Moonz a écrit 3657 commentaires

https://github.com/symfony/http-foundation/blob/master/IpUtils.php

Les benchmarks ne signifient pas grand chose tant que le DNS cloudflare est encore peu utilisé (leurs serveurs sont peu chargés).

https://news.ycombinator.com/item?id=16727869

I'd be surprised if increased load has a negative effect on 1.1.1.1's performance.

We run a homogeneous architecture—that is, every machine in our fleet is capable of handling every type of request. The same machines that currently handle 10% of all HTTP requests on the internet, and handle authoritative DNS for our customers, and serve the DNS F root server, are now handling recursive DNS at 1.1.1.1. These machines are not sitting idle. Moreover, this means that all of these services are drawing from the same pool of resources, which is, obviously, enormous. This service will scale easily to any plausible level of demand.

In fact, in this kind of architecture, a little-used service is actually likely to be penalized in terms of performance because it's spread so thin that it loses cache efficiency (for all kinds of caches—CPU cache, DNS cache, etc.). More load should actually make it faster, as long as there is capacity, and there is a lot of capacity.

Ceci dit, ce n’est pas si faux que ça.

Le cœur de l’algo en lui-même n’a pas connaissance des règles du jeu. Par exemple, aux échecs, AlphaZero n’a nulle part la connaissance explicite qu’un cavalier peut se déplacer de deux cases vers la gauche et d’une case vers le haut en un mouvement. Tout ce qu’il a, c’est d’un côté en entrée une matrice 8x8 qui se trouve être à 1 quand un cavalier est présent dans la case correspondante, et en sortie une matrice 8x8 qui, quand elle est à 1, est interprétée par le moteur d’échecs (dont AlphaZero n’a pas connaissance) par "déplacer le cavalier présent à cette case de deux cases vers la gauche et une case vers le haut". Mais nulle part AlphaZero lui-même n’a de notion de cavalier et de déplacements légaux associés à cette pièce. Ou de règles de captures. Tout ceci, il doit l’apprendre.

et il est impressionnant de voir à quel point ce genre de discussions autour de l'IA n'ont pas évolué

Les discussions évoluent. C’est juste que le grand public a constamment 30 ans de retard, donc si tu compares les discussions quasi-académiques d’il y a 30 ans et les discussions du grand public d’aujourd’hui, ça donne cette impression.

Le "Godel, Escher, Bach" (c’est à dire une vulgarisation des débats contemporains) de ~2010 c’est "Rationality: From AI to Zombies", pas l’express…

Ça m’a l’air assez proche de ce que je cherche, merci !

C’est bien parce que j’aime bien automatiser que je n’aime pas les IDE.

Un debugger graphique intégré c’est effectivement sympa la plupart du temps. Jusqu’au jour où tu veux automatiser une session de debugging en combinaison avec git bisect.

Une chaine de build automagique intégré à l’IDE c’est sympa la plupart du temps. Jusqu’au jour où tu veux automatiser le déploiement sur une instance de recette avec docker.

Le gros problème de l'approche de NodeJS est qu'elle propose une approche de la programmation événementielle basée sur des callbacks et qu'on finit invariablement par avoir du code spaghetti assez indigeste, pas super facile à maintenir – et pas non plus super facile à mettre au point. Un des gros problèmes de la programmation par callbacks est qu'elle inverse l'ordre de composition des fonctions

En JS moderne tu as await pour éviter ça

Je ce cas, je ne donne pas cher de l'application qu'ils développent…

Je suis désolé, mais pour moi c’est ça qui est à courte vue.

La plupart des développeurs n’ont que des besoins extrêmement basiques de persistance. Demander d’avoir à maîtriser SQL pour ça n’est pas raisonnable. On ne demande pas à un développeur de savoir rebalancer un RB+-tree pour utiliser un système de fichier, ou de connaitre en détails comment fonctionne la couche MAC du wifi pour faire une requête HTTP.

Le progrès en ingénierie informatique, c’est le développement d’abstractions simples d’utilisation (système de fichier, TCP) adaptées à un besoin précis et répandu. Si le « monde BDD » (j’inclus là dedans SGBDR et ORM) n’est pas capable de fournir une telle abstraction pour des besoins de persistance basique, le problème vient du monde BDD, pas des développeurs.

OpenVPN utilise easy_rsa pour gérer sa PKI (clés serveurs, clés clients, CA). C’est assez pénible à l’utilisation par contre.

J’ai entendu parler de cfssl (https://github.com/cloudflare/cfssl), mais j’ai jamais testé.

