Je ne voulais réagir que sur la fin du journal. Le reste, je laisse le reste du monde apporter son avis, et je suppose que mon avis est similaire a un avis déjà exprimé, donc n'apporte rien.
D'un côté ton post souligne le problème de trouver
(éventuellement) un modèle économique pour financer le
logiciel libre.
Je pense que des modèles, y en a. Des modèles efficaces, je sais pas, mais je pense que c'est indépendant du logiciel libre, même si j'ai pas de données pour le prouver. Des boites qui marchent pas, y en a partout, donc savoir si le fait de publier du libre a un impact ou pas, je pense pas qu'on puisse le déduire. Tu peux très bien suivre la licence et ne pas réussir à motiver une communauté pour que ça décolle. Tu peux faire un soft libre qui est un succès sans que ça soit ton cœur de métier (exemple, rails, django), mais qui crée tout un pan de l'industrie.
Et bon, j'ai pas parlé non plus de la tendance à demander d'avoir un compte github qui sert de portfolio pour les devs (vu que j'ai croisé ça rarement), ou la condition est donc d'avoir soit eu la chance de bosser sur du libre, soit d'avoir pris un temps non négligeable pour coder en dehors du travail. On va pas demander à un plombier de prouver qu'il bricole en dehors de son travail que je sache, mais ça semble normal pour les devs, parce qu'on estime que faire ce qu'on aime, ç'est un substitut adéquat à un bout de salaire.
Et ça semble normal aussi parce qu'on ressort le mythe du codeur solitaire qui peut pas se retenir de coder comme l'archétype de la profession. Tout en occultant le fait que ç'est un travail d'équipe, que le dev n'est qu'un maillon dans la chaine de production logiciel, que passion != compétence, et tout ça.
Bien sur que les bénévoles existent et sont nombreux, mais ça ne doit pas apparaitre comme le seul type de contributeurs, et pas uniquement parce que c'est factuellement incorrect, mais parce que c'est dommageable.
Oui, bon, la ça n'a rien à voir avec le nombre de banques ou
leur qualité, juste un cas tellement rare que c'est chiant
pour tout le monde de gérer ça.
Mon souci dans ce cas la n'est pas tant de m'imposer un truc. C'est de me mentir purement et simplement 2 fois d'affilée quand je pose la question de façon explicite.
Trop de sécurité tue la sécurité. Il faut savoir adapter la
sécurité au besoin.
ça tombe bien, j'ai bossé dans la sécurité après avoir fait mes études dedans, donc j'en suis parfaitement conscient. Quand je dit qu'ils sont incapables, c'est pas basé sur le fait que ça me fait chier. C'est basé sur le fait qu'ils ont du retard depuis toujours.
Et l'expérience montre que ça coûte moins cher de gérer les
rares cas où ça foire que de faire chier 99% des gens avec
plus, c'est tout.
La sécurité, c'est pas forcément faire chier les gens. C'est une fausse dichotomie et le genre de connerie qu'on entends quand quelqu'un qui connait pas grand chose en parle. Pour donner un exemple, d'autres banques ont mis en place l'authentification 2 facteurs plus vite et de manière plus sur que ma banque. Alors bien sur, ça aurait sans doute couter plus cher pour eux sur le coup, mais quand après avoir vu qu'un compte WoW avait une authentification plus sur que ma banque (ou du moins, c'était le cas vers 2010), je pense que je peux raisonnablement dire "c'est des guignols". Et pas forcément les pauvres ingés en charge, voir même leur responsables, car j'imagine qu'ils doivent se battre contre un système opaque limitant tout changement, parce que tout l'organisation vit encore au moyen age.
Je ne sais pas où tu es, mais sérieux la tu peux quand même te
poser la question que tu restes au plus mauvais endroit.
La caisse d'épargne. Et oui, je reste principalement par flemme pour le moment. Pas la flemme de partir, la flemme de finir un tableau de comparaison et de décider sur la shortlist des banques choisis.
Mais je pense aussi qu'à un moment, les banques vont finir par faire comme les assurances (ou du moins, comme une certaine assurance française en 3 lettres que je ne citerais pas), et commencer à se bouger après avoir réalisé que peut être, un des géants du web qui investit massivement dans les statistiques et le fait d'avoir des infos sur les gens pourrait aller sur leur terrain.
On pourrait maintenant faire une transition vers le travail du
développement des logiciels libres, qui rassemble, dans beaucoup
de cas, une communauté de programmeurs.
C'est pas très cool d'occulter complétement le travail des non programmeurs et de perpétuer l'idée que c'est secondaire.
Pour caricaturer, on peut donc dénoncer un véritable travail au
noir organisé où, horreur, des travailleurs ne seraient même pas
rémunérés. Mais quand nos dirigeants y verront-ils un manque à
gagner cruel aux cotisations organiques ?
Il y a déjà suffisamment de personnes de la communauté qui se pose la question de comment gagner leur vie, donc je ne pense pas que ça soit une caricature, et vraiment une vraie question.
Il y a aussi suffisamment d'exemple de produit ou des SSIIs ont juste repris le soft pour se faire payer des prestas à prix d'or. L'exemple courant, c'est nessus, qui est devenu proprio, mais j'avais aussi en tête MNF (mandrake network firewall), ou on peut regarder grsec et j'ai facile 2/3 autres histoires dans le même domaine (ie, la sécurité informatique, parce que c'est quand même un milieu sans grande morale (HT, gammagroup, etc).
Et bon, se dire "on travaille gratos", c'est aussi perpétuer le mythe que 1) le libre ne coute rien à produire 2) l'informatique mérite pas vraiment un salaire, vu qu'il y a des gens qui le font gratos. Mythe qu'on retrouve aussi pour les designers par exemple ("mon cousin de 10 ans le fait pour 100€, pourquoi je devrait vous payer ?").
Ça occulte complétement le fait que les gens qui le font sur leur temps libre le font assez souvent parce qu'ils ont déjà un salaire suffisant et du temps libre, chose que tout le monde, loin de la, n'a pas.
j'ai demandé à ne pas avoir de NFC sur ma carte. Ma banque m'a dit que c'est sur, ne comprenant pas ce que je dit quand j'ai parlé de doute sur la vie privé, mais me disant qu'ils vont le désactiver. Ils l'ont pas fait (ie, non seulement j'ai le nfc sur la carte, mais en plus, le paiement sans fil est pas désactiver). Double foutage de gueule, par 2 conseillers au téléphone.
pour une raison qui m'échappe, mais qui me parait pas être en ma faveur, je suis soit obligé d'appeler ma banque au tel, soit de venir sur place, soit de passer par leur site web pour interagir. Leur site web a été fermé pendant 1 mois ou 2 plus d'une fois suite à des campagnes de fishing, donc j'avais la possibilité de venir à l'agence. A 300 km de chez moi, car la banque, comme le reste de l'industrie, est régionalisé. Pourquoi, je sais pas, mais je suis sur que c'est pas pour me donner un meilleur service.
niveau sécu, c'est un peu n'imp. Je râle pas trop parce que ça joue parfois en ma faveur, mais ça fait peur. Genre, un simple coup de fil avec des informations publiques suffit à faire certaines opérations.
