Donc je suppose qu'un truc plus haut qu'openssl avait besoin de la fonction, par exemple, un autre standard.
De la, à la place de Simo, tu as 3 choix:
- tu mets la version 3.0 alpha dans la distro (Fedora, RHEL). Faut que tu géres tout, c'est non supporté upstream.
tu mets juste ton patch qui vient d'upstream. Faut le gerer, mais tu as juste 1 fichier à regarder, et ça va pas impacter tout le reste d'openssl
tu attends et tu envoie chier ton chef et tes clients, en disant que Linuxfr ne comprendrais pas
Alors le dernier, c'est en général un assez mauvais plan. Si la raison est "ça va nous faire du travail", quand les gens payent pour ça, c'est pas trop la bonne excuse.
Le premier, c'est pas terrible non plus. On parle de la version 3.0, avec sans doute beaucoup de travail pour porter tout les logiciels, vu que l'API va changer. En plus, c'est encore une alpha.
"We believe his views will be critical to the FSF as we advance the mission and confront the challenges that software freedom faces."
Ensuite, peut être en effet que le mouvement du logiciel libre aurait fini par arriver au même point que maintenant avec ou sans RMS, et donc, il n'y a pas de raison de le garder en place.
Visiblement, les défenseurs de son retour à la FSF semblent croire le contraire et donc semble s'opposer à ton hypothèse.
Debian a prouvé que faire des choses dans son coin était
risqué, des fois cela se cache dans les détails, dans la
manière dont ils ont vérifier leurs backports
D'une part, je trouve que généraliser à partir d'un exemple datant d'il y a 10 ans est méthodologiquement faible.
Ensuite, la personne qui a fait le backport est listé ici:
"Software Developer at OpenSSL Software Foundation"
Mais à l'époque du patch (y a 1 an), il était encore employé par Red Hat à faire exactement la même chose dans mon souvenir (modulo s'occuper de RHEL).
Je doute qu'il soit parti "dans son coin" si il était déjà dev upstream, et contrairement à l'exemple du patch Debian dont tu parles, il y a eu des revues de code, et quelqu'un payé pour ça à temps plein avec des années d’expériences sur OpenSSL. Et l'état du code est meilleur qu'il y a 10 ans.
Si demain la FSF introduit des considérations politiques
n'ayant rien à voir avec le libre elle aura perdu ce rôle de
boussole du libre. Et ce quel que soit le bien fondé de ces
considérations politiques. En ce qui me concerne ce jour là la
FSF aura perdu tout intérêt.
C'est quoi "des considerations n'ayant rien à voir avec le libre" ?
Parce que de ce que je vois, la FSF a déjà des considérations politiques au delà de la technique, il suffit de voir la conférence LibrePlanet ( https://libreplanet.org/2017/program/ ).
Les discussions actuelles sur les questions d'inclusion au sein de la communauté du logiciel libre touche au libre, par définition.
Et j'irais même jusqu'à dire que le petit header que RMS rajoute dans ses mails sur le FBI et la NSA n'ont rien à voir avec le libre directement ou le logiciel, mais personne n'a jamais été lui faire la moindre remarque (exemple du header: https://gcc.gnu.org/legacy-ml/gcc/2014-01/msg00247.html ).
Je ne dit pas que c'est mal, loin de la. Je dit juste que ça n'a rien à voir avec le logiciel libre tel que définit par la FSF.
Et donc la FSF a déjà des actions hors du domaine du libre et de la définition par la FSF (les 4 libertés, ça parle pas de vie privé, de gouvernance étatique ni rien), sauf que ça ne semble pas déranger grand monde, au contraire des questions lié à l'inclusion dans le libre.
On peut même dire que depuis 10 (ou plus) ans l'apport de GNU
se résumait principalement à GCC
GPG et la glibc aussi. Et même si GPG a certains soucis et je pense qu'on devrait le remplacer suivant les usages, ça reste assez critique pour certains groupes (genre Debian).
Ensuite, tout les exemples que tu cites, c'est des groupes ayant individuellement pas une influence énorme non plus. C'est sur qu'en groupant tout ensemble, ça fait plus que la FSF, mais pris individuellement, bof.
La vision de RMS d'avoir un OS GNU ne s'est pas réalisé aussi parce que l'étendu de ce qu'on considère un OS a grandi depuis le début de la FSF. Refaire un UNIX des années 80 depuis 0, c'était largement faisable. Refaire Windows/macOS maintenant, c'est autrement plus complexe.
Et même si on peut pas tout mettre sur son dos (loin de la), et que je ne doute pas que la FSF et RMS ont aussi fait de leur mieux en toute bonne foi, on peut se poser la question de ce que ça aurait donner avec une figure moins clivante et plus fédératrice.
Puis le mouvement GNU s'est étoffé, et présente désormais une
importance capitale pour les plus grandes puissances du monde.
Source sur l'importance capitale ?
Parce que justement, ce qui est fait comme reproche, c'est que l'influence de Stallman semble limiter le mouvement plus qu'autre chose.
Un exemple sans doute plus proche de la réalité (et largement moins clivant, bien que j'apprécie la contribution pour allumer le feu, comme dirait un chanteur belge bien connu) est la croissance d'une entreprise. Passer de 3 personnes à 300, c'est différent de passer de 300 à 30000.
Et en substance, l'incapacité de la FSF à aller au delà de RMS est ce qui apparaît dans leurs dernières communications.
Quoi qu'on pense de RMS, c'est gênant si la FSF n'a pas réussi à inspirer des gens capables de prendre sa place, car il n'est pas exactement immortel.
Par contre cette attitude arrogante de la part des mainteneurs
Fedora me parait bien osée : ils backportent une feature
d'OpenSSL qui est actuellement en version alpha, donc
probablement pas ou peu auditée au niveau sécu
Perso, je pense déjà que les soucis de sécurité autour de la crypto sont assez souvent exagérés. Je veux pas dire par la que ça n'existe pas, ni que c'est pas important et qu'il faut s'en foutre. Mais c'est une question de contexte.
