Quand un commentaire est à -10 (comme c'est le cas de kadalka par défaut de part sa capacité à faire preuve d'une obsession malsaine sur debian et fedora, et à pontifier sur des sujets qui ont l'air de le dépasser) va toujours avoir ce message. C'est pour ça que je réponds plus directement aussi.
Bah la, on touche le souci du doigt. Les gens veulent le truc en vogue, mais aussi supporté longtemps et stable. A un moment, faut savoir s’arrêter. Des APIs comme Ogre qui bougent encore pas mal, ç'est chiant à supporter.
La seule raison pour les gens de pas souffrir du même problème sous windows, c'est qu'on te dit pas que directx 10 va déchirer, et qu'on te file pas des builds non stabilisés au niveau de l'API, et que les devs upstreams ne droppent le support des vielles versions. ( ou ne te disent pas "faut passer à la version plus récente", comme clanlib ).
Et sous windows, tu cibles que ce que tu utilises, car tu n'as pas le choix. Et tu as aussi une API stable pour les drivers et le kernel, chose qu'on n'a pas sous Linux, avec les avantages et les inconvénients que ça entraine, l'inconvénient étant que ça pousse la compatibilité sur les gens hors des dépots principaux ( ie, 3rd party modules ).
C'est plus ça le souci. Quand tu fait ton jeu en SDL, ça compile partout, et ça tourne partout car la SDL n'a pas bougé ( ou du moins, n'a pas bougé pendant longtemps ). Mais ensuite, si les devs de jeux prennent Clanlib et se plaignent "la plateforme bouge trop", bah, faut juste arreter de la prendre. Ou faut juste faire en sorte que ça bouge sans casser la compatibilité. Tout le monde rale sur ça, la LSB a été mise au point pour ça, personne ne fait rien sauf les distributions pour entreprise.
Et pourtant, les outils existent ( http://ispras.linuxbase.org/index.php/ABI_compliance_checker ). Mais ils semblent que personne ne soit intéressé par déployer ça à une échelle suffisante pour ne serais que prendre conscience du problème ( et je parle pas de convaincre les packageurs et les upstreams de "oups, vous avez cassé un truc" ).
Mon hypothèse, c'est que les packageurs ont la pression pour filer le truc le plus récent, le plus de softs possibles, et le plus stable possible, et que faire le 1 et le 2, c'est facile car ça requiert pas de coder. Le 3, ça implique des patches, des efforts, de se fâcher avec l'upstream car tu patches, et au final, ça reviens à consommer plus de ressources.
Donc si tu veux des plateformes stables, c'est pas chez les distributions qu'il faut aller. C'est les développeurs des modules que tu utilise qu'il faut convaincre qu'une durée de vie plus grande serait vachement bien, qu'avoir une version stable de l'API et ABI serait vachement bien, etc, etc.
Bien sur que les éditeurs apprécient le support au long terme, les utilisateurs aussi.
Mais il reste à savoir ensuite si les éditeurs vont vraiment cibler Ubuntu 12.04 ( et non pas vouloir "the shiny and newest" comme une bonne part de libriste ) et si le support hardware va suivre ( Canonical bosse sur https://wiki.ubuntu.com/Kernel/LTSEnablementStack donc ils ont conscience du souci ).
C'est bien joli d'avoir 5 ans de support parce que Qualcomm te paye pour, mais c'est un panier de crabes. Comme Canonical utilise la 3d pour Unity, qu'ils ont constament refait la base de code, que ça s'appuie sur compiz, il faut maintenir la base de code de mesa/xorg/kernel en état pour tout ça.
Mais si tu veux ensuite tourner sur le nouveau hardware, faut mettre à jour tout ou partie des composants, avec les risques d’incompatibilités qui existent. Pour avoir vu plus d'une fois "le nouveau xorg est sorti et mis à jour dans $distro, les pilotes proprios sont cassés" par le passé, je plaint les personnes en charge du support de la LTS.
Et si on rajoute au mix le fait que les gens vont vouloir que leurs pilotes binaires d'avant soit supporté, que le kernel mis à jour soit aussi supporté, je voit une explosion combinatoire des problèmes avec le temps. IE, si le but d'une LTS, c'est de ne pas avoir à refaire des tests car les changements sont minimaux, ça va chauffer la QA.
D'ailleurs, c'est peut être pour supporter la LTS que Canonical a du réduire la durée de vie des distribution non LTS.
Ça impacte tout le monde, mais dés qu'on dit "faut avoir plus qu'une distribution" ou "tout le monde doit se mettre d'accord sur le systéme de boot pour l'interopérabilité, ou "voici le standard pour le binaire qu'il faut suivre", personne ne suit. Donc j'en conclue que pour un truc qui impacte tout le monde, tout le monde s'en fout.
Dés que tu ne mets pas le dernier truc à jour, les utilisateurs râlent, les développeurs râlent
Quand je verrais les jeux cibler des plateformes stables sur plusieurs années comme RHEL ou SLES, je commencerais par prendre aux sérieux les gens qui disent que "c'est important d'avoir une plateforme". Sinon, tant pis, ça reste que des paroles en l'air comme à chaque fois.
Personnellement, je ne vais pas mentir et dire que j'ai hâte d'avoir plus de jeux propriétaires sous Linux. Ensuite, en tant que developpeur de jeux, je comprends bien que ça te fasse chier bien sur.
On sait pas pour SUSE, les comptes ne sont plus publiés. Et il y a plein d'autres boites qui sont rentables avec des distributions bien plus spécialisés. Par exemple, mint arrive à faire du chiffre avec des donations.
Pour le moment, de ce que des gens chez Canonical m'ont dit, Canonical serait à l'équilibre sans les investissements fait pour le mobile et compagnie. Personnellement, j'ai toujours des doutes au vue des réductions de couts qu'on a vu ( réduction de la durée de vie, réduction sur l'organisation des UDS, reduction des efforst périphériques d'un point de vue de l'ingénieurie ( kubuntu )) et du rush vers des activités marginalement plus profitables ( amazon lens, système de donation ). Je ne doute pas qu'un contre cout des réductions en informatique leur retombe dessus ( la crise, tout ça ), que la zone euro ( ou Canonical est basé ) va pas super fort, donc je dirait pas non plus que c'est étonnant.
