les screenshots de l'application montrant les préférences un chouia islamophobe ( http://archive.is/cUNOv )
le diagramme en forme de pénis
et sans doute d'autre dont je me souviens pas. Ce que je me souviens, c'est qu'on (les orgas, dont j'ai fait parti à l'époque, étant celui qui t'a convaincu de venir parler) se sont poser la question de couper la conférence assez souvent depuis la régie.
Donc bon, tu as pas vraiment le bon rôle, et rien que d'omettre des bouts de l'histoire parce que ça t'arrange pas, ça me fait dire que non, tu n'as pas changé.
Et en dehors de ce mensonge par omission (car bon, passons, on va dire que tu deviens vieux, la mémoire baisse), tu peux pas non plus dire "c'était une coïncidence" vu que à l'époque, les autres logiciels que tu avais écrit avait des noms comme:
Stati : http://archive.is/IcD9j (on noteras la graphie rSS).
Les historiens feront remarquer que la Stasi et les SS n'ont rien en commun, vu que d'un coté, c'était une police secrète violente dans une dictature communiste, dans l'autre, c'était une police politique dans une dictature fasciste. C'est fou comme y a du hasard.
Pareil, un pur hasard de retrouver "ass". Sutout que son petit n petit nom "ass2m" à l'époque, pour, je cite, "The Authenticated Social Storage Made for Mothers (ass2m) project" ) est déjà pas super, mais tu étais assez fière d'avoir casé un terme issue du porno.
Et tant qu'à faire, si tu veux te faire pourrir publiquement, en dehors de ne pas le faire sur un événement ou des gens ont des dossiers sur toi, tu peux aussi essayer d'éviter d'être un troll de compétition.
Par exemple, instrumentaliser ta copine et les femmes en général, c'est pas terrible. Tu parles de "tout les filles qui ont contribuer à webboob", mais franchement, ça se voit ni sur la photo sur le site web, ni dans la liste des personnes ayant envoyé un patch. La seule personne de la liste avec un prénom qui sonne féminin est Sylvie Ye, qui se trouve être employée dans ta boite: https://www.budget-insight.com/team/
Alors en suite, on va me dire "mais y a Raymonde Philibert", mais je suis sur à 99% que c'est comme Roger Philibert, un pseudonyme pour quelqu'un qui ose pas faire des contributions sous un nom publique (ce qui, vu les contributions en question, se comprends, et je trouve dommage que des gens se cachent pour ça)
Ne minimise pas non plus les femmes qui t'ont dit que c'était naze. Par exemple, passe pas à la trappe le fait qu'une femme est venu te voir aux RMLL pour te dire que bon, les screenshots de film pornos sur le site de weboob, c'était quand même pas terrible. Le fait que d'autres femmes ont signalés plus d'une fois que le nom pose des soucis, que les icônes posent des soucis, pareil, ça serait bien de pas passer ça à la trappe.
Et une dernière, warrior, ça s'écrit avec 2 r. Tu devrais passer moins de temps à chercher des images et plus à relire ton anglais.
Ce n'est pas parce qu'il existe une faille qu'elle est
exploitable à distance, qu'elle permet de tout faire ni qu'elle
est simple à diffuser.
Ni que ça soit rentable. Parce que bon, les gens capables d'exploiter des failles, y en a assez mais assez peu qui bossent gratos au final.
Pourquoi se faire chier avec des terminaux poussifs sans bande passante et ram alors qu'il y a des pcs de bureaux. La seule raison de faire des choses sur un tel portable, c'est le modem GSM et ce qu'il permet comme appel surtaxé, et je suis sur que personne ne veut vraiment laisser de trace de ce genre. Je serais pas surpris du fait que les différents opérateurs payent au moins et/ou avec du retard (genre, à 45j), ce qui laisse le temps à la victime de voir un souci, puis à l'opérateur de chercher plus en détails.
Toutes les solutions de sécurité aujourd’hui ne sont que des
châteaux forts construit sur du sable.
Et pourtant, ça suffit quand même très largement. Y une industrie entière dédié à trouver des failles, et pourtant, je suis sur que la majorité des failles ayant un CVE assignés sont non exploités, et que sur celles qui le sont, y en a qu'une infime minorité qui impacte vraiment du monde.
Franchement, faut à un moment juste prendre du recul, parce que sur le long terme, c'est impossible de faire autrement, et je plaint vraiment les gens qui n'arrivent pas à la même conclusion et qui font des burn outs pour ça.
Et c'est sans doute pas pour rien que le programme de blackhat 2018 parle quand même pas mal de ça:
Soit pour imposer leurs équipes en charge de torpiller les
projets open sources existants pour à terme favoriser leurs
produits marchands.
Suivi de:
Depuis je contribue à la documentation Ubuntu,
C'est bien de contribuer à Ubuntu, mais ça me parait pas compatible avec le fait de raler sur les produits marchands, surtout quand on voit les rumeurs sur l'entrée en bourse de Canonical:
Disons qu'il y a le fait que ça consomme pas mal de ressources, surtout si chaque application vient avec son interpreteur, qui va faire sa propre compilation en jit sans garder les ressources en commun. Le JIT, comme pas mal de chose c'est un choix entre gagner du CPU en perdant de la mémoire. Et donc ouais, les applis electrons vont bouffer une tonne de ram. Et parfois aussi une tonne de cpu quand même…
Ensuite, y a le fait qu'electron, de part sa nature, vient avec son jeu de failles spécifiques peu courante sur le desktop (genre xss, etc).
