Si le journal des événements windows est troué, le correctif
pourra arriver avec quelques années de retard, mais ce sera
assez simple de le déployer , puisque seul windows l'utilise
Je pense que ça va rien changer au fait que certaines infras (à tort ou à raison) sont longues à être mise à jour.
La différence entre log4j et windows, c'est qu'en tant qu'admin, je suis responsable de windows, mais pas forcément de log4j.
Un meilleur exemple serait un logiciel proprio qui n'est pas directement fourni à l'admin. Je sais que l'exemple que je vais donner est pourri, mais je connais pas assez de logiciel proprios.
Prenons qnx. C'est un logiciel qui a du succès, mais c'est en général pas moi en tant qu'admin qui va le mettre à jour, mais le fabricant qui me file un firmware. Si on retire les soucis de mise à jour de firmware (aka, c'est chiant de base), on va être dans le même genre de problématique, à savoir qu'il y a 3 acteurs:
- le fournisseur du composant
- les fournisseurs du logiciel qui utilisent le composant
- l'utilisateur des logiciels.
Ça va être plus long qu'un truc avec 2 acteurs car il y a beaucoup plus de monde.
Personnellement, je suis plutôt surpris qu'il y ait si peu
d'attaques de ce genre. Pour l'instant, la majorité de celles
qu'on connaît ont touché l'écosystème Javascript.
Y a beaucoup sur npm, mais l’écosystème python est aussi impacté pas mal via du typosquatting régulier, donc je dirais pas vraiment "la majorité".
À titre semi personnel (semi personnel parce que je garde ça pour le boulot, mais surtout pour ressortir des exemples quand je doit convaincre le reste du monde), j'ai une liste sur l'intranet du boulot avec toute les compromission touchant à du code source sur les infra de logiciel libres et dans mon souvenir, c'était de l'ordre de 1 par mois en 2019/2018, tout projet et type de compromission confondu.
Je devrais la publier de l'autre coté du firewall un jour je suppose.
Je pense pas que ça soit toujours aussi simple que le résumé de ton prof.
Par exemple, faire changer le mot de passe tout les 6 mois, ç'est clairement moins de confort. Par contre, le gain en sécurité est assez marginal (voir négatif) si j'en croit divers discussions sur le sujet.
Et de surcroit, ça ne dit ni sécurité contre quel type d'attaque, ni confort pour qui ?
Ton exemple de la banque est une bonne illustration, car le manque de confort est ressenti par l'utilisateur, mais le bénéfice de sécurité est surtout pour le bénéfice de la banque (vu que l'utilisateur va être couvert plus ou moins via le jeu des assurances et de la loi).
Dans ce cas, posons la question, est ce qu'il y avait besoin de log4j, si on suppose qu'on peut toujours faire sans certaines fonctions ?
Après tout, pourquoi ne pas rester à Println ou la lib par défaut de java ?
Quelqu'un a eu besoin de chaque bout de fonctionnalité ajouté à un moment. Quelqu'un l'a codé. Je suppose que c'est grosso modo tout ce qu'il faut.
La maintenance, c'est important, mais je sais aussi que dire "non", c'est en général assez peu populaire comme position, comme j'ai pu le voir sur le projet Ansible quand des modules ont été refusés, comme on a pu le voir lorsque que Debian a décidé de passer à systemd, ou les discussions sur les thèmes de GNOME.
Sans aller loin dans le passé, il suffit de voir il y a une semaine sur Linuxfr la discussion sur le manifest v3 et le fait de retirer des fonctionnalités en cadrant un peu mieux ce qui est faisable ou pas.
Dans le cas de log4j, le souci n'est pas forcément de rajouter le lookup jdni, car de ce que j'ai compris, c'était prévu pour être fait via la configuration sous le contrôle d'un admin. Avoir la configuration des logs centralisés dans LDAP via une syntaxe standard de Java, c'etait pas non plus déconnant.
La question d'activer jdni par défaut ou pas, c'est au niveau de la JVM, et pareil, je suppose que les devs de JVM ont du se dire "si quelqu'un utilise la fonction dans le code, alors c'est implicitement qu'il a besoin de l'utiliser".
On peut se poser la question de la gestion récursive des variables, mais je sais que j'ai déjà eu besoin de ça avec ansible, donc je suis assez sur que d'autres auraient pu en avoir besoin dans d'autres contextes, et qu'un dev aurait pu le rajouter en tout bonne foi.
Et pour l'usage de la réflexivité, je suppose que c'est un pattern important pour java (ou du moins, ça avait l'air important quand j'ai appris java).
Ensuite, il faut aussi rappeler que les lookups JDNI sont maintenant désactivés par défaut sur les JVM d'il y a moins de 3 ans (si je me souviens bien) et surtout qu'il existe un concept de sandbox dans la JVM depuis grosso modo toujours. Sandbox qui n'est semble t'il pas utilisé par la majorité des programmes, car ç'est long à coder. Et qui n'est pas activé par défaut, car ça n'aboutirais que à forcer les gens à retirer dés qu'un truc ne marche pas (cf les tutos partout qui commence par "il faut retirer selinux")
Alors, moins de fonctionnalité, sans doute que oui, mais il faut bien voir que dire "non", c'est mal vu, et que dire non ne retire pas le besoin, et qu'à un moment, tu va commencer à perdre des utilisateurs, puis des contributeurs, et le souci n'a fait que bouger ailleurs.
OpenBSD a moins de fonctions qu'une distro Linux. Mais curieusement, les distros Linux sont massivement plus utilisés.
Mais il est clair que si log4j pourrait recevoir des
contributions financières, ce serait cool.
Log4j fait parti de la fondation Apache, donc la structure pour recevoir de l'argent est de facto la (cf son ancien président qui m'a pointé ça quand on a eu la même discussion).
Concernant le CI , oui un mvn audit serait bien, encore
faudrait il que eles serveurs maven suivent (il n'y a pas
uniquement maven central )
Et il faut avoir l'infrastucture et les procédures pour gérer des failles. C'est amusant de comparer ça avec npm (qui a la fonction, mais aussi des gens pour s'en occuper, d'autant plus depuis le rachat par github et par microsoft), ou avec pypi (qui n'a personne pour faire le taf, ou du moins, qui n'avait personne à temps plein sur la maintenance du logiciel avant, et sans doute des volontaires sur le reste).
Des modèles de financement existent (que ça soit des choses comme Anaconda, les distros commerciales, ou sans doute d'autres), mais j'ai pas le sentiment que "il faut se retreindre à ne prendre que des biblis supportées ou on paye" soit la grande tendance du moment.
Ouais, enfin, dans une grande boite, sortir l'argent, c'est pas si simple.
Par exemple, tu fais du libre et tu envoies une facture, mais tu es étudiant en doctorat à Paris ? Mon employeur ne peut sans doute pas te payer, car un doctorant est payé par l'état, et les lois anticorruptions américaines s'appliquent (vis à vis de filer de l'argent aux agents gouvernementaux).
Tu bosse dans l'informatique, et tu envoies des factures à coté de ton taf, je suppose que la clause de non concurrence s'applique, donc sans doute niet aussi.
Et les taxes divers et variés, surtout d'un pays à l'autre, c'est compliqué.
On peut regarder ce qui est arrivé avec Heartbleed et OpenSSL.
OpenBSD a fait un fork de son coté avec LibreSSL, tout comme Google. Amazon a proposé s2n.
C'est aussi une des raisons de la création du Project Zero de Google, d'aprés WP.
À coté, Go a eu sa propre lib, Rust a RusTLS, et les autres sans doute pareil, pour éviter de se servir d'OpenSSL.
La Linux Fundation a crée une initiative pour financer le libre, c'est un peu sa raison d'être.
Grace à ça, OpenSSL a récolté assez d'argent pour financer un dev à temps pleins, le code a été nettoyé, et on a pas eu autant de frayeur depuis. Et on a tous découvert que la crypto, c'est important.