Mais que je sache, Canonical n'a pas massivement viré du monde pour le moment, et ensuite, il semble que la boite d'investissement de Mark en Afrique du sud ( http://www.hbd.co.za/ ) semble bien marcher, mais j'arrive pas à retrouver les chiffres. Donc non, sa fortune personnelle va amha bien, et ils ont encore quelques années à tenir.
Et puis, kadalka nous dit que Debian va dominer le monde car le nombre de serveur http sous debian grimpe, donc Ubuntu va sans doute réussir à dominer un petit continent quelque part par ricochet.
A vue de nez, un linux, si on parle du mx de nantes.fr.
En fait, la machine semble être assez vielle, sans doute un truc de 2005, 2006 au vue de la bannière ssh. Je dirais qu'il s'agit d'un sme server 7.0, mais je peux me tromper.
Ensuite, si la machine fait aussi serveur de firewall ( ce qui est assez courant dans les PME avec 1 ip routable ), l'ip de l'attaquant externe correspond pas exactement à l'ip en réseau local de la machine qui attaque, qui est en fait un poste de travail derrière le firewall. Ceci dit, ici, ça ne semble pas être le cas.
Je peux comprendre que leur partenaire puisse vouloir garder le secret pour le moment. Ceci dit, je serais aussi vachement plus convaincu si c'était publique.
C'est que je cherche l’intérêt de Mir sinon.
Et qu'on ne me réponde pas "syndrome du NIH", ça serait sous-estimer Canonical qui obéit à des logiques commerciales.
Je pense que l’intérêt de Mir, c'est que Canonical veut une vue clair de la roadmap, alors qu'avec un projet externe ou la majorité des devs ne sont pas dans Canonical, tu peux pas faire des choix à court terme afin de suivre ton planning agressif. Pour moi, ça colle bien plus avec tout ce que Canonical a fait par le passé, que ça soit le fait de pousser la lens Amazon après le freeze sans suivre les règles , le fait de forker Debian au lieu de bosser dans Debian, le fait de rajouter des modules binaires au kernel ou de rajouter des tas de patchs court termes pas super upstreamable ( genre pour les histoires de layout claviers et de touche multimédias ) , le fait de faire unity au lieu de partir sur g-s ( et de refaire unity en qt, en gtk, puis en qml ).
Je pense que Shuttleworth voit bien les bénéfices de la collaboration autour du libre, mais qu'il estime quand même qu'aller de l'avant, ça marche mieux avec du leadership fort et sans attendre les autres qui vont pinailler.
Et que les ressources sont pas un souci, vu qu'il y a toujours assez de pognon, donc "maintenir mir" est un truc pour plus tard, comme certains trucs ou Canonical a fait volte face ( plymouth vs xsplash étant le plus visible selon moi ).
Et du coup, je suis pas sur que Canonical réponde à ce que je comprends dans "des logiques commerciales". Tu peux détailler ?
Il y a eu des tentatives de le rendre agnostique à toute distribution, mais que je sache, seul la communauté opensuse a tenté des choses à ce niveau avec un portage vers PackageKit, en marge du code principal pour des questions de CLA.
Après tout, suffit de voir Android. Google a fait un truc globalement incompatible avec les distributions linux classiques, avec des APIs différentes, un kernel relativement différents ( ce qui ne permet pas un portage immédiat vers le kernel mainline ), etc, et le libre n'est pas mort.
En fait, c'est même pire, c'est que mir est la ou il est grâce au travail autour de l'infra fait par wayland.
Quand on regarde l'architecture sur le site de wayland, (dispo sur http://wayland.freedesktop.org/architecture.html), on voit que ça s'appuie sur kms, etc. Et donc kms est arrivé aussi en partie pour wayland, donc voila, les cadors de wayland ont bossé sur l'infra qui a permis d'avoir mir, vu que mir se base sur la même chose que wayland.
c'est du bullshit. Debian pourrait très bien demandé à SPI de faire la démarche en son nom. Après tout, si SPI gère la trademark Debian, je vois pas en quoi ça poserais des soucis administratif de gérer autre chose.
Que Debian ne veuille pas pour des raisons philosophiques est une chose. Et quand bien même ça ne serait pas des raisons philosophiques, il y a aussi des problémes pratiques de sécurité, à savoir que Debian n'a pas l'infrastructure pour garantir la sécurité d'une tel clé de chiffrement, comme par exemple une salle sécurisé avec un matériel hardware genre nShield de Thales. Et c'est aussi sans doute une raison d'avoir des paquets signés par l'uploader plutôt que d'avoir 1 clé qui signe pour tout, avec les avantages et les inconvénients évidents de chaque approche.
Mais dire que "c'est un groupe de volontaire qui peut rien acheter", c'est se planter sur l'organisation et la nature de la chose.
Si Debian arrive à recevoir des donations, et à gérer une trademark, alors une entité existe pour pouvoir obtenir une clé et signer.
Il parle de l'ancien hangouts, celui qui a été mis avec g+ pour les videos conférences à plusieurs. Google a cru bon reprendre le même nom de produit pour une base de code différente ( ou du moins, largement étendu ). Donc je ne pense pas que ça s'applique, surtout qu'en 2 ans, il n'y a pas eu de publication ou quoi que ce soit :/
Y a des gens qui disent que Google Hangouts n'a pas été fini complétement fini (*voice/sms* ) pour la deadline de Google I/O malgré l'avis des ingénieurs. Y a des gens qui disent aussi que le support de la fédération xmpp pour hangouts est dans le pipe, vu que du point de vue des cas à gérer, c'est comme le fait d'avoir des sms vers des gens sans contact google associés. Et des gens disent que de toute façon, Google doit maintenir le code se son serveur xmpp pour divers infras internes.
Mais bon, on verra quand des gens vont dire ça de façon plus publique que les voix que j'entends dans ma tête et mon client irc.
Pas vraiment. A l'époque, fallait salement bloquer. Si tu as un proxy skype le detecte tout seul. Il fait des requetes sur le port 443, donc faut en plus bloquer certaines urls ( qui matche une adresse ip ), et bloquer aussi tout les autres ports. Et ne pas laisser passer 1 seul client skype, sinon il fait relais. C'était pas si trivial.
