Misc a écrit 6286 commentaires

ça ouvre un marché pour que des boites fournissent ça, que ça soit en logiciel classique (avec presta normal), ou en sous traitance avec le client qui fournit l'infra et un presta qui fait du service géré en SaaS sur l'infra du client.

Je vasi citer les offres de mon employeur parce que c'est les seuls que je connais, mais c'est par exemple le modèle choisi pour https://www.openshift.com/products/amazon-openshift
avec des trucs d'IA par dessus https://www.redhat.com/en/technologies/cloud-computing/openshift/openshift-data-science

La, c'est pas le meilleur exemple parce que c'est sur AWS et c'est encore une boite américaine, mais si tu as un socle cloud plus ou moins standard, c'est un truc à explorer.

Ensuite, possible ne veut pas dire rentable, et la flexibilité d'openstack ou de kubernetes fait que tu n'a pas de garantie qu'une infra déployé sur X se déploie sans souci sur Y, à cause des versions d'API, etc.

Encore plus de lien et de discussion:
https://news.ycombinator.com/item?id=27234542

Andrew Lee réponds sur HN

Je pense qu'il y a une différence dans ta comparaison entre
les distributions Linux et XMPP. C'est à partir du moment où
c'est dans ma distribution, je peux l'utiliser. Or, à partir
du moment où ça arrive dans mon client XMPP, ça ne veut pas
dire que c'est utilisable avec le serveur que j'utilise et/ou
avec le client de mon correspondant (et s'il y en plusieurs,
c'est encore pire).

Oui, l'analogie a ses limites et c'est aussi pour ça que j'ai pris l'exemple du VPN. Par exemple, je veux déployer Wireguard mais il n'est dispo sur le serveur (car j'ai un serveur sous Fedora), mais j'ai pas le support sur mon portable (car j'ai une RHEL 7).

Faire évoluer un écosystème, c'est beaucoup plus long quand tu ne le contrôles pas de bout en bout, cf le post de blog de Moxie sur Signal et les clients alternatifs.

C'est aussi à mon avis une des raisons de la création de Chrome par Google, à savoir ne pas attendre sur le W3C.

(après, pour les distribution, on pourrait aussi dire que pour
beaucoup d'outil, on peut les installer à la main à partir du
moment où ils sont disponible, c'est plus rapide que de coder
la fonctionnalité dans son client XMPP, mais c'est un peu du
détail qui n'est pas pertinent pour la discussion)

Oui, c'est un continuum. Ton exemple de compiler son logiciel est valable, mais quid de faire un backport d'un patch du noyau sur ton noyau courant, ou de devoir tirer les dépendances, de gérer le support officiel.

C'est plus lié à la transparence qu'au logiciel libre (genre,
personne n'a les infos en avance avec Android). On peut très
bien avoir une boite qui communique en avance sur son logiciel
propriétaire (mais peu le font pour éviter ces frustrations).

Android est pour moi une exception (que j'oublie), mais je vois ce que tu veux dire.

Et communiquer à l'avance pour une boite, c'est tout un art.

Ça se voit assez dans les jeux vidéos, avec par exemple le buzz autour de Cyberpunk 2077 sur plusieurs années, les développeurs indépendants qui ont leur propre blog (ou des campagnes kickstarters) ou Nintendo qui va juste dire "au fait, on va sortir ça dans 2 mois 敬語" en te montrant un nouveau jeu Mario.

Par contre, on sait ce que font les maladies sur plusieurs jours.

Et on sait aussi ce qui arrive quand il n'y a pas de vaccins et juste des quarantaines. Je peux citer la peste noire en 1300, la grippe espagnole de 1918, l'épidémie en cours du SIDA, les histoires de SRAS-CoV-1, etc.

Et on sait aussi qu'une partie de la population va être facilement manipulable par des charlatans (depuis toujours) qui vont exploiter des biais cognitifs, que ça soit des dérives sectaires ou des anti-vaccins.

https://twitter.com/ariadneconill/status/1395372472585924609

"tomaw has resigned from freenode staff, if you're wondering how that's going"

Freenode a déjà eu une brèche en 2014, ça a pas eu l'air d'avoir trop d'impact.