Ils sont pas non plus vraiment réactif. SI je dépasse le plafond de ma carte, je doit attendre un jour ouvré. Si je veux rajouter un compte bénéficiaire pour un virement sur le web, je doit attendre 72h incompressible.
Et en fait, c'est pareil presque partout. J'arrête pas de me dire qu'il faut que je change de banque, mais j'arrive pas vraiment à choisir la nouvelle. Et en fait, peut être que la solution, c'est faire comme mes amis, et avoir 2 banques. Parce que finalement, peut être qu'en effet, on peut pas faire confiance à une seul banque pour suffire. Y a 0 conséquences pour elles, donc pourquoi elles vont se fatiguer ?
Tu part du principe qu'il existe une bonne boulangerie. Mais les banques de détails semblent miser grandement sur le fait que personne ne va changer et que les autres banques appliquent les mêmes politiques vis à vis des clients.
Tout le monde qui regarde un peu sa banque va te trouver un truc à redire. Demande autour de toi.
J'avais pas entendu ça, mais non, je parlait plus de juste bloquer les fonds de quelqu'un et l’empêcher de dépenser son argent, tout comme des gens sont assignés à résidence.
C'est du pur bullshit. Prends une prison. Y a pas grand chose de plus surveillé dans le monde, et pourtant, les prisonniers arrivent à communiquer avec l’extérieur, arrivent à faire rentrer des trucs et font preuve d'ingéniosité pour trouver des armes.
C'est bien la preuve que même la surveillance constante n'apporte rien et ne ralentit rien.
Au final, ça reviens simplement à une question d'équilibre des pouvoirs, et la, le pouvoir va plus vraiment être équilibré.
Le traçage du trafic si c'est vraiment efficace, ça va de paire avec le traçage des dépenses des voisins "parce que tu as accés et que tu es curieux". Ça va aller de paire avec quelqu'un ayant accès aux données qui va s'en servir pour stalker son ex, de la même façon que des gens avec des accès abusent de ses accès pour lire les mails des gens (et j'ai déjà vu le cas dans ma carrière).
Autre example, les gens de la NSA qui abusent des moyens d'interceptions pour choper des photos de nus qui transitent http://arstechnica.com/tech-policy/2014/07/snowden-nsa-employees-routinely-pass-around-intercepted-nude-photos/ )
Parce que faut bien voir que personne ne va surveiller qui regarde quoi, vu que c'est déjà ce qui se passe partout. Si même la NSA n'a pas lu les logs montrant qu'un contractor a chopé une tonne d'info, je suis pas sur de voir ce qu'un groupe avec moins de pognon et des données moins sensibles va réussir à faire.
CB + code ? Mes parents me l'ont fait souvent dans ma jeunesse
sans difficulté ce coup là.
C'est quand même curieux que tu ne soit pas à l'aise de te trimballer avec 50€ mais que ça te paraisse normal de filer une carte capable de retirer beaucoup plus à un gamin qui ferait sans doute pas le malin face à un gamin plus grand que lui et mal intentionné. Une fois qu'il a la carte et le code, y a quand même pas grand chose qui va lui interdire de dépenser plus que le prix de ta baguette. (genre, si il est organisé, il pourrait juste prendre une crypto-monnaie quelconque).
Mais au delà de la surveillance, ça laisse quand même vachement trop de pouvoir à l'état.
Si demain au lieu d'utiliser l'état d'urgence pour interdire de séjour les gens sur des manifs, l'état bloque les dépenses de certaines personnes, ça va être vachement handicapant. Paypal a bloqué Wikileaks, par exemple: https://www.wired.com/2010/12/paypal-wikileaks/ (le même paypal fondé par un mec qui se réclame pour la liberté d'expression, mais qui finance des procès contre un site web (Gawker) qui a publié des trucs qu'il voulait garder secret (à savoir son orientation sexuel))
Si après demain, on se retrouve à avoir un gouvernement plus proche de Vichy qu'on voudrait, on serait pas non plus super jouasse de filer autant de pouvoir aux banques et aux organisations gouvernementales.
Pas vraiment, y a des boites qui se chargent de ça. Une fois que tu as trouvé un pays ou il faut juste faire un peu de papier pour faire une boite, tu as juste à faire un truc qui soit long à démêler et ou tu peux automatiser les transferts de fonds.
IE, dépenser du pognon et le faire passer partout, c'est automatisé et direct, car il y a une volontée de faire circuler l'argent (ce qui est la base d'une économie qui marche d'un point de vue théorique, si je me souviens bien, donc on cherche à réduire les frictions à ce niveau).
Auditer par contre, c'est souvent manuel et long, vu qu'il faut chaque fois obtenir l'info dans un format peut être différent, sans doute sur papier (surtout si tu veux ralentir l'analyse, tu fait le minimum), rentrer ça dans une machine (avec tout les risques de typo), examiner tout et recommencer à l'étape suivante quand tu as vu ou l'argent est parti.
Une fois que quelqu'un a monté ses 200 sociétés écrans et qu'elles s'appartiennent toute les unes aux autres, ce quelqu'un a juste à "louer" les sociétés pour masquer les flux. Si le coup d'entretien et de création est minuscule, ça se rentabilise assez vite.
C'est pas tant le fait d'être basé sur fuse que le fait d'être en réseau (et potentiellement distribué), vu que plein de petit fichier, ça implique plus de lookups de meta données qu'un gros fichier à taille équivalente.
Ceph souffre aussi du même souci, et c'est pas basé sur fuse dans mon souvenir.
C'est vrai mais la probabilité que GitHub change est faible
C'est amusant, parce que justement, Github a changé. Par exemple, ils ont changés les prix. J'ai entendu parlé de client avec pleins de repo publiques et quelques dépôts privés, et dont les tarifs passeraient de 50 par mois, vu que ça compte maintenant par personne au lieu de payer par dépot.
Github a aussi changé car ils étaient en train de s'endormir (avant d'avoir une lettre de gens pour dire "votre issue tracker est pourri", on peut pas dire que grand monde faisait des changements sur ce bout du logiciel)
Ensuite, pour le moment, les changements sont positifs (à mon sens) pour la majorité, mais je pense que c'est pas ce que tout le monde croit. Par exemple, il y a tout une frange des utilisateurs qui semble s'opposer aux positions actuelles de Github (http://dancerscode.com/blog/why-the-open-code-of-conduct-isnt-for-me/ et http://garrett.damore.org/2016/02/leaving-github.html pour 2 exemples). D'un coté, je me dit que c'est des opinions minoritaires, mais de l'autre, c'est souvent une source de discussions des plus chaudes et donc peut être que c'est moins minoritaires que je le crois.
