Et en effet, la GPL v3 date de 2007. Je ne crois pas que la FSF ait publié une nouvelle licence depuis, alors qu'il y a clairement des combats qui sont apparus depuis 10 ans.
Quelqu'un a une entrée de son blog où il dit que Elasticsearch
est à l'opposé du libre et que AWS respecte le libre? Bizarre
comme quoi il y a un silence quand il faut défendre le libre
contre des "gentils" et défendre les "méchants" de service…
Parmi les donateurs de la FSF, il y a Google et Github (et je suppose pas des petites donations).
Je pense que c'est une bonne chose, parce que Google et Github bénéficie du travail de la FSF. Je reproche pas non plus à la FSF de prendre de l'argent, surtout que malgré tout les critiques, je pense que la FSF doit être soutenu.
Mais curieusement, le fait que le monde réel soit moins manichéen que dans les discours est un point qui passent trop souvent à la trappe.
"C'est quoi "des considerations n'ayant rien à voir avec le libre" ?"
Tu parles de racisme ou de transphobie dans des licences, mais c'est un exemple foireux. D'une part, je suis sur qu'une licence qui dit "utilisable par tout le monde sauf les personnes trans" se ferait retoquer par la FSF, et ensuite, personne n'a proposé ce genre de licences, et c'est pas le débat.
C'est un homme de paille tellement ridicule que je vais le mettre dans mon champ pour faire mourir de rire les corbeaux.
C'est comme un artiste qui dissocie bien son œuvre de ses
idées politiques. Ces dernières ne changent rien à sa qualité
artistique. Si un jour il se met à introduire ses idées dans
son œuvre et que cela se fait au détriment de la qualité
artistique il perd de son intérêt.
Je pense que la conception qui va dire que l'artiste a le dernier mot sur l’interprétation de l’œuvre n'a plus court depuis les années 60 (Roland Barthes, etc).
Dans le cas de la FSF et de RMS, je pense que la comparaison est hasardeuse.
RMS ne sépare pas son œuvre de ses idées politiques, car ses idées politiques sont son œuvre. De part sa position de président-fondateur pendant plus de 20 ans, c'est lui qui a décidé de la direction de la FSF.
Par exemple, la campagne sur la protection des emails se focalise plus sur la surveillance étatique (ça parle de PRISM) que sur la surveillance par un conjoint, ou la surveillance des minorités par les autorités. La FSF n'a commencé à se préoccuper de ce sujet qu'à partir du moment ou ils se sont dit "on est ciblé", alors qu'en terme de volume, il y a bien plus de gens dans les 2 autres catégories.
Donc les idées politiques de RMS sur la priorité des combats a impacté la FSF.
Et je ne veux pas dire qu'il est misogyne ou raciste parce qu'il a fait le choix de se focaliser sur le sujet quand PRISM est devenu publique. Je ne reproche pas non plus de faire un choix, car il faut choisir ses combats.
Mais je ne pense pas qu'on puisse dissocier ses idées et son art en général, et pas dans le cas de RMS.
Donc je suppose qu'un truc plus haut qu'openssl avait besoin de la fonction, par exemple, un autre standard.
De la, à la place de Simo, tu as 3 choix:
- tu mets la version 3.0 alpha dans la distro (Fedora, RHEL). Faut que tu géres tout, c'est non supporté upstream.
tu mets juste ton patch qui vient d'upstream. Faut le gerer, mais tu as juste 1 fichier à regarder, et ça va pas impacter tout le reste d'openssl
tu attends et tu envoie chier ton chef et tes clients, en disant que Linuxfr ne comprendrais pas
Alors le dernier, c'est en général un assez mauvais plan. Si la raison est "ça va nous faire du travail", quand les gens payent pour ça, c'est pas trop la bonne excuse.
Le premier, c'est pas terrible non plus. On parle de la version 3.0, avec sans doute beaucoup de travail pour porter tout les logiciels, vu que l'API va changer. En plus, c'est encore une alpha.
"We believe his views will be critical to the FSF as we advance the mission and confront the challenges that software freedom faces."
Ensuite, peut être en effet que le mouvement du logiciel libre aurait fini par arriver au même point que maintenant avec ou sans RMS, et donc, il n'y a pas de raison de le garder en place.
Visiblement, les défenseurs de son retour à la FSF semblent croire le contraire et donc semble s'opposer à ton hypothèse.
Debian a prouvé que faire des choses dans son coin était
risqué, des fois cela se cache dans les détails, dans la
manière dont ils ont vérifier leurs backports
D'une part, je trouve que généraliser à partir d'un exemple datant d'il y a 10 ans est méthodologiquement faible.
Ensuite, la personne qui a fait le backport est listé ici:
"Software Developer at OpenSSL Software Foundation"
Mais à l'époque du patch (y a 1 an), il était encore employé par Red Hat à faire exactement la même chose dans mon souvenir (modulo s'occuper de RHEL).
Je doute qu'il soit parti "dans son coin" si il était déjà dev upstream, et contrairement à l'exemple du patch Debian dont tu parles, il y a eu des revues de code, et quelqu'un payé pour ça à temps plein avec des années d’expériences sur OpenSSL. Et l'état du code est meilleur qu'il y a 10 ans.
Si demain la FSF introduit des considérations politiques
n'ayant rien à voir avec le libre elle aura perdu ce rôle de
boussole du libre. Et ce quel que soit le bien fondé de ces
considérations politiques. En ce qui me concerne ce jour là la
FSF aura perdu tout intérêt.
C'est quoi "des considerations n'ayant rien à voir avec le libre" ?
Parce que de ce que je vois, la FSF a déjà des considérations politiques au delà de la technique, il suffit de voir la conférence LibrePlanet ( https://libreplanet.org/2017/program/ ).