Il y a aussi l'email associé au compte (et je sais pas si c'est publique). Email sans doute largement publique grace à git.

Fondamentalement, je pense que le risque était aussi que quelqu'un enregistre les discussions privés, mais si le seul rempart contre ça, c'est un groupe d'ircops sans supervision externe, c'est assez faible.

Déjà, on ne pourrait effectivement pas plus le savoir qu'avant (vu que dans mon souvenir, le staff est root sur le serveur: https://freenode.net/support)

Il n'y a pas non de garantie que le sponsor ne soit pas vérolé (exemple, filer une VM, faire un snapshot de la ram et du disque, et adios le SSL), maintenant pas plus qu'avant.

Et comme les serveurs et le staff sont un peu partout dans le monde, j'imagine que le risque juridique théorique est assez haut. La question de l'insécurité d'utiliser des providers de cloud soumis à la loi US n'est curieusement jamais évoqué pour Freenode, alors qu'il n'y a pas de service juridique (cf justement le nœud de l'affaire).

Donc Freenode n'a jamais été un endroit vraiment sur.

Parce qu'il y a cette ambivalence entre le problème technique
(évolution suivie aléatoirement entre les clients) et le
problème d'image.

En fait, le souci, c'est fondamentalement le même que pour le logiciel libre.

Je vais prendre l'analogie de Apple et de Whatapp, et d'une distro libre et de XMPP.

Quand Apple décide de rajouter une feature, personne ou presque ne le sait, et un jour, y a une grande messe et paf, tout le monde en parle. Par exemple, rajouter le support d'un VPN comme wireguard. Si Apple rajoute ça, ça sera utilisable quand ça sera disponible pour le public.

Sur une distribution Linux, dés qu'un truc est codé (ou avant), tu sais que tu pourrais l'avoir, mais tu va pas l'avoir, car c'est pas dans une version stable (exemple, wireguard). Ensuite, c'est pas dans la version de ta distro, donc tu dois attendre. Et une fois que c'est dans la distro, il faut utiliser la feature (genre attendre que Networkmanager ou system le propose).

Du coup, l'impression, c'est que le libre est plus lent et pas fini, parce que justement, le processus de développement transparent fait qu'on voit les choses avant que ça soit fini (et fondamentalement, on sait pas combien de temps Apple va mettre pour rajouter un VPN, et on a pas besoin de savoir).

Pour XMPP, c'est pareil. Whatapp rajoute le support de n'importe quoi, tu va en entendre parler quand tu pourras l'utiliser, pas avant. Pas de frustration, même si ça mets 5 ans en interne et des réunions ou les gens pinaillent sur la casse d'un attribut.

Avec XMPP, tu va voir comment c'est fait, comment ça avance (ou comment ça patine), puis attendre que la spec soit prise en compte par les clients, les serveurs, et attendre la mise à jour. Ça va prendre du temps, et forcément, les gens vont se dire comme pour le libre, que c'est pas fini. Mais c'est parce qu'on voit beaucoup plus.

La frustration d'avoir des choses qui sont imparfaites, c'est le prix qu'on paye pour la transparence et pour avoir des gens qui vont dire "c'est en cours".

Et j'ai pas de solution, à part avoir un peu d'esprit critique sur nos propres réflexions, et notre position personnelle vis à vis de l’écosystème du logiciel libre.

Oui, alors que les opérateurs de Libera aurait pu ne pas ouvrir la réservation de salon et attendre un peu pour truc de migration (genre, vérification que ton compte sur freenode est le même, ou ce genre de choses).

Mais je suppose que c’était plus urgent de faire peur à tout le monde.

Il faut comparer ce qui est comparable :)

Bah, je compare les utilisateurs, en sachant que les gens sont en général sur plusieurs serveurs irc, mais que les gens ont rarement besoin d'avoir plusieurs comptes XMPP. Et qu'au final, on se retrouve à avoir les mêmes ordres de grandeurs.

Et mon point est qu'il y a grosso modo autant de gens motivés à faire tourner des serveurs ircs (en supposant que la tache de faire un serveur xmpp est équivalente à faire tourner un réseau irc) que de gens qui vont faire tourner un serveur xmpp.

