Et pourtant, cette histoire de wikileaks est terriblement
apolitique, ou plutôt devrait être de toutes les politiques non
totalitaire.
Tu veux dire "non partisan" plutôt que apolitique, parce que le but de wikileaks est bien politique (eg, faire changer les choses à un niveau politique, c'est politique), et c'est pas un gros mot que de le dire.
Ensuite, non, Wikileaks est pas exactement non partisan. Julien Assange est assez clairement contre Hilary Clinton. Et pour une organisation censé avoir des adversaires puissants, ils sont un peu manchot vu qu'une partie a été discuté en clair sur Twitter. J'attire l'attention sur le fait de collaborer avec l'équipe de campagne de Trump.
Les gens ont le droit, mais ç'est ni apolitique, ni non partisan. Et une fois que tu commences à te dire que wikileaks ment en se positionnant comme tel, tu peux pas forcément faire confiance à tout le reste qui est dit.
Et pourtant, je pense que c'est important ce qui a été fait, et le travail des volontaires. Mais le culte du chef en tant que figure mystique voir martyr, c'est en général un assez mauvais signe.
Sur le fond, les inégalités entre les salaires dans la tech et le reste du monde est un souci (cf inflation des logements à SF, par exemple). Et c'est vrai que l'adéquation avec la boite compte aussi.
De l'autre, si on veut pas que le salaire soit important, peut être qu'il faut changer la société au lieu de demander aux jeunes qui ont parfaitement intégré le système et sa logique.
Quand le MEDEF demandera à augmenter les charges, et à remonter les minima sociaux, ok, ils pourront parler de salaires. Sinon, c'est juste du foutage de gueule.
Perso, j'ai pas d'enfant, mais par contre, y a un truc pas mal, ça s'appelle l'empathie. C'est assez à la mode, ça permet de s'imaginer à la place des autres sans être dans la situation pour de vrai.
C'est cognitivement assez utile dans plein de domaines.
Par exemple, la, je peux utiliser ça pour dire que si je voulais faire preuve de mauvaise foi, je commencerais par assigner mes locuteurs à une position ("vous n'avez pas d'enfant") suivi d'une affirmation non fondé ("sinon, vous nez réagiriez pas comme ça"), afin de faire croire que réagir comme tu réagit, c'est dans la norme, donc c'est vrai.
Mais bon, ça serait manipulatoire.
Il me semble que sinon vous ne réagiriez pas ainsi : un type
dit qu'"il y a 536 enfants blessés ou décédés du "vaccin""
rien qu'en France et un autre dit "mais non,il n'y en a pas ou
ce n'est pas corrélé".
Alors je ne connais pas les chiffres pour la France. Mais je sais par contre comment la base VAERS est utilisé par les complotistes aux USA (ou les charlatans).
Il y a principalement 3 méthodes.
Primo, les charlatans omettent de dire que tout rentre sans grande vérification, parce que le but est avant tout statistique. Techniquement, tu te fait vacciner puis tirer dessus et on arrive pas à te réanimer, ça rentre dedans. Si ça arrive à grande échelle, alors on va regarder. Et si quelque chose qui arrive sans vaccin (exemple, une perte auditive) et arrive avec un vaccin, on va mettre que le 2eme, et comparer ensuite si ça arrive plus que la moyenne. Mais ça, les charlatant ne le disent pas
Secundo, il y a la non mise en perspective. dire "536 blessés et mort", ça ne dit ni la durée, ni la population. 536 sur 12 millions en 1 an, ç'est peu. C'est 1 sur 22 000 sur 1 an. Pour remettre en perspective, si c'était appliqué sur Linuxfr (~2000 comptes actif sur 3 mois), ça serait l'équivalent d'un mort ou d'un blessé dans la communauté tout les 10 ans. Et je pense qu'on est largement au delà de ça.
Et tertio, il y a le fait surtout qu'on va mélanger "effet secondaire" et mort en ne précisant ni comment c'est arrivé, ni exactement les proportions ou les détails.
Et l'usage des ces 3 méthodes, c'est surtout un moyen simple pour faire peur afin de manipuler une partie de la population.
C'est pas pour rien que la propagande antivaxx va préventivement positionner les personnes qui se vaccinent comme des moutons qui suivent la propagande du gouvernement (phénomène qu'on voit dans d'autres pays que la France). Car une fois qu'on attache le fait d'être manipulé comme une caractéristiques des membres hors du groupe, ça veut dire qu'à l'intérieur, on est pas manipulé, et c'est le vrai but du message.
Et bien, un parent normal, ne demandera pas plus
d'explication, il ira chercher lui-même les bonnes infos,
Le fait de donner des chiffres et de dire de faire des recherches, c'est une variation de l'effet Ikea. Quelqu'un va faire des recherches, et va plus les croire.
Et l'incitation des mouvements antivaxx a "faire ses propres recherches" est aussi un moyen d'augmenter l'attachement au mouvement.
c'est la vie de son gosse qui est en jeu.
Pareil, l'appel à la vie des enfants, c'est un procédé manipulatoire.
Je ne dit pas que les enfants ne sont pas important, mais il y a des tas d'exemples ou ça sert à faire passer autre chose. Par exemple, on retrouve ça dans le puritanisme conservateur sous le couvert de lutte contre le porno, ou à la base des arguments qui visent à limiter les droits des minorités sexuelles (Campagne Save Our Children en 1977, Section 28 au royaume uni en 1988, manif en France en 1999 et en 2013, ou les lois en Russie, Pologne, Hongrie en ce moment).
Ou plus proche des sujets de linuxfr, les histoires avec Apple et le scan des photos.
C'est d'autant plus regrettable que si j'en crois la littérature sur le sujet (Le berceau des dominations de DOrothé Dussy, pour ne citer que ce livre), la grande majorité des cas d'inceste et de pédophilie sont dans un cadre intra-familiale. Mais ça, on le dit pas car il ne faut pas remettre en cause l'idée de famille.
Donc oui, les enfants, c'est quand même assez souvent utiliser pour faire passer des idées régressives. Mais en pratique, ç'est à géométrie variable.
Augmenter le salaire des profs ou militer pour sauver la planète aurait sans doute plus d'impact pour les enfants, mais tu préfères les vaccins, j'imagine que je doit être trop rationnel pour être parent.