Et je ne suis pas super confiant dans l'avenir de Github, car d'une part, le nombre de projet libre ne va faire qu'augmenter, donc les coûts de github aussi, mais je ne voit pas forcément le nombre de clients grimper aussi vite (ne serais ce que parce les startups semblent avoir moins de fond qu'avant, ce qui me rappelle la première bulle).
Je suppose que les changements de tarif sont aussi la pour ça, retirer un chouia plus de pognon des boites qui utilisent github maintenant qu'ils estiment être en position de force, afin d'absorber la crise qui vient.
Donc j'attendrais perso de voir ce que ça va donner d'ici 2 ans.
Tu ne parles pas non plus du principal souci, à savoir les divers facteurs humains, en estimant que c'est évident de décider qu'un projet est "over engineeré". Les gens sont rarement d'accord sur le sujet et y a plusieurs raisons pour ça.
Par exemple, les gens vont avoir tendance à sur estimer leur capacité (effet dunning kruger), et donc à voir de l'over enginering la ou il y a juste de leur part un manque de compréhension.
Ou voir du coté des choses qu'on a à peine commencé à explorer, comme l'effet Ikea (https://en.wikipedia.org/wiki/IKEA_effect), et comment les gens vont préférer ce qu'ils ont montés et dans lequel ils ont investis du temps.
De surcroit, tu ne parles pas du fait que tout le monde n'a pas forcément la même idée de ce qui doit être fait, en partie parce que les spécifications sont souvent flous, et changeantes, et que certaines personnes vont avoir le sentiment qu'on va vouloir faire d'autres choses plus tard et qu'il faut prendre ça en compte
Exemple, je déploie un site statique. Je fait un script de 5 lignes qui buildent tout. Parfait. Ensuite, on veut refaire ça. Du coup, mon script commence à avoir des paramétres, et je fait un role ansible pour déployer. Et puis, on commence à utiliser parfois des submodules, et parfois pas. Etc. Résultat, maintenant, mon script fait 243 lignes.
Pour le cas de base, il est clairement trop complexe. Pour tout les cas de bases des autres sites, il est pas encore suffisant, vu que les demandes ont évolués, et que je me retrouve à refactoriser les demandes dans 1 script.
Et pourtant, je pense pas que ça soit de l'over engineering, par rapport à l'alternative d'avoir 15 scripts presque semblables, voir pire, un logiciel pour produire les 15 scripts simples.
Et tu dit qu'un logiciel compliqué ne va pas avoir de contributions, mais c'est non évident. Au contraire, si le logiciel ne réponds pas aux besoins, il ne va pas attirer des gens pour s'en occuper.
Prends par exemple apache. Le système de module le rends plus complexe qu'un logiciel sans le même système. Mais pourtant, c'est ce qui permet d'avoir des contributions externes.
Donc non, l'over engineering, c'est comme la sécurité, c'est pas un état binaire, ça dépend des besoins qui doivent être précisés.
mais je ne vois pas en quoi du télétravail nécessite un bureau,
à part pour le confort donc autre chose que "clapier à lapin"
ça fait parti en général des recommandations des gens qui font du travail à la maison depuis longtemps (car je distingue "télétravail" de "travail à domicile"). Les raisons sont de se donner un rythme et un cadre (ie, j'arrete de bosser quand je suis en dehors du bureau), et de signaler à la famille qu'on est pas dispo ("non, maman travaille quand elle est dans la pièce avec le bureau, alors tu ne viens pas la déranger").
Et bien sur, les raisons classiques comme "avoir une vrai chaise de boulot", "poser un écran de taille suffisante", etc.
Mais en effet, si tu fait du travail à la maison de façon occasionnel et le reste chez des clients, au bureau, d'une bibliothèque, des conférences ou dans un bus, tu as pas forcément besoin d'investir dans tout ça. Et ça dépend aussi en effet du travail que tu as.
Mais aprés avoir vu des chambres en cité U de 9 m², je qualifierais pas non plus un 30 m² de clapier (bien que je trouverais ça sans doute un peu petit à mon gout)
15 ans, pas vraiment. j'ai du en faire y a moins de 10 ans.
Ensuite, que la transparence réseau de xorg soit 1) limité (pas de passage du son, pas de montage des périphériques) 2) insécure (kough clear text kough) et donc désactivé par défaut, c'est autre chose.
j'imagine que quand les gens parlent de "transparence réseau", ils parlent de ssh -X/-Y la plupart du temps, ce qui reste à des années lumières de ce que rdesktop (ou spice) peuvent faire (mais toujours mieux que vnc). Et qui est globalement pas toujours fonctionnel du au fait que pas mal de services ont besoin d'une session dbus, ce qui prouve bien qu'en effet, les gens utilisent pas vraiment, ou alors, dans des cas ultra spécifiques.
Bien que les performances passés n'augurent pas des performances futures, je pense que dans ton cas, tu es l'exception qui éprouve la règle.
j'ai comme un doute que wayland arrive par defaut sur RHEL
avant 2 ans.
Je ne vois pas un changement de taille comme wayland se faire dans une version stable, en effet (ça fait parti des promesses que fait RH sur la compatibilités).
Donc comme l'a fait remarquer Renault, ça va dépendre de la sortie de la prochaine RHEL, et ça va surtout dépendre des constructeurs (ie, si nvidia dit "pour les nouvelles cartes, on file que des pilotes compatible avec l'archi de wayland", alors les clients de RHEL Desktop (genre les studios qui font de la 3d, les bureaux scientifiques, etc) vont sans doute demander, et RH va s'adapter et proposer ça dans une version de RHEL.
La transparence reseau ca va etre fondamental si vous voulez
avoir wayland sur RHEL car vos clients c'est pas le desktop et
sans transparence reseau ca va etre sacrement difficile a
faire avaler la pillule.
Pour un mec incapable de faire une recherche et de lire une page de wiki pour savoir à qui tu parles, je te trouve bien péremptoire sur les demandes des clients des boites ou tu ne bosses pas et ou visiblement, tu n'as pas des masses d'info.
Alors non, je ne crois pas que Ubuntu en bantou veuille dire "ne sais pas configurer debian". C'est un élitisme à 2 balles qui vaut bien l'élitisme anti-mandrake a 2 francs d'il y a 15 ans.
Et sinon, oui, Mint est pourri niveau gestion de la sécurité.