L'exemple donné dans le rapport de bug, c'est matlab. Je pense que matlab, c'est pas exactement le soft que quelqu'un va attaquer via une attaque crypto. Pourquoi se faire chier à faire du MITM quand les gens vont sans doute rajouter un module "notamalware.py" de 345 000 lignes de python pour aller plus vite si une réponse sur stackoverflow leur dit de faire ça ?
Par contre, la ou c'est important de garder openssl à jour, c'est pour avoir les nouveaux algos, et donc permettre au reste du monde d'aller de l'avant pour les cas ou c'est plus important. Mais c'est rarement la raison donné, parce que tout le monde s'en fout un peu de la maintenance.
Tu dis aussi que la fonctionnalité n'a pas été audité, c'est faux, le backport est visiblement aussi dans RHEL 8 (cf https://github.com/openssl/openssl/issues/11471 ), et donc a été audité avant backport.
De plus, si on regarde la fonction en question, c'est un algo standardisé de hash (https://wiki.openssl.org/index.php?title=EVP_Key_Derivation). Il peut y avoir des bugs bien sur, mais je pense que tu peux vérifier assez facilement que ça marche comme il faut. Il n'y a pas de communication avec le réseau, pas de traitement complexe d'un format, un résultat déterministe, donc je pense que le risque est assez faible. Si il y a un souci, c'est dans l'algo plus que dans le code, et l'algo est publique.
Maintenant, oui, le versionnage sous Linux, c'est un peu n'importe quoi, et la gestion des ABIs, c'est pas vraiment ça.
Et je comprends effectivement le souci que ça pose à des ISVs qui veulent légitimement avoir 1 seul build pour Linux.
Je suis assez vieux pour me souvenir de la LSB. Je suis aussi assez jeune pour voir que y a pas eu de nouvelles versions depuis 2015.
On peut, mais c'est pas fait coté serveur (alors que ça pourrait, en théorie). Tu es pas en mode "j'ai un alias et je l'oublie" comme avec le mail (même si, avec SPF, ça devient plus compliqué).
Par exemple, gmail peut aller lire ton courrier sur laposte.net ou yahoo.com, donc de ton coté, tu oublies plus ou moins qu'il y a des choses à faire quand tu bouges d'une boite à l'autre.
Avec XMPP, dans l'état des clients, tu peux pas juste faire ce genre de choses, tu es obligé d'avoir ton 2eme compte configuré et de prévenir les gens 1 par 1 que tu va lâcher l'ancien compte. Tu as pas de fonction réponse automatique "je ne suis plus la, merci de mettre à jour" (voir même, que les clients se mettent à jour eux même)
Un autre point pour le mail, c'est que tu peux avoir 5 adresses mails et ne pas avoir 5 clients mails de façon plus ou moins transparente via le forwarding. Donc tu peux changer en douceur, on peut t'en filer plusieurs.
Que je sache, signal (coté client) à du code sur github. Télégram a du code sur github, Wire aussi. Matrix a une spec, et des SDK.
Donc il y a pléthore de messageries ou il y a pas vraiment de faire de l'examen de dump binaires.
C'est pas le cas pour tout (iMessage, FB messenger, etc), mais je pense que c'est le cas de beaucoup d'applications de messagerie, donc je pense pas que le fait de ne plus pouvoir faire de rétro-ingénierie soit ce qui bloque, non ?
Autant au boulot, on a encore des d’IPv4 inutilisées donc nos
informaticiens ne se pressent pas à passer à IPv6, autant sur
un réseau perso, IPv6 est une vraie bouffée d’air frais
Alors sans juger des motivations de tes collègues, je pense qu'il y a aussi le fait qu'avoir IP v4 et IP v6, ça fait techniquement 2 réseaux à maintenir. Genre 2 fois plus de documentations (sauf si la doc est pas écrite), 2 fois plus de commandes à taper, à prévoir, etc. Alors ça veut pas dire "on a 2 fois plus de boulot", mais il y en a en plus et ça rajoute un peu de complexité un peu partout.
Je suis pro IP v6, mais je pense qu'il faut aussi garder en tête la problématique de la migration d'un réseau conséquent.
J'ai pas encore testé ça, mais si tu as besoin d'une clé u2f juste au boot, je pense que ça peux être suffisant (en supposant que tu es du bon coté de l'équation mossad/not mossad du chercheur James Mickens https://www.usenix.org/system/files/1401_08-12_mickens.pdf )
Perso, je pense pas que mon expérience soit généralisable, mais
je crois que le sondage ne reflète pas vraiment la complexité de tout ce que la question peut recouvrir.
Car venir au bureau, ça sous entends divers choses.
Si on parle d'aller au bureau pour voir les murs et la déco, j'y vais parfois.
Le bureau le plus proche de chez moi de mon employeur, c'est surtout des commerciaux, les ingés étant en général en télétravail.
J'y vais (quand il est ouvert, cad hors pandémie) 1 fois tout les 1 ou 2 semaines (et parfois moins). Je part vers 11h (j'évite la foule dans les transports en commun), je mange avec des collègues, puis je passe l’après midi en réunion (que j'ai concentré sur les 3/4h de ce créneau). Un bureau en openspace rempli de commerciaux, c'est pas terrible pour la concentration, d'ou mon arrangement calendaire.
Si on parle d'aller au bureau pour sortir de chez soi, je vais aussi bosser depuis un espace de coworking 1 fois par semaine. J'arrive vers 10h, je repart quand ça ferme, je vais parfois boire des coups ou j'ai un rencard (vachement moins depuis 1 an). C'est un peu mieux pour la concentration, mais pas de beaucoup (je remercie pas la startup bruyante juste à coté de ma place et la machine à café). Et je vois pas de collègues, juste des potes.