Ce n'est pas à Zenitram ou Bruno que je m'adresse, mais à tous
les parents.
Ah bah désolé d'avoir répondu. Mais la, vu que ton commentaire est caché, je suis pas sur que tu t'adresses à grand monde.
Ensuite, tant mieux pour ta cause d'être caché, parce que moi, plus je lit les messages des mouvements antivaxx, plus je suis motivé pour pour combattre, car plus je lit, plus je pense à tout le sang qu'ils ont sur les mains.
De ce que j'ai compris, c'est aussi une fonctionnalité utilisable aussi dans la config xml de log4j. Donc même en ayant tout le code du monde dans github, tu pourrais ne pas savoir si c'est utilisé.
Il y a quelques années, lors d'une pycon.fr à Paris (donc ça date), j'avais discuté avec un autre membre AFpy des communautés java et python, et le contraste entre la taille des meetups java et des meetups python à l'époque était assez saisissants (genre du 1 pour 10 en faveur de java).
On était arrivé à la conclusion qu'il y avait beaucoup de codeurs java en entreprise. Et le corollaire, c'est qu'il y a énormément de code java derrière un firewall.
Donc oui, ne rien avoir sur github/SO, quand tu as une fonctionnalité utilisable dans le code et dans la configuration dans un des langages les plus utilisés dans les bases de code proprio, ça ne veut pas dire grand chose.
La situation est naze dans tout les cas, c'est ça qui est triste.
Il y a forcément à faire un choix, et autant je pense qu'il y a eu des tas de ratés sur la gestion de la crise (prise en compte de l'aération dans les écoles pour ne citer qu'un exemple), autant je pense qu'il y a aussi des cas ou les choix étaient tous pourris.
Ensuite, fermer les écoles, ça implique que les parents s'ocupent des enfants et en dehors des soucis de logistique que ça impose, ç'est aussi un truc qui à mon avis fait chier un certain nombre de parents (mais qu'ils ne veulent pas forcément le dire à voix haute, parce qu'on fout la pression sur les parents en général).
Il y a des gens qui s'en accomodent, et d'autres un peu moins, mais je ne saurais pas vraiment dire dans quel proportion.
Ensuite, le journal parle de linuxfr en lui même, et je pense que linuxfr, en tant que communauté autour du logiciel libre, est un sujet de discussion acceptable pour les journaux.
Ce qui est triste, c'est qu'il y a pourtant des vrais soucis vis à vis de la médecine, que ça soit des dérives vis à vis de la psychiatrie (et des hôpitaux psychiatriques), des médecins qui n'écoutent pas les patients (que ça soit pour des histoires de syndrome méditerranéen , ou les questions de violence obstétriques), des histoires de consentement des patients, etc.
Mais ces mouvements sectaires polluent le débat et la corrections des problèmes.
À coté de ça, l'ordre des médecins est beaucoup plus prompt à réagir quand il s'agit de défendre un certain conservatisme social.
On peut voir par exemple les cas récents sur l'accompagnement de personnestrans, ou l'avis de l'ordre en question sur la GPA et la PMA, et la réaction qui a suivi. .
Au delà des questions de fond, on peut voir qu'il y a quand même 2 poids/2 mesures.
D'un coté, l'ordre tarde pas mal à agir sur les membres quand il y a des dérives foireuses. De l'autre, la réaction pour des prescriptions d'hormones semble extrêmement prompt.
La nourriture est aussi plus cher dans mon souvenir, et les gens doivent payer les dettes qu'ils ont contractés lors des études.
Et c'est à NYC, il y a une certaine concurrence à cause des banques, etc. Elles compensent l'ambiance toxique (ici, ici) par l'argent, du coup, le reste doit suivre. Donc c'est pas exactement la valorisation de l'expertise technique plus que d'être assis sur l'imprimante à billet (et c'est pareil de l'autre coté du pays).
En tout cas, Log4j est un nouvel exemple de ces projets libres
que tout le monde est bien content d’utiliser pour pas un rond
tout en crachant à la gueule des développeurs dès qu’il y a un
problème.
Alors je pense que tu as raison, mais, même quand on paye, c'est pas cool de cracher à la gueule des devs.
Ensuite, au delà de la question de ne pas payer, il y a aussi la question du cout et de payer suffisament. De ce que je vois, les particuliers, en général, ça ne suffit pas.
On peut regarder le budget de gitea sur opencollective, on parle de l'ordre de la dizaine de milliers d'euros, mais c'est tout juste de quoi payer l'hebergement, et une machine, et l'argent pour les goodies.
On peut pas vraiment financer une personne à temps plein sur ça.
Et la, les membres de l'équipe donnent de l'argent aussi.
Donc faut s'orienter vers les entreprises, et la, tu as 2 cas.
Soit tu as un produit directement utilisable (exemple, redis, elastic search, etc), et tu montes ta propre boite.
Soit tu as un produit qui est sous forme de bibliothéque (style QT, ou log4j), et c'est beaucoup plus compliqué. QT s'en sort via le fait que c'est un gros projet et des histoires autour de la license.
Log4j, bah, personne ne va payer directement le dev pour ça car c'est trop petit. C'est comme bash ou openssh, c'est vu comme suffisament fondamental et ça fait parti de la plateforme que tu vises.
Du coup, tu as une autre solution, c'est de vendre ça comme un tout. Personne ne paye pour la maintenance de ls en particulier. Mais des gens payent des entreprises pour leur OS (RHEL, Suse, ubuntu), qui vont à leur tour payer des gens pour s'occuper des composants (exemple, Karel Zak pour coreutils, qui bosse chez RH).
Du coup, tu peux vendre ça sous forme de "Linuxfr applicatif java entreprise serveur pro version". Tu dis aux gens de cibler ça sur une version stable. mais les devs, ils aiment bien les nouvelles versions. Les versions qui corrigent des bugs, ou permettent de simplifier leur code. Donc il y a une incitation à mettre à jour.
De toute façon, y a des tests et de la CI, alors pourquoi ne pas mettre ça en bundle ?
Et puis si de toute façon, tout est dispo upstream, pourquoi tu va prendre une plateforme vu que tu utilises pas ?
