il n'a que 2 couleurs, et pour un logo c'est essentiel,
histoire de pouvoir être mis à toutes les sauces tout en
restant reconnaissable (par exemple en favicon noir et blanc ou
autre)
Enfin quelqu'un qui se penche sur les contraintes pratiques des logos.
J'ajoute qu'au dela de la question du noir et blanc, il y a aussi le fait d'avoir des tshirts moins cher
Et en effet, certaines demandent de l'argent, ce qui ressemble plus à une tentative de troll qu'autre chose. Les spammeurs ne vont pas payer (ça laisse une trace), les entreprises non plus (vu les tarifs et les conditions de paiement), et les particuliers non plus.
Donc je pense que c'est juste un moyen de réduire le support du coté des gens qui font la liste, car je ne vois pas vraiment ce genre de business avoir assez de succès pour financer autre chose qu'une bière par an.
J'ai commencé à me pencher un peu plus sur ça, car un serveur de listes de discussion dont je suis responsable a commencé à avoir beaucoup de spam à modérer (15 par jour).
Donc j'ai pris les logs, j'ai regardé les spams qui passent et j'ai quel RBL me permet de bloquer ça via Postfix (la stack logiciel était un chouia trop vielle pour faire plus, et j'ai repoussé l'upgrade trop longtemps, donc je me suis limité à des options simples).
Aprés 2/3j de vérif au doigt mouillé, j'ai pris "UCEPROTECT Blacklist LEVEL 3" en me disant "la description me parait pas mal".
2j après, j'ai un utilisateur qui m'a écrit, assez mécontent, pour me dire qu'il est bloqué sur son serveur auto administré chez linode.
Et en effet, en fouillant un peu, je vois que le site de uceprotect a un design des années 2000, et que ça ressemble à un projet d'une personne dans son coin. Et surtout que les 3 listes ne sont séparés par provenance comme la description sur dnsbl.info le laisse croire, mais par taille du blocage. UCE 1 => 1 serveur, UCE 2 => 1 range, UCE 3 => 1 ASN.
Du coup, en effet, c'est efficace mais problématique.
Et c'est ma faute, car j'ai:
- pas vérifié sommairement le site de la DNSBL
- pas fait de tests sur les faux positifs de la liste
- pas pris le temps de mettre en place un système plus souple que "ça passe, ça passe pas" (genre spamassasin)
À refaire, la bonne solution me semblerait de d'abord faire un serveur qui récolte les IPs et les mails des envoyeurs (via un filtre postfix). Aussitot, le serveur regarde les scores sur les DNSBLs, et je regarde si les envoyeurs sont sur une liste, pour classer en probablement spam, ou probablement pas spam.
À partir de la, on peut calculer une matrice de confusion de chaque DNSBL sur une période donné pour le traffic de son propre serveur et choisir.
Il y a des listes plus ou moins sérieuses, mais c'est assez difficile de choisir, car tout le monde y va de son analyse à l'arrache, au lieu de chercher des chiffres et d'avoir une approche plus scientifique (ce que je comprends, j'ai fait pareil).
Je pense que ce genre de discussion souffre d'un énorme point aveugle.
Le logiciel libre tel que les gens le comprennent a déjà une notion de morale. Si on prends RMS (et donc la FSF), il explique en long en large et en travers que le logiciel libre est une question éthique et morale.
C'est sur la page de la FSF. En Français. Depuis 2002:
C'est sans doute aussi dans sa bio, ses interviews, et dans ses conférences. Et le devoir éthique de partager le code est tellement fondateur pour une partie la communauté du libre que c'est au cœur de la GPL, et de ses dérivés et mises à jours.
L'AGPL s'occupe de la question des réseaux, la GPL v3 celles des DRMs et des brevets, des questions qu'on estime assez grave pour interdire des choses aux utilisateurs.
Donc la question n'est pas la morale et l'éthique, car le logiciel libre (et plus précisément le copyleft) vient avec ses valeurs.
Et une fois qu'on prends conscience de ça, je pense que la question change subtilement.
Si le libre a des valeurs morales et éthiques, pourquoi est ce qu'on ne les considère pas comme tel dans les discussions ?
Et donc, qu'est ce qui distingue ces valeurs d'autres.
Après tout, pourquoi est ce que le fait de ne pas permettre de mettre à jour du code est vu comme un problème éthique à adresser plus grave que des questions un peu plus consensuels sur la vie humaine par exemple ?
Et je parle pas de la question du comment faire, car je ne pense pas que la licence soit le bon moyen pour ça.
Perso, je pense qu'il serait plus efficace de partir sur des déclarations d'intentions comme "je déclare refuser d'aider quelqu'un qui + X". Après tout, ça ne serait pas différent de refuser de passer du temps gratos à coder des correctifs pour aider une banque en galère un vendredi soir, une chose que tout le monde va trouver normal dans le libre.
Mais on est pas capable de penser à autre chose que la licence pour ça, parce qu'on est pas vraiment au niveau du comment dans la discussion.
On est au degré 0 des questions éthiques. Vu les discussions ici, je pense qu'on ne voit même pas que le libre a déjà une composante éthique et morale (vu que ce journal parle d "introduire la morale dans les données du problème", ça montre bien qu'on suppose que c'est pas le cas).
Un autre exemple, c'est l'histoire récente avec l’université du Minnesota. Lire les réactions de certains de mes collègues et de gens sur le web m'a laissé songeur.
Tout d'un coup, beaucoup de gens ont commencés à se préoccuper des questions d'éthiques pour la recherche, et comment l'acte d'envoyer des patchs qu'on sait être mauvais est contre l'éthique et amorale. Des gens vont même mettre le fait de faire perdre du temps à GKH et d'autres au même niveau de problème que de mettre en danger la vie des gens dans la recherche médicale.
Par contre, quand il s'agit de question d'éthique sur l'inclusion des gens dans la communauté du libre, sur les questions de liberté d'expressions, tout d'un coup, il faut être apolitique et non interventionniste. Donc l'éthique ne semble importante que quand on est concerné.
Autre exemple, la FSF et la vie privée. Pour moi, la question de la vie privée est séparé de la question du logiciel libre. Le code peut être libre et ne rien garantir niveau vie privée, le code peut être bien foutu et ne pas être libre. La définition du libre ne parle pas de vie privée, les principes du RGPD ne parlent pas de logiciel libre. Il y a des synergies entre les 2, mais autant qu'entre le libre et d'autres mouvements sociaux (comme les questions d'indépendance national).
Le guide d'auto défense des emails de la FSF est arrivé précisément quand les gens de la FSF ont vu que le gouvernement pouvait les espionner (suite aux fuites de Edward Snowden). Pourtant, c'est rien de nouveau, le FBI a espionné les leaders du Black Panther Party dans les années 60.
Mais voila, le Black Panther Party et la FSF, c'est 2 mouvements assez séparés. Ce qui n’était pas un problème morale assez grave pour avoir un guide ou une campagne avant est devenu soudain important une fois qu'il a été vu que "c'est pas juste les Autres".