Enfin, comme chacun embarque son bout de chromium, c'est pas sur d'avoir un chromium à jour et on arrive avec d'autres soucis de sécurité lié à ça (même si la majorité sont sans doute pas applicable).
Et comme chaque app embarque son propre Electron, bah quand tu as un truc comme CVE-2018-1000006 , c'est pas top vu que faut que tout soit à jour.
Et le souci, c'est pas d'avoir des failles en soi. C'est du js, donc tu as pas de buffer overflow ce qui est pas mal. C'est plus que par la nature du framework et de la facon dont les gens utilisent ça, tu as des soucis. Et c'est aussi le fait que ce genre de souci sont bloqué par les browser (xss auditor, par exemple), par les serveurs webs (mod security), mais qu'il y a rien sur le desktop, ce qui est pas terrible.
Ensuite, y a sans doute aussi un peu de mauvaise foi, parce qu'aucune technologie n'est parfaite, mais si une techno est populaire, il va forcément avoir plus de gens qui râlent sur ça.
Je doute que ça arrive. La raison d'utiliser electron, c'est bien parce que c'est 1) cross platform 2) en js.
Cross platform, c'est grosso modo requis, même si en général, ça veut juste dire "windows et mac os x" d'un point de vue des parts de marché.
Et le fait d'être en js permet de reprendre une partie du code existant (ce qui réduit les couts), fait que tu as moins de difficulté à trouver des gens qui connaissent le langage, avec une expertise en interne existante (au moins pour les boites qui font des services webs).
Donc non, je doute que tant qu'il y a pas un truc qui réponds à ces 2 besoins, ça va pas arriver. Et AMHA, c'est pas le fait de devoir faire des mises à jours de temps en temps qui va contre balancer ces impératifs économiques pour une boite.
Ce qui rend possiblement dépendant des outils fermés, et ce qui
correspond très bien à la partie "Embrace" et "Extend".
Oui, ça s'appelle l'interopérabilité. Le souci n'a jamais été sur ça, parce que c'est la partie saine. Le souci est sur le 3eme E, Extinguish. Je trouve ça tellement surréaliste de voir des gens râlé sur l'interopérabilité.
Et à ce niveau, j'aimerais aussi rappeler que c'est pas uniquement Microsoft qui fait ça, meme si c'est sans doute les plus connus car les premiers/plus gros à l'avoir fait (et à avoir réussi). Par exemple, on peut rajouter Google pour ça, Facebook aussi.
Et l'intégration avec travis et autre trucs. travis-ci est un logiciel libre, mais je connais personne qui l'utilise en dehors du service hosté.
Github a un écosystéme assez important de services tiers (couverture de code, verification des dependances), et les gros projets contournent l'UI de github via des bots (par exemple, kubernets, ansible, openshift, rust) qui se base tous sur les APIs de github. C'est aussi des choses à migrer.
Enfin, la migration des tickets, c'est bien joli, mais les tickets sont liés à un compte, donc il faut aussi ajouter une migration de l'authentification à tout ça. Ou juste perdre les tickets, mais curieusement, les gens aiment pas ça et y a toujours des gens pour dire "quoi, j'ai passé 5 minutes y a 7 ans pour écrire un texte, je vais pas repasser 10 minutes à le recopier, il faut que le projet s'en occupe", cf les discussions sur la migration de gnome à gitlab).
Et encore, les algos, y a rarement rien de magique. Ce qui fait la valeur, c'est d'avoir passer du temps pour convertir une idée en code sans bug (ce qui en soit est une chose qu'on peut pas trop voler), mais la majorité des idées sont simples à exprimer.
Dans le cas de photoshop, ça va être l'interface, que tout le monde voit qui va être importante. Ça va être le fait d'avoir passer du temps à faire de quoi intégrer des plugins et à avoir un écosystème, chose qu'on ne peut pas voler non plus avec le code.
C'est aussi pour ça que le logiciel libre marche, parce qu'au final, avoir l'accès en lecture au code d'un soft, ça permet pas de faire un concurrent viable aussi rapidement. Avoir le droit de réutiliser, oui, avoir le droit de modifier/forker, oui. Mais pas la lecture. Et bon, quand on voit la tronche du code source libre moyen et le temps pour se plonger dedans, j'ose pas trop imaginer la tronche du code proprio moyen d'une PME sans la pression d'avoir du code un peu plus propre et lisible.
La différence, c'est que la revente de données à CA a été en partie un détournement de CA (données mal protégés), et en partie du au fait que c'est le business model de facebook (ciblage publicitaire, qui a du coup été utilisé pour des campagnes politiques).
Dans le cas de GH/Microsoft, si Microsoft va lire le code source d'un concurrent, c'est une violation de contrat assez lourde.
Et autant dans le cas de FAcebook/CA, un recours serait assez long et couteux pour un particulier, autant une boite qui se fait voler le code source par son hebergeur qui a dit "je le ferait pas", c'est une autre paire de manche, parce que tu as 2 entités avec de l'argent des 2 cotés, et un contrat clair qui dit "on va pas faire ça".
