre le truc plus cher" est une bonne idée. De la même façon qu'on juge les coffres par le temps pour être percés plus que savoir si on rentre ou pas. C'est plus honnête et logique vis à vis du modèle d'attaque courant.
Alors la question est pas pour moi, mais ça dépend du service et de l'attaquant.
Tu peux avoir une VM (sans doute pas ton cas), et l'hébergeur peut en théorie et "trivialement" faire des trucs à partir de ça (genre 'freeze de la mémoire' et extraction des clés depuis le dump).
Techniquement, une attaque du même genre à base de coldboot est possible: https://en.wikipedia.org/wiki/Cold_boot_attack . Ca implique un reboot du serveur et 5 ou 6 minutes de downtime au mieux.
Techniquement, une attaque à base de modification de l'initrd est aussi possible: https://github.com/GDSSecurity/EvilAbigail
Ça requiert aussi un reboot, et ça laisse des traces.
Théoriquement, tu peux aussi dumper la ram via jtag/openocd en fonction de l'archi de la machine. Je sais que ça passe pour de l'arm embarqué (ou du mips), mais je sais pas du tout pour les archis plus classiques (genre x86 ou serveur). En fonction de la machine, ça requiert sans doute du matos et des trucs spéciaux et peut être éteindre la machine pour mettre les connecteurs. C'est une piste à explorer AMHA.
Mais non, à part la VM, y a rien de trivial mais ça dépend vraiment des attaquants.
Ça requiert en effet 2 serveurs, mais tu peux dire "utilise le réseau et le tpm", ce qui fait qu'un attaquant volant le disque doit prendre le serveur, la carte mère et répliquer le réseau.
Ça ne réponds pas forcément à tout types d'attaques, bien sur, mais ça me semble un élément de réponse.
Grosso modo le même genre de souci que la multiplication des bibliothèque qui retourne les chaines en js. Ou que refaire sa crypto. Si tu fait plus que modifier le nom en prenant l'existant, y a des chances que ça soit incorrect.
Dans les comptages c'est compliqué ? Ne comptons pas mon code,
il est inutile et pas intéressant ! Il y a des subtilités dans
la licence ? Ma licence est là pour dire que j'abandonne tous
les droits possibles. C'est pas cool pour les empaqueteurs ?
Il n'y a pas de packaging de prévu à court et moyen terme.
Visiblement, tu sembles ne voir que dans le cas particulier de tes projets sans chercher à voir une vision plus haut niveau.
Déjà, tu confonds 'avoir sa licence' avec 'avoir une copie de la WTFPL à son nom'. C'est 2 choses différentes. Parce que quand la licence est subtilement changé (au delà de juste changer le nom), ça cause d'autres soucis. Genre tel personne qui dit que le code est utiliser "for good and not for evil".
Et donc rajouter des licences qui ne change rien, ça rajoute juste du bruit, et dire que c'est ok, ça envoie un message plus compliqué ("alors faire sa license, c'est pas super, sauf si tu change rien, auquel cas, c'est pas un souci") qui n'aboutit qu'à embrouiller les gens. On a encore des gens qui pensent que "free software" == "gratuit", donc je pense que si on peut s'éviter de rajouter des choses, ça serait mieux.
Ensuite, peut être que tu veux pas non plus te préoccuper de ça, et je peux pas te forcer bien sur. Tu as le droit de faire ta licence, mais je pense que c'est la responsabilité de toute la communauté du libre de pas se tirer dans le pied comme ça.
Je peux difficilement ne pas me sentir concerné par cette
assertion. La question n'est pas d'avoir le « melon », d'être
« moche » ou « narcissique » (je ne crois mettre aussi
violemment fait reprendre sur linuxfr auparavant…).
Je ne voulais pas te viser (sinon, j'aurais répondu directement à ton commentaire), mais je comprends que tu puisses le percevoir comme tel, et je suis désolé que mes propos (grossiers et provocateurs) t'es visiblement mis mal à l'aise pour avoir fait un truc qui est ton droit.
Quel est le rapport avec les licences ?
C'est un exemple de dérive du mode de pensée de "je m'occupe que de tel truc, le reste est trop compliqué", et la rapport avec les licences, c'est qu'il y a assez souvent des gens qui trouvent les choses trop compliqués (cf par exemple ta propre réponse).
Non c'est bien plus vieux que ça.
Ma foi, je suis pas sur. Mon souvenir des discussions d'il y a 15 ans, c'est que l'argument "coder pour le plaisir" n'avais pas l'importance qu'il a maintenant dans les discussions de licenses (GPL vs BSD). Bien sur, le coté "je ne veux pas donner de restriction" était la comme position philosophique assumé par rapport à la culpabilisation des partisans de la GPL, mais c'est un argument un chouia différent.
Avec l’émergence de GitHub, je pense qu'il y a eu un fossé générationnel qui est apparu entre les gens qui faisaient du libre pour changer le monde (à tort ou à raison) et les gens qui en font parce que la collaboration, c'est bien. C'est bien sur une approximation tracé dans des grandes lignes, et la réalité est sans doute plus subtil, mais il y a quand même quelque chose.
Il y a des gens qui veulent coder et partager leur code, pas
donner un tas de restriction parce que c'est compliqué et que
ça rend tout compliqué. Si vraiment tu rencontre un problème
tu limite les choses en changeant de licence, mais par défaut
non.
Je suis pas non plus vraiment d'accord pour dire que ça rende tout si compliqué. Si c'était le cas, je pense qu'il y aurait plus de matos avec une variante de netbsd/freebsd plutôt que Linux. Surtout dans la mesure ou on arrête pas de dire que le code de Linux est pas claire, que les BSD ont une meilleur pile réseau et que la GPL est trop compliqué.