Je pense que les exemples illustrent bien le problème, à savoir que les gens ne se préoccupent d'éthique (et de morale) que pour défendre ce qu'ils perçoivent comme leurs droits.
RMS a poussé le copyleft et l'éthique associé pour défendre son droit à échanger du code.
Et pour les autres questions éthiques et morales qu'on peut retrouver dans le logiciel libre, je pense que ça va être pareil. Tant que la communauté sera aussi globalement homogène et globalement non impacté, la communauté ne se préoccuperas que peu de ça, voir va refuser, car ça ne la touche pas (globalement).
Le fait que les questions d'éthique et de morale dans le libre soient poussé en partie par des personnes en minorité dans le libre (exemple, Coraline Ada Ehmke, Shanley Kane) montre que c'est justement parce que la communauté change en se diversifiant que les questions commencent à se poser.
Si une licence introduit des restrictions (qu'elles soit basées
sur la moral ou non), elle sera de facto non libre.
Mais ça pose la question de savoir si lutter contre les DRMs, les brevets ou le proprio est une question de morale, car la position de la FSF et de RMS, c'est que la GPL v3 va aller contre ça et que c'est une question politique et aussi un devoir moral (cf https://www.theguardian.com/uk/1999/nov/06/andrewbrown , cité dans sa bio).
Comme souvent, on va devoir se pencher sur l’œuvre des philosophes français les plus connus de la fin du siècle dernier, en l’occurrence, les Inconnus avec la parabole des Chasseurs:
Je suis sur qu'il y a pas de SPF sur un des domaines que je gère (je viens de vérifier), j'ai installé un nouveau serveur de liste de discussions et Google n'a pas l'air de jeter les emails.
Et les gens m'auraient prévenu si on avait un souci.
Le souci que j'ai eu, c'est que Apache n'est pas exactement fait pour ça, et ça coince parfois par rapport à des cas d'utilisations de vsftpd ou autre.
Par exemple, tu veux avoir plusieurs utilisateurs, voir même que chaque utilisateur utilise un compte unix différent comme avec sftp, ou vsftpd. Apache coince un peu pour ça, car par défaut, le serveur ne tourne pas en root (et je pense n'est pas prévu pour).
Donc d'une part, tu n'as pas accès à /etc/shadow pour l'auth (et en général, je dirait "tant mieux", mais la contrainte de mettre un ldap juste pour ça peut aussi être un souci).
Mais surtout, les fichiers appartiennent tous à www-data, ce qui rends la gestion d'acl sur qui fait quoi un peu plus compliqué qu'avec sftp (ou vsftpd, dans mon souvenir).
Ensuite, c'est pas inhérent au protocole mais à une implémentation.
Mais je pense que c'est aussi pour ça que les gens n'aiment pas trop, car tu te retrouve assez vite à taper dans ce genre de limitation.
Je pense qu'il suffit juste que le projet GNOME fasse le contraire, dire partout "on est GNU, et on rejoint GNU assembly", ou "on est GNU et on veut faire du proprio".
La mention sur le site de la FSF va vite disparaitre :)
On peut quand même reconnaître l'apport de la GPL (et du concept de copyleft) en tant que contournement du système de copyright, dans le sens ou ça a montré qu'on pouvait le faire.
Et je sais pas si on aurait eu le kernel dans le même état sans la GPL v2. Fondamentalement, le fait de faire un fork proprio est coûteux sur le long terme donc la GPL ne fait que forcer une coopération qui serait sans doute arrivé naturellement.
Maintenant, on peut aussi voir Android et l'embarqué pour voir qu'avoir le code ne suffit pas vraiment à donner beaucoup plus de liberté aux gens en général (OpenWRT étant une exception).
Et au delà de la question de la licence, la GPL, en tant qu'acte de résistance, a aussi servi de motivation pour une partie de la communauté. Mais ça a aussi servi d'excuses a une sous partie à être un peu relou, ce qui n'a pas du aider sur le long terme.
Tu sais qu'une console ne va pas déborder sur autre chose que les jeux. Par exemple, tu va mettre ton windows avec des jeux, ok. Puis à un moment, ça va être autre chose que des jeux, et tu va pas pouvoir dire non.
Avec une console, tu sais que tu va pas te retrouver à utiliser Excel/Photoshop qui fait un truc dans un format proprio, par exemple.
Tu sais que même si des infos sur ce que tu joues sont envoyés, ça va pas aller plus loin (je pense).
Tu sais que tu va pas aller sur le site de ta banque depuis la console, donc qu'il va pas y avoir de malware visant à te piquer ton mot de passe.
Il faut bien voir aussi que dans le cas de Gregor Strasser, l'anti-capitalisme est conjugué avec une forme d'anti-sémitisme, cf WP en anglais:
We National Socialists want the economic revolution
involving the nationalization of the economy...We want in
place of an exploitative capitalist economic system a real
socialism, maintained not by a soulless Jewish-materialist
outlook but by the believing, sacrificial, and unselfish old
German community sentiment, community purpose, and economic
feeling.
"soulless Jewish-materialist outlook", ç'est quand même assez clair.
Ensuite, vu certains écrits de Karl Marx (mentionné par Abigail Thorn sur https://www.youtube.com/watch?v=KAFbpWVO-ow ), j'aurais tendance à dire que c'est pas non plus surprenant.
Mais du coup, on parle d'une différence d'au moins 10 ans, ce qui change pas mal de choses notamment au contexte.
Quand on dit Bill Gates, on pense à un milliardaire ou a un patron. La, il était encore presque étudiant (certes, issus de parents riches, je dit pas qu'il va crever de faim) en train de monter sa boite de 3 personnes, et si j'en crois l'article WP, il a aussi repris les thèses d'autres personnes (David Bunnell par exemple).
Et je note aussi que 40 ans après, la question de la rémunération des développeurs de logiciels quand on les échange gratos (en l’occurrence, le logiciel libre) se pose encore.
C'est le cœur du probléme pour la SSPL, mais aussi les questions de burn out dans le logiciel libre ou de financement participatif la création d'Opencollective, l'usage de Patreon, Github Sponsor, Liberapay, etc.
Je n'ai pas le sentiment qu'on a des réponses pour cette question. Ensuite, si je mets ça à coté du fait que les employés de la FSF ont du monter leur syndicat en 2002 pour avoir une paye et des avantages corrects, je pense que la question du financement du libre est resté sous le tapis parce que les leaders du mouvement n'ont jamais voulu se poser la question.
Il faut voir qu'à l'époque où RMS a publié la GPL, tous les
développeurs s'échangeaient du code et tout le monde à peu
près se foutait de la licence. Ca faisait d'ailleurs râler
Bill Gates qui avait besoin qu'on arrête de s'échanger du code
librement pour pouvoir vendre le même code!
J'ai quelque doute, et comme on dit sur WP, Refnec.