J'ai ouvert un bug de secu en 2012 sur Mint, j'ai eu 0 réponse ou ack. Un collègue a fini par me dire "tiens, prends ce CVE" que j'ai rajouté, mais bon.
La gestion de l'attaque sur leur site web était aussi un peu risible. Le souci n'est pas de s'être fait attaquer, mais fait attaquer 2 fois de suite. Ça arrive de pas savoir, et je sais que sysadmin, c'est un métier qu'on peut improviser jusqu'à un certain point, mais ça commence à faire beaucoup.
Si on rajoute le fait que globalement, Mint ne fournit aucun support de sécurité sur ses paquets, on commence en effet à avoir un chouia de trucs qui font tiquer quand on regarde la sécurité.
Et ça, c'est juste les trucs qu'on voit. Y a aucune transparence sur le processus de build ou de release engineering, donc tu sais pas comment, c'est fait, comment la clé gpg est stocké, etc, etc.
Le même je-m-en-foutisme est à l'oeuvre pour la gestion de ce qui est distribuable ou pas (brevets, proprio, etc), ou juste de leur formulaire de donation (qui pendant longtemps à été la cible de spammers qui donne 1 euro pour avoir un lien comme donateur)
1) Est-ce que cette sécurité est bien fonctionnelle ?
Je n'ai pas testé, mais je suppose que oui (modulo les bugs). En fait, c'est pas un niveau de confiance à la qubes-os, c'est bien que l'appli n'a pas le droit.
En d'autres mots, qu'est-ce qui empêche une application
malveillante de reproduire fidèlement et de manière
indiscernable mon navigateur web de telle sort que je lui
fasse confiance pour introduire des informations à protéger ?
c'est pas vraiment dans le scope. Le changement apporté par Wayland, c'est pas de te protéger d'une appli qui te dit "entrer votre mot de passe", c'est de te protéger de celle qui ne te le dit pas mais qui espionne le clavier. Tu as l'air de confondre la sécurité que xdg-app/snap veut apporter avec celle que wayland vut apporter.
2) Est-ce que cela est suffisant ?
Vu que ta question 1 a l'air d'être sur une mauvaise prémisse, je suis pas sur de savoir répondre.
3) Pour reprendre votre paraphrase et afin de réexpliquer mon
précédent commentaire, n'est-ce pas vouloir boucher le trou
dans la coque d'un bateau qui coule ?
Non.
tw, qu'est-ce qui nous empêche aujourd'hui de lancer un
serveur X par application et d'y ajouter un arbitre pour les
interactions inter-applications (touches globales, copie
d'écran, drag&drop,etc) ?
Grosso modo les ressources. C'est le fonctionnement de qubes os, vu que tu lances 1 VM par appli, avec chacune son serveur X. Mais la question devient "pourquoi le monde entier n'utilise pas qubes os comme distro"
Oui, mais ça reste un chouia plus compliqué à mettre en oeuvre que juste envoyer un paquet snap d'un nounours sur l'Appstore Ubuntu.
ie, je suis sur que n'importe qui ici pourrait le faire avec un peu d'entrainement, alors que je suis sur que la majorité des gens ici ne sauraient même pas ou commencer pour exploiter un browser avec la tonne de protection qu'on trouve de nos jours.
L'idée, c'est pas de sandboxer le serveur graphique, mais de ne donner à chaque client graphique accés que à ce qu'il a besoin.
Si jamais quelque chose (au hsard, un attaquant) arrive à compromettre evince, j'ai pas envie que evince soit capable d'écouter ce qui passe dans X, comme le mot de passe de ma clé gpg.
Ensuite, il y a d'autres vecteurs, mais dire "y a d'autres trucs donc ce trou n'a pas besoin d'être fermé", c'est un bon moyen de ne jamais rien faire, sauf à tout faire d'un coup, ce qui n'arrive jamais. La sécurité s'améliore par petites touches, et c'est une touche.
Que les frappes au clavier lorsqu'on utilise X.org ne soient pas > hyper faciles à enregistrer.
Wayland devrait s'occuper de ça.
De pouvoir mettre un disque dur externe en veille lors de son
démontage (c'est légèrement important pour beaucoup de modèles,
histoire de pouvoir les utiliser sur une longue durée), sans
devoir lancer un script en tant que root (Windows fait ça depuis
16 ans en deux clics)
Je n'ai jamais pensé à ça, mais si un script peut le faire, alors ça peut se faire intégré sans trop de souci (ie sans revoir toute l'archi, contrairement au point 1 et 2 qui sont en gros qu'un seul changement d'architecture)
Je ne peux pas répondre pour les windows récent, mais de mon temps, écrire un sniffeur de clavier était trivial, vu que j'ai fait ça à la fac.
IE, tu avais une api pour avoir les événements clavier, et à partir, suffit d'écrire dans un fichier et basta.
Ensuite, on parle dans un contexte d'application non vérifié par la distribution que n'importe qui peut envoyer (ie, l'appstore de Ubuntu). En pratique, le problème se pose vachement moins avec les applications libres et les dépôts qu'on a maintenant.
Mais ça se poseras dans un futur plus décentralisé permis par xdg-app et/ou les snaps.
[^] # Re: Quid des hackers ? Ben voila "quid des hackers"
Posté par Misc (site web personnel) . En réponse au journal Le Bon Coin, Airbnb, Uber : Les prochaines poules aux œufs d'or. Évalué à 3.
Je ne voulais réagir que sur la fin du journal. Le reste, je laisse le reste du monde apporter son avis, et je suppose que mon avis est similaire a un avis déjà exprimé, donc n'apporte rien.
Je pense que des modèles, y en a. Des modèles efficaces, je sais pas, mais je pense que c'est indépendant du logiciel libre, même si j'ai pas de données pour le prouver. Des boites qui marchent pas, y en a partout, donc savoir si le fait de publier du libre a un impact ou pas, je pense pas qu'on puisse le déduire. Tu peux très bien suivre la licence et ne pas réussir à motiver une communauté pour que ça décolle. Tu peux faire un soft libre qui est un succès sans que ça soit ton cœur de métier (exemple, rails, django), mais qui crée tout un pan de l'industrie.
Et bon, j'ai pas parlé non plus de la tendance à demander d'avoir un compte github qui sert de portfolio pour les devs (vu que j'ai croisé ça rarement), ou la condition est donc d'avoir soit eu la chance de bosser sur du libre, soit d'avoir pris un temps non négligeable pour coder en dehors du travail. On va pas demander à un plombier de prouver qu'il bricole en dehors de son travail que je sache, mais ça semble normal pour les devs, parce qu'on estime que faire ce qu'on aime, ç'est un substitut adéquat à un bout de salaire.
Et ça semble normal aussi parce qu'on ressort le mythe du codeur solitaire qui peut pas se retenir de coder comme l'archétype de la profession. Tout en occultant le fait que ç'est un travail d'équipe, que le dev n'est qu'un maillon dans la chaine de production logiciel, que passion != compétence, et tout ça.