Et bon, quand on voit l'affaire de Uber vs Waymo, le coeur de l'affaire est l'accusation de vol en interne par Anthony Levandowski. On agite souvent l'épouvantail du presta qui vole les infos, mais c'est pas ce qui arrive du tout en pratique. Bien sur, il y a le risque d'un employé malfaisant, mais c’était déjà le cas avec Github. y a le risque du gouvernement qui fasse pression, mais pareil, c'était le cas de Github avant.
Y a sans doute plein de raisons de pas aimer le rachat, mais le risque que Microsoft perde des millions pour lire le code source d'une PME n'en fait sans doute pas partie.
Par contre, c'est largement personnalisable, et ça s'appuie sur une gem ruby du nom de omniauth qui supporte quand même un peu tout sous le soleil. Tu peux mettre de l'openid, du saml, etc, etc.
une partie de la population est débridée et on voit une
déferlante de haine et de violence verbale.
Bien sur, rien à voir non plus avec des interfaces et un systéme qui est biaisé pour obtenir des reactions et de l'engagement ?
Genre, le fait que les groupes du web fassent des tests et des metriques pour voir ce qui fait grimper leur audience, puis optimise en fonction de ça, ça n'a aucun impact sur la montée de la violence, ça se saurait si le fait de faire des trucs extrêmes attirent les gens.
C'est ça qui est dommage avec l'argument de l'article, ç'est que ça va juste mélanger un peu de ludisme avec une dilution de la responsabilité sans interroger le système au bon endroit.
Et les appels d'offre, tu peux aussi faire ce que tu veux un peu.
Si tu dis "on a besoin d'une solution dont on a le code source qui implémente tel protocole", bah, oui, c'est un appel d'offre. La seule différence, c'est que tu va avoir 1 boite qui a développer le produit et 15 vautours (du genre, qui commence par les 3 premières lettres de Linux, et qui fini par ra).
Mais, je suis le seul à comprendre que ça va être un truc par le gouvernement, pour le gouvernement ? Genre, pourquoi ça serait connecté sur le réseau public, ou accessible par les citoyens ?
J'ai pas accès au PABX d'un ministère, je vois pas en quoi ça serait différent à ce niveau.
Le matin, on présente rapidement le projet, comment marche les contributions, etc. Et ensuite, les gens se penchent sur les bugs et/ou modules de leur choix.
C'est marqué atelier, mais c'est vraiment comme les sprint de pycon.fr.
Et oui, tu peux venir qu'une journée, on va pas forcer les gens à venir 2 jours, je crois que c'est illégal de retenir les gens contre leur gré :)
On a effectivement des mises à jour quotidiennes intrusives, avec
des impacts bizarroïdes pour le non-initié (ex : maj de Firefox
pendant qu'il tourne).
Nan, mais y a pas que le non initié qui va trouver l'impact bizarre :)
Pour régler ce souci, flatpak (et ostree, tel qu'utilisé par Fedora Atomic Workstation) sépare la mise à jour de son application. En utilisant des containers et des images, tu peux faire la mise à jour sans que ça impacte et sans doute un jour par défaut.
Le soft ne va utiliser la mise à jour que lors du prochain lancement, ce qui réduit certains effets pourris.
Et la question des mises à jour trop fréquente, c'est un souci qui n'arrive pas partout. J'utilise une RHEL 7 sur mon pc portable, et j'apprécie de ne pas avoir des mises à jours sans arrêt. Par contre, sur Fedora, je me souviens de discussion il y a déjà 5 ans pour réduire la fréquence des mises à jours. Ça n'a pas abouti, mais la demande est assez courante.
Quant à abrt, même si je ne nie pas le problème, n'ayant jamais
subi ce bug, il n'est sans doute pas si évident que ça à
reproduire et corriger. Puis la plupart des gens ne faisant pas
de rapports de bugs, ils peuvent sans problème le désactiver.
Et ensuite rale sur le fait que les trucs sont instables et non corrigés :/
Le directeur de cette boite israélienne inconnue jusqu'ici dirige
aussi le hedge fund NineWells qui a de grosses positions "short"
sur AMD (autrement dit : ils font un bénéfice si l'action
baisse).
J'aurais à priori tendance à dire que c'est sans doute illégal vis à vis de la SEC. Ça le serait si c'était des employés AMD (insider trading), mais la, vu que c'est des externes, je suis moins sur.
En tant qu'utilisateur, j'en ai juste rien à faire, mais je ne
peux quand même pas remonter le bug.
Alors, je pense que le noeud du problème est la. Si tu va sur bugzilla, c'est pour contribuer et ça requiert un minimum de connaissance technique hélas pour ça. Par pour du support.
Ce que tu sembles vouloir, c'est du support comme tu demanderais à ta banque ou ailleurs, ce qui est différent. Et je sais pas si tu as lu la GPL ou les licences du même genre, mais c'est marqué que c'est globalement pas inclus, partout.
Par la, je veux pas dire que "fallait lire avant d'accepter". Je veux dire que l'idée qu'aider les gens est optionnel et n'est pas un but fait parti des principes fondateurs du logiciel libre, à tort ou à raison.
Et ça se voit partout dans ce qui est mis en place.
Tu donnes l'exemple du support sur irc. C'est globalement mauvais et le niveau 0 de support, loin des bonnes pratiques du métier.
Pas de concept de shift (genre, tu sais pas si il y a une personne qui va te répondre).