Microsoft a été fondé en 1975. En 1988, Microsoft était déjà coté en bourse, avec une capitalisation de de l'ordre de 700 millions de dollar US (soit grosso modo l'équivalent de 1.4 milliards de nos jours avec l'inflation, si j'en crois le web). Word, Windows et Excel était déjà des produits proprios existants, tout comme MS DOS, ou Xenix.
Donc je pense qu'en 1988, Bill Gates avait autre chose à faire que de se préoccuper du code qu'il arrivait visiblement très bien à vendre.
Dans le même genre d'idée, Oracle était déjà la, tout comme Apple ou Sun. Aucune de ces entreprises n'étaient du genre à ne pas se préoccuper de la licence.
Donc dire "tout les devs s’échangeaient du code", ça me parait un peu du révisionnisme. Que des gens s’échangeaient du code, oui, mais tous, pas vraiment.
Et je reste quand même assez songeur et critique sur la personnification du monde proprio en la personne de Bill Gates. Non pas que je me préoccupe de sa personne, mais plus parce que se focaliser sur une personne, c'est ne pas faire attention à tout le reste, et contribue au mythe du génie irremplaçable.
Et en effet, la GPL v3 date de 2007. Je ne crois pas que la FSF ait publié une nouvelle licence depuis, alors qu'il y a clairement des combats qui sont apparus depuis 10 ans.
Quelqu'un a une entrée de son blog où il dit que Elasticsearch
est à l'opposé du libre et que AWS respecte le libre? Bizarre
comme quoi il y a un silence quand il faut défendre le libre
contre des "gentils" et défendre les "méchants" de service…
Parmi les donateurs de la FSF, il y a Google et Github (et je suppose pas des petites donations).
Je pense que c'est une bonne chose, parce que Google et Github bénéficie du travail de la FSF. Je reproche pas non plus à la FSF de prendre de l'argent, surtout que malgré tout les critiques, je pense que la FSF doit être soutenu.
Mais curieusement, le fait que le monde réel soit moins manichéen que dans les discours est un point qui passent trop souvent à la trappe.
"C'est quoi "des considerations n'ayant rien à voir avec le libre" ?"
Tu parles de racisme ou de transphobie dans des licences, mais c'est un exemple foireux. D'une part, je suis sur qu'une licence qui dit "utilisable par tout le monde sauf les personnes trans" se ferait retoquer par la FSF, et ensuite, personne n'a proposé ce genre de licences, et c'est pas le débat.
C'est un homme de paille tellement ridicule que je vais le mettre dans mon champ pour faire mourir de rire les corbeaux.
C'est comme un artiste qui dissocie bien son œuvre de ses
idées politiques. Ces dernières ne changent rien à sa qualité
artistique. Si un jour il se met à introduire ses idées dans
son œuvre et que cela se fait au détriment de la qualité
artistique il perd de son intérêt.
Je pense que la conception qui va dire que l'artiste a le dernier mot sur l’interprétation de l’œuvre n'a plus court depuis les années 60 (Roland Barthes, etc).
Dans le cas de la FSF et de RMS, je pense que la comparaison est hasardeuse.
RMS ne sépare pas son œuvre de ses idées politiques, car ses idées politiques sont son œuvre. De part sa position de président-fondateur pendant plus de 20 ans, c'est lui qui a décidé de la direction de la FSF.
Par exemple, la campagne sur la protection des emails se focalise plus sur la surveillance étatique (ça parle de PRISM) que sur la surveillance par un conjoint, ou la surveillance des minorités par les autorités. La FSF n'a commencé à se préoccuper de ce sujet qu'à partir du moment ou ils se sont dit "on est ciblé", alors qu'en terme de volume, il y a bien plus de gens dans les 2 autres catégories.
Donc les idées politiques de RMS sur la priorité des combats a impacté la FSF.
Et je ne veux pas dire qu'il est misogyne ou raciste parce qu'il a fait le choix de se focaliser sur le sujet quand PRISM est devenu publique. Je ne reproche pas non plus de faire un choix, car il faut choisir ses combats.
Mais je ne pense pas qu'on puisse dissocier ses idées et son art en général, et pas dans le cas de RMS.
Donc je suppose qu'un truc plus haut qu'openssl avait besoin de la fonction, par exemple, un autre standard.
De la, à la place de Simo, tu as 3 choix:
- tu mets la version 3.0 alpha dans la distro (Fedora, RHEL). Faut que tu géres tout, c'est non supporté upstream.
tu mets juste ton patch qui vient d'upstream. Faut le gerer, mais tu as juste 1 fichier à regarder, et ça va pas impacter tout le reste d'openssl
tu attends et tu envoie chier ton chef et tes clients, en disant que Linuxfr ne comprendrais pas
Alors le dernier, c'est en général un assez mauvais plan. Si la raison est "ça va nous faire du travail", quand les gens payent pour ça, c'est pas trop la bonne excuse.
Le premier, c'est pas terrible non plus. On parle de la version 3.0, avec sans doute beaucoup de travail pour porter tout les logiciels, vu que l'API va changer. En plus, c'est encore une alpha.
"We believe his views will be critical to the FSF as we advance the mission and confront the challenges that software freedom faces."
Ensuite, peut être en effet que le mouvement du logiciel libre aurait fini par arriver au même point que maintenant avec ou sans RMS, et donc, il n'y a pas de raison de le garder en place.
Visiblement, les défenseurs de son retour à la FSF semblent croire le contraire et donc semble s'opposer à ton hypothèse.
Debian a prouvé que faire des choses dans son coin était
risqué, des fois cela se cache dans les détails, dans la
manière dont ils ont vérifier leurs backports
D'une part, je trouve que généraliser à partir d'un exemple datant d'il y a 10 ans est méthodologiquement faible.
Ensuite, la personne qui a fait le backport est listé ici:
"Software Developer at OpenSSL Software Foundation"
Mais à l'époque du patch (y a 1 an), il était encore employé par Red Hat à faire exactement la même chose dans mon souvenir (modulo s'occuper de RHEL).
Je doute qu'il soit parti "dans son coin" si il était déjà dev upstream, et contrairement à l'exemple du patch Debian dont tu parles, il y a eu des revues de code, et quelqu'un payé pour ça à temps plein avec des années d’expériences sur OpenSSL. Et l'état du code est meilleur qu'il y a 10 ans.
Si demain la FSF introduit des considérations politiques
n'ayant rien à voir avec le libre elle aura perdu ce rôle de
boussole du libre. Et ce quel que soit le bien fondé de ces
considérations politiques. En ce qui me concerne ce jour là la
FSF aura perdu tout intérêt.
C'est quoi "des considerations n'ayant rien à voir avec le libre" ?
Parce que de ce que je vois, la FSF a déjà des considérations politiques au delà de la technique, il suffit de voir la conférence LibrePlanet ( https://libreplanet.org/2017/program/ ).
Les discussions actuelles sur les questions d'inclusion au sein de la communauté du logiciel libre touche au libre, par définition.