Les discussions actuelles sur les questions d'inclusion au sein de la communauté du logiciel libre touche au libre, par définition.
Et j'irais même jusqu'à dire que le petit header que RMS rajoute dans ses mails sur le FBI et la NSA n'ont rien à voir avec le libre directement ou le logiciel, mais personne n'a jamais été lui faire la moindre remarque (exemple du header: https://gcc.gnu.org/legacy-ml/gcc/2014-01/msg00247.html ).
Je ne dit pas que c'est mal, loin de la. Je dit juste que ça n'a rien à voir avec le logiciel libre tel que définit par la FSF.
Et donc la FSF a déjà des actions hors du domaine du libre et de la définition par la FSF (les 4 libertés, ça parle pas de vie privé, de gouvernance étatique ni rien), sauf que ça ne semble pas déranger grand monde, au contraire des questions lié à l'inclusion dans le libre.
On peut même dire que depuis 10 (ou plus) ans l'apport de GNU
se résumait principalement à GCC
GPG et la glibc aussi. Et même si GPG a certains soucis et je pense qu'on devrait le remplacer suivant les usages, ça reste assez critique pour certains groupes (genre Debian).
Ensuite, tout les exemples que tu cites, c'est des groupes ayant individuellement pas une influence énorme non plus. C'est sur qu'en groupant tout ensemble, ça fait plus que la FSF, mais pris individuellement, bof.
La vision de RMS d'avoir un OS GNU ne s'est pas réalisé aussi parce que l'étendu de ce qu'on considère un OS a grandi depuis le début de la FSF. Refaire un UNIX des années 80 depuis 0, c'était largement faisable. Refaire Windows/macOS maintenant, c'est autrement plus complexe.
Et même si on peut pas tout mettre sur son dos (loin de la), et que je ne doute pas que la FSF et RMS ont aussi fait de leur mieux en toute bonne foi, on peut se poser la question de ce que ça aurait donner avec une figure moins clivante et plus fédératrice.
Puis le mouvement GNU s'est étoffé, et présente désormais une
importance capitale pour les plus grandes puissances du monde.
Source sur l'importance capitale ?
Parce que justement, ce qui est fait comme reproche, c'est que l'influence de Stallman semble limiter le mouvement plus qu'autre chose.
Un exemple sans doute plus proche de la réalité (et largement moins clivant, bien que j'apprécie la contribution pour allumer le feu, comme dirait un chanteur belge bien connu) est la croissance d'une entreprise. Passer de 3 personnes à 300, c'est différent de passer de 300 à 30000.
Et en substance, l'incapacité de la FSF à aller au delà de RMS est ce qui apparaît dans leurs dernières communications.
Quoi qu'on pense de RMS, c'est gênant si la FSF n'a pas réussi à inspirer des gens capables de prendre sa place, car il n'est pas exactement immortel.
Par contre cette attitude arrogante de la part des mainteneurs
Fedora me parait bien osée : ils backportent une feature
d'OpenSSL qui est actuellement en version alpha, donc
probablement pas ou peu auditée au niveau sécu
Perso, je pense déjà que les soucis de sécurité autour de la crypto sont assez souvent exagérés. Je veux pas dire par la que ça n'existe pas, ni que c'est pas important et qu'il faut s'en foutre. Mais c'est une question de contexte.
L'exemple donné dans le rapport de bug, c'est matlab. Je pense que matlab, c'est pas exactement le soft que quelqu'un va attaquer via une attaque crypto. Pourquoi se faire chier à faire du MITM quand les gens vont sans doute rajouter un module "notamalware.py" de 345 000 lignes de python pour aller plus vite si une réponse sur stackoverflow leur dit de faire ça ?
Par contre, la ou c'est important de garder openssl à jour, c'est pour avoir les nouveaux algos, et donc permettre au reste du monde d'aller de l'avant pour les cas ou c'est plus important. Mais c'est rarement la raison donné, parce que tout le monde s'en fout un peu de la maintenance.
Tu dis aussi que la fonctionnalité n'a pas été audité, c'est faux, le backport est visiblement aussi dans RHEL 8 (cf https://github.com/openssl/openssl/issues/11471 ), et donc a été audité avant backport.
De plus, si on regarde la fonction en question, c'est un algo standardisé de hash (https://wiki.openssl.org/index.php?title=EVP_Key_Derivation). Il peut y avoir des bugs bien sur, mais je pense que tu peux vérifier assez facilement que ça marche comme il faut. Il n'y a pas de communication avec le réseau, pas de traitement complexe d'un format, un résultat déterministe, donc je pense que le risque est assez faible. Si il y a un souci, c'est dans l'algo plus que dans le code, et l'algo est publique.
Maintenant, oui, le versionnage sous Linux, c'est un peu n'importe quoi, et la gestion des ABIs, c'est pas vraiment ça.
Et je comprends effectivement le souci que ça pose à des ISVs qui veulent légitimement avoir 1 seul build pour Linux.
Je suis assez vieux pour me souvenir de la LSB. Je suis aussi assez jeune pour voir que y a pas eu de nouvelles versions depuis 2015.
On peut, mais c'est pas fait coté serveur (alors que ça pourrait, en théorie). Tu es pas en mode "j'ai un alias et je l'oublie" comme avec le mail (même si, avec SPF, ça devient plus compliqué).
Par exemple, gmail peut aller lire ton courrier sur laposte.net ou yahoo.com, donc de ton coté, tu oublies plus ou moins qu'il y a des choses à faire quand tu bouges d'une boite à l'autre.
