Tu montes une boite/association qui envoie la facture en son
nom.
Alors je ne doute pas qu'il y a des tas de moyens de contourner le FCPA ou les sanctions de l'OFAC, mais je garde mes compétences spéciales pour les cas spéciaux.
Et si j'en crois les trainings annuels, si je respecte pas la loi à la lettre, y a un stade qui va s'effondrer dans un pays pauvre non spécifié 6 mois après, ou un truc comme ça.
Pour moi, ce qui manque, c'est la possibilité de limiter
l'accès réseau et l'accès au FS de façon simple, sans passer
par du selinux
Alors, ce que tu veux, c'est pas simple. Je veux bien reconnaître que la syntaxe de selinux est pourri, mais même avec une syntaxe moins pourri, ça serait lourd, car la lourdeur ne vient pas que de la syntaxe, mais du fait qu'il faut lister tout les accès, et ça prends du temps, c'est pour ça que les gens ont tendances à ne pas le faire.
Et c'est pas un souci technique, car des méthodes hors SELinux, y en a.
Tu veux filtrer l’accès réseau, tu as iptables (et nftables) en sortie, avec par exemple le match "owner".
Tu veux filter l'http, tu peux mettre un proxy squid en sortie, et mettre des ACL sur la destination.
Tu veux restraindre le FS par application, tu as systemd, avec ProtectHome et tout ce qui va avec (InaccessiblePaths, ReadOnlyPaths, etc, cf systemd.exec
Ou, si tu as de l'argent pour refaire le SI, Openshift (et donc Kubernetes avec les bons réglages) lance les applications sans accès root dans des namespaces séparés, avec un fs en read only (sauf répertoire spécifique explicitement indiqué). Tu peux aussi filtrer en sortie avec les NetworkPolicies.
Et du coup, chaque application qui tourne dans un conteneur doit indiquer les volumes en lecture/écriture, les ports en entrée, et le stockage est normalement séparé par application, donc un peu comme pour Android.
Mais voila, comme android, ça implique de balancer tout le travail déjà fait, ou de bâtir des choses par dessus l'existant. Et il faut gérer la machinerie aussi, bien sur.
J’ai donc du mal à croire à priori que ce pauvre chauffeur ait
trouvé le bug critique qui lance la voiture full patate sans
aucun input.
Alors, je suis d'accord avec l'idée mais mon optimisme ne me permet pas d'envisager un code sans bug à la con.
Et une autre hypothèse aurait pu être un bug matériel qui a aboutit à une erreur sans faire crasher tout le soft (car oui, ça peut aussi arriver).
Ou, Tesla ne déploie pas ses firmwares partout en même temps, et c'était une pre release (style dark deploy à la google) avec un bug à la con, mais la boite ne veut pas le dire.
Je vais pas lister tout la page wikipedia, mais je me souviens de l'histoire de mentir sur les accidents dans ses usines en 2018, donc je sais pas trop si on peut encore donner le bénéfice du doute à la boite.
Je pense surtout que la question est de savoir qui est responsable.
Autant pour un taxi autonome (exemple, waymo), ç'est la même chose qu'avec un taxi normal (eg, pas le passager), autant c'est plus compliqué quand c'est une voiture privé, et que tu es sans doute moins censé avoir une personne assigné à ta voiture (car c'est aussi l'idée, c'est d'avoir un chauffeur sans avoir à le payer au prix d'un chauffeur maintenant).
on demandait beaucoup plus aux applications (logs, métriques,
tableaux de bord) avant
Je pense que les bonnes pratiques maintenant, c'est aussi d'avoir les métriques dispos pour usage via prometheus via HTTP, ou d'être kubernetes-compatible (pour le "readyness probe" et "liveness probe", via HTTP aussi).
Ensuite, c'est peut être après demain dans certains SI, voir la semaine prochaine, quand le passage à la virtualisation sera fini (juste après la migration à RHEL 6)
Mais je sais qu'il y a des gens qui stockent plus que simplement des comptes dans un annuaire LDAP. Avec LDAP, tu as quand même:
- une réplication
- un système d'ACL sur qui peut écrire quoi
- des API pour la majorité des langages
Supposons que tu as une tonne d'application en java (genre 200/300). Pour savoir qui est responsable de ça, tu as besoin d'une liste, et si la liste pouvait être aussi utilisable pour les accès aux serveurs, ça serait pas mal chouette.
Donc tu te dit "on peut mettre chaque appli dans l'annuaire", après tout, il est la, ça te coûte virtuellement rien de plus vu que l'annuaire est déjà "payé" (eg, y a des backups, les ports sont ouverts, y a des ACLs, y a la redondance et la réplication). Et surtout, son uptime, c'est le souci de quelqu'un d'autre, et ça sera son souci que tu l'utilises ou pas.
Mais une fois que tu as ça dans l'annuaire, alors c'est tenant de t'en servir pour savoir par exemple qui recoit les mails quand ça crashe. Parce que oui, log4j permet de faire ça, et donc de faire 1 fichier de config unifié sur toutes les applis qui dit "chaque application qui envoie un message de niveau X va envoyer ça par mail aux gens qui sont listés dans l'annuaire sous le groupe qui correspond au nom de l'application", c'est assez propre, vu que l'info est a un seul endroit.
Autre avantage, tu peux laisser chaque groupe modifier ses préférences de journalisation via LDAP sans donner directement un accès aux serveurs en prod pour toucher la config. Et en fait, sans leur demander d'apprendre à faire du XML, de l'ansible ou autre chose. Quand tu as des gens qui vont et qui viennent, voir qui vont d'un projet à un autre, c'est une solution.
Est ce que ça arrive souvent, je sais pas, je bosse pas dans une banque, et j'ai pas 200 applis java à gerer.
Est ce qu'il y a des tas de façons de faire sans ça, clairement. Des alias mails, une base de données spécifiquement, ou juste embaucher des gens plus cher qui savent faire du XML et du ssh (sans doute non compatible avec "on va réduire le budget" ceci dit).
Et de toute façon, la question n'est pas "pourquoi LDAP ?" en particulier, mais "pourquoi du dynamique ?".
log4j, c'est des logs, mais fondamentalement, les logs, c'est du routage de flux texte. Et si on voit la logique d'avoir la possibilité pour postfix de faire des lookups LDAP, alors je peux imaginer des cas ou ça peut servir aussi pour log4j (cf mes exemples inventés).
Si le journal des événements windows est troué, le correctif
pourra arriver avec quelques années de retard, mais ce sera
assez simple de le déployer , puisque seul windows l'utilise
Je pense que ça va rien changer au fait que certaines infras (à tort ou à raison) sont longues à être mise à jour.
La différence entre log4j et windows, c'est qu'en tant qu'admin, je suis responsable de windows, mais pas forcément de log4j.
Un meilleur exemple serait un logiciel proprio qui n'est pas directement fourni à l'admin. Je sais que l'exemple que je vais donner est pourri, mais je connais pas assez de logiciel proprios.
Prenons qnx. C'est un logiciel qui a du succès, mais c'est en général pas moi en tant qu'admin qui va le mettre à jour, mais le fabricant qui me file un firmware. Si on retire les soucis de mise à jour de firmware (aka, c'est chiant de base), on va être dans le même genre de problématique, à savoir qu'il y a 3 acteurs:
- le fournisseur du composant
- les fournisseurs du logiciel qui utilisent le composant
- l'utilisateur des logiciels.