Si on parle d'aller au bureau pour voir des gens avec qui on travaille, c'est encore différent.
Je me retrouve parfois à aller voir ailleurs si j'y suis (spoiler, j'y suis), et à passer du temps dans des bureaux plus orientés ingénieur. J'ai passé 1 semaine à Berlin, 2*1 mois à Montréal, plusieurs fois à Brno en visitant la ville, aller voir des amis, et bosser depuis les bureaux avec des ingés. Je fais ça en général 1 fois par an. Je m'arrange pour caler ça avec une conférence ou une réunion d'équipe, ce qui fait que mon employeur paye le trajet et l’hôtel/bouffe pendant la conférence (voir des jours de récup si c'est le weekend). Le reste, c'est juste moi qui bosse un peu pour pouvoir visiter le weekend.
À mon avis, c'est super important d'avoir des contacts en dehors des emails et réunions, que ça soit un repas ou aller boire un coup.
Ensuite, il y a le contexte.
Je bosse dans une multinationale avec 30% de gens en télétravail, sur ~90 bureaux dans le monde (de 5 personnes à 3000 personnes). Les gens, même dans un bureau, doivent bosser avec des gens hors de leur bureau.
J'imagine que quelqu'un qui bosse dans une PME de 30 personnes sur un seul site, c'est totalement différent, surtout si on est la seule personne en télétravail.
Je suppose que ça dépend aussi du temps de trajet. Moi, j'ai grosso modo 40 minutes à une heure avec les transports en commun, donc ça coûte rien d'y aller. C'est pas pareil quand tu dois faire un Lille/Toulouse.
Et ça dépend si tu commences ou pas à faire du télétravail, si tu es la depuis longtemps, si tu as une pièce séparée dans un chateau ou si tu fais ça dans ton appart de 20m² à Paris.
Donc voila "faut il venir au bureau" n'est pas une question très précise.
Oui, mais le journal parle aussi de mettre en place un code de conduite (ce qui me parait une bonne chose, pour clarifier ma position).
Mon expérience est qu'une fois que c'est en place, la modération devient plus mature, et le nombre de rapport grimpent, car la communauté voit que ça a un impact (au lieu de partir en douce).
Moi, j'ajouterais aussi au fait d'avoir changé de FCAIC joue beaucoup, l'ancien (Brian Exelbierd) étant plus focalisé sur la question de mettre en place des processus plus solides pour le budget la ou la nouvelle (Marie Nordin) cible plus les questions D&I.
Tout ça pour dire que même si ça reste exceptionnel (et je l'espère, pour le bien être de l'équipe), il me parait intéressant de regarder avec un œil critique le cheminement des autres, et voir si, avec le recul, il y a moyen de faire mieux.
Alors comme tout le monde, (même si je ne vois pas trop de qui on parle), merci pour le dur travail de modération.
Bien que je comprenne les raisons pour ne pas publier (parce que ça a été expliqué plus haut dans les commentaires), j'aimerais quand même souligné que masquer/effacer les commentaires a aussi un effet pervers vis à vis de la perception de ce genre de modération.
Un point que j'ai vu assez souvent sur les actions vis à vis des CoC et autre modérations, c'est que les membres de la communauté n'ont pas la moindre idée exactement de ce qui s'est passé, et que la publication de "on a du intervenir" va entraîner parfois des inquiétudes basé sur une vision fantasmée des faits, car se basant uniquement sur la partie visible, et pas le reste.
Par exemple, toute les discussions privées ou des gens vont faire preuve de tact (en général), les avertissements donnés après une ou plusieurs infractions, etc, sont rarement pris en compte car non visible. Et les membres de la communauté gardent parfois juste "une cabale a décidé de virer X sans recours", entraînant les débats classiques.
Du coup, je me demande si il y a moyen de faire mieux, car reprendre le même schéma qu'ailleurs va entraîner les mêmes résultats qu'ailleurs.
Par exemple, une idée à laquelle je pense parfois, c'est de publier un compte rendu détaillé d'un faux incident, basé sur un vrai incident. Par exemple, dire que toto a publié tel texte et poster des logs de la tribune des modérateurs réalistes, pour voir combien de temps ça prends, pour visibiliser les discussions, et les efforts non visibles avant de sortir la solution forte.
Sans ça, j'ai peur que la modération continue d’apparaître comme une boite noire avec toute les peurs et divisions que ça engendre, car si il y a bien une chose qui fait consensus sur les questions de consensus, c'est que ça entraîne toujours des discussions quand c'est pas la depuis le début.
Je propose qu'on aille plus loin. D'abord on l'écrit en C, puis on convertit le C en Rust, et le Rust à nouveau en C. Comme ça, on a le meilleur des 2 mondes.
Je pense qu'en effet, c'est une bonne idée. Je propose qu'on commence par choisir un outil afin de collaborer sur un design pour la création de system-petitiond, à fin d'offrir un interface dbus standard et portable pour signer les pétitions sur le bureau GNU/Linux (et GNU/FreeBSD et GNU/OpenBSD plus tard).
Pour le moment, je pense qu'il faut choisir entre le faire en C, pour plus de sécurité, ou en Rust, pour sa portabilité.
Est ce que l'élite moulocratique francophone de Linuxfr a des avis ?
C'est faux de dire que tout le monde s'en fout : beaucoup vont
choisir Debian (ou une autre distribution qui fait attention à
ce que dit la FSF) plutôt qu'une distribution moins libre
Les entreprises, les associations ou les particuliers ne vont pas prendre une distro parce que la FSF le dit par idéologie, mais parce que le classement de la FSF sert aussi à signaler quelque chose vis à vis de l'usage du code.