Et j'irais même jusqu'à dire que le petit header que RMS rajoute dans ses mails sur le FBI et la NSA n'ont rien à voir avec le libre directement ou le logiciel, mais personne n'a jamais été lui faire la moindre remarque (exemple du header: https://gcc.gnu.org/legacy-ml/gcc/2014-01/msg00247.html ).
Je ne dit pas que c'est mal, loin de la. Je dit juste que ça n'a rien à voir avec le logiciel libre tel que définit par la FSF.
Et donc la FSF a déjà des actions hors du domaine du libre et de la définition par la FSF (les 4 libertés, ça parle pas de vie privé, de gouvernance étatique ni rien), sauf que ça ne semble pas déranger grand monde, au contraire des questions lié à l'inclusion dans le libre.
On peut même dire que depuis 10 (ou plus) ans l'apport de GNU
se résumait principalement à GCC
GPG et la glibc aussi. Et même si GPG a certains soucis et je pense qu'on devrait le remplacer suivant les usages, ça reste assez critique pour certains groupes (genre Debian).
Ensuite, tout les exemples que tu cites, c'est des groupes ayant individuellement pas une influence énorme non plus. C'est sur qu'en groupant tout ensemble, ça fait plus que la FSF, mais pris individuellement, bof.
La vision de RMS d'avoir un OS GNU ne s'est pas réalisé aussi parce que l'étendu de ce qu'on considère un OS a grandi depuis le début de la FSF. Refaire un UNIX des années 80 depuis 0, c'était largement faisable. Refaire Windows/macOS maintenant, c'est autrement plus complexe.
Et même si on peut pas tout mettre sur son dos (loin de la), et que je ne doute pas que la FSF et RMS ont aussi fait de leur mieux en toute bonne foi, on peut se poser la question de ce que ça aurait donner avec une figure moins clivante et plus fédératrice.
Puis le mouvement GNU s'est étoffé, et présente désormais une
importance capitale pour les plus grandes puissances du monde.
Source sur l'importance capitale ?
Parce que justement, ce qui est fait comme reproche, c'est que l'influence de Stallman semble limiter le mouvement plus qu'autre chose.
Un exemple sans doute plus proche de la réalité (et largement moins clivant, bien que j'apprécie la contribution pour allumer le feu, comme dirait un chanteur belge bien connu) est la croissance d'une entreprise. Passer de 3 personnes à 300, c'est différent de passer de 300 à 30000.
Et en substance, l'incapacité de la FSF à aller au delà de RMS est ce qui apparaît dans leurs dernières communications.
Quoi qu'on pense de RMS, c'est gênant si la FSF n'a pas réussi à inspirer des gens capables de prendre sa place, car il n'est pas exactement immortel.
Par contre cette attitude arrogante de la part des mainteneurs
Fedora me parait bien osée : ils backportent une feature
d'OpenSSL qui est actuellement en version alpha, donc
probablement pas ou peu auditée au niveau sécu
Perso, je pense déjà que les soucis de sécurité autour de la crypto sont assez souvent exagérés. Je veux pas dire par la que ça n'existe pas, ni que c'est pas important et qu'il faut s'en foutre. Mais c'est une question de contexte.
L'exemple donné dans le rapport de bug, c'est matlab. Je pense que matlab, c'est pas exactement le soft que quelqu'un va attaquer via une attaque crypto. Pourquoi se faire chier à faire du MITM quand les gens vont sans doute rajouter un module "notamalware.py" de 345 000 lignes de python pour aller plus vite si une réponse sur stackoverflow leur dit de faire ça ?
Par contre, la ou c'est important de garder openssl à jour, c'est pour avoir les nouveaux algos, et donc permettre au reste du monde d'aller de l'avant pour les cas ou c'est plus important. Mais c'est rarement la raison donné, parce que tout le monde s'en fout un peu de la maintenance.
Tu dis aussi que la fonctionnalité n'a pas été audité, c'est faux, le backport est visiblement aussi dans RHEL 8 (cf https://github.com/openssl/openssl/issues/11471 ), et donc a été audité avant backport.
De plus, si on regarde la fonction en question, c'est un algo standardisé de hash (https://wiki.openssl.org/index.php?title=EVP_Key_Derivation). Il peut y avoir des bugs bien sur, mais je pense que tu peux vérifier assez facilement que ça marche comme il faut. Il n'y a pas de communication avec le réseau, pas de traitement complexe d'un format, un résultat déterministe, donc je pense que le risque est assez faible. Si il y a un souci, c'est dans l'algo plus que dans le code, et l'algo est publique.
Maintenant, oui, le versionnage sous Linux, c'est un peu n'importe quoi, et la gestion des ABIs, c'est pas vraiment ça.
Et je comprends effectivement le souci que ça pose à des ISVs qui veulent légitimement avoir 1 seul build pour Linux.
Je suis assez vieux pour me souvenir de la LSB. Je suis aussi assez jeune pour voir que y a pas eu de nouvelles versions depuis 2015.
[^] # Re: logo
Posté par Misc (site web personnel) . En réponse à la dépêche Fedora 34 du nouveau : logo, versions de logiciels, documentation et un peu de Borsalinux. Évalué à 3.
Enfin quelqu'un qui se penche sur les contraintes pratiques des logos.
J'ajoute qu'au dela de la question du noir et blanc, il y a aussi le fait d'avoir des tshirts moins cher
[^] # Re: Petit sondage
Posté par Misc (site web personnel) . En réponse au journal Atomisation des SPAM (postfix) : Hack de spf-policyd. Évalué à 3.
Il y a beaucoup de listes de blocage de spam: https://www.dnsbl.info/
Et en effet, certaines demandent de l'argent, ce qui ressemble plus à une tentative de troll qu'autre chose. Les spammeurs ne vont pas payer (ça laisse une trace), les entreprises non plus (vu les tarifs et les conditions de paiement), et les particuliers non plus.
Donc je pense que c'est juste un moyen de réduire le support du coté des gens qui font la liste, car je ne vois pas vraiment ce genre de business avoir assez de succès pour financer autre chose qu'une bière par an.
J'ai commencé à me pencher un peu plus sur ça, car un serveur de listes de discussion dont je suis responsable a commencé à avoir beaucoup de spam à modérer (15 par jour).
Donc j'ai pris les logs, j'ai regardé les spams qui passent et j'ai quel RBL me permet de bloquer ça via Postfix (la stack logiciel était un chouia trop vielle pour faire plus, et j'ai repoussé l'upgrade trop longtemps, donc je me suis limité à des options simples).
Aprés 2/3j de vérif au doigt mouillé, j'ai pris "UCEPROTECT Blacklist LEVEL 3" en me disant "la description me parait pas mal".
2j après, j'ai un utilisateur qui m'a écrit, assez mécontent, pour me dire qu'il est bloqué sur son serveur auto administré chez linode.
Et en effet, en fouillant un peu, je vois que le site de uceprotect a un design des années 2000, et que ça ressemble à un projet d'une personne dans son coin. Et surtout que les 3 listes ne sont séparés par provenance comme la description sur dnsbl.info le laisse croire, mais par taille du blocage. UCE 1 => 1 serveur, UCE 2 => 1 range, UCE 3 => 1 ASN.