Bien sur que les bénévoles existent et sont nombreux, mais ça ne doit pas apparaitre comme le seul type de contributeurs, et pas uniquement parce que c'est factuellement incorrect, mais parce que c'est dommageable.
[^] # Re: FUD
Posté par Misc (site web personnel) . En réponse au journal La Suède abandonne les paiements en espèce — ne devrait-on pas s'en inquiéter?. Évalué à 4.
Mon souci dans ce cas la n'est pas tant de m'imposer un truc. C'est de me mentir purement et simplement 2 fois d'affilée quand je pose la question de façon explicite.
A un moment, faut pas chercher pourquoi les banquiers sont une profession mal vu (cf http://www.lexpress.fr/emploi/le-mot-banquier-est-devenu-synonyme-de-voleur_1245495.html ou http://www.le-pret-immobilier.com/actualite/assureur-et-banquier-des-professions-mal-aimees-5384.html ). Bien sur, il n'y a pas que ça, mais franchement, c'est une des raisons pour moi de ne pas répondre à mon conseiller car je sais qu'il est pas la pour moi si il peut pas me parler sans me mentir pour une question simple.
ça tombe bien, j'ai bossé dans la sécurité après avoir fait mes études dedans, donc j'en suis parfaitement conscient. Quand je dit qu'ils sont incapables, c'est pas basé sur le fait que ça me fait chier. C'est basé sur le fait qu'ils ont du retard depuis toujours.
La sécurité, c'est pas forcément faire chier les gens. C'est une fausse dichotomie et le genre de connerie qu'on entends quand quelqu'un qui connait pas grand chose en parle. Pour donner un exemple, d'autres banques ont mis en place l'authentification 2 facteurs plus vite et de manière plus sur que ma banque. Alors bien sur, ça aurait sans doute couter plus cher pour eux sur le coup, mais quand après avoir vu qu'un compte WoW avait une authentification plus sur que ma banque (ou du moins, c'était le cas vers 2010), je pense que je peux raisonnablement dire "c'est des guignols". Et pas forcément les pauvres ingés en charge, voir même leur responsables, car j'imagine qu'ils doivent se battre contre un système opaque limitant tout changement, parce que tout l'organisation vit encore au moyen age.
La caisse d'épargne. Et oui, je reste principalement par flemme pour le moment. Pas la flemme de partir, la flemme de finir un tableau de comparaison et de décider sur la shortlist des banques choisis.
Mais je pense aussi qu'à un moment, les banques vont finir par faire comme les assurances (ou du moins, comme une certaine assurance française en 3 lettres que je ne citerais pas), et commencer à se bouger après avoir réalisé que peut être, un des géants du web qui investit massivement dans les statistiques et le fait d'avoir des infos sur les gens pourrait aller sur leur terrain.
# Quid des hackers ? Ben voila "quid des hackers"
Posté par Misc (site web personnel) . En réponse au journal Le Bon Coin, Airbnb, Uber : Les prochaines poules aux œufs d'or. Évalué à 7.
C'est pas très cool d'occulter complétement le travail des non programmeurs et de perpétuer l'idée que c'est secondaire.
Il y a déjà suffisamment de personnes de la communauté qui se pose la question de comment gagner leur vie, donc je ne pense pas que ça soit une caricature, et vraiment une vraie question.
Il y a aussi suffisamment d'exemple de produit ou des SSIIs ont juste repris le soft pour se faire payer des prestas à prix d'or. L'exemple courant, c'est nessus, qui est devenu proprio, mais j'avais aussi en tête MNF (mandrake network firewall), ou on peut regarder grsec et j'ai facile 2/3 autres histoires dans le même domaine (ie, la sécurité informatique, parce que c'est quand même un milieu sans grande morale (HT, gammagroup, etc).
Donc je pense qu'il faut quand mettre ta vison un chouia bisounours à coté de https://linuxfr.org/users/lebouquetin/journaux/pourquoi-une-petite-societe-a-interet-a-contribuer-et-produire-du-libre-mais-pas-que
Et bon, se dire "on travaille gratos", c'est aussi perpétuer le mythe que 1) le libre ne coute rien à produire 2) l'informatique mérite pas vraiment un salaire, vu qu'il y a des gens qui le font gratos. Mythe qu'on retrouve aussi pour les designers par exemple ("mon cousin de 10 ans le fait pour 100€, pourquoi je devrait vous payer ?").
Ça occulte complétement le fait que les gens qui le font sur leur temps libre le font assez souvent parce qu'ils ont déjà un salaire suffisant et du temps libre, chose que tout le monde, loin de la, n'a pas.
[^] # Re: FUD
Posté par Misc (site web personnel) . En réponse au journal La Suède abandonne les paiements en espèce — ne devrait-on pas s'en inquiéter?. Évalué à 2.
Oh, moi, je parle plus de trucs comme:
j'ai demandé à ne pas avoir de NFC sur ma carte. Ma banque m'a dit que c'est sur, ne comprenant pas ce que je dit quand j'ai parlé de doute sur la vie privé, mais me disant qu'ils vont le désactiver. Ils l'ont pas fait (ie, non seulement j'ai le nfc sur la carte, mais en plus, le paiement sans fil est pas désactiver). Double foutage de gueule, par 2 conseillers au téléphone.
pour une raison qui m'échappe, mais qui me parait pas être en ma faveur, je suis soit obligé d'appeler ma banque au tel, soit de venir sur place, soit de passer par leur site web pour interagir. Leur site web a été fermé pendant 1 mois ou 2 plus d'une fois suite à des campagnes de fishing, donc j'avais la possibilité de venir à l'agence. A 300 km de chez moi, car la banque, comme le reste de l'industrie, est régionalisé. Pourquoi, je sais pas, mais je suis sur que c'est pas pour me donner un meilleur service.
niveau sécu, c'est un peu n'imp. Je râle pas trop parce que ça joue parfois en ma faveur, mais ça fait peur. Genre, un simple coup de fil avec des informations publiques suffit à faire certaines opérations.
Ils sont pas non plus vraiment réactif. SI je dépasse le plafond de ma carte, je doit attendre un jour ouvré. Si je veux rajouter un compte bénéficiaire pour un virement sur le web, je doit attendre 72h incompressible.
Et en fait, c'est pareil presque partout. J'arrête pas de me dire qu'il faut que je change de banque, mais j'arrive pas vraiment à choisir la nouvelle. Et en fait, peut être que la solution, c'est faire comme mes amis, et avoir 2 banques. Parce que finalement, peut être qu'en effet, on peut pas faire confiance à une seul banque pour suffire. Y a 0 conséquences pour elles, donc pourquoi elles vont se fatiguer ?
