Rappelons que pour faire cette backdoor, la personne a du contribuer de manière légitime pendant deux ans pour gagner la confiance du mainteneur. Je ne suis vraiment pas certain que ce soit significativement plus compliqué que de faire un chèque de 10 millions.
C’est quoi une monnaie qui n’est ni fiduciaire, ni métallique, ni scripturale ? Si ce que tu veux dire c’est que tu as besoin de monnaie pour faire des prêts, ça va être difficile de ne pas être d’accord, mais ce n’est pas non plus la découverte du siècle.
Le principe de la réserve fractionnaire fonctionne parfaitement avec une monnaie purement métallique.
sans l'existence préalable de monnaie fiduciaire, il n'y a pas moyen de créer de l'argent juste à travers les prêts. Si l'euro n'existe pas, je ne sais pas comment la banque ferait un prêt de 1000€. Conceptuellement, ce n'est juste pas possible.
Je pense plutôt que la dichotomie virtuelle/pas virtuelle n’est pas très pertinente pour analyser ce genre de questionnements. C’est virtuel, dans le sens que l’argent n’existe dans le compte en banque ni de l’entreprise, ni des actionnaires. C’est très réel, dans le sens où c’est effectivement échangeable contre de l’argent réel dans un marché liquide.
Mon point de vue est qu’il faut réellement comprendre ce que c’est. Une fois que tu as compris ce que c’était, la question "virtuel ou réel" perd son sens et son intérêt. Pour faire un parallèle en biologie (ça parlera peut-être à plus de monde) : un virus est-il un être "vivant" ? Une fois que tu as compris ce qu’est un virus, et comment ça fonctionne, la question perd son sens et son intérêt.
Si ça peut t’éclairer, j’ai essayé dans un autre commentaire il y a quelques mois d’expliquer ce que ça signifie "être riche en actions". Vu sa réception, je crains que l’explication ne soit pas aussi claire que ce que j’espérais (doux euphémisme), mais peut être que ça peut t’aider quand même.
Je n’ai pas reçu le mail. Ce qui est entièrement ma faute, mon profil datant d’il y plus de 20 ans, et je n’ai jamais mis à jour l’adresse. Ceci dit, je compte de toute façon passer mon tour. Mais merci quand même :)
Presque aucune décision n’est réellement urgente. Énormément de soucis se règlent d’eux-mêmes en quelques jours sans rien avoir à faire. "Ai-je vraiment besoin d'acheter X/faire Y" ? Si je me pose la question c’est que je n’en ai pas besoin aujourd’hui. Si je reporte aux calendes grecques et finis par oublier c’est que la réponse était non. Si je me pose la même question toutes les semaines pendant des mois, alors je commence seulement à me dire que oui. Mais rien d’urgent, évidemment. On verra demain. Ou la semaine prochaine.
J’avoue que pour le coup c’est un gros coup de flemme, et que c’est une bonne idée d’être plus sélectif /etc. Ceci dit si pour /etc/shadow si tu n’as pas le droit de le lire hors de la sandbox (et normalement tu n’as pas le droit) tu n’as pas non plus le droit de le lire dans la sandbox.
D'ailleurs, je conseillerais d'utiliser --new-session
Très bonne remarque, j’étais passé à côté de celui ci
et --cap-drop ALL aussi
À moins que j’aie loupé un truc, un utilisateur non-privilégié ne devrait pas avoir de cap activée à la base, non ?
Je ne connaissais pas, merci. Il y a des choses intéressantes dedans, comme la possibilité d'interdire l'accès au clipboard, qu’il faudrait que je regarde comment c’est implémenté.
Ceci dit dans le principe d’être fondé sur docker je suis très dubitatif, je vois mal comment autoriser un utilisateur à accéder au démon docker sans que ce soit une faile de sécurité en soi (si l’utilisateur peut lancer des commandes docker, il peut lancer, schématiquement, docker -v /:/ -u root bash)
Oui, parmi les solutions de sandbox évoquées dans les commentaires, firejail est celle qui se rapproche le plus de bubblewrap.
Les grosses différences :
Comme tu le notes, bubblewrap est bien plus brut de décoffrage, où on commence dans une sandbox complètement vide et où l’utilisateur doit tout configurer à la main. Ce que je considère au final comme étant un plus dans une phase de découverte
Firejail fonctionne sur une logique de blacklist plutôt que de whitelist. Tu peux le voir en lançant firejail --no-profile : par défaut, tout est partagé. Personnellement, je n’aime pas du tout ce fonctionnement : je préfère oublier de partager quelque chose d’important, que ça plante, et l’ajouter, plutôt que d’oublier de blacklister quelque chose de sensible (et ne m’en rendre compte que trop tard).
Firejail a globalement beaucoup plus de fonctionnalités que bubblewrap (support de apparmor/seccomp, possibilité de faire du filtrage réseau, support natif de D-Bus)… ce qui n’est pas nécessairement une bonne chose considérant que firejail est un programme suid
Malgré la pléthore de fonctionnalités, impossible de faire des binds arbitraires (comme --bind ~/.config/mozilla ~/.mozilla par exemple)
Toutes ces raisons font que personnellement je préfère bubblewrap. Mais les deux sont conceptuellement très proches.