Mais ça ne fait pas tout, loin de la. Par exemple, Debian est plus utilisé que les versions sans blob jugé comme libre par la FSF, parce que même si les gens s'attachent au libre, le fait de ne pas devoir changer de matériel compte.
Et on parle des succès de la FSF, mais on a aussi les foirages.
Par exemple, l'AGPL est assez sous utilisé en pratique. Je sais pas si on peut tout mettre sur le dos de la FSF bien sur, mais c'était aussi son rôle.
On peut parler du "Franklin Street Statement on Freedom and Network Services" (https://idiomdrottning.org/franklin). C'était clairement novateur, mais ça n'a pas décollé du tout, et c'était par la FSF, en 2008.
On peut parler des brevets logiciels. La position de la FSF est que ça ne devrait pas exister, mais la solution en pratique en ce moment, ça a été de fonder l'OIN (Open Invention Network).
Dans un contexte ou on a des exemples documentés de gens qui s'éloignent de la FSF depuis des années à cause de RMS, à quel moment est ce qu'on peut imputer une part de tout ces échecs au fait que la FSF n'a pas réussi à mobiliser assez de personnes motivées ou à la direction prise par la FSF ?
À quel moment est ce qu'on va se dire que les priorités sur le copyleft font que les combats d'avant garde ont attendus trop longtemps ?
À quel moment on va se dire que tout ça, c'est aussi parce la FSF a été vu comme l'extension de RMS, et donc c'est sa responsabilité ?
"We are not talking about some single recent incident, but about
decades of problematic behavior. At the last face-to-face GNU Tools Cauldron, everybody I talked to about it had some story about being harassed by RMS, had witnessed such harassment or heard from or knew someone who had been"
Alors je peux pas me prononcer sur la fortune de mes collègues directs, mais je ne pense pas qu'ils soient milliardaires.
La lettre est signé par le PDG, parce qu'il est PDG et qu'il y a pas grand monde qui peut parler au nom de RH.
Par contre, elle a été porté par ma directrice (Deborah Bryant) au CTO (Chris Wright), parce que des gens en interne sont venus nous voir pour ça depuis divers équipes. Tout comme beaucoup de gens en France ont des histoires sur RMS qu'ils racontent pas dans des posts Medium et sur Twitter, il y a aussi des gens avec des histoires sur RMS ailleurs, parce des gens qui ont fait du libre avant RH et en dehors de RH, il y a en pas mal.
Je peux pas raconter les histoires des autres, mais il suffit de voir ce qui est dans la bio de RMS:
[^] # Re: Au sujet du backport
Posté par Misc (site web personnel) . En réponse au journal OpenSSL : Fedora en mode YOLO. Évalué à 4.
Vu que le patch est aussi dans RHEL 8 (, je suppose qu'une dépendance en a besoin (exemple, freeipa)).
Par exemple, je vois que Simon Sorce a rajouté le support de SSH KDF:
https://github.com/openssl/openssl/commit/8d76481b189b7195ef932e0fb8f0e23ab0120771
Simo bosse sur GSS et FreeIPA, et le patch pour SSH KDF a aussi été backporté, par ses soins:
https://src.fedoraproject.org/rpms/openssl/blob/rawhide/f/openssl-1.1.1-ssh-kdf.patch
Donc je suppose qu'un truc plus haut qu'openssl avait besoin de la fonction, par exemple, un autre standard.
De la, à la place de Simo, tu as 3 choix:
- tu mets la version 3.0 alpha dans la distro (Fedora, RHEL). Faut que tu géres tout, c'est non supporté upstream.
tu mets juste ton patch qui vient d'upstream. Faut le gerer, mais tu as juste 1 fichier à regarder, et ça va pas impacter tout le reste d'openssl
tu attends et tu envoie chier ton chef et tes clients, en disant que Linuxfr ne comprendrais pas
Alors le dernier, c'est en général un assez mauvais plan. Si la raison est "ça va nous faire du travail", quand les gens payent pour ça, c'est pas trop la bonne excuse.
Le premier, c'est pas terrible non plus. On parle de la version 3.0, avec sans doute beaucoup de travail pour porter tout les logiciels, vu que l'API va changer. En plus, c'est encore une alpha.
Donc il reste que le second.
C'est aussi l'analyse de Toto en fait:
https://linuxfr.org/nodes/123979/comments/1849563
[^] # Re: Parallèle avec la politique
Posté par Misc (site web personnel) . En réponse au journal GNU t'es la ?. Évalué à 10.
C'est pas l'avis de la FSF, qui dit dans son dernier message (https://www.fsf.org/news/statement-of-fsf-board-on-election-of-richard-stallman):
"We believe his views will be critical to the FSF as we advance the mission and confront the challenges that software freedom faces."
Ensuite, peut être en effet que le mouvement du logiciel libre aurait fini par arriver au même point que maintenant avec ou sans RMS, et donc, il n'y a pas de raison de le garder en place.
Visiblement, les défenseurs de son retour à la FSF semblent croire le contraire et donc semble s'opposer à ton hypothèse.
[^] # Re: Au sujet du backport
Posté par Misc (site web personnel) . En réponse au journal OpenSSL : Fedora en mode YOLO. Évalué à 5.
D'une part, je trouve que généraliser à partir d'un exemple datant d'il y a 10 ans est méthodologiquement faible.
Ensuite, la personne qui a fait le backport est listé ici:
https://src.fedoraproject.org/rpms/openssl/history/openssl-1.1.1-krb5-kdf.patch?identifier=rawhide
Son compte github est ici:
https://github.com/t8m
J'attire l'attention sur son profil:
"Software Developer at OpenSSL Software Foundation"
Mais à l'époque du patch (y a 1 an), il était encore employé par Red Hat à faire exactement la même chose dans mon souvenir (modulo s'occuper de RHEL).