Comme des centaines d’autres distributions… À quand la factorisation des efforts ?
c'est déjà fait, ça s'appelle le code des softs upstream. En fait, 90% de ce que tu retrouves dans une distribution est du code qui est partagé par tout le monde. Ensuite, bien sur, les gens se focalisent sur les 10% restants, n'ayant aucune idée de la chaine globale.
En fait, même pour l'infrastructure, c'est massivement mutualisé, tout le monde utilise les mêmes serveurs webs, etc, etc.
Ben justement, c'est la question. Bien sur que c'est rapide, c'est un commentaire sur linuxfr, pas guerre et paix ( même si j'ai déjà écrit des romans en commentaire ). On peut en discuter pendant des heures, comme déjà savoir si il y a une montée ou pas.
Mais par exemple, on peut comparer avec d'autres pays de taille comparable. Est ce qu'il y a autant de choses autour de la sécurité en espagne, en allemagne ? L'allemagne a toujours eu le CCC, mais c'est pas le même public visé que Hackito Ergo Sum ou d'autres comme le SSTTIC.
Est ce que la présence du minitel ( et donc la monétisation des services qui va avec ), le fait d'avoir des accès au net pas cher ( ou plutot moins cher qu'ailleurs ) est aussi une cause de la démocratisation de l'internet, donc de la montée de la sécurité informatique en France ? Peut être.
Il est généralement reconnu que ça a fait un bond après les attentats du 11 septembre, parce que l'état américain a financé plein de projets et donc a lancé la machine économique ( et j'aurais tendance à le croire aussi ). Ensuite, une fois les deniers publiques épuisés, la technologie s'est retrouvé dans le civil, vu que la croissance du point de vue des militaire et de l'état était soit bouché, soit illégal ( ie, dictature, etc, ce qui n'a pas empêché ).
Mais ensuite, la politique sécuritaire du gouvernement sarkozy, peut être lié aussi aux retombées en occident du 11/09 n'ont pas aidé à instauré cette montée ? La loi HADOPI, le concept d'"internet civilisé", etc, tout ça, c'est aussi des choses qui ont instauré l'idée que l'internet est une source de danger et de non droit.
Et mon point, c'est pas qu'il n'y avait pas de sécurité avant, mais qu'il y a en a beaucoup plus maintenant. C'est pas une croissance faible ou un niveau constant, c'est une croissance des plus fortes. ( encore une fois, on passe de 1 conf franchouillarde par an à 4 ce trimestre ). Et ces conférences sont organisés par des personnes locales. Les gens du milieux se plaignent que le STICC est noyauté par l'ANSII et les grosses boites, mais c'est aussi parce que ces groupes ont grossis. Thales, EADS, etc, y a quoi comme équivalent à l'étranger, et est ce qu'il y a une corrélation entre la présence de grand groupe du même genre et d'un milieu de la sécurité vivace ?
Peut être qu'il y a une monté de la visibilité des crimes qui irait avec une monté de l'information disponible. Peut être qu'il y a une montée parce que les barrières à l'entrée sont plus basses, que les risques sont moindres, c'est sans doute aussi une explication. peut être qu'il y a juste une montée de la visibilité de la sécurité informatique, je sais pas.
Il y a sans doute plus d'une raison, et je ne dit pas que ma proposition est la seule cause, loin de la. La question est de savoir si c'est une cause ou pas. Ou une conséquence. Ou un hasard. Après tout, l'extrémisme politique arrive ailleurs, et pour d'autres raisons. Mais par exemple, ailleurs en europe, je ne croit pas qu'on retrouve les mêmes choses qu'en France ( ie, climat poussant à ne pas croire l'internet, tout en ayant favorisé la montée de l'internet dans les années avant via la mise en place d'infrastructure, et via des initiatives privés ( free par exemple )). Par exemple, je pense que la France est très avance sur le libre ( dans le sens ou on a beaucoup de contributeurs francais ) parce que la DST a coupé une montée des "hackers" dans les années 80, ce qui fait qu'une génération de gens se sont retrouvés à faire du libre au lieu de faire des mouvements comme le CCC comme en Allemagne. Et peut être que cette montée des libristes a permis l'arrivé de FDN, de Free, et une certaine compréhension du fonctionnement du réseau, qui a permis d'avoir plus de libristes, plus d'internet, et à la fin, plus de gens dans le milieu de la sécurité.
Un segfault peut aussi induire un DoS, et un DoS est un souci de sécurité. La sécurité vise à assurer la disponibilité et l'intégrité du SI entre autres choses. Si ton SI ( on va dire celui d'une agence de recrutement ) ne marche pas car un petit malin a mis un cv qui fait planté ton système, tu perds la disponibilité, don cdu pognon. Et ça, c'est pas bon(tm). Ensuite, bien sur, une elevation de privilége en root, ça fait tout de suite plus peur. "oh attention, quelqu'un va devenir root et à partir de la, envoyer du spam, ou piquer votre base de données de cv".
Curieusement, ce genre d'argument pour windows xp ne marche pas pour faire migrer les gens vers un autre OS bureautique, ce qui montre que les gens ont un modèle mentale spécifique des attaques.
ça résume bien ce qui va pas dans le monde de la sécurité. Y a plein de pognon à se faire car le processus de décision contourne la rationalité. Le secret autour des affaires fait que les légendes urbaines et les exagérations sont légions ( suffit de voir les histoires de cyberwars ). Le cinéma fait tout pour faire rêver et faire croire que la sécurité et les ordinateurs, c'est magique et/ou compliqué et/ou tout troué. On vends aux gens de la peur basé sur justement de l'imaginaire, donc ça parle directement à un niveau moins rationnel de l'esprit.
Comme le dit Linus dans une interview cité plus haut, et comme j'ai pu le constater souvent en bossant dans le domaine et en lisant les MLs de projets, certains gens dans la sécurité sont très manichéen avec une vision tunnelisé.
Et comme il y a d'énormes ressources en jeu ( lire pognon ), il y a plein de monde et du coup, le monde de la sécurité est plus dans l'opposition et la compétition que dans la coopération, coopération qui est au coeur du logiciel libre et qui explique le clash des cultures. Et pas opposition juste quand il y a de l'argent, ce qui à la rigueur serait normal. Non opposition du style "je passe des jours à montrer qu'un bug est une faille et en plus,je passe le double du temps à contourner les systèmes de sécurité des autres pour faire une petite pique pour montrer qu'ils servent à rien".