Ça va être plus long qu'un truc avec 2 acteurs car il y a beaucoup plus de monde.
Personnellement, je suis plutôt surpris qu'il y ait si peu
d'attaques de ce genre. Pour l'instant, la majorité de celles
qu'on connaît ont touché l'écosystème Javascript.
Y a beaucoup sur npm, mais l’écosystème python est aussi impacté pas mal via du typosquatting régulier, donc je dirais pas vraiment "la majorité".
À titre semi personnel (semi personnel parce que je garde ça pour le boulot, mais surtout pour ressortir des exemples quand je doit convaincre le reste du monde), j'ai une liste sur l'intranet du boulot avec toute les compromission touchant à du code source sur les infra de logiciel libres et dans mon souvenir, c'était de l'ordre de 1 par mois en 2019/2018, tout projet et type de compromission confondu.
Je devrais la publier de l'autre coté du firewall un jour je suppose.
Je pense pas que ça soit toujours aussi simple que le résumé de ton prof.
Par exemple, faire changer le mot de passe tout les 6 mois, ç'est clairement moins de confort. Par contre, le gain en sécurité est assez marginal (voir négatif) si j'en croit divers discussions sur le sujet.
Et de surcroit, ça ne dit ni sécurité contre quel type d'attaque, ni confort pour qui ?
Ton exemple de la banque est une bonne illustration, car le manque de confort est ressenti par l'utilisateur, mais le bénéfice de sécurité est surtout pour le bénéfice de la banque (vu que l'utilisateur va être couvert plus ou moins via le jeu des assurances et de la loi).
Dans ce cas, posons la question, est ce qu'il y avait besoin de log4j, si on suppose qu'on peut toujours faire sans certaines fonctions ?
Après tout, pourquoi ne pas rester à Println ou la lib par défaut de java ?
Quelqu'un a eu besoin de chaque bout de fonctionnalité ajouté à un moment. Quelqu'un l'a codé. Je suppose que c'est grosso modo tout ce qu'il faut.
La maintenance, c'est important, mais je sais aussi que dire "non", c'est en général assez peu populaire comme position, comme j'ai pu le voir sur le projet Ansible quand des modules ont été refusés, comme on a pu le voir lorsque que Debian a décidé de passer à systemd, ou les discussions sur les thèmes de GNOME.
Sans aller loin dans le passé, il suffit de voir il y a une semaine sur Linuxfr la discussion sur le manifest v3 et le fait de retirer des fonctionnalités en cadrant un peu mieux ce qui est faisable ou pas.
Dans le cas de log4j, le souci n'est pas forcément de rajouter le lookup jdni, car de ce que j'ai compris, c'était prévu pour être fait via la configuration sous le contrôle d'un admin. Avoir la configuration des logs centralisés dans LDAP via une syntaxe standard de Java, c'etait pas non plus déconnant.
La question d'activer jdni par défaut ou pas, c'est au niveau de la JVM, et pareil, je suppose que les devs de JVM ont du se dire "si quelqu'un utilise la fonction dans le code, alors c'est implicitement qu'il a besoin de l'utiliser".
On peut se poser la question de la gestion récursive des variables, mais je sais que j'ai déjà eu besoin de ça avec ansible, donc je suis assez sur que d'autres auraient pu en avoir besoin dans d'autres contextes, et qu'un dev aurait pu le rajouter en tout bonne foi.
Et pour l'usage de la réflexivité, je suppose que c'est un pattern important pour java (ou du moins, ça avait l'air important quand j'ai appris java).
Ensuite, il faut aussi rappeler que les lookups JDNI sont maintenant désactivés par défaut sur les JVM d'il y a moins de 3 ans (si je me souviens bien) et surtout qu'il existe un concept de sandbox dans la JVM depuis grosso modo toujours. Sandbox qui n'est semble t'il pas utilisé par la majorité des programmes, car ç'est long à coder. Et qui n'est pas activé par défaut, car ça n'aboutirais que à forcer les gens à retirer dés qu'un truc ne marche pas (cf les tutos partout qui commence par "il faut retirer selinux")
Alors, moins de fonctionnalité, sans doute que oui, mais il faut bien voir que dire "non", c'est mal vu, et que dire non ne retire pas le besoin, et qu'à un moment, tu va commencer à perdre des utilisateurs, puis des contributeurs, et le souci n'a fait que bouger ailleurs.
OpenBSD a moins de fonctions qu'une distro Linux. Mais curieusement, les distros Linux sont massivement plus utilisés.
Mais il est clair que si log4j pourrait recevoir des
contributions financières, ce serait cool.
Log4j fait parti de la fondation Apache, donc la structure pour recevoir de l'argent est de facto la (cf son ancien président qui m'a pointé ça quand on a eu la même discussion).
Concernant le CI , oui un mvn audit serait bien, encore
faudrait il que eles serveurs maven suivent (il n'y a pas
uniquement maven central )
Et il faut avoir l'infrastucture et les procédures pour gérer des failles. C'est amusant de comparer ça avec npm (qui a la fonction, mais aussi des gens pour s'en occuper, d'autant plus depuis le rachat par github et par microsoft), ou avec pypi (qui n'a personne pour faire le taf, ou du moins, qui n'avait personne à temps plein sur la maintenance du logiciel avant, et sans doute des volontaires sur le reste).
Des modèles de financement existent (que ça soit des choses comme Anaconda, les distros commerciales, ou sans doute d'autres), mais j'ai pas le sentiment que "il faut se retreindre à ne prendre que des biblis supportées ou on paye" soit la grande tendance du moment.
Ouais, enfin, dans une grande boite, sortir l'argent, c'est pas si simple.
Par exemple, tu fais du libre et tu envoies une facture, mais tu es étudiant en doctorat à Paris ? Mon employeur ne peut sans doute pas te payer, car un doctorant est payé par l'état, et les lois anticorruptions américaines s'appliquent (vis à vis de filer de l'argent aux agents gouvernementaux).
Tu bosse dans l'informatique, et tu envoies des factures à coté de ton taf, je suppose que la clause de non concurrence s'applique, donc sans doute niet aussi.
Et les taxes divers et variés, surtout d'un pays à l'autre, c'est compliqué.
On peut regarder ce qui est arrivé avec Heartbleed et OpenSSL.
OpenBSD a fait un fork de son coté avec LibreSSL, tout comme Google. Amazon a proposé s2n.
C'est aussi une des raisons de la création du Project Zero de Google, d'aprés WP.
À coté, Go a eu sa propre lib, Rust a RusTLS, et les autres sans doute pareil, pour éviter de se servir d'OpenSSL.
La Linux Fundation a crée une initiative pour financer le libre, c'est un peu sa raison d'être.
Grace à ça, OpenSSL a récolté assez d'argent pour financer un dev à temps pleins, le code a été nettoyé, et on a pas eu autant de frayeur depuis. Et on a tous découvert que la crypto, c'est important.
À coté de ça, je n'ai pas entendu parler de la moindre exploitation publique du bug qui a eu un impact. Je ne doute pas que des groupes bien financés (états) ont pu en tirer quelque chose, mais 7 ans après, toujours rien, ce qui personnellement me conforte dans mon opinion vis à vis des soucis de cryptos.
On peut aussi regarder ce qui est arrivé avec Shellshock et bash, cad, rien de notable. Personne n'a lancé de nouveau shell, d'initiative pour financer bash.