Avec XMPP, dans l'état des clients, tu peux pas juste faire ce genre de choses, tu es obligé d'avoir ton 2eme compte configuré et de prévenir les gens 1 par 1 que tu va lâcher l'ancien compte. Tu as pas de fonction réponse automatique "je ne suis plus la, merci de mettre à jour" (voir même, que les clients se mettent à jour eux même)
Un autre point pour le mail, c'est que tu peux avoir 5 adresses mails et ne pas avoir 5 clients mails de façon plus ou moins transparente via le forwarding. Donc tu peux changer en douceur, on peut t'en filer plusieurs.
Que je sache, signal (coté client) à du code sur github. Télégram a du code sur github, Wire aussi. Matrix a une spec, et des SDK.
Donc il y a pléthore de messageries ou il y a pas vraiment de faire de l'examen de dump binaires.
C'est pas le cas pour tout (iMessage, FB messenger, etc), mais je pense que c'est le cas de beaucoup d'applications de messagerie, donc je pense pas que le fait de ne plus pouvoir faire de rétro-ingénierie soit ce qui bloque, non ?
Autant au boulot, on a encore des d’IPv4 inutilisées donc nos
informaticiens ne se pressent pas à passer à IPv6, autant sur
un réseau perso, IPv6 est une vraie bouffée d’air frais
Alors sans juger des motivations de tes collègues, je pense qu'il y a aussi le fait qu'avoir IP v4 et IP v6, ça fait techniquement 2 réseaux à maintenir. Genre 2 fois plus de documentations (sauf si la doc est pas écrite), 2 fois plus de commandes à taper, à prévoir, etc. Alors ça veut pas dire "on a 2 fois plus de boulot", mais il y en a en plus et ça rajoute un peu de complexité un peu partout.
Je suis pro IP v6, mais je pense qu'il faut aussi garder en tête la problématique de la migration d'un réseau conséquent.
J'ai pas encore testé ça, mais si tu as besoin d'une clé u2f juste au boot, je pense que ça peux être suffisant (en supposant que tu es du bon coté de l'équation mossad/not mossad du chercheur James Mickens https://www.usenix.org/system/files/1401_08-12_mickens.pdf )
Perso, je pense pas que mon expérience soit généralisable, mais
je crois que le sondage ne reflète pas vraiment la complexité de tout ce que la question peut recouvrir.
Car venir au bureau, ça sous entends divers choses.
Si on parle d'aller au bureau pour voir les murs et la déco, j'y vais parfois.
Le bureau le plus proche de chez moi de mon employeur, c'est surtout des commerciaux, les ingés étant en général en télétravail.
J'y vais (quand il est ouvert, cad hors pandémie) 1 fois tout les 1 ou 2 semaines (et parfois moins). Je part vers 11h (j'évite la foule dans les transports en commun), je mange avec des collègues, puis je passe l’après midi en réunion (que j'ai concentré sur les 3/4h de ce créneau). Un bureau en openspace rempli de commerciaux, c'est pas terrible pour la concentration, d'ou mon arrangement calendaire.
Si on parle d'aller au bureau pour sortir de chez soi, je vais aussi bosser depuis un espace de coworking 1 fois par semaine. J'arrive vers 10h, je repart quand ça ferme, je vais parfois boire des coups ou j'ai un rencard (vachement moins depuis 1 an). C'est un peu mieux pour la concentration, mais pas de beaucoup (je remercie pas la startup bruyante juste à coté de ma place et la machine à café). Et je vois pas de collègues, juste des potes.
Si on parle d'aller au bureau pour voir des gens avec qui on travaille, c'est encore différent.
Je me retrouve parfois à aller voir ailleurs si j'y suis (spoiler, j'y suis), et à passer du temps dans des bureaux plus orientés ingénieur. J'ai passé 1 semaine à Berlin, 2*1 mois à Montréal, plusieurs fois à Brno en visitant la ville, aller voir des amis, et bosser depuis les bureaux avec des ingés. Je fais ça en général 1 fois par an. Je m'arrange pour caler ça avec une conférence ou une réunion d'équipe, ce qui fait que mon employeur paye le trajet et l’hôtel/bouffe pendant la conférence (voir des jours de récup si c'est le weekend). Le reste, c'est juste moi qui bosse un peu pour pouvoir visiter le weekend.
À mon avis, c'est super important d'avoir des contacts en dehors des emails et réunions, que ça soit un repas ou aller boire un coup.
Ensuite, il y a le contexte.
Je bosse dans une multinationale avec 30% de gens en télétravail, sur ~90 bureaux dans le monde (de 5 personnes à 3000 personnes). Les gens, même dans un bureau, doivent bosser avec des gens hors de leur bureau.
J'imagine que quelqu'un qui bosse dans une PME de 30 personnes sur un seul site, c'est totalement différent, surtout si on est la seule personne en télétravail.
Je suppose que ça dépend aussi du temps de trajet. Moi, j'ai grosso modo 40 minutes à une heure avec les transports en commun, donc ça coûte rien d'y aller. C'est pas pareil quand tu dois faire un Lille/Toulouse.
Et ça dépend si tu commences ou pas à faire du télétravail, si tu es la depuis longtemps, si tu as une pièce séparée dans un chateau ou si tu fais ça dans ton appart de 20m² à Paris.
Donc voila "faut il venir au bureau" n'est pas une question très précise.
Oui, mais le journal parle aussi de mettre en place un code de conduite (ce qui me parait une bonne chose, pour clarifier ma position).
Mon expérience est qu'une fois que c'est en place, la modération devient plus mature, et le nombre de rapport grimpent, car la communauté voit que ça a un impact (au lieu de partir en douce).
Moi, j'ajouterais aussi au fait d'avoir changé de FCAIC joue beaucoup, l'ancien (Brian Exelbierd) étant plus focalisé sur la question de mettre en place des processus plus solides pour le budget la ou la nouvelle (Marie Nordin) cible plus les questions D&I.