Du coup, en effet, c'est efficace mais problématique.
Et c'est ma faute, car j'ai:
- pas vérifié sommairement le site de la DNSBL
- pas fait de tests sur les faux positifs de la liste
- pas pris le temps de mettre en place un système plus souple que "ça passe, ça passe pas" (genre spamassasin)
À refaire, la bonne solution me semblerait de d'abord faire un serveur qui récolte les IPs et les mails des envoyeurs (via un filtre postfix). Aussitot, le serveur regarde les scores sur les DNSBLs, et je regarde si les envoyeurs sont sur une liste, pour classer en probablement spam, ou probablement pas spam.
À partir de la, on peut calculer une matrice de confusion de chaque DNSBL sur une période donné pour le traffic de son propre serveur et choisir.
Il y a des listes plus ou moins sérieuses, mais c'est assez difficile de choisir, car tout le monde y va de son analyse à l'arrache, au lieu de chercher des chiffres et d'avoir une approche plus scientifique (ce que je comprends, j'ai fait pareil).
# Le libre au sens de la FSF intègre déjà une notion morale.
Posté par Misc (site web personnel) . En réponse au journal Logiciel libre et morale font-il bon ménage ?. Évalué à 9.
Je pense que ce genre de discussion souffre d'un énorme point aveugle.
Le logiciel libre tel que les gens le comprennent a déjà une notion de morale. Si on prends RMS (et donc la FSF), il explique en long en large et en travers que le logiciel libre est une question éthique et morale.
C'est sur la page de la FSF. En Français. Depuis 2002:
https://www.gnu.org/philosophy/rms-hack.fr.html
C'est sans doute aussi dans sa bio, ses interviews, et dans ses conférences. Et le devoir éthique de partager le code est tellement fondateur pour une partie la communauté du libre que c'est au cœur de la GPL, et de ses dérivés et mises à jours.
L'AGPL s'occupe de la question des réseaux, la GPL v3 celles des DRMs et des brevets, des questions qu'on estime assez grave pour interdire des choses aux utilisateurs.
Donc la question n'est pas la morale et l'éthique, car le logiciel libre (et plus précisément le copyleft) vient avec ses valeurs.
Et une fois qu'on prends conscience de ça, je pense que la question change subtilement.
Si le libre a des valeurs morales et éthiques, pourquoi est ce qu'on ne les considère pas comme tel dans les discussions ?
Et donc, qu'est ce qui distingue ces valeurs d'autres.
Après tout, pourquoi est ce que le fait de ne pas permettre de mettre à jour du code est vu comme un problème éthique à adresser plus grave que des questions un peu plus consensuels sur la vie humaine par exemple ?
Et je parle pas de la question du comment faire, car je ne pense pas que la licence soit le bon moyen pour ça.
Perso, je pense qu'il serait plus efficace de partir sur des déclarations d'intentions comme "je déclare refuser d'aider quelqu'un qui + X". Après tout, ça ne serait pas différent de refuser de passer du temps gratos à coder des correctifs pour aider une banque en galère un vendredi soir, une chose que tout le monde va trouver normal dans le libre.
Mais on est pas capable de penser à autre chose que la licence pour ça, parce qu'on est pas vraiment au niveau du comment dans la discussion.
On est au degré 0 des questions éthiques. Vu les discussions ici, je pense qu'on ne voit même pas que le libre a déjà une composante éthique et morale (vu que ce journal parle d "introduire la morale dans les données du problème", ça montre bien qu'on suppose que c'est pas le cas).
Un autre exemple, c'est l'histoire récente avec l’université du Minnesota. Lire les réactions de certains de mes collègues et de gens sur le web m'a laissé songeur.
Tout d'un coup, beaucoup de gens ont commencés à se préoccuper des questions d'éthiques pour la recherche, et comment l'acte d'envoyer des patchs qu'on sait être mauvais est contre l'éthique et amorale. Des gens vont même mettre le fait de faire perdre du temps à GKH et d'autres au même niveau de problème que de mettre en danger la vie des gens dans la recherche médicale.
Par contre, quand il s'agit de question d'éthique sur l'inclusion des gens dans la communauté du libre, sur les questions de liberté d'expressions, tout d'un coup, il faut être apolitique et non interventionniste. Donc l'éthique ne semble importante que quand on est concerné.
Autre exemple, la FSF et la vie privée. Pour moi, la question de la vie privée est séparé de la question du logiciel libre. Le code peut être libre et ne rien garantir niveau vie privée, le code peut être bien foutu et ne pas être libre. La définition du libre ne parle pas de vie privée, les principes du RGPD ne parlent pas de logiciel libre. Il y a des synergies entre les 2, mais autant qu'entre le libre et d'autres mouvements sociaux (comme les questions d'indépendance national).
Le guide d'auto défense des emails de la FSF est arrivé précisément quand les gens de la FSF ont vu que le gouvernement pouvait les espionner (suite aux fuites de Edward Snowden). Pourtant, c'est rien de nouveau, le FBI a espionné les leaders du Black Panther Party dans les années 60.
Mais voila, le Black Panther Party et la FSF, c'est 2 mouvements assez séparés. Ce qui n’était pas un problème morale assez grave pour avoir un guide ou une campagne avant est devenu soudain important une fois qu'il a été vu que "c'est pas juste les Autres".
Je pense que les exemples illustrent bien le problème, à savoir que les gens ne se préoccupent d'éthique (et de morale) que pour défendre ce qu'ils perçoivent comme leurs droits.
RMS a poussé le copyleft et l'éthique associé pour défendre son droit à échanger du code.
Et pour les autres questions éthiques et morales qu'on peut retrouver dans le logiciel libre, je pense que ça va être pareil. Tant que la communauté sera aussi globalement homogène et globalement non impacté, la communauté ne se préoccuperas que peu de ça, voir va refuser, car ça ne la touche pas (globalement).
Le fait que les questions d'éthique et de morale dans le libre soient poussé en partie par des personnes en minorité dans le libre (exemple, Coraline Ada Ehmke, Shanley Kane) montre que c'est justement parce que la communauté change en se diversifiant que les questions commencent à se poser.
Et c'est une bonne chose que les choses bougent.
[^] # Re: Cf discussion de fin janvier
Posté par Misc (site web personnel) . En réponse au journal Logiciel libre et morale font-il bon ménage ?. Évalué à 3.
C'est comme les points cardinaux, ça change suivant la direction ou on regarde ?
[^] # Re: Très franchement
Posté par Misc (site web personnel) . En réponse au journal Logiciel libre et morale font-il bon ménage ?. Évalué à 4. Dernière modification le 23 avril 2021 à 10:14.
Mais ça pose la question de savoir si lutter contre les DRMs, les brevets ou le proprio est une question de morale, car la position de la FSF et de RMS, c'est que la GPL v3 va aller contre ça et que c'est une question politique et aussi un devoir moral (cf https://www.theguardian.com/uk/1999/nov/06/andrewbrown , cité dans sa bio).