Et que je sache, les impacts sur le monde ont été assez mineur aussi. Il y a eu quelque DDos, sans doute divers companies de pentest qui ont pu sortir des rapports à leur client, mais c'est tout. Je ne doute pas que plus de cibles ont été attaqués, mais pas grand monde a changé de posture.
Donc qu'est ce qui va arriver ?
Primo, plus de gens vont regarder log4j, et les logiciels adjacents. Le bundling de code est une leçon qu'on redécouvre régulièrement (CVE-2002-0059, qui a poussé les distros a faire du dynamique, si je me souviens bien), je suppose que ça va continuer.
Le monde du libre ne va pas trop changer. Il y a déjà des outils pour vérifier les dépendances, donc peut être plus de monde vont commencer à regarder ça. Les gens qui n'aiment pas java vont continuer à ne pas aimer java, les gens qui ne pigent rien à la complexité logiciel vont continuer à poster des commentaires, les mainteneurs vont utiliser ça pour dire qu'il faut changer le fonctionnement du financement du libre sans que ça change.
Le monde du dev interne proprio va sans doute continuer à se diviser entre "les gens qui s'en préoccupent et qui filent des moyens", et "le reste". Avec un peu de chance, les gens sans budget vont réussir à avoir une excuse pour avoir du budget.
Le monde des boites commerciales ne va pas changer beaucoup plus ses pratiques, à part que les équipes sécurité vont avoir un slide de plus pour tenter de tirer du pognon. Je ne doute pas que sur les 5 prochaines années, les choses vont aller mieux, mais c'est sans doute un changement commencé y a longtemps.
Et ce qui ne va pas arriver:
On ne va pas beaucoup plus regarder ce qui est embarqué. Ç'était un souci avant, on ne le faisait pas car c'était trop cher, aucune des raisons pour changer ça n'a changé, donc ça va sans doute bouger un peu mais pas d'un coup.
On ne va pas forcément plus verrouiller les programmes. Elastic Search n’était pas vulnérable à l’exécution de code à distance grace à l'usage d'un ContextManager. Mais de ce que j'ai compris, c'est chiant de rajouter ça dans le code, tout comme c'est chiant de faire des politiques SELinux, et chiant de faire un réseau segmenté avec des parefeux, des proxys, etc. Spoiler, ça va toujours être aussi chiant, donc on va pas plus le faire d'un coup.
On ne va pas arrêter de coder en java. Il y a toujours des tonnes de devs, donc c'est toujours aussi facile d'embaucher, donc le code va continuer à être écrit et maintenu.
On ne va pas arrêter d'embarquer tout. Pareil, ça va toujours être plus facile, ça résout des soucis (ou du moins, ça échange des soucis). Tout au plus, on va voir maven obtenir la même fonction que npm (eg, npm audit), et qui va être ignoré, sauf par les gens avec assez de CI/CD.
Concernant cette épidémie de covid, j'ai l'impression (mais je
peux me tromper, hein) que des gens sont tombés dedans parce
que beaucoup de choses les y ont poussé
Alosr je pense qu'il y a un contexte, clairement. Tu parles de l'exemple de Tchernobyl, mais je pense que ça va plus loin, il suffit d'aller voir sur wikipedia, et de voir les chiffres.
Ça fait des années qu'on parle de moralisation de la vie politique, et même si je pense que la majorité des personnalités politiques sont sans souci, je sais aussi que l'esprit humain va se focaliser sur les détails.
Mais c'était pas exactement ce que j'avais en tête. Il y a des causes structurelles, oui, je pense que personne ne va le nier.
Et il y a des causes plus directs, ou des gens se disent "je vais capitaliser sur ça", et ça que j'ai en tête.
Car les causes structurelles, ça va prendre beaucoup plus de temps à corriger et c'est plus compliqué. Les causes directs, ça me semble plus envisageable à corriger.
Bon après quand je vois sur twitter certains qui semble
complètement grisés et sans la moindre empathie, peut être que
certains naviguent entre l’allégeance du même type que de
soutenir une équipe de foot (et donc "démonter" toutes les
autres) et des lanceurs d'alertes à la petite semelle.
C'est aussi ce que je vois, donc si c'est pifométrique, on est deux.
Il y a tout un tas de choses qui laissent songeur quand on regarde avec un oeil critique.
Si on regarde ça sous l'angle des méthodes de recrutement des sectes, c'est une forme de prosélytisme, et une forme d'escalade de l'engagement, vu que tu va demander de faire une chose simple et rapide (aller sur telegram), puis ensuite bombarder la personne avec une tonne de contenus sans laisser le temps de se poser, tout en laissant avoir d'autres canaux a explorer. Les canaux sont organisés par position, ce qui facilite les rencontres IRL, et il y a aussi incitation à coller plus de stickers (encore une escalade dans l'engagement).
Ou un autre exemple, la dynamique de copie des messages sur telegram (ou celle des retweets) permet aussi de donner quelque chose à faire aux gens qui soit un peu addictif, et qui donne aussi des choses à explorer. C'est un peu de la propagande auto alimenté
Et l'usage d'un groupe de résistant (la rose blanche) permet aussi de cimenter l'identité du groupe autour d'un truc quand même plus cool que la moyenne.
Donc oui, je pense que ton analyse est proche de la réalité.
Non, c'est du sarcasme. L'empathie est pas vraiment à la mode.
Je suppose en partie à cause des médias qu'on utilise de nos jours pour discutter, qui sont à la fois plus lent (texte vs voix), mais aussi moins réactif, et moins "intime".
Si tu rajoutes que la société (à minima française mais sans doute occidental en général) va classifier l'empathie comme une activité féminine (comprendre "que les hommes ne doivent pas adopter"), non, c'est pas vraiment à la mode vu la répartition genré sur Linuxfr.
Tu commence ton commentaire en parlant d'empathie et tu le
conclu par des menaces physiques ?
Non ?
Je me permet de pointer sur le wiktionnaire pour mieux expliquer ce que je voulais dire.
Et pour clarifier, à un moment, les antivaxx vont finir par se rendre compte qu'il y a des gens qui sont mort de façon direct à cause de leur militantisme. Je ne mets pas tout sur le dos des antivaxx, le gouvernement est aussi responsable, mais à la rigueur, le gouvernement, c'est juste des tocards, et j'ai moins de souci avec l'incompétence face à un problème pourri qu'avec le fait de volontairement participer dans un culte mortifère.
Et pourtant, j'aurais tendance à être en faveur des gens qui ouvrent leur gueule au nom de la démocratie.
Et par combattre, je ne parle pas d'aller tabasser des gens.
Déjà, a 1 contre plus que 3, je vais sans doute pas gagner. Secundo, je pense que si je surcharge les hopitaux d'antivaxx par ma prestance au combat, je risque de faire plus de dégât vis à vis de la pandémie.
écrit notamment par Micah Lee. Or ce dernier est un opposant
notoire de Assange et Wikileaks et ne fait pas preuve d'une
grande objectivité sur ce sujet
C'est marrant comment tout tourne autour des personnes plus des organisations quand on parle de Wikileaks, un peu comme si c'était un effet de bord d'un culte de la personnalité.
A tel point que Glenn Greenwald a fini par en partir alors qu'il en est un des cofondateur.