Donc soit plusieurs de ses affirmations sont fausses sur les BSD, soit la GPL est pas si compliqué. Ou bien sur, les gens ne font pas des choix rationnels
Et en fait, quand on dit "la GPL est compliqué", j'ai parfois le sentiment que c'est surtout dans le cas ou:
- tu veux faire du proprio
- tu veux faire chier tes concurrents (cough zfs cough)
Les distributions Linux (qui sont des distributeurs, et donc concernés pas mal par le souci) ne passent pas un temps fou sur les licences (à part vérifier que le code est bien libre en premier lieu, ou dans le cas de Fedora, faire gaffe aux histoires de brevets, qu'on a tendance à totalement occulter malgré tout les emmerdes que ça apporte au secteur).
Les licences courtes ont le vent en poupe pour divers raisons.
D'un coté, on a des boites qui vont poussés des licences comme les BSD/MIT dans le but de pouvoir faire du proprio, tout en racontant un chouia de FUD sur la GPL (au pire), ou en interdisant la GPL, ce qui grave dans l'esprit des gens que "c'est trop compliqué, on va prendre une BSD".
Ensuite, il y a aussi toute une montée de gens qui font du libre parce que c'est cool, mais qui veulent pas se fatiguer avec le reste. Choisir une licence, c'est compliqué, prendre un bug tracker qui tient la route (genre autre chose que les issues github), c'est compliqué. Faire de la maintenance, c'est compliqué. En gros, tout une partie des gens qui veulent juste coder et rien de plus, une image AMHA fortement influence par les articles de Paul Graham et la mouvance startup.
Bien sur, dire aux gens "tu t'occupes de ça, je me charge du reste", c'est un peu la porte ouverte aux risques d'abus. Par exemple, j'ai en tête une interview (https://motherboard.vice.com/read/the-hacking-team-defectors) d'un des anciens de Hacking Team, ou il a raconté qu'après avoir eu vent d'un rapport liant la société à des abus des droits de l'hommes, les chefs ont décidés de compartimenter les équipes au contact des clients et les équipes d'ingénieurs, afin d'éviter les discussions. Et sans aller dans des cas aussi extrêmes, le fait que le commercial gère la presta en vendant n'importe quoi et que l'ingé le fasse quand même, c'est bien un des trucs qu'on reproche aux SSII.
Donc oui, je pense qu'il y a tout une pression qui pousse à prendre une licence plus courte de la part des développeurs Parfois c'est juste le fait que ça les renvoient au fait qu'ils sont pas juristes et écorne l'image de toute puissance qu'on leur renvoie sans arrêt. Parfois, c'est du FUD. Parfois, c'est aussi une préférence.
J'écris plein de trucs (des modules ansible) sous la MIT parce que je pense que c'est important que les gens utilisent ça pour leur truc interne (ie, souvent proprio). Mais je reconnais aussi l'importance de la GPL pour la santé de l'écosystème du libre, et ça m'attriste de lire ici ou la des trucs sur le fait que c'est trop compliqué, alors que la GPL a eu des tas d'effets positifs. Par exemple, c'est une des raisons d'avoir openwrt en premier lieu. A son tour, openwrt a bien aidé pour les mouvements comme freifunk et france-wireless, ce qui a également permis de faire avancer la recherche dans les réseaux et apporter le réseau à des endroits ou il est pas. Bien sur, on peut pas dire que la GPL a tout fait, c'est avant le travail des bénévoles et non bénévoles qui a permis tout ça. Mais ça a sans doute donner un bon coup d'accélération à ce niveau.
On peut parler de cyanogenmod aussi, comme autre exemple.
Et pour répondre à la question, non, j'ai pas ma propre licence, parce que je pense que ça serait une connerie. Je suis globalement satisfait des choix déjà existant, et j'ai pas le melon au point de croire que ma personne requiert ma propre licence que j'ai torché au coin d'une table après 2 bières. Il y a quand même de quoi faire en matière de logiciel libres, entre les licences qui ont un but politique (genre la GPL et co), et les licences de nihilistes (genre la BSD, la MIT).
Ne pas mettre une version sur 1 seule page comme lien aurait sans doute suffit.
La, quelqu'un clique et charge toute les images d'un coup, donc bon. Au contraire, mettre des pages plus petites aurait en effet sans doute pris plus de requêtes http, mais moins de bp.
Mais je pense aussi que les banques vont réagir le jour ou ça va toucher leur porte monnaie directement, et ça implique d'avoir un scandale médiatique. Quand quelqu'un a un souci chez McDo (comme y a 2 ou 3 ans), les ventes de Quick et de tout le secteur prennent 30% dans la vue. Une attaque à large échelle pourrait avoir le même effet, sauf que logiquement, aucun criminel ne veut qu'une banque améliore ses protections, donc il y a incitation à ne pas être trop gourmand.
L'immense majorité des patients sont peu intéressants en termes
de pédagogie. Parce qu'ils ont tous les mêmes pathologies, et
que quand on en a vu un, on les a tous vus.
[^] # Re: StartEncrypt
Posté par Misc (site web personnel) . En réponse au journal Petites news dans le monde des autorités de certifications. Évalué à 4.
Oui.
Oui, mais je peux imaginer qu'il y a ds cas ou ça a du sens. Letsencrypt repose quand même fortement sur le fait que tu arrives à automatiser autant que possible tout.
C'est parfois pas le cas pour des questions de moyens et de limitations techniques. Moi, j'utilise letsencrypt à fond pour les sites que mon travail implique de déployer mais j'ai aussi tout automatisé via ansible. Quelqu'un qui va faire ça à la main parce qu'il ne connait pas ansible et consorts, ou qui va devoir ajouter à la main le certificat dans son boitier F5 via une interface web, ça va sans doute l'arranger d'avoir ça.