[^] # Re: FUD
Posté par Misc (site web personnel) . En réponse au journal La Suède abandonne les paiements en espèce — ne devrait-on pas s'en inquiéter?. Évalué à 2.
Tu part du principe qu'il existe une bonne boulangerie. Mais les banques de détails semblent miser grandement sur le fait que personne ne va changer et que les autres banques appliquent les mêmes politiques vis à vis des clients.
Tout le monde qui regarde un peu sa banque va te trouver un truc à redire. Demande autour de toi.
[^] # Re: FUD
Posté par Misc (site web personnel) . En réponse au journal La Suède abandonne les paiements en espèce — ne devrait-on pas s'en inquiéter?. Évalué à 2.
J'avais pas entendu ça, mais non, je parlait plus de juste bloquer les fonds de quelqu'un et l’empêcher de dépenser son argent, tout comme des gens sont assignés à résidence.
[^] # Re: Pas grave
Posté par Misc (site web personnel) . En réponse au journal La Suède abandonne les paiements en espèce — ne devrait-on pas s'en inquiéter?. Évalué à 10.
C'est du pur bullshit. Prends une prison. Y a pas grand chose de plus surveillé dans le monde, et pourtant, les prisonniers arrivent à communiquer avec l’extérieur, arrivent à faire rentrer des trucs et font preuve d'ingéniosité pour trouver des armes.
C'est bien la preuve que même la surveillance constante n'apporte rien et ne ralentit rien.
Au final, ça reviens simplement à une question d'équilibre des pouvoirs, et la, le pouvoir va plus vraiment être équilibré.
Le traçage du trafic si c'est vraiment efficace, ça va de paire avec le traçage des dépenses des voisins "parce que tu as accés et que tu es curieux". Ça va aller de paire avec quelqu'un ayant accès aux données qui va s'en servir pour stalker son ex, de la même façon que des gens avec des accès abusent de ses accès pour lire les mails des gens (et j'ai déjà vu le cas dans ma carrière).
Autre example, les gens de la NSA qui abusent des moyens d'interceptions pour choper des photos de nus qui transitent http://arstechnica.com/tech-policy/2014/07/snowden-nsa-employees-routinely-pass-around-intercepted-nude-photos/ )
Parce que faut bien voir que personne ne va surveiller qui regarde quoi, vu que c'est déjà ce qui se passe partout. Si même la NSA n'a pas lu les logs montrant qu'un contractor a chopé une tonne d'info, je suis pas sur de voir ce qu'un groupe avec moins de pognon et des données moins sensibles va réussir à faire.
[^] # Re: FUD
Posté par Misc (site web personnel) . En réponse au journal La Suède abandonne les paiements en espèce — ne devrait-on pas s'en inquiéter?. Évalué à 7.
C'est quand même curieux que tu ne soit pas à l'aise de te trimballer avec 50€ mais que ça te paraisse normal de filer une carte capable de retirer beaucoup plus à un gamin qui ferait sans doute pas le malin face à un gamin plus grand que lui et mal intentionné. Une fois qu'il a la carte et le code, y a quand même pas grand chose qui va lui interdire de dépenser plus que le prix de ta baguette. (genre, si il est organisé, il pourrait juste prendre une crypto-monnaie quelconque).
Mais au delà de la surveillance, ça laisse quand même vachement trop de pouvoir à l'état.
Si demain au lieu d'utiliser l'état d'urgence pour interdire de séjour les gens sur des manifs, l'état bloque les dépenses de certaines personnes, ça va être vachement handicapant. Paypal a bloqué Wikileaks, par exemple: https://www.wired.com/2010/12/paypal-wikileaks/ (le même paypal fondé par un mec qui se réclame pour la liberté d'expression, mais qui finance des procès contre un site web (Gawker) qui a publié des trucs qu'il voulait garder secret (à savoir son orientation sexuel))
Si après demain, on se retrouve à avoir un gouvernement plus proche de Vichy qu'on voudrait, on serait pas non plus super jouasse de filer autant de pouvoir aux banques et aux organisations gouvernementales.
[^] # Re: Et les Panama Papers, alors ?!?
Posté par Misc (site web personnel) . En réponse au journal La Suède abandonne les paiements en espèce — ne devrait-on pas s'en inquiéter?. Évalué à 3.
Pas vraiment, y a des boites qui se chargent de ça. Une fois que tu as trouvé un pays ou il faut juste faire un peu de papier pour faire une boite, tu as juste à faire un truc qui soit long à démêler et ou tu peux automatiser les transferts de fonds.
IE, dépenser du pognon et le faire passer partout, c'est automatisé et direct, car il y a une volontée de faire circuler l'argent (ce qui est la base d'une économie qui marche d'un point de vue théorique, si je me souviens bien, donc on cherche à réduire les frictions à ce niveau).
Auditer par contre, c'est souvent manuel et long, vu qu'il faut chaque fois obtenir l'info dans un format peut être différent, sans doute sur papier (surtout si tu veux ralentir l'analyse, tu fait le minimum), rentrer ça dans une machine (avec tout les risques de typo), examiner tout et recommencer à l'étape suivante quand tu as vu ou l'argent est parti.
Une fois que quelqu'un a monté ses 200 sociétés écrans et qu'elles s'appartiennent toute les unes aux autres, ce quelqu'un a juste à "louer" les sociétés pour masquer les flux. Si le coup d'entretien et de création est minuscule, ça se rentabilise assez vite.
[^] # Re: Et les performances ?
Posté par Misc (site web personnel) . En réponse au journal Monter un cluster mémoire avec un raspberry pi. Évalué à 2.
C'est pas tant le fait d'être basé sur fuse que le fait d'être en réseau (et potentiellement distribué), vu que plein de petit fichier, ça implique plus de lookups de meta données qu'un gros fichier à taille équivalente.
Ceph souffre aussi du même souci, et c'est pas basé sur fuse dans mon souvenir.
[^] # Re: GitHub
Posté par Misc (site web personnel) . En réponse au journal Migration d'un projet de SourceForge vers TuxFamily. Évalué à 6.
C'est amusant, parce que justement, Github a changé. Par exemple, ils ont changés les prix. J'ai entendu parlé de client avec pleins de repo publiques et quelques dépôts privés, et dont les tarifs passeraient de 50
par mois, vu que ça compte maintenant par personne au lieu de payer par dépot.