Dans mon souvenir, il est parti parce qu'on a demandé de retirer un truc d'un de ses articles sur la fameuse affaire du portable du fils de Biden. Dans la mesure ou ça semble avoir été un canular monté par l’extrême droite US dans le but de saboter la campagne présidentielle (on change pas une équipe qui gagne), et dans la mesure ou sa réaction semble pas mal dans la ligne "je suis le fondateur, je fait ce que je veux", je pense qu'on glisse dangereusement dans la même catégorie de culte de la personnalité que wikileaks.
D’après les journaux, il avait aussi déjà commencé à préparer à partir depuis des mois, ce qui est logique, car il faudrait être assez con pour le faire sur un coup de tête. Mais du coup, ça suppose aussi que son outrage était préparé depuis plusieurs jours, ce qui laisse quand même croire que c'est une tentative de faire parler de lui, en utilisant le vieux canard de "cancel culture, ouin ouin". D'ailleurs, c'est aussi sans doute pour ça qu'il lâche pas l'affaire.
qui a été débunké mais est toujours en ligne sans le moindre démenti.
Il faut aller lire l'article, car c'est marqué dedans:
"In a series of tweets WikiLeaks said Assange and Manafort had not met. Assange described the story as a hoax."
Mais on peut aussi directement regarder ce que la presse dit sur le sujet des tweets en question.
Et puisque tu parles de ça, on peut aussi parler de Nigel Farage et de wikileaks. Je suppose qu'il y a sans doute eu aussi un debunk.
Pour le camp d'en face il y a déjà la quasi totalité des
médias US qui se font un plaisir de diffuser toute nouvelle
contre les républicains, et ce qu'elles soient vraies ou
fausses.
Ah oui, la fameuse Lügenpress. Peut être que les républicains devraient faire campagne sur la suppression du 1er amendement pour que le gouvernement puisse dire aux médias de ne pas faire des choses.
Ceci dit, il y a aussi le fait que si une personne ne lit pas la lettre, l’expéditeur risque de te retrouver tôt ou tard vu comme un spam (par apprentissage automatique de l’hébergeur de mail).
Et comme les factures des prestataires d'envoi sont sauf erreur de ma part chiffré au volume, il y a aussi je pense une raison économique.
Dans le 1000 à 1500€ par jour, tu comptes aussi le fait que l'entreprise cliente a quelqu'un qui bosse pendant tes vacances (ou du moins, c'est mon expérience en régie). Ça fait déjà 10% (5 semaines + 10j sur 52 semaines).
Ensuite, il y a les frais de l'ESN (commission du commercial, mais salaire du departement financier, des RH, etc). C'est sans doute pas énorme, mais ça s'accumule. Il y a les intercontrats (qui peuvent arriver du jour au lendemain), les frais de déplacements, etc.
Les ESN se font du pognon, je n'en doute pas (sinon, elles ne seraient pas dans ce business). Mais il y a aussi des frais de fonctionnement à prendre en compte, et ça se voit assez vite si tu passes freelance.
Faire la compta, trouver des clients, rédiger des contrats, etc. Tout ça, c'est des coûts qui se retrouve facturer pour le bonheur d'avoir un budget plus flexible, des lignes différentes sur la compta ou simplement moins d'administratif (ou des besoins non facilement couvrable).
Après tout, pourquoi payer un ingé réseau à temps plein si tu as besoin de 50% la plupart du temps.
Et oui, y a aussi clairement des cas ou je trouve ça anormal, quand tu as une tonne de gens en régie sur le long terme, y a un probléme pour moi.
Je suppose que si on fait ça, le monde va s'écrouler sous l'existence de 2 millions de frameworks javascript et de 75 000 languages de templates en python.
Peut être. Ou peut être qu'il y a un phénomène sociétal du à des changements.
L'exemple que tu donnes sur le complotisme et la vaccination, c'est aussi parce que des gens sont tombés dedans, et je pense qu'il y a eu des efforts pour que des gens tombent dedans.
Et se pose la question de pourquoi maintenant et pas y a 10 ans ?
Le complotisme et les théories fumeuses existent depuis longtemps. Par exemple, ma mère avait les livres de Erich von Däniken quand j’étais plus jeune. Les mêmes théories sont ensuite passés à la télé (alien theory vers 2013 en France), et je ne doute pas que de nos jours, on retrouve ça dans les divers chaînes de courants de complotistes, au moins sous une autre forme de ce que j'ai vu.
Je pense qu'on peut dire que Youtube (ou assimilés) a une portée plus grande que la télé, et que la télé a une portée plus grande que les livres.
Les vidéos en streaming sont dispo H24, peuvent s'envoyer par mail, et ça te prends X minutes de ton temps puis te donne plus de contenu après, avec un algo prévu pour te faire rester dessus. La télé te prends un portion fixe de ton temps, et il faut attendre et regarder au bon moment. Quand à lire, ça peut être addictif, mais faut quand même plus d'effort et de temps.
Même si on regarde d'un point de vue logistique, avant, tu voulais te faire du pognon sur une théorie fumeuse, c'était long (écrire des livres, faire des conférences, etc). De nos jours, tu fait 2h de vidéo par jour, et tu arrives à t'en sortir. Je dit pas que c'est pas du boulot, mais c'est beaucoup moins de boulot pour lancer un mouvement complotiste. La matériel coûte moins cher (camera + fond vert + lampe + la fibre).
Du coup, mécaniquement, il y en a plus, et je pense que ça a changé un peu tout l'écosystème.
Ensuite, est ce que ça a entraîné des ruptures familiales ?
Je sais pas. Les stratégie de ruptures, c'est un peu un classique des sectes en tout genre, avec les méthodes de love bombing, etc.
Mais avoir un écosystème de propagation d'informations qui va récompenser l'outrage ou la peur, je pense que c'est un souci, et que c'est ce qu'on voit.
[^] # Re: Comme openssl
Posté par Misc (site web personnel) . En réponse au journal log4shell : Et après ?. Évalué à 2.
Alors je ne doute pas qu'il y a des tas de moyens de contourner le FCPA ou les sanctions de l'OFAC, mais je garde mes compétences spéciales pour les cas spéciaux.
Et si j'en crois les trainings annuels, si je respecte pas la loi à la lettre, y a un stade qui va s'effondrer dans un pays pauvre non spécifié 6 mois après, ou un truc comme ça.
[^] # Re: Isolation des accès réseaux
Posté par Misc (site web personnel) . En réponse au journal log4shell : Et après ?. Évalué à 2.
La trademark, et le fait que personne n'a payé pour la certif.
La vraie question est plus "pourquoi on croit que FreeBSD est plus un Unix que Linux", alors que c'est marqué Unix-like sur la page.
[^] # Re: Isolation des accès réseaux
Posté par Misc (site web personnel) . En réponse au journal log4shell : Et après ?. Évalué à 4.
Alors, ce que tu veux, c'est pas simple. Je veux bien reconnaître que la syntaxe de selinux est pourri, mais même avec une syntaxe moins pourri, ça serait lourd, car la lourdeur ne vient pas que de la syntaxe, mais du fait qu'il faut lister tout les accès, et ça prends du temps, c'est pour ça que les gens ont tendances à ne pas le faire.
Et c'est pas un souci technique, car des méthodes hors SELinux, y en a.
Tu veux filtrer l’accès réseau, tu as iptables (et nftables) en sortie, avec par exemple le match "owner".
Tu veux filter l'http, tu peux mettre un proxy squid en sortie, et mettre des ACL sur la destination.