Je ne suis pas sur de suivre ? systemd-nspawn nécessite également les droits root, et ne peut pas à ma connaissance faire l’équivalent de --bind ~/sandboxes/app ~.
Quels sont les avantages de bubblewrap par rapport à un moteur de conteneurs (comme podman par exemple)?
Bubblewrap est plus bas niveau, il ne gère que l’aspect sandboxing, pas l’aspect gestion d’images. Tu peux probablement réécrire une grosse partie de podman en tant que surcouche à bubblewrap. Il est aussi plus limité dans ses ambitions, en partie parce qu’il est prévu pour tourner en suid (donc utilisable par un simple utilisateur, pas besoin d’être root pour créer une sandbox).
Ce qui est un avantage, si, comme moi, tu ne veux pas gérer des images, mais réutiliser le système géré par ta distribution.
Pour isoler un programme de "pas confiance", est-ce qu'il ne vaut pas mieux une machine virtuelle ?
Ça dépend de "pas confiance" et "vaut mieux".
Une machine virtuelle est clairement plus sécurisée, oui, et si le but est d’étudier un malware, ça me semble une meilleure idée.
Mais une application qui tourne sur une VM pourra difficilement s’intégrer dans ton environnement graphique en partageant le socket Wayland et en communiquant sur ton bus de session D-Bus. Et tu retombes sur la problématique que je veux éviter, "gestion d’images".
Je vous conseille très fortement la lecture de https://thezvi.substack.com/p/on-bounded-distrust. C’est en anglais, long (très long si on veut lire le blog post initial auquel celui-ci répond), centré sur l’environnement médiatique américain (mais les rares fois où je suis confronté à l’environnement médiatique français me conforte très fortement dans l’impression que sur ce sujet la France est dans la même situation, juste depuis plus longtemps), mais mettra bien mieux en mots ce que je pense.
La conclusion est que les médias mentent. Tous, tout le temps, sur tous les sujets. Pas directement (il reste un minimum de déontologie), mais par omission et par connotation.
Les rares fois où j’interviens sur des sujets politiques sur linuxfr, c’est toujours de la même manière et pour les mêmes raisons : quelqu’un transmet une information que je considère comme extrêmement trompeuse. Je répond autant que possible par des données statistiques les plus objectives possibles (ce commentaire sera une exception, et j’espère qu’on saura me le pardonner (et pour le coup, je n’en voudrai à personne si ce commentaire finit à -10)). Il y a eu une telle discussion très récemment ; je ne veux pas relancer le débat donc je ne citerai rien directement ici, mais regardez mes deux précédents commentaires si vous voulez savoir de quoi je parle.
Je ne pense pas que les auteurs de ces commentaires que je considère comme trompeurs soient malfaisants ou stupides. Oui il m’arrive de m’énerver sur un commentateur — je suis humain (et pas du tout parmi les plus patients), je me laisse m’emporter, et je le regrette à chaque fois. Je pense que l’auteur cherche honnêtement à rapporter ce qu’il pense réellement être la vérité. Pourquoi je pense ça ? Parce que ces commentaires trompeurs viennent d’opinions très, très répandues. Répandues parce que chaque fois que j’écoute les media français, ce sont eux qui répandent ces opinons. Jamais directement, parce que ce serait un mensonge direct — c’est encore hors-limite. Mais on invite un expert qui met les formes en mettant "on peut penser que", "il est fort probable que", et on peut tout faire gober. Le journaliste conclut par "merci mr l’expert" en hochant la tête.
Dans un monde où les journalistes et les medias font ce qu’ils sont censés faire, les commentaires politiques que je fais sur linuxfr n’aurait pas lieu d’être, ce sont eux qui feraient ces mises en contexte. Et les dits experts comprendraient qu’ils sont invités pour informer au mieux le public, pas pour faire de leur mieux pour donner une impression qui renforce un narratif pré-décidé. Et les fausses impressions ne seraient pas aussi répandues.
Mais voilà, on considère que les "suivre les actus" c’est "s’informer", dans un monde où les media sont en pratique des acteurs hostiles sur le terrain de recherche la vérité. Et je me retrouve par conséquent régulièrement à devoir hurler (et, de mon impression, dans le vent) "les statistiques objectives disent clairement l’inverse !"
Prenons un exemple d'actualité du moment avec le réchauffement climatique.
C’est à la fois un très bon et un très mauvais exemple.
C’est un très bon exemple parce que c’est typiquement un sujet où, dans mon modèle, les media veulent mentir (à gauche, pour amplifier le problème, à droite, pour le minimiser), et peuvent facilement mentir (encore une fois, pas directement, mais si vous pensez que c’est une barrière suffisante… cheh, comme disent les jeunes). Je prévois donc qu’ils mentent. Tous. tout le temps. Oui, sur ce sujet aussi, évidemment.