Je doute qu'il soit parti "dans son coin" si il était déjà dev upstream, et contrairement à l'exemple du patch Debian dont tu parles, il y a eu des revues de code, et quelqu'un payé pour ça à temps plein avec des années d’expériences sur OpenSSL. Et l'état du code est meilleur qu'il y a 10 ans.
Et encore une fois, c'est une fonction de hash.
C'est déterministe par nature, il y a une spécification sous forme d'une RFC et il y a des tests (genre beaucoup de tests: https://src.fedoraproject.org/rpms/openssl/blob/rawhide/f/openssl-1.1.1-krb5-kdf.patch#_2476 , genre à vue de nez, 100 à 120 tests ).
[^] # Re: Parallèle avec la politique
Posté par Misc (site web personnel) . En réponse au journal GNU t'es la ?. Évalué à 10.
C'est quoi "des considerations n'ayant rien à voir avec le libre" ?
Parce que de ce que je vois, la FSF a déjà des considérations politiques au delà de la technique, il suffit de voir la conférence LibrePlanet ( https://libreplanet.org/2017/program/ ).
Les discussions actuelles sur les questions d'inclusion au sein de la communauté du logiciel libre touche au libre, par définition.
Et j'irais même jusqu'à dire que le petit header que RMS rajoute dans ses mails sur le FBI et la NSA n'ont rien à voir avec le libre directement ou le logiciel, mais personne n'a jamais été lui faire la moindre remarque (exemple du header: https://gcc.gnu.org/legacy-ml/gcc/2014-01/msg00247.html ).
Et c'est pas juste RMS, c'est aussi une campagne de la FSF:
https://emailselfdefense.fsf.org/en/
Je ne dit pas que c'est mal, loin de la. Je dit juste que ça n'a rien à voir avec le logiciel libre tel que définit par la FSF.
Et donc la FSF a déjà des actions hors du domaine du libre et de la définition par la FSF (les 4 libertés, ça parle pas de vie privé, de gouvernance étatique ni rien), sauf que ça ne semble pas déranger grand monde, au contraire des questions lié à l'inclusion dans le libre.
[^] # Re: Parallèle avec la politique
Posté par Misc (site web personnel) . En réponse au journal GNU t'es la ?. Évalué à 10.
GPG et la glibc aussi. Et même si GPG a certains soucis et je pense qu'on devrait le remplacer suivant les usages, ça reste assez critique pour certains groupes (genre Debian).
Ensuite, tout les exemples que tu cites, c'est des groupes ayant individuellement pas une influence énorme non plus. C'est sur qu'en groupant tout ensemble, ça fait plus que la FSF, mais pris individuellement, bof.
La vision de RMS d'avoir un OS GNU ne s'est pas réalisé aussi parce que l'étendu de ce qu'on considère un OS a grandi depuis le début de la FSF. Refaire un UNIX des années 80 depuis 0, c'était largement faisable. Refaire Windows/macOS maintenant, c'est autrement plus complexe.
Et même si on peut pas tout mettre sur son dos (loin de la), et que je ne doute pas que la FSF et RMS ont aussi fait de leur mieux en toute bonne foi, on peut se poser la question de ce que ça aurait donner avec une figure moins clivante et plus fédératrice.
[^] # Re: Parallèle avec la politique
Posté par Misc (site web personnel) . En réponse au journal GNU t'es la ?. Évalué à 10.
Source sur l'importance capitale ?
Parce que justement, ce qui est fait comme reproche, c'est que l'influence de Stallman semble limiter le mouvement plus qu'autre chose.
Un exemple sans doute plus proche de la réalité (et largement moins clivant, bien que j'apprécie la contribution pour allumer le feu, comme dirait un chanteur belge bien connu) est la croissance d'une entreprise. Passer de 3 personnes à 300, c'est différent de passer de 300 à 30000.
Et en substance, l'incapacité de la FSF à aller au delà de RMS est ce qui apparaît dans leurs dernières communications.
Quoi qu'on pense de RMS, c'est gênant si la FSF n'a pas réussi à inspirer des gens capables de prendre sa place, car il n'est pas exactement immortel.
# Au sujet du backport
Posté par Misc (site web personnel) . En réponse au journal OpenSSL : Fedora en mode YOLO. Évalué à 7.
Perso, je pense déjà que les soucis de sécurité autour de la crypto sont assez souvent exagérés. Je veux pas dire par la que ça n'existe pas, ni que c'est pas important et qu'il faut s'en foutre. Mais c'est une question de contexte.
L'exemple donné dans le rapport de bug, c'est matlab. Je pense que matlab, c'est pas exactement le soft que quelqu'un va attaquer via une attaque crypto. Pourquoi se faire chier à faire du MITM quand les gens vont sans doute rajouter un module "notamalware.py" de 345 000 lignes de python pour aller plus vite si une réponse sur stackoverflow leur dit de faire ça ?
Par contre, la ou c'est important de garder openssl à jour, c'est pour avoir les nouveaux algos, et donc permettre au reste du monde d'aller de l'avant pour les cas ou c'est plus important. Mais c'est rarement la raison donné, parce que tout le monde s'en fout un peu de la maintenance.
Tu dis aussi que la fonctionnalité n'a pas été audité, c'est faux, le backport est visiblement aussi dans RHEL 8 (cf https://github.com/openssl/openssl/issues/11471 ), et donc a été audité avant backport.
De plus, si on regarde la fonction en question, c'est un algo standardisé de hash (https://wiki.openssl.org/index.php?title=EVP_Key_Derivation). Il peut y avoir des bugs bien sur, mais je pense que tu peux vérifier assez facilement que ça marche comme il faut. Il n'y a pas de communication avec le réseau, pas de traitement complexe d'un format, un résultat déterministe, donc je pense que le risque est assez faible. Si il y a un souci, c'est dans l'algo plus que dans le code, et l'algo est publique.
