Tu négliges un peu le principal intérêt de tout ça : fournir des ressources linguistiques dans des langues qui en manquent. De ce côté là, tu peux mutualiser la production de contenu, avec une concentration de l’effort sur les traducteurs pour les parties ou ça se différencie.
Certes, mais je suppose aussi que les langues les plus couvertes vont être celles avec la plus grande communauté, et le reste, pas vraiment. Bien sur, pouvoir écrire une encyclopédie avec moins de ressources est un plus. Mais on va pas nier que Wikipedia, ç'est le point de vue du plus grand groupe qui prime.
Fr.wp a un biais vers la France, en.wp sans doute vers les USA.
Sur le côté multilingue des fonctions ou descripteurs, ce sera le même esprit que Wikidata et c’est un peu la raison d’être de Wikifonctions, tout sera traduisible dans toute les langues. Le multilinguisme est la raison d’être de tout ça et c’est une piste et un parti pris exploré à fond : le but c’est d’avoir des gens de toutes cultures qui participent et de voir ce que ça donne, sans leur imposer une langue ou même un langage de programmation.
Wikidata contourne le souci via des identifiants abstraits, et le seul endroit ou tu vois du texte, c'est dans les labels. Il est d'ailleurs intéressant de voir que même si ça n'est pas destiné à écrire du texte et à être lu à la base, il y a quand même eu des gens qui ont voulu traiter ça comme du texte à part entière, avec tout les soucis que ça entraîne d'un point de vue linguistique.
Ici, les fonctions (dans ton exemple) vont avoir des noms dans une langue (sans doute l'anglais, on va pas se mentir). C'est ça le souci pour moi.
Avoir du contenu personnalisé sur tous les sujets dans toutes les langues, ce que tu suggérerait pour avoir de la décentralisation totale, c’est juste la situation actuelle, avec un paquet de Wikipédias avec peu de contenu. Et les wikipédias majoritaires qui ont peu de contenu sur les sujets des cultures moins hégémoniques.
Oulah non, au contraire, je trouve la structure des wikipedias actuelles beaucoup trop centralisés, je suis beaucoup plus radical à ce niveau.
Mon argument, c'est celui de la fin de ce commentaire sur l'espace pour le désaccord, à savoir qu'il n'y pas vraiment moyen de facilement faire une encyclopédie dérivée de Wikipedia, sauf sur des axes mineurs (comme l'inclusion ou non de certaines pages), ou via un processus peu pratiques (importer des dumps réguliers, qui requiert des compétences poussés et entraine des soucis à la synchro).
Pour reprendre un sujet qui déchire la communauté en ce moment, le fait d'avoir des images ou pas sur les articles pourrait être un exemple de choix possible si WP n'était pas si centralisé.
Avoir des fonctions pour faire son propre "abstract wikipedia", serait un bon pas, car en théorie, quelqu'un pourrait surcharger les fonctions pour changer des choses (tout comme on le fait pour spécialiser une classe en prog objet, ou du monkeypatching, etc).
Pour reprendre mon exemple, avec un système de surcharge pas trop mal foutu, rien n’empêcherais d'avoir le choix du type d'infobox, avec ou sans les images dessinées, etc. Les gens qui ne veulent pas les voir les retirent, les gens qui pensent que c'est un plus les affichent. Et tout le monde serait libre de proposer son encyclopédie, tout comme tout le monde, en théorie, peut faire des choses avec wikidata sans avoir à se mettre d'accord sur tout un tas de détails.
Maintenant, si une éventuelle surcharge est aussi pratique que "surcharger" une page de WP, alors ça ne va pas être vraiment décentralisé au sens ou je l'entends, plutôt le contraire.
Les infoboxes tirés de wikidata sont acceptées car elles sont surchargeables sur wikipedia au cas par cas. Un monde ou ça ne serait pas le cas tournerait à la guerre civile, car ça entraînerais une centralisation sur wikidata pour décider ce qui s'affiche sur X instances de WP, et c'est la centralisation en question qui est (selon moi) une des principale source de conflit.
Sans ce mécanisme de surcharge (qui est peut être prévu, j'ai pas suivi du tout le projet), ça va être au mieux autant source de friction que WP classique, au pire, ça va être pire parce qu'il n'y a pas la soupape de "les anglophones font ce qu'ils veulent, les francophones font autre chose".
Je ne doute pas que les ambitions sont bien plus ambitieuses que ce que j'imagine.
Ensuite, j'ai aussi peur que la majorité de la communauté soit perdue devant la tache abstraite en question. J'ai bien vu pour wikidata, qui me parait simple à comprendre, mais qui requiert quand même d'avoir une certaine vision de la gestion des données qui échappe à beaucoup de monde.
Et j'ai aussi peur que la nature du projet (à savoir essayer de contenter tout le monde via une syntaxe abstraite) soit une source de clash de plus entre différentes communautés linguistiques. La toxicité de chaque projet pris individuellement est déjà haute, j'ose pas imaginer ce que ça va donner si en plus, on s'attends à ce que les mêmes personnes se mettent d'accord avec d'autres.
D'ailleurs, tu donnes des exemples de fonctions en français, mais ç'est aussi un biais qui va sans doute surgir (à savoir que soit les fonctions sont multilingues et c'est le bordel, soit on se limite à des concepts que l'anglais peut exprimer).
Et ça, c'est sans compter sur les problèmes connus comme les pluriels, ou je pense que la question de la génération va être intéressante.
C'est un sujet de recherche ambitieux et intéressant, je ne dit pas le contraire, mais perso, je pense que plutôt que d'avoir plus de centralisation, il en faudrait moins.
Les fonctions sont un pas dans le bon sens pour ça, je ne sais pas si AbstractWikipedia ne sera pas 2 pas en arrière.
Perso, de ce que j'imagine, c'est sans doute plus maintenir des templates pour faire des articles wikipedia automatiquement à partir de Wikidata (un peu comme reasonator).
Par exemple, le logiciel pourrait prendre un film dans wikidata, et automatiquement écrire une intro qui dit que "$FILM est un film d'origine $ORIGINE sorti en $DATE. Il a fait $POGNON au box office et a obtenu $RECOMPENSES. $SCENARISTE a obtenu $RECOMPENSE_2".
Il y a pas mal d'articles qui sont formatés suivant des principes précis, et avoir des fonctions pour ça permettrait de gagner du temps.
Ensuite, un souci fondamentale, c'est qu'on ne peut pas tout mettre dans Wikidata. Par exemple, le synopsis d'un film, ça va pas rentrer.
Et un autre souci, l'importance des infos.
Toujours dans l'exemple des films, un film comme Joyland qui a eu à la fois 2 prix à Cannes (Queer Palm, et prix du Jury "Un certain regard"), et un prix dans un festival plus local (Cheries-cheris, festival à Paris) pose la question de la hierarchisation des infos, comme on peut le voir en comparant l'article en francais et l'article en anglais, et les choix faits pour les mentions de récompenses.
Donc je pense qu'il y a plein de truc intéressants de possible, mais comme d'hab, quelqu'un va râler (tm).
Et les bavures, c'est pas le burnout. En bon français, le burnout se nomme le syndrome d'épuisement professionnel en français, et l'épuisement, ç'est pas ça qui va te rendre violent. Au contraire, ç'est sans doute ça qui va faire que tu ne te retiens pas dans ta violence, mais le souci, c'est bien la violence à la base.
On peut parler du livre de Valentin Gendrot, et comparer avec l'absence de livre sur les mêmes soucis ailleurs que chez les forces de l'ordre.
Il y a sans doute du burnout aussi surtout vu les cadences de merde qu'on leur demande (contrôle des certificats pendant le confinement, bosser à Noël car on continue à pousser à l'alcoolisme en France), je ne dit pas le contraire.
Mais si le burnout vient du fait qu'on apprécie pas les gens à leur juste valeur, peut être qu'il faut se poser la question de pourquoi les flics en France ont une mauvaise image malgré les efforts de TF1 pour réhabiliter ça via Julie Lescaut ou Navarro et tout le reste pendant des années.