Bien sur, la solution est d'embaucher des sysadmins capables d'automatiser tout (ou plus proasiquement de laisser le temps aux dits sysadmins de se former) et/ou remplacer les boitiers à 10 000 boules, mais ça reviens à des questions de moyens qui se corrige pas d'un coup.
[^] # Re: APFS
Posté par Misc (site web personnel) . En réponse au journal Le malaise.. Évalué à 5.
Tout de suite, les propos insultants, c'est triste.
(et pour répondre à la personne qui demande mes sources, c'est des discussions avec des anciens de Sun au boulot, ce qui revient à me dire "me croire sur parole", car ça serait interdit par mon contrat de travail que de publier les mails)
Tu opposes 2 licences, mais rien n'aurais empêché Sun/Oracle de basculer les choses sous GPL v3 à la sortie, Ou de rendre les licences compatibles en changeant la dite licence. Ou de mettre plusieurs licences. Si QT arrive à avoir du code qui peut être libre et non-libre à la fois, j'ai aucun doute qu'une boite avec des avocats comme Oracle puisse avoir une solution si c'était vraiment le but.
Et même eux ont déjà changé la licence d'un code pour le rendre compatible GPL v2, c'est déjà ce qui est arrivé avec Sun RPC:
https://lwn.net/Articles/319648/
http://spot.livejournal.com/315383.html?nojs=1
Donc bon, non, je pense que j'ai vu plus loin que le bout de mon nez. Tu es libre de ne pas le croire et te dire que je suis jaloux de zfs, mais si je voulais vraiment zfs, je prendrais un freebsd, ç'est un système libre au même titre que Linux, donc je vois pas vraiment en quoi ça me poserais des soucis.
[^] # Re: Désinformation ?
Posté par Misc (site web personnel) . En réponse au journal Le malaise.. Évalué à 6.
C'est différent du People's Front of Judea ?
[^] # Re: APFS
Posté par Misc (site web personnel) . En réponse au journal Le malaise.. Évalué à 7.
La différence est sans doute que Stallman l'a fait pour une raison politique en vue de préserver le code de qu'il voyait comme un péril, la ou Sun l'a fait juste pour faire chier ses concurrents et se garder un avantage commercial.
Bien sur, c'est pareil si tu trouves qu'on peut mettre au même niveau un acte commercial visant à défavoriser la concurrence et un acte visant à soutenir une idéologie. Mais c'est croire que les logiciels libre sont en concurrence entre eux, et que faire du pognon est une idéologie équivalente à faire progresser la science et les libertés des gens.
[^] # Re: LinuxFR est pro-Systemd
Posté par Misc (site web personnel) . En réponse à la dépêche Debian Jessie, 1 an plus tard. Évalué à 3.
non, mais y a besoin de faire le taf pour que l'avis compte.
Bien sur, mais au final, ceux qui font le boulot décident. Et quand je vois le temps que Devuan a mis pour sortir une beta (sachant que Mageia a mis 4 mois pour sortir la première stable, avec infra, gouvernance, etc), le fait d'avoir eu 0 exode des utilisateurs (cf le journal sur devuan), j'ai tendance à dire qu'avoir un avis est plus facile que faire le taf. Et même si c'est triste, c'est la dur loi du logiciel libre. Si personne fait le taf, le taf est pas fait.
[^] # Re: LinuxFR est pro-Systemd
Posté par Misc (site web personnel) . En réponse à la dépêche Debian Jessie, 1 an plus tard. Évalué à 10.
mais supporte encore /etc/fstab.
mais supporte encore crontab comme avant. Rajouter l'execution periodique, ç'est quasiment logique (cf upstart et launchd). Entre lancer un soft sur un event (genre tel autre soft vient de se lancer) et lancer un soft sur un event temporel, y a pas grand chose de différent, donc y a du sens de faire les 2.
non. ce que systemd fait, c'est d'activer des regles de nat pour lancer des containers. C'est pas vraiment remplacer iptables, sauf si tu as une vision vachement réduite d'iptables.
pas vraiment. su va juste changer le userid, et parfois suivant les options, lancer ou pas l'initialisation. machinectl shell va te lancer une session, mais aussi dans un container. Le fait de lancer ça sans changer de namespace est juste une feature logique (vu que le namespace par defaut est juste un namespace comme un autre).
udev a été mergé par les devs upstreams, au cas ou tu as oublié.
En fait, je pense que si tu prends "le systeme d'init" comme "/bin/init", oui, tu va pas comprendre. Si tu prends en compte "/bin/init et /etc/rc.d" et les fichiers afférants, alors ça prends plus de sens. Genre /etc/rc.d/network, qui va gérer le réseau (comme networkd), /etc/rcS.d/S08mountall.sh va gérer le montage des partoches (d'ou le fait d'avoir un type mount, qui n'est que l'exposition du type interne de systemd pour les montages), et tout les sous morceaux de script qui font l'init.
Ou pour les distros RH-like, le gros bousin de /etc/rc.sysinit
Alors, je suppose que tu parles des machines de MSI (https://github.com/systemd/systemd/issues/2402). Comme dit dans le rapport de bug, il y a des raisons de vouloir écrire dans efivars pour des programmes externes. Et on l'a vu avec les gens de tmux, quand on soumet des demandes pour adopter le comportement d'un soft à un changement de systemd, c'est non car c'est à systemd de rien changer, et quand systemd ne change pas pour ne pas casser les programmes, c'est "très discutables" et le comportement aurait du changer.
On pourrait presque croire qu'il y a aucun moyen de faire le bon choix.
Le pourquoi du comment est pourtant expliqué dans les divers bug reports pour qui veut savoir ce qui est le souci derrière.