Github a aussi changé car ils étaient en train de s'endormir (avant d'avoir une lettre de gens pour dire "votre issue tracker est pourri", on peut pas dire que grand monde faisait des changements sur ce bout du logiciel)
Ensuite, pour le moment, les changements sont positifs (à mon sens) pour la majorité, mais je pense que c'est pas ce que tout le monde croit. Par exemple, il y a tout une frange des utilisateurs qui semble s'opposer aux positions actuelles de Github (http://dancerscode.com/blog/why-the-open-code-of-conduct-isnt-for-me/ et http://garrett.damore.org/2016/02/leaving-github.html pour 2 exemples). D'un coté, je me dit que c'est des opinions minoritaires, mais de l'autre, c'est souvent une source de discussions des plus chaudes et donc peut être que c'est moins minoritaires que je le crois.
Et je ne suis pas super confiant dans l'avenir de Github, car d'une part, le nombre de projet libre ne va faire qu'augmenter, donc les coûts de github aussi, mais je ne voit pas forcément le nombre de clients grimper aussi vite (ne serais ce que parce les startups semblent avoir moins de fond qu'avant, ce qui me rappelle la première bulle).
Je suppose que les changements de tarif sont aussi la pour ça, retirer un chouia plus de pognon des boites qui utilisent github maintenant qu'ils estiment être en position de force, afin d'absorber la crise qui vient.
Donc j'attendrais perso de voir ce que ça va donner d'ici 2 ans.
# Un chouia simpliste ?
Posté par Misc (site web personnel) . En réponse au journal Lutter contre l'overengineering. Évalué à 10.
Tu ne parles pas non plus du principal souci, à savoir les divers facteurs humains, en estimant que c'est évident de décider qu'un projet est "over engineeré". Les gens sont rarement d'accord sur le sujet et y a plusieurs raisons pour ça.
Par exemple, les gens vont avoir tendance à sur estimer leur capacité (effet dunning kruger), et donc à voir de l'over enginering la ou il y a juste de leur part un manque de compréhension.
Ou voir du coté des choses qu'on a à peine commencé à explorer, comme l'effet Ikea (https://en.wikipedia.org/wiki/IKEA_effect), et comment les gens vont préférer ce qu'ils ont montés et dans lequel ils ont investis du temps.
De surcroit, tu ne parles pas du fait que tout le monde n'a pas forcément la même idée de ce qui doit être fait, en partie parce que les spécifications sont souvent flous, et changeantes, et que certaines personnes vont avoir le sentiment qu'on va vouloir faire d'autres choses plus tard et qu'il faut prendre ça en compte
Exemple, je déploie un site statique. Je fait un script de 5 lignes qui buildent tout. Parfait. Ensuite, on veut refaire ça. Du coup, mon script commence à avoir des paramétres, et je fait un role ansible pour déployer. Et puis, on commence à utiliser parfois des submodules, et parfois pas. Etc. Résultat, maintenant, mon script fait 243 lignes.
Pour le cas de base, il est clairement trop complexe. Pour tout les cas de bases des autres sites, il est pas encore suffisant, vu que les demandes ont évolués, et que je me retrouve à refactoriser les demandes dans 1 script.
Et pourtant, je pense pas que ça soit de l'over engineering, par rapport à l'alternative d'avoir 15 scripts presque semblables, voir pire, un logiciel pour produire les 15 scripts simples.
Et tu dit qu'un logiciel compliqué ne va pas avoir de contributions, mais c'est non évident. Au contraire, si le logiciel ne réponds pas aux besoins, il ne va pas attirer des gens pour s'en occuper.
Prends par exemple apache. Le système de module le rends plus complexe qu'un logiciel sans le même système. Mais pourtant, c'est ce qui permet d'avoir des contributions externes.
Donc non, l'over engineering, c'est comme la sécurité, c'est pas un état binaire, ça dépend des besoins qui doivent être précisés.
[^] # Re: HS folie des grandeurs
Posté par Misc (site web personnel) . En réponse au journal Quelqu'un intéressé par du coworking sur Paris, France?. Évalué à 4.
ça fait parti en général des recommandations des gens qui font du travail à la maison depuis longtemps (car je distingue "télétravail" de "travail à domicile"). Les raisons sont de se donner un rythme et un cadre (ie, j'arrete de bosser quand je suis en dehors du bureau), et de signaler à la famille qu'on est pas dispo ("non, maman travaille quand elle est dans la pièce avec le bureau, alors tu ne viens pas la déranger").
Et bien sur, les raisons classiques comme "avoir une vrai chaise de boulot", "poser un écran de taille suffisante", etc.
Mais en effet, si tu fait du travail à la maison de façon occasionnel et le reste chez des clients, au bureau, d'une bibliothèque, des conférences ou dans un bus, tu as pas forcément besoin d'investir dans tout ça. Et ça dépend aussi en effet du travail que tu as.
[^] # Re: Loyer
Posté par Misc (site web personnel) . En réponse au journal Quelqu'un intéressé par du coworking sur Paris, France?. Évalué à 5.
Je suppose à Londres, à SF et à Tokyo aussi.
Mais aprés avoir vu des chambres en cité U de 9 m², je qualifierais pas non plus un 30 m² de clapier (bien que je trouverais ça sans doute un peu petit à mon gout)
[^] # Re: Un peu incomplet
Posté par Misc (site web personnel) . En réponse au journal Brave - un nouveau navigateur web. Évalué à 10.
Tu veux parler du paradoxe que plus y a de gruyère , plus il y a de trous, mais plus il y a de trous, moins il y a de gruyère ?
[^] # Re: Support 5 ans vs variantes
Posté par Misc (site web personnel) . En réponse à la dépêche Sortie d’Ubuntu 16.04 LTS Xenial Xerus. Évalué à 2.
Arrête, on sait tous que Debian est une dérivé d'Ubuntu.
[^] # Re: Mir et Wayland périmés
Posté par Misc (site web personnel) . En réponse à la dépêche Sortie d’Ubuntu 16.04 LTS Xenial Xerus. Évalué à 5.
15 ans, pas vraiment. j'ai du en faire y a moins de 10 ans.
Ensuite, que la transparence réseau de xorg soit 1) limité (pas de passage du son, pas de montage des périphériques) 2) insécure (kough clear text kough) et donc désactivé par défaut, c'est autre chose.
j'imagine que quand les gens parlent de "transparence réseau", ils parlent de ssh -X/-Y la plupart du temps, ce qui reste à des années lumières de ce que rdesktop (ou spice) peuvent faire (mais toujours mieux que vnc). Et qui est globalement pas toujours fonctionnel du au fait que pas mal de services ont besoin d'une session dbus, ce qui prouve bien qu'en effet, les gens utilisent pas vraiment, ou alors, dans des cas ultra spécifiques.
[^] # Re: Mir et Wayland périmés
Posté par Misc (site web personnel) . En réponse à la dépêche Sortie d’Ubuntu 16.04 LTS Xenial Xerus. Évalué à 6.
Je vois pas ce que nexvision vient faire dans la discussion (cf https://fedoraproject.org/wiki/User:Renault ).