Et se dire que peut être, venir faire gréve parce que la loi s'applique sur un flic, c'est pas le moyen le plus rapide de retrouver une image positive.
Tout les flics ne sont pas chez Alliance, mais clairement, on entends pas vraiment les voix discordantes chez les flics.
Ouais enfin, il faut 1) être root sur la machine en face 2) avoir quelqu'un qui utilise un forward d'agent.
Si 1 et 2 sont remplis, il faut bien voir que tu es déjà dans la merde vu que root peut juste taper dans ton socket et utiliser ta clé, et par exemple, dans des cas hypothétiques, faire un ssh pour revenir vers ta propre machine avec ton compte, ou ce genre de choses.
Je dit pas qu'il faut pas corriger, mais clairement, je pense qu'il n'y a pas trop lieu de paniquer dans la grande majorité des cas.
Dans la mesure ou il a été en prison (pour des crimes relativement sans victime autre que "on a du dépensé de l'argent", càd "on a des gens qui ont été occupé 2 mois à faire des réunions"), il a purgé sa peine.
Je ne veux pas proposer de passer en mode "droit à l'oubli" complet, mais je trouve déjà que la prison pour un crime de ce genre, c'est beaucoup. Encore une fois, la privation de liberté, c'est une exception aux divers textes sur les droits humains fondamentaux (je vais m'autoriser une autocitation). C'est pas pour rien que certains partis d’extrême droite militent pour ne plus les appliquer (exemple, les Patriotes, le parti de Florian Philippot, qui a "sortie de la CEDH" dans son programme totalement hors sol et démago).
Si quelqu'un a payé le prix de ses actes (ce qui est rarement le cas pour beaucoup de morts, donc je ne veux pas généraliser), je trouve que c'est quand même être plus royaliste que le roi que de venir ressortir ça.
De plus, si on considère que regarder le casier judiciaire à l'embauche est illégal en France, et que par exemple, aux USA, c'est un mécanisme qui maintient certaines populations défavorisées (les latinos, les afroaméricains) dans la pauvreté à un niveau quasi générationnel, alors je pense qu'on peut légitimement se poser la question de savoir si c'est aussi une forme de prolongement/augmentation de la peine.
Je dit "se poser la question", car bien sur, tout les cas ne sont pas équivalents.
L'attaquand doit être root sur la machine en face (pour accéder à la socket transmise), et il faut avoir assez de libs sur la machine cible afin de construire un exploit spécifique en combinant des chargements/déchargements.
Je connais aucune des libs détaillés par qualys dans la démonstration, j'imagine à dessein pour ne pas rendre ça trop facile à utiliser. Mais du coup, c'est pas clair si c'est faisable facilement en dehors du cas spécifique d'ubuntu 20.04 par défaut.
(et à mon grand regret, ssh-agent n'est pas confiné avec selinux sur ma Fedora)
A la limite, personnellement, les chiffres je m'en moque un peu
C'est la le souci. Se moquer des chiffres, c'est risquer de prendre des cas exceptionnels et en faire des généralités.
C'est ce qui est arrivé avec les paniques morales sur les enlèvements (ou les viols) dans la rue. On imagine que le probléme, c'est des étrangers dans la rue, alors que les chiffres vont montrer le contraire (à savoir les proches).
Ça veut pas dire que les premiers n'arrivent pas, mais comme c'est beaucoup plus présent dans la culture populaire, on oublie que les seconds sont bien plus présents.
Mais quel est le rapport ?
Que visiblement, les accusations justifiées ne détruisent pas des vies, et sans preuve d'accusations injustifiées qui détruisent des vies (car tu n'en donne pas, et tu ne donne pas de chiffres), on ne peut pas être d'accord avec ta conclusion.
Et tu focalises sur le viol, mais tu oublies les autres exemples.
Les autres exemples que le viol, comme le fait d'avoir Johnny Depp à Cannes, Dave Chappel sur Netflix, Elon Musk devant Macron ?
Ou tu veux parler des exemples qui appuient ton point, exemples que tu ne donnes pas ?
Car bon, si tu penses que pointer la misogynie et le racisme est un souci car ça risque de détruire des vies (combien, le discours ne le dit pas), il faut mettre ça en balance avec la destruction causé par le racisme et la misogynie.
elles peuvent aussi aller jusqu'à détruire la vie de certaines personnes
Je pense que cette affirmation manque de chiffres et de sources, parce que c'est aussi ce que certains disent pour les accusations de viol, et pourtant, il suffit de voir que Polenski n'est pas en tôle, que Woody Allen fait encore des films, PPDA n'a pas trop été inquiété, Louis CK fait encore des seuls-en-scène, (etc, etc je vais pas faire la liste).
Donc si les accusations graves ne changent pas grand chose, et sont rarement suivis de condamnations par la justice, j'ai du mal à voir de combien exactement de vies brisés on parle ?
Et comme personne ne donne jamais le moindre chiffre, ni même le moindre exemple, donc ça me semble plus être un argument par l'émotion (et donc, un peu manipulatoire au minimum) qu'une vérité vérifiable et quantifiable.
Un juriste au taf a fait remarqué que la licence n'est pas vraiment open source.
Le point 2 "Additional Commercial Terms" par exemple, est le premier qui pose souci (et qui, contrairement aux autres plus loin, est sans controverse).
Je sais pas qui a utilisé le terme opensource entre le journaliste et Meta/FB, mais c'est une erreur grossière au mieux, au pire de l'openwashing manifeste.
Alors que si ça avait été limité depuis le début, personne n'aurait rien dit.
C'est toujours amusant de voir que ce n'est pas tant l'état d'arrivé qui fait râler que le changement et la sensation de perte qui s'accompagne.
Et c'est d'autant plus intéressant que c'est une sensation de perte de quelque chose qui était vu comme gratuit, donc soit perçu comme sans valeur (au sens économique, cad que les gens ne veulent pas payer pour), soit payé par quelqu'un d'autre (dans le sens ou quelqu'un paye pour la maintenance).
si tu ouvres un ticket chez redhat ou un vendeur tiers, la première chose qu'ils vont te demander de faire, c'est une update des paquets et reproduire le problème.
Oui, parce qu'on sait jamais si le probléme n'est pas déjà corrigé. Beaucoup de gens font pareil sur les projets libres en général, et ça n'a rien à voir avec la compatibilité, juste l'envie de ne pas perdre de temps sur ça.
Et en pratique, quand un programme tierce marche sur une distro X à un moment T et pas le lendemain d'une mise à jour, les clients râlent d'abord sur le dernier truc qui a changé en disant "vous avez cassé quelque chose". Et parfois, tu découvres que le logiciel dépend d'un comportement qui a en effet changé, mais qui n'était pas spécifié (et qui ne fait pas parti de l'ABI). Ou qui dépend d'un bug de sécurité, comme j'ai eu le cas ce matin avec woodpecker (j'ai un peu honte de ça).
la majorité des boites qui utilisent du redhat / centos utilisent des solutions comme redhat satellite/foreman pour avoir des snapshots des repos à un instant T et procèdent en général à du patching par lots, ce qui fait que toutes leurs machines vont souvent être à un même niveau de patch à tout instant.
Mais ça veut juste dire que tu as les mêmes paquets installés sur ton parc, pas que tu as les mêmes que le parc du voisin, ni le parc utilisé par les tests à un moment T par les vendeurs tierces ou les testeurs de RHEL. Ni même qu'ils ont été installés dans le même ordre ou au même moment.
Les installations de paquets ne sont pas déterministes, car l'ordre d'installation n'est pas forcément garanti (vu que les structures sous jacentes ne le sont pas forcément), et si des scripts de post installations sont impliqués, c'est encore pire.