Et puis, quid si le vendeur décide de prendre une autre bibliothéque, une qui fait moins de choses ? mais toi, tu as besoin de 1% de fonction en plus, mais on veut pas rajouter ça ?
Du coup, tu prends une autre lib sous license libre. Il y aura toujours plus en dehors du périmètre limité de ce qui est supporté. Et si on te laisse pas prendre une lib externe, tu te retrouves à recoder ça en interne, ce qui est pire car plus couteux, et en général moins bon.
Du coup, tout conspire à pousser à prendre la version upstream, vu que c'est du code, on veut que ça marche mais on veut aussi rajouter des fonctions rapidement et que ça bouge. Donc les gens embarquent la lib.
C'est différent du réseau ou d'un serveur, ou on veut que ça soit solide, sans avoir une tonne de fonctionnalité rapidement.
Faire payer la stabilité, on sait faire, les gens comprennent. On sait d'autant plus faire que pas grand monde ne veut le faire gratuitement (s'occuper du vieux code).
Mais la, vu que log4j est embarqué partout, même en payant, ça n'aurais rien changé.
Cet exploit incite à la sobriété numérique dans les
développements : il repose sur une fonction qui est déployée
partout mais pour laquelle on a trouvé aucun exemple public
d'utilisation légitime
De ce que j'ai compris, le but etait surtout son usage dans la configuration de log4j. Vu que log4j vient avec un mécanisme de configuration en XML assez fin, tu peux aussi utiliser ça pour faire le routage de tes logs via une source en LDAP sans toucher au logiciel de base, et de façon uniforme sur tous. Le souci, c'est que ce mécanisme qui est ok dans la config s'est retrouvé aussi exposé dans le code (ce qui est ok aussi), puis exposé à des chaines utilisateurs (ce qui est moins ok).
Mais avoir une fonction "log(toto)", je peux voir comment ça parait innocent. Donc pris séparément, je peux voir pourquoi personne n'a rien vu.
Le souci, c'est le mix de tout ça, lié avec la transparence réseau de java (qui a du être oublié, depuis que Scott Mc nealy ne fait plus de keynotes sur le sujet)
Et la sobriété, tout le monde est pour, sauf quand il s'agit de retirer les fonctions dont on a besoin. La, c'est indispensable bien sur et seul des codeurs nazis voudraient retirer les choses, cf le niveau de certaines discussions passées sur GNOME ou systemd pour l'audace de simplifier l'interface ou de ne pas supporter la sobriété numérique d'avoir 3000 lignes de bash qu'on peut bidouiller de partout pour l'init.
Les appels d'urgence sont dans une catégorie à part (on peut
les passer sans déverrouiller le téléphone).
Du coup, je suppose que ce bout la est au niveau de l'écran de verrouillage.
En fait, on parle de l'application téléphone, mais il y a peut être plusieurs bouts spéarés (eg, le clavier, et le backend pour faire les appels).
Autant je peux comprendre qu'on autorise facilement une
application comme Teams à remplacer l'application téléphone
pour les appels normaux, autant le remplacement des appels
d'urgence mériterait peut-être un consentement plus explicite
de l'utilisateur.
Je pense que la plupart des utilisateurs ne feraient pas gaffe et dirait juste "oui". Les appels d'urgence, on y pense pas vraiment.
Et l'obligation sur les appels d'urgence, ça me rappelle aussi les alertes AMBER aux états unis. Je ne sais pas si c'est mon téléphone en particulier ou Android, mais la première que j'ai reçu une alerte, c’était un bruit de sirène à un volume assez fort. Et sur mon téléphone, je ne peux pas le désactiver ça (ou en tout cas, j'ai pas trouvé comment).
En lisant WP, j'ai vu que l'alerte a été activé une fois à 4h du matin en 2013, je pense que je n'aurais pas été de bonne humeur ce matin la.
Mais que je sache, Teams est pas installé par défaut sur android. Donc quelqu'un a choisi de l'installer (que ça soit imposer par ton employeur sur le tel de la boite ne change rien au fait que quelqu'un a fait le choix).
Ensuite, je sais pas pourquoi Teams peut recevoir l'Intent android de donner un appel, mais si Teams fait de la VoIP, c'est pas du tout déconnant de donner la permission de faire des appels.
On peut se poser la question de donner par défaut ou pas la permission, mais en général, les gens s'attendent à ce que les applications marchent sans avoir à faire 45 réglages de plus après installation.
Et pareil, on peut pas raler sur les dialogues de Vista qui demandent de tout confirmer (et qui du coup desensibilise les utilisateurs aux dialogues), puis raler que les applications ne demandent pas à chaque fois de confirmer chaque détail obscure.
C'est regrettable d'avoir eu un bug dans Teams, bien sur, mais les bugs, ça arrive à tout le monde.
On peut regretter l'état des OS pour téléphone qui ne te permettent pas de changer les libs au pif (chose qu'on peut pas vraiment faire sur une distrib classique non plus), mais on peut pas vraiment dire que la communauté du libre s'est mobilisé non plus pour aider les téléphones libres au fut et à mesure des années. Je me souviens des discussions sur l'openmoko, à base de "600€ c'est trop cher" et "ç'est moins bien que mon iphone, je vais garder mon tel". Il y a eu d'autres problèmes bien sur, mais le kernel ne s'est pas écrit en 1 jour non plus.
Ensuite, on est aussi les premiers à raler si on peut pas utiliser un autre moteur de rendu HTML dans un navigateur sur un téléphone (cough iphone cough).
Il faut à un moment savoir si on veut pouvoir étendre l'os et remplacer des bouts (et dans ce cas, le bout qui fait des appels), ou si on veut un OS qui interdit de remplacer certains bouts.
C'est sur que si le ransomware a le même effet qu'une mise à jour foireuse de ton kernel qui ne monte plus un FS parce que "insert bug à la con", ça va faire peur à personne.
"ah ah, j'ai supprimé le son sur ton poste de travail sous Debian unstable, tu va devoir payé une rançon" "ah bon, c'est une mise à jour de pipewire ?"