Très mauvais exemple parce que mon modus operandi habituel, "quelle statistique sera la plus représentative de la réalité, où puis-je la trouver, que dit-elle" ne fonctionne pas ici. Je ne peux pas vous donner un lien INSEE pour conclure de manière quasiment-irréfutable "désolé, vous avez été victime d’un mensonge indirect". Le sujet ne se prête malheureusement pas à un chiffre unique (à pour réfuter "il n’y a pas de réchauffement climatique"). Les sources primaires, auxquelles on peut faire confiance, c’est la littérature scientifique. Le GIEC est déjà une source secondaire, une à laquelle j’aurai tendance à faire confiance, mais qui est déjà suffisamment politisée pour que je ne sois pas à 100% en confiance. Il y a ensuite les experts invités par les media, source tertiaire. Les media d’où vous vous informez sont une source… quaternaire ? Les chances que ce soit de l’information plutôt que de la désinformation, à ce stade, sont quasiment nulles.
Quelques sources tertiaires que je considère dignes de confiance (ie des individus intelligents qui ont pour autant que je puisse dire fait preuve de probité par le passé) me confortent que les media mentent sur ce sujet. C’est une conclusion très personnelle de seconde main que je ne pourrai pas étayer. Pour vous qui me lisez, c’est une assertion de troisième main. Si vous avez suivi ce que je dit jusqu’ici, la conclusion que vous devriez avoir c’est que vous ne devriez pas me faire confiance parce que je le dis.
Malheureusement, analyser les sources primaires sur ce sujet c’est un travail à plein temps. J’aimerais bien qu’il existe des professionnels dont ce soit le métier, analyser le plus objectivement ces sources primaires, recouper différentes sources secondaires, et donner un résumé pour le grand public, avec des règles déontologique (réellement suivies en pratique) telles qu’on puisse faire raisonnablement confiance à ce résumé. Théoriquement, ce métier s’appelle "journaliste". Cela n’existe plus, si cela a jamais existé.
Et si tu prends le salaire moyen de tous les professeurs FR a 15 ans d'ancienneté => -40k brut annuel pour 900h de cours. C'est dans ton document. En Allemagne c'est plus du double pour 698h de cours.
Est-ce qu’on pourrait arrêter la mauvaise foi en choisissant les chiffres qui t’arrangent ? Honnêtement j’espère très fort que tu n’es pas prof, parce que si c’est l’exemple que tu donnes à tes étudiants…
Pourquoi comparer avec l’Allemagne plutôt qu’avec les autres salariés Français ? Encore une fois, le salaire médian en France c’est 2070€ pour 1571 heures [1]
L’Allemagne est le double de la rémunération de la France parce que l’Allemagne est le double de la rémunération de la moyenne OCDE, et que la France est juste un poil au dessus de la moyenne [2]
Pour les heures travaillées, tu as pris les enseignants du primaire alors que c'est encore une fois un outlier (et que toutes les autres stats prises le sont sur le secondaire). Si on continue à parler du secondaire, la France est à 684 pour une moyenne OCDE à 712.
Pour résumer : sur les salaires, la France est au légèrement au dessus de la moyenne OCDE, l’exemple de l’Allemagne étant particulièrement trompeur, étant le double de la moyenne de l’OCDE. Sur le temps passé en classe, la France est légèrement au dessous de la moyenne, sauf en primaire où la France est 15% au dessus de la moyenne.
Mais continuez à moinsser parce que j’apporte des chiffres sur un sujet qui visiblement implique plus l’émotif qu’autre chose, ça me conforte dans ma misanthropie.
Pour les vacances scolaires : certes c’est un moment corrections copies / préparation de cours, mais ces deux activités sont loin de représenter 35h ; les vacances scolaires ne sont pas à 100% des vacances mais très très loin d’être à 0% des vacances. Les profs que je connais (N=2 certes) me disent la même chose, c’est ~25% (une demi-journée un jour sur deux, à la grosse louche). Évidemment, un petit jeune qui fait un cours pour la première fois aura plus de boulot que quelqu’un qui enseigne la même chose depuis 30 ans, ça peut varier là dessus.
Ceux qui n'ont pas forcément eu le temps, ou l'envie, d'étudier et de tester, le framework X ou Y, qui vous est si familier.
Je ne suis absolument pas d'accord avec cette remarque. Ce n’est pas le rôle du code/de la documentation d’une application utilisant le framework X de rappeler la documentation du framework X. C’est tout à fait normal de considérer comme acquis une certaine maîtrise du framework utilisé. Et si ce n’est pas le cas, c’est là le rôle de la formation en interne, pas des commentaires ou de la documentation.
Perso ça ne me choque pas vu qu'on est considéré non apte a voter à 17, je trouve la loi française légère la dessus (après 15)… mais je ne suis pas expert en la matière.
Moi je ne comprends pas pourquoi 17 et 19 ok, 19 et 73 ok, mais 17 et 73 pas ok… mais je suis pas expert non plus.