À coté de ça, je n'ai pas entendu parler de la moindre exploitation publique du bug qui a eu un impact. Je ne doute pas que des groupes bien financés (états) ont pu en tirer quelque chose, mais 7 ans après, toujours rien, ce qui personnellement me conforte dans mon opinion vis à vis des soucis de cryptos.
On peut aussi regarder ce qui est arrivé avec Shellshock et bash, cad, rien de notable. Personne n'a lancé de nouveau shell, d'initiative pour financer bash.
Et que je sache, les impacts sur le monde ont été assez mineur aussi. Il y a eu quelque DDos, sans doute divers companies de pentest qui ont pu sortir des rapports à leur client, mais c'est tout. Je ne doute pas que plus de cibles ont été attaqués, mais pas grand monde a changé de posture.
Donc qu'est ce qui va arriver ?
Primo, plus de gens vont regarder log4j, et les logiciels adjacents. Le bundling de code est une leçon qu'on redécouvre régulièrement (CVE-2002-0059, qui a poussé les distros a faire du dynamique, si je me souviens bien), je suppose que ça va continuer.
Le monde du libre ne va pas trop changer. Il y a déjà des outils pour vérifier les dépendances, donc peut être plus de monde vont commencer à regarder ça. Les gens qui n'aiment pas java vont continuer à ne pas aimer java, les gens qui ne pigent rien à la complexité logiciel vont continuer à poster des commentaires, les mainteneurs vont utiliser ça pour dire qu'il faut changer le fonctionnement du financement du libre sans que ça change.
Le monde du dev interne proprio va sans doute continuer à se diviser entre "les gens qui s'en préoccupent et qui filent des moyens", et "le reste". Avec un peu de chance, les gens sans budget vont réussir à avoir une excuse pour avoir du budget.
Le monde des boites commerciales ne va pas changer beaucoup plus ses pratiques, à part que les équipes sécurité vont avoir un slide de plus pour tenter de tirer du pognon. Je ne doute pas que sur les 5 prochaines années, les choses vont aller mieux, mais c'est sans doute un changement commencé y a longtemps.
Et ce qui ne va pas arriver:
On ne va pas beaucoup plus regarder ce qui est embarqué. Ç'était un souci avant, on ne le faisait pas car c'était trop cher, aucune des raisons pour changer ça n'a changé, donc ça va sans doute bouger un peu mais pas d'un coup.
On ne va pas forcément plus verrouiller les programmes. Elastic Search n’était pas vulnérable à l’exécution de code à distance grace à l'usage d'un ContextManager. Mais de ce que j'ai compris, c'est chiant de rajouter ça dans le code, tout comme c'est chiant de faire des politiques SELinux, et chiant de faire un réseau segmenté avec des parefeux, des proxys, etc. Spoiler, ça va toujours être aussi chiant, donc on va pas plus le faire d'un coup.
On ne va pas arrêter de coder en java. Il y a toujours des tonnes de devs, donc c'est toujours aussi facile d'embaucher, donc le code va continuer à être écrit et maintenu.
On ne va pas arrêter d'embarquer tout. Pareil, ça va toujours être plus facile, ça résout des soucis (ou du moins, ça échange des soucis). Tout au plus, on va voir maven obtenir la même fonction que npm (eg, npm audit), et qui va être ignoré, sauf par les gens avec assez de CI/CD.
Concernant cette épidémie de covid, j'ai l'impression (mais je
peux me tromper, hein) que des gens sont tombés dedans parce
que beaucoup de choses les y ont poussé
Alosr je pense qu'il y a un contexte, clairement. Tu parles de l'exemple de Tchernobyl, mais je pense que ça va plus loin, il suffit d'aller voir sur wikipedia, et de voir les chiffres.
Ça fait des années qu'on parle de moralisation de la vie politique, et même si je pense que la majorité des personnalités politiques sont sans souci, je sais aussi que l'esprit humain va se focaliser sur les détails.
Mais c'était pas exactement ce que j'avais en tête. Il y a des causes structurelles, oui, je pense que personne ne va le nier.
Et il y a des causes plus directs, ou des gens se disent "je vais capitaliser sur ça", et ça que j'ai en tête.
Car les causes structurelles, ça va prendre beaucoup plus de temps à corriger et c'est plus compliqué. Les causes directs, ça me semble plus envisageable à corriger.
Bon après quand je vois sur twitter certains qui semble
complètement grisés et sans la moindre empathie, peut être que
certains naviguent entre l’allégeance du même type que de
soutenir une équipe de foot (et donc "démonter" toutes les
autres) et des lanceurs d'alertes à la petite semelle.
C'est aussi ce que je vois, donc si c'est pifométrique, on est deux.
Il y a tout un tas de choses qui laissent songeur quand on regarde avec un oeil critique.
Si on regarde ça sous l'angle des méthodes de recrutement des sectes, c'est une forme de prosélytisme, et une forme d'escalade de l'engagement, vu que tu va demander de faire une chose simple et rapide (aller sur telegram), puis ensuite bombarder la personne avec une tonne de contenus sans laisser le temps de se poser, tout en laissant avoir d'autres canaux a explorer. Les canaux sont organisés par position, ce qui facilite les rencontres IRL, et il y a aussi incitation à coller plus de stickers (encore une escalade dans l'engagement).
Ou un autre exemple, la dynamique de copie des messages sur telegram (ou celle des retweets) permet aussi de donner quelque chose à faire aux gens qui soit un peu addictif, et qui donne aussi des choses à explorer. C'est un peu de la propagande auto alimenté
Et l'usage d'un groupe de résistant (la rose blanche) permet aussi de cimenter l'identité du groupe autour d'un truc quand même plus cool que la moyenne.
Donc oui, je pense que ton analyse est proche de la réalité.
Non, c'est du sarcasme. L'empathie est pas vraiment à la mode.
Je suppose en partie à cause des médias qu'on utilise de nos jours pour discutter, qui sont à la fois plus lent (texte vs voix), mais aussi moins réactif, et moins "intime".
Si tu rajoutes que la société (à minima française mais sans doute occidental en général) va classifier l'empathie comme une activité féminine (comprendre "que les hommes ne doivent pas adopter"), non, c'est pas vraiment à la mode vu la répartition genré sur Linuxfr.
Tu commence ton commentaire en parlant d'empathie et tu le
conclu par des menaces physiques ?
Non ?
Je me permet de pointer sur le wiktionnaire pour mieux expliquer ce que je voulais dire.
Et pour clarifier, à un moment, les antivaxx vont finir par se rendre compte qu'il y a des gens qui sont mort de façon direct à cause de leur militantisme. Je ne mets pas tout sur le dos des antivaxx, le gouvernement est aussi responsable, mais à la rigueur, le gouvernement, c'est juste des tocards, et j'ai moins de souci avec l'incompétence face à un problème pourri qu'avec le fait de volontairement participer dans un culte mortifère.
Et pourtant, j'aurais tendance à être en faveur des gens qui ouvrent leur gueule au nom de la démocratie.
Et par combattre, je ne parle pas d'aller tabasser des gens.
Déjà, a 1 contre plus que 3, je vais sans doute pas gagner. Secundo, je pense que si je surcharge les hopitaux d'antivaxx par ma prestance au combat, je risque de faire plus de dégât vis à vis de la pandémie.
écrit notamment par Micah Lee. Or ce dernier est un opposant
notoire de Assange et Wikileaks et ne fait pas preuve d'une
grande objectivité sur ce sujet
C'est marrant comment tout tourne autour des personnes plus des organisations quand on parle de Wikileaks, un peu comme si c'était un effet de bord d'un culte de la personnalité.
A tel point que Glenn Greenwald a fini par en partir alors qu'il en est un des cofondateur.