Pas de suivi des gens ou des problémes (genre, si tu reviens le lendemain, les gens vont ou ne vont pas avoir de contexte).
Pas de process sur qui fait quoi et comment. C'est courant d'avoir 3/4 personnes qui vont aider 1 personne d'un coup, ce qui serait risible si c'était au téléphone. Y a globalement pas de formation ou de bonnes pratiques, c'est directement les gens qui savent et basta.
Et je parle même pas du média en lui même, qui est pas non plus super intuitif. Tu t'en sort quand tu es techie, bien sur.
Quand je raconte ça, les gens en général me disent "oui, mais ç'est pas du support professionnel, c'est des volontaires". Je dirais que oui, mais c'est pas une raison. Si tu prends une association du style Artisan du monde, les gens ont des shifts pour tenir la caisse dans les boutiques. Si tu prends des développeurs, ils vont utiliser les mêmes outils dans le libre et dans une startup.
Mais pas pour le support, qui ressemble plus au café du commerce qu'autre chose en général. Parce que le support, c'est dévalué, c'est éprouvant. Mais aussi parce que le support, c'est ce que les gens vont payer dans certains business modèles autour du logiciel libre.
Donc oui, le support est pas terrible. Et franchement, je pense pas que ça change dans le futur. Framasoft a un formulaire de contact, c'est sans doute un peu mieux, mais pas de beaucoup. C'est aussi des gens payés pour ça. Des gens ont tentés stackoverflow ou askbot. C'est un peu mieux, mais ça donne pas forcément des trucs de qualités. Et visiblement, les gens ne conseillent pas ça (la preuve, tu as pas mentionné ça). Je sais que Tails a fait des trucs à ce niveau aussi, mais j'ai oublié quoi. Mais tails fait plein de trucs bien.
Sans un changement des mentalités au niveau du libre entier, non, je vois pas le support changer.
Non, mais je parle du matériel pour refaire une fausse empreinte digital en pratique (ou d'une fausse iris).
Parce que bien sur, un adversaire avec suffisament de pognon pourrait sans doute rentrer chez moi, et utiliser ça pour deverouiller mon appareil. mais ça requiert des préparations, une proximité physique, et sans doute du matos cher.
Et si on parle d'un état, y a des chances que l'état est justement déjà une photos des empreintes. Mais quid justement d'un adversaire avec moins de ressources (exemple, un collégue malicieux, un stalker, un ex petit ami tourné sur la technique), quel investissement est requis ?
stockage des informations biométrique : autant que je sache,
on ne sait pas1 stocker ces infos sous une forme qui serait
équivalente à un haché-salé d'un mdp ; on stocke "en plain text",
ce qui est pour moi très embêtant, notamment dans un système
centralisé (comme en Inde, par exemple ou en France)2 ;
Mais ça n'est pas gênant que si on arrive à recréer un truc équivalent à ton empreinte et/ou ton oeil à partir de ces informations ?
J'avais cru comprendre que justement, c'est une approximation de ton doigt qui est pris et qu'on regarde le positionnement des différents sillons, etc. Même si on arrive à refaire des empreintes sans trop de matos (cf demo du CCC y a longtemps) avec par exemple un verre, je suis pas sur qu'il existe de quoi refaire une empreinte sur la base des infos stockés dans une base (ça ou la même chose pour l'iris).
# *cough*
Posté par Misc (site web personnel) . En réponse au journal Le comble du ridicule. Évalué à 10.
Je pense que tu aurais mieux fait de garder ça pour toi.
Parce que maintenant, moi, j'ai aucun scrupule à rappeler comment tu as fait la conf en 2009.Par exemple:
Donc bon, tu as pas vraiment le bon rôle, et rien que d'omettre des bouts de l'histoire parce que ça t'arrange pas, ça me fait dire que non, tu n'as pas changé.
Et en dehors de ce mensonge par omission (car bon, passons, on va dire que tu deviens vieux, la mémoire baisse), tu peux pas non plus dire "c'était une coïncidence" vu que à l'époque, les autres logiciels que tu avais écrit avait des noms comme:
Stati : http://archive.is/IcD9j (on noteras la graphie rSS).
Les historiens feront remarquer que la Stasi et les SS n'ont rien en commun, vu que d'un coté, c'était une police secrète violente dans une dictature communiste, dans l'autre, c'était une police politique dans une dictature fasciste. C'est fou comme y a du hasard.
Clitodb:
http://archive.is/hdVEU
Pareil, c'est un pur hasard que de se retrouver avec "clito".
AssNet, anciennement Ass2m:
http://archive.is/23Snb
Pareil, un pur hasard de retrouver "ass". Sutout que son petit n petit nom "ass2m" à l'époque, pour, je cite, "The Authenticated Social Storage Made for Mothers (ass2m) project" ) est déjà pas super, mais tu étais assez fière d'avoir casé un terme issue du porno.
Et tant qu'à faire, si tu veux te faire pourrir publiquement, en dehors de ne pas le faire sur un événement ou des gens ont des dossiers sur toi, tu peux aussi essayer d'éviter d'être un troll de compétition.