Tu veux restraindre le FS par application, tu as systemd, avec ProtectHome et tout ce qui va avec (InaccessiblePaths, ReadOnlyPaths, etc, cf systemd.exec
Ou, si tu as de l'argent pour refaire le SI, Openshift (et donc Kubernetes avec les bons réglages) lance les applications sans accès root dans des namespaces séparés, avec un fs en read only (sauf répertoire spécifique explicitement indiqué). Tu peux aussi filtrer en sortie avec les NetworkPolicies.
Et du coup, chaque application qui tourne dans un conteneur doit indiquer les volumes en lecture/écriture, les ports en entrée, et le stockage est normalement séparé par application, donc un peu comme pour Android.
Mais voila, comme android, ça implique de balancer tout le travail déjà fait, ou de bâtir des choses par dessus l'existant. Et il faut gérer la machinerie aussi, bien sur.
Donc des solutions, y en a.
[^] # Re: Tout couper?
Posté par Misc (site web personnel) . En réponse au journal tesla. Évalué à 6.
Alors, je suis d'accord avec l'idée mais mon optimisme ne me permet pas d'envisager un code sans bug à la con.
Et une autre hypothèse aurait pu être un bug matériel qui a aboutit à une erreur sans faire crasher tout le soft (car oui, ça peut aussi arriver).
Ou, Tesla ne déploie pas ses firmwares partout en même temps, et c'était une pre release (style dark deploy à la google) avec un bug à la con, mais la boite ne veut pas le dire.
Je vais pas lister tout la page wikipedia, mais je me souviens de l'histoire de mentir sur les accidents dans ses usines en 2018, donc je sais pas trop si on peut encore donner le bénéfice du doute à la boite.
[^] # Re: La mauvaise foi est humaine
Posté par Misc (site web personnel) . En réponse au journal tesla. Évalué à 4.
Je pense surtout que la question est de savoir qui est responsable.
Autant pour un taxi autonome (exemple, waymo), ç'est la même chose qu'avec un taxi normal (eg, pas le passager), autant c'est plus compliqué quand c'est une voiture privé, et que tu es sans doute moins censé avoir une personne assigné à ta voiture (car c'est aussi l'idée, c'est d'avoir un chauffeur sans avoir à le payer au prix d'un chauffeur maintenant).
[^] # Re: La vraie remise en question
Posté par Misc (site web personnel) . En réponse au journal log4shell : Et après ?. Évalué à 2.
Je pense que les bonnes pratiques maintenant, c'est aussi d'avoir les métriques dispos pour usage via prometheus via HTTP, ou d'être kubernetes-compatible (pour le "readyness probe" et "liveness probe", via HTTP aussi).
Ensuite, c'est peut être après demain dans certains SI, voir la semaine prochaine, quand le passage à la virtualisation sera fini (juste après la migration à RHEL 6)
[^] # Re: La vraie remise en question
Posté par Misc (site web personnel) . En réponse au journal log4shell : Et après ?. Évalué à 8.
Alors au début, je me suis dit pareil.
Mais je sais qu'il y a des gens qui stockent plus que simplement des comptes dans un annuaire LDAP. Avec LDAP, tu as quand même:
- une réplication
- un système d'ACL sur qui peut écrire quoi
- des API pour la majorité des langages
Supposons que tu as une tonne d'application en java (genre 200/300). Pour savoir qui est responsable de ça, tu as besoin d'une liste, et si la liste pouvait être aussi utilisable pour les accès aux serveurs, ça serait pas mal chouette.
Donc tu te dit "on peut mettre chaque appli dans l'annuaire", après tout, il est la, ça te coûte virtuellement rien de plus vu que l'annuaire est déjà "payé" (eg, y a des backups, les ports sont ouverts, y a des ACLs, y a la redondance et la réplication). Et surtout, son uptime, c'est le souci de quelqu'un d'autre, et ça sera son souci que tu l'utilises ou pas.
Mais une fois que tu as ça dans l'annuaire, alors c'est tenant de t'en servir pour savoir par exemple qui recoit les mails quand ça crashe. Parce que oui, log4j permet de faire ça, et donc de faire 1 fichier de config unifié sur toutes les applis qui dit "chaque application qui envoie un message de niveau X va envoyer ça par mail aux gens qui sont listés dans l'annuaire sous le groupe qui correspond au nom de l'application", c'est assez propre, vu que l'info est a un seul endroit.
Autre avantage, tu peux laisser chaque groupe modifier ses préférences de journalisation via LDAP sans donner directement un accès aux serveurs en prod pour toucher la config. Et en fait, sans leur demander d'apprendre à faire du XML, de l'ansible ou autre chose. Quand tu as des gens qui vont et qui viennent, voir qui vont d'un projet à un autre, c'est une solution.
Est ce que ça arrive souvent, je sais pas, je bosse pas dans une banque, et j'ai pas 200 applis java à gerer.
Est ce qu'il y a des tas de façons de faire sans ça, clairement. Des alias mails, une base de données spécifiquement, ou juste embaucher des gens plus cher qui savent faire du XML et du ssh (sans doute non compatible avec "on va réduire le budget" ceci dit).
Et de toute façon, la question n'est pas "pourquoi LDAP ?" en particulier, mais "pourquoi du dynamique ?".
log4j, c'est des logs, mais fondamentalement, les logs, c'est du routage de flux texte. Et si on voit la logique d'avoir la possibilité pour postfix de faire des lookups LDAP, alors je peux imaginer des cas ou ça peut servir aussi pour log4j (cf mes exemples inventés).
[^] # Re: outils et génie logiciel
Posté par Misc (site web personnel) . En réponse au journal log4shell : Et après ?. Évalué à 3.
Je pense que ça va rien changer au fait que certaines infras (à tort ou à raison) sont longues à être mise à jour.
La différence entre log4j et windows, c'est qu'en tant qu'admin, je suis responsable de windows, mais pas forcément de log4j.
Un meilleur exemple serait un logiciel proprio qui n'est pas directement fourni à l'admin. Je sais que l'exemple que je vais donner est pourri, mais je connais pas assez de logiciel proprios.
Prenons qnx. C'est un logiciel qui a du succès, mais c'est en général pas moi en tant qu'admin qui va le mettre à jour, mais le fabricant qui me file un firmware. Si on retire les soucis de mise à jour de firmware (aka, c'est chiant de base), on va être dans le même genre de problématique, à savoir qu'il y a 3 acteurs:
- le fournisseur du composant
- les fournisseurs du logiciel qui utilisent le composant
- l'utilisateur des logiciels.
Ça va être plus long qu'un truc avec 2 acteurs car il y a beaucoup plus de monde.
[^] # Re: Ca vaut ce que ça vaut mais...
Posté par Misc (site web personnel) . En réponse au journal log4shell : Et après ?. Évalué à 3.
Y a beaucoup sur npm, mais l’écosystème python est aussi impacté pas mal via du typosquatting régulier, donc je dirais pas vraiment "la majorité".
À titre semi personnel (semi personnel parce que je garde ça pour le boulot, mais surtout pour ressortir des exemples quand je doit convaincre le reste du monde), j'ai une liste sur l'intranet du boulot avec toute les compromission touchant à du code source sur les infra de logiciel libres et dans mon souvenir, c'était de l'ordre de 1 par mois en 2019/2018, tout projet et type de compromission confondu.