Opposition car les "leaders" du monde de la sécurité sont souvent dans un des 2 extrêmes entre "paranoiaque et très discret", ie, on ne lit pas d'interview d'eux, voir connait pas leur vrai nom ( SolarDesigner, par exemple, même si maintenant, on connait son vrai nom ), et "grande gueule et porté sur l'obsession de la sécurité, voir l'exagération". Donc à partir de la, les grandes gueules gagnent la bataille médiatique, donc on a tendance à suivre leurs exemples. Suivre pour la vision tunnelisé, suivre dans l’exagération, voir promouvoir des gens comme expert alors qu'ils ont plus d'une fois parlé de casser AES.
Ensuite, je connais plein de gens qui ont une approche plus balancé de la sécurité, je ne nie pas leur existence. Mais eux, on ne les entends pas, ils ont pas une horde de gens prêt à reprendre leurs idées non extrémistes sur le web, donc on prends pas en compte leur point de vue.
Et enfin, la question qui se pose, c'est de savoir si c'est le milieu qui transforme les gens, ou si c'est les gens qui transforme le milieu. Et si au final, c'est une bonne chose de voir qu'en France, on a 4 conférences de sécurité international durant ce trimestre. Ou plus audacieux, est ce que la monté du front national en France et la monté de la sécurité informatique ne sont pas liés ( liés dans le sens ou "se méfier des autres" devient une idée de société prédominante )
Je ne suis plus un professionnel du domaine, mais j'ai pris une douche, donc je m'estime un minimum propre. Parfois, si tu as une faille, tu agrdes parce que tu as pas le temps de t'en occuper. Moi, j'ai trouvé des trucs mineurs en faisant de la lecture de code, j'ai fait un rapport de bug par mail, j'attends le correctif. Depuis janvier.
Ensuite, c'est dans l'absolu, si j'avais un truc de ce genre, oui, je tenterais de faire corriger ça assez vite. Et pour ça, c'est simple, au moins pour le logiciel libre. Y a assez de gens sur la liste oss-security pour t'aider à coordonner une release du patch avec un embargo pour que ça soit fait le plus proprement sans faire trop de dégâts.
Dans le cas de spencer, chaque fois que je lit ce qu'il écrit, il est souvent agressif et/ou hautain et rarement coopératif. Et c'est en voyant ce genre de mec ( car c'est pas le seul dans le milieu ) que j'ai compris que le monde de la sécurité est mauvais pour l'équilibre psychologique des gens ( et donc que j'ai pas cherché à re bosser dans le domaine à nouveau, si c'est pour trainer avec des mecs dans son genre ( et c'est pas le seul, je précise ), je préfère devenir admin windows au tadjikistan )
Et c'est aussi en le lisant que j'ai pigé que le patch grsecurity serait sans doute jamais mergé upstream, donc jamais à l'abri d'un coup de tête du dev principal, donc à éviter pour ma part.
C'est une question de ressources. Soit tu prends un noyau ou les gens auditent tout pour la sécurité, mais ça avance pas aussi vite que tu voudrais, voir ça vire des options que tu voudrais ( exemple, la virtualisation que l'équipe openbsd considère comme mauvaise pour la sécurité, donc ne veut pas intégré ça ). Soit tu prends un truc qui avance et ou le prix du progrès, c'est d'avoir parfois des failles.
Sinon, si tu veux une vraie équipe sécurité, y a des boites qui font leur propre OS qui paye des gens pour ça. Exemple, Apple, Microsoft, SunW Oracle mais bien sur, tu doit payer. Y a des boites qui payent aussi des équipes sécu pour le logiciel libre, genre Red Hat, Suse, Canonical, mais pareil, les revues de sécurité, ça tombe pas du ciel.
Dernière possibilité, commence à faire des revues de code en même temps que tout le reste de la lkml, lead by example, etc, etc.
Poster sur Linuxfr sans rien faire, ça va juste rien faire.
[^] # Re: Trop lentes ?
Posté par Misc (site web personnel) . En réponse à la dépêche Distribuer sans distributions ?. Évalué à 3.
Oui :
https://github.com/nono/linuxfr.org/blob/master/app/views/comments/new.html.haml
Quand un commentaire est à -10 (comme c'est le cas de kadalka par défaut de part sa capacité à faire preuve d'une obsession malsaine sur debian et fedora, et à pontifier sur des sujets qui ont l'air de le dépasser) va toujours avoir ce message. C'est pour ça que je réponds plus directement aussi.
[^] # Re: Steam et Canonical
Posté par Misc (site web personnel) . En réponse au journal Ubuntu vs les autres distributions GNU/Linux. Évalué à 6.
Bah la, on touche le souci du doigt. Les gens veulent le truc en vogue, mais aussi supporté longtemps et stable. A un moment, faut savoir s’arrêter. Des APIs comme Ogre qui bougent encore pas mal, ç'est chiant à supporter.
La seule raison pour les gens de pas souffrir du même problème sous windows, c'est qu'on te dit pas que directx 10 va déchirer, et qu'on te file pas des builds non stabilisés au niveau de l'API, et que les devs upstreams ne droppent le support des vielles versions. ( ou ne te disent pas "faut passer à la version plus récente", comme clanlib ).
Et sous windows, tu cibles que ce que tu utilises, car tu n'as pas le choix. Et tu as aussi une API stable pour les drivers et le kernel, chose qu'on n'a pas sous Linux, avec les avantages et les inconvénients que ça entraine, l'inconvénient étant que ça pousse la compatibilité sur les gens hors des dépots principaux ( ie, 3rd party modules ).
C'est plus ça le souci. Quand tu fait ton jeu en SDL, ça compile partout, et ça tourne partout car la SDL n'a pas bougé ( ou du moins, n'a pas bougé pendant longtemps ). Mais ensuite, si les devs de jeux prennent Clanlib et se plaignent "la plateforme bouge trop", bah, faut juste arreter de la prendre. Ou faut juste faire en sorte que ça bouge sans casser la compatibilité. Tout le monde rale sur ça, la LSB a été mise au point pour ça, personne ne fait rien sauf les distributions pour entreprise.
Et pourtant, les outils existent ( http://ispras.linuxbase.org/index.php/ABI_compliance_checker ). Mais ils semblent que personne ne soit intéressé par déployer ça à une échelle suffisante pour ne serais que prendre conscience du problème ( et je parle pas de convaincre les packageurs et les upstreams de "oups, vous avez cassé un truc" ).