Tout ça pour dire que même si ça reste exceptionnel (et je l'espère, pour le bien être de l'équipe), il me parait intéressant de regarder avec un œil critique le cheminement des autres, et voir si, avec le recul, il y a moyen de faire mieux.
Alors comme tout le monde, (même si je ne vois pas trop de qui on parle), merci pour le dur travail de modération.
Bien que je comprenne les raisons pour ne pas publier (parce que ça a été expliqué plus haut dans les commentaires), j'aimerais quand même souligné que masquer/effacer les commentaires a aussi un effet pervers vis à vis de la perception de ce genre de modération.
Un point que j'ai vu assez souvent sur les actions vis à vis des CoC et autre modérations, c'est que les membres de la communauté n'ont pas la moindre idée exactement de ce qui s'est passé, et que la publication de "on a du intervenir" va entraîner parfois des inquiétudes basé sur une vision fantasmée des faits, car se basant uniquement sur la partie visible, et pas le reste.
Par exemple, toute les discussions privées ou des gens vont faire preuve de tact (en général), les avertissements donnés après une ou plusieurs infractions, etc, sont rarement pris en compte car non visible. Et les membres de la communauté gardent parfois juste "une cabale a décidé de virer X sans recours", entraînant les débats classiques.
Du coup, je me demande si il y a moyen de faire mieux, car reprendre le même schéma qu'ailleurs va entraîner les mêmes résultats qu'ailleurs.
Par exemple, une idée à laquelle je pense parfois, c'est de publier un compte rendu détaillé d'un faux incident, basé sur un vrai incident. Par exemple, dire que toto a publié tel texte et poster des logs de la tribune des modérateurs réalistes, pour voir combien de temps ça prends, pour visibiliser les discussions, et les efforts non visibles avant de sortir la solution forte.
Sans ça, j'ai peur que la modération continue d’apparaître comme une boite noire avec toute les peurs et divisions que ça engendre, car si il y a bien une chose qui fait consensus sur les questions de consensus, c'est que ça entraîne toujours des discussions quand c'est pas la depuis le début.
Je propose qu'on aille plus loin. D'abord on l'écrit en C, puis on convertit le C en Rust, et le Rust à nouveau en C. Comme ça, on a le meilleur des 2 mondes.
Je pense qu'en effet, c'est une bonne idée. Je propose qu'on commence par choisir un outil afin de collaborer sur un design pour la création de system-petitiond, à fin d'offrir un interface dbus standard et portable pour signer les pétitions sur le bureau GNU/Linux (et GNU/FreeBSD et GNU/OpenBSD plus tard).
Pour le moment, je pense qu'il faut choisir entre le faire en C, pour plus de sécurité, ou en Rust, pour sa portabilité.
Est ce que l'élite moulocratique francophone de Linuxfr a des avis ?
[^] # Re: Parallèle avec la politique
Posté par Misc (site web personnel) . En réponse au journal GNU t'es la ?. Évalué à 7.
Pour sa défense, il dit bien "depuis 10 ans".
Et en effet, la GPL v3 date de 2007. Je ne crois pas que la FSF ait publié une nouvelle licence depuis, alors qu'il y a clairement des combats qui sont apparus depuis 10 ans.
[^] # Re: Parallèle avec la politique
Posté par Misc (site web personnel) . En réponse au journal GNU t'es la ?. Évalué à 8.
Le plus drôle, c'est quand j'ai vu https://www.fsf.org/annual-reports/fy2017/
Parmi les donateurs de la FSF, il y a Google et Github (et je suppose pas des petites donations).
Je pense que c'est une bonne chose, parce que Google et Github bénéficie du travail de la FSF. Je reproche pas non plus à la FSF de prendre de l'argent, surtout que malgré tout les critiques, je pense que la FSF doit être soutenu.
Mais curieusement, le fait que le monde réel soit moins manichéen que dans les discours est un point qui passent trop souvent à la trappe.
[^] # Re: Parallèle avec la politique
Posté par Misc (site web personnel) . En réponse au journal GNU t'es la ?. Évalué à 10.
Je repose la question:
"C'est quoi "des considerations n'ayant rien à voir avec le libre" ?"
Tu parles de racisme ou de transphobie dans des licences, mais c'est un exemple foireux. D'une part, je suis sur qu'une licence qui dit "utilisable par tout le monde sauf les personnes trans" se ferait retoquer par la FSF, et ensuite, personne n'a proposé ce genre de licences, et c'est pas le débat.
C'est un homme de paille tellement ridicule que je vais le mettre dans mon champ pour faire mourir de rire les corbeaux.
Je pense que la conception qui va dire que l'artiste a le dernier mot sur l’interprétation de l’œuvre n'a plus court depuis les années 60 (Roland Barthes, etc).
Dans le cas de la FSF et de RMS, je pense que la comparaison est hasardeuse.
RMS ne sépare pas son œuvre de ses idées politiques, car ses idées politiques sont son œuvre. De part sa position de président-fondateur pendant plus de 20 ans, c'est lui qui a décidé de la direction de la FSF.
Par exemple, la campagne sur la protection des emails se focalise plus sur la surveillance étatique (ça parle de PRISM) que sur la surveillance par un conjoint, ou la surveillance des minorités par les autorités. La FSF n'a commencé à se préoccuper de ce sujet qu'à partir du moment ou ils se sont dit "on est ciblé", alors qu'en terme de volume, il y a bien plus de gens dans les 2 autres catégories.
Donc les idées politiques de RMS sur la priorité des combats a impacté la FSF.