Je devrais la publier de l'autre coté du firewall un jour je suppose.
[^] # Re: La vraie remise en question
Posté par Misc (site web personnel) . En réponse au journal log4shell : Et après ?. Évalué à 2.
Je pense pas que ça soit toujours aussi simple que le résumé de ton prof.
Par exemple, faire changer le mot de passe tout les 6 mois, ç'est clairement moins de confort. Par contre, le gain en sécurité est assez marginal (voir négatif) si j'en croit divers discussions sur le sujet.
Et de surcroit, ça ne dit ni sécurité contre quel type d'attaque, ni confort pour qui ?
Ton exemple de la banque est une bonne illustration, car le manque de confort est ressenti par l'utilisateur, mais le bénéfice de sécurité est surtout pour le bénéfice de la banque (vu que l'utilisateur va être couvert plus ou moins via le jeu des assurances et de la loi).
[^] # Re: La vraie remise en question
Posté par Misc (site web personnel) . En réponse au journal log4shell : Et après ?. Évalué à 5.
Dans ce cas, posons la question, est ce qu'il y avait besoin de log4j, si on suppose qu'on peut toujours faire sans certaines fonctions ?
Après tout, pourquoi ne pas rester à Println ou la lib par défaut de java ?
Quelqu'un a eu besoin de chaque bout de fonctionnalité ajouté à un moment. Quelqu'un l'a codé. Je suppose que c'est grosso modo tout ce qu'il faut.
La maintenance, c'est important, mais je sais aussi que dire "non", c'est en général assez peu populaire comme position, comme j'ai pu le voir sur le projet Ansible quand des modules ont été refusés, comme on a pu le voir lorsque que Debian a décidé de passer à systemd, ou les discussions sur les thèmes de GNOME.
Sans aller loin dans le passé, il suffit de voir il y a une semaine sur Linuxfr la discussion sur le manifest v3 et le fait de retirer des fonctionnalités en cadrant un peu mieux ce qui est faisable ou pas.
Dans le cas de log4j, le souci n'est pas forcément de rajouter le lookup jdni, car de ce que j'ai compris, c'était prévu pour être fait via la configuration sous le contrôle d'un admin. Avoir la configuration des logs centralisés dans LDAP via une syntaxe standard de Java, c'etait pas non plus déconnant.
La question d'activer jdni par défaut ou pas, c'est au niveau de la JVM, et pareil, je suppose que les devs de JVM ont du se dire "si quelqu'un utilise la fonction dans le code, alors c'est implicitement qu'il a besoin de l'utiliser".
On peut se poser la question de la gestion récursive des variables, mais je sais que j'ai déjà eu besoin de ça avec ansible, donc je suis assez sur que d'autres auraient pu en avoir besoin dans d'autres contextes, et qu'un dev aurait pu le rajouter en tout bonne foi.
Et pour l'usage de la réflexivité, je suppose que c'est un pattern important pour java (ou du moins, ça avait l'air important quand j'ai appris java).
Ensuite, il faut aussi rappeler que les lookups JDNI sont maintenant désactivés par défaut sur les JVM d'il y a moins de 3 ans (si je me souviens bien) et surtout qu'il existe un concept de sandbox dans la JVM depuis grosso modo toujours. Sandbox qui n'est semble t'il pas utilisé par la majorité des programmes, car ç'est long à coder. Et qui n'est pas activé par défaut, car ça n'aboutirais que à forcer les gens à retirer dés qu'un truc ne marche pas (cf les tutos partout qui commence par "il faut retirer selinux")
Alors, moins de fonctionnalité, sans doute que oui, mais il faut bien voir que dire "non", c'est mal vu, et que dire non ne retire pas le besoin, et qu'à un moment, tu va commencer à perdre des utilisateurs, puis des contributeurs, et le souci n'a fait que bouger ailleurs.
OpenBSD a moins de fonctions qu'une distro Linux. Mais curieusement, les distros Linux sont massivement plus utilisés.
[^] # Re: Comme openssl
Posté par Misc (site web personnel) . En réponse au journal log4shell : Et après ?. Évalué à 3.
Log4j fait parti de la fondation Apache, donc la structure pour recevoir de l'argent est de facto la (cf son ancien président qui m'a pointé ça quand on a eu la même discussion).
Et il faut avoir l'infrastucture et les procédures pour gérer des failles. C'est amusant de comparer ça avec npm (qui a la fonction, mais aussi des gens pour s'en occuper, d'autant plus depuis le rachat par github et par microsoft), ou avec pypi (qui n'a personne pour faire le taf, ou du moins, qui n'avait personne à temps plein sur la maintenance du logiciel avant, et sans doute des volontaires sur le reste).
Des modèles de financement existent (que ça soit des choses comme Anaconda, les distros commerciales, ou sans doute d'autres), mais j'ai pas le sentiment que "il faut se retreindre à ne prendre que des biblis supportées ou on paye" soit la grande tendance du moment.
[^] # Re: Comme openssl
Posté par Misc (site web personnel) . En réponse au journal log4shell : Et après ?. Évalué à 6.
Ouais, enfin, dans une grande boite, sortir l'argent, c'est pas si simple.
Par exemple, tu fais du libre et tu envoies une facture, mais tu es étudiant en doctorat à Paris ? Mon employeur ne peut sans doute pas te payer, car un doctorant est payé par l'état, et les lois anticorruptions américaines s'appliquent (vis à vis de filer de l'argent aux agents gouvernementaux).
Tu bosse dans l'informatique, et tu envoies des factures à coté de ton taf, je suppose que la clause de non concurrence s'applique, donc sans doute niet aussi.
Et les taxes divers et variés, surtout d'un pays à l'autre, c'est compliqué.
Demander des thunes, c'est pas vraiment trivial.
# Comme openssl
Posté par Misc (site web personnel) . En réponse au journal log4shell : Et après ?. Évalué à 10.
On peut regarder ce qui est arrivé avec Heartbleed et OpenSSL.
OpenBSD a fait un fork de son coté avec LibreSSL, tout comme Google. Amazon a proposé s2n.
C'est aussi une des raisons de la création du Project Zero de Google, d'aprés WP.
À coté, Go a eu sa propre lib, Rust a RusTLS, et les autres sans doute pareil, pour éviter de se servir d'OpenSSL.
La Linux Fundation a crée une initiative pour financer le libre, c'est un peu sa raison d'être.
Grace à ça, OpenSSL a récolté assez d'argent pour financer un dev à temps pleins, le code a été nettoyé, et on a pas eu autant de frayeur depuis. Et on a tous découvert que la crypto, c'est important.
À coté de ça, je n'ai pas entendu parler de la moindre exploitation publique du bug qui a eu un impact. Je ne doute pas que des groupes bien financés (états) ont pu en tirer quelque chose, mais 7 ans après, toujours rien, ce qui personnellement me conforte dans mon opinion vis à vis des soucis de cryptos.
On peut aussi regarder ce qui est arrivé avec Shellshock et bash, cad, rien de notable. Personne n'a lancé de nouveau shell, d'initiative pour financer bash.
Et que je sache, les impacts sur le monde ont été assez mineur aussi. Il y a eu quelque DDos, sans doute divers companies de pentest qui ont pu sortir des rapports à leur client, mais c'est tout. Je ne doute pas que plus de cibles ont été attaqués, mais pas grand monde a changé de posture.