Mon hypothèse, c'est que les packageurs ont la pression pour filer le truc le plus récent, le plus de softs possibles, et le plus stable possible, et que faire le 1 et le 2, c'est facile car ça requiert pas de coder. Le 3, ça implique des patches, des efforts, de se fâcher avec l'upstream car tu patches, et au final, ça reviens à consommer plus de ressources.
Donc si tu veux des plateformes stables, c'est pas chez les distributions qu'il faut aller. C'est les développeurs des modules que tu utilise qu'il faut convaincre qu'une durée de vie plus grande serait vachement bien, qu'avoir une version stable de l'API et ABI serait vachement bien, etc, etc.
[^] # Re: Steam et Canonical
Posté par Misc (site web personnel) . En réponse au journal Ubuntu vs les autres distributions GNU/Linux. Évalué à 6.
Bien sur que les éditeurs apprécient le support au long terme, les utilisateurs aussi.
Mais il reste à savoir ensuite si les éditeurs vont vraiment cibler Ubuntu 12.04 ( et non pas vouloir "the shiny and newest" comme une bonne part de libriste ) et si le support hardware va suivre ( Canonical bosse sur https://wiki.ubuntu.com/Kernel/LTSEnablementStack donc ils ont conscience du souci ).
C'est bien joli d'avoir 5 ans de support parce que Qualcomm te paye pour, mais c'est un panier de crabes. Comme Canonical utilise la 3d pour Unity, qu'ils ont constament refait la base de code, que ça s'appuie sur compiz, il faut maintenir la base de code de mesa/xorg/kernel en état pour tout ça.
Mais si tu veux ensuite tourner sur le nouveau hardware, faut mettre à jour tout ou partie des composants, avec les risques d’incompatibilités qui existent. Pour avoir vu plus d'une fois "le nouveau xorg est sorti et mis à jour dans $distro, les pilotes proprios sont cassés" par le passé, je plaint les personnes en charge du support de la LTS.
Et si on rajoute au mix le fait que les gens vont vouloir que leurs pilotes binaires d'avant soit supporté, que le kernel mis à jour soit aussi supporté, je voit une explosion combinatoire des problèmes avec le temps. IE, si le but d'une LTS, c'est de ne pas avoir à refaire des tests car les changements sont minimaux, ça va chauffer la QA.
D'ailleurs, c'est peut être pour supporter la LTS que Canonical a du réduire la durée de vie des distribution non LTS.
[^] # Re: Canonical va perdre de l'argent jusqu'à quand ?
Posté par Misc (site web personnel) . En réponse au journal Ubuntu vs les autres distributions GNU/Linux. Évalué à 2.
Elle est surtout spécialisé dans le poste de travail pour débutant, elle oublie le serveur, l'embarqué, le poste de travail professionnel, etc.
[^] # Re: Steam et Canonical
Posté par Misc (site web personnel) . En réponse au journal Ubuntu vs les autres distributions GNU/Linux. Évalué à 6.
Ça impacte tout le monde, mais dés qu'on dit "faut avoir plus qu'une distribution" ou "tout le monde doit se mettre d'accord sur le systéme de boot pour l'interopérabilité, ou "voici le standard pour le binaire qu'il faut suivre", personne ne suit. Donc j'en conclue que pour un truc qui impacte tout le monde, tout le monde s'en fout.
Dés que tu ne mets pas le dernier truc à jour, les utilisateurs râlent, les développeurs râlent
Quand je verrais les jeux cibler des plateformes stables sur plusieurs années comme RHEL ou SLES, je commencerais par prendre aux sérieux les gens qui disent que "c'est important d'avoir une plateforme". Sinon, tant pis, ça reste que des paroles en l'air comme à chaque fois.
[^] # Re: Steam et Canonical
Posté par Misc (site web personnel) . En réponse au journal Ubuntu vs les autres distributions GNU/Linux. Évalué à 5.
Personnellement, je ne vais pas mentir et dire que j'ai hâte d'avoir plus de jeux propriétaires sous Linux. Ensuite, en tant que developpeur de jeux, je comprends bien que ça te fasse chier bien sur.
[^] # Re: Canonical va perdre de l'argent jusqu'à quand ?
Posté par Misc (site web personnel) . En réponse au journal Ubuntu vs les autres distributions GNU/Linux. Évalué à 7.
On sait pas pour SUSE, les comptes ne sont plus publiés. Et il y a plein d'autres boites qui sont rentables avec des distributions bien plus spécialisés. Par exemple, mint arrive à faire du chiffre avec des donations.
[^] # Re: Paranoïa
Posté par Misc (site web personnel) . En réponse au journal Ubuntu vs les autres distributions GNU/Linux. Évalué à 6.
Pour le moment, de ce que des gens chez Canonical m'ont dit, Canonical serait à l'équilibre sans les investissements fait pour le mobile et compagnie. Personnellement, j'ai toujours des doutes au vue des réductions de couts qu'on a vu ( réduction de la durée de vie, réduction sur l'organisation des UDS, reduction des efforst périphériques d'un point de vue de l'ingénieurie ( kubuntu )) et du rush vers des activités marginalement plus profitables ( amazon lens, système de donation ). Je ne doute pas qu'un contre cout des réductions en informatique leur retombe dessus ( la crise, tout ça ), que la zone euro ( ou Canonical est basé ) va pas super fort, donc je dirait pas non plus que c'est étonnant.
Mais que je sache, Canonical n'a pas massivement viré du monde pour le moment, et ensuite, il semble que la boite d'investissement de Mark en Afrique du sud ( http://www.hbd.co.za/ ) semble bien marcher, mais j'arrive pas à retrouver les chiffres. Donc non, sa fortune personnelle va amha bien, et ils ont encore quelques années à tenir.
Et puis, kadalka nous dit que Debian va dominer le monde car le nombre de serveur http sous debian grimpe, donc Ubuntu va sans doute réussir à dominer un petit continent quelque part par ricochet.
[^] # Re: bataille contre les moulins
Posté par Misc (site web personnel) . En réponse au journal Attaque sur les serveurs d'hébergement. Évalué à 3.
A vue de nez, un linux, si on parle du mx de nantes.fr.