Comme souvent, on va devoir se pencher sur l’œuvre des philosophes français les plus connus de la fin du siècle dernier, en l’occurrence, les Inconnus avec la parabole des Chasseurs:
"Il y a la bonne morale, et la mauvaise morale."
[^] # Re: Pas convaincu
Posté par Misc (site web personnel) . En réponse au journal Atomisation des SPAM (postfix) : Hack de spf-policyd. Évalué à 9. Dernière modification le 22 avril 2021 à 20:07.
Je suis sur qu'il y a pas de SPF sur un des domaines que je gère (je viens de vérifier), j'ai installé un nouveau serveur de liste de discussions et Google n'a pas l'air de jeter les emails.
Et les gens m'auraient prévenu si on avait un souci.
[^] # Re: Alternative au FTP ?
Posté par Misc (site web personnel) . En réponse au journal Firefox met fin au FTP. Évalué à 2. Dernière modification le 20 avril 2021 à 16:07.
Le souci que j'ai eu, c'est que Apache n'est pas exactement fait pour ça, et ça coince parfois par rapport à des cas d'utilisations de vsftpd ou autre.
Par exemple, tu veux avoir plusieurs utilisateurs, voir même que chaque utilisateur utilise un compte unix différent comme avec sftp, ou vsftpd. Apache coince un peu pour ça, car par défaut, le serveur ne tourne pas en root (et je pense n'est pas prévu pour).
Donc d'une part, tu n'as pas accès à /etc/shadow pour l'auth (et en général, je dirait "tant mieux", mais la contrainte de mettre un ldap juste pour ça peut aussi être un souci).
Mais surtout, les fichiers appartiennent tous à www-data, ce qui rends la gestion d'acl sur qui fait quoi un peu plus compliqué qu'avec sftp (ou vsftpd, dans mon souvenir).
Ensuite, c'est pas inhérent au protocole mais à une implémentation.
Mais je pense que c'est aussi pour ça que les gens n'aiment pas trop, car tu te retrouve assez vite à taper dans ce genre de limitation.
[^] # Re: Parallèle avec la politique
Posté par Misc (site web personnel) . En réponse au journal GNU t'es la ?. Évalué à 3.
Je pense qu'il suffit juste que le projet GNOME fasse le contraire, dire partout "on est GNU, et on rejoint GNU assembly", ou "on est GNU et on veut faire du proprio".
La mention sur le site de la FSF va vite disparaitre :)
[^] # Re: Parallèle avec la politique
Posté par Misc (site web personnel) . En réponse au journal GNU t'es la ?. Évalué à 10.
On peut quand même reconnaître l'apport de la GPL (et du concept de copyleft) en tant que contournement du système de copyright, dans le sens ou ça a montré qu'on pouvait le faire.
Et je sais pas si on aurait eu le kernel dans le même état sans la GPL v2. Fondamentalement, le fait de faire un fork proprio est coûteux sur le long terme donc la GPL ne fait que forcer une coopération qui serait sans doute arrivé naturellement.
Maintenant, on peut aussi voir Android et l'embarqué pour voir qu'avoir le code ne suffit pas vraiment à donner beaucoup plus de liberté aux gens en général (OpenWRT étant une exception).
Et au delà de la question de la licence, la GPL, en tant qu'acte de résistance, a aussi servi de motivation pour une partie de la communauté. Mais ça a aussi servi d'excuses a une sous partie à être un peu relou, ce qui n'a pas du aider sur le long terme.
[^] # Re: Alternative au FTP ?
Posté par Misc (site web personnel) . En réponse au journal Firefox met fin au FTP. Évalué à 6.
Apache + mod_index me semble suffire, non ?
J'ai peut être loupé une contrainte dans ta demande.
[^] # Re: soluce de riche : la console
Posté par Misc (site web personnel) . En réponse au journal Battle royal et adolescence…. Évalué à 10.
Tu sais qu'une console ne va pas déborder sur autre chose que les jeux. Par exemple, tu va mettre ton windows avec des jeux, ok. Puis à un moment, ça va être autre chose que des jeux, et tu va pas pouvoir dire non.
Avec une console, tu sais que tu va pas te retrouver à utiliser Excel/Photoshop qui fait un truc dans un format proprio, par exemple.
Tu sais que même si des infos sur ce que tu joues sont envoyés, ça va pas aller plus loin (je pense).
Tu sais que tu va pas aller sur le site de ta banque depuis la console, donc qu'il va pas y avoir de malware visant à te piquer ton mot de passe.
[^] # Re: Ecosystème foisonnant
Posté par Misc (site web personnel) . En réponse à la dépêche La lettre d'information XMPP de mars 2021. Évalué à 2.
J'ajouterais aussi que les features du mail sont globalement stables et présente partout parce que ça n'a pas changé depuis longtemps.
C'est un petit peu comme quand on parle des problèmes de plateforme sous Linux. Tout le monde veut un truc commun, mais personne n'utilise la LSB.
[^] # Re: Parallèle avec la politique
Posté par Misc (site web personnel) . En réponse au journal GNU t'es la ?. Évalué à 1.
Il faut bien voir aussi que dans le cas de Gregor Strasser, l'anti-capitalisme est conjugué avec une forme d'anti-sémitisme, cf WP en anglais:
"soulless Jewish-materialist outlook", ç'est quand même assez clair.
Ensuite, vu certains écrits de Karl Marx (mentionné par Abigail Thorn sur https://www.youtube.com/watch?v=KAFbpWVO-ow ), j'aurais tendance à dire que c'est pas non plus surprenant.
[^] # Re: Parallèle avec la politique
Posté par Misc (site web personnel) . En réponse au journal GNU t'es la ?. Évalué à 7.
En effet, c'est fort probable.
Mais du coup, on parle d'une différence d'au moins 10 ans, ce qui change pas mal de choses notamment au contexte.
Quand on dit Bill Gates, on pense à un milliardaire ou a un patron. La, il était encore presque étudiant (certes, issus de parents riches, je dit pas qu'il va crever de faim) en train de monter sa boite de 3 personnes, et si j'en crois l'article WP, il a aussi repris les thèses d'autres personnes (David Bunnell par exemple).
Et je note aussi que 40 ans après, la question de la rémunération des développeurs de logiciels quand on les échange gratos (en l’occurrence, le logiciel libre) se pose encore.
C'est le cœur du probléme pour la SSPL, mais aussi les questions de burn out dans le logiciel libre ou de financement participatif la création d'Opencollective, l'usage de Patreon, Github Sponsor, Liberapay, etc.
Je n'ai pas le sentiment qu'on a des réponses pour cette question. Ensuite, si je mets ça à coté du fait que les employés de la FSF ont du monter leur syndicat en 2002 pour avoir une paye et des avantages corrects, je pense que la question du financement du libre est resté sous le tapis parce que les leaders du mouvement n'ont jamais voulu se poser la question.