Par exemple, instrumentaliser ta copine et les femmes en général, c'est pas terrible. Tu parles de "tout les filles qui ont contribuer à webboob", mais franchement, ça se voit ni sur la photo sur le site web, ni dans la liste des personnes ayant envoyé un patch. La seule personne de la liste avec un prénom qui sonne féminin est Sylvie Ye, qui se trouve être employée dans ta boite: https://www.budget-insight.com/team/
Alors en suite, on va me dire "mais y a Raymonde Philibert", mais je suis sur à 99% que c'est comme Roger Philibert, un pseudonyme pour quelqu'un qui ose pas faire des contributions sous un nom publique (ce qui, vu les contributions en question, se comprends, et je trouve dommage que des gens se cachent pour ça)
Ne minimise pas non plus les femmes qui t'ont dit que c'était naze. Par exemple, passe pas à la trappe le fait qu'une femme est venu te voir aux RMLL pour te dire que bon, les screenshots de film pornos sur le site de weboob, c'était quand même pas terrible. Le fait que d'autres femmes ont signalés plus d'une fois que le nom pose des soucis, que les icônes posent des soucis, pareil, ça serait bien de pas passer ça à la trappe.
Et une dernière, warrior, ça s'écrit avec 2 r. Tu devrais passer moins de temps à chercher des images et plus à relire ton anglais.
[^] # Re: Et pourtant
Posté par Misc (site web personnel) . En réponse au journal Rumeurs sur l'hyper-threading - TLBleed . Évalué à 4.
Ni que ça soit rentable. Parce que bon, les gens capables d'exploiter des failles, y en a assez mais assez peu qui bossent gratos au final.
Pourquoi se faire chier avec des terminaux poussifs sans bande passante et ram alors qu'il y a des pcs de bureaux. La seule raison de faire des choses sur un tel portable, c'est le modem GSM et ce qu'il permet comme appel surtaxé, et je suis sur que personne ne veut vraiment laisser de trace de ce genre. Je serais pas surpris du fait que les différents opérateurs payent au moins et/ou avec du retard (genre, à 45j), ce qui laisse le temps à la victime de voir un souci, puis à l'opérateur de chercher plus en détails.
# Et pourtant
Posté par Misc (site web personnel) . En réponse au journal Rumeurs sur l'hyper-threading - TLBleed . Évalué à 7.
Et pourtant, ça suffit quand même très largement. Y une industrie entière dédié à trouver des failles, et pourtant, je suis sur que la majorité des failles ayant un CVE assignés sont non exploités, et que sur celles qui le sont, y en a qu'une infime minorité qui impacte vraiment du monde.
Franchement, faut à un moment juste prendre du recul, parce que sur le long terme, c'est impossible de faire autrement, et je plaint vraiment les gens qui n'arrivent pas à la même conclusion et qui font des burn outs pour ça.
Et c'est sans doute pas pour rien que le programme de blackhat 2018 parle quand même pas mal de ça:
https://www.blackhat.com/us-18/briefings.html#stress-and-hacking-understanding-cognitive-stress-in-tactical-cyber-ops
https://www.blackhat.com/us-18/briefings.html#mental-health-hacks-fighting-burnout-depression-and-suicide-in-the-hacker-community
https://www.blackhat.com/us-18/briefings.html#holding-on-for-tonight-addiction-in-infosec
https://www.blackhat.com/us-18/briefings.html#demystifying-ptsd-in-the-cybersecurity-environment
[^] # Re: plus basé sur Debian?!
Posté par Misc (site web personnel) . En réponse à la dépêche Sortie de Devuan 2.0 « ASCII ». Évalué à 5.
Suivi de:
C'est bien de contribuer à Ubuntu, mais ça me parait pas compatible avec le fait de raler sur les produits marchands, surtout quand on voit les rumeurs sur l'entrée en bourse de Canonical:
https://www.phoronix.com/scan.php?page=news_item&px=Canonical-Calendar-Shifts-Year
[^] # Re: Et avec Github...
Posté par Misc (site web personnel) . En réponse au journal Microsoft rachète Github. Évalué à 8.
Disons qu'il y a le fait que ça consomme pas mal de ressources, surtout si chaque application vient avec son interpreteur, qui va faire sa propre compilation en jit sans garder les ressources en commun. Le JIT, comme pas mal de chose c'est un choix entre gagner du CPU en perdant de la mémoire. Et donc ouais, les applis electrons vont bouffer une tonne de ram. Et parfois aussi une tonne de cpu quand même…
Ensuite, y a le fait qu'electron, de part sa nature, vient avec son jeu de failles spécifiques peu courante sur le desktop (genre xss, etc).
Voir par exemple: CVE-2018-10994 (https://ivan.barreraoro.com.ar/signal-desktop-html-tag-injection/ et https://thehackerblog.com/i-too-like-to-live-dangerously-accidentally-finding-rce-in-signal-desktop-via-html-injection-in-quoted-replies/index.html ).
Enfin, comme chacun embarque son bout de chromium, c'est pas sur d'avoir un chromium à jour et on arrive avec d'autres soucis de sécurité lié à ça (même si la majorité sont sans doute pas applicable).
Et comme chaque app embarque son propre Electron, bah quand tu as un truc comme CVE-2018-1000006 , c'est pas top vu que faut que tout soit à jour.