Dans mon souvenir, il est parti parce qu'on a demandé de retirer un truc d'un de ses articles sur la fameuse affaire du portable du fils de Biden. Dans la mesure ou ça semble avoir été un canular monté par l’extrême droite US dans le but de saboter la campagne présidentielle (on change pas une équipe qui gagne), et dans la mesure ou sa réaction semble pas mal dans la ligne "je suis le fondateur, je fait ce que je veux", je pense qu'on glisse dangereusement dans la même catégorie de culte de la personnalité que wikileaks.
D’après les journaux, il avait aussi déjà commencé à préparer à partir depuis des mois, ce qui est logique, car il faudrait être assez con pour le faire sur un coup de tête. Mais du coup, ça suppose aussi que son outrage était préparé depuis plusieurs jours, ce qui laisse quand même croire que c'est une tentative de faire parler de lui, en utilisant le vieux canard de "cancel culture, ouin ouin". D'ailleurs, c'est aussi sans doute pour ça qu'il lâche pas l'affaire.
qui a été débunké mais est toujours en ligne sans le moindre démenti.
Il faut aller lire l'article, car c'est marqué dedans:
"In a series of tweets WikiLeaks said Assange and Manafort had not met. Assange described the story as a hoax."
Mais on peut aussi directement regarder ce que la presse dit sur le sujet des tweets en question.
Et puisque tu parles de ça, on peut aussi parler de Nigel Farage et de wikileaks. Je suppose qu'il y a sans doute eu aussi un debunk.
Pour le camp d'en face il y a déjà la quasi totalité des
médias US qui se font un plaisir de diffuser toute nouvelle
contre les républicains, et ce qu'elles soient vraies ou
fausses.
Ah oui, la fameuse Lügenpress. Peut être que les républicains devraient faire campagne sur la suppression du 1er amendement pour que le gouvernement puisse dire aux médias de ne pas faire des choses.
Ceci dit, il y a aussi le fait que si une personne ne lit pas la lettre, l’expéditeur risque de te retrouver tôt ou tard vu comme un spam (par apprentissage automatique de l’hébergeur de mail).
Et comme les factures des prestataires d'envoi sont sauf erreur de ma part chiffré au volume, il y a aussi je pense une raison économique.
Dans le 1000 à 1500€ par jour, tu comptes aussi le fait que l'entreprise cliente a quelqu'un qui bosse pendant tes vacances (ou du moins, c'est mon expérience en régie). Ça fait déjà 10% (5 semaines + 10j sur 52 semaines).
Ensuite, il y a les frais de l'ESN (commission du commercial, mais salaire du departement financier, des RH, etc). C'est sans doute pas énorme, mais ça s'accumule. Il y a les intercontrats (qui peuvent arriver du jour au lendemain), les frais de déplacements, etc.
Les ESN se font du pognon, je n'en doute pas (sinon, elles ne seraient pas dans ce business). Mais il y a aussi des frais de fonctionnement à prendre en compte, et ça se voit assez vite si tu passes freelance.
Faire la compta, trouver des clients, rédiger des contrats, etc. Tout ça, c'est des coûts qui se retrouve facturer pour le bonheur d'avoir un budget plus flexible, des lignes différentes sur la compta ou simplement moins d'administratif (ou des besoins non facilement couvrable).
Après tout, pourquoi payer un ingé réseau à temps plein si tu as besoin de 50% la plupart du temps.
Et oui, y a aussi clairement des cas ou je trouve ça anormal, quand tu as une tonne de gens en régie sur le long terme, y a un probléme pour moi.
Je suppose que si on fait ça, le monde va s'écrouler sous l'existence de 2 millions de frameworks javascript et de 75 000 languages de templates en python.
Peut être. Ou peut être qu'il y a un phénomène sociétal du à des changements.
L'exemple que tu donnes sur le complotisme et la vaccination, c'est aussi parce que des gens sont tombés dedans, et je pense qu'il y a eu des efforts pour que des gens tombent dedans.
Et se pose la question de pourquoi maintenant et pas y a 10 ans ?
Le complotisme et les théories fumeuses existent depuis longtemps. Par exemple, ma mère avait les livres de Erich von Däniken quand j’étais plus jeune. Les mêmes théories sont ensuite passés à la télé (alien theory vers 2013 en France), et je ne doute pas que de nos jours, on retrouve ça dans les divers chaînes de courants de complotistes, au moins sous une autre forme de ce que j'ai vu.
Je pense qu'on peut dire que Youtube (ou assimilés) a une portée plus grande que la télé, et que la télé a une portée plus grande que les livres.
Les vidéos en streaming sont dispo H24, peuvent s'envoyer par mail, et ça te prends X minutes de ton temps puis te donne plus de contenu après, avec un algo prévu pour te faire rester dessus. La télé te prends un portion fixe de ton temps, et il faut attendre et regarder au bon moment. Quand à lire, ça peut être addictif, mais faut quand même plus d'effort et de temps.
Même si on regarde d'un point de vue logistique, avant, tu voulais te faire du pognon sur une théorie fumeuse, c'était long (écrire des livres, faire des conférences, etc). De nos jours, tu fait 2h de vidéo par jour, et tu arrives à t'en sortir. Je dit pas que c'est pas du boulot, mais c'est beaucoup moins de boulot pour lancer un mouvement complotiste. La matériel coûte moins cher (camera + fond vert + lampe + la fibre).
Du coup, mécaniquement, il y en a plus, et je pense que ça a changé un peu tout l'écosystème.
Ensuite, est ce que ça a entraîné des ruptures familiales ?
Je sais pas. Les stratégie de ruptures, c'est un peu un classique des sectes en tout genre, avec les méthodes de love bombing, etc.
Mais avoir un écosystème de propagation d'informations qui va récompenser l'outrage ou la peur, je pense que c'est un souci, et que c'est ce qu'on voit.
Et pourtant, cette histoire de wikileaks est terriblement
apolitique, ou plutôt devrait être de toutes les politiques non
totalitaire.
Tu veux dire "non partisan" plutôt que apolitique, parce que le but de wikileaks est bien politique (eg, faire changer les choses à un niveau politique, c'est politique), et c'est pas un gros mot que de le dire.
Ensuite, non, Wikileaks est pas exactement non partisan. Julien Assange est assez clairement contre Hilary Clinton. Et pour une organisation censé avoir des adversaires puissants, ils sont un peu manchot vu qu'une partie a été discuté en clair sur Twitter. J'attire l'attention sur le fait de collaborer avec l'équipe de campagne de Trump.
Les gens ont le droit, mais ç'est ni apolitique, ni non partisan. Et une fois que tu commences à te dire que wikileaks ment en se positionnant comme tel, tu peux pas forcément faire confiance à tout le reste qui est dit.
Et pourtant, je pense que c'est important ce qui a été fait, et le travail des volontaires. Mais le culte du chef en tant que figure mystique voir martyr, c'est en général un assez mauvais signe.
Sur le fond, les inégalités entre les salaires dans la tech et le reste du monde est un souci (cf inflation des logements à SF, par exemple). Et c'est vrai que l'adéquation avec la boite compte aussi.
De l'autre, si on veut pas que le salaire soit important, peut être qu'il faut changer la société au lieu de demander aux jeunes qui ont parfaitement intégré le système et sa logique.
Quand le MEDEF demandera à augmenter les charges, et à remonter les minima sociaux, ok, ils pourront parler de salaires. Sinon, c'est juste du foutage de gueule.
Perso, j'ai pas d'enfant, mais par contre, y a un truc pas mal, ça s'appelle l'empathie. C'est assez à la mode, ça permet de s'imaginer à la place des autres sans être dans la situation pour de vrai.
C'est cognitivement assez utile dans plein de domaines.