En fait, quand on parle de failles en parlant des OS, c'est une comparaison foireuse. Par exemple, si quelqu'un expose un Jenkins ou un Wordpress troué sur internet, personne ne va dire "c'est une faille de Linux". Par contre, si un poste de travail se retrouve infecté, et qu'un malware efface les données des serveurs Windows (ce qui est le cas des ransomware), ça devient d'un coup une faille lié à l'OS.
L'exemple de Manutan est assez parlant. Microsoft dit "il faut faire les mises à jours", le responsable du SI dit "on a 800 serveurs, on peut pas". Puis "on a eu des alertes, mais on a pas regardé".
Je comprends que l'informatique, c'est difficile, et je ne doute pas que la situation vis à vis des mises à jour est loin d'être simple. J'ai aussi du m'occuper de remettre en état des infras pourris, ça coûte de l'argent (sous forme d'ingé qualifié) qu'on a du mal à trouver. Et j'ai beau dire "faut passer à de l'automatisation", c'est plus facile à dire qu'à faire (car la, les 800 serveurs, ça a été fait à la main de ce que je comprends).
Mais quand on regarde l'histoire, l'attaque a commencé par un phising. Est ce qu'on va compter ça comme une faille windows ? Visiblement oui. Je suppose qu'à partir du phisig, il y a eu obtention d’accès plus élevés sur les serveurs, puis la cata.
Et les serveurs qui ont été touchés sont ceux avec des données qui impacte la boite (exchange, AD, applicatifs maisons).
Du coup, ça pose la question de la place de Linux dans le SI.
Si ça sert à faire dhcp/dns, ça va pas être malin de le foutre en l'air, vu que ça coute moins cher de réinstaller vu qu'il y a pas de données. Et du point de vue du pirate, il ne faut pas mettre en l'air la compta et la DB Oracle/SAP (qui en général tourne sous RHEL/Suse), sinon personne ne va pouvoir payer la rançon.
D'une part que le département financier doit pouvoir fonctionner, et d'autre part parce qu'il resterait plus de thunes après le passage d'Oracle pour refaire marcher la compta.
C'est intéressant de voir le coté transnational des complotistes (en l'occurence, la rumeur est parti d'angleterre, puis de californie, puis est revenu en France via france soir et le reste des complotistes). Les mêmes thèmes reviennent, mais s'adaptent à un contexte propre dans chaque pays.
Des fois, ça colle pas (parce que venir chouiner sur l'immigration du mexique, ça passe pas trop en France), et des fois, ça s'accroche mieux (exemple, ici).
Mais bon, c'est aussi lié à la production constante de fausses news. Tu produis et tu regardes ce qui survit, c'est rien de magique.
Chaque fournisseur a son cocktail maison des softs du projet, dans des versions différentes, des réglages différents, etc.
Les images sont sans doute pas non plus les mêmes (ce qui est toujours un grand moment de fun), ou ne sont pas toujours dispo. Et bien sur, rien n'a le même nom dans les types de machines, les ID des disques, etc.
Donc c'est sans doute un peu plus portable que de passer de ec2 a azure, mais c'est pas non plus la joie. Tu va devoir sensiblement faire autant de modification et de tests, avec parfois des résultats pas terribles (les tests de Fuga dans l'article plus haut)
Le vrai risque, c'est à mon avis pas dans le fait d'utiliser ce que tout le monde propose (des VMs, du stockage en mode objet à la S3, etc), mais le reste.
C'est vrai, mais d'un point de vue technique, c'est quoi la différence ?
Si les téléphones supportent IP v6, alors les puces GSM/modem aussi. Je peux imaginer que ça ne soit pas le cas de tout le parc, mais la, ça a l'air d'être quasiment rien, et si les puces supportent la 4G, c'est pas si vieux que ça.
Donc je suppose que c'est l'OS du routeur le souci, mais c'est sous le controle du FAI, et y a pas trop d'excuse.
J'ai un modem 4G dans mon PC (sim Orange), et je viens de tester, si je coupe l'IP v4, j'ai une IP v6 dispo.
Le dual stack n'a pas l'air dispo, mais je peux aller en IP v4, et orange a l'air d'avoir mis du dns64:
$ host github.com
github.com has address 140.82.121.4
github.com has IPv6 address 64:ff9b::8c52:7904
github.com mail is handled by 10 alt3.aspmx.l.google.com.
github.com mail is handled by 1 aspmx.l.google.com.
github.com mail is handled by 5 alt1.aspmx.l.google.com.
github.com mail is handled by 10 alt4.aspmx.l.google.com.
github.com mail is handled by 5 alt2.aspmx.l.google.com.
[^] # Re: Et une vidéo qui dénonce le silence des médias
Posté par Misc (site web personnel) . En réponse au journal Julian Assange a eu une attaque cérébrale à la prison de Belmarsh. Évalué à 10.
Tu veux dire "non partisan" plutôt que apolitique, parce que le but de wikileaks est bien politique (eg, faire changer les choses à un niveau politique, c'est politique), et c'est pas un gros mot que de le dire.
Ensuite, non, Wikileaks est pas exactement non partisan. Julien Assange est assez clairement contre Hilary Clinton. Et pour une organisation censé avoir des adversaires puissants, ils sont un peu manchot vu qu'une partie a été discuté en clair sur Twitter. J'attire l'attention sur le fait de collaborer avec l'équipe de campagne de Trump.
Les gens ont le droit, mais ç'est ni apolitique, ni non partisan. Et une fois que tu commences à te dire que wikileaks ment en se positionnant comme tel, tu peux pas forcément faire confiance à tout le reste qui est dit.
Et pourtant, je pense que c'est important ce qui a été fait, et le travail des volontaires. Mais le culte du chef en tant que figure mystique voir martyr, c'est en général un assez mauvais signe.
# AH ah ah
Posté par Misc (site web personnel) . En réponse au lien Chasseurs de têtes : arrêtez de demander plus que le SMIC. Évalué à 10.
Sur le fond, les inégalités entre les salaires dans la tech et le reste du monde est un souci (cf inflation des logements à SF, par exemple). Et c'est vrai que l'adéquation avec la boite compte aussi.
De l'autre, si on veut pas que le salaire soit important, peut être qu'il faut changer la société au lieu de demander aux jeunes qui ont parfaitement intégré le système et sa logique.
Quand le MEDEF demandera à augmenter les charges, et à remonter les minima sociaux, ok, ils pourront parler de salaires. Sinon, c'est juste du foutage de gueule.