[^] # Re: Parallèle avec la politique
Posté par Misc (site web personnel) . En réponse au journal GNU t'es la ?. Évalué à 10.
J'ai quelque doute, et comme on dit sur WP, Refnec.
Microsoft a été fondé en 1975. En 1988, Microsoft était déjà coté en bourse, avec une capitalisation de de l'ordre de 700 millions de dollar US (soit grosso modo l'équivalent de 1.4 milliards de nos jours avec l'inflation, si j'en crois le web). Word, Windows et Excel était déjà des produits proprios existants, tout comme MS DOS, ou Xenix.
Donc je pense qu'en 1988, Bill Gates avait autre chose à faire que de se préoccuper du code qu'il arrivait visiblement très bien à vendre.
Dans le même genre d'idée, Oracle était déjà la, tout comme Apple ou Sun. Aucune de ces entreprises n'étaient du genre à ne pas se préoccuper de la licence.
Donc dire "tout les devs s’échangeaient du code", ça me parait un peu du révisionnisme. Que des gens s’échangeaient du code, oui, mais tous, pas vraiment.
Et je reste quand même assez songeur et critique sur la personnification du monde proprio en la personne de Bill Gates. Non pas que je me préoccupe de sa personne, mais plus parce que se focaliser sur une personne, c'est ne pas faire attention à tout le reste, et contribue au mythe du génie irremplaçable.
[^] # Re: Parallèle avec la politique
Posté par Misc (site web personnel) . En réponse au journal GNU t'es la ?. Évalué à 7.
Pour sa défense, il dit bien "depuis 10 ans".
Et en effet, la GPL v3 date de 2007. Je ne crois pas que la FSF ait publié une nouvelle licence depuis, alors qu'il y a clairement des combats qui sont apparus depuis 10 ans.
[^] # Re: Parallèle avec la politique
Posté par Misc (site web personnel) . En réponse au journal GNU t'es la ?. Évalué à 8.
Le plus drôle, c'est quand j'ai vu https://www.fsf.org/annual-reports/fy2017/
Parmi les donateurs de la FSF, il y a Google et Github (et je suppose pas des petites donations).
Je pense que c'est une bonne chose, parce que Google et Github bénéficie du travail de la FSF. Je reproche pas non plus à la FSF de prendre de l'argent, surtout que malgré tout les critiques, je pense que la FSF doit être soutenu.
Mais curieusement, le fait que le monde réel soit moins manichéen que dans les discours est un point qui passent trop souvent à la trappe.
[^] # Re: Parallèle avec la politique
Posté par Misc (site web personnel) . En réponse au journal GNU t'es la ?. Évalué à 10.
Je repose la question:
"C'est quoi "des considerations n'ayant rien à voir avec le libre" ?"
Tu parles de racisme ou de transphobie dans des licences, mais c'est un exemple foireux. D'une part, je suis sur qu'une licence qui dit "utilisable par tout le monde sauf les personnes trans" se ferait retoquer par la FSF, et ensuite, personne n'a proposé ce genre de licences, et c'est pas le débat.
C'est un homme de paille tellement ridicule que je vais le mettre dans mon champ pour faire mourir de rire les corbeaux.
Je pense que la conception qui va dire que l'artiste a le dernier mot sur l’interprétation de l’œuvre n'a plus court depuis les années 60 (Roland Barthes, etc).
Dans le cas de la FSF et de RMS, je pense que la comparaison est hasardeuse.
RMS ne sépare pas son œuvre de ses idées politiques, car ses idées politiques sont son œuvre. De part sa position de président-fondateur pendant plus de 20 ans, c'est lui qui a décidé de la direction de la FSF.
Par exemple, la campagne sur la protection des emails se focalise plus sur la surveillance étatique (ça parle de PRISM) que sur la surveillance par un conjoint, ou la surveillance des minorités par les autorités. La FSF n'a commencé à se préoccuper de ce sujet qu'à partir du moment ou ils se sont dit "on est ciblé", alors qu'en terme de volume, il y a bien plus de gens dans les 2 autres catégories.
Donc les idées politiques de RMS sur la priorité des combats a impacté la FSF.
Et je ne veux pas dire qu'il est misogyne ou raciste parce qu'il a fait le choix de se focaliser sur le sujet quand PRISM est devenu publique. Je ne reproche pas non plus de faire un choix, car il faut choisir ses combats.
Mais je ne pense pas qu'on puisse dissocier ses idées et son art en général, et pas dans le cas de RMS.
[^] # Re: Au sujet du backport
Posté par Misc (site web personnel) . En réponse au journal OpenSSL : Fedora en mode YOLO. Évalué à 4.
Vu que le patch est aussi dans RHEL 8 (, je suppose qu'une dépendance en a besoin (exemple, freeipa)).
Par exemple, je vois que Simon Sorce a rajouté le support de SSH KDF:
https://github.com/openssl/openssl/commit/8d76481b189b7195ef932e0fb8f0e23ab0120771
Simo bosse sur GSS et FreeIPA, et le patch pour SSH KDF a aussi été backporté, par ses soins:
https://src.fedoraproject.org/rpms/openssl/blob/rawhide/f/openssl-1.1.1-ssh-kdf.patch
Donc je suppose qu'un truc plus haut qu'openssl avait besoin de la fonction, par exemple, un autre standard.
De la, à la place de Simo, tu as 3 choix:
- tu mets la version 3.0 alpha dans la distro (Fedora, RHEL). Faut que tu géres tout, c'est non supporté upstream.
tu mets juste ton patch qui vient d'upstream. Faut le gerer, mais tu as juste 1 fichier à regarder, et ça va pas impacter tout le reste d'openssl
tu attends et tu envoie chier ton chef et tes clients, en disant que Linuxfr ne comprendrais pas
Alors le dernier, c'est en général un assez mauvais plan. Si la raison est "ça va nous faire du travail", quand les gens payent pour ça, c'est pas trop la bonne excuse.
Le premier, c'est pas terrible non plus. On parle de la version 3.0, avec sans doute beaucoup de travail pour porter tout les logiciels, vu que l'API va changer. En plus, c'est encore une alpha.
Donc il reste que le second.
C'est aussi l'analyse de Toto en fait:
https://linuxfr.org/nodes/123979/comments/1849563
[^] # Re: Parallèle avec la politique
Posté par Misc (site web personnel) . En réponse au journal GNU t'es la ?. Évalué à 10.
C'est pas l'avis de la FSF, qui dit dans son dernier message (https://www.fsf.org/news/statement-of-fsf-board-on-election-of-richard-stallman):
"We believe his views will be critical to the FSF as we advance the mission and confront the challenges that software freedom faces."
Ensuite, peut être en effet que le mouvement du logiciel libre aurait fini par arriver au même point que maintenant avec ou sans RMS, et donc, il n'y a pas de raison de le garder en place.
Visiblement, les défenseurs de son retour à la FSF semblent croire le contraire et donc semble s'opposer à ton hypothèse.