C'était sauf erreur de ma part la conclusion d'un travail de recherche présenté lors d'une conférence en 2010 au FOSDEM, ou le présentateur a expliqué tout les soucis qui découlent d'avoir bash ou lua pour des scripts. Il est revenu l'année après avec une solution ou il remplace les scripts par un DSL d'actions limités et réversibles.
Et en fait, même la date d'installation du serveur peut jouer.
Les devs Openstack du bureau m'ont raconté un jour un bug épique. Je n'ai pas le détail, mais le contournement est détaillé ici. Le client avait fait les upgrades de tout son cluster depuis plusieurs versions, et à un moment, ça n'a pas marché. La QA n'a pas réussi à reproduire, on voyait bien que c'était un souci vis à vis de docker et du filesystem, mais c'est tout.
La solution est venu quand quelqu'un a tenté de refaire exactement le même parcours que le client (donc 6 ou 7 upgrades d'affilés) et a réussi à reproduire le souci. Et en effet, l'équipe QA a découvert que les partitions XFS déployéees en RHEL 7.0 n'était pas compatible avec ce que demande Docker (qui avait besoin d'overlayfs, qui a besoin d'autres choses, etc). L'intégration de docker a impliqué de faire un backport d'une fonction spécifique de XFS, fonctionnalité activé par défaut à l'installation des nouvelles versions (donc > RHEL 7.3) mais fonctionnalité manquante sur les serveurs du client car installés il y a trop longtemps (en 7.0).
C'est un cas extrême, mais ça montre bien qu'avoir exactement les mêmes binaires, ça peut ne pas suffire.
Et je suis sur que des cas comme ça (mais moins épique), mes collègues ont du en croiser souvent (moi, j'ai juste des bugs de merde comme le jour ou les tests de Gluster ont échoués car j'ai relancé Jenkins et le serveur a basculé en francais).
Et je parle pas des bugs dépendant du hardware, ou ce genre de trucs.
La compat bug pour bug, ça n'a aucun sens quand les bugs peuvent venir de partout en pratique.
Avec les corrections de bug en tout genre, RHEL à un instant T n'est pas compatible bug pour bug avec RHEL à un instant T+1 ou T-1 car les paquets changent à cause des correctifs de bug. Et comme les clients appliquent les correctifs à leur vitesse et font un mix, il n'y a pas de garantie possible de toute façon.
Donc quand RHEL ne peut pas être compatible bug pour bug avec elle même (car les bugs sont corrigés tout les jours), je ne vois pas exactement ce que Rocky compte viser avec.
C'est pour ça que la doc de RHEL parle d'ABI stable, que les ingés vérifient ça avec des tests sur l'ABI (via une CI dont le code est sur le gitlab que j'ai pointé). Et si le but est de viser une ABI stable, Alma vise ça aussi, à partir de Centos Stream comme RHEL.
Ensuite, si tu veux dire quelque chose d'autre quand tu parles de 1:1 et que j'ai mal compris, je veux bien comprendre la différence et ce que tu mets derrière les mots, car plus je lit, moins je comprends pourquoi les gens râlent exactement (car j'ai pas le sentiment que grand monde sait exactement comment une distro est buildé en pratique, ni comment les changements sont gérés).
La vraie question, c'est aussi de savoir de quoi on parle par "le code source".
Les patchs sont sur https://gitlab.com/redhat/centos-stream/rpms car les rpms de RHEL sont buildés à partir de Centos Stream (genre, les patchs vont d'abord dans Stream sauf de façon temporaire le temps d'un embargo de sécurité).
Les fichiers specs sont aussi la, dans le même dépôt (et pareil que les patchs, ça va d'abord dans stream).
On va me dire "et les tarballs". Les tarballs sont sur le même système que Fedora, ça utilise un serveur nommé "Lookaside Cache" (et j'imagine que c'est le même, pas de raison de dupliquer les fichiers entre toutes les distros, les disques sont pas gratuits).
Que je sache, il n'y a pas de page d'index sur le serveur mais les sources sont dispos via l'outil centpkg (le pendant de fedpkg), outil libre et dispo sur https://git.centos.org/centos/centpkg/tree/develop
Et on peut scripter ça avec curl vu que les tarballs sont en https, si on a le hash et le nom pour adresser le fichier. Et dispo sans mot de passe.
Tout les logiciels sont libres.
Donc, quelle code source est manquant exactement ?
Mais ton example, c'est un souci si l'attaquant peut choisir le nom entier du fichier, mais est ce le cas ? Et est ce qu'on peut vraiment mettre une URL complète dans un message activitypub sans que ça contredise la spec ?
Car si c'est le cas (eg, que ke nom d'un attachement est non filtré sous le controle complet d'un attaquant) alors il y a le cas de ffmpeg:
ffmpeg qui est dans la même catégorie que magick en terme de risque: "couteau suisse, parse des tonnes de format, écrit en C, va lire des trucs de l'internet".
ffmpeg -i https://foo.example.org/image.jpg est valide. Du coup, si la spec permet d'avoir un fichier avec un nom qui commence par http pour les attachements, il faut filtrer plus que magick, mais ça n'est pas adressé.
Et comme tu le dit, magick peut utiliser le coder "screenshot" ou "x" pour taper ailleurs que dans les fichiers, et sauf erreur de ma part, ça n'est pas filtré (ensuite, c'est sans doute non fonctionnel).
Donc non, je tente vraiment de comprendre mais pour ça, il faut visiblement plus que le patch, car je ne trouve pas le souci en pratique (en partie car le patch fait 4 choses différentes).
Si je comprends bien, tu parles de la policy (fichier policy.xml), mais justement, c'est ça que je pige pas.
Je m'attends à ce que ImageMagick, sauf faille de sécurité, soit utilisable sans avoir de fichier policy.xml. Avoir une sandbox est une bonne chose, mais on parle d'ImageMagick, si le logiciel sans fichier policy.xml est troué par défaut, c'est un souci.
Donc quand j'examine le patch en détail, il touche 8 fichiers.
On peut retirer les tests et le mp3 de test qui va avec, ainsi que la modif de application.rb qui est la pour charger un autre fichier.
Il reste 5 modifs. Une est le fichier policy.xml, une pour utiliser le fichier en question. On va mettre ça de coté.
Il reste donc les 3 derniers bouts, à savoir:
- une classe MediaTypeSpoofDetectorExtensions
- une modif de transcoder.rb
- une modif de attachmentable.rb
De ce que je comprends, la derniére modif change juste la validation pour utiliser le type MediaTypeSpoofDetectorExtensions, ce qui permet de ne pas laisser passer certains mp3 mal détectés. C'est curieux d'avoir 2 libs pour trouver le type mime, mais on.
Et il reste que transcoder.rb, qui va échouer si on ne peux pas faire de transcoding au lieu de laisser passer ça à ImageMagick.
Donc on a:
- une meilleur vérification des fichiers transcodés (notament les mp3)
- on arrête le traitement si le transcodage échoue (mais quel traitement ? que fait mastodon à part du retaillage ?)
- une policy qui va bloquer le traitement de tout sauf les fichiers d'images, et qui va interdire le module URL.
Mais donc, les modules en questions, est ce que ImageMagick va les appeler sans demande explicite de l'utilisateur ?
Les fonctions des coders (plutôt des encodeurs et décodeurs) implique aussi de demander de les utiliser. Si je dit "transforme ce jepg en pdf", ça va appeler le coder pdf. Mais ça se fait pas sans une demande explicite via la CLI. Donc je pige pas, surtout que ImageMagick n'est pas directement appelé par le code, mais via paperclip (de ce que je comprends), donc il y a déja une couche d'astraction qu'on peut supposer sur (ou qui n'est pas documenté comme non sure).
Est ce que passer un fichier spécifique à ImageMagick dans sa config par défaut va être un souci de sécurité, ou est ce qu'il s'agit d'une faille dans l'instance si il y a une faille dans IM (auquel cas, il y a pas d'urgence sauf timing de merde, mais je vois personne dire "faut mettre à jour IM tout de suite")
J'ai relu 3 fois mon commentaire, je ne croit pas avoir construit d’hypothèses sur les annonces, j'ai construit des hypothèses sur ce que j'ai constaté depuis des années pour Centos.