Et je vois pas en quoi nohup change grand chose. Ni même ce que ça veut dire en pratique, vu que ça ne s'applique que pour les programmes avec un concept de tty (vu que tout ce que ça fait, c'est d'ignorer le signal qui est envoyé quand tu perds ton port série, et par extension, ton terminal virtuel). Ça ne veux pas vraiment dire "lance ça en background", et par définition, ça n'a aucun sens sur un programme non lié à un tty (genre certains demons utilise SIGHUP pour autre chose que voir qu'il y a plus personne face à eux ).
alors en fait, si tu regardes un peu l'histoire:
- gentoo a remplacé son init (openrc)
- ubuntu a remplacé son init (upstart)
- apple a remplacé son init (launchd)
- sun a remplacé son init (smf)
Fedora avait adopté upstart (et RHEL 6 en a hérité), Suse et Mandriva voulait faire de même. Et je pense que certains BSD ont aussi refait leur init (genre openbsd).
Donc ouais, depuis un bout de temps, les unix veulent changer leur init.
En fait non, le tort, c'est d'avoir intéressé personne.
Sur les tonnes de distros de distrowatch, y en a aucune dans le top 30 qui s'est dit depuis que runit existe "tiens, on va mettre ça".
Openrc, c'est pire. Dans le débat du TC de Debian, personne n'a poussé. Le packager qui s'en occupait était grosso modo tout seul alors que ça aurait collé sans doute mieux aux problématiques de debian. Et dans gentoo, personne n'a corrigé les bugs du au lancement de service en parallèle présent pendant 4 ou 5 ans. Et tout comme upstart, c'était bien dormant avant que systemd n'arrive.
Donc non, leur seul tort, c'est que ça n'a motivé personne. Et en général, si un truc motiv e personne, y a des chances que ça soit pas si bien que ça, que ça répondes pas aux problèmes des gens. Y a pas à
C'est pourtant pas faute d'avoir eu largement le temps de lire les discutions des 5 dernières années.
[^] # Re: mwais
Posté par Misc (site web personnel) . En réponse au journal UnaOS - UnaPhone - Un smartphone axé autour de la vie privée ?. Évalué à 2.
Alors je me réponds à moi même, le papier le plus à jour sur les basebands que j'ai trouvé, c'est un truc de 2012:
https://www.usenix.org/system/files/conference/woot12/woot12-final24.pdf
(mais je reste quand même sur ma conclusion)
[^] # Re: mwais
Posté par Misc (site web personnel) . En réponse au journal UnaOS - UnaPhone - Un smartphone axé autour de la vie privée ?. Évalué à 2.
Pas vraiment. Déjà, le dit processeur a l'air d'avoir des besoins assez fort en terme de temps réel (il traite le signal radio), donc rajouter des trucs risque de perturber le fonctionnement du baseband GSM.
Ensuite, l'espace est vachement limité. Le firmware que j'avais regardé, c'était sur une base de nucleus ( de Mentor graphics), et c'était 5M tout mouillé. Y a sans doute moyen de faire des choses, mais je pense pas que tu va réussir à faire un truc de folie qui soit générique, et il te faut avoir les ingénieurs radios et embarqués (et ça court pas vraiment les rues, vu le peu d'engouement qu'il y a sur osmocombb). Et bon, on parle de supporter la 3G, et la 4G aussi. Et parfois tout le reste (FM, GPS, etc).
Et enfin, ce genre de firmware sont proprios, et sans doute sous NDA, avec des lourdes certifications (car bon, tu mets pas n'importe quoi n'importe comment sur le marché). Quand tu t'appelles Apple, tu peux 1) négocier pour le changer 2) payer la certif autant que possible. Si tu es pas Apple, bah, dommage, fallait naitre milliardaire.
La on parle de gens qui font une campagne de financement de 50k sur un marché qui va intéresser quasiment personne. Ça serait déjà un miracle de sortir un tel avec ça.
Le fait d'avoir des firmwares proprios est un souci, et je suis sur que la majorité sont pourris (cf les divers talks qu'il y a eu sur le sujet).
Je ne nie pas ce fait. mais malgré ça, toutes les attaques documentés et utiliser en pratique (ie, en dehors du POC et ou d'une conf) sont sur
1) des failles dans SS7
2) es failles dans l'OS (ou tu as largement plus la place de faire des tas de choses)
3) des failles dans les applicatifs.
Que je sache, même dans les groupes qui sont le plus à fond sur l'étude des dits firmwares, ça n'a pas été au delà de "ç'est de la merde et ça plante dés qu'on change un paramètre du signal". Ou les boites commerciales à la Gamma Group et/ou Hacking Team ont été au plus simple (ou au plus réaliste).
L'état de l'art est que ça plante sans grande raison si tu touches trop. Et si le firmware fait de la merde, plante le réseau GSM, tu peux être sur que 1) l'opérateur va le voir 2) l'opérateur va contacter le porteur du tel 3) l'opérateur va faire vite le lien entre "ça fait 5 tels du même fabricant" et "ça fait de la merde" 4) l'opérateur va faire ce qu'il faut.
Je sais pas vraiment pour toi, mais un truc limité, fragile, qui est globalement plus complexe à programmer, j'appelle pas ça "un endroit parfait". L'os est plus intéressant pour un attaquant:
- API standard et public (ie, tu peux tester sur ton tel, tu réutilises le code sans passer 6 mois)
- API de haut niveau (genre, tu as de quoi lire un fichier, de quoi envoyer un fichier, de quoi fouiller tout ce qui existe)
- des ressources et vachement moins besoin de répondre à la microseconde
- une connectivité internet la plupart du temps
- des applis préinstallées sans doute moisies (et donc exploitable)
[^] # Re: Un an après, qui a changé l'init par défaut ou est passé à une autre distribution ?