[^] # Re: Praticiens
Posté par Misc (site web personnel) . En réponse au journal À quoi bon le libre. Évalué à 10.
Perso, j'ai pas d'enfant, mais par contre, y a un truc pas mal, ça s'appelle l'empathie. C'est assez à la mode, ça permet de s'imaginer à la place des autres sans être dans la situation pour de vrai.
C'est cognitivement assez utile dans plein de domaines.
Par exemple, la, je peux utiliser ça pour dire que si je voulais faire preuve de mauvaise foi, je commencerais par assigner mes locuteurs à une position ("vous n'avez pas d'enfant") suivi d'une affirmation non fondé ("sinon, vous nez réagiriez pas comme ça"), afin de faire croire que réagir comme tu réagit, c'est dans la norme, donc c'est vrai.
Mais bon, ça serait manipulatoire.
Alors je ne connais pas les chiffres pour la France. Mais je sais par contre comment la base VAERS est utilisé par les complotistes aux USA (ou les charlatans).
Il y a principalement 3 méthodes.
Primo, les charlatans omettent de dire que tout rentre sans grande vérification, parce que le but est avant tout statistique. Techniquement, tu te fait vacciner puis tirer dessus et on arrive pas à te réanimer, ça rentre dedans. Si ça arrive à grande échelle, alors on va regarder. Et si quelque chose qui arrive sans vaccin (exemple, une perte auditive) et arrive avec un vaccin, on va mettre que le 2eme, et comparer ensuite si ça arrive plus que la moyenne. Mais ça, les charlatant ne le disent pas
Secundo, il y a la non mise en perspective. dire "536 blessés et mort", ça ne dit ni la durée, ni la population. 536 sur 12 millions en 1 an, ç'est peu. C'est 1 sur 22 000 sur 1 an. Pour remettre en perspective, si c'était appliqué sur Linuxfr (~2000 comptes actif sur 3 mois), ça serait l'équivalent d'un mort ou d'un blessé dans la communauté tout les 10 ans. Et je pense qu'on est largement au delà de ça.
Et tertio, il y a le fait surtout qu'on va mélanger "effet secondaire" et mort en ne précisant ni comment c'est arrivé, ni exactement les proportions ou les détails.
Et l'usage des ces 3 méthodes, c'est surtout un moyen simple pour faire peur afin de manipuler une partie de la population.
C'est pas pour rien que la propagande antivaxx va préventivement positionner les personnes qui se vaccinent comme des moutons qui suivent la propagande du gouvernement (phénomène qu'on voit dans d'autres pays que la France). Car une fois qu'on attache le fait d'être manipulé comme une caractéristiques des membres hors du groupe, ça veut dire qu'à l'intérieur, on est pas manipulé, et c'est le vrai but du message.
Le fait de donner des chiffres et de dire de faire des recherches, c'est une variation de l'effet Ikea. Quelqu'un va faire des recherches, et va plus les croire.
Et l'incitation des mouvements antivaxx a "faire ses propres recherches" est aussi un moyen d'augmenter l'attachement au mouvement.
Pareil, l'appel à la vie des enfants, c'est un procédé manipulatoire.
Je ne dit pas que les enfants ne sont pas important, mais il y a des tas d'exemples ou ça sert à faire passer autre chose. Par exemple, on retrouve ça dans le puritanisme conservateur sous le couvert de lutte contre le porno, ou à la base des arguments qui visent à limiter les droits des minorités sexuelles (Campagne Save Our Children en 1977, Section 28 au royaume uni en 1988, manif en France en 1999 et en 2013, ou les lois en Russie, Pologne, Hongrie en ce moment).
Ou plus proche des sujets de linuxfr, les histoires avec Apple et le scan des photos.
C'est d'autant plus regrettable que si j'en crois la littérature sur le sujet (Le berceau des dominations de DOrothé Dussy, pour ne citer que ce livre), la grande majorité des cas d'inceste et de pédophilie sont dans un cadre intra-familiale. Mais ça, on le dit pas car il ne faut pas remettre en cause l'idée de famille.
Donc oui, les enfants, c'est quand même assez souvent utiliser pour faire passer des idées régressives. Mais en pratique, ç'est à géométrie variable.
Augmenter le salaire des profs ou militer pour sauver la planète aurait sans doute plus d'impact pour les enfants, mais tu préfères les vaccins, j'imagine que je doit être trop rationnel pour être parent.
Ah bah désolé d'avoir répondu. Mais la, vu que ton commentaire est caché, je suis pas sur que tu t'adresses à grand monde.
Ensuite, tant mieux pour ta cause d'être caché, parce que moi, plus je lit les messages des mouvements antivaxx, plus je suis motivé pour pour combattre, car plus je lit, plus je pense à tout le sang qu'ils ont sur les mains.
[^] # Re: Praticiens
Posté par Misc (site web personnel) . En réponse au journal À quoi bon le libre. Évalué à 2.
Oui, la dualité bien/mal est quand même bien ancré depuis longtemps dans nos cultures.
[^] # Re: Ouille !
Posté par Misc (site web personnel) . En réponse au lien Log4Shell: RCE 0-day exploit found in log4j, a popular Java logging package. Évalué à 3.
De ce que j'ai compris, c'est aussi une fonctionnalité utilisable aussi dans la config xml de log4j. Donc même en ayant tout le code du monde dans github, tu pourrais ne pas savoir si c'est utilisé.
Il y a quelques années, lors d'une pycon.fr à Paris (donc ça date), j'avais discuté avec un autre membre AFpy des communautés java et python, et le contraste entre la taille des meetups java et des meetups python à l'époque était assez saisissants (genre du 1 pour 10 en faveur de java).
On était arrivé à la conclusion qu'il y avait beaucoup de codeurs java en entreprise. Et le corollaire, c'est qu'il y a énormément de code java derrière un firewall.
Donc oui, ne rien avoir sur github/SO, quand tu as une fonctionnalité utilisable dans le code et dans la configuration dans un des langages les plus utilisés dans les bases de code proprio, ça ne veut pas dire grand chose.
[^] # Re: Praticiens
Posté par Misc (site web personnel) . En réponse au journal À quoi bon le libre. Évalué à 5.