Par exemple, la, je peux utiliser ça pour dire que si je voulais faire preuve de mauvaise foi, je commencerais par assigner mes locuteurs à une position ("vous n'avez pas d'enfant") suivi d'une affirmation non fondé ("sinon, vous nez réagiriez pas comme ça"), afin de faire croire que réagir comme tu réagit, c'est dans la norme, donc c'est vrai.
Mais bon, ça serait manipulatoire.
Il me semble que sinon vous ne réagiriez pas ainsi : un type
dit qu'"il y a 536 enfants blessés ou décédés du "vaccin""
rien qu'en France et un autre dit "mais non,il n'y en a pas ou
ce n'est pas corrélé".
Alors je ne connais pas les chiffres pour la France. Mais je sais par contre comment la base VAERS est utilisé par les complotistes aux USA (ou les charlatans).
Il y a principalement 3 méthodes.
Primo, les charlatans omettent de dire que tout rentre sans grande vérification, parce que le but est avant tout statistique. Techniquement, tu te fait vacciner puis tirer dessus et on arrive pas à te réanimer, ça rentre dedans. Si ça arrive à grande échelle, alors on va regarder. Et si quelque chose qui arrive sans vaccin (exemple, une perte auditive) et arrive avec un vaccin, on va mettre que le 2eme, et comparer ensuite si ça arrive plus que la moyenne. Mais ça, les charlatant ne le disent pas
Secundo, il y a la non mise en perspective. dire "536 blessés et mort", ça ne dit ni la durée, ni la population. 536 sur 12 millions en 1 an, ç'est peu. C'est 1 sur 22 000 sur 1 an. Pour remettre en perspective, si c'était appliqué sur Linuxfr (~2000 comptes actif sur 3 mois), ça serait l'équivalent d'un mort ou d'un blessé dans la communauté tout les 10 ans. Et je pense qu'on est largement au delà de ça.
Et tertio, il y a le fait surtout qu'on va mélanger "effet secondaire" et mort en ne précisant ni comment c'est arrivé, ni exactement les proportions ou les détails.
Et l'usage des ces 3 méthodes, c'est surtout un moyen simple pour faire peur afin de manipuler une partie de la population.
C'est pas pour rien que la propagande antivaxx va préventivement positionner les personnes qui se vaccinent comme des moutons qui suivent la propagande du gouvernement (phénomène qu'on voit dans d'autres pays que la France). Car une fois qu'on attache le fait d'être manipulé comme une caractéristiques des membres hors du groupe, ça veut dire qu'à l'intérieur, on est pas manipulé, et c'est le vrai but du message.
Et bien, un parent normal, ne demandera pas plus
d'explication, il ira chercher lui-même les bonnes infos,
Le fait de donner des chiffres et de dire de faire des recherches, c'est une variation de l'effet Ikea. Quelqu'un va faire des recherches, et va plus les croire.
Et l'incitation des mouvements antivaxx a "faire ses propres recherches" est aussi un moyen d'augmenter l'attachement au mouvement.
c'est la vie de son gosse qui est en jeu.
Pareil, l'appel à la vie des enfants, c'est un procédé manipulatoire.
Je ne dit pas que les enfants ne sont pas important, mais il y a des tas d'exemples ou ça sert à faire passer autre chose. Par exemple, on retrouve ça dans le puritanisme conservateur sous le couvert de lutte contre le porno, ou à la base des arguments qui visent à limiter les droits des minorités sexuelles (Campagne Save Our Children en 1977, Section 28 au royaume uni en 1988, manif en France en 1999 et en 2013, ou les lois en Russie, Pologne, Hongrie en ce moment).
Ou plus proche des sujets de linuxfr, les histoires avec Apple et le scan des photos.
C'est d'autant plus regrettable que si j'en crois la littérature sur le sujet (Le berceau des dominations de DOrothé Dussy, pour ne citer que ce livre), la grande majorité des cas d'inceste et de pédophilie sont dans un cadre intra-familiale. Mais ça, on le dit pas car il ne faut pas remettre en cause l'idée de famille.
Donc oui, les enfants, c'est quand même assez souvent utiliser pour faire passer des idées régressives. Mais en pratique, ç'est à géométrie variable.
Augmenter le salaire des profs ou militer pour sauver la planète aurait sans doute plus d'impact pour les enfants, mais tu préfères les vaccins, j'imagine que je doit être trop rationnel pour être parent.
Ce n'est pas à Zenitram ou Bruno que je m'adresse, mais à tous
les parents.
Ah bah désolé d'avoir répondu. Mais la, vu que ton commentaire est caché, je suis pas sur que tu t'adresses à grand monde.
Ensuite, tant mieux pour ta cause d'être caché, parce que moi, plus je lit les messages des mouvements antivaxx, plus je suis motivé pour pour combattre, car plus je lit, plus je pense à tout le sang qu'ils ont sur les mains.
De ce que j'ai compris, c'est aussi une fonctionnalité utilisable aussi dans la config xml de log4j. Donc même en ayant tout le code du monde dans github, tu pourrais ne pas savoir si c'est utilisé.
Il y a quelques années, lors d'une pycon.fr à Paris (donc ça date), j'avais discuté avec un autre membre AFpy des communautés java et python, et le contraste entre la taille des meetups java et des meetups python à l'époque était assez saisissants (genre du 1 pour 10 en faveur de java).
On était arrivé à la conclusion qu'il y avait beaucoup de codeurs java en entreprise. Et le corollaire, c'est qu'il y a énormément de code java derrière un firewall.
Donc oui, ne rien avoir sur github/SO, quand tu as une fonctionnalité utilisable dans le code et dans la configuration dans un des langages les plus utilisés dans les bases de code proprio, ça ne veut pas dire grand chose.
La situation est naze dans tout les cas, c'est ça qui est triste.
Il y a forcément à faire un choix, et autant je pense qu'il y a eu des tas de ratés sur la gestion de la crise (prise en compte de l'aération dans les écoles pour ne citer qu'un exemple), autant je pense qu'il y a aussi des cas ou les choix étaient tous pourris.
Ensuite, fermer les écoles, ça implique que les parents s'ocupent des enfants et en dehors des soucis de logistique que ça impose, ç'est aussi un truc qui à mon avis fait chier un certain nombre de parents (mais qu'ils ne veulent pas forcément le dire à voix haute, parce qu'on fout la pression sur les parents en général).
Il y a des gens qui s'en accomodent, et d'autres un peu moins, mais je ne saurais pas vraiment dire dans quel proportion.
[^] # Re: outils et génie logiciel
Posté par Misc (site web personnel) . En réponse au journal log4shell : Et après ?. Évalué à 3.
Je pense que ça va rien changer au fait que certaines infras (à tort ou à raison) sont longues à être mise à jour.
La différence entre log4j et windows, c'est qu'en tant qu'admin, je suis responsable de windows, mais pas forcément de log4j.
Un meilleur exemple serait un logiciel proprio qui n'est pas directement fourni à l'admin. Je sais que l'exemple que je vais donner est pourri, mais je connais pas assez de logiciel proprios.
Prenons qnx. C'est un logiciel qui a du succès, mais c'est en général pas moi en tant qu'admin qui va le mettre à jour, mais le fabricant qui me file un firmware. Si on retire les soucis de mise à jour de firmware (aka, c'est chiant de base), on va être dans le même genre de problématique, à savoir qu'il y a 3 acteurs:
- le fournisseur du composant
- les fournisseurs du logiciel qui utilisent le composant
- l'utilisateur des logiciels.
Ça va être plus long qu'un truc avec 2 acteurs car il y a beaucoup plus de monde.
[^] # Re: Ca vaut ce que ça vaut mais...
Posté par Misc (site web personnel) . En réponse au journal log4shell : Et après ?. Évalué à 3.
Y a beaucoup sur npm, mais l’écosystème python est aussi impacté pas mal via du typosquatting régulier, donc je dirais pas vraiment "la majorité".