Ensuite, effectivement, j'imagine qu'on peut extrapoler des suppositions crédibles pour le futur de Rocky et Alma à partir du passé de Centos, si rien de substantiel ne change.
Et bien sur, peut être que je me trompe, et je serait ravi d'avoir des hypothèses alternatives sur ce qui est arrivé à Centos. Mais je crois que personne ne s'est vraiment penché sur ça, justement car la communauté n'avait pas d'appétence pour l'introspection, étant sans doute trop le nez dans le guidon avec une copie d'une RFC trouvé au Vatican pour en discuter en buvant du thé et échangeant des blagues en Francais.
L'ordre n'importe pas tellement, vu que dans les 2 cas, le résultat est le même, un certain contrôle du board qui va à l'encontre des objectifs affichés d'indépendance.
C'est bien d'avoir une calsue sur les votes, mais bon, la démocracie, c'est pas juste les votes, c'est aussi les discussions sur savoir ce qui est voté, la transparence, etc.
C'est ni la première fois, ni la dernière que ce genre de chose arrive dans le libre (ou ailleurs). Réussir à fédérer des entreprises concurrentes est une tache complexe et difficile. Le chemin choisi en général, c'est de passer par une fondation tierce déjà établie, mais C'est aussi quelque chose qui va te ralentir, donc pas forcément désirable d'un point de vue commercial (et on en revient aux visées commerciales de CIQ, une fois encore). Ou non désirable d'un point de vue fiscal (car il y a des considérations à filer une tonne de thunes à une organisation sans but lucratif qui produit un produit que tu es le seul à vendre, l'IRS n'aime pas ça)
La balance entre faire en sorte que le projet grandisse vite et que le projet grandisse de façon durable est encore une fois dur à atteindre, surtout quand c'est ton premier essai. Contrairement au board d'Almalinux (qui a benny Vasquez, Simon Phipps et Jack Aboutboul au bureau), j'ai pas le sentiment qu'il y a grand monde avec ce genre d'expérience chez Rockylinux. Leur CM me semble plus faire du marketing que de la communauté au sens ou les librites l'entendent (et elle n'est pas au board, ce qui est aussi une bonne indication de l'importance du sujet).
Et si le but est d'avoir un fonctionnement un peu plus communautaire et avec une séparation plus visible, il y a des étapes simples qui ne vont rien changer de substantiel à court terme tout en permettant de donner la bonne direction.
Par exemple, il suffit que CIQ file de l'argent à la RESF pour embaucher certaines personnes qui bossent sur Rockylinux. Ce qui me vient en tête, c'est ce que fait la fondation GNOME, ou la PSF en embauchant des sysadmins.
Autre example, faire en sorte que SUSE file l'argent à la RESF au lieu de prendre un contrat avec CIQ aiderais aussi pas mal sur la question de la diversité et de l'ISF mentionné plus haut.
Ou publier les comptes de façon plus régulières que le minimum légal, et de façon plus visible serait aussi un pas dans la bonne direction.
Il y a plein de choses qui pourraient être fait sans remettre en cause le modèle, mais qui ne sont pas encore faites malgré les 2 ans et demi depuis l'annonce de décembre 2020.
Bah, avant IBM, le méchant, c'était "la bourse" ou "les actionnaires", comme si nos salaires n'avaient rien à voir avec le reste (sauf dans les boites rachetés, auquel cas le méchant, c'était RH, en bref, toujours un truc plus gros et moins humain, jamais son ancien patron).
Ce qui me fait rire avec les allégations à la sauce techrights, c'est à quel point ça simplifie le fonctionnement d'une grande boite.
Franchement, si une grande entreprise avait une hiérarchie aussi efficace et rapide qu'il l'imagine, on le saurait depuis longtemps. Il faut 6 mois pour faire valider l'utilisation d'un hébergement wordpress, mais à coté de ça, la boite a largement le temps de prévoir le truc le plus diabolique possible (comme systemd) juste pour prendre le controle des serveurs en retirant des bouts de bash que personne ne veut maintenir.
(et je le voit aussi avec le fedivers, voir les idées claquées au sol sur les histoires avec threads était assez révélateur)
[^] # Re: Natural Language Generation
Posté par Misc (site web personnel) . En réponse au journal Wikifunctions est le nouveau projet de le fondation Wikimedia, un wiki de fonctions éditables par . Évalué à 5.
Certes, mais je suppose aussi que les langues les plus couvertes vont être celles avec la plus grande communauté, et le reste, pas vraiment. Bien sur, pouvoir écrire une encyclopédie avec moins de ressources est un plus. Mais on va pas nier que Wikipedia, ç'est le point de vue du plus grand groupe qui prime.
Fr.wp a un biais vers la France, en.wp sans doute vers les USA.
Wikidata contourne le souci via des identifiants abstraits, et le seul endroit ou tu vois du texte, c'est dans les labels. Il est d'ailleurs intéressant de voir que même si ça n'est pas destiné à écrire du texte et à être lu à la base, il y a quand même eu des gens qui ont voulu traiter ça comme du texte à part entière, avec tout les soucis que ça entraîne d'un point de vue linguistique.
Ici, les fonctions (dans ton exemple) vont avoir des noms dans une langue (sans doute l'anglais, on va pas se mentir). C'est ça le souci pour moi.
Oulah non, au contraire, je trouve la structure des wikipedias actuelles beaucoup trop centralisés, je suis beaucoup plus radical à ce niveau.
Mon argument, c'est celui de la fin de ce commentaire sur l'espace pour le désaccord, à savoir qu'il n'y pas vraiment moyen de facilement faire une encyclopédie dérivée de Wikipedia, sauf sur des axes mineurs (comme l'inclusion ou non de certaines pages), ou via un processus peu pratiques (importer des dumps réguliers, qui requiert des compétences poussés et entraine des soucis à la synchro).
Pour reprendre un sujet qui déchire la communauté en ce moment, le fait d'avoir des images ou pas sur les articles pourrait être un exemple de choix possible si WP n'était pas si centralisé.
Avoir des fonctions pour faire son propre "abstract wikipedia", serait un bon pas, car en théorie, quelqu'un pourrait surcharger les fonctions pour changer des choses (tout comme on le fait pour spécialiser une classe en prog objet, ou du monkeypatching, etc).
Pour reprendre mon exemple, avec un système de surcharge pas trop mal foutu, rien n’empêcherais d'avoir le choix du type d'infobox, avec ou sans les images dessinées, etc. Les gens qui ne veulent pas les voir les retirent, les gens qui pensent que c'est un plus les affichent. Et tout le monde serait libre de proposer son encyclopédie, tout comme tout le monde, en théorie, peut faire des choses avec wikidata sans avoir à se mettre d'accord sur tout un tas de détails.
Maintenant, si une éventuelle surcharge est aussi pratique que "surcharger" une page de WP, alors ça ne va pas être vraiment décentralisé au sens ou je l'entends, plutôt le contraire.
Les infoboxes tirés de wikidata sont acceptées car elles sont surchargeables sur wikipedia au cas par cas. Un monde ou ça ne serait pas le cas tournerait à la guerre civile, car ça entraînerais une centralisation sur wikidata pour décider ce qui s'affiche sur X instances de WP, et c'est la centralisation en question qui est (selon moi) une des principale source de conflit.
Sans ce mécanisme de surcharge (qui est peut être prévu, j'ai pas suivi du tout le projet), ça va être au mieux autant source de friction que WP classique, au pire, ça va être pire parce qu'il n'y a pas la soupape de "les anglophones font ce qu'ils veulent, les francophones font autre chose".