Maintenant, oui, le versionnage sous Linux, c'est un peu n'importe quoi, et la gestion des ABIs, c'est pas vraiment ça.
Et je comprends effectivement le souci que ça pose à des ISVs qui veulent légitimement avoir 1 seul build pour Linux.
Je suis assez vieux pour me souvenir de la LSB. Je suis aussi assez jeune pour voir que y a pas eu de nouvelles versions depuis 2015.
[^] # Re: IRC
Posté par Misc (site web personnel) . En réponse au journal GAIM, c'est fini. Évalué à 4.
On peut, mais c'est pas fait coté serveur (alors que ça pourrait, en théorie). Tu es pas en mode "j'ai un alias et je l'oublie" comme avec le mail (même si, avec SPF, ça devient plus compliqué).
Par exemple, gmail peut aller lire ton courrier sur laposte.net ou yahoo.com, donc de ton coté, tu oublies plus ou moins qu'il y a des choses à faire quand tu bouges d'une boite à l'autre.
Avec XMPP, dans l'état des clients, tu peux pas juste faire ce genre de choses, tu es obligé d'avoir ton 2eme compte configuré et de prévenir les gens 1 par 1 que tu va lâcher l'ancien compte. Tu as pas de fonction réponse automatique "je ne suis plus la, merci de mettre à jour" (voir même, que les clients se mettent à jour eux même)
Il y a bien eu ça une tentative: https://xmpp.org/extensions/attic/xep-0051-0.1.html
Mais ça n'a pas l'air d'avoir passé l'étape de standardisation.
[^] # Re: IRC
Posté par Misc (site web personnel) . En réponse au journal GAIM, c'est fini. Évalué à 2.
Un autre point pour le mail, c'est que tu peux avoir 5 adresses mails et ne pas avoir 5 clients mails de façon plus ou moins transparente via le forwarding. Donc tu peux changer en douceur, on peut t'en filer plusieurs.
C'est pareil avec le téléphone et les renvois.
Je ne crois pas que ça soit le cas pour XMPP.
[^] # Re: Snif
Posté par Misc (site web personnel) . En réponse au journal GAIM, c'est fini. Évalué à 5.
Je pense que c'est surtout un manque de ressources. Il n'y a rien dans pidgin qui rends impossible d'avoir un meilleur support.
C'est juste que personne ne le fait, je pense.
[^] # Re: Snif
Posté par Misc (site web personnel) . En réponse au journal GAIM, c'est fini. Évalué à 4.
Que je sache, signal (coté client) à du code sur github. Télégram a du code sur github, Wire aussi. Matrix a une spec, et des SDK.
Donc il y a pléthore de messageries ou il y a pas vraiment de faire de l'examen de dump binaires.
C'est pas le cas pour tout (iMessage, FB messenger, etc), mais je pense que c'est le cas de beaucoup d'applications de messagerie, donc je pense pas que le fait de ne plus pouvoir faire de rétro-ingénierie soit ce qui bloque, non ?
[^] # Re: Fausse problématique
Posté par Misc (site web personnel) . En réponse au sondage Utilisez vous IPv6 ?. Évalué à 5.
Alors sans juger des motivations de tes collègues, je pense qu'il y a aussi le fait qu'avoir IP v4 et IP v6, ça fait techniquement 2 réseaux à maintenir. Genre 2 fois plus de documentations (sauf si la doc est pas écrite), 2 fois plus de commandes à taper, à prévoir, etc. Alors ça veut pas dire "on a 2 fois plus de boulot", mais il y en a en plus et ça rajoute un peu de complexité un peu partout.
Je suis pro IP v6, mais je pense qu'il faut aussi garder en tête la problématique de la migration d'un réseau conséquent.
[^] # Re: utilité du chiffrement ?
Posté par Misc (site web personnel) . En réponse au journal Allez, il fallait bien que ça arrive. Évalué à 4.
Tu as regardé du coté des nouveautés comme http://0pointer.net/blog/unlocking-luks2-volumes-with-tpm2-fido2-pkcs11-security-hardware-on-systemd-248.html ou https://semanticlab.net/sysadmin/encryption/Network-bound-disk-encryption-in-ubuntu-20.04/ ?
J'ai pas encore testé ça, mais si tu as besoin d'une clé u2f juste au boot, je pense que ça peux être suffisant (en supposant que tu es du bon coté de l'équation mossad/not mossad du chercheur James Mickens https://www.usenix.org/system/files/1401_08-12_mickens.pdf )
# De temps en temps
Posté par Misc (site web personnel) . En réponse au sondage [Télétravail] faut-il venir parfois au bureau?. Évalué à 3.
Perso, je pense pas que mon expérience soit généralisable, mais
je crois que le sondage ne reflète pas vraiment la complexité de tout ce que la question peut recouvrir.
Car venir au bureau, ça sous entends divers choses.
Si on parle d'aller au bureau pour voir les murs et la déco, j'y vais parfois.
Le bureau le plus proche de chez moi de mon employeur, c'est surtout des commerciaux, les ingés étant en général en télétravail.
J'y vais (quand il est ouvert, cad hors pandémie) 1 fois tout les 1 ou 2 semaines (et parfois moins). Je part vers 11h (j'évite la foule dans les transports en commun), je mange avec des collègues, puis je passe l’après midi en réunion (que j'ai concentré sur les 3/4h de ce créneau). Un bureau en openspace rempli de commerciaux, c'est pas terrible pour la concentration, d'ou mon arrangement calendaire.
Si on parle d'aller au bureau pour sortir de chez soi, je vais aussi bosser depuis un espace de coworking 1 fois par semaine. J'arrive vers 10h, je repart quand ça ferme, je vais parfois boire des coups ou j'ai un rencard (vachement moins depuis 1 an). C'est un peu mieux pour la concentration, mais pas de beaucoup (je remercie pas la startup bruyante juste à coté de ma place et la machine à café). Et je vois pas de collègues, juste des potes.