Et je ne veux pas dire qu'il est misogyne ou raciste parce qu'il a fait le choix de se focaliser sur le sujet quand PRISM est devenu publique. Je ne reproche pas non plus de faire un choix, car il faut choisir ses combats.
Mais je ne pense pas qu'on puisse dissocier ses idées et son art en général, et pas dans le cas de RMS.
[^] # Re: Au sujet du backport
Posté par Misc (site web personnel) . En réponse au journal OpenSSL : Fedora en mode YOLO. Évalué à 4.
Vu que le patch est aussi dans RHEL 8 (, je suppose qu'une dépendance en a besoin (exemple, freeipa)).
Par exemple, je vois que Simon Sorce a rajouté le support de SSH KDF:
https://github.com/openssl/openssl/commit/8d76481b189b7195ef932e0fb8f0e23ab0120771
Simo bosse sur GSS et FreeIPA, et le patch pour SSH KDF a aussi été backporté, par ses soins:
https://src.fedoraproject.org/rpms/openssl/blob/rawhide/f/openssl-1.1.1-ssh-kdf.patch
Donc je suppose qu'un truc plus haut qu'openssl avait besoin de la fonction, par exemple, un autre standard.
De la, à la place de Simo, tu as 3 choix:
- tu mets la version 3.0 alpha dans la distro (Fedora, RHEL). Faut que tu géres tout, c'est non supporté upstream.
tu mets juste ton patch qui vient d'upstream. Faut le gerer, mais tu as juste 1 fichier à regarder, et ça va pas impacter tout le reste d'openssl
tu attends et tu envoie chier ton chef et tes clients, en disant que Linuxfr ne comprendrais pas
Alors le dernier, c'est en général un assez mauvais plan. Si la raison est "ça va nous faire du travail", quand les gens payent pour ça, c'est pas trop la bonne excuse.
Le premier, c'est pas terrible non plus. On parle de la version 3.0, avec sans doute beaucoup de travail pour porter tout les logiciels, vu que l'API va changer. En plus, c'est encore une alpha.
Donc il reste que le second.
C'est aussi l'analyse de Toto en fait:
https://linuxfr.org/nodes/123979/comments/1849563
[^] # Re: Parallèle avec la politique
Posté par Misc (site web personnel) . En réponse au journal GNU t'es la ?. Évalué à 10.
C'est pas l'avis de la FSF, qui dit dans son dernier message (https://www.fsf.org/news/statement-of-fsf-board-on-election-of-richard-stallman):
"We believe his views will be critical to the FSF as we advance the mission and confront the challenges that software freedom faces."
Ensuite, peut être en effet que le mouvement du logiciel libre aurait fini par arriver au même point que maintenant avec ou sans RMS, et donc, il n'y a pas de raison de le garder en place.
Visiblement, les défenseurs de son retour à la FSF semblent croire le contraire et donc semble s'opposer à ton hypothèse.
[^] # Re: Au sujet du backport
Posté par Misc (site web personnel) . En réponse au journal OpenSSL : Fedora en mode YOLO. Évalué à 5.
D'une part, je trouve que généraliser à partir d'un exemple datant d'il y a 10 ans est méthodologiquement faible.
Ensuite, la personne qui a fait le backport est listé ici:
https://src.fedoraproject.org/rpms/openssl/history/openssl-1.1.1-krb5-kdf.patch?identifier=rawhide
Son compte github est ici:
https://github.com/t8m
J'attire l'attention sur son profil:
"Software Developer at OpenSSL Software Foundation"
Mais à l'époque du patch (y a 1 an), il était encore employé par Red Hat à faire exactement la même chose dans mon souvenir (modulo s'occuper de RHEL).
Je doute qu'il soit parti "dans son coin" si il était déjà dev upstream, et contrairement à l'exemple du patch Debian dont tu parles, il y a eu des revues de code, et quelqu'un payé pour ça à temps plein avec des années d’expériences sur OpenSSL. Et l'état du code est meilleur qu'il y a 10 ans.
Et encore une fois, c'est une fonction de hash.
C'est déterministe par nature, il y a une spécification sous forme d'une RFC et il y a des tests (genre beaucoup de tests: https://src.fedoraproject.org/rpms/openssl/blob/rawhide/f/openssl-1.1.1-krb5-kdf.patch#_2476 , genre à vue de nez, 100 à 120 tests ).
[^] # Re: Parallèle avec la politique
Posté par Misc (site web personnel) . En réponse au journal GNU t'es la ?. Évalué à 10.
C'est quoi "des considerations n'ayant rien à voir avec le libre" ?
Parce que de ce que je vois, la FSF a déjà des considérations politiques au delà de la technique, il suffit de voir la conférence LibrePlanet ( https://libreplanet.org/2017/program/ ).
Les discussions actuelles sur les questions d'inclusion au sein de la communauté du logiciel libre touche au libre, par définition.
Et j'irais même jusqu'à dire que le petit header que RMS rajoute dans ses mails sur le FBI et la NSA n'ont rien à voir avec le libre directement ou le logiciel, mais personne n'a jamais été lui faire la moindre remarque (exemple du header: https://gcc.gnu.org/legacy-ml/gcc/2014-01/msg00247.html ).
Et c'est pas juste RMS, c'est aussi une campagne de la FSF:
https://emailselfdefense.fsf.org/en/
Je ne dit pas que c'est mal, loin de la. Je dit juste que ça n'a rien à voir avec le logiciel libre tel que définit par la FSF.
Et donc la FSF a déjà des actions hors du domaine du libre et de la définition par la FSF (les 4 libertés, ça parle pas de vie privé, de gouvernance étatique ni rien), sauf que ça ne semble pas déranger grand monde, au contraire des questions lié à l'inclusion dans le libre.