[^] # Re: Natural Language Generation
Posté par Misc (site web personnel) . En réponse au journal Wikifunctions est le nouveau projet de le fondation Wikimedia, un wiki de fonctions éditables par . Évalué à 5.
Je ne doute pas que les ambitions sont bien plus ambitieuses que ce que j'imagine.
Ensuite, j'ai aussi peur que la majorité de la communauté soit perdue devant la tache abstraite en question. J'ai bien vu pour wikidata, qui me parait simple à comprendre, mais qui requiert quand même d'avoir une certaine vision de la gestion des données qui échappe à beaucoup de monde.
Et j'ai aussi peur que la nature du projet (à savoir essayer de contenter tout le monde via une syntaxe abstraite) soit une source de clash de plus entre différentes communautés linguistiques. La toxicité de chaque projet pris individuellement est déjà haute, j'ose pas imaginer ce que ça va donner si en plus, on s'attends à ce que les mêmes personnes se mettent d'accord avec d'autres.
D'ailleurs, tu donnes des exemples de fonctions en français, mais ç'est aussi un biais qui va sans doute surgir (à savoir que soit les fonctions sont multilingues et c'est le bordel, soit on se limite à des concepts que l'anglais peut exprimer).
Et ça, c'est sans compter sur les problèmes connus comme les pluriels, ou je pense que la question de la génération va être intéressante.
C'est un sujet de recherche ambitieux et intéressant, je ne dit pas le contraire, mais perso, je pense que plutôt que d'avoir plus de centralisation, il en faudrait moins.
Les fonctions sont un pas dans le bon sens pour ça, je ne sais pas si AbstractWikipedia ne sera pas 2 pas en arrière.
[^] # Re: Natural Language Generation
Posté par Misc (site web personnel) . En réponse au journal Wikifunctions est le nouveau projet de le fondation Wikimedia, un wiki de fonctions éditables par . Évalué à 6.
Perso, de ce que j'imagine, c'est sans doute plus maintenir des templates pour faire des articles wikipedia automatiquement à partir de Wikidata (un peu comme reasonator).
Par exemple, le logiciel pourrait prendre un film dans wikidata, et automatiquement écrire une intro qui dit que "$FILM est un film d'origine $ORIGINE sorti en $DATE. Il a fait $POGNON au box office et a obtenu $RECOMPENSES. $SCENARISTE a obtenu $RECOMPENSE_2".
Il y a pas mal d'articles qui sont formatés suivant des principes précis, et avoir des fonctions pour ça permettrait de gagner du temps.
Ensuite, un souci fondamentale, c'est qu'on ne peut pas tout mettre dans Wikidata. Par exemple, le synopsis d'un film, ça va pas rentrer.
Et un autre souci, l'importance des infos.
Toujours dans l'exemple des films, un film comme Joyland qui a eu à la fois 2 prix à Cannes (Queer Palm, et prix du Jury "Un certain regard"), et un prix dans un festival plus local (Cheries-cheris, festival à Paris) pose la question de la hierarchisation des infos, comme on peut le voir en comparant l'article en francais et l'article en anglais, et les choix faits pour les mentions de récompenses.
Donc je pense qu'il y a plein de truc intéressants de possible, mais comme d'hab, quelqu'un va râler (tm).
# Doublon
Posté par Misc (site web personnel) . En réponse au lien Google dévoile le projet "Web Environment Integrity API" qui pourrait être une DRM pour le web . Évalué à 8.
https://linuxfr.org/users/devnewton/liens/google-veut-rendre-le-web-le-plus-privateur-possible
[^] # Re: les meilleurs d'entre nous
Posté par Misc (site web personnel) . En réponse au journal Immunité pour les policiers. Évalué à 10.
Mais on fait pas vraiment d'économie sur les flics:
1 milliard en plus en 2023:
https://www.lemonde.fr/politique/article/2022/09/26/budget-2023-la-securite-priorite-du-gouvernement_6143206_823448.html
900 millions en plus en 2022:
https://www.lepoint.fr/societe/budget-ministere-de-l-interieur-900-millions-d-euros-en-plus-en-2022--26-07-2021-2436899_23.php
1 milliard en 2021 en plus:
https://www.lemonde.fr/societe/article/2021/07/01/gerald-darmanin-annonce-un-milliard-d-euros-supplementaire-pour-le-budget-de-l-interieur_6086495_3224.html
800 millions en 2020:
https://www.lesechos.fr/economie-france/budget-fiscalite/budget-2020-les-gagnants-et-perdants-chez-les-ministeres-1135172
Et les bavures, c'est pas le burnout. En bon français, le burnout se nomme le syndrome d'épuisement professionnel en français, et l'épuisement, ç'est pas ça qui va te rendre violent. Au contraire, ç'est sans doute ça qui va faire que tu ne te retiens pas dans ta violence, mais le souci, c'est bien la violence à la base.
Et c'est pas le burnout qui fait que tu as du racisme décomplexé chez certains flics. Et c'est pas le seul groupe de ce genre, vu que 2 ans après, c'est pareil avec d'autres flics ailleurs. Et pas que sur Whatsapp, il y a aussi des groupes de 17 000 personnes sur FB.
Mais on trouve pareil en Belgique](https://www.lesoir.be/322074/article/2020-08-31/un-groupe-facebook-reunissant-des-policiers-incite-au-racisme-et-la-violence-une), ou aux USA, donc c'est pas uniquement un probléme franco francais.
On peut parler du livre de Valentin Gendrot, et comparer avec l'absence de livre sur les mêmes soucis ailleurs que chez les forces de l'ordre.
Il y a sans doute du burnout aussi surtout vu les cadences de merde qu'on leur demande (contrôle des certificats pendant le confinement, bosser à Noël car on continue à pousser à l'alcoolisme en France), je ne dit pas le contraire.
Mais si le burnout vient du fait qu'on apprécie pas les gens à leur juste valeur, peut être qu'il faut se poser la question de pourquoi les flics en France ont une mauvaise image malgré les efforts de TF1 pour réhabiliter ça via Julie Lescaut ou Navarro et tout le reste pendant des années.
Et se dire que peut être, venir faire gréve parce que la loi s'applique sur un flic, c'est pas le moyen le plus rapide de retrouver une image positive.
Tout les flics ne sont pas chez Alliance, mais clairement, on entends pas vraiment les voix discordantes chez les flics.
[^] # Re: Bonnes pratiques
Posté par Misc (site web personnel) . En réponse au lien CVE-2023-38408: Remote Code Execution in OpenSSH’s forwarded ssh-agent. Évalué à 4.
Ouais enfin, il faut 1) être root sur la machine en face 2) avoir quelqu'un qui utilise un forward d'agent.
Si 1 et 2 sont remplis, il faut bien voir que tu es déjà dans la merde vu que root peut juste taper dans ton socket et utiliser ta clé, et par exemple, dans des cas hypothétiques, faire un ssh pour revenir vers ta propre machine avec ton compte, ou ce genre de choses.
Je dit pas qu'il faut pas corriger, mais clairement, je pense qu'il n'y a pas trop lieu de paniquer dans la grande majorité des cas.
[^] # Re: Une moralité discutable
Posté par Misc (site web personnel) . En réponse au journal Kevin Mitnick bronsonisé. Évalué à 10.
Dans la mesure ou il a été en prison (pour des crimes relativement sans victime autre que "on a du dépensé de l'argent", càd "on a des gens qui ont été occupé 2 mois à faire des réunions"), il a purgé sa peine.
Je ne veux pas proposer de passer en mode "droit à l'oubli" complet, mais je trouve déjà que la prison pour un crime de ce genre, c'est beaucoup. Encore une fois, la privation de liberté, c'est une exception aux divers textes sur les droits humains fondamentaux (je vais m'autoriser une autocitation). C'est pas pour rien que certains partis d’extrême droite militent pour ne plus les appliquer (exemple, les Patriotes, le parti de Florian Philippot, qui a "sortie de la CEDH" dans son programme totalement hors sol et démago).