Posté par Misc (site web personnel) . En réponse à la dépêche Debian Jessie, 1 an plus tard. Évalué à 2.
Je suis pas vraiment sur qu'on puisse blâmer la calvitie sur systemd.
[^] # Re: Centralisation
Posté par Misc (site web personnel) . En réponse au journal Les réseaux sociaux sont ils liberticides et comment ne pas l’être. Évalué à 2.
Je pense qu'il y a d'autres soucis au dela de la centralisation et de la confiance.
Il y a le fait que le réseau social a tout intéret à t'inciter à rester, et va donc utiliser des trucs d'un point de vue de l'interface pour ça (l'exemple le plus connu, c'est Linkedin par exemple, mais ça a fait pas mal de bruit y a pas longtemps avec https://medium.com/@tristanharris/how-technology-hijacks-peoples-minds-from-a-magician-and-google-s-design-ethicist-56d62ef5edf3 ).
Il y a le fait que les sites vont te forcer à suivre une certains façon d'interagir avec eux, et que tu est bien plus limité au niveau du filtrage que tu va pouvoir faire, même si des personnes motivés arrivent à faire des choses impresionnantes.
L'exemple le plus probant, c'est travail de Randi Lee Harper qui a écrit ggautoblocker, un système de blocage sur twitter ce qui a visiblement mis hors d'eux les membres du mouvement gamergate (parce qu'on pouvait d'un coup les ignorer de façon efficace, et que visiblement, le fait qu'une personne choisisse de ne pas les lire est une atteinte à leur liberté d'expression, car c'est bien connu que se faire insulter et menacer n'est visiblement pas un truc qu'on devrait pouvoir bloquer…). Elle a également écrit des articles sur le sujet, comme:
https://medium.com/@randileeharper/solving-twitter-dogpiles-7d7b102116c8#.88bp24g1c
https://medium.com/art-marketing/putting-out-the-twitter-trashfire-3ac6cb1af3e#.k485laj89
https://medium.com/@randileeharper/diving-into-the-cesspool-fixing-youtube-3775a8afcd82#.nlni6ibf0
Et ensuite, ben tu as le risque de perte de mots de passes et d'infos. C'est pas que les gros réseaux sociaux sont moins sécurisés, mais c'est des cibles bien plus attirantes pour trouver des mots de passes en masse. Encore une fois, Linkedin, dont les conséquences d'une fuite en 2012 commencent à se faire voir. Et en effet, même si ton instance de diaspora est pas à jour et tes 5 utilisateurs risquent de perdre leur mot de passe, personne ne va passer plus de 5 minutes pour ça dans la majorité des cas, car ça n'a aucune valeur (pour le compte moyen, j'entends, je peux imaginer en effet des cas particuliers).
[^] # Re: double licence et fin du CLA: pas le choix ?
Posté par Misc (site web personnel) . En réponse au journal NextCloud : le fork d'OwnCloud. Évalué à 3.
Ou un CLA sur des modules en plus, voir en récrivant un par un les modules existants.
[^] # Re: Ça manque d'info pour lancer un troll
Posté par Misc (site web personnel) . En réponse au journal Devuan β. Évalué à 10.
Donc si je comprends bien, aucun des gens de ton entourage ne semble vouloir s'investir et contribuer malgré la demande du projet ?
En général, le fait de fonctionner est corrélé directement avec la popularité de la distro, ou dans le cas des dérivés, de la distribution parente (surtout dans le cas des dérivés, qui en général ne sont pas capable de s'en sortir sans la distro parente)
Alors je doit reconnaitre que j'éprouve un intérêt, mais sans doute pas du même genre. Par exemple, ma dernière trouvaille, c'est https://git.devuan.org/edbarx/netman/tree/master
Je suis toujours sous le choc de n'avoir réussi à trouver aucune faille de sécurité malgré des choix technologiques audacieux (comprendre: "un soft en pascal qui lance un backend C qui fait des appels à grep,sed et awk pour filtrer les réseaux") qui ont alerté mon instinct.
Démonstration:
https://git.devuan.org/edbarx/netman/blob/master/backend_src/src/file_functions.c#L98
Je suis content que des gens s'attaquent au souci de ne pas avoir assez de gestionnaire de réseau ( car bon, on a networkd, network manager, connman, wicd et sans doute une paire d'autres, y a clairement de la place pour encore 2 ou 3…), mais j'ai quand même des doutes sur un truc qui semble pire que wicd au niveau code ( https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=692417 ).
Ensuite, on verra quand ça sortiras.
Donc je note que la date de l'exode en masse, c'est le jour de la sortie de devuan stable ( avec un peu de chance, avant le freeze de Debian en février 2017).
Parfait, enfin une réponse claire et précise.
[^] # Re: Ça manque d'info pour lancer un troll
Posté par Misc (site web personnel) . En réponse au journal Devuan β. Évalué à 3.
Il y a aussi un gitlab:
https://git.devuan.org/
Et on peut voir les gens dans les groupes.
Genre pour le groupe devuan:
https://git.devuan.org/groups/devuan/group_members
En effet, mais pour le moment, je pense que les gens qui sont la sont 1) habitué à tester des tas de trucs obscures 2) trop impliqué pour changer d'avis.
Maintenant, perso, j'aurais pas forké comme ça (cad, changer tout puis sortir une version, j'aurais fait l'inverse histoire d'en effet avoir une communauté en premier)
[^] # Re: That escalated quickly...
Posté par Misc (site web personnel) . En réponse au journal NextCloud : le fork d'OwnCloud. Évalué à 3.
Si je peux me permettre, je pense que le terme français juridiquement correct est "association". (on m'a rabaché qu'une fondation est un truc différent en droit français).
Je pense aussi que même si c'est peut être ce qui est arrivé, la création d'une structure de ce genre me parait trop rapide pour que ça se soit fait sans qu'il le sache et juste après son départ.