[^] # Re: Parallèle avec la politique
Posté par Misc (site web personnel) . En réponse au journal GNU t'es la ?. Évalué à 10.
GPG et la glibc aussi. Et même si GPG a certains soucis et je pense qu'on devrait le remplacer suivant les usages, ça reste assez critique pour certains groupes (genre Debian).
Ensuite, tout les exemples que tu cites, c'est des groupes ayant individuellement pas une influence énorme non plus. C'est sur qu'en groupant tout ensemble, ça fait plus que la FSF, mais pris individuellement, bof.
La vision de RMS d'avoir un OS GNU ne s'est pas réalisé aussi parce que l'étendu de ce qu'on considère un OS a grandi depuis le début de la FSF. Refaire un UNIX des années 80 depuis 0, c'était largement faisable. Refaire Windows/macOS maintenant, c'est autrement plus complexe.
Et même si on peut pas tout mettre sur son dos (loin de la), et que je ne doute pas que la FSF et RMS ont aussi fait de leur mieux en toute bonne foi, on peut se poser la question de ce que ça aurait donner avec une figure moins clivante et plus fédératrice.
[^] # Re: Parallèle avec la politique
Posté par Misc (site web personnel) . En réponse au journal GNU t'es la ?. Évalué à 10.
Source sur l'importance capitale ?
Parce que justement, ce qui est fait comme reproche, c'est que l'influence de Stallman semble limiter le mouvement plus qu'autre chose.
Un exemple sans doute plus proche de la réalité (et largement moins clivant, bien que j'apprécie la contribution pour allumer le feu, comme dirait un chanteur belge bien connu) est la croissance d'une entreprise. Passer de 3 personnes à 300, c'est différent de passer de 300 à 30000.
Et en substance, l'incapacité de la FSF à aller au delà de RMS est ce qui apparaît dans leurs dernières communications.
Quoi qu'on pense de RMS, c'est gênant si la FSF n'a pas réussi à inspirer des gens capables de prendre sa place, car il n'est pas exactement immortel.
# Au sujet du backport
Posté par Misc (site web personnel) . En réponse au journal OpenSSL : Fedora en mode YOLO. Évalué à 7.
Perso, je pense déjà que les soucis de sécurité autour de la crypto sont assez souvent exagérés. Je veux pas dire par la que ça n'existe pas, ni que c'est pas important et qu'il faut s'en foutre. Mais c'est une question de contexte.
L'exemple donné dans le rapport de bug, c'est matlab. Je pense que matlab, c'est pas exactement le soft que quelqu'un va attaquer via une attaque crypto. Pourquoi se faire chier à faire du MITM quand les gens vont sans doute rajouter un module "notamalware.py" de 345 000 lignes de python pour aller plus vite si une réponse sur stackoverflow leur dit de faire ça ?
Par contre, la ou c'est important de garder openssl à jour, c'est pour avoir les nouveaux algos, et donc permettre au reste du monde d'aller de l'avant pour les cas ou c'est plus important. Mais c'est rarement la raison donné, parce que tout le monde s'en fout un peu de la maintenance.
Tu dis aussi que la fonctionnalité n'a pas été audité, c'est faux, le backport est visiblement aussi dans RHEL 8 (cf https://github.com/openssl/openssl/issues/11471 ), et donc a été audité avant backport.
De plus, si on regarde la fonction en question, c'est un algo standardisé de hash (https://wiki.openssl.org/index.php?title=EVP_Key_Derivation). Il peut y avoir des bugs bien sur, mais je pense que tu peux vérifier assez facilement que ça marche comme il faut. Il n'y a pas de communication avec le réseau, pas de traitement complexe d'un format, un résultat déterministe, donc je pense que le risque est assez faible. Si il y a un souci, c'est dans l'algo plus que dans le code, et l'algo est publique.
Maintenant, oui, le versionnage sous Linux, c'est un peu n'importe quoi, et la gestion des ABIs, c'est pas vraiment ça.
Et je comprends effectivement le souci que ça pose à des ISVs qui veulent légitimement avoir 1 seul build pour Linux.
Je suis assez vieux pour me souvenir de la LSB. Je suis aussi assez jeune pour voir que y a pas eu de nouvelles versions depuis 2015.
[^] # Re: IRC
Posté par Misc (site web personnel) . En réponse au journal GAIM, c'est fini. Évalué à 4.
On peut, mais c'est pas fait coté serveur (alors que ça pourrait, en théorie). Tu es pas en mode "j'ai un alias et je l'oublie" comme avec le mail (même si, avec SPF, ça devient plus compliqué).
Par exemple, gmail peut aller lire ton courrier sur laposte.net ou yahoo.com, donc de ton coté, tu oublies plus ou moins qu'il y a des choses à faire quand tu bouges d'une boite à l'autre.
Avec XMPP, dans l'état des clients, tu peux pas juste faire ce genre de choses, tu es obligé d'avoir ton 2eme compte configuré et de prévenir les gens 1 par 1 que tu va lâcher l'ancien compte. Tu as pas de fonction réponse automatique "je ne suis plus la, merci de mettre à jour" (voir même, que les clients se mettent à jour eux même)
Il y a bien eu ça une tentative: https://xmpp.org/extensions/attic/xep-0051-0.1.html
Mais ça n'a pas l'air d'avoir passé l'étape de standardisation.
[^] # Re: IRC
Posté par Misc (site web personnel) . En réponse au journal GAIM, c'est fini. Évalué à 2.
Un autre point pour le mail, c'est que tu peux avoir 5 adresses mails et ne pas avoir 5 clients mails de façon plus ou moins transparente via le forwarding. Donc tu peux changer en douceur, on peut t'en filer plusieurs.
C'est pareil avec le téléphone et les renvois.