Si on parle d'aller au bureau pour voir des gens avec qui on travaille, c'est encore différent.
Je me retrouve parfois à aller voir ailleurs si j'y suis (spoiler, j'y suis), et à passer du temps dans des bureaux plus orientés ingénieur. J'ai passé 1 semaine à Berlin, 2*1 mois à Montréal, plusieurs fois à Brno en visitant la ville, aller voir des amis, et bosser depuis les bureaux avec des ingés. Je fais ça en général 1 fois par an. Je m'arrange pour caler ça avec une conférence ou une réunion d'équipe, ce qui fait que mon employeur paye le trajet et l’hôtel/bouffe pendant la conférence (voir des jours de récup si c'est le weekend). Le reste, c'est juste moi qui bosse un peu pour pouvoir visiter le weekend.
À mon avis, c'est super important d'avoir des contacts en dehors des emails et réunions, que ça soit un repas ou aller boire un coup.
Ensuite, il y a le contexte.
Je bosse dans une multinationale avec 30% de gens en télétravail, sur ~90 bureaux dans le monde (de 5 personnes à 3000 personnes). Les gens, même dans un bureau, doivent bosser avec des gens hors de leur bureau.
J'imagine que quelqu'un qui bosse dans une PME de 30 personnes sur un seul site, c'est totalement différent, surtout si on est la seule personne en télétravail.
Je suppose que ça dépend aussi du temps de trajet. Moi, j'ai grosso modo 40 minutes à une heure avec les transports en commun, donc ça coûte rien d'y aller. C'est pas pareil quand tu dois faire un Lille/Toulouse.
Et ça dépend si tu commences ou pas à faire du télétravail, si tu es la depuis longtemps, si tu as une pièce séparée dans un chateau ou si tu fais ça dans ton appart de 20m² à Paris.
Donc voila "faut il venir au bureau" n'est pas une question très précise.
[^] # Re: De la publication ou non de plus d'informations
Posté par Misc (site web personnel) . En réponse au journal Bannissement d'un utilisateur et évolution de la modération. Évalué à 2.
Oui, mais le journal parle aussi de mettre en place un code de conduite (ce qui me parait une bonne chose, pour clarifier ma position).
Mon expérience est qu'une fois que c'est en place, la modération devient plus mature, et le nombre de rapport grimpent, car la communauté voit que ça a un impact (au lieu de partir en douce).
Par exemple, en 2020, Fedora a vu le nombre de rapports d'incident grimper fortement, une hausse attribué d'une part à la maturité du système et à une hausse des incidents du à la pandémie (voir https://communityblog.fedoraproject.org/fedora-code-of-conduct-report-2020/).
Moi, j'ajouterais aussi au fait d'avoir changé de FCAIC joue beaucoup, l'ancien (Brian Exelbierd) étant plus focalisé sur la question de mettre en place des processus plus solides pour le budget la ou la nouvelle (Marie Nordin) cible plus les questions D&I.
Tout ça pour dire que même si ça reste exceptionnel (et je l'espère, pour le bien être de l'équipe), il me parait intéressant de regarder avec un œil critique le cheminement des autres, et voir si, avec le recul, il y a moyen de faire mieux.
# De la publication ou non de plus d'informations
Posté par Misc (site web personnel) . En réponse au journal Bannissement d'un utilisateur et évolution de la modération. Évalué à 8.
Alors comme tout le monde, (même si je ne vois pas trop de qui on parle), merci pour le dur travail de modération.
Bien que je comprenne les raisons pour ne pas publier (parce que ça a été expliqué plus haut dans les commentaires), j'aimerais quand même souligné que masquer/effacer les commentaires a aussi un effet pervers vis à vis de la perception de ce genre de modération.
Un point que j'ai vu assez souvent sur les actions vis à vis des CoC et autre modérations, c'est que les membres de la communauté n'ont pas la moindre idée exactement de ce qui s'est passé, et que la publication de "on a du intervenir" va entraîner parfois des inquiétudes basé sur une vision fantasmée des faits, car se basant uniquement sur la partie visible, et pas le reste.
Par exemple, toute les discussions privées ou des gens vont faire preuve de tact (en général), les avertissements donnés après une ou plusieurs infractions, etc, sont rarement pris en compte car non visible. Et les membres de la communauté gardent parfois juste "une cabale a décidé de virer X sans recours", entraînant les débats classiques.
Du coup, je me demande si il y a moyen de faire mieux, car reprendre le même schéma qu'ailleurs va entraîner les mêmes résultats qu'ailleurs.
Par exemple, une idée à laquelle je pense parfois, c'est de publier un compte rendu détaillé d'un faux incident, basé sur un vrai incident. Par exemple, dire que toto a publié tel texte et poster des logs de la tribune des modérateurs réalistes, pour voir combien de temps ça prends, pour visibiliser les discussions, et les efforts non visibles avant de sortir la solution forte.
Sans ça, j'ai peur que la modération continue d’apparaître comme une boite noire avec toute les peurs et divisions que ça engendre, car si il y a bien une chose qui fait consensus sur les questions de consensus, c'est que ça entraîne toujours des discussions quand c'est pas la depuis le début.
[^] # Re: Creation de system-petitiond
Posté par Misc (site web personnel) . En réponse au journal Pétition pour consolider les pétitions sur RMS. Évalué à 2.
Je propose qu'on aille plus loin. D'abord on l'écrit en C, puis on convertit le C en Rust, et le Rust à nouveau en C. Comme ça, on a le meilleur des 2 mondes.
[^] # Re: Creation de system-petitiond
Posté par Misc (site web personnel) . En réponse au journal Pétition pour consolider les pétitions sur RMS. Évalué à 4.