Ensuite, peut être que c'est plus rapide qu'en france, bien sur.
Et je trouve aussi curieux qu'un actionnaire reprenne ses billes du jour au lendemain, forcant à rembourser le prêt ou ce genre de choses. Encore une fois, c'est peut être légal, mais je suis pas sur que les nuances de l'histoire correspondent à la réalité.
# Ça manque d'info pour lancer un troll
Posté par Misc (site web personnel) . En réponse au journal Devuan β. Évalué à 10.
Tu peux rajouter aussi que la distribution grimpe à toute vitesse dans distrowatch, vu qu'ils sont à 77 maintenant, et 100 y a pas longtemps (https://www.mail-archive.com/dng@lists.dyne.org/msg10935.html).
Tu pourrais dire qu'il y a planet devuan (https://www.mail-archive.com/dng@lists.dyne.org/msg10952.html).
Tu pourrais aussi dire qu'il y a une communauté présente sur reddit (https://www.reddit.com/r/devuan), voat (https://www.voat.co/v/devuan), sur leur propre instance de discourse (https://talk.devuan.org/), sur les mls et l'irc.
Mais ceci dit, quand je voit les chiffres (surtout sur talk, et sur reddit/voat), je me pose la question.
On m'avais dit qu'une fois que Centos 7 arriverait, les gens partiraient en masse (donc en juillet 2014 ). Puis on a dit "tu verras quand Debian sortira" ( avril 2015 ). Et ensuite "quand ça toucheras Ubuntu" (octobre 2015). Puis "nan mais je voulais dire Ubuntu stable" (avril 2016).
On nous avais prédit un exode de Debian, et si je regarde popcon, c'est pas vraiment le cas:
http://popcon.debian.org/stat/sub-amd64.png
On m'avais dit "les gens vont quitter Linux", donc naturellement, je regarde sur les BSD, qui me paraissent quand même les endroits naturels vers ou bouger, car c'est des OS matures et qui marchent.
Je sais pas comment mesurer le nombre d'utilisateur, mais je pense que si ils augmentent fortement, alors l'augmentation va se voir dans divers indicateurs, tel que le nombre de posts sur les listes.
Je regarde le nombre de posts sur openbsd-misc:
https://marc.info/?l=openbsd-misc&r=1&w=2
et je vois pas de grand changements (genre, ça double pas, ça oscille entre 500 et 800).
De la même façon, je vois pas de grand changement de volume sur netbsd-users:
https://marc.info/?l=netbsd-users&r=1&w=2
J'ai pas trouvé de liste pour freebsd qui pourraient correspondre, mais pareil, j'ai pas vu une grosse augmentation d'activité.
Alors, est ce que tout le monde attends que Devuan sorte de beta pour migrer, ou est ce que finalement, l'exode n'a pas eu lieu ?
Ou est ce que bien sur, mes estimations sont fausses, et pour voir l'exode, il faut que je regarde ailleurs (avec un ailleurs qui ne soit pas autour de moi non plus, car je pense que je suis le seul de mon entourage à apprendre à utiliser un BSD plus en profondeur, et dans mon cas, c'est en partie pour des raisons pros).
[^] # Re: L'autohebergement oui, l'ADSL non
Posté par Misc (site web personnel) . En réponse au journal L'auto-hébergement vulgarisé. Évalué à 2.
Plus ça coute cher, plus ça va finir par faire mal aux portefeuilles et en effet rendre le truc plus compliqué.
Mais plus ça coute cher, plus il y a de raisons de rendre ça plus facile.
Soit par des lois (cf le FBI par exemple), soit en faisant appel au secteur privé (HT, gamma group), qui va voir en effet une opportunité business.
Et bon, je doute aussi que tout les services secrets débordent d'experts. Ils doivent en avoir bien sur, mais pas non plus des tonnes. Et donc partir du principe qu'ils misent surtout sur le fait qu'ils ont des gens dédiés (cf la présentation de l'équipe TAO durant la conf enigma), et que leur force, c'est surtout d'avoir du temps pour être méticuleux.
Et cf le catalogue de la NSA, il y a aussi de la refacturation interne pour le matos, c'est donc pas non plus la fête du slip.
(encore une fois, ça reste une administration, avec le secret défense et tout, donc ça doit être lourd procéduralement, d'autant plus après les leaks de snowden).
J'ai aussi l'impression qu'ils ont juste tendance à bruteforcer les trucs ( "alors, on va prendre une tonne de serveur mysql pour stocker xkeyscore, c'est plus simple") la ou Google (pour donner un exemple de boite avec des ingés et des besoins de monter à l’échelle) a refait toute l'infra from scratch, de part une pression plus forte à être compétitif (et sans doute plus d'ingés que la NSA).
Donc ouais, je pense que "rendre le truc plus cher" est une bonne idée. De la même façon qu'on juge les coffres par le temps pour être percés plus que savoir si on rentre ou pas. C'est plus honnête et logique vis à vis du modèle d'attaque courant.
[^] # Re: L'autohebergement oui, l'ADSL non
Posté par Misc (site web personnel) . En réponse au journal L'auto-hébergement vulgarisé. Évalué à 3.
Alors la question est pas pour moi, mais ça dépend du service et de l'attaquant.
Tu peux avoir une VM (sans doute pas ton cas), et l'hébergeur peut en théorie et "trivialement" faire des trucs à partir de ça (genre 'freeze de la mémoire' et extraction des clés depuis le dump).
Techniquement, une attaque du même genre à base de coldboot est possible: https://en.wikipedia.org/wiki/Cold_boot_attack . Ca implique un reboot du serveur et 5 ou 6 minutes de downtime au mieux.