Je ne crois pas que ça soit le cas pour XMPP.
[^] # Re: Snif
Posté par Misc (site web personnel) . En réponse au journal GAIM, c'est fini. Évalué à 5.
Je pense que c'est surtout un manque de ressources. Il n'y a rien dans pidgin qui rends impossible d'avoir un meilleur support.
C'est juste que personne ne le fait, je pense.
[^] # Re: Snif
Posté par Misc (site web personnel) . En réponse au journal GAIM, c'est fini. Évalué à 4.
Que je sache, signal (coté client) à du code sur github. Télégram a du code sur github, Wire aussi. Matrix a une spec, et des SDK.
Donc il y a pléthore de messageries ou il y a pas vraiment de faire de l'examen de dump binaires.
C'est pas le cas pour tout (iMessage, FB messenger, etc), mais je pense que c'est le cas de beaucoup d'applications de messagerie, donc je pense pas que le fait de ne plus pouvoir faire de rétro-ingénierie soit ce qui bloque, non ?
[^] # Re: Fausse problématique
Posté par Misc (site web personnel) . En réponse au sondage Utilisez vous IPv6 ?. Évalué à 5.
Alors sans juger des motivations de tes collègues, je pense qu'il y a aussi le fait qu'avoir IP v4 et IP v6, ça fait techniquement 2 réseaux à maintenir. Genre 2 fois plus de documentations (sauf si la doc est pas écrite), 2 fois plus de commandes à taper, à prévoir, etc. Alors ça veut pas dire "on a 2 fois plus de boulot", mais il y en a en plus et ça rajoute un peu de complexité un peu partout.
Je suis pro IP v6, mais je pense qu'il faut aussi garder en tête la problématique de la migration d'un réseau conséquent.
[^] # Re: utilité du chiffrement ?
Posté par Misc (site web personnel) . En réponse au journal Allez, il fallait bien que ça arrive. Évalué à 4.
Tu as regardé du coté des nouveautés comme http://0pointer.net/blog/unlocking-luks2-volumes-with-tpm2-fido2-pkcs11-security-hardware-on-systemd-248.html ou https://semanticlab.net/sysadmin/encryption/Network-bound-disk-encryption-in-ubuntu-20.04/ ?
J'ai pas encore testé ça, mais si tu as besoin d'une clé u2f juste au boot, je pense que ça peux être suffisant (en supposant que tu es du bon coté de l'équation mossad/not mossad du chercheur James Mickens https://www.usenix.org/system/files/1401_08-12_mickens.pdf )
# De temps en temps
Posté par Misc (site web personnel) . En réponse au sondage [Télétravail] faut-il venir parfois au bureau?. Évalué à 3.
Perso, je pense pas que mon expérience soit généralisable, mais
je crois que le sondage ne reflète pas vraiment la complexité de tout ce que la question peut recouvrir.
Car venir au bureau, ça sous entends divers choses.
Si on parle d'aller au bureau pour voir les murs et la déco, j'y vais parfois.
Le bureau le plus proche de chez moi de mon employeur, c'est surtout des commerciaux, les ingés étant en général en télétravail.
J'y vais (quand il est ouvert, cad hors pandémie) 1 fois tout les 1 ou 2 semaines (et parfois moins). Je part vers 11h (j'évite la foule dans les transports en commun), je mange avec des collègues, puis je passe l’après midi en réunion (que j'ai concentré sur les 3/4h de ce créneau). Un bureau en openspace rempli de commerciaux, c'est pas terrible pour la concentration, d'ou mon arrangement calendaire.
Si on parle d'aller au bureau pour sortir de chez soi, je vais aussi bosser depuis un espace de coworking 1 fois par semaine. J'arrive vers 10h, je repart quand ça ferme, je vais parfois boire des coups ou j'ai un rencard (vachement moins depuis 1 an). C'est un peu mieux pour la concentration, mais pas de beaucoup (je remercie pas la startup bruyante juste à coté de ma place et la machine à café). Et je vois pas de collègues, juste des potes.
Si on parle d'aller au bureau pour voir des gens avec qui on travaille, c'est encore différent.
Je me retrouve parfois à aller voir ailleurs si j'y suis (spoiler, j'y suis), et à passer du temps dans des bureaux plus orientés ingénieur. J'ai passé 1 semaine à Berlin, 2*1 mois à Montréal, plusieurs fois à Brno en visitant la ville, aller voir des amis, et bosser depuis les bureaux avec des ingés. Je fais ça en général 1 fois par an. Je m'arrange pour caler ça avec une conférence ou une réunion d'équipe, ce qui fait que mon employeur paye le trajet et l’hôtel/bouffe pendant la conférence (voir des jours de récup si c'est le weekend). Le reste, c'est juste moi qui bosse un peu pour pouvoir visiter le weekend.
À mon avis, c'est super important d'avoir des contacts en dehors des emails et réunions, que ça soit un repas ou aller boire un coup.
Ensuite, il y a le contexte.
Je bosse dans une multinationale avec 30% de gens en télétravail, sur ~90 bureaux dans le monde (de 5 personnes à 3000 personnes). Les gens, même dans un bureau, doivent bosser avec des gens hors de leur bureau.
J'imagine que quelqu'un qui bosse dans une PME de 30 personnes sur un seul site, c'est totalement différent, surtout si on est la seule personne en télétravail.
Je suppose que ça dépend aussi du temps de trajet. Moi, j'ai grosso modo 40 minutes à une heure avec les transports en commun, donc ça coûte rien d'y aller. C'est pas pareil quand tu dois faire un Lille/Toulouse.
Et ça dépend si tu commences ou pas à faire du télétravail, si tu es la depuis longtemps, si tu as une pièce séparée dans un chateau ou si tu fais ça dans ton appart de 20m² à Paris.