Et le souci, c'est pas d'avoir des failles en soi. C'est du js, donc tu as pas de buffer overflow ce qui est pas mal. C'est plus que par la nature du framework et de la facon dont les gens utilisent ça, tu as des soucis. Et c'est aussi le fait que ce genre de souci sont bloqué par les browser (xss auditor, par exemple), par les serveurs webs (mod security), mais qu'il y a rien sur le desktop, ce qui est pas terrible.
Ensuite, y a sans doute aussi un peu de mauvaise foi, parce qu'aucune technologie n'est parfaite, mais si une techno est populaire, il va forcément avoir plus de gens qui râlent sur ça.
[^] # Re: Microsoft ne clame pas qu'il aime le logiciel libre.
Posté par Misc (site web personnel) . En réponse au journal Microsoft rachète Github. Évalué à 6.
Non, parce que les gens en interne peuvent aussi être ceux dont tu te méfies pour aller dans les autres boites :)
[^] # Re: Et avec Github...
Posté par Misc (site web personnel) . En réponse au journal Microsoft rachète Github. Évalué à 2.
Je doute que ça arrive. La raison d'utiliser electron, c'est bien parce que c'est 1) cross platform 2) en js.
Cross platform, c'est grosso modo requis, même si en général, ça veut juste dire "windows et mac os x" d'un point de vue des parts de marché.
Et le fait d'être en js permet de reprendre une partie du code existant (ce qui réduit les couts), fait que tu as moins de difficulté à trouver des gens qui connaissent le langage, avec une expertise en interne existante (au moins pour les boites qui font des services webs).
Donc non, je doute que tant qu'il y a pas un truc qui réponds à ces 2 besoins, ça va pas arriver. Et AMHA, c'est pas le fait de devoir faire des mises à jours de temps en temps qui va contre balancer ces impératifs économiques pour une boite.
[^] # Re: Microsoft ne clame pas qu'il aime le logiciel libre.
Posté par Misc (site web personnel) . En réponse au journal Microsoft rachète Github. Évalué à 6.
Oui, ça s'appelle l'interopérabilité. Le souci n'a jamais été sur ça, parce que c'est la partie saine. Le souci est sur le 3eme E, Extinguish. Je trouve ça tellement surréaliste de voir des gens râlé sur l'interopérabilité.
Et à ce niveau, j'aimerais aussi rappeler que c'est pas uniquement Microsoft qui fait ça, meme si c'est sans doute les plus connus car les premiers/plus gros à l'avoir fait (et à avoir réussi). Par exemple, on peut rajouter Google pour ça, Facebook aussi.
[^] # Re: Oui et ....
Posté par Misc (site web personnel) . En réponse au journal Microsoft rachète Github. Évalué à 3.
Et l'intégration avec travis et autre trucs. travis-ci est un logiciel libre, mais je connais personne qui l'utilise en dehors du service hosté.
Github a un écosystéme assez important de services tiers (couverture de code, verification des dependances), et les gros projets contournent l'UI de github via des bots (par exemple, kubernets, ansible, openshift, rust) qui se base tous sur les APIs de github. C'est aussi des choses à migrer.
Enfin, la migration des tickets, c'est bien joli, mais les tickets sont liés à un compte, donc il faut aussi ajouter une migration de l'authentification à tout ça. Ou juste perdre les tickets, mais curieusement, les gens aiment pas ça et y a toujours des gens pour dire "quoi, j'ai passé 5 minutes y a 7 ans pour écrire un texte, je vais pas repasser 10 minutes à le recopier, il faut que le projet s'en occupe", cf les discussions sur la migration de gnome à gitlab).
[^] # Re: Pourquoi le feraient-ils ?
Posté par Misc (site web personnel) . En réponse au journal Microsoft rachète Github. Évalué à 4.
Et encore, les algos, y a rarement rien de magique. Ce qui fait la valeur, c'est d'avoir passer du temps pour convertir une idée en code sans bug (ce qui en soit est une chose qu'on peut pas trop voler), mais la majorité des idées sont simples à exprimer.
Dans le cas de photoshop, ça va être l'interface, que tout le monde voit qui va être importante. Ça va être le fait d'avoir passer du temps à faire de quoi intégrer des plugins et à avoir un écosystème, chose qu'on ne peut pas voler non plus avec le code.
C'est aussi pour ça que le logiciel libre marche, parce qu'au final, avoir l'accès en lecture au code d'un soft, ça permet pas de faire un concurrent viable aussi rapidement. Avoir le droit de réutiliser, oui, avoir le droit de modifier/forker, oui. Mais pas la lecture. Et bon, quand on voit la tronche du code source libre moyen et le temps pour se plonger dedans, j'ose pas trop imaginer la tronche du code proprio moyen d'une PME sans la pression d'avoir du code un peu plus propre et lisible.
[^] # Re: A mon avis ce ne sont pas les projets libres qui les intéressent.
Posté par Misc (site web personnel) . En réponse au journal Microsoft rachète Github. Évalué à 8.
La différence, c'est que la revente de données à CA a été en partie un détournement de CA (données mal protégés), et en partie du au fait que c'est le business model de facebook (ciblage publicitaire, qui a du coup été utilisé pour des campagnes politiques).
Dans le cas de GH/Microsoft, si Microsoft va lire le code source d'un concurrent, c'est une violation de contrat assez lourde.
Et autant dans le cas de FAcebook/CA, un recours serait assez long et couteux pour un particulier, autant une boite qui se fait voler le code source par son hebergeur qui a dit "je le ferait pas", c'est une autre paire de manche, parce que tu as 2 entités avec de l'argent des 2 cotés, et un contrat clair qui dit "on va pas faire ça".