L'écrire en C, puis en Fortran, c'est une … fortranmation ?
[^] # Re: Tu as du paracétamol ?
Posté par Misc (site web personnel) . En réponse au journal Pétition pour consolider les pétitions sur RMS. Évalué à 4.
On note aussi qu'il utilise des algos de crypto de haut niveau, comme le secret de Shamir. Et qu'il parle couramment Python.
[^] # Re: Lettre ouverte en soutien à Richard M. Stallman
Posté par Misc (site web personnel) . En réponse au journal Pétition pour consolider les pétitions sur RMS. Évalué à 3.
Tu peux même rajouter https://lists.sr.ht/~tyil/rms-support
# Creation de system-petitiond
Posté par Misc (site web personnel) . En réponse au journal Pétition pour consolider les pétitions sur RMS. Évalué à 5.
Je pense qu'en effet, c'est une bonne idée. Je propose qu'on commence par choisir un outil afin de collaborer sur un design pour la création de system-petitiond, à fin d'offrir un interface dbus standard et portable pour signer les pétitions sur le bureau GNU/Linux (et GNU/FreeBSD et GNU/OpenBSD plus tard).
Pour le moment, je pense qu'il faut choisir entre le faire en C, pour plus de sécurité, ou en Rust, pour sa portabilité.
Est ce que l'élite moulocratique francophone de Linuxfr a des avis ?
[^] # Re: D'autres
Posté par Misc (site web personnel) . En réponse au journal Le directeur exécutif de la FSF démissionne, quelle suite?. Évalué à 3.
Les dernières annonces ouvrent un peu plus les vannes, et visiblement, RMS n'était pas exactement un boss exemplaire:
https://twitter.com/paulnivin/status/1377079987950395393
[^] # Re: Red Hat
Posté par Misc (site web personnel) . En réponse au journal Le directeur exécutif de la FSF démissionne, quelle suite?. Évalué à 6.
Les entreprises, les associations ou les particuliers ne vont pas prendre une distro parce que la FSF le dit par idéologie, mais parce que le classement de la FSF sert aussi à signaler quelque chose vis à vis de l'usage du code.
Mais ça ne fait pas tout, loin de la. Par exemple, Debian est plus utilisé que les versions sans blob jugé comme libre par la FSF, parce que même si les gens s'attachent au libre, le fait de ne pas devoir changer de matériel compte.
Et on parle des succès de la FSF, mais on a aussi les foirages.
Par exemple, l'AGPL est assez sous utilisé en pratique. Je sais pas si on peut tout mettre sur le dos de la FSF bien sur, mais c'était aussi son rôle.
On peut parler du "Franklin Street Statement on Freedom and Network Services" (https://idiomdrottning.org/franklin). C'était clairement novateur, mais ça n'a pas décollé du tout, et c'était par la FSF, en 2008.
On peut parler des brevets logiciels. La position de la FSF est que ça ne devrait pas exister, mais la solution en pratique en ce moment, ça a été de fonder l'OIN (Open Invention Network).
Dans un contexte ou on a des exemples documentés de gens qui s'éloignent de la FSF depuis des années à cause de RMS, à quel moment est ce qu'on peut imputer une part de tout ces échecs au fait que la FSF n'a pas réussi à mobiliser assez de personnes motivées ou à la direction prise par la FSF ?
À quel moment est ce qu'on va se dire que les priorités sur le copyleft font que les combats d'avant garde ont attendus trop longtemps ?
À quel moment on va se dire que tout ça, c'est aussi parce la FSF a été vu comme l'extension de RMS, et donc c'est sa responsabilité ?
[^] # Re: Red Hat
Posté par Misc (site web personnel) . En réponse au journal Le directeur exécutif de la FSF démissionne, quelle suite?. Évalué à 1.
Je sais que c'est mal de se répondre, mais un autre exemple (Mark Wielaard bosse aussi à Red Hat) :
https://gcc.gnu.org/pipermail/gcc/2021-March/235121.html
"We are not talking about some single recent incident, but about
decades of problematic behavior. At the last face-to-face GNU Tools Cauldron, everybody I talked to about it had some story about being harassed by RMS, had witnessed such harassment or heard from or knew someone who had been"
Le reste du mail est aussi assez révélateur.
Pour les gens qui se demandent de quel liste il parle, c'est https://lists.gnu.org/archive/html/gnu-misc-discuss/2021-03/threads.html
(sans surprise, on retrouve Daniel Pocock en train d'inciter les gens à appeler les flics pour faire arrêter quelqu'un qu'il harcèle depuis 2 ans)
[^] # Re: Red Hat
Posté par Misc (site web personnel) . En réponse au journal Le directeur exécutif de la FSF démissionne, quelle suite?. Évalué à 3.
Alors je peux pas me prononcer sur la fortune de mes collègues directs, mais je ne pense pas qu'ils soient milliardaires.
La lettre est signé par le PDG, parce qu'il est PDG et qu'il y a pas grand monde qui peut parler au nom de RH.
Par contre, elle a été porté par ma directrice (Deborah Bryant) au CTO (Chris Wright), parce que des gens en interne sont venus nous voir pour ça depuis divers équipes. Tout comme beaucoup de gens en France ont des histoires sur RMS qu'ils racontent pas dans des posts Medium et sur Twitter, il y a aussi des gens avec des histoires sur RMS ailleurs, parce des gens qui ont fait du libre avant RH et en dehors de RH, il y a en pas mal.
Je peux pas raconter les histoires des autres, mais il suffit de voir ce qui est dans la bio de RMS:
https://mobile.twitter.com/AlSweigart/status/1376801908128681984
Et j'ai vérifié, en effet, c'est bien dans la première édition du bouquin, vers la fin (chapitre 14, épilogue).