Et si je devais deviner, c'est que le législateur doit mettre des barrières et des chiffres durs sur une réalité plus floue et compliquée, et qu’il se met donc des marges de sécurité qui ont plus à voir avec des aspects pratiques de la pratique des tribunaux/de la police qu’avec la morale/l’éthique. Et qu’une grande partie du troll vient du fait que certains comme DDV parlent avant tout de la loi (voire prennent la loi comme définissant l’éthique/morale) tandis que d’autres comme RMS parlent de la morale/éthique (et que sans surprise, RMS est un individu qui préfère réfléchir par lui-même aux questions de morale/éthique, sur des bases rationnelles et en partant de 0, en prêtant peu attention aux aspects et contingences sociaux et culturels de la question ; forcément, il arrivera à quelques conclusions un peu étranges du point de vue de l’individu lambda qui prend son éthique/morale de la société ambiante sans se poser de question).
Je suis désolé, mais Matthieu peut être le meilleur dev du monde, j’aurai toujours plus confiance en l’implémentation de Ed25519/Salsa/… de libsodium que la sienne. Je sais laquelle des deux implémentations a eu plus d’yeux fixés dessus.
Aucun des outils qui existaient à cette époque n’a disparu. Tu peux toujours faire des pages PHP sans framework ni ORM. Simplement, quand tu écris pour la 56e fois une variante autour de $product = mysql_fetch_assoc(mysql_query("SELECT * FROM products WHERE product_id = " . $_GET["product_id"])), un moment si tu n’es pas stupide tu te rends compte qu’un outil qui t’automatise ça (et qui te permet d’éviter les injections SQL… comme celle que je viens d’introduire. Cher lecteur, t’en es-tu rendu compte ?), c’est utile. D’où le concept d’ORM.
Je suis d’accord sur le fait que le dev web aujourd’hui est complexe. Mais c’est globalement parce que les standards ont augmenté, et ce sur tous les axes (UX, DX, opérationnel). Développer sans framework ni ORM est tout à fait possible et je dirai même souhaitable, pour un débutant, à condition de garder en tête que c'est pour apprendre les bases nécessaires, que cette méthode a de sérieuses limitations, et qu’il faudra un moment "step up" (l’étape n°1 est souvent d’écrire un framework maison pour comprendre l’intérêt d’un framework, l’étape n°2 est de se rendre compte qu’il existe probablement des frameworks existants mieux faits que le framework maison).
Et ce sera ma première grosse critique de SQLpage : il ne m’a pas l’air d’offrir de chemin naturel vers cette évolution. SQL est une horrible base pour ça. SQL est un langage important pour le développement web que tout développeur expérimenté se doit de connaître ; pour autant 90% (à la louche et en étant extrêmement généreux) de l’usage de SQL dans une application moderne se fait via un ORM/QB (et ce pour de très bonnes raisons).
[^] # Re: Confiance
Posté par Moonz . En réponse au journal Xz (liblzma) compromis. Évalué à 9 (+7/-0). Dernière modification le 30 mars 2024 à 15:44.
https://www.theverge.com/2013/12/20/5231006/nsa-paid-10-million-for-a-back-door-into-rsa-encryption-according-to
Rappelons que pour faire cette backdoor, la personne a du contribuer de manière légitime pendant deux ans pour gagner la confiance du mainteneur. Je ne suis vraiment pas certain que ce soit significativement plus compliqué que de faire un chèque de 10 millions.
[^] # Re: Confiance
Posté par Moonz . En réponse au journal Xz (liblzma) compromis. Évalué à 7 (+5/-0).
En quoi le propriétaire est mieux logé à cette enseigne ?
[^] # Re: Il n’y a presque que de l’argent magique !
Posté par Moonz . En réponse au journal Combien pour un algorithme de détection de piscines sur les photos aériennes ?. Évalué à 2.
C’est quoi une monnaie qui n’est ni fiduciaire, ni métallique, ni scripturale ? Si ce que tu veux dire c’est que tu as besoin de monnaie pour faire des prêts, ça va être difficile de ne pas être d’accord, mais ce n’est pas non plus la découverte du siècle.
Le principe de la réserve fractionnaire fonctionne parfaitement avec une monnaie purement métallique.
[^] # Re: Il n’y a presque que de l’argent magique !
Posté par Moonz . En réponse au journal Combien pour un algorithme de détection de piscines sur les photos aériennes ?. Évalué à 4.
https://en.wikipedia.org/wiki/Fractional-reserve_banking#History
[^] # Re: mes 2cts
Posté par Moonz . En réponse au journal Article « Pourquoi se syndiquer en informatique » sur Framasoft et questionnements personnels. Évalué à 3. Dernière modification le 04 février 2024 à 19:56.
Je pense plutôt que la dichotomie virtuelle/pas virtuelle n’est pas très pertinente pour analyser ce genre de questionnements. C’est virtuel, dans le sens que l’argent n’existe dans le compte en banque ni de l’entreprise, ni des actionnaires. C’est très réel, dans le sens où c’est effectivement échangeable contre de l’argent réel dans un marché liquide.