Et bon, quand on voit l'affaire de Uber vs Waymo, le coeur de l'affaire est l'accusation de vol en interne par Anthony Levandowski. On agite souvent l'épouvantail du presta qui vole les infos, mais c'est pas ce qui arrive du tout en pratique. Bien sur, il y a le risque d'un employé malfaisant, mais c’était déjà le cas avec Github. y a le risque du gouvernement qui fasse pression, mais pareil, c'était le cas de Github avant.
Y a sans doute plein de raisons de pas aimer le rachat, mais le risque que Microsoft perde des millions pour lire le code source d'une PME n'en fait sans doute pas partie.
[^] # Re: Je suis passé à Gitlab
Posté par Misc (site web personnel) . En réponse au journal Microsoft rachète Github. Évalué à 6.
Non.
Par contre, c'est largement personnalisable, et ça s'appuie sur une gem ruby du nom de omniauth qui supporte quand même un peu tout sous le soleil. Tu peux mettre de l'openid, du saml, etc, etc.
[^] # Re: super
Posté par Misc (site web personnel) . En réponse au journal Un million de dollars sur deux ans promis à la Fondation GNOME. Évalué à 0.
celle d'avoir une majorité du marché ?
[^] # Re: Rien pour financer mon orthographe.
Posté par Misc (site web personnel) . En réponse au journal Un million de dollars sur deux ans promis à la Fondation GNOME. Évalué à 3.
s/vigilent/vigilant/ sauf erreur de ma part, non ?
[^] # Re: bof bof
Posté par Misc (site web personnel) . En réponse au journal À méditer.... Évalué à 3.
Bien sur, rien à voir non plus avec des interfaces et un systéme qui est biaisé pour obtenir des reactions et de l'engagement ?
Genre, le fait que les groupes du web fassent des tests et des metriques pour voir ce qui fait grimper leur audience, puis optimise en fonction de ça, ça n'a aucun impact sur la montée de la violence, ça se saurait si le fait de faire des trucs extrêmes attirent les gens.
C'est ça qui est dommage avec l'argument de l'article, ç'est que ça va juste mélanger un peu de ludisme avec une dilution de la responsabilité sans interroger le système au bon endroit.
[^] # Re: Mouais
Posté par Misc (site web personnel) . En réponse au journal L'État français adopte Matrix/Riot. Évalué à 4.
Et les appels d'offre, tu peux aussi faire ce que tu veux un peu.
Si tu dis "on a besoin d'une solution dont on a le code source qui implémente tel protocole", bah, oui, c'est un appel d'offre. La seule différence, c'est que tu va avoir 1 boite qui a développer le produit et 15 vautours (du genre, qui commence par les 3 premières lettres de Linux, et qui fini par ra).
[^] # Re: Risques ?
Posté par Misc (site web personnel) . En réponse au journal L'État français adopte Matrix/Riot. Évalué à 4.
Mais, je suis le seul à comprendre que ça va être un truc par le gouvernement, pour le gouvernement ? Genre, pourquoi ça serait connecté sur le réseau public, ou accessible par les citoyens ?
J'ai pas accès au PABX d'un ministère, je vois pas en quoi ça serait différent à ce niveau.
[^] # Re: Q?
Posté par Misc (site web personnel) . En réponse au journal Atelier 'Contribuer à Ansible' samedi 21 Avril et dimanche 22 Avril 2018 à Paris . Évalué à 3.
Le matin, on présente rapidement le projet, comment marche les contributions, etc. Et ensuite, les gens se penchent sur les bugs et/ou modules de leur choix.
C'est marqué atelier, mais c'est vraiment comme les sprint de pycon.fr.
Et oui, tu peux venir qu'une journée, on va pas forcer les gens à venir 2 jours, je crois que c'est illégal de retenir les gens contre leur gré :)
[^] # Re: Excellent point, à nuancer
Posté par Misc (site web personnel) . En réponse au journal Linux « for desktop », débutants, détails et fausses bonnes idées. Évalué à 3.
Nan, mais y a pas que le non initié qui va trouver l'impact bizarre :)
Pour régler ce souci, flatpak (et ostree, tel qu'utilisé par Fedora Atomic Workstation) sépare la mise à jour de son application. En utilisant des containers et des images, tu peux faire la mise à jour sans que ça impacte et sans doute un jour par défaut.
Le soft ne va utiliser la mise à jour que lors du prochain lancement, ce qui réduit certains effets pourris.
Et la question des mises à jour trop fréquente, c'est un souci qui n'arrive pas partout. J'utilise une RHEL 7 sur mon pc portable, et j'apprécie de ne pas avoir des mises à jours sans arrêt. Par contre, sur Fedora, je me souviens de discussion il y a déjà 5 ans pour réduire la fréquence des mises à jours. Ça n'a pas abouti, mais la demande est assez courante.
[^] # Re: Finalement adoptée
Posté par Misc (site web personnel) . En réponse à la dépêche Sortie de Fedora 28 bêta. Évalué à 2.
Et ensuite rale sur le fait que les trucs sont instables et non corrigés :/
[^] # Re: juste une arnaque
Posté par Misc (site web personnel) . En réponse au journal [~Signet] Failles de sécurité dans les CPU : AMD revient dans la course !. Évalué à 2.