La situation est naze dans tout les cas, c'est ça qui est triste.
Il y a forcément à faire un choix, et autant je pense qu'il y a eu des tas de ratés sur la gestion de la crise (prise en compte de l'aération dans les écoles pour ne citer qu'un exemple), autant je pense qu'il y a aussi des cas ou les choix étaient tous pourris.
[^] # Re: Praticiens
Posté par Misc (site web personnel) . En réponse au journal À quoi bon le libre. Évalué à 2.
Ensuite, fermer les écoles, ça implique que les parents s'ocupent des enfants et en dehors des soucis de logistique que ça impose, ç'est aussi un truc qui à mon avis fait chier un certain nombre de parents (mais qu'ils ne veulent pas forcément le dire à voix haute, parce qu'on fout la pression sur les parents en général).
Il y a des gens qui s'en accomodent, et d'autres un peu moins, mais je ne saurais pas vraiment dire dans quel proportion.
[^] # Re: Éthique et légalité ?
Posté par Misc (site web personnel) . En réponse au lien Logout4Shell : Corriger la faille log4j en se servant de la faille log4j. Évalué à 4.
Et ça ne modifie pas la config sur le disque, donc c'est aussi d'une efficacité douteuse :)
[^] # Re: Ici c'est Linuxfr.org
Posté par Misc (site web personnel) . En réponse au journal À quoi bon le libre. Évalué à 2.
Ensuite, le journal parle de linuxfr en lui même, et je pense que linuxfr, en tant que communauté autour du logiciel libre, est un sujet de discussion acceptable pour les journaux.
[^] # Re: Praticiens
Posté par Misc (site web personnel) . En réponse au journal À quoi bon le libre. Évalué à 10.
Ce qui est triste, c'est qu'il y a pourtant des vrais soucis vis à vis de la médecine, que ça soit des dérives vis à vis de la psychiatrie (et des hôpitaux psychiatriques), des médecins qui n'écoutent pas les patients (que ça soit pour des histoires de syndrome méditerranéen , ou les questions de violence obstétriques), des histoires de consentement des patients, etc.
Mais ces mouvements sectaires polluent le débat et la corrections des problèmes.
[^] # Re: Praticiens
Posté par Misc (site web personnel) . En réponse au journal À quoi bon le libre. Évalué à 5.
Comme le chante Radio head, il fait la police ?
J'ai vu le journal, il était à -10 ou -20 à ce moment la. Donc on peut supposer en effet que ça a fait l'affaire.
[^] # Re: Praticiens
Posté par Misc (site web personnel) . En réponse au journal À quoi bon le libre. Évalué à 10.
À coté de ça, l'ordre des médecins est beaucoup plus prompt à réagir quand il s'agit de défendre un certain conservatisme social.
On peut voir par exemple les cas récents sur l'accompagnement de personnes trans, ou l'avis de l'ordre en question sur la GPA et la PMA, et la réaction qui a suivi. .
Au delà des questions de fond, on peut voir qu'il y a quand même 2 poids/2 mesures.
D'un coté, l'ordre tarde pas mal à agir sur les membres quand il y a des dérives foireuses. De l'autre, la réaction pour des prescriptions d'hormones semble extrêmement prompt.
On peut aussi comparer ça avec divers affaires d'agressions sexuelles en 2007, ou en 2021. Ou le rapport de la cour des comptes en 2017.
[^] # Re: salaires aux États-Unis
Posté par Misc (site web personnel) . En réponse au lien Appel à une professionnalisation des mainteneurs. Évalué à 9.
La nourriture est aussi plus cher dans mon souvenir, et les gens doivent payer les dettes qu'ils ont contractés lors des études.
Et c'est à NYC, il y a une certaine concurrence à cause des banques, etc. Elles compensent l'ambiance toxique (ici, ici) par l'argent, du coup, le reste doit suivre. Donc c'est pas exactement la valorisation de l'expertise technique plus que d'être assis sur l'imprimante à billet (et c'est pareil de l'autre coté du pays).
[^] # Re: Ouille !
Posté par Misc (site web personnel) . En réponse au lien Log4Shell: RCE 0-day exploit found in log4j, a popular Java logging package. Évalué à 5.
Alors je pense que tu as raison, mais, même quand on paye, c'est pas cool de cracher à la gueule des devs.
Ensuite, au delà de la question de ne pas payer, il y a aussi la question du cout et de payer suffisament. De ce que je vois, les particuliers, en général, ça ne suffit pas.
On peut regarder le budget de gitea sur opencollective, on parle de l'ordre de la dizaine de milliers d'euros, mais c'est tout juste de quoi payer l'hebergement, et une machine, et l'argent pour les goodies.
On peut pas vraiment financer une personne à temps plein sur ça.
Et la, les membres de l'équipe donnent de l'argent aussi.
Donc faut s'orienter vers les entreprises, et la, tu as 2 cas.
Soit tu as un produit directement utilisable (exemple, redis, elastic search, etc), et tu montes ta propre boite.
Soit tu as un produit qui est sous forme de bibliothéque (style QT, ou log4j), et c'est beaucoup plus compliqué. QT s'en sort via le fait que c'est un gros projet et des histoires autour de la license.
Log4j, bah, personne ne va payer directement le dev pour ça car c'est trop petit. C'est comme bash ou openssh, c'est vu comme suffisament fondamental et ça fait parti de la plateforme que tu vises.
Du coup, tu as une autre solution, c'est de vendre ça comme un tout. Personne ne paye pour la maintenance de ls en particulier. Mais des gens payent des entreprises pour leur OS (RHEL, Suse, ubuntu), qui vont à leur tour payer des gens pour s'occuper des composants (exemple, Karel Zak pour coreutils, qui bosse chez RH).
Du coup, tu peux vendre ça sous forme de "Linuxfr applicatif java entreprise serveur pro version". Tu dis aux gens de cibler ça sur une version stable. mais les devs, ils aiment bien les nouvelles versions. Les versions qui corrigent des bugs, ou permettent de simplifier leur code. Donc il y a une incitation à mettre à jour.
De toute façon, y a des tests et de la CI, alors pourquoi ne pas mettre ça en bundle ?