Mon point de vue est qu’il faut réellement comprendre ce que c’est. Une fois que tu as compris ce que c’était, la question "virtuel ou réel" perd son sens et son intérêt. Pour faire un parallèle en biologie (ça parlera peut-être à plus de monde) : un virus est-il un être "vivant" ? Une fois que tu as compris ce qu’est un virus, et comment ça fonctionne, la question perd son sens et son intérêt.
[^] # Re: mes 2cts
Posté par Moonz . En réponse au journal Article « Pourquoi se syndiquer en informatique » sur Framasoft et questionnements personnels. Évalué à 4.
Si ça peut t’éclairer, j’ai essayé dans un autre commentaire il y a quelques mois d’expliquer ce que ça signifie "être riche en actions". Vu sa réception, je crains que l’explication ne soit pas aussi claire que ce que j’espérais (doux euphémisme), mais peut être que ça peut t’aider quand même.
[^] # Re: mes 2cts
Posté par Moonz . En réponse au journal Article « Pourquoi se syndiquer en informatique » sur Framasoft et questionnements personnels. Évalué à 5.
Non, la valeur de l’entretien des infrastructures se retrouve dans "Depreciation, depletion, amortization and impairment" (13,680M$ en 2022)
# Mail non reçu
Posté par Moonz . En réponse au journal [Message de service] Gagnants des meilleures contributions de janvier 2024. Évalué à 2.
Je n’ai pas reçu le mail. Ce qui est entièrement ma faute, mon profil datant d’il y plus de 20 ans, et je n’ai jamais mis à jour l’adresse. Ceci dit, je compte de toute façon passer mon tour. Mais merci quand même :)
[^] # Re: héritage
Posté par Moonz . En réponse au journal Sandboxer des applications avec bubblewrap (3/3) : Script de gestion. Évalué à 3. Dernière modification le 12 janvier 2024 à 22:13.
Les préréglages peuvent aussi utiliser "use", ce qui donne une forme d’héritage.
[^] # Re: Flatpak
Posté par Moonz . En réponse au journal Sandboxer des applications avec bubblewrap (2/3) : applications de bureau. Évalué à 4.
Mon reproche est simple : ça fait doublon avec ma distribution. Une bonne solution ? La distribution Linux de ton choix.
# Plus tard
Posté par Moonz . En réponse au journal HS : Comment prenez-vous des décision dans la vie de tous les jours ?. Évalué à 8.
LE secret c’est le pouvoir de la procrastination.
Presque aucune décision n’est réellement urgente. Énormément de soucis se règlent d’eux-mêmes en quelques jours sans rien avoir à faire. "Ai-je vraiment besoin d'acheter X/faire Y" ? Si je me pose la question c’est que je n’en ai pas besoin aujourd’hui. Si je reporte aux calendes grecques et finis par oublier c’est que la réponse était non. Si je me pose la même question toutes les semaines pendant des mois, alors je commence seulement à me dire que oui. Mais rien d’urgent, évidemment. On verra demain. Ou la semaine prochaine.
[^] # Re: bubblewrap
Posté par Moonz . En réponse au journal Sandboxer des applications avec bubblewrap (1/3) : un shell basique. Évalué à 3.
J’avoue que pour le coup c’est un gros coup de flemme, et que c’est une bonne idée d’être plus sélectif /etc. Ceci dit si pour /etc/shadow si tu n’as pas le droit de le lire hors de la sandbox (et normalement tu n’as pas le droit) tu n’as pas non plus le droit de le lire dans la sandbox.
Très bonne remarque, j’étais passé à côté de celui ci
À moins que j’aie loupé un truc, un utilisateur non-privilégié ne devrait pas avoir de cap activée à la base, non ?
[^] # Re: conteneur? vm?
Posté par Moonz . En réponse au journal Sandboxer des applications avec bubblewrap (1/3) : un shell basique. Évalué à 3. Dernière modification le 26 décembre 2023 à 18:20.
Je ne connaissais pas, merci. Il y a des choses intéressantes dedans, comme la possibilité d'interdire l'accès au clipboard, qu’il faudrait que je regarde comment c’est implémenté.
Ceci dit dans le principe d’être fondé sur docker je suis très dubitatif, je vois mal comment autoriser un utilisateur à accéder au démon docker sans que ce soit une faile de sécurité en soi (si l’utilisateur peut lancer des commandes docker, il peut lancer, schématiquement,
docker -v /:/ -u root bash)[^] # Re: conteneur? vm?
Posté par Moonz . En réponse au journal Sandboxer des applications avec bubblewrap (1/3) : un shell basique. Évalué à 2.
Je ne connaissais pas du tout. Ceci dit, gestionnaire d'images, c'est à la base ce que je souhaitais éviter.