À titre semi personnel (semi personnel parce que je garde ça pour le boulot, mais surtout pour ressortir des exemples quand je doit convaincre le reste du monde), j'ai une liste sur l'intranet du boulot avec toute les compromission touchant à du code source sur les infra de logiciel libres et dans mon souvenir, c'était de l'ordre de 1 par mois en 2019/2018, tout projet et type de compromission confondu.
Je devrais la publier de l'autre coté du firewall un jour je suppose.
[^] # Re: La vraie remise en question
Posté par Misc (site web personnel) . En réponse au journal log4shell : Et après ?. Évalué à 2.
Je pense pas que ça soit toujours aussi simple que le résumé de ton prof.
Par exemple, faire changer le mot de passe tout les 6 mois, ç'est clairement moins de confort. Par contre, le gain en sécurité est assez marginal (voir négatif) si j'en croit divers discussions sur le sujet.
Et de surcroit, ça ne dit ni sécurité contre quel type d'attaque, ni confort pour qui ?
Ton exemple de la banque est une bonne illustration, car le manque de confort est ressenti par l'utilisateur, mais le bénéfice de sécurité est surtout pour le bénéfice de la banque (vu que l'utilisateur va être couvert plus ou moins via le jeu des assurances et de la loi).
[^] # Re: La vraie remise en question
Posté par Misc (site web personnel) . En réponse au journal log4shell : Et après ?. Évalué à 5.
Dans ce cas, posons la question, est ce qu'il y avait besoin de log4j, si on suppose qu'on peut toujours faire sans certaines fonctions ?
Après tout, pourquoi ne pas rester à Println ou la lib par défaut de java ?
Quelqu'un a eu besoin de chaque bout de fonctionnalité ajouté à un moment. Quelqu'un l'a codé. Je suppose que c'est grosso modo tout ce qu'il faut.
La maintenance, c'est important, mais je sais aussi que dire "non", c'est en général assez peu populaire comme position, comme j'ai pu le voir sur le projet Ansible quand des modules ont été refusés, comme on a pu le voir lorsque que Debian a décidé de passer à systemd, ou les discussions sur les thèmes de GNOME.
Sans aller loin dans le passé, il suffit de voir il y a une semaine sur Linuxfr la discussion sur le manifest v3 et le fait de retirer des fonctionnalités en cadrant un peu mieux ce qui est faisable ou pas.
Dans le cas de log4j, le souci n'est pas forcément de rajouter le lookup jdni, car de ce que j'ai compris, c'était prévu pour être fait via la configuration sous le contrôle d'un admin. Avoir la configuration des logs centralisés dans LDAP via une syntaxe standard de Java, c'etait pas non plus déconnant.
La question d'activer jdni par défaut ou pas, c'est au niveau de la JVM, et pareil, je suppose que les devs de JVM ont du se dire "si quelqu'un utilise la fonction dans le code, alors c'est implicitement qu'il a besoin de l'utiliser".
On peut se poser la question de la gestion récursive des variables, mais je sais que j'ai déjà eu besoin de ça avec ansible, donc je suis assez sur que d'autres auraient pu en avoir besoin dans d'autres contextes, et qu'un dev aurait pu le rajouter en tout bonne foi.
Et pour l'usage de la réflexivité, je suppose que c'est un pattern important pour java (ou du moins, ça avait l'air important quand j'ai appris java).
Ensuite, il faut aussi rappeler que les lookups JDNI sont maintenant désactivés par défaut sur les JVM d'il y a moins de 3 ans (si je me souviens bien) et surtout qu'il existe un concept de sandbox dans la JVM depuis grosso modo toujours. Sandbox qui n'est semble t'il pas utilisé par la majorité des programmes, car ç'est long à coder. Et qui n'est pas activé par défaut, car ça n'aboutirais que à forcer les gens à retirer dés qu'un truc ne marche pas (cf les tutos partout qui commence par "il faut retirer selinux")
Alors, moins de fonctionnalité, sans doute que oui, mais il faut bien voir que dire "non", c'est mal vu, et que dire non ne retire pas le besoin, et qu'à un moment, tu va commencer à perdre des utilisateurs, puis des contributeurs, et le souci n'a fait que bouger ailleurs.
OpenBSD a moins de fonctions qu'une distro Linux. Mais curieusement, les distros Linux sont massivement plus utilisés.
[^] # Re: Comme openssl
Posté par Misc (site web personnel) . En réponse au journal log4shell : Et après ?. Évalué à 3.
Log4j fait parti de la fondation Apache, donc la structure pour recevoir de l'argent est de facto la (cf son ancien président qui m'a pointé ça quand on a eu la même discussion).
Et il faut avoir l'infrastucture et les procédures pour gérer des failles. C'est amusant de comparer ça avec npm (qui a la fonction, mais aussi des gens pour s'en occuper, d'autant plus depuis le rachat par github et par microsoft), ou avec pypi (qui n'a personne pour faire le taf, ou du moins, qui n'avait personne à temps plein sur la maintenance du logiciel avant, et sans doute des volontaires sur le reste).
Des modèles de financement existent (que ça soit des choses comme Anaconda, les distros commerciales, ou sans doute d'autres), mais j'ai pas le sentiment que "il faut se retreindre à ne prendre que des biblis supportées ou on paye" soit la grande tendance du moment.
[^] # Re: Comme openssl
Posté par Misc (site web personnel) . En réponse au journal log4shell : Et après ?. Évalué à 6.
Ouais, enfin, dans une grande boite, sortir l'argent, c'est pas si simple.
Par exemple, tu fais du libre et tu envoies une facture, mais tu es étudiant en doctorat à Paris ? Mon employeur ne peut sans doute pas te payer, car un doctorant est payé par l'état, et les lois anticorruptions américaines s'appliquent (vis à vis de filer de l'argent aux agents gouvernementaux).
Tu bosse dans l'informatique, et tu envoies des factures à coté de ton taf, je suppose que la clause de non concurrence s'applique, donc sans doute niet aussi.
Et les taxes divers et variés, surtout d'un pays à l'autre, c'est compliqué.
Demander des thunes, c'est pas vraiment trivial.
# Comme openssl
Posté par Misc (site web personnel) . En réponse au journal log4shell : Et après ?. Évalué à 10.
On peut regarder ce qui est arrivé avec Heartbleed et OpenSSL.
OpenBSD a fait un fork de son coté avec LibreSSL, tout comme Google. Amazon a proposé s2n.
C'est aussi une des raisons de la création du Project Zero de Google, d'aprés WP.
À coté, Go a eu sa propre lib, Rust a RusTLS, et les autres sans doute pareil, pour éviter de se servir d'OpenSSL.
La Linux Fundation a crée une initiative pour financer le libre, c'est un peu sa raison d'être.
Grace à ça, OpenSSL a récolté assez d'argent pour financer un dev à temps pleins, le code a été nettoyé, et on a pas eu autant de frayeur depuis. Et on a tous découvert que la crypto, c'est important.
À coté de ça, je n'ai pas entendu parler de la moindre exploitation publique du bug qui a eu un impact. Je ne doute pas que des groupes bien financés (états) ont pu en tirer quelque chose, mais 7 ans après, toujours rien, ce qui personnellement me conforte dans mon opinion vis à vis des soucis de cryptos.
On peut aussi regarder ce qui est arrivé avec Shellshock et bash, cad, rien de notable. Personne n'a lancé de nouveau shell, d'initiative pour financer bash.
Et que je sache, les impacts sur le monde ont été assez mineur aussi. Il y a eu quelque DDos, sans doute divers companies de pentest qui ont pu sortir des rapports à leur client, mais c'est tout. Je ne doute pas que plus de cibles ont été attaqués, mais pas grand monde a changé de posture.
Donc qu'est ce qui va arriver ?