Après, en interne, tu peux te faire ta propre CA dont tu installes les certificats sur les postes clients.

Tu peux très bien utiliser du code envoyé par un serveur auquel tu ne fais pas confiance, tant que tu obtiens la signature du code par un canal de confiance.

https://developer.mozilla.org/en-US/docs/Web/Security/Subresource_Integrity

Regarde les mitochondries qui ne sont pas dans notre corps grâce à notre ADN

L’ADN mitochondrial est soumis aux mêmes pressions de sélection que l’ADN classique. Et presque aux mêmes mécanismes de mutation. Qu’il soit dans la mitochondrie plutôt que dans le noyau ne change pas grand chose du point de vue de la sélection naturelle.

les bactéries dans notre tube digestif, l'influence de notre environnement sur notre raisonnement

Ben comme tu dis, tout ceci fait partie de l’environnement, que l’évolution prend en compte. Exactement comme un développeur prend en compte l’environnement dans lequel son programme est supposé tourner.

L'ADN n'est pas la seule composante de nos organismes pour nous donner de l'intelligence

Non, mais c’est la seule composante sur laquelle "l’évolution" "programme".

La véritable IA n'existera jamais

L’évolution a réussi à faire un truc pas trop trop dégueulasse en 3.5 milliards d’années pourtant. Juste avec un langage comprenant 4 symboles (ou 64, selon le point de vue). Le challenge de l’IA consiste à :

1. reproduire ce résultat
2. l’améliorer

Sachant que (2) viens quasiment automatiquement avec (1)

j'ai lâché tout ça, j'me suis tourné vers un OS à la ligne sur

Quel est donc cet OS miracle qui donne des garanties de sureté même quand tu remplaces leur kernel par une version modifiée par un tiers ?

mais je n'avais pas vu de gesionnaire de mots de passes qui soit libre, dont on peut installer sa propre instance, disponible à distance, et si possible pas en Java ou NodeJS

Tu n’as pas bien cherché alors:

https://www.passbolt.com
https://bitwarden.com
https://github.com/clipperz/password-manager
https://github.com/ehazlett/locksmith
http://indefero.soutade.fr/p/gpass/
https://github.com/sloonz/wkr/

Sinon, pourquoi utiliser SHA256 (sans salt en plus !) pour dériver une clé AES à partir d’un mot de passe, alors que PBKDF2 est fait pour ça et dispo dans WebCrypto ?

    (max-src-conn-rate 3/60, \
    overload <blacklist> flush global)

Moi, ce que je lis de cette règle, c’est placer dans la blacklist toute connexion "trop rapide" (ie >3/minute). fail2ban ne met en blacklist que les tentatives infructueuses.

Avec ta règle, si j’ouvre 4 connections valides (avec la bonne clé/le bon mot de passe), ben je me fais quand même jeter.

Dans un article sur medium, François Chollet, lui, dit que c'est linéaire (c'est une opinion, pas plus, mais d'un spécialiste du domaine quand même).

Et pour ceux qui sont intéressés par le débat, une réponse du MIRI.

The first 56 planes encode possible ‘queen moves’ for any piece: a number of squares [1..7] in which the piece will be moved, along one of eight relative compass directions {N,NE,E,SE,S,SW,W,NW}

Je ne vois pas ce qu’il y a de pas clair là dedans ?

Le premier échiquier représente la probabilité P(i,j) que la pièce à l’emplacement (i,j) bouge d’une case vers le nord.
Le second échiquier représente la probabilité P(i,j) que la pièce à l’emplacement (i,j) bouge de deux cases vers le nord.
…
Le septième échiquier représente la probabilité P(i,j) que la pièce à l’emplacement (i,j) bouge de sept cases vers le nord.
Le huitième échiquier représente la probabilité P(i,j) que la pièce à l’emplacement (i,j) bouge d’une case vers le nord-est.
…
Le 56e échiquier représente la probabilité P(i,j) que la pièce à l’emplacement (i,j) bouge de sept cases vers le nord-ouest.

MacOS X non plus n’arrive pas à détrôner Windows. C’est parce que Apple c’est des buses aussi ?

Pour détrôner Windows, il ne faut pas être équivalent, ou légèrement meilleur. Il faut être significativement meilleur, le genre de différence entre MS-DOS et Windows 95 (parce que changer demande de l’effort, parce que passer dans la minorité signifie se couper de pas mal d’aide potentielle, parce que habitudes, parce que retrocompatibilité, parce que le moindre petit souci sous Linux = Linux c’est de la merde tout en acceptant sans broncher de plus gros soucis sous Windows…). Personne sur ce site ne prétend que Linux est à ce point meilleur que Windows.