Donc, entre temps, j'ai cru lire que "non", c'est pas illégal. Ceci dit, ce n'est pas la première fois que ça arrive:
https://www.darkreading.com/vulnerabilities---threats/medsec-muddy-waters-and-the-future-of-iot-security-/d/d-id/1326806
Il y a 2 ans, il y a eu le même genre de choses pour des pacemakers.
[^] # Re: juste une arnaque
Posté par Misc (site web personnel) . En réponse au journal [~Signet] Failles de sécurité dans les CPU : AMD revient dans la course !. Évalué à 2.
J'aurais à priori tendance à dire que c'est sans doute illégal vis à vis de la SEC. Ça le serait si c'était des employés AMD (insider trading), mais la, vu que c'est des externes, je suis moins sur.
[^] # Re: Communication et remontée de bugs = 0 pointé
Posté par Misc (site web personnel) . En réponse à la dépêche Apports de Fedora à l’écosystème du logiciel libre. Évalué à 6.
Alors, je pense que le noeud du problème est la. Si tu va sur bugzilla, c'est pour contribuer et ça requiert un minimum de connaissance technique hélas pour ça. Par pour du support.
Ce que tu sembles vouloir, c'est du support comme tu demanderais à ta banque ou ailleurs, ce qui est différent. Et je sais pas si tu as lu la GPL ou les licences du même genre, mais c'est marqué que c'est globalement pas inclus, partout.
Par la, je veux pas dire que "fallait lire avant d'accepter". Je veux dire que l'idée qu'aider les gens est optionnel et n'est pas un but fait parti des principes fondateurs du logiciel libre, à tort ou à raison.
Et ça se voit partout dans ce qui est mis en place.
Tu donnes l'exemple du support sur irc. C'est globalement mauvais et le niveau 0 de support, loin des bonnes pratiques du métier.
Pas de concept de shift (genre, tu sais pas si il y a une personne qui va te répondre).
Pas de suivi des gens ou des problémes (genre, si tu reviens le lendemain, les gens vont ou ne vont pas avoir de contexte).
Pas de process sur qui fait quoi et comment. C'est courant d'avoir 3/4 personnes qui vont aider 1 personne d'un coup, ce qui serait risible si c'était au téléphone. Y a globalement pas de formation ou de bonnes pratiques, c'est directement les gens qui savent et basta.
Et je parle même pas du média en lui même, qui est pas non plus super intuitif. Tu t'en sort quand tu es techie, bien sur.
Quand je raconte ça, les gens en général me disent "oui, mais ç'est pas du support professionnel, c'est des volontaires". Je dirais que oui, mais c'est pas une raison. Si tu prends une association du style Artisan du monde, les gens ont des shifts pour tenir la caisse dans les boutiques. Si tu prends des développeurs, ils vont utiliser les mêmes outils dans le libre et dans une startup.
Mais pas pour le support, qui ressemble plus au café du commerce qu'autre chose en général. Parce que le support, c'est dévalué, c'est éprouvant. Mais aussi parce que le support, c'est ce que les gens vont payer dans certains business modèles autour du logiciel libre.
Donc oui, le support est pas terrible. Et franchement, je pense pas que ça change dans le futur. Framasoft a un formulaire de contact, c'est sans doute un peu mieux, mais pas de beaucoup. C'est aussi des gens payés pour ça. Des gens ont tentés stackoverflow ou askbot. C'est un peu mieux, mais ça donne pas forcément des trucs de qualités. Et visiblement, les gens ne conseillent pas ça (la preuve, tu as pas mentionné ça). Je sais que Tails a fait des trucs à ce niveau aussi, mais j'ai oublié quoi. Mais tails fait plein de trucs bien.
Sans un changement des mentalités au niveau du libre entier, non, je vois pas le support changer.
[^] # Re: Et sur le fond?
Posté par Misc (site web personnel) . En réponse au journal Microsoft voudrait de la biométrie. Évalué à 2.
Non, mais je parle du matériel pour refaire une fausse empreinte digital en pratique (ou d'une fausse iris).
Parce que bien sur, un adversaire avec suffisament de pognon pourrait sans doute rentrer chez moi, et utiliser ça pour deverouiller mon appareil. mais ça requiert des préparations, une proximité physique, et sans doute du matos cher.
Et si on parle d'un état, y a des chances que l'état est justement déjà une photos des empreintes. Mais quid justement d'un adversaire avec moins de ressources (exemple, un collégue malicieux, un stalker, un ex petit ami tourné sur la technique), quel investissement est requis ?
[^] # Re: Et sur le fond?
Posté par Misc (site web personnel) . En réponse au journal Microsoft voudrait de la biométrie. Évalué à 2.
Mais ça n'est pas gênant que si on arrive à recréer un truc équivalent à ton empreinte et/ou ton oeil à partir de ces informations ?
J'avais cru comprendre que justement, c'est une approximation de ton doigt qui est pris et qu'on regarde le positionnement des différents sillons, etc. Même si on arrive à refaire des empreintes sans trop de matos (cf demo du CCC y a longtemps) avec par exemple un verre, je suis pas sur qu'il existe de quoi refaire une empreinte sur la base des infos stockés dans une base (ça ou la même chose pour l'iris).