Primo, plus de gens vont regarder log4j, et les logiciels adjacents. Le bundling de code est une leçon qu'on redécouvre régulièrement (CVE-2002-0059, qui a poussé les distros a faire du dynamique, si je me souviens bien), je suppose que ça va continuer.
Le monde du libre ne va pas trop changer. Il y a déjà des outils pour vérifier les dépendances, donc peut être plus de monde vont commencer à regarder ça. Les gens qui n'aiment pas java vont continuer à ne pas aimer java, les gens qui ne pigent rien à la complexité logiciel vont continuer à poster des commentaires, les mainteneurs vont utiliser ça pour dire qu'il faut changer le fonctionnement du financement du libre sans que ça change.
Le monde du dev interne proprio va sans doute continuer à se diviser entre "les gens qui s'en préoccupent et qui filent des moyens", et "le reste". Avec un peu de chance, les gens sans budget vont réussir à avoir une excuse pour avoir du budget.
Le monde des boites commerciales ne va pas changer beaucoup plus ses pratiques, à part que les équipes sécurité vont avoir un slide de plus pour tenter de tirer du pognon. Je ne doute pas que sur les 5 prochaines années, les choses vont aller mieux, mais c'est sans doute un changement commencé y a longtemps.
Et ce qui ne va pas arriver:
On ne va pas beaucoup plus regarder ce qui est embarqué. Ç'était un souci avant, on ne le faisait pas car c'était trop cher, aucune des raisons pour changer ça n'a changé, donc ça va sans doute bouger un peu mais pas d'un coup.
On ne va pas forcément plus verrouiller les programmes. Elastic Search n’était pas vulnérable à l’exécution de code à distance grace à l'usage d'un ContextManager. Mais de ce que j'ai compris, c'est chiant de rajouter ça dans le code, tout comme c'est chiant de faire des politiques SELinux, et chiant de faire un réseau segmenté avec des parefeux, des proxys, etc. Spoiler, ça va toujours être aussi chiant, donc on va pas plus le faire d'un coup.
On ne va pas arrêter de coder en java. Il y a toujours des tonnes de devs, donc c'est toujours aussi facile d'embaucher, donc le code va continuer à être écrit et maintenu.
On ne va pas arrêter d'embarquer tout. Pareil, ça va toujours être plus facile, ça résout des soucis (ou du moins, ça échange des soucis). Tout au plus, on va voir maven obtenir la même fonction que npm (eg, npm audit), et qui va être ignoré, sauf par les gens avec assez de CI/CD.
[^] # Re: Mon avis
Posté par Misc (site web personnel) . En réponse au sondage La politique sur LinuxFr.org. Évalué à 2.
Alosr je pense qu'il y a un contexte, clairement. Tu parles de l'exemple de Tchernobyl, mais je pense que ça va plus loin, il suffit d'aller voir sur wikipedia, et de voir les chiffres.
Ça fait des années qu'on parle de moralisation de la vie politique, et même si je pense que la majorité des personnalités politiques sont sans souci, je sais aussi que l'esprit humain va se focaliser sur les détails.
Mais c'était pas exactement ce que j'avais en tête. Il y a des causes structurelles, oui, je pense que personne ne va le nier.
Et il y a des causes plus directs, ou des gens se disent "je vais capitaliser sur ça", et ça que j'ai en tête.
Car les causes structurelles, ça va prendre beaucoup plus de temps à corriger et c'est plus compliqué. Les causes directs, ça me semble plus envisageable à corriger.
[^] # Re: Défaut de ton raisonnement
Posté par Misc (site web personnel) . En réponse au journal À quoi bon le libre. Évalué à 2.
C'est aussi ce que je vois, donc si c'est pifométrique, on est deux.
Il y a tout un tas de choses qui laissent songeur quand on regarde avec un oeil critique.
Par exemple, le groupe de la rose blanche, qui a incité les gens à imprimer et coller des stickers partout, notamment en Angleterre](https://www.skeptic.org.uk/2021/07/inside-the-white-rose-the-covid-conspiracy-graffiti-group-operating-on-your-doorstep/), mais aussi en France (vu que j'ai vu les stickers fleurir aussi en bas de chez moi).
Si on regarde ça sous l'angle des méthodes de recrutement des sectes, c'est une forme de prosélytisme, et une forme d'escalade de l'engagement, vu que tu va demander de faire une chose simple et rapide (aller sur telegram), puis ensuite bombarder la personne avec une tonne de contenus sans laisser le temps de se poser, tout en laissant avoir d'autres canaux a explorer. Les canaux sont organisés par position, ce qui facilite les rencontres IRL, et il y a aussi incitation à coller plus de stickers (encore une escalade dans l'engagement).
Ou un autre exemple, la dynamique de copie des messages sur telegram (ou celle des retweets) permet aussi de donner quelque chose à faire aux gens qui soit un peu addictif, et qui donne aussi des choses à explorer. C'est un peu de la propagande auto alimenté
Et l'usage d'un groupe de résistant (la rose blanche) permet aussi de cimenter l'identité du groupe autour d'un truc quand même plus cool que la moyenne.
Donc oui, je pense que ton analyse est proche de la réalité.
[^] # Re: Défaut de ton raisonnement
Posté par Misc (site web personnel) . En réponse au journal À quoi bon le libre. Évalué à 4.
Le deuxième aussi, on a plein de cas:
- Jésus, Lazarus et d'autres
- les électeurs de Tiberi
- Dracula
Les exemples ne manquent pas.
[^] # Re: Praticiens
Posté par Misc (site web personnel) . En réponse au journal À quoi bon le libre. Évalué à 0. Dernière modification le 23 décembre 2021 à 14:25.
Non, c'est du sarcasme. L'empathie est pas vraiment à la mode.
Je suppose en partie à cause des médias qu'on utilise de nos jours pour discutter, qui sont à la fois plus lent (texte vs voix), mais aussi moins réactif, et moins "intime".
Si tu rajoutes que la société (à minima française mais sans doute occidental en général) va classifier l'empathie comme une activité féminine (comprendre "que les hommes ne doivent pas adopter"), non, c'est pas vraiment à la mode vu la répartition genré sur Linuxfr.
Non ?
Je me permet de pointer sur le wiktionnaire pour mieux expliquer ce que je voulais dire.
Et pour clarifier, à un moment, les antivaxx vont finir par se rendre compte qu'il y a des gens qui sont mort de façon direct à cause de leur militantisme. Je ne mets pas tout sur le dos des antivaxx, le gouvernement est aussi responsable, mais à la rigueur, le gouvernement, c'est juste des tocards, et j'ai moins de souci avec l'incompétence face à un problème pourri qu'avec le fait de volontairement participer dans un culte mortifère.
Et pourtant, j'aurais tendance à être en faveur des gens qui ouvrent leur gueule au nom de la démocratie.
Et par combattre, je ne parle pas d'aller tabasser des gens.
Déjà, a 1 contre plus que 3, je vais sans doute pas gagner. Secundo, je pense que si je surcharge les hopitaux d'antivaxx par ma prestance au combat, je risque de faire plus de dégât vis à vis de la pandémie.
[^] # Re: Et une vidéo qui dénonce le silence des médias
Posté par Misc (site web personnel) . En réponse au journal Julian Assange a eu une attaque cérébrale à la prison de Belmarsh. Évalué à 3.
C'est marrant comment tout tourne autour des personnes plus des organisations quand on parle de Wikileaks, un peu comme si c'était un effet de bord d'un culte de la personnalité.
Dans mon souvenir, il est parti parce qu'on a demandé de retirer un truc d'un de ses articles sur la fameuse affaire du portable du fils de Biden. Dans la mesure ou ça semble avoir été un canular monté par l’extrême droite US dans le but de saboter la campagne présidentielle (on change pas une équipe qui gagne), et dans la mesure ou sa réaction semble pas mal dans la ligne "je suis le fondateur, je fait ce que je veux", je pense qu'on glisse dangereusement dans la même catégorie de culte de la personnalité que wikileaks.