L'un n'est à priori pas plus chiant que l'autre.

Alors oui, la modération est stressante.

Mais le boulot des gens de la WMF, ce n'est pas de la modération, la WMF ne gère explicitement pas le contenu, mais les projets, les fonds, les serveurs, les événements, les partenariats, etc.

Oui, et le site n'est pas mis à jour en plus.

Ceci dit, ça fait une moyenne à 100 utilisateurs par noeud.

Si on prends le compte de 750 serveurs sur le site de vérification de conversation.im, et qu'on garde les 55% permettant l'inscription (https://compliance.conversations.im/test/xep0077/), on arrive à 375 serveurs avec inscription.

Et donc, on peut dire au minimum 37 500 personnes actives sur la féderation, ce qui est plus que tout les réseaux IRC sauf Freenode d’après https://netsplit.de/networks/top10.php

Et tout les serveurs ne sont pas sur compliance.conversation.im, par exemple, il n'y a pas celui de la FSFE, et je connais des particuliers qui n'y sont pas non plus.

Alors bien sur, c'est des stats à la truelle (car 100 personnes par noeud, ça me parait beaucoup), mais j'ai pas réussi à trouver mieux après des longues secondes de recherche.

Ça m'étonnerait pas que d'autres gros projets aient aussi
leurs propres serveurs IRC.
Alors de tête.

Python était sur freenode, va sur libera.

KDE est passé à Matrix, Mozilla aussi, et Gnome semble vouloir y passer aussi.

Debian, tor, Ovirt sont sur OFTC.

Alpine etait sur freenode et va sur OFTC.
Openstack est sur freenode, n'a pas décidé d'ou aller.

Centos était sur freenode et va sur libera.

Gluster sur Freenode (mais surtout sur slack).

Perl est sur irc.perl.org

Fedora était sur freenode mais passe à Matrix (et libera).

Suse est/était sur freenode.

Kubernetes est sur slack depuis le début.

Donc y a que Gnome/GIMP et Perl avec leur propre serveur irc.

Ensuite, y a d'autres projets. Le CCC a son réseau, divers ISP associatifs aussi.

Pas tout le monde ne va sur les gros réseaux IRC. C'est aussi
ça l'avantage d'un logiciel libre de communication
décentralisé: pouvoir faire ses propres instances.

Bah moi, je suis convaincu du bien fondé de XMPP, mais visiblement, c'est pas le cas de tout le monde car personne n'en parle.

Et pourtant, quand on regarde les chiffres, il y a ~750 serveurs sur https://compliance.conversations.im/ (à comparer avec les 487 réseaux IRC)

et 5000 users pour 52 noeuds sur https://the-federation.info/protocol/xmpp (ce qui est trop peu, car il y a plus que 52 serveurs).

Alors, TF et Geeknode, c'est quand même franco-français. (genre Geeknode a un site web uniquement en francais, TF a un site traduit, mais les documents sont juste en français, etc.

Je sais qu'il y a plein de serveurs irc (487 publiques sur https://netsplit.de/networks/ et j'ai aussi un serveur irc, j'ai un collégue avec son serveur, etc), mais le but était d'avoir un truc dédié aux logiciels libres, et si possible avec des synergies avec d'autres communautés.

Et sans doute que tout le monde a pensé à un réseau de son pays, mais personne ne l'a dit. Les logs sont la:

https://meetbot.fedoraproject.org/ansible-community/2021-05-19/ansible_community_meeting.2021-05-19-18.00.html

(conclusion "attendre 1 semaine")

Bah, non, il suffit juste de faire du bruit et de jeter de l'huile sur le feu. Parce que pour le moment, le changement de gouvernance n'a rien changé du tout, et que je sache, les utilisateurs n'avaient pas à voter pour les ircops, pour les sponsors, les volontaires ni rien.

Donc j'ai l'impression que c'est surtout la gouvernance pour le staff qui a changé, pas trop le reste du monde.

Ensuite, la communication est anxiogène. Par exemple

"The freenode user base should consider very strongly that a hostile entity is now in operational control over the network, and is in possession of your data".