Et puis si de toute façon, tout est dispo upstream, pourquoi tu va prendre une plateforme vu que tu utilises pas ?
Et puis, quid si le vendeur décide de prendre une autre bibliothéque, une qui fait moins de choses ? mais toi, tu as besoin de 1% de fonction en plus, mais on veut pas rajouter ça ?
Du coup, tu prends une autre lib sous license libre. Il y aura toujours plus en dehors du périmètre limité de ce qui est supporté. Et si on te laisse pas prendre une lib externe, tu te retrouves à recoder ça en interne, ce qui est pire car plus couteux, et en général moins bon.
Du coup, tout conspire à pousser à prendre la version upstream, vu que c'est du code, on veut que ça marche mais on veut aussi rajouter des fonctions rapidement et que ça bouge. Donc les gens embarquent la lib.
C'est différent du réseau ou d'un serveur, ou on veut que ça soit solide, sans avoir une tonne de fonctionnalité rapidement.
Faire payer la stabilité, on sait faire, les gens comprennent. On sait d'autant plus faire que pas grand monde ne veut le faire gratuitement (s'occuper du vieux code).
Mais la, vu que log4j est embarqué partout, même en payant, ça n'aurais rien changé.
Nous, on pensait que ça pouvait être un traineau.
[^] # Re: Ouille !
Posté par Misc (site web personnel) . En réponse au lien Log4Shell: RCE 0-day exploit found in log4j, a popular Java logging package. Évalué à 10.
De ce que j'ai compris, le but etait surtout son usage dans la configuration de log4j. Vu que log4j vient avec un mécanisme de configuration en XML assez fin, tu peux aussi utiliser ça pour faire le routage de tes logs via une source en LDAP sans toucher au logiciel de base, et de façon uniforme sur tous. Le souci, c'est que ce mécanisme qui est ok dans la config s'est retrouvé aussi exposé dans le code (ce qui est ok aussi), puis exposé à des chaines utilisateurs (ce qui est moins ok).
Mais avoir une fonction "log(toto)", je peux voir comment ça parait innocent. Donc pris séparément, je peux voir pourquoi personne n'a rien vu.
Le souci, c'est le mix de tout ça, lié avec la transparence réseau de java (qui a du être oublié, depuis que Scott Mc nealy ne fait plus de keynotes sur le sujet)
Et la sobriété, tout le monde est pour, sauf quand il s'agit de retirer les fonctions dont on a besoin. La, c'est indispensable bien sur et seul des codeurs nazis voudraient retirer les choses, cf le niveau de certaines discussions passées sur GNOME ou systemd pour l'audace de simplifier l'interface ou de ne pas supporter la sobriété numérique d'avoir 3000 lignes de bash qu'on peut bidouiller de partout pour l'init.
[^] # Re: trop de fonctionnalités tues les fonctionnalités?
Posté par Misc (site web personnel) . En réponse au lien Pixel (and Microsoft Teams) prevented me from calling 911. Évalué à 3.
Du coup, je suppose que ce bout la est au niveau de l'écran de verrouillage.
En fait, on parle de l'application téléphone, mais il y a peut être plusieurs bouts spéarés (eg, le clavier, et le backend pour faire les appels).
Je pense que la plupart des utilisateurs ne feraient pas gaffe et dirait juste "oui". Les appels d'urgence, on y pense pas vraiment.
Et l'obligation sur les appels d'urgence, ça me rappelle aussi les alertes AMBER aux états unis. Je ne sais pas si c'est mon téléphone en particulier ou Android, mais la première que j'ai reçu une alerte, c’était un bruit de sirène à un volume assez fort. Et sur mon téléphone, je ne peux pas le désactiver ça (ou en tout cas, j'ai pas trouvé comment).
En lisant WP, j'ai vu que l'alerte a été activé une fois à 4h du matin en 2013, je pense que je n'aurais pas été de bonne humeur ce matin la.
[^] # Re: trop de fonctionnalités tues les fonctionnalités?
Posté par Misc (site web personnel) . En réponse au lien Pixel (and Microsoft Teams) prevented me from calling 911. Évalué à 2.
Mais que je sache, Teams est pas installé par défaut sur android. Donc quelqu'un a choisi de l'installer (que ça soit imposer par ton employeur sur le tel de la boite ne change rien au fait que quelqu'un a fait le choix).
Ensuite, je sais pas pourquoi Teams peut recevoir l'Intent android de donner un appel, mais si Teams fait de la VoIP, c'est pas du tout déconnant de donner la permission de faire des appels.
On peut se poser la question de donner par défaut ou pas la permission, mais en général, les gens s'attendent à ce que les applications marchent sans avoir à faire 45 réglages de plus après installation.
Et pareil, on peut pas raler sur les dialogues de Vista qui demandent de tout confirmer (et qui du coup desensibilise les utilisateurs aux dialogues), puis raler que les applications ne demandent pas à chaque fois de confirmer chaque détail obscure.
C'est regrettable d'avoir eu un bug dans Teams, bien sur, mais les bugs, ça arrive à tout le monde.
On peut regretter l'état des OS pour téléphone qui ne te permettent pas de changer les libs au pif (chose qu'on peut pas vraiment faire sur une distrib classique non plus), mais on peut pas vraiment dire que la communauté du libre s'est mobilisé non plus pour aider les téléphones libres au fut et à mesure des années. Je me souviens des discussions sur l'openmoko, à base de "600€ c'est trop cher" et "ç'est moins bien que mon iphone, je vais garder mon tel". Il y a eu d'autres problèmes bien sur, mais le kernel ne s'est pas écrit en 1 jour non plus.
[^] # Re: trop de fonctionnalités tues les fonctionnalités?
Posté par Misc (site web personnel) . En réponse au lien Pixel (and Microsoft Teams) prevented me from calling 911. Évalué à 3.
Ensuite, on est aussi les premiers à raler si on peut pas utiliser un autre moteur de rendu HTML dans un navigateur sur un téléphone (cough iphone cough).
Il faut à un moment savoir si on veut pouvoir étendre l'os et remplacer des bouts (et dans ce cas, le bout qui fait des appels), ou si on veut un OS qui interdit de remplacer certains bouts.
[^] # Re: Une analyse assez foireuse
Posté par Misc (site web personnel) . En réponse au journal Coût de piratage des serveurs Linux. Évalué à 7.