En fait, la machine semble être assez vielle, sans doute un truc de 2005, 2006 au vue de la bannière ssh. Je dirais qu'il s'agit d'un sme server 7.0, mais je peux me tromper.
Ensuite, si la machine fait aussi serveur de firewall ( ce qui est assez courant dans les PME avec 1 ip routable ), l'ip de l'attaquant externe correspond pas exactement à l'ip en réseau local de la machine qui attaque, qui est en fait un poste de travail derrière le firewall. Ceci dit, ici, ça ne semble pas être le cas.
[^] # Re: Paranoïa
Posté par Misc (site web personnel) . En réponse au journal Ubuntu vs les autres distributions GNU/Linux. Évalué à 5.
Je peux comprendre que leur partenaire puisse vouloir garder le secret pour le moment. Ceci dit, je serais aussi vachement plus convaincu si c'était publique.
Je pense que l’intérêt de Mir, c'est que Canonical veut une vue clair de la roadmap, alors qu'avec un projet externe ou la majorité des devs ne sont pas dans Canonical, tu peux pas faire des choix à court terme afin de suivre ton planning agressif. Pour moi, ça colle bien plus avec tout ce que Canonical a fait par le passé, que ça soit le fait de pousser la lens Amazon après le freeze sans suivre les règles , le fait de forker Debian au lieu de bosser dans Debian, le fait de rajouter des modules binaires au kernel ou de rajouter des tas de patchs court termes pas super upstreamable ( genre pour les histoires de layout claviers et de touche multimédias ) , le fait de faire unity au lieu de partir sur g-s ( et de refaire unity en qt, en gtk, puis en qml ).
Je pense que Shuttleworth voit bien les bénéfices de la collaboration autour du libre, mais qu'il estime quand même qu'aller de l'avant, ça marche mieux avec du leadership fort et sans attendre les autres qui vont pinailler.
Et que les ressources sont pas un souci, vu qu'il y a toujours assez de pognon, donc "maintenir mir" est un truc pour plus tard, comme certains trucs ou Canonical a fait volte face ( plymouth vs xsplash étant le plus visible selon moi ).
Et du coup, je suis pas sur que Canonical réponde à ce que je comprends dans "des logiques commerciales". Tu peux détailler ?
[^] # Re: Unity
Posté par Misc (site web personnel) . En réponse au journal Ubuntu vs les autres distributions GNU/Linux. Évalué à 3.
Il y a eu des tentatives de le rendre agnostique à toute distribution, mais que je sache, seul la communauté opensuse a tenté des choses à ce niveau avec un portage vers PackageKit, en marge du code principal pour des questions de CLA.
[^] # Re: Steam et Canonical
Posté par Misc (site web personnel) . En réponse au journal Ubuntu vs les autres distributions GNU/Linux. Évalué à 9.
Nous sauveras de quoi ?
Après tout, suffit de voir Android. Google a fait un truc globalement incompatible avec les distributions linux classiques, avec des APIs différentes, un kernel relativement différents ( ce qui ne permet pas un portage immédiat vers le kernel mainline ), etc, et le libre n'est pas mort.
[^] # Re: Si toi aussi, tu veux voir une video avec peu d'intêret..
Posté par Misc (site web personnel) . En réponse au journal Mir est peut-être une hérésie mais.... Évalué à 4.
En fait, c'est même pire, c'est que mir est la ou il est grâce au travail autour de l'infra fait par wayland.
Quand on regarde l'architecture sur le site de wayland, (dispo sur http://wayland.freedesktop.org/architecture.html), on voit que ça s'appuie sur kms, etc. Et donc kms est arrivé aussi en partie pour wayland, donc voila, les cadors de wayland ont bossé sur l'infra qui a permis d'avoir mir, vu que mir se base sur la même chose que wayland.
Cf la doc : https://wiki.ubuntu.com/Mir/Spec?action=show&redirect=MirSpec#Mir_on_the_Free_Graphics_Driver_Stack
[^] # Re: Mageia: je t'aime...
Posté par Misc (site web personnel) . En réponse à la dépêche Sortie de Mageia 3. Évalué à 6.
c'est du bullshit. Debian pourrait très bien demandé à SPI de faire la démarche en son nom. Après tout, si SPI gère la trademark Debian, je vois pas en quoi ça poserais des soucis administratif de gérer autre chose.
Que Debian ne veuille pas pour des raisons philosophiques est une chose. Et quand bien même ça ne serait pas des raisons philosophiques, il y a aussi des problémes pratiques de sécurité, à savoir que Debian n'a pas l'infrastructure pour garantir la sécurité d'une tel clé de chiffrement, comme par exemple une salle sécurisé avec un matériel hardware genre nShield de Thales. Et c'est aussi sans doute une raison d'avoir des paquets signés par l'uploader plutôt que d'avoir 1 clé qui signe pour tout, avec les avantages et les inconvénients évidents de chaque approche.
Mais dire que "c'est un groupe de volontaire qui peut rien acheter", c'est se planter sur l'organisation et la nature de la chose.
Si Debian arrive à recevoir des donations, et à gérer une trademark, alors une entité existe pour pouvoir obtenir une clé et signer.
[^] # Re: Peut-être pas si fermer que ça.
Posté par Misc (site web personnel) . En réponse à la dépêche Google Hangouts remplace Talk : la fin de la fédération XMPP ?. Évalué à 8.
Il parle de l'ancien hangouts, celui qui a été mis avec g+ pour les videos conférences à plusieurs. Google a cru bon reprendre le même nom de produit pour une base de code différente ( ou du moins, largement étendu ). Donc je ne pense pas que ça s'applique, surtout qu'en 2 ans, il n'y a pas eu de publication ou quoi que ce soit :/
[^] # Re: ben non,
Posté par Misc (site web personnel) . En réponse à la dépêche Google Hangouts remplace Talk : la fin de la fédération XMPP ?. Évalué à 8.
Y a des gens qui disent que Google Hangouts n'a pas été fini complétement fini (*voice/sms* ) pour la deadline de Google I/O malgré l'avis des ingénieurs. Y a des gens qui disent aussi que le support de la fédération xmpp pour hangouts est dans le pipe, vu que du point de vue des cas à gérer, c'est comme le fait d'avoir des sms vers des gens sans contact google associés. Et des gens disent que de toute façon, Google doit maintenir le code se son serveur xmpp pour divers infras internes.
Mais bon, on verra quand des gens vont dire ça de façon plus publique que les voix que j'entends dans ma tête et mon client irc.
[^] # Re: La guerre des écosystèmes continue
Posté par Misc (site web personnel) . En réponse au journal Google Hangouts remplace Talk: la fin de la fédération XMPP ?. Évalué à 5.
Pas vraiment. A l'époque, fallait salement bloquer. Si tu as un proxy skype le detecte tout seul. Il fait des requetes sur le port 443, donc faut en plus bloquer certaines urls ( qui matche une adresse ip ), et bloquer aussi tout les autres ports. Et ne pas laisser passer 1 seul client skype, sinon il fait relais. C'était pas si trivial.
[^] # Re: moi aussi
Posté par Misc (site web personnel) . En réponse à la dépêche Sortie de Mageia 3. Évalué à 4.
Je suis étonné, je pensais que network-manager était capable de le faire avec un clicodrome :
https://jeremy.visser.name/2009/03/simple-internet-connection-sharing-with-networkmanager/
[^] # Re: GRUB2 en option
Posté par Misc (site web personnel) . En réponse à la dépêche Sortie de Mageia 3. Évalué à 1.
IE "manque de contributeur" sur le sujet. Comme plein de trucs.
[^] # Re: Ça manque de forks, ou pas…
Posté par Misc (site web personnel) . En réponse à la dépêche Sortie de Mageia 3. Évalué à 6.
c'est déjà fait, ça s'appelle le code des softs upstream. En fait, 90% de ce que tu retrouves dans une distribution est du code qui est partagé par tout le monde. Ensuite, bien sur, les gens se focalisent sur les 10% restants, n'ayant aucune idée de la chaine globale.
En fait, même pour l'infrastructure, c'est massivement mutualisé, tout le monde utilise les mêmes serveurs webs, etc, etc.
[^] # Re: HAHA
Posté par Misc (site web personnel) . En réponse à la dépêche Root exploit sur les noyaux linux 2.6.38 à 3.8.8. Évalué à 5.
Ben justement, c'est la question. Bien sur que c'est rapide, c'est un commentaire sur linuxfr, pas guerre et paix ( même si j'ai déjà écrit des romans en commentaire ). On peut en discuter pendant des heures, comme déjà savoir si il y a une montée ou pas.
Mais par exemple, on peut comparer avec d'autres pays de taille comparable. Est ce qu'il y a autant de choses autour de la sécurité en espagne, en allemagne ? L'allemagne a toujours eu le CCC, mais c'est pas le même public visé que Hackito Ergo Sum ou d'autres comme le SSTTIC.
Est ce que la présence du minitel ( et donc la monétisation des services qui va avec ), le fait d'avoir des accès au net pas cher ( ou plutot moins cher qu'ailleurs ) est aussi une cause de la démocratisation de l'internet, donc de la montée de la sécurité informatique en France ? Peut être.
Il est généralement reconnu que ça a fait un bond après les attentats du 11 septembre, parce que l'état américain a financé plein de projets et donc a lancé la machine économique ( et j'aurais tendance à le croire aussi ). Ensuite, une fois les deniers publiques épuisés, la technologie s'est retrouvé dans le civil, vu que la croissance du point de vue des militaire et de l'état était soit bouché, soit illégal ( ie, dictature, etc, ce qui n'a pas empêché ).
Mais ensuite, la politique sécuritaire du gouvernement sarkozy, peut être lié aussi aux retombées en occident du 11/09 n'ont pas aidé à instauré cette montée ? La loi HADOPI, le concept d'"internet civilisé", etc, tout ça, c'est aussi des choses qui ont instauré l'idée que l'internet est une source de danger et de non droit.
Et mon point, c'est pas qu'il n'y avait pas de sécurité avant, mais qu'il y a en a beaucoup plus maintenant. C'est pas une croissance faible ou un niveau constant, c'est une croissance des plus fortes. ( encore une fois, on passe de 1 conf franchouillarde par an à 4 ce trimestre ). Et ces conférences sont organisés par des personnes locales. Les gens du milieux se plaignent que le STICC est noyauté par l'ANSII et les grosses boites, mais c'est aussi parce que ces groupes ont grossis. Thales, EADS, etc, y a quoi comme équivalent à l'étranger, et est ce qu'il y a une corrélation entre la présence de grand groupe du même genre et d'un milieu de la sécurité vivace ?
Peut être qu'il y a une monté de la visibilité des crimes qui irait avec une monté de l'information disponible. Peut être qu'il y a une montée parce que les barrières à l'entrée sont plus basses, que les risques sont moindres, c'est sans doute aussi une explication. peut être qu'il y a juste une montée de la visibilité de la sécurité informatique, je sais pas.
Il y a sans doute plus d'une raison, et je ne dit pas que ma proposition est la seule cause, loin de la. La question est de savoir si c'est une cause ou pas. Ou une conséquence. Ou un hasard. Après tout, l'extrémisme politique arrive ailleurs, et pour d'autres raisons. Mais par exemple, ailleurs en europe, je ne croit pas qu'on retrouve les mêmes choses qu'en France ( ie, climat poussant à ne pas croire l'internet, tout en ayant favorisé la montée de l'internet dans les années avant via la mise en place d'infrastructure, et via des initiatives privés ( free par exemple )). Par exemple, je pense que la France est très avance sur le libre ( dans le sens ou on a beaucoup de contributeurs francais ) parce que la DST a coupé une montée des "hackers" dans les années 80, ce qui fait qu'une génération de gens se sont retrouvés à faire du libre au lieu de faire des mouvements comme le CCC comme en Allemagne. Et peut être que cette montée des libristes a permis l'arrivé de FDN, de Free, et une certaine compréhension du fonctionnement du réseau, qui a permis d'avoir plus de libristes, plus d'internet, et à la fin, plus de gens dans le milieu de la sécurité.
[^] # Re: Silent patching
Posté par Misc (site web personnel) . En réponse à la dépêche Root exploit sur les noyaux linux 2.6.38 à 3.8.8. Évalué à 5.