C'était deja le cas en 2014 quand il y a eu un piratage, mais curieusement le staff était plus relaxe et n'a pas dit "il faut effacé votre compte", etc.

Ou encore, je cite "Giving him (or his designated representatives) access would violate the trust of all of our users, and would also be illegal in many of the jurisdictions in which we operate,"

Pareil, c'est des formulations assez fortes mais imprécises.

"illegal in many juridiction", ça me fait doucement rire car comme d'hab, à aucun moment il n'est dit pourquoi ni quel juridiction. Sachant que d'autres parlent aussi de "gag order" (qui est un terme juridique précis, et clairement pas un truc qu'un avocat peut imposer), je pense que soit ils utilisent des mots dans le but d’enflammer les gens, soit ils sont mauvais en droit.

Et il y a quelque points d'ombre qui me dérange.

Déjà, le principe d'avoir une panique. C'est louche, et en général, c'est que quelqu'un a voulu poussé à la panique.

Ensuite, l'histoire du harcèlement de Christel. Curieusement, ça n'en parle pas.

Ou savoir qui a publié le draft de la lettre il y a quelque jours et comment elle est arrivé sur HN. Si c'est un draft privé, ça me parait louche.

Ou pourquoi tomasz reste alors que visiblement, il a été élu par le reste du staff (donc logiquement aligné avec la position des autres).

Je suppose que tout le monde va partir sur le nouveau réseau (après visiblement moins de 24h de réflexion), mais c'est visiblement pas le premier split de freenode (en 2006 https://news.ycombinator.com/item?id=27210619 ), et les gens du staff qui sont la depuis plus de 20 ans, donc certains étaient aussi impliqué à l'époque.

On peut se dire qu'un probléme tout les 7 ans (2006 (perte de mot de passe, split de freenode), 2014 (data breach), 2021 (split)), c'est peu.

Mais en général, la plupart des projets libres ont 1 souci de sécurité ou de fork sérieux dans leur vie au maximum.

Et la, ça fait bien plus que la moyenne quand même, et je sais pas pourquoi exactement.

https://www.vice.com/en/article/m7ev8y/freenode-open-source-korea-crown-prince-takeover

Le titre de l'article est magique.

L'avantage d'IRC c'est qu'il y a de nombreux autres réseaux et
que la migration n'est finalement pas si complexe que ça
(avantage lié à la simplicité du service et à la quasi absence
de stockage de données).

Alors il n'y a pas tant de réseaux. J'ai participer à la réunion pour Ansible et finalement, il y a eu 2 choix. Libera.chat et OFTC. Personne n'a pu donner d'autres exemples.

Ensuite, ça reste long et chiant car tu dois:

• créer des comptes pour tout le monde
• contacter les admins pour te filer un espace de nommage (admins qui sont sous l'eau parce que la communauté du libre est incapable d'attendre, parce que les admins ont aussi jeté de l'huile sur le feu)
• bouger les bots
• demander parfois des permissions pour les bots (genre joindre plus de 20 salons)
• bouger d'éventuels ACLs sur les salons (sans export)
• recopier les topics
• modifier la doc un peu partout
• communiquer et gerer les gens qui viennent te dire "il se passe quoi"
• redonner les cloacks aux gens qui en avaient avant
• bouger tes salons matrix quand applicable

Bref, c'est pas complexe, mais c'est long et manuel. Et encore, j'oublie peut être des trucs.

C'est la vie en communauté…

Alors, plus ou moins. il y a des communautés moins problématiques que d'autres.

Après, ton exemple est caricatural (je ne connais pas assez
mais j'ose croire qu'il pourrait en être autrement, si plus de
moyens pour payer plus de monde que la gestion des emmerdeurs
soit plus diffuse)

Je pense pas que ça soit une question de moyen, ni même une question de personne. Pas une question de moyen car le souci n'est pas de ne pas avoir assez de monde, mais l'attitude d'une part de la communauté vis à vis de la fondation, et pas une question de personnes, parce que ça se retrouve dans différentes communautés linguistiques. Mais j'ai un fichier ODP entier en préparation sur le sujet sur comment c'est un probléme systémique qui va au delà des individus (parce que je suis sur que tout les gens sont charmants pris à part).

et la plupart du temps ça marche pas mal dans les fondations,
en tous cas mieux que quand une personne contrôle.