Donc qu'est ce qui va arriver ?
Primo, plus de gens vont regarder log4j, et les logiciels adjacents. Le bundling de code est une leçon qu'on redécouvre régulièrement (CVE-2002-0059, qui a poussé les distros a faire du dynamique, si je me souviens bien), je suppose que ça va continuer.
Le monde du libre ne va pas trop changer. Il y a déjà des outils pour vérifier les dépendances, donc peut être plus de monde vont commencer à regarder ça. Les gens qui n'aiment pas java vont continuer à ne pas aimer java, les gens qui ne pigent rien à la complexité logiciel vont continuer à poster des commentaires, les mainteneurs vont utiliser ça pour dire qu'il faut changer le fonctionnement du financement du libre sans que ça change.
Le monde du dev interne proprio va sans doute continuer à se diviser entre "les gens qui s'en préoccupent et qui filent des moyens", et "le reste". Avec un peu de chance, les gens sans budget vont réussir à avoir une excuse pour avoir du budget.
Le monde des boites commerciales ne va pas changer beaucoup plus ses pratiques, à part que les équipes sécurité vont avoir un slide de plus pour tenter de tirer du pognon. Je ne doute pas que sur les 5 prochaines années, les choses vont aller mieux, mais c'est sans doute un changement commencé y a longtemps.
Et ce qui ne va pas arriver:
On ne va pas beaucoup plus regarder ce qui est embarqué. Ç'était un souci avant, on ne le faisait pas car c'était trop cher, aucune des raisons pour changer ça n'a changé, donc ça va sans doute bouger un peu mais pas d'un coup.
On ne va pas forcément plus verrouiller les programmes. Elastic Search n’était pas vulnérable à l’exécution de code à distance grace à l'usage d'un ContextManager. Mais de ce que j'ai compris, c'est chiant de rajouter ça dans le code, tout comme c'est chiant de faire des politiques SELinux, et chiant de faire un réseau segmenté avec des parefeux, des proxys, etc. Spoiler, ça va toujours être aussi chiant, donc on va pas plus le faire d'un coup.
On ne va pas arrêter de coder en java. Il y a toujours des tonnes de devs, donc c'est toujours aussi facile d'embaucher, donc le code va continuer à être écrit et maintenu.
On ne va pas arrêter d'embarquer tout. Pareil, ça va toujours être plus facile, ça résout des soucis (ou du moins, ça échange des soucis). Tout au plus, on va voir maven obtenir la même fonction que npm (eg, npm audit), et qui va être ignoré, sauf par les gens avec assez de CI/CD.
[^] # Re: Mon avis
Posté par Misc (site web personnel) . En réponse au sondage La politique sur LinuxFr.org. Évalué à 2.
Alosr je pense qu'il y a un contexte, clairement. Tu parles de l'exemple de Tchernobyl, mais je pense que ça va plus loin, il suffit d'aller voir sur wikipedia, et de voir les chiffres.
Ça fait des années qu'on parle de moralisation de la vie politique, et même si je pense que la majorité des personnalités politiques sont sans souci, je sais aussi que l'esprit humain va se focaliser sur les détails.
Mais c'était pas exactement ce que j'avais en tête. Il y a des causes structurelles, oui, je pense que personne ne va le nier.
Et il y a des causes plus directs, ou des gens se disent "je vais capitaliser sur ça", et ça que j'ai en tête.
Car les causes structurelles, ça va prendre beaucoup plus de temps à corriger et c'est plus compliqué. Les causes directs, ça me semble plus envisageable à corriger.
[^] # Re: Défaut de ton raisonnement
Posté par Misc (site web personnel) . En réponse au journal À quoi bon le libre. Évalué à 2.
C'est aussi ce que je vois, donc si c'est pifométrique, on est deux.
Il y a tout un tas de choses qui laissent songeur quand on regarde avec un oeil critique.
Par exemple, le groupe de la rose blanche, qui a incité les gens à imprimer et coller des stickers partout, notamment en Angleterre](https://www.skeptic.org.uk/2021/07/inside-the-white-rose-the-covid-conspiracy-graffiti-group-operating-on-your-doorstep/), mais aussi en France (vu que j'ai vu les stickers fleurir aussi en bas de chez moi).
Si on regarde ça sous l'angle des méthodes de recrutement des sectes, c'est une forme de prosélytisme, et une forme d'escalade de l'engagement, vu que tu va demander de faire une chose simple et rapide (aller sur telegram), puis ensuite bombarder la personne avec une tonne de contenus sans laisser le temps de se poser, tout en laissant avoir d'autres canaux a explorer. Les canaux sont organisés par position, ce qui facilite les rencontres IRL, et il y a aussi incitation à coller plus de stickers (encore une escalade dans l'engagement).
Ou un autre exemple, la dynamique de copie des messages sur telegram (ou celle des retweets) permet aussi de donner quelque chose à faire aux gens qui soit un peu addictif, et qui donne aussi des choses à explorer. C'est un peu de la propagande auto alimenté
Et l'usage d'un groupe de résistant (la rose blanche) permet aussi de cimenter l'identité du groupe autour d'un truc quand même plus cool que la moyenne.
Donc oui, je pense que ton analyse est proche de la réalité.
[^] # Re: Défaut de ton raisonnement
Posté par Misc (site web personnel) . En réponse au journal À quoi bon le libre. Évalué à 4.
Le deuxième aussi, on a plein de cas:
- Jésus, Lazarus et d'autres
- les électeurs de Tiberi
- Dracula
Les exemples ne manquent pas.
[^] # Re: Praticiens
Posté par Misc (site web personnel) . En réponse au journal À quoi bon le libre. Évalué à 0. Dernière modification le 23 décembre 2021 à 14:25.
Non, c'est du sarcasme. L'empathie est pas vraiment à la mode.
Je suppose en partie à cause des médias qu'on utilise de nos jours pour discutter, qui sont à la fois plus lent (texte vs voix), mais aussi moins réactif, et moins "intime".
Si tu rajoutes que la société (à minima française mais sans doute occidental en général) va classifier l'empathie comme une activité féminine (comprendre "que les hommes ne doivent pas adopter"), non, c'est pas vraiment à la mode vu la répartition genré sur Linuxfr.
Non ?
Je me permet de pointer sur le wiktionnaire pour mieux expliquer ce que je voulais dire.
Et pour clarifier, à un moment, les antivaxx vont finir par se rendre compte qu'il y a des gens qui sont mort de façon direct à cause de leur militantisme. Je ne mets pas tout sur le dos des antivaxx, le gouvernement est aussi responsable, mais à la rigueur, le gouvernement, c'est juste des tocards, et j'ai moins de souci avec l'incompétence face à un problème pourri qu'avec le fait de volontairement participer dans un culte mortifère.
Et pourtant, j'aurais tendance à être en faveur des gens qui ouvrent leur gueule au nom de la démocratie.
Et par combattre, je ne parle pas d'aller tabasser des gens.
Déjà, a 1 contre plus que 3, je vais sans doute pas gagner. Secundo, je pense que si je surcharge les hopitaux d'antivaxx par ma prestance au combat, je risque de faire plus de dégât vis à vis de la pandémie.
[^] # Re: Et une vidéo qui dénonce le silence des médias
Posté par Misc (site web personnel) . En réponse au journal Julian Assange a eu une attaque cérébrale à la prison de Belmarsh. Évalué à 3.