[^] # Re: bubblewrap
Posté par Moonz . En réponse au journal Sandboxer des applications avec bubblewrap (1/3) : un shell basique. Évalué à 5.
Oui, parmi les solutions de sandbox évoquées dans les commentaires, firejail est celle qui se rapproche le plus de bubblewrap.
Les grosses différences :
--bind ~/.config/mozilla ~/.mozillapar exemple)Toutes ces raisons font que personnellement je préfère bubblewrap. Mais les deux sont conceptuellement très proches.
[^] # Re: conteneur? vm?
Posté par Moonz . En réponse au journal Sandboxer des applications avec bubblewrap (1/3) : un shell basique. Évalué à 2.
Je ne suis pas sur de suivre ? systemd-nspawn nécessite également les droits root, et ne peut pas à ma connaissance faire l’équivalent de
--bind ~/sandboxes/app ~.[^] # Re: conteneur? vm?
Posté par Moonz . En réponse au journal Sandboxer des applications avec bubblewrap (1/3) : un shell basique. Évalué à 3.
Bubblewrap est plus bas niveau, il ne gère que l’aspect sandboxing, pas l’aspect gestion d’images. Tu peux probablement réécrire une grosse partie de podman en tant que surcouche à bubblewrap. Il est aussi plus limité dans ses ambitions, en partie parce qu’il est prévu pour tourner en suid (donc utilisable par un simple utilisateur, pas besoin d’être root pour créer une sandbox).
Ce qui est un avantage, si, comme moi, tu ne veux pas gérer des images, mais réutiliser le système géré par ta distribution.
Ça dépend de "pas confiance" et "vaut mieux".
Une machine virtuelle est clairement plus sécurisée, oui, et si le but est d’étudier un malware, ça me semble une meilleure idée.
Mais une application qui tourne sur une VM pourra difficilement s’intégrer dans ton environnement graphique en partageant le socket Wayland et en communiquant sur ton bus de session D-Bus. Et tu retombes sur la problématique que je veux éviter, "gestion d’images".
[^] # Re: Quel est l'intérêt réel des actualités ?
Posté par Moonz . En réponse au journal Accès des enfants à l'information.. Évalué à 10. Dernière modification le 14 décembre 2023 à 11:29.
Je vous conseille très fortement la lecture de https://thezvi.substack.com/p/on-bounded-distrust. C’est en anglais, long (très long si on veut lire le blog post initial auquel celui-ci répond), centré sur l’environnement médiatique américain (mais les rares fois où je suis confronté à l’environnement médiatique français me conforte très fortement dans l’impression que sur ce sujet la France est dans la même situation, juste depuis plus longtemps), mais mettra bien mieux en mots ce que je pense.
La conclusion est que les médias mentent. Tous, tout le temps, sur tous les sujets. Pas directement (il reste un minimum de déontologie), mais par omission et par connotation.
Les rares fois où j’interviens sur des sujets politiques sur linuxfr, c’est toujours de la même manière et pour les mêmes raisons : quelqu’un transmet une information que je considère comme extrêmement trompeuse. Je répond autant que possible par des données statistiques les plus objectives possibles (ce commentaire sera une exception, et j’espère qu’on saura me le pardonner (et pour le coup, je n’en voudrai à personne si ce commentaire finit à -10)). Il y a eu une telle discussion très récemment ; je ne veux pas relancer le débat donc je ne citerai rien directement ici, mais regardez mes deux précédents commentaires si vous voulez savoir de quoi je parle.
Je ne pense pas que les auteurs de ces commentaires que je considère comme trompeurs soient malfaisants ou stupides. Oui il m’arrive de m’énerver sur un commentateur — je suis humain (et pas du tout parmi les plus patients), je me laisse m’emporter, et je le regrette à chaque fois. Je pense que l’auteur cherche honnêtement à rapporter ce qu’il pense réellement être la vérité. Pourquoi je pense ça ? Parce que ces commentaires trompeurs viennent d’opinions très, très répandues. Répandues parce que chaque fois que j’écoute les media français, ce sont eux qui répandent ces opinons. Jamais directement, parce que ce serait un mensonge direct — c’est encore hors-limite. Mais on invite un expert qui met les formes en mettant "on peut penser que", "il est fort probable que", et on peut tout faire gober. Le journaliste conclut par "merci mr l’expert" en hochant la tête.
Dans un monde où les journalistes et les medias font ce qu’ils sont censés faire, les commentaires politiques que je fais sur linuxfr n’aurait pas lieu d’être, ce sont eux qui feraient ces mises en contexte. Et les dits experts comprendraient qu’ils sont invités pour informer au mieux le public, pas pour faire de leur mieux pour donner une impression qui renforce un narratif pré-décidé. Et les fausses impressions ne seraient pas aussi répandues.
Mais voilà, on considère que les "suivre les actus" c’est "s’informer", dans un monde où les media sont en pratique des acteurs hostiles sur le terrain de recherche la vérité. Et je me retrouve par conséquent régulièrement à devoir hurler (et, de mon impression, dans le vent) "les statistiques objectives disent clairement l’inverse !"