Techniquement, une attaque à base de modification de l'initrd est aussi possible: https://github.com/GDSSecurity/EvilAbigail
Ça requiert aussi un reboot, et ça laisse des traces.
Théoriquement, tu peux aussi dumper la ram via jtag/openocd en fonction de l'archi de la machine. Je sais que ça passe pour de l'arm embarqué (ou du mips), mais je sais pas du tout pour les archis plus classiques (genre x86 ou serveur). En fonction de la machine, ça requiert sans doute du matos et des trucs spéciaux et peut être éteindre la machine pour mettre les connecteurs. C'est une piste à explorer AMHA.
Mais non, à part la VM, y a rien de trivial mais ça dépend vraiment des attaquants.
[^] # Re: question mail et DNS
Posté par Misc (site web personnel) . En réponse au journal L'auto-hébergement vulgarisé. Évalué à 2.
je préfère avoir un serveur séparé, vu que 1) c'est plus clair 2) c'est plus rapide de migrer sur un serveur séparé.
Mais les 2 marchent, donc question de gout.
[^] # Re: L'autohebergement oui, l'ADSL non
Posté par Misc (site web personnel) . En réponse au journal L'auto-hébergement vulgarisé. Évalué à 2.
Une solution possible serait de regarder clevis and tang:
https://speakerdeck.com/frasertweedale/tang-and-clevis-shackling-secrets-to-the-network
( https://github.com/latchset/ )
Ça requiert en effet 2 serveurs, mais tu peux dire "utilise le réseau et le tpm", ce qui fait qu'un attaquant volant le disque doit prendre le serveur, la carte mère et répliquer le réseau.
Ça ne réponds pas forcément à tout types d'attaques, bien sur, mais ça me semble un élément de réponse.
Sinon, y a des modules pour dracut pour faire ça par dessus ssh:
https://github.com/dracut-crypt-ssh
https://github.com/mk-fg/dracut-crypt-sshd
( le premier vient de https://bugzilla.redhat.com/show_bug.cgi?id=524727 et n'a pas été mergé upstream, hélas)
Ou d'autres solutions:
https://bitbucket.org/geekman/dracut-gmcrypt
[^] # Re: Les licenses courtes
Posté par Misc (site web personnel) . En réponse au journal Choisir une licence : facile à comprendre ?. Évalué à 3.
Grosso modo le même genre de souci que la multiplication des bibliothèque qui retourne les chaines en js. Ou que refaire sa crypto. Si tu fait plus que modifier le nom en prenant l'existant, y a des chances que ça soit incorrect.
Visiblement, tu sembles ne voir que dans le cas particulier de tes projets sans chercher à voir une vision plus haut niveau.
Déjà, tu confonds 'avoir sa licence' avec 'avoir une copie de la WTFPL à son nom'. C'est 2 choses différentes. Parce que quand la licence est subtilement changé (au delà de juste changer le nom), ça cause d'autres soucis. Genre tel personne qui dit que le code est utiliser "for good and not for evil".
Et donc rajouter des licences qui ne change rien, ça rajoute juste du bruit, et dire que c'est ok, ça envoie un message plus compliqué ("alors faire sa license, c'est pas super, sauf si tu change rien, auquel cas, c'est pas un souci") qui n'aboutit qu'à embrouiller les gens. On a encore des gens qui pensent que "free software" == "gratuit", donc je pense que si on peut s'éviter de rajouter des choses, ça serait mieux.
Ensuite, peut être que tu veux pas non plus te préoccuper de ça, et je peux pas te forcer bien sur. Tu as le droit de faire ta licence, mais je pense que c'est la responsabilité de toute la communauté du libre de pas se tirer dans le pied comme ça.
[^] # Re: Les licenses courtes
Posté par Misc (site web personnel) . En réponse au journal Choisir une licence : facile à comprendre ?. Évalué à 5.
Je ne voulais pas te viser (sinon, j'aurais répondu directement à ton commentaire), mais je comprends que tu puisses le percevoir comme tel, et je suis désolé que mes propos (grossiers et provocateurs) t'es visiblement mis mal à l'aise pour avoir fait un truc qui est ton droit.
C'est un exemple de dérive du mode de pensée de "je m'occupe que de tel truc, le reste est trop compliqué", et la rapport avec les licences, c'est qu'il y a assez souvent des gens qui trouvent les choses trop compliqués (cf par exemple ta propre réponse).
Ma foi, je suis pas sur. Mon souvenir des discussions d'il y a 15 ans, c'est que l'argument "coder pour le plaisir" n'avais pas l'importance qu'il a maintenant dans les discussions de licenses (GPL vs BSD). Bien sur, le coté "je ne veux pas donner de restriction" était la comme position philosophique assumé par rapport à la culpabilisation des partisans de la GPL, mais c'est un argument un chouia différent.
Avec l’émergence de GitHub, je pense qu'il y a eu un fossé générationnel qui est apparu entre les gens qui faisaient du libre pour changer le monde (à tort ou à raison) et les gens qui en font parce que la collaboration, c'est bien. C'est bien sur une approximation tracé dans des grandes lignes, et la réalité est sans doute plus subtil, mais il y a quand même quelque chose.
Je suis pas non plus vraiment d'accord pour dire que ça rende tout si compliqué. Si c'était le cas, je pense qu'il y aurait plus de matos avec une variante de netbsd/freebsd plutôt que Linux. Surtout dans la mesure ou on arrête pas de dire que le code de Linux est pas claire, que les BSD ont une meilleur pile réseau et que la GPL est trop compliqué.