Un segfault peut aussi induire un DoS, et un DoS est un souci de sécurité. La sécurité vise à assurer la disponibilité et l'intégrité du SI entre autres choses. Si ton SI ( on va dire celui d'une agence de recrutement ) ne marche pas car un petit malin a mis un cv qui fait planté ton système, tu perds la disponibilité, don cdu pognon. Et ça, c'est pas bon(tm). Ensuite, bien sur, une elevation de privilége en root, ça fait tout de suite plus peur. "oh attention, quelqu'un va devenir root et à partir de la, envoyer du spam, ou piquer votre base de données de cv".
Curieusement, ce genre d'argument pour windows xp ne marche pas pour faire migrer les gens vers un autre OS bureautique, ce qui montre que les gens ont un modèle mentale spécifique des attaques.
[^] # Re: HAHA
Posté par Misc (site web personnel) . En réponse à la dépêche Root exploit sur les noyaux linux 2.6.38 à 3.8.8. Évalué à 10.
ça résume bien ce qui va pas dans le monde de la sécurité. Y a plein de pognon à se faire car le processus de décision contourne la rationalité. Le secret autour des affaires fait que les légendes urbaines et les exagérations sont légions ( suffit de voir les histoires de cyberwars ). Le cinéma fait tout pour faire rêver et faire croire que la sécurité et les ordinateurs, c'est magique et/ou compliqué et/ou tout troué. On vends aux gens de la peur basé sur justement de l'imaginaire, donc ça parle directement à un niveau moins rationnel de l'esprit.
Comme le dit Linus dans une interview cité plus haut, et comme j'ai pu le constater souvent en bossant dans le domaine et en lisant les MLs de projets, certains gens dans la sécurité sont très manichéen avec une vision tunnelisé.
Et comme il y a d'énormes ressources en jeu ( lire pognon ), il y a plein de monde et du coup, le monde de la sécurité est plus dans l'opposition et la compétition que dans la coopération, coopération qui est au coeur du logiciel libre et qui explique le clash des cultures. Et pas opposition juste quand il y a de l'argent, ce qui à la rigueur serait normal. Non opposition du style "je passe des jours à montrer qu'un bug est une faille et en plus,je passe le double du temps à contourner les systèmes de sécurité des autres pour faire une petite pique pour montrer qu'ils servent à rien".
Opposition car les "leaders" du monde de la sécurité sont souvent dans un des 2 extrêmes entre "paranoiaque et très discret", ie, on ne lit pas d'interview d'eux, voir connait pas leur vrai nom ( SolarDesigner, par exemple, même si maintenant, on connait son vrai nom ), et "grande gueule et porté sur l'obsession de la sécurité, voir l'exagération". Donc à partir de la, les grandes gueules gagnent la bataille médiatique, donc on a tendance à suivre leurs exemples. Suivre pour la vision tunnelisé, suivre dans l’exagération, voir promouvoir des gens comme expert alors qu'ils ont plus d'une fois parlé de casser AES.
Ensuite, je connais plein de gens qui ont une approche plus balancé de la sécurité, je ne nie pas leur existence. Mais eux, on ne les entends pas, ils ont pas une horde de gens prêt à reprendre leurs idées non extrémistes sur le web, donc on prends pas en compte leur point de vue.
Et enfin, la question qui se pose, c'est de savoir si c'est le milieu qui transforme les gens, ou si c'est les gens qui transforme le milieu. Et si au final, c'est une bonne chose de voir qu'en France, on a 4 conférences de sécurité international durant ce trimestre. Ou plus audacieux, est ce que la monté du front national en France et la monté de la sécurité informatique ne sont pas liés ( liés dans le sens ou "se méfier des autres" devient une idée de société prédominante )
[^] # Re: HAHA
Posté par Misc (site web personnel) . En réponse à la dépêche Root exploit sur les noyaux linux 2.6.38 à 3.8.8. Évalué à 3.
Je ne suis plus un professionnel du domaine, mais j'ai pris une douche, donc je m'estime un minimum propre. Parfois, si tu as une faille, tu agrdes parce que tu as pas le temps de t'en occuper. Moi, j'ai trouvé des trucs mineurs en faisant de la lecture de code, j'ai fait un rapport de bug par mail, j'attends le correctif. Depuis janvier.
Ensuite, c'est dans l'absolu, si j'avais un truc de ce genre, oui, je tenterais de faire corriger ça assez vite. Et pour ça, c'est simple, au moins pour le logiciel libre. Y a assez de gens sur la liste oss-security pour t'aider à coordonner une release du patch avec un embargo pour que ça soit fait le plus proprement sans faire trop de dégâts.
Dans le cas de spencer, chaque fois que je lit ce qu'il écrit, il est souvent agressif et/ou hautain et rarement coopératif. Et c'est en voyant ce genre de mec ( car c'est pas le seul dans le milieu ) que j'ai compris que le monde de la sécurité est mauvais pour l'équilibre psychologique des gens ( et donc que j'ai pas cherché à re bosser dans le domaine à nouveau, si c'est pour trainer avec des mecs dans son genre ( et c'est pas le seul, je précise ), je préfère devenir admin windows au tadjikistan )
Et c'est aussi en le lisant que j'ai pigé que le patch grsecurity serait sans doute jamais mergé upstream, donc jamais à l'abri d'un coup de tête du dev principal, donc à éviter pour ma part.
[^] # Re: HAHA
Posté par Misc (site web personnel) . En réponse à la dépêche Root exploit sur les noyaux linux 2.6.38 à 3.8.8. Évalué à 10.
C'est une question de ressources. Soit tu prends un noyau ou les gens auditent tout pour la sécurité, mais ça avance pas aussi vite que tu voudrais, voir ça vire des options que tu voudrais ( exemple, la virtualisation que l'équipe openbsd considère comme mauvaise pour la sécurité, donc ne veut pas intégré ça ). Soit tu prends un truc qui avance et ou le prix du progrès, c'est d'avoir parfois des failles.
Sinon, si tu veux une vraie équipe sécurité, y a des boites qui font leur propre OS qui paye des gens pour ça. Exemple, Apple, Microsoft, SunW Oracle mais bien sur, tu doit payer. Y a des boites qui payent aussi des équipes sécu pour le logiciel libre, genre Red Hat, Suse, Canonical, mais pareil, les revues de sécurité, ça tombe pas du ciel.
Dernière possibilité, commence à faire des revues de code en même temps que tout le reste de la lkml, lead by example, etc, etc.
Poster sur Linuxfr sans rien faire, ça va juste rien faire.