Permet nous par contre d’être légèrement agacé par vos « si Linux ne perce pas c’est parce qu’il a une logithèque de merde lol ».

Sauf qu’entre XUL et l’API actuelle (WebExtension), Mozilla a créé puis déprécié deux API (JetPack et une autre dont j’ai oublié le nom). C’est un peu difficile ensuite de reprocher aux développeurs de vouloir targeter l’API qui est là depuis le début plutôt que "la dernière à la mode promis cette fois c’est la bonne".

Cela dit ça ne doit pas être coûteux de partager le parent du dossier utilisateur (traditionnellement /home) sous linux. Cela dit je me demande comment smbnetfs s’en sort avec l’option de samba qui cache à l’utilisateur identifié les fichers et dossiers qu’il ne peut pas lire, puisque si j’ai bien compris l’intérêt de smbnetfs est de tout montrer côté client, et une fois que tout est là, seuls ceux qui ont accès parcourent l’arborescence. Hors avec ladite option de Samba, c’est le serveur qui cache des choses de l’arborescence au client… À essayer mais pour le moment j’ai du mal à imaginer comment ça pourrait marcher…

Puisque ton serveur est sous Samba et non Active Directory, la solution est simple : monte le parent, globalement (/home) avec un partage NFS.

et ce quelque chose, en plus de recevoir l’identifiant et le mot de passe pour le transférer à gnome pour les composants qui en ont besoin (seahorse),

Je n’utilise pas gnome, mais le wiki ArchLinux me dit que c’est possible d’ouvrir le keyring seahorse avec PAM: https://wiki.archlinux.org/index.php/GNOME/Keyring#PAM_method

utiliserait l’identifiant et le mot de passe pour, entre autre : […] mount

N’utilise pas le mot de passe de l’utilisateur pour monter un partage Samba. Kerberos c’est fait pour ça. sssd te fournis automatiquement un TGT à l’ouverture de la session.

(une recherche rapide me montre que quelqu’un a réussi avec pam_mount: https://lists.samba.org/archive/samba/2015-November/195569.html)

J’ai regardé vite fait l’exemple. Deux trucs louches pour ton usage (qui est: on veut un domaine par défaut) :

• Pas de default_realm dans /etc/krb5.conf
• use_fully_qualified_names à true dans sssd.conf. Comme indiqué dans la doc :

set to true, all requests to this domain must use fully qualified domain names. It also means that the output from the request displays the fully-qualified name. Restricting requests to fully qualified user names allows SSSD to differentiate between domains with users with conflicting user names.

Est-ce que cette configuration est indépendante de l’utilisateur ?

Avec cette configuration (fstab + script dans /etc/X11/Xsession.d) ça peut être un poil compliqué : il va falloir une entrée /home/$login par utilisateur dans /etc/fstab. Une solution serait de faire un script suid root qui créé l’entrée dans /etc/fstab dynamiquement et qui serait appelé par ton script dans /etc/X11/Xsession.d.

Une autre solution serait de passer par pam_mount, mais encore une fois j’ai jamais touché à ça.

Une troisième solution serait d’avoir un montage samba statique sur /home au lieu d’un montage samba dynamique sur /home/$login.

Déjà rien que pour commencer il faudrait que l’utilisateur n’ait pas à saisir le domaine quand il s’identifie… Ça commence là.

Je ne sais pas comment tu as configuré l’intégration AD, mais je l’ai fais plusieurs fois avec sssd et il n’y a pas besoin de saisir le domaine (sauf au moment où l’admin joint la machine au domaine)

la session s’ouvre avec tous les dossiers réseaux monté

Ajoute l’entrée dans /etc/fstab avec les options user,sec=krb5. L’utilisateur pourra monter le dossier avec mount sans avoir à saisir son mot de passe. Tu peux ajouter la commande mount quelque part dans /etc/X11/Xsession.d/ si tu veux automatiser ça.

Il y a certainement moyen avec pam_mount de faire le point de montage dans $HOME (ou quelque chose comme /run/user), mais comme chez nous on a besoin que ce soit sur un chemin fixe, j’ai pas expérimenté avec ça.

i3. Raison n°1 pour laquelle je suis sous Linux alors que la majorité des logiciels que j’utilise tournent sous wine.