D’après les journaux, il avait aussi déjà commencé à préparer à partir depuis des mois, ce qui est logique, car il faudrait être assez con pour le faire sur un coup de tête. Mais du coup, ça suppose aussi que son outrage était préparé depuis plusieurs jours, ce qui laisse quand même croire que c'est une tentative de faire parler de lui, en utilisant le vieux canard de "cancel culture, ouin ouin". D'ailleurs, c'est aussi sans doute pour ça qu'il lâche pas l'affaire.
Il faut aller lire l'article, car c'est marqué dedans:
"In a series of tweets WikiLeaks said Assange and Manafort had not met. Assange described the story as a hoax."
Mais on peut aussi directement regarder ce que la presse dit sur le sujet des tweets en question.
Et puisque tu parles de ça, on peut aussi parler de Nigel Farage et de wikileaks. Je suppose qu'il y a sans doute eu aussi un debunk.
Ah oui, la fameuse Lügenpress. Peut être que les républicains devraient faire campagne sur la suppression du 1er amendement pour que le gouvernement puisse dire aux médias de ne pas faire des choses.
[^] # Re: Comment savent-ils?
Posté par Misc (site web personnel) . En réponse au journal Parlons des trains qui arrivent à l'heure : L'éclat de verre, le Crédit du Nord et les autres. Évalué à 5.
Ceci dit, il y a aussi le fait que si une personne ne lit pas la lettre, l’expéditeur risque de te retrouver tôt ou tard vu comme un spam (par apprentissage automatique de l’hébergeur de mail).
Et comme les factures des prestataires d'envoi sont sauf erreur de ma part chiffré au volume, il y a aussi je pense une raison économique.
# La licence ?
Posté par Misc (site web personnel) . En réponse au lien Fiedka : nouvel outil graphique de représentations et éditions de firmware (en webassembly, go,..). Évalué à 4.
Je suis sans doute à la ramasse, mais il manque pas une licence sur le dépôt de code ?
(eg, c'est de facto proprio ?)
[^] # Re: C'est réaliste, un poste de 100k€ par an. Tout est une question de référentiel.
Posté par Misc (site web personnel) . En réponse au lien Chasseurs de têtes : arrêtez de demander plus que le SMIC. Évalué à 4.
Alors juste un bémol.
Dans le 1000 à 1500€ par jour, tu comptes aussi le fait que l'entreprise cliente a quelqu'un qui bosse pendant tes vacances (ou du moins, c'est mon expérience en régie). Ça fait déjà 10% (5 semaines + 10j sur 52 semaines).
Ensuite, il y a les frais de l'ESN (commission du commercial, mais salaire du departement financier, des RH, etc). C'est sans doute pas énorme, mais ça s'accumule. Il y a les intercontrats (qui peuvent arriver du jour au lendemain), les frais de déplacements, etc.
Les ESN se font du pognon, je n'en doute pas (sinon, elles ne seraient pas dans ce business). Mais il y a aussi des frais de fonctionnement à prendre en compte, et ça se voit assez vite si tu passes freelance.
Faire la compta, trouver des clients, rédiger des contrats, etc. Tout ça, c'est des coûts qui se retrouve facturer pour le bonheur d'avoir un budget plus flexible, des lignes différentes sur la compta ou simplement moins d'administratif (ou des besoins non facilement couvrable).
Après tout, pourquoi payer un ingé réseau à temps plein si tu as besoin de 50% la plupart du temps.
Et oui, y a aussi clairement des cas ou je trouve ça anormal, quand tu as une tonne de gens en régie sur le long terme, y a un probléme pour moi.
[^] # Re: Une solution: le revenu universel unique
Posté par Misc (site web personnel) . En réponse au lien Chasseurs de têtes : arrêtez de demander plus que le SMIC. Évalué à 9.
Je suppose que si on fait ça, le monde va s'écrouler sous l'existence de 2 millions de frameworks javascript et de 75 000 languages de templates en python.
[^] # Re: Oui mais comment ?
Posté par Misc (site web personnel) . En réponse au lien Les sites pornos gratuits bloqués?. Évalué à 2.
En même temps, on utilise des limites d'age pour le droit de vote, la retraite, le fait de devenir sénateur, ou l'inscription dans une école.
Par exemple, j'ai vu personne raler sur "oula, mais si tu es né le 31 décembre, tu va dans tel classe, mais le 1er janvier dans tel autre".
Et ne parlons pas des horoscopes.
[^] # Re: Mon avis
Posté par Misc (site web personnel) . En réponse au sondage La politique sur LinuxFr.org. Évalué à 9.
Peut être. Ou peut être qu'il y a un phénomène sociétal du à des changements.
L'exemple que tu donnes sur le complotisme et la vaccination, c'est aussi parce que des gens sont tombés dedans, et je pense qu'il y a eu des efforts pour que des gens tombent dedans.
Et se pose la question de pourquoi maintenant et pas y a 10 ans ?
Le complotisme et les théories fumeuses existent depuis longtemps. Par exemple, ma mère avait les livres de Erich von Däniken quand j’étais plus jeune. Les mêmes théories sont ensuite passés à la télé (alien theory vers 2013 en France), et je ne doute pas que de nos jours, on retrouve ça dans les divers chaînes de courants de complotistes, au moins sous une autre forme de ce que j'ai vu.
Je pense qu'on peut dire que Youtube (ou assimilés) a une portée plus grande que la télé, et que la télé a une portée plus grande que les livres.
Les vidéos en streaming sont dispo H24, peuvent s'envoyer par mail, et ça te prends X minutes de ton temps puis te donne plus de contenu après, avec un algo prévu pour te faire rester dessus. La télé te prends un portion fixe de ton temps, et il faut attendre et regarder au bon moment. Quand à lire, ça peut être addictif, mais faut quand même plus d'effort et de temps.
Même si on regarde d'un point de vue logistique, avant, tu voulais te faire du pognon sur une théorie fumeuse, c'était long (écrire des livres, faire des conférences, etc). De nos jours, tu fait 2h de vidéo par jour, et tu arrives à t'en sortir. Je dit pas que c'est pas du boulot, mais c'est beaucoup moins de boulot pour lancer un mouvement complotiste. La matériel coûte moins cher (camera + fond vert + lampe + la fibre).
Du coup, mécaniquement, il y en a plus, et je pense que ça a changé un peu tout l'écosystème.
Ensuite, est ce que ça a entraîné des ruptures familiales ?
Je sais pas. Les stratégie de ruptures, c'est un peu un classique des sectes en tout genre, avec les méthodes de love bombing, etc.
Mais avoir un écosystème de propagation d'informations qui va récompenser l'outrage ou la peur, je pense que c'est un souci, et que c'est ce qu'on voit.
[^] # Re: Et une vidéo qui dénonce le silence des médias
Posté par Misc (site web personnel) . En réponse au journal Julian Assange a eu une attaque cérébrale à la prison de Belmarsh. Évalué à 10.
Tu veux dire "non partisan" plutôt que apolitique, parce que le but de wikileaks est bien politique (eg, faire changer les choses à un niveau politique, c'est politique), et c'est pas un gros mot que de le dire.
Ensuite, non, Wikileaks est pas exactement non partisan. Julien Assange est assez clairement contre Hilary Clinton. Et pour une organisation censé avoir des adversaires puissants, ils sont un peu manchot vu qu'une partie a été discuté en clair sur Twitter. J'attire l'attention sur le fait de collaborer avec l'équipe de campagne de Trump.
Les gens ont le droit, mais ç'est ni apolitique, ni non partisan. Et une fois que tu commences à te dire que wikileaks ment en se positionnant comme tel, tu peux pas forcément faire confiance à tout le reste qui est dit.
Et pourtant, je pense que c'est important ce qui a été fait, et le travail des volontaires. Mais le culte du chef en tant que figure mystique voir martyr, c'est en général un assez mauvais signe.