Si quelqu'un a payé le prix de ses actes (ce qui est rarement le cas pour beaucoup de morts, donc je ne veux pas généraliser), je trouve que c'est quand même être plus royaliste que le roi que de venir ressortir ça.
De plus, si on considère que regarder le casier judiciaire à l'embauche est illégal en France, et que par exemple, aux USA, c'est un mécanisme qui maintient certaines populations défavorisées (les latinos, les afroaméricains) dans la pauvreté à un niveau quasi générationnel, alors je pense qu'on peut légitimement se poser la question de savoir si c'est aussi une forme de prolongement/augmentation de la peine.
Je dit "se poser la question", car bien sur, tout les cas ne sont pas équivalents.
# Une précision (sans jeu de mot)
Posté par Misc (site web personnel) . En réponse au lien 15 lignes de code Python ≥ Google BERT. Évalué à 8. Dernière modification le 20 juillet 2023 à 10:34.
Il semble que le papier de recherche ne soit pas correct:
https://kenschutte.com/gzip-knn-paper/
[^] # Re: Bonnes pratiques
Posté par Misc (site web personnel) . En réponse au lien CVE-2023-38408: Remote Code Execution in OpenSSH’s forwarded ssh-agent. Évalué à 4. Dernière modification le 20 juillet 2023 à 10:27.
L'attaquand doit être root sur la machine en face (pour accéder à la socket transmise), et il faut avoir assez de libs sur la machine cible afin de construire un exploit spécifique en combinant des chargements/déchargements.
Je connais aucune des libs détaillés par qualys dans la démonstration, j'imagine à dessein pour ne pas rendre ça trop facile à utiliser. Mais du coup, c'est pas clair si c'est faisable facilement en dehors du cas spécifique d'ubuntu 20.04 par défaut.
(et à mon grand regret, ssh-agent n'est pas confiné avec selinux sur ma Fedora)
[^] # Re: "open source"
Posté par Misc (site web personnel) . En réponse au lien IA : Meta met la pression sur OpenAI et Google avec un modèle open source. Évalué à 5.
C'est la le souci. Se moquer des chiffres, c'est risquer de prendre des cas exceptionnels et en faire des généralités.
C'est ce qui est arrivé avec les paniques morales sur les enlèvements (ou les viols) dans la rue. On imagine que le probléme, c'est des étrangers dans la rue, alors que les chiffres vont montrer le contraire (à savoir les proches).
Ça veut pas dire que les premiers n'arrivent pas, mais comme c'est beaucoup plus présent dans la culture populaire, on oublie que les seconds sont bien plus présents.
Que visiblement, les accusations justifiées ne détruisent pas des vies, et sans preuve d'accusations injustifiées qui détruisent des vies (car tu n'en donne pas, et tu ne donne pas de chiffres), on ne peut pas être d'accord avec ta conclusion.
Les autres exemples que le viol, comme le fait d'avoir Johnny Depp à Cannes, Dave Chappel sur Netflix, Elon Musk devant Macron ?
Ou tu veux parler des exemples qui appuient ton point, exemples que tu ne donnes pas ?
Car bon, si tu penses que pointer la misogynie et le racisme est un souci car ça risque de détruire des vies (combien, le discours ne le dit pas), il faut mettre ça en balance avec la destruction causé par le racisme et la misogynie.
[^] # Re: "open source"
Posté par Misc (site web personnel) . En réponse au lien IA : Meta met la pression sur OpenAI et Google avec un modèle open source. Évalué à 3.
Je pense que cette affirmation manque de chiffres et de sources, parce que c'est aussi ce que certains disent pour les accusations de viol, et pourtant, il suffit de voir que Polenski n'est pas en tôle, que Woody Allen fait encore des films, PPDA n'a pas trop été inquiété, Louis CK fait encore des seuls-en-scène, (etc, etc je vais pas faire la liste).
Donc si les accusations graves ne changent pas grand chose, et sont rarement suivis de condamnations par la justice, j'ai du mal à voir de combien exactement de vies brisés on parle ?
Et comme personne ne donne jamais le moindre chiffre, ni même le moindre exemple, donc ça me semble plus être un argument par l'émotion (et donc, un peu manipulatoire au minimum) qu'une vérité vérifiable et quantifiable.
[^] # Re: "open source"
Posté par Misc (site web personnel) . En réponse au lien IA : Meta met la pression sur OpenAI et Google avec un modèle open source. Évalué à 7.
tout comme ça dépendrais de leur définition de "free software", le logiciel est gratuit :)
Visiblement, il n'y a pas que le monde qui a repris les termes de FB, cf ce tweet qui parle du souci pour ars technica:
https://meshed.cloud/@webmink/110737631559136143
L'OSI pointe aussi le souci.
# "open source"
Posté par Misc (site web personnel) . En réponse au lien IA : Meta met la pression sur OpenAI et Google avec un modèle open source. Évalué à 9.
Un juriste au taf a fait remarqué que la licence n'est pas vraiment open source.
Le point 2 "Additional Commercial Terms" par exemple, est le premier qui pose souci (et qui, contrairement aux autres plus loin, est sans controverse).
Je sais pas qui a utilisé le terme opensource entre le journaliste et Meta/FB, mais c'est une erreur grossière au mieux, au pire de l'openwashing manifeste.
Mais bon, ça semble déranger personne.
[^] # Re: ça bouge, ça évolue
Posté par Misc (site web personnel) . En réponse à la dépêche L'affaire des sources : mémo des clones de Red Hat Entreprise Linux (RHEL). Évalué à 3.
Alors que si ça avait été limité depuis le début, personne n'aurait rien dit.
C'est toujours amusant de voir que ce n'est pas tant l'état d'arrivé qui fait râler que le changement et la sensation de perte qui s'accompagne.
Et c'est d'autant plus intéressant que c'est une sensation de perte de quelque chose qui était vu comme gratuit, donc soit perçu comme sans valeur (au sens économique, cad que les gens ne veulent pas payer pour), soit payé par quelqu'un d'autre (dans le sens ou quelqu'un paye pour la maintenance).
[^] # Re: ça bouge, ça évolue
Posté par Misc (site web personnel) . En réponse à la dépêche L'affaire des sources : mémo des clones de Red Hat Entreprise Linux (RHEL). Évalué à 4.
Oui, parce qu'on sait jamais si le probléme n'est pas déjà corrigé. Beaucoup de gens font pareil sur les projets libres en général, et ça n'a rien à voir avec la compatibilité, juste l'envie de ne pas perdre de temps sur ça.
Et en pratique, quand un programme tierce marche sur une distro X à un moment T et pas le lendemain d'une mise à jour, les clients râlent d'abord sur le dernier truc qui a changé en disant "vous avez cassé quelque chose". Et parfois, tu découvres que le logiciel dépend d'un comportement qui a en effet changé, mais qui n'était pas spécifié (et qui ne fait pas parti de l'ABI). Ou qui dépend d'un bug de sécurité, comme j'ai eu le cas ce matin avec woodpecker (j'ai un peu honte de ça).
L'exemple connu, c'est ce vieux bug avec flash et la glibc: https://bugzilla.redhat.com/show_bug.cgi?id=638477 .
Le cas de Windows 95 et Simcity est un autre exemple connu, il a encore été cité en 2022.
Mais ça veut juste dire que tu as les mêmes paquets installés sur ton parc, pas que tu as les mêmes que le parc du voisin, ni le parc utilisé par les tests à un moment T par les vendeurs tierces ou les testeurs de RHEL. Ni même qu'ils ont été installés dans le même ordre ou au même moment.
Les installations de paquets ne sont pas déterministes, car l'ordre d'installation n'est pas forcément garanti (vu que les structures sous jacentes ne le sont pas forcément), et si des scripts de post installations sont impliqués, c'est encore pire.