Donc soit plusieurs de ses affirmations sont fausses sur les BSD, soit la GPL est pas si compliqué. Ou bien sur, les gens ne font pas des choix rationnels
Et en fait, quand on dit "la GPL est compliqué", j'ai parfois le sentiment que c'est surtout dans le cas ou:
- tu veux faire du proprio
- tu veux faire chier tes concurrents (cough zfs cough)
Les distributions Linux (qui sont des distributeurs, et donc concernés pas mal par le souci) ne passent pas un temps fou sur les licences (à part vérifier que le code est bien libre en premier lieu, ou dans le cas de Fedora, faire gaffe aux histoires de brevets, qu'on a tendance à totalement occulter malgré tout les emmerdes que ça apporte au secteur).
# Les licenses courtes
Posté par Misc (site web personnel) . En réponse au journal Choisir une licence : facile à comprendre ?. Évalué à 5.
Les licences courtes ont le vent en poupe pour divers raisons.
D'un coté, on a des boites qui vont poussés des licences comme les BSD/MIT dans le but de pouvoir faire du proprio, tout en racontant un chouia de FUD sur la GPL (au pire), ou en interdisant la GPL, ce qui grave dans l'esprit des gens que "c'est trop compliqué, on va prendre une BSD".
Ensuite, il y a aussi toute une montée de gens qui font du libre parce que c'est cool, mais qui veulent pas se fatiguer avec le reste. Choisir une licence, c'est compliqué, prendre un bug tracker qui tient la route (genre autre chose que les issues github), c'est compliqué. Faire de la maintenance, c'est compliqué. En gros, tout une partie des gens qui veulent juste coder et rien de plus, une image AMHA fortement influence par les articles de Paul Graham et la mouvance startup.
Bien sur, dire aux gens "tu t'occupes de ça, je me charge du reste", c'est un peu la porte ouverte aux risques d'abus. Par exemple, j'ai en tête une interview (https://motherboard.vice.com/read/the-hacking-team-defectors) d'un des anciens de Hacking Team, ou il a raconté qu'après avoir eu vent d'un rapport liant la société à des abus des droits de l'hommes, les chefs ont décidés de compartimenter les équipes au contact des clients et les équipes d'ingénieurs, afin d'éviter les discussions. Et sans aller dans des cas aussi extrêmes, le fait que le commercial gère la presta en vendant n'importe quoi et que l'ingé le fasse quand même, c'est bien un des trucs qu'on reproche aux SSII.
Donc oui, je pense qu'il y a tout une pression qui pousse à prendre une licence plus courte de la part des développeurs Parfois c'est juste le fait que ça les renvoient au fait qu'ils sont pas juristes et écorne l'image de toute puissance qu'on leur renvoie sans arrêt. Parfois, c'est du FUD. Parfois, c'est aussi une préférence.
J'écris plein de trucs (des modules ansible) sous la MIT parce que je pense que c'est important que les gens utilisent ça pour leur truc interne (ie, souvent proprio). Mais je reconnais aussi l'importance de la GPL pour la santé de l'écosystème du libre, et ça m'attriste de lire ici ou la des trucs sur le fait que c'est trop compliqué, alors que la GPL a eu des tas d'effets positifs. Par exemple, c'est une des raisons d'avoir openwrt en premier lieu. A son tour, openwrt a bien aidé pour les mouvements comme freifunk et france-wireless, ce qui a également permis de faire avancer la recherche dans les réseaux et apporter le réseau à des endroits ou il est pas. Bien sur, on peut pas dire que la GPL a tout fait, c'est avant le travail des bénévoles et non bénévoles qui a permis tout ça. Mais ça a sans doute donner un bon coup d'accélération à ce niveau.
On peut parler de cyanogenmod aussi, comme autre exemple.
Et pour répondre à la question, non, j'ai pas ma propre licence, parce que je pense que ça serait une connerie. Je suis globalement satisfait des choix déjà existant, et j'ai pas le melon au point de croire que ma personne requiert ma propre licence que j'ai torché au coin d'une table après 2 bières. Il y a quand même de quoi faire en matière de logiciel libres, entre les licences qui ont un but politique (genre la GPL et co), et les licences de nihilistes (genre la BSD, la MIT).
[^] # Re: cool mais...
Posté par Misc (site web personnel) . En réponse au journal L'auto-hébergement vulgarisé. Évalué à 4.
Ne pas mettre une version sur 1 seule page comme lien aurait sans doute suffit.
La, quelqu'un clique et charge toute les images d'un coup, donc bon. Au contraire, mettre des pages plus petites aurait en effet sans doute pris plus de requêtes http, mais moins de bp.
[^] # Re: FUD
Posté par Misc (site web personnel) . En réponse au journal La Suède abandonne les paiements en espèce — ne devrait-on pas s'en inquiéter?. Évalué à 2.
En pratique, c'est ce qui arrive.
Voir par exemple les attaques directement sur le reseau swift y a pas longtemps ( http://money.cnn.com/2016/05/13/news/swift-bangladesh-bank-sony-attack/index.html ), ou le fait que les créateurs de malware se sont adaptés pour proposer des couples malware sur le tel avec le malware sur le pc, et tout un tas de trucs.
Mais je pense aussi que les banques vont réagir le jour ou ça va toucher leur porte monnaie directement, et ça implique d'avoir un scandale médiatique. Quand quelqu'un a un souci chez McDo (comme y a 2 ou 3 ans), les ventes de Quick et de tout le secteur prennent 30% dans la vue. Une attaque à large échelle pourrait avoir le même effet, sauf que logiquement, aucun criminel ne veut qu'une banque améliore ses protections, donc il y a incitation à ne pas être trop gourmand.
[^] # Re: Uber, Lebonrecel, Airbnb : pas de le l'économie collaborative
Posté par Misc (site web personnel) . En réponse au journal Le Bon Coin, Airbnb, Uber : Les prochaines poules aux œufs d'or. Évalué à 6.
Citation obligatoire:
https://youtu.be/RFLxu5_m3r8?t=160