C'est marrant comment tout tourne autour des personnes plus des organisations quand on parle de Wikileaks, un peu comme si c'était un effet de bord d'un culte de la personnalité.
Dans mon souvenir, il est parti parce qu'on a demandé de retirer un truc d'un de ses articles sur la fameuse affaire du portable du fils de Biden. Dans la mesure ou ça semble avoir été un canular monté par l’extrême droite US dans le but de saboter la campagne présidentielle (on change pas une équipe qui gagne), et dans la mesure ou sa réaction semble pas mal dans la ligne "je suis le fondateur, je fait ce que je veux", je pense qu'on glisse dangereusement dans la même catégorie de culte de la personnalité que wikileaks.
D’après les journaux, il avait aussi déjà commencé à préparer à partir depuis des mois, ce qui est logique, car il faudrait être assez con pour le faire sur un coup de tête. Mais du coup, ça suppose aussi que son outrage était préparé depuis plusieurs jours, ce qui laisse quand même croire que c'est une tentative de faire parler de lui, en utilisant le vieux canard de "cancel culture, ouin ouin". D'ailleurs, c'est aussi sans doute pour ça qu'il lâche pas l'affaire.
Il faut aller lire l'article, car c'est marqué dedans:
"In a series of tweets WikiLeaks said Assange and Manafort had not met. Assange described the story as a hoax."
Mais on peut aussi directement regarder ce que la presse dit sur le sujet des tweets en question.
Et puisque tu parles de ça, on peut aussi parler de Nigel Farage et de wikileaks. Je suppose qu'il y a sans doute eu aussi un debunk.
Ah oui, la fameuse Lügenpress. Peut être que les républicains devraient faire campagne sur la suppression du 1er amendement pour que le gouvernement puisse dire aux médias de ne pas faire des choses.
[^] # Re: Comment savent-ils?
Posté par Misc (site web personnel) . En réponse au journal Parlons des trains qui arrivent à l'heure : L'éclat de verre, le Crédit du Nord et les autres. Évalué à 5.
Ceci dit, il y a aussi le fait que si une personne ne lit pas la lettre, l’expéditeur risque de te retrouver tôt ou tard vu comme un spam (par apprentissage automatique de l’hébergeur de mail).
Et comme les factures des prestataires d'envoi sont sauf erreur de ma part chiffré au volume, il y a aussi je pense une raison économique.
# La licence ?
Posté par Misc (site web personnel) . En réponse au lien Fiedka : nouvel outil graphique de représentations et éditions de firmware (en webassembly, go,..). Évalué à 4.
Je suis sans doute à la ramasse, mais il manque pas une licence sur le dépôt de code ?
(eg, c'est de facto proprio ?)
[^] # Re: C'est réaliste, un poste de 100k€ par an. Tout est une question de référentiel.
Posté par Misc (site web personnel) . En réponse au lien Chasseurs de têtes : arrêtez de demander plus que le SMIC. Évalué à 4.
Alors juste un bémol.
Dans le 1000 à 1500€ par jour, tu comptes aussi le fait que l'entreprise cliente a quelqu'un qui bosse pendant tes vacances (ou du moins, c'est mon expérience en régie). Ça fait déjà 10% (5 semaines + 10j sur 52 semaines).
Ensuite, il y a les frais de l'ESN (commission du commercial, mais salaire du departement financier, des RH, etc). C'est sans doute pas énorme, mais ça s'accumule. Il y a les intercontrats (qui peuvent arriver du jour au lendemain), les frais de déplacements, etc.
Les ESN se font du pognon, je n'en doute pas (sinon, elles ne seraient pas dans ce business). Mais il y a aussi des frais de fonctionnement à prendre en compte, et ça se voit assez vite si tu passes freelance.
Faire la compta, trouver des clients, rédiger des contrats, etc. Tout ça, c'est des coûts qui se retrouve facturer pour le bonheur d'avoir un budget plus flexible, des lignes différentes sur la compta ou simplement moins d'administratif (ou des besoins non facilement couvrable).
Après tout, pourquoi payer un ingé réseau à temps plein si tu as besoin de 50% la plupart du temps.
Et oui, y a aussi clairement des cas ou je trouve ça anormal, quand tu as une tonne de gens en régie sur le long terme, y a un probléme pour moi.
[^] # Re: Une solution: le revenu universel unique
Posté par Misc (site web personnel) . En réponse au lien Chasseurs de têtes : arrêtez de demander plus que le SMIC. Évalué à 9.
Je suppose que si on fait ça, le monde va s'écrouler sous l'existence de 2 millions de frameworks javascript et de 75 000 languages de templates en python.
[^] # Re: Oui mais comment ?
Posté par Misc (site web personnel) . En réponse au lien Les sites pornos gratuits bloqués?. Évalué à 2.
En même temps, on utilise des limites d'age pour le droit de vote, la retraite, le fait de devenir sénateur, ou l'inscription dans une école.
Par exemple, j'ai vu personne raler sur "oula, mais si tu es né le 31 décembre, tu va dans tel classe, mais le 1er janvier dans tel autre".
Et ne parlons pas des horoscopes.
[^] # Re: Mon avis
Posté par Misc (site web personnel) . En réponse au sondage La politique sur LinuxFr.org. Évalué à 9.
Peut être. Ou peut être qu'il y a un phénomène sociétal du à des changements.
L'exemple que tu donnes sur le complotisme et la vaccination, c'est aussi parce que des gens sont tombés dedans, et je pense qu'il y a eu des efforts pour que des gens tombent dedans.
Et se pose la question de pourquoi maintenant et pas y a 10 ans ?
Le complotisme et les théories fumeuses existent depuis longtemps. Par exemple, ma mère avait les livres de Erich von Däniken quand j’étais plus jeune. Les mêmes théories sont ensuite passés à la télé (alien theory vers 2013 en France), et je ne doute pas que de nos jours, on retrouve ça dans les divers chaînes de courants de complotistes, au moins sous une autre forme de ce que j'ai vu.
Je pense qu'on peut dire que Youtube (ou assimilés) a une portée plus grande que la télé, et que la télé a une portée plus grande que les livres.
Les vidéos en streaming sont dispo H24, peuvent s'envoyer par mail, et ça te prends X minutes de ton temps puis te donne plus de contenu après, avec un algo prévu pour te faire rester dessus. La télé te prends un portion fixe de ton temps, et il faut attendre et regarder au bon moment. Quand à lire, ça peut être addictif, mais faut quand même plus d'effort et de temps.
Même si on regarde d'un point de vue logistique, avant, tu voulais te faire du pognon sur une théorie fumeuse, c'était long (écrire des livres, faire des conférences, etc). De nos jours, tu fait 2h de vidéo par jour, et tu arrives à t'en sortir. Je dit pas que c'est pas du boulot, mais c'est beaucoup moins de boulot pour lancer un mouvement complotiste. La matériel coûte moins cher (camera + fond vert + lampe + la fibre).
Du coup, mécaniquement, il y en a plus, et je pense que ça a changé un peu tout l'écosystème.
Ensuite, est ce que ça a entraîné des ruptures familiales ?
Je sais pas. Les stratégie de ruptures, c'est un peu un classique des sectes en tout genre, avec les méthodes de love bombing, etc.
Mais avoir un écosystème de propagation d'informations qui va récompenser l'outrage ou la peur, je pense que c'est un souci, et que c'est ce qu'on voit.