C'était sauf erreur de ma part la conclusion d'un travail de recherche présenté lors d'une conférence en 2010 au FOSDEM, ou le présentateur a expliqué tout les soucis qui découlent d'avoir bash ou lua pour des scripts. Il est revenu l'année après avec une solution ou il remplace les scripts par un DSL d'actions limités et réversibles.
Et en fait, même la date d'installation du serveur peut jouer.
Les devs Openstack du bureau m'ont raconté un jour un bug épique. Je n'ai pas le détail, mais le contournement est détaillé ici. Le client avait fait les upgrades de tout son cluster depuis plusieurs versions, et à un moment, ça n'a pas marché. La QA n'a pas réussi à reproduire, on voyait bien que c'était un souci vis à vis de docker et du filesystem, mais c'est tout.
La solution est venu quand quelqu'un a tenté de refaire exactement le même parcours que le client (donc 6 ou 7 upgrades d'affilés) et a réussi à reproduire le souci. Et en effet, l'équipe QA a découvert que les partitions XFS déployéees en RHEL 7.0 n'était pas compatible avec ce que demande Docker (qui avait besoin d'overlayfs, qui a besoin d'autres choses, etc). L'intégration de docker a impliqué de faire un backport d'une fonction spécifique de XFS, fonctionnalité activé par défaut à l'installation des nouvelles versions (donc > RHEL 7.3) mais fonctionnalité manquante sur les serveurs du client car installés il y a trop longtemps (en 7.0).
C'est un cas extrême, mais ça montre bien qu'avoir exactement les mêmes binaires, ça peut ne pas suffire.
Et je suis sur que des cas comme ça (mais moins épique), mes collègues ont du en croiser souvent (moi, j'ai juste des bugs de merde comme le jour ou les tests de Gluster ont échoués car j'ai relancé Jenkins et le serveur a basculé en francais).
Et je parle pas des bugs dépendant du hardware, ou ce genre de trucs.
La compat bug pour bug, ça n'a aucun sens quand les bugs peuvent venir de partout en pratique.
[^] # Re: ça bouge, ça évolue
Posté par Misc (site web personnel) . En réponse à la dépêche L'affaire des sources : mémo des clones de Red Hat Entreprise Linux (RHEL). Évalué à 8.
Alors je ne sais pas ce que tu veux dire dans 1:1, mais si c'est semblable au "bug for bug" promis par Rocky, ça n'existe pas.
Comme l'a expliqué mieux que moi ma collègue qui a bossé sur ça:
https://quantum-integration.org/the-curse-of-bug-to-bug-compatibility
Avec les corrections de bug en tout genre, RHEL à un instant T n'est pas compatible bug pour bug avec RHEL à un instant T+1 ou T-1 car les paquets changent à cause des correctifs de bug. Et comme les clients appliquent les correctifs à leur vitesse et font un mix, il n'y a pas de garantie possible de toute façon.
Donc quand RHEL ne peut pas être compatible bug pour bug avec elle même (car les bugs sont corrigés tout les jours), je ne vois pas exactement ce que Rocky compte viser avec.
C'est pour ça que la doc de RHEL parle d'ABI stable, que les ingés vérifient ça avec des tests sur l'ABI (via une CI dont le code est sur le gitlab que j'ai pointé). Et si le but est de viser une ABI stable, Alma vise ça aussi, à partir de Centos Stream comme RHEL.
Ensuite, si tu veux dire quelque chose d'autre quand tu parles de 1:1 et que j'ai mal compris, je veux bien comprendre la différence et ce que tu mets derrière les mots, car plus je lit, moins je comprends pourquoi les gens râlent exactement (car j'ai pas le sentiment que grand monde sait exactement comment une distro est buildé en pratique, ni comment les changements sont gérés).
[^] # Re: La liberté de redistribuer des copies […] (liberté 2)
Posté par Misc (site web personnel) . En réponse à la dépêche L'affaire des sources : mémo des clones de Red Hat Entreprise Linux (RHEL). Évalué à 5.
La vraie question, c'est aussi de savoir de quoi on parle par "le code source".
Les patchs sont sur https://gitlab.com/redhat/centos-stream/rpms car les rpms de RHEL sont buildés à partir de Centos Stream (genre, les patchs vont d'abord dans Stream sauf de façon temporaire le temps d'un embargo de sécurité).
Par exemple, https://gitlab.com/redhat/centos-stream/rpms/dnsmasq est ce qui est utilisé pour dnsmasq.
Les fichiers specs sont aussi la, dans le même dépôt (et pareil que les patchs, ça va d'abord dans stream).
On va me dire "et les tarballs". Les tarballs sont sur le même système que Fedora, ça utilise un serveur nommé "Lookaside Cache" (et j'imagine que c'est le même, pas de raison de dupliquer les fichiers entre toutes les distros, les disques sont pas gratuits).
Que je sache, il n'y a pas de page d'index sur le serveur mais les sources sont dispos via l'outil centpkg (le pendant de fedpkg), outil libre et dispo sur https://git.centos.org/centos/centpkg/tree/develop
Et on peut scripter ça avec curl vu que les tarballs sont en https, si on a le hash et le nom pour adresser le fichier. Et dispo sans mot de passe.
Tout les logiciels sont libres.
Donc, quelle code source est manquant exactement ?
[^] # Re: Quelques remarques
Posté par Misc (site web personnel) . En réponse au journal Vous hébergez un serveur Mastodon ? Mettez-le à jour !. Évalué à 3.
Mais ton example, c'est un souci si l'attaquant peut choisir le nom entier du fichier, mais est ce le cas ? Et est ce qu'on peut vraiment mettre une URL complète dans un message activitypub sans que ça contredise la spec ?
Car si c'est le cas (eg, que ke nom d'un attachement est non filtré sous le controle complet d'un attaquant) alors il y a le cas de ffmpeg:
https://github.com/mastodon/mastodon/blob/d0f00206dc115cb3a21281b532c59a166c21ce71/lib/paperclip/transcoder.rb
ffmpeg qui est dans la même catégorie que magick en terme de risque: "couteau suisse, parse des tonnes de format, écrit en C, va lire des trucs de l'internet".
ffmpeg -i https://foo.example.org/image.jpg est valide. Du coup, si la spec permet d'avoir un fichier avec un nom qui commence par http pour les attachements, il faut filtrer plus que magick, mais ça n'est pas adressé.
Et comme tu le dit, magick peut utiliser le coder "screenshot" ou "x" pour taper ailleurs que dans les fichiers, et sauf erreur de ma part, ça n'est pas filtré (ensuite, c'est sans doute non fonctionnel).
J'ai testé la policy via https://imagemagick-secevaluator.doyensec.com/ et il y a pas mal de manque. Par exemple, pas de limite de mémoire, de disque, rien.
Donc non, je tente vraiment de comprendre mais pour ça, il faut visiblement plus que le patch, car je ne trouve pas le souci en pratique (en partie car le patch fait 4 choses différentes).
[^] # Re: ça bouge, ça évolue
Posté par Misc (site web personnel) . En réponse à la dépêche L'affaire des sources : mémo des clones de Red Hat Entreprise Linux (RHEL). Évalué à 4. Dernière modification le 17 juillet 2023 à 15:33.
Dans mon souvenir, les équipes RHEL et Centos ont essayés de limiter les problèmes à ce niveau.
Quand tu regardes la doc de Centos sur ça pour Centos 7 et Centos 8, il y a eu beaucoup moins de problèmes avec Centos 8.
Ou il suffit de voir le fichier de Rocky, qui a moins à patcher sur Rocky 9 (13) que sur Rocky 8 (26):
https://git.rockylinux.org/rocky/metadata/-/blob/main/patch.yml
ou a debrander (voir la fin du fichier)
[^] # Re: Quelques remarques
Posté par Misc (site web personnel) . En réponse au journal Vous hébergez un serveur Mastodon ? Mettez-le à jour !. Évalué à 3.
Si je comprends bien, tu parles de la policy (fichier policy.xml), mais justement, c'est ça que je pige pas.