C’est à la fois un très bon et un très mauvais exemple.
C’est un très bon exemple parce que c’est typiquement un sujet où, dans mon modèle, les media veulent mentir (à gauche, pour amplifier le problème, à droite, pour le minimiser), et peuvent facilement mentir (encore une fois, pas directement, mais si vous pensez que c’est une barrière suffisante… cheh, comme disent les jeunes). Je prévois donc qu’ils mentent. Tous. tout le temps. Oui, sur ce sujet aussi, évidemment.
Très mauvais exemple parce que mon modus operandi habituel, "quelle statistique sera la plus représentative de la réalité, où puis-je la trouver, que dit-elle" ne fonctionne pas ici. Je ne peux pas vous donner un lien INSEE pour conclure de manière quasiment-irréfutable "désolé, vous avez été victime d’un mensonge indirect". Le sujet ne se prête malheureusement pas à un chiffre unique (à pour réfuter "il n’y a pas de réchauffement climatique"). Les sources primaires, auxquelles on peut faire confiance, c’est la littérature scientifique. Le GIEC est déjà une source secondaire, une à laquelle j’aurai tendance à faire confiance, mais qui est déjà suffisamment politisée pour que je ne sois pas à 100% en confiance. Il y a ensuite les experts invités par les media, source tertiaire. Les media d’où vous vous informez sont une source… quaternaire ? Les chances que ce soit de l’information plutôt que de la désinformation, à ce stade, sont quasiment nulles.
Quelques sources tertiaires que je considère dignes de confiance (ie des individus intelligents qui ont pour autant que je puisse dire fait preuve de probité par le passé) me confortent que les media mentent sur ce sujet. C’est une conclusion très personnelle de seconde main que je ne pourrai pas étayer. Pour vous qui me lisez, c’est une assertion de troisième main. Si vous avez suivi ce que je dit jusqu’ici, la conclusion que vous devriez avoir c’est que vous ne devriez pas me faire confiance parce que je le dis.
Malheureusement, analyser les sources primaires sur ce sujet c’est un travail à plein temps. J’aimerais bien qu’il existe des professionnels dont ce soit le métier, analyser le plus objectivement ces sources primaires, recouper différentes sources secondaires, et donner un résumé pour le grand public, avec des règles déontologique (réellement suivies en pratique) telles qu’on puisse faire raisonnablement confiance à ce résumé. Théoriquement, ce métier s’appelle "journaliste". Cela n’existe plus, si cela a jamais existé.
[^] # Re: Pourquoi "auprès de la gent féminine" ?
Posté par Moonz . En réponse au journal Comment briller auprès de la gent féminine dans « le monde de la tech ». Évalué à 4. Dernière modification le 11 décembre 2023 à 11:21.
Est-ce qu’on pourrait arrêter la mauvaise foi en choisissant les chiffres qui t’arrangent ? Honnêtement j’espère très fort que tu n’es pas prof, parce que si c’est l’exemple que tu donnes à tes étudiants…
Pourquoi comparer avec l’Allemagne plutôt qu’avec les autres salariés Français ? Encore une fois, le salaire médian en France c’est 2070€ pour 1571 heures [1]
L’Allemagne est le double de la rémunération de la France parce que l’Allemagne est le double de la rémunération de la moyenne OCDE, et que la France est juste un poil au dessus de la moyenne [2]
Pour les heures travaillées, tu as pris les enseignants du primaire alors que c'est encore une fois un outlier (et que toutes les autres stats prises le sont sur le secondaire). Si on continue à parler du secondaire, la France est à 684 pour une moyenne OCDE à 712.
Pour résumer : sur les salaires, la France est au légèrement au dessus de la moyenne OCDE, l’exemple de l’Allemagne étant particulièrement trompeur, étant le double de la moyenne de l’OCDE. Sur le temps passé en classe, la France est légèrement au dessous de la moyenne, sauf en primaire où la France est 15% au dessus de la moyenne.
Mais continuez à moinsser parce que j’apporte des chiffres sur un sujet qui visiblement implique plus l’émotif qu’autre chose, ça me conforte dans ma misanthropie.
[1] https://www.insee.fr/fr/statistiques/5391992?sommaire=5392045
[2] https://www.oecd-ilibrary.org/education/teachers-and-school-heads-average-actual-salaries-2019_0af888e3-en
[3] https://www.oecd-ilibrary.org/sites/ab0f4eef-en/index.html?itemId=/content/component/ab0f4eef-en
[^] # Re: Pourquoi "auprès de la gent féminine" ?
Posté par Moonz . En réponse au journal Comment briller auprès de la gent féminine dans « le monde de la tech ». Évalué à -2. Dernière modification le 07 décembre 2023 à 14:00.
En quoi ce n’est pas un cliché pour le salaire ?