Alors je dit pas que les fondations ne marchent pas. Mais je ne suis pas d'accord sur le fait que ça va marcher significativement mieux qu'une personne unique. Il y a plein de projets sous le contrôle d'une seule personne et ça marche pas mal.

La ou la fondation aide (quand c'est bien fait), c'est sur la résilience en cas de souci des fondateurs, et quand c'est dans l'ADN de justement faire circuler les gens.

Mais comme tu dis avec la FSF, quand tu es une fondation avec à sa tête quelqu'un qui pose probléme, ça change rien.

Et je pense que par rapport à la masse de projets avec 1 personne et de fondations, il y a beaucoup plus de cas ou ça marche que de cas ou ça ne marche pas, donc on ne peut pas vraiment juger, car l'échantillon est trop petit.

Sauf que une fois que tu fais la paperasse, ça appartient à la fondation/association, et tu as à nouveau des tensions. L'exemple le plus flagrant, c'est Wikipedia et la WMF

Tu pourrais croire que tout le monde bosse ensemble, mais même pas.

Un truc qui m'a choqué, c'est que la fondation paye pour ses employés un nombre illimité d'heure chez un psy pour gérer le stress. C'est bien, mais quand je me demande "pourquoi ?".

Et pour moi, c'est un peu glauque de me dire que le travail (à savoir être au contact de la communauté wikipedienne) est tellement stressant que l'employeur estime qu'il doit te payer un nombre illimité de séance.

Mais les erreurs se répètent parce que la décentralisation n'est pas "gratuite", dans le sens ou c'est plus efficace de centraliser, et donc tant que ce genre de dynamique sera la, ça va continuer.

On peut voir ça avec Mastodon, ou les gens vont sur le serveur principal, c'est vrai, mais ou les serveurs autres ont en partie disparu après un temps (pas tous bien sur). Exemple, witch.town, etc.

Et je crois me souvenir que c'était pareil avec XMPP (surtout vu que le choix du serveur avait un impact plus grand sur les features que maintenant, je pense).

C'est d'autant plus un souci que la majorité des utilisateurs n'ont pas leur propre nom de domaine, et que je ne pense pas qu'on puisse de toute façon supposer qu'on puisse avoir un NdD par personne. Et on est coincé avec le nom de domaine comme brique de base pour l'identité d'un service ou d'une personne sur internet pour le moment (bla bla triangle de zuko).

Donc du coup, oui, c'est important de décentraliser, mais à coté de ça, il faut plus que dire "ça serait bien de".

Si la migration de A vers B est coûteuse (en temps) ou impossible, alors les gens vont pas bouger, et si les gens ne bougent pas, alors ça a du sens d'aller la ou tout le monde va.

Et le fait d'avoir la migration pensé "après coup", ça se voit sur les trucs modernes comme les vieux (exemple, Matrix, mastodon). Et ça se voit aussi parce qu'il est par exemple impossible de renommer son compte (et je pourrais dire que c'est aussi un souci d'inclusion, vu que les gens qui vont changer de nom, c'est quand même plus souvent les femmes ou les personnes trans, par exemple).

Tu peux sans doute rajouter aussi "DNS as a service". Je pense que tout le monde a besoin pour une infra cloud un peu dynamique, et malgré les efforts fait pour avoir 20 API différentes, c'est quand même classique.

Il aurait aussi pu être sage d’éviter les rassemblements à plus
de 1000 personnes pendant cette durée supplémentaire

Bien sur, mais c'est ce que je dis, garder les choses fermés.

Et à ce niveau, je pense que l'arbitrage est assez simple. Les personnes qui ne veulent pas d'événement de plus de 1000 personnes n'en font pas et n'y vont pas. Les autres vont avoir le passe.

Si suffisamment de monde refusent ce genre d’événement (on va dire une grande majorité), alors il n'y aura pas de probléme de traçage à grande échelle vu qu'une grande majorité ne va pas s'habituer (pour reprendre les termes de la CNIL).

Par contre, le risque d'habitude se pose si une grande majorité vont à ce genre d'événement, mais dans ce cas, ça prouve qu'une grande majorité voulait reprendre ça.