Bien que les performances passés n'augurent pas des performances futures, je pense que dans ton cas, tu es l'exception qui éprouve la règle.
Je ne vois pas un changement de taille comme wayland se faire dans une version stable, en effet (ça fait parti des promesses que fait RH sur la compatibilités).
Donc comme l'a fait remarquer Renault, ça va dépendre de la sortie de la prochaine RHEL, et ça va surtout dépendre des constructeurs (ie, si nvidia dit "pour les nouvelles cartes, on file que des pilotes compatible avec l'archi de wayland", alors les clients de RHEL Desktop (genre les studios qui font de la 3d, les bureaux scientifiques, etc) vont sans doute demander, et RH va s'adapter et proposer ça dans une version de RHEL.
Pour un mec incapable de faire une recherche et de lire une page de wiki pour savoir à qui tu parles, je te trouve bien péremptoire sur les demandes des clients des boites ou tu ne bosses pas et ou visiblement, tu n'as pas des masses d'info.
[^] # Re: Support 5 ans vs variantes
Posté par Misc (site web personnel) . En réponse à la dépêche Sortie d’Ubuntu 16.04 LTS Xenial Xerus. Évalué à 6.
Alors non, je ne crois pas que Ubuntu en bantou veuille dire "ne sais pas configurer debian". C'est un élitisme à 2 balles qui vaut bien l'élitisme anti-mandrake a 2 francs d'il y a 15 ans.
Et sinon, oui, Mint est pourri niveau gestion de la sécurité.
J'ai ouvert un bug de secu en 2012 sur Mint, j'ai eu 0 réponse ou ack. Un collègue a fini par me dire "tiens, prends ce CVE" que j'ai rajouté, mais bon.
La gestion de l'attaque sur leur site web était aussi un peu risible. Le souci n'est pas de s'être fait attaquer, mais fait attaquer 2 fois de suite. Ça arrive de pas savoir, et je sais que sysadmin, c'est un métier qu'on peut improviser jusqu'à un certain point, mais ça commence à faire beaucoup.
Si on rajoute le fait que globalement, Mint ne fournit aucun support de sécurité sur ses paquets, on commence en effet à avoir un chouia de trucs qui font tiquer quand on regarde la sécurité.
Et ça, c'est juste les trucs qu'on voit. Y a aucune transparence sur le processus de build ou de release engineering, donc tu sais pas comment, c'est fait, comment la clé gpg est stocké, etc, etc.
Le même je-m-en-foutisme est à l'oeuvre pour la gestion de ce qui est distribuable ou pas (brevets, proprio, etc), ou juste de leur formulaire de donation (qui pendant longtemps à été la cible de spammers qui donne 1 euro pour avoir un lien comme donateur)
[^] # Re: Mir et Wayland périmés
Posté par Misc (site web personnel) . En réponse à la dépêche Sortie d’Ubuntu 16.04 LTS Xenial Xerus. Évalué à 3.
Je n'ai pas testé, mais je suppose que oui (modulo les bugs). En fait, c'est pas un niveau de confiance à la qubes-os, c'est bien que l'appli n'a pas le droit.
c'est pas vraiment dans le scope. Le changement apporté par Wayland, c'est pas de te protéger d'une appli qui te dit "entrer votre mot de passe", c'est de te protéger de celle qui ne te le dit pas mais qui espionne le clavier. Tu as l'air de confondre la sécurité que xdg-app/snap veut apporter avec celle que wayland vut apporter.
Vu que ta question 1 a l'air d'être sur une mauvaise prémisse, je suis pas sur de savoir répondre.
Non.
Grosso modo les ressources. C'est le fonctionnement de qubes os, vu que tu lances 1 VM par appli, avec chacune son serveur X. Mais la question devient "pourquoi le monde entier n'utilise pas qubes os comme distro"
[^] # Re: Mir et Wayland périmés
Posté par Misc (site web personnel) . En réponse à la dépêche Sortie d’Ubuntu 16.04 LTS Xenial Xerus. Évalué à 4.
Non, c'est pas unity 7, c'est Mir.
[^] # Re: Mir et Wayland périmés
Posté par Misc (site web personnel) . En réponse à la dépêche Sortie d’Ubuntu 16.04 LTS Xenial Xerus. Évalué à 2.
Oui, mais ça reste un chouia plus compliqué à mettre en oeuvre que juste envoyer un paquet snap d'un nounours sur l'Appstore Ubuntu.
ie, je suis sur que n'importe qui ici pourrait le faire avec un peu d'entrainement, alors que je suis sur que la majorité des gens ici ne sauraient même pas ou commencer pour exploiter un browser avec la tonne de protection qu'on trouve de nos jours.
[^] # Re: Mir et Wayland périmés
Posté par Misc (site web personnel) . En réponse à la dépêche Sortie d’Ubuntu 16.04 LTS Xenial Xerus. Évalué à 6.
L'idée, c'est pas de sandboxer le serveur graphique, mais de ne donner à chaque client graphique accés que à ce qu'il a besoin.
Si jamais quelque chose (au hsard, un attaquant) arrive à compromettre evince, j'ai pas envie que evince soit capable d'écouter ce qui passe dans X, comme le mot de passe de ma clé gpg.
Ensuite, il y a d'autres vecteurs, mais dire "y a d'autres trucs donc ce trou n'a pas besoin d'être fermé", c'est un bon moyen de ne jamais rien faire, sauf à tout faire d'un coup, ce qui n'arrive jamais. La sécurité s'améliore par petites touches, et c'est une touche.
[^] # Re: Mir et Wayland périmés
Posté par Misc (site web personnel) . En réponse à la dépêche Sortie d’Ubuntu 16.04 LTS Xenial Xerus. Évalué à 3.
Wayland devrait s'occuper de ça.
Je n'ai jamais pensé à ça, mais si un script peut le faire, alors ça peut se faire intégré sans trop de souci (ie sans revoir toute l'archi, contrairement au point 1 et 2 qui sont en gros qu'un seul changement d'architecture)
[^] # Re: Mir et Wayland périmés
Posté par Misc (site web personnel) . En réponse à la dépêche Sortie d’Ubuntu 16.04 LTS Xenial Xerus. Évalué à 5.
Je ne peux pas répondre pour les windows récent, mais de mon temps, écrire un sniffeur de clavier était trivial, vu que j'ai fait ça à la fac.
IE, tu avais une api pour avoir les événements clavier, et à partir, suffit d'écrire dans un fichier et basta.
Ensuite, on parle dans un contexte d'application non vérifié par la distribution que n'importe qui peut envoyer (ie, l'appstore de Ubuntu). En pratique, le problème se pose vachement moins avec les applications libres et les dépôts qu'on a maintenant.
Mais ça se poseras dans un futur plus décentralisé permis par xdg-app et/ou les snaps.