[^] # Re: Au sujet du backport
Posté par Misc (site web personnel) . En réponse au journal OpenSSL : Fedora en mode YOLO. Évalué à 5.
D'une part, je trouve que généraliser à partir d'un exemple datant d'il y a 10 ans est méthodologiquement faible.
Ensuite, la personne qui a fait le backport est listé ici:
https://src.fedoraproject.org/rpms/openssl/history/openssl-1.1.1-krb5-kdf.patch?identifier=rawhide
Son compte github est ici:
https://github.com/t8m
J'attire l'attention sur son profil:
"Software Developer at OpenSSL Software Foundation"
Mais à l'époque du patch (y a 1 an), il était encore employé par Red Hat à faire exactement la même chose dans mon souvenir (modulo s'occuper de RHEL).
Je doute qu'il soit parti "dans son coin" si il était déjà dev upstream, et contrairement à l'exemple du patch Debian dont tu parles, il y a eu des revues de code, et quelqu'un payé pour ça à temps plein avec des années d’expériences sur OpenSSL. Et l'état du code est meilleur qu'il y a 10 ans.
Et encore une fois, c'est une fonction de hash.
C'est déterministe par nature, il y a une spécification sous forme d'une RFC et il y a des tests (genre beaucoup de tests: https://src.fedoraproject.org/rpms/openssl/blob/rawhide/f/openssl-1.1.1-krb5-kdf.patch#_2476 , genre à vue de nez, 100 à 120 tests ).
[^] # Re: Parallèle avec la politique
Posté par Misc (site web personnel) . En réponse au journal GNU t'es la ?. Évalué à 10.
C'est quoi "des considerations n'ayant rien à voir avec le libre" ?
Parce que de ce que je vois, la FSF a déjà des considérations politiques au delà de la technique, il suffit de voir la conférence LibrePlanet ( https://libreplanet.org/2017/program/ ).
Les discussions actuelles sur les questions d'inclusion au sein de la communauté du logiciel libre touche au libre, par définition.
Et j'irais même jusqu'à dire que le petit header que RMS rajoute dans ses mails sur le FBI et la NSA n'ont rien à voir avec le libre directement ou le logiciel, mais personne n'a jamais été lui faire la moindre remarque (exemple du header: https://gcc.gnu.org/legacy-ml/gcc/2014-01/msg00247.html ).
Et c'est pas juste RMS, c'est aussi une campagne de la FSF:
https://emailselfdefense.fsf.org/en/
Je ne dit pas que c'est mal, loin de la. Je dit juste que ça n'a rien à voir avec le logiciel libre tel que définit par la FSF.
Et donc la FSF a déjà des actions hors du domaine du libre et de la définition par la FSF (les 4 libertés, ça parle pas de vie privé, de gouvernance étatique ni rien), sauf que ça ne semble pas déranger grand monde, au contraire des questions lié à l'inclusion dans le libre.
[^] # Re: Parallèle avec la politique
Posté par Misc (site web personnel) . En réponse au journal GNU t'es la ?. Évalué à 10.
GPG et la glibc aussi. Et même si GPG a certains soucis et je pense qu'on devrait le remplacer suivant les usages, ça reste assez critique pour certains groupes (genre Debian).
Ensuite, tout les exemples que tu cites, c'est des groupes ayant individuellement pas une influence énorme non plus. C'est sur qu'en groupant tout ensemble, ça fait plus que la FSF, mais pris individuellement, bof.
La vision de RMS d'avoir un OS GNU ne s'est pas réalisé aussi parce que l'étendu de ce qu'on considère un OS a grandi depuis le début de la FSF. Refaire un UNIX des années 80 depuis 0, c'était largement faisable. Refaire Windows/macOS maintenant, c'est autrement plus complexe.
Et même si on peut pas tout mettre sur son dos (loin de la), et que je ne doute pas que la FSF et RMS ont aussi fait de leur mieux en toute bonne foi, on peut se poser la question de ce que ça aurait donner avec une figure moins clivante et plus fédératrice.
[^] # Re: Parallèle avec la politique
Posté par Misc (site web personnel) . En réponse au journal GNU t'es la ?. Évalué à 10.
Source sur l'importance capitale ?
Parce que justement, ce qui est fait comme reproche, c'est que l'influence de Stallman semble limiter le mouvement plus qu'autre chose.
Un exemple sans doute plus proche de la réalité (et largement moins clivant, bien que j'apprécie la contribution pour allumer le feu, comme dirait un chanteur belge bien connu) est la croissance d'une entreprise. Passer de 3 personnes à 300, c'est différent de passer de 300 à 30000.
Et en substance, l'incapacité de la FSF à aller au delà de RMS est ce qui apparaît dans leurs dernières communications.
Quoi qu'on pense de RMS, c'est gênant si la FSF n'a pas réussi à inspirer des gens capables de prendre sa place, car il n'est pas exactement immortel.
# Au sujet du backport
Posté par Misc (site web personnel) . En réponse au journal OpenSSL : Fedora en mode YOLO. Évalué à 7.
Perso, je pense déjà que les soucis de sécurité autour de la crypto sont assez souvent exagérés. Je veux pas dire par la que ça n'existe pas, ni que c'est pas important et qu'il faut s'en foutre. Mais c'est une question de contexte.
L'exemple donné dans le rapport de bug, c'est matlab. Je pense que matlab, c'est pas exactement le soft que quelqu'un va attaquer via une attaque crypto. Pourquoi se faire chier à faire du MITM quand les gens vont sans doute rajouter un module "notamalware.py" de 345 000 lignes de python pour aller plus vite si une réponse sur stackoverflow leur dit de faire ça ?
Par contre, la ou c'est important de garder openssl à jour, c'est pour avoir les nouveaux algos, et donc permettre au reste du monde d'aller de l'avant pour les cas ou c'est plus important. Mais c'est rarement la raison donné, parce que tout le monde s'en fout un peu de la maintenance.
Tu dis aussi que la fonctionnalité n'a pas été audité, c'est faux, le backport est visiblement aussi dans RHEL 8 (cf https://github.com/openssl/openssl/issues/11471 ), et donc a été audité avant backport.
De plus, si on regarde la fonction en question, c'est un algo standardisé de hash (https://wiki.openssl.org/index.php?title=EVP_Key_Derivation). Il peut y avoir des bugs bien sur, mais je pense que tu peux vérifier assez facilement que ça marche comme il faut. Il n'y a pas de communication avec le réseau, pas de traitement complexe d'un format, un résultat déterministe, donc je pense que le risque est assez faible. Si il y a un souci, c'est dans l'algo plus que dans le code, et l'algo est publique.
Maintenant, oui, le versionnage sous Linux, c'est un peu n'importe quoi, et la gestion des ABIs, c'est pas vraiment ça.
Et je comprends effectivement le souci que ça pose à des ISVs qui veulent légitimement avoir 1 seul build pour Linux.
Je suis assez vieux pour me souvenir de la LSB. Je suis aussi assez jeune pour voir que y a pas eu de nouvelles versions depuis 2015.