# AH ah ah
Posté par Misc (site web personnel) . En réponse au lien Chasseurs de têtes : arrêtez de demander plus que le SMIC. Évalué à 10.
Sur le fond, les inégalités entre les salaires dans la tech et le reste du monde est un souci (cf inflation des logements à SF, par exemple). Et c'est vrai que l'adéquation avec la boite compte aussi.
De l'autre, si on veut pas que le salaire soit important, peut être qu'il faut changer la société au lieu de demander aux jeunes qui ont parfaitement intégré le système et sa logique.
Quand le MEDEF demandera à augmenter les charges, et à remonter les minima sociaux, ok, ils pourront parler de salaires. Sinon, c'est juste du foutage de gueule.
[^] # Re: Praticiens
Posté par Misc (site web personnel) . En réponse au journal À quoi bon le libre. Évalué à 10.
Perso, j'ai pas d'enfant, mais par contre, y a un truc pas mal, ça s'appelle l'empathie. C'est assez à la mode, ça permet de s'imaginer à la place des autres sans être dans la situation pour de vrai.
C'est cognitivement assez utile dans plein de domaines.
Par exemple, la, je peux utiliser ça pour dire que si je voulais faire preuve de mauvaise foi, je commencerais par assigner mes locuteurs à une position ("vous n'avez pas d'enfant") suivi d'une affirmation non fondé ("sinon, vous nez réagiriez pas comme ça"), afin de faire croire que réagir comme tu réagit, c'est dans la norme, donc c'est vrai.
Mais bon, ça serait manipulatoire.
Alors je ne connais pas les chiffres pour la France. Mais je sais par contre comment la base VAERS est utilisé par les complotistes aux USA (ou les charlatans).
Il y a principalement 3 méthodes.
Primo, les charlatans omettent de dire que tout rentre sans grande vérification, parce que le but est avant tout statistique. Techniquement, tu te fait vacciner puis tirer dessus et on arrive pas à te réanimer, ça rentre dedans. Si ça arrive à grande échelle, alors on va regarder. Et si quelque chose qui arrive sans vaccin (exemple, une perte auditive) et arrive avec un vaccin, on va mettre que le 2eme, et comparer ensuite si ça arrive plus que la moyenne. Mais ça, les charlatant ne le disent pas
Secundo, il y a la non mise en perspective. dire "536 blessés et mort", ça ne dit ni la durée, ni la population. 536 sur 12 millions en 1 an, ç'est peu. C'est 1 sur 22 000 sur 1 an. Pour remettre en perspective, si c'était appliqué sur Linuxfr (~2000 comptes actif sur 3 mois), ça serait l'équivalent d'un mort ou d'un blessé dans la communauté tout les 10 ans. Et je pense qu'on est largement au delà de ça.
Et tertio, il y a le fait surtout qu'on va mélanger "effet secondaire" et mort en ne précisant ni comment c'est arrivé, ni exactement les proportions ou les détails.
Et l'usage des ces 3 méthodes, c'est surtout un moyen simple pour faire peur afin de manipuler une partie de la population.
C'est pas pour rien que la propagande antivaxx va préventivement positionner les personnes qui se vaccinent comme des moutons qui suivent la propagande du gouvernement (phénomène qu'on voit dans d'autres pays que la France). Car une fois qu'on attache le fait d'être manipulé comme une caractéristiques des membres hors du groupe, ça veut dire qu'à l'intérieur, on est pas manipulé, et c'est le vrai but du message.
Le fait de donner des chiffres et de dire de faire des recherches, c'est une variation de l'effet Ikea. Quelqu'un va faire des recherches, et va plus les croire.
Et l'incitation des mouvements antivaxx a "faire ses propres recherches" est aussi un moyen d'augmenter l'attachement au mouvement.
Pareil, l'appel à la vie des enfants, c'est un procédé manipulatoire.
Je ne dit pas que les enfants ne sont pas important, mais il y a des tas d'exemples ou ça sert à faire passer autre chose. Par exemple, on retrouve ça dans le puritanisme conservateur sous le couvert de lutte contre le porno, ou à la base des arguments qui visent à limiter les droits des minorités sexuelles (Campagne Save Our Children en 1977, Section 28 au royaume uni en 1988, manif en France en 1999 et en 2013, ou les lois en Russie, Pologne, Hongrie en ce moment).
Ou plus proche des sujets de linuxfr, les histoires avec Apple et le scan des photos.
C'est d'autant plus regrettable que si j'en crois la littérature sur le sujet (Le berceau des dominations de DOrothé Dussy, pour ne citer que ce livre), la grande majorité des cas d'inceste et de pédophilie sont dans un cadre intra-familiale. Mais ça, on le dit pas car il ne faut pas remettre en cause l'idée de famille.
Donc oui, les enfants, c'est quand même assez souvent utiliser pour faire passer des idées régressives. Mais en pratique, ç'est à géométrie variable.
Augmenter le salaire des profs ou militer pour sauver la planète aurait sans doute plus d'impact pour les enfants, mais tu préfères les vaccins, j'imagine que je doit être trop rationnel pour être parent.
Ah bah désolé d'avoir répondu. Mais la, vu que ton commentaire est caché, je suis pas sur que tu t'adresses à grand monde.
Ensuite, tant mieux pour ta cause d'être caché, parce que moi, plus je lit les messages des mouvements antivaxx, plus je suis motivé pour pour combattre, car plus je lit, plus je pense à tout le sang qu'ils ont sur les mains.
[^] # Re: Praticiens
Posté par Misc (site web personnel) . En réponse au journal À quoi bon le libre. Évalué à 2.
Oui, la dualité bien/mal est quand même bien ancré depuis longtemps dans nos cultures.
[^] # Re: Ouille !
Posté par Misc (site web personnel) . En réponse au lien Log4Shell: RCE 0-day exploit found in log4j, a popular Java logging package. Évalué à 3.
De ce que j'ai compris, c'est aussi une fonctionnalité utilisable aussi dans la config xml de log4j. Donc même en ayant tout le code du monde dans github, tu pourrais ne pas savoir si c'est utilisé.
Il y a quelques années, lors d'une pycon.fr à Paris (donc ça date), j'avais discuté avec un autre membre AFpy des communautés java et python, et le contraste entre la taille des meetups java et des meetups python à l'époque était assez saisissants (genre du 1 pour 10 en faveur de java).
On était arrivé à la conclusion qu'il y avait beaucoup de codeurs java en entreprise. Et le corollaire, c'est qu'il y a énormément de code java derrière un firewall.
Donc oui, ne rien avoir sur github/SO, quand tu as une fonctionnalité utilisable dans le code et dans la configuration dans un des langages les plus utilisés dans les bases de code proprio, ça ne veut pas dire grand chose.
[^] # Re: Praticiens
Posté par Misc (site web personnel) . En réponse au journal À quoi bon le libre. Évalué à 5.
La situation est naze dans tout les cas, c'est ça qui est triste.
Il y a forcément à faire un choix, et autant je pense qu'il y a eu des tas de ratés sur la gestion de la crise (prise en compte de l'aération dans les écoles pour ne citer qu'un exemple), autant je pense qu'il y a aussi des cas ou les choix étaient tous pourris.
[^] # Re: Praticiens
Posté par Misc (site web personnel) . En réponse au journal À quoi bon le libre. Évalué à 2.
Ensuite, fermer les écoles, ça implique que les parents s'ocupent des enfants et en dehors des soucis de logistique que ça impose, ç'est aussi un truc qui à mon avis fait chier un certain nombre de parents (mais qu'ils ne veulent pas forcément le dire à voix haute, parce qu'on fout la pression sur les parents en général).
Il y a des gens qui s'en accomodent, et d'autres un peu moins, mais je ne saurais pas vraiment dire dans quel proportion.