Donc voila "faut il venir au bureau" n'est pas une question très précise.
[^] # Re: De la publication ou non de plus d'informations
Posté par Misc (site web personnel) . En réponse au journal Bannissement d'un utilisateur et évolution de la modération. Évalué à 2.
Oui, mais le journal parle aussi de mettre en place un code de conduite (ce qui me parait une bonne chose, pour clarifier ma position).
Mon expérience est qu'une fois que c'est en place, la modération devient plus mature, et le nombre de rapport grimpent, car la communauté voit que ça a un impact (au lieu de partir en douce).
Par exemple, en 2020, Fedora a vu le nombre de rapports d'incident grimper fortement, une hausse attribué d'une part à la maturité du système et à une hausse des incidents du à la pandémie (voir https://communityblog.fedoraproject.org/fedora-code-of-conduct-report-2020/).
Moi, j'ajouterais aussi au fait d'avoir changé de FCAIC joue beaucoup, l'ancien (Brian Exelbierd) étant plus focalisé sur la question de mettre en place des processus plus solides pour le budget la ou la nouvelle (Marie Nordin) cible plus les questions D&I.
Tout ça pour dire que même si ça reste exceptionnel (et je l'espère, pour le bien être de l'équipe), il me parait intéressant de regarder avec un œil critique le cheminement des autres, et voir si, avec le recul, il y a moyen de faire mieux.
# De la publication ou non de plus d'informations
Posté par Misc (site web personnel) . En réponse au journal Bannissement d'un utilisateur et évolution de la modération. Évalué à 8.
Alors comme tout le monde, (même si je ne vois pas trop de qui on parle), merci pour le dur travail de modération.
Bien que je comprenne les raisons pour ne pas publier (parce que ça a été expliqué plus haut dans les commentaires), j'aimerais quand même souligné que masquer/effacer les commentaires a aussi un effet pervers vis à vis de la perception de ce genre de modération.
Un point que j'ai vu assez souvent sur les actions vis à vis des CoC et autre modérations, c'est que les membres de la communauté n'ont pas la moindre idée exactement de ce qui s'est passé, et que la publication de "on a du intervenir" va entraîner parfois des inquiétudes basé sur une vision fantasmée des faits, car se basant uniquement sur la partie visible, et pas le reste.
Par exemple, toute les discussions privées ou des gens vont faire preuve de tact (en général), les avertissements donnés après une ou plusieurs infractions, etc, sont rarement pris en compte car non visible. Et les membres de la communauté gardent parfois juste "une cabale a décidé de virer X sans recours", entraînant les débats classiques.
Du coup, je me demande si il y a moyen de faire mieux, car reprendre le même schéma qu'ailleurs va entraîner les mêmes résultats qu'ailleurs.
Par exemple, une idée à laquelle je pense parfois, c'est de publier un compte rendu détaillé d'un faux incident, basé sur un vrai incident. Par exemple, dire que toto a publié tel texte et poster des logs de la tribune des modérateurs réalistes, pour voir combien de temps ça prends, pour visibiliser les discussions, et les efforts non visibles avant de sortir la solution forte.
Sans ça, j'ai peur que la modération continue d’apparaître comme une boite noire avec toute les peurs et divisions que ça engendre, car si il y a bien une chose qui fait consensus sur les questions de consensus, c'est que ça entraîne toujours des discussions quand c'est pas la depuis le début.
[^] # Re: Creation de system-petitiond
Posté par Misc (site web personnel) . En réponse au journal Pétition pour consolider les pétitions sur RMS. Évalué à 2.
Je propose qu'on aille plus loin. D'abord on l'écrit en C, puis on convertit le C en Rust, et le Rust à nouveau en C. Comme ça, on a le meilleur des 2 mondes.
[^] # Re: Creation de system-petitiond
Posté par Misc (site web personnel) . En réponse au journal Pétition pour consolider les pétitions sur RMS. Évalué à 4.
L'écrire en C, puis en Fortran, c'est une … fortranmation ?
[^] # Re: Tu as du paracétamol ?
Posté par Misc (site web personnel) . En réponse au journal Pétition pour consolider les pétitions sur RMS. Évalué à 4.
On note aussi qu'il utilise des algos de crypto de haut niveau, comme le secret de Shamir. Et qu'il parle couramment Python.
[^] # Re: Lettre ouverte en soutien à Richard M. Stallman
Posté par Misc (site web personnel) . En réponse au journal Pétition pour consolider les pétitions sur RMS. Évalué à 3.
Tu peux même rajouter https://lists.sr.ht/~tyil/rms-support
# Creation de system-petitiond
Posté par Misc (site web personnel) . En réponse au journal Pétition pour consolider les pétitions sur RMS. Évalué à 5.
Je pense qu'en effet, c'est une bonne idée. Je propose qu'on commence par choisir un outil afin de collaborer sur un design pour la création de system-petitiond, à fin d'offrir un interface dbus standard et portable pour signer les pétitions sur le bureau GNU/Linux (et GNU/FreeBSD et GNU/OpenBSD plus tard).
Pour le moment, je pense qu'il faut choisir entre le faire en C, pour plus de sécurité, ou en Rust, pour sa portabilité.
Est ce que l'élite moulocratique francophone de Linuxfr a des avis ?
[^] # Re: D'autres
Posté par Misc (site web personnel) . En réponse au journal Le directeur exécutif de la FSF démissionne, quelle suite?. Évalué à 3.
Les dernières annonces ouvrent un peu plus les vannes, et visiblement, RMS n'était pas exactement un boss exemplaire:
https://twitter.com/paulnivin/status/1377079987950395393