Je te rejoins dans le fait d'éviter ça (et même avant la pandémie), mais la question n'est pas exactement de ce que je veux pour moi, mais finalement de ce que vont faire les autres.

Et je pense que le système proposé est un compromis entre "on voit personne mais on devient dépressif" et le "on voit du monde, mais on risque d'être malade", qui semble refléter les demandes contradictoire de la société française. Comme tout compromis, il ne va pas rentre tout le monde content, bien sur.

Et je pense aussi qu'on sait que les mesures ne sont jamais respectés à 100%, et franchement, si quelqu'un compte sur le respect parfait de quoi que ce soit sinon tout tombe à l'eau, il y a un probléme.

Donc oui, sans doute qu'un ou plusieurs évènements vont avoir des gens qui mentent, tout comme il y a des histoires qui circulent sur les médecins qui font des faux certificats, etc.

Mais est ce que ça va être fondamentalement plus impactant que les X% de non efficacité du vaccin (voir même, est ce que ça rentre pas dans ces X% justement) ?

Je ne pense pas.

Moi, je vois ça comme un moyen de faire pencher des gens indécis vers la vaccination.

C'est vrai, ce n'est pas le probléme actuellement en France. Mais pour une fois qu'on essaye de régler un probléme avant qu'il arrive (et qu'on sait qu'il va arriver, encore une fois, la présence d'anti vaccins en France est connu depuis plusieurs années), je pense qu'on peut prendre le temps de réfléchir en profondeur sur l'impact.

Tu veux dire que les gens se font vacciner que pour des clous ?

(non j'ai pas honte de mes blagues)

Pourquoi ce vaccin obligatoire alors que les autres sont plutôt
pour des maladies infectieuses ?

Parce des mouvements antivaxx ont fait des procès par la passé, et que ça doit refroidir les envies d'aller plus loin:

https://www.slate.fr/story/136997/vaccinations-les-anti-gagner

Par exemple la personne qui a la gastro et fait la bise à toute
l'entreprise aux risques de les contaminer, et si d'autres
l'attrapent il te dit ce n'est pas de chance où l'a-t-il
attrapé ?

Le virus responsable de la gastro a le bon goût de résister super longtemps en dehors du corps. L'an dernier, quand j'ai voulu voir les questions de "choper le Covid-19 par serrage de main", j'ai lu des papiers. J'ai pas tout compris et j'ai pas gardé les URLs, mais j'ai surtout retenu que:
1) la surface joue beaucoup (le cuivre par exemple avait l'air d'être assez destructeur pour la membrane)

2) le virus de la gastro "survit" même dans le froid (genre frigo) 1 ou 2 semaines, ce qui est bien plus que le SRAS-CoV2 à l'époque (qui était évalué de quelques minutes à quelques heures, suivant la quantité de matiére viral que tu utilises comme limite).

Je mets survit entre guillemets, car un virus n'est pas vivant. Donc ce qu'on mesure, c'est, si j'ai bien compris, la persistance du matériel génétique sur le long terme, en supposant que c'est si c'est pas touché, alors c'est encore dangereux, sous conditions de trouver un moyen de rentrer dans ton corps.

Du coup, pour la gastro, bah, tu peux choper un peu n'importe ou pendant plusieurs semaines. Si tu te laves pas les mains, ça va être une poignée de porte, une lettre, etc.

La preuve:
https://www.santepubliquefrance.fr/les-actualites/2021/gastro-enterites-aigues-bilan-de-la-surveillance-hivernale-2019-2020

"Une forte diminution de l’activité à des niveaux historiquement bas, très probablement en lien avec les mesures mises en place durant la pandémie de Covid-19"

Mais on dit déjà aux gens de se laver les mains régulièrement, donc tu voudrais dire quoi de plus ?

https://blog.bofh.it/debian/id_461 aussi

Ça vient juste de tomber:

14:05:20| [freenode] -jess(jess@freenode/staff/jess)- [Global Notice] Hi all. It feels like my moral responsibility to inform all users that administrative control of freenode and its user data will soon change hands, and I will be resigning from freenode staff effective immediately. It's been an honour to help you all.