Je m'attends à ce que ImageMagick, sauf faille de sécurité, soit utilisable sans avoir de fichier policy.xml. Avoir une sandbox est une bonne chose, mais on parle d'ImageMagick, si le logiciel sans fichier policy.xml est troué par défaut, c'est un souci.
Donc quand j'examine le patch en détail, il touche 8 fichiers.
On peut retirer les tests et le mp3 de test qui va avec, ainsi que la modif de application.rb qui est la pour charger un autre fichier.
Il reste 5 modifs. Une est le fichier policy.xml, une pour utiliser le fichier en question. On va mettre ça de coté.
Il reste donc les 3 derniers bouts, à savoir:
- une classe MediaTypeSpoofDetectorExtensions
- une modif de transcoder.rb
- une modif de attachmentable.rb
De ce que je comprends, la derniére modif change juste la validation pour utiliser le type MediaTypeSpoofDetectorExtensions, ce qui permet de ne pas laisser passer certains mp3 mal détectés. C'est curieux d'avoir 2 libs pour trouver le type mime, mais on.
Et il reste que transcoder.rb, qui va échouer si on ne peux pas faire de transcoding au lieu de laisser passer ça à ImageMagick.
Donc on a:
- une meilleur vérification des fichiers transcodés (notament les mp3)
- on arrête le traitement si le transcodage échoue (mais quel traitement ? que fait mastodon à part du retaillage ?)
- une policy qui va bloquer le traitement de tout sauf les fichiers d'images, et qui va interdire le module URL.
Mais donc, les modules en questions, est ce que ImageMagick va les appeler sans demande explicite de l'utilisateur ?
Les fonctions des coders (plutôt des encodeurs et décodeurs) implique aussi de demander de les utiliser. Si je dit "transforme ce jepg en pdf", ça va appeler le coder pdf. Mais ça se fait pas sans une demande explicite via la CLI. Donc je pige pas, surtout que ImageMagick n'est pas directement appelé par le code, mais via paperclip (de ce que je comprends), donc il y a déja une couche d'astraction qu'on peut supposer sur (ou qui n'est pas documenté comme non sure).
Est ce que passer un fichier spécifique à ImageMagick dans sa config par défaut va être un souci de sécurité, ou est ce qu'il s'agit d'une faille dans l'instance si il y a une faille dans IM (auquel cas, il y a pas d'urgence sauf timing de merde, mais je vois personne dire "faut mettre à jour IM tout de suite")
[^] # Re: ça bouge, ça évolue
Posté par Misc (site web personnel) . En réponse à la dépêche L'affaire des sources : mémo des clones de Red Hat Entreprise Linux (RHEL). Évalué à 4.
J'ai relu 3 fois mon commentaire, je ne croit pas avoir construit d’hypothèses sur les annonces, j'ai construit des hypothèses sur ce que j'ai constaté depuis des années pour Centos.
Ensuite, effectivement, j'imagine qu'on peut extrapoler des suppositions crédibles pour le futur de Rocky et Alma à partir du passé de Centos, si rien de substantiel ne change.
Et bien sur, peut être que je me trompe, et je serait ravi d'avoir des hypothèses alternatives sur ce qui est arrivé à Centos. Mais je crois que personne ne s'est vraiment penché sur ça, justement car la communauté n'avait pas d'appétence pour l'introspection, étant sans doute trop le nez dans le guidon avec une copie d'une RFC trouvé au Vatican pour en discuter en buvant du thé et échangeant des blagues en Francais.
[^] # Re: ça bouge, ça évolue
Posté par Misc (site web personnel) . En réponse à la dépêche L'affaire des sources : mémo des clones de Red Hat Entreprise Linux (RHEL). Évalué à 2.
Les sources sont sur https://gitlab.com/redhat/centos-stream/ depuis la release, non ?
[^] # Re: État des lieux
Posté par Misc (site web personnel) . En réponse à la dépêche L'affaire des sources : mémo des clones de Red Hat Entreprise Linux (RHEL). Évalué à 6.
L'ordre n'importe pas tellement, vu que dans les 2 cas, le résultat est le même, un certain contrôle du board qui va à l'encontre des objectifs affichés d'indépendance.
C'est bien d'avoir une calsue sur les votes, mais bon, la démocracie, c'est pas juste les votes, c'est aussi les discussions sur savoir ce qui est voté, la transparence, etc.
C'est ni la première fois, ni la dernière que ce genre de chose arrive dans le libre (ou ailleurs). Réussir à fédérer des entreprises concurrentes est une tache complexe et difficile. Le chemin choisi en général, c'est de passer par une fondation tierce déjà établie, mais C'est aussi quelque chose qui va te ralentir, donc pas forcément désirable d'un point de vue commercial (et on en revient aux visées commerciales de CIQ, une fois encore). Ou non désirable d'un point de vue fiscal (car il y a des considérations à filer une tonne de thunes à une organisation sans but lucratif qui produit un produit que tu es le seul à vendre, l'IRS n'aime pas ça)
La balance entre faire en sorte que le projet grandisse vite et que le projet grandisse de façon durable est encore une fois dur à atteindre, surtout quand c'est ton premier essai. Contrairement au board d'Almalinux (qui a benny Vasquez, Simon Phipps et Jack Aboutboul au bureau), j'ai pas le sentiment qu'il y a grand monde avec ce genre d'expérience chez Rockylinux. Leur CM me semble plus faire du marketing que de la communauté au sens ou les librites l'entendent (et elle n'est pas au board, ce qui est aussi une bonne indication de l'importance du sujet).
Et si le but est d'avoir un fonctionnement un peu plus communautaire et avec une séparation plus visible, il y a des étapes simples qui ne vont rien changer de substantiel à court terme tout en permettant de donner la bonne direction.
Par exemple, il suffit que CIQ file de l'argent à la RESF pour embaucher certaines personnes qui bossent sur Rockylinux. Ce qui me vient en tête, c'est ce que fait la fondation GNOME, ou la PSF en embauchant des sysadmins.
Autre example, faire en sorte que SUSE file l'argent à la RESF au lieu de prendre un contrat avec CIQ aiderais aussi pas mal sur la question de la diversité et de l'ISF mentionné plus haut.
Ou publier les comptes de façon plus régulières que le minimum légal, et de façon plus visible serait aussi un pas dans la bonne direction.
Il y a plein de choses qui pourraient être fait sans remettre en cause le modèle, mais qui ne sont pas encore faites malgré les 2 ans et demi depuis l'annonce de décembre 2020.
[^] # Re: Comment vont-ils faire ?
Posté par Misc (site web personnel) . En réponse à la dépêche L'affaire des sources : mémo des clones de Red Hat Entreprise Linux (RHEL). Évalué à 5.
Bah, avant IBM, le méchant, c'était "la bourse" ou "les actionnaires", comme si nos salaires n'avaient rien à voir avec le reste (sauf dans les boites rachetés, auquel cas le méchant, c'était RH, en bref, toujours un truc plus gros et moins humain, jamais son ancien patron).
Ce qui me fait rire avec les allégations à la sauce techrights, c'est à quel point ça simplifie le fonctionnement d'une grande boite.
Franchement, si une grande entreprise avait une hiérarchie aussi efficace et rapide qu'il l'imagine, on le saurait depuis longtemps. Il faut 6 mois pour faire valider l'utilisation d'un hébergement wordpress, mais à coté de ça, la boite a largement le temps de prévoir le truc le plus diabolique possible (comme systemd) juste pour prendre le controle des serveurs en retirant des bouts de bash que personne ne veut maintenir.
(et je le voit aussi avec le fedivers, voir les idées claquées au sol sur les histoires avec threads était assez révélateur)
[^] # Re: Selon Insider Intelligence (mai 2023)
Posté par Misc (site web personnel) . En réponse au lien Twitter a perdu près de la moitié de ses revenus publicitaires - letemps.ch. Évalué à 6.
Avec ou sans les dépenses pour procès ?