Si je regarde https://www.education.gouv.fr/media/90638/download et que je prend le salaire net moyen pour la catégorie "professeurs certifiés" (je suppose que par élimination c’est le gros des effectif en collège/lycée) : 2752€. Si je colle ça dans https://www.inegalites.fr/Salaire-etes-vous-riche-ou-pauvre, le résultat est "72% des salariés gagnent moins que vous."
Pour les vacances scolaires : certes c’est un moment corrections copies / préparation de cours, mais ces deux activités sont loin de représenter 35h ; les vacances scolaires ne sont pas à 100% des vacances mais très très loin d’être à 0% des vacances. Les profs que je connais (N=2 certes) me disent la même chose, c’est ~25% (une demi-journée un jour sur deux, à la grosse louche). Évidemment, un petit jeune qui fait un cours pour la première fois aura plus de boulot que quelqu’un qui enseigne la même chose depuis 30 ans, ça peut varier là dessus.
# Objection
Posté par Moonz . En réponse au journal Comment briller auprès de la gent féminine dans « le monde de la tech ». Évalué à 10.
Je ne suis absolument pas d'accord avec cette remarque. Ce n’est pas le rôle du code/de la documentation d’une application utilisant le framework X de rappeler la documentation du framework X. C’est tout à fait normal de considérer comme acquis une certaine maîtrise du framework utilisé. Et si ce n’est pas le cas, c’est là le rôle de la formation en interne, pas des commentaires ou de la documentation.
[^] # Re: question de clarification
Posté par Moonz . En réponse au journal L’avis de RMS sur les relations sexuelles. Évalué à 7.
Moi je ne comprends pas pourquoi 17 et 19 ok, 19 et 73 ok, mais 17 et 73 pas ok… mais je suis pas expert non plus.
Et si je devais deviner, c'est que le législateur doit mettre des barrières et des chiffres durs sur une réalité plus floue et compliquée, et qu’il se met donc des marges de sécurité qui ont plus à voir avec des aspects pratiques de la pratique des tribunaux/de la police qu’avec la morale/l’éthique. Et qu’une grande partie du troll vient du fait que certains comme DDV parlent avant tout de la loi (voire prennent la loi comme définissant l’éthique/morale) tandis que d’autres comme RMS parlent de la morale/éthique (et que sans surprise, RMS est un individu qui préfère réfléchir par lui-même aux questions de morale/éthique, sur des bases rationnelles et en partant de 0, en prêtant peu attention aux aspects et contingences sociaux et culturels de la question ; forcément, il arrivera à quelques conclusions un peu étranges du point de vue de l’individu lambda qui prend son éthique/morale de la société ambiante sans se poser de question).
[^] # Re: Qui développe ?
Posté par Moonz . En réponse au journal Le gouvernement français pousse vers Olvid, une solution de messagerie instantanée française. Évalué à 10.
Je suis désolé, mais Matthieu peut être le meilleur dev du monde, j’aurai toujours plus confiance en l’implémentation de Ed25519/Salsa/… de libsodium que la sienne. Je sais laquelle des deux implémentations a eu plus d’yeux fixés dessus.
[^] # Re: Chez moi ça marche
Posté par Moonz . En réponse au journal Du format et de la taille des images. Évalué à 2.
Essaie avec une grille horizontale/verticale plutôt qu’en diagonale ?
[^] # Re: Superbe projet
Posté par Moonz . En réponse à la dépêche Écrire une appli web en une journée avec SQLPage. Évalué à 6.
Aucun des outils qui existaient à cette époque n’a disparu. Tu peux toujours faire des pages PHP sans framework ni ORM. Simplement, quand tu écris pour la 56e fois une variante autour de
$product = mysql_fetch_assoc(mysql_query("SELECT * FROM products WHERE product_id = " . $_GET["product_id"])), un moment si tu n’es pas stupide tu te rends compte qu’un outil qui t’automatise ça (et qui te permet d’éviter les injections SQL… comme celle que je viens d’introduire. Cher lecteur, t’en es-tu rendu compte ?), c’est utile. D’où le concept d’ORM.Je suis d’accord sur le fait que le dev web aujourd’hui est complexe. Mais c’est globalement parce que les standards ont augmenté, et ce sur tous les axes (UX, DX, opérationnel). Développer sans framework ni ORM est tout à fait possible et je dirai même souhaitable, pour un débutant, à condition de garder en tête que c'est pour apprendre les bases nécessaires, que cette méthode a de sérieuses limitations, et qu’il faudra un moment "step up" (l’étape n°1 est souvent d’écrire un framework maison pour comprendre l’intérêt d’un framework, l’étape n°2 est de se rendre compte qu’il existe probablement des frameworks existants mieux faits que le framework maison).
Et ce sera ma première grosse critique de SQLpage : il ne m’a pas l’air d’offrir de chemin naturel vers cette évolution. SQL est une horrible base pour ça. SQL est un langage important pour le développement web que tout développeur expérimenté se doit de connaître ; pour autant 90% (à la louche et en étant extrêmement généreux) de l’usage de SQL dans une application moderne se fait via un ORM/QB (et ce pour de très bonnes raisons).