Ça, ou peut être qu'Oracle va demander sa part si quelqu'un arrive à obtenir de l'argent avec sa DB.
J'ai pas lu les conditions d'utilisation, mais je serait pas étonner que ça soit dedans :p
[^] # Re: hein?
Posté par Misc (site web personnel) . En réponse au journal Coût de piratage des serveurs Linux. Évalué à 5.
C'est sur que si le ransomware a le même effet qu'une mise à jour foireuse de ton kernel qui ne monte plus un FS parce que "insert bug à la con", ça va faire peur à personne.
"ah ah, j'ai supprimé le son sur ton poste de travail sous Debian unstable, tu va devoir payé une rançon" "ah bon, c'est une mise à jour de pipewire ?"
# Une analyse assez foireuse
Posté par Misc (site web personnel) . En réponse au journal Coût de piratage des serveurs Linux. Évalué à 10.
En fait, quand on parle de failles en parlant des OS, c'est une comparaison foireuse. Par exemple, si quelqu'un expose un Jenkins ou un Wordpress troué sur internet, personne ne va dire "c'est une faille de Linux". Par contre, si un poste de travail se retrouve infecté, et qu'un malware efface les données des serveurs Windows (ce qui est le cas des ransomware), ça devient d'un coup une faille lié à l'OS.
L'exemple de Manutan est assez parlant. Microsoft dit "il faut faire les mises à jours", le responsable du SI dit "on a 800 serveurs, on peut pas". Puis "on a eu des alertes, mais on a pas regardé".
Je comprends que l'informatique, c'est difficile, et je ne doute pas que la situation vis à vis des mises à jour est loin d'être simple. J'ai aussi du m'occuper de remettre en état des infras pourris, ça coûte de l'argent (sous forme d'ingé qualifié) qu'on a du mal à trouver. Et j'ai beau dire "faut passer à de l'automatisation", c'est plus facile à dire qu'à faire (car la, les 800 serveurs, ça a été fait à la main de ce que je comprends).
Mais quand on regarde l'histoire, l'attaque a commencé par un phising. Est ce qu'on va compter ça comme une faille windows ? Visiblement oui. Je suppose qu'à partir du phisig, il y a eu obtention d’accès plus élevés sur les serveurs, puis la cata.
Et les serveurs qui ont été touchés sont ceux avec des données qui impacte la boite (exchange, AD, applicatifs maisons).
Du coup, ça pose la question de la place de Linux dans le SI.
Si ça sert à faire dhcp/dns, ça va pas être malin de le foutre en l'air, vu que ça coute moins cher de réinstaller vu qu'il y a pas de données. Et du point de vue du pirate, il ne faut pas mettre en l'air la compta et la DB Oracle/SAP (qui en général tourne sous RHEL/Suse), sinon personne ne va pouvoir payer la rançon.
D'une part que le département financier doit pouvoir fonctionner, et d'autre part parce qu'il resterait plus de thunes après le passage d'Oracle pour refaire marcher la compta.
Le but, c'est quand même le pognon.
# Les joies des fausses news
Posté par Misc (site web personnel) . En réponse au lien Pas d'argument? Invente avec grand mots : analyse de la création et de la propagation d'un mensonge. Évalué à 3.
C'est intéressant de voir le coté transnational des complotistes (en l'occurence, la rumeur est parti d'angleterre, puis de californie, puis est revenu en France via france soir et le reste des complotistes). Les mêmes thèmes reviennent, mais s'adaptent à un contexte propre dans chaque pays.
Des fois, ça colle pas (parce que venir chouiner sur l'immigration du mexique, ça passe pas trop en France), et des fois, ça s'accroche mieux (exemple, ici).
Mais bon, c'est aussi lié à la production constante de fausses news. Tu produis et tu regardes ce qui survit, c'est rien de magique.
[^] # Re: Azure Vs Openstack
Posté par Misc (site web personnel) . En réponse au journal Comment j'utilise Azure pour FusionForge. Évalué à 3.
Alors le projet Enough a tenté ça:
https://forum.enough.community/t/testing-another-openstack-provider/650
Chaque fournisseur a son cocktail maison des softs du projet, dans des versions différentes, des réglages différents, etc.
Les images sont sans doute pas non plus les mêmes (ce qui est toujours un grand moment de fun), ou ne sont pas toujours dispo. Et bien sur, rien n'a le même nom dans les types de machines, les ID des disques, etc.
Donc c'est sans doute un peu plus portable que de passer de ec2 a azure, mais c'est pas non plus la joie. Tu va devoir sensiblement faire autant de modification et de tests, avec parfois des résultats pas terribles (les tests de Fuga dans l'article plus haut)
Le vrai risque, c'est à mon avis pas dans le fait d'utiliser ce que tout le monde propose (des VMs, du stockage en mode objet à la S3, etc), mais le reste.
[^] # Re: Petit commentaire
Posté par Misc (site web personnel) . En réponse au lien VKontakte contrôlé par l'État russe. Évalué à 2.
Dans mon souvenir, c'est sur Vkontakte que l’extrême droite US s'organise de nos jours:
https://www.thedailybeast.com/american-alt-right-leaves-facebook-for-russian-site-vkontakte
Je ne serais pas surpris que ça soit pareil en France et ailleurs en Europe.
[^] # Re: Une transition loin d'être suffisante en France
Posté par Misc (site web personnel) . En réponse au lien Transition vers IPV6. Évalué à 2.
C'est vrai, mais d'un point de vue technique, c'est quoi la différence ?
Si les téléphones supportent IP v6, alors les puces GSM/modem aussi. Je peux imaginer que ça ne soit pas le cas de tout le parc, mais la, ça a l'air d'être quasiment rien, et si les puces supportent la 4G, c'est pas si vieux que ça.
Donc je suppose que c'est l'OS du routeur le souci, mais c'est sous le controle du FAI, et y a pas trop d'excuse.
J'ai un modem 4G dans mon PC (sim Orange), et je viens de tester, si je coupe l'IP v4, j'ai une IP v6 dispo.
Le dual stack n'a pas l'air dispo, mais je peux aller en IP v4, et orange a l'air d'avoir mis du dns64: