Moonz a écrit 3686 commentaires

80% de taxes sur le tabac, c’est pas lutter contre le tabac pour toi ? Et la loi Évin ? Et la loi de 2006 interdisant de fumer dans les lieux publics ?

Je ne vois pas ce que le gouvernement pourrait faire de plus, à part interdire complètement sa vente et sa consommation.

Ben justement, la sécurité c’est pas « confiance absolue » / « confiance nulle ». Si c’est ça ton approche de la sécurité, arrête tout de suite l’informatique (et même toute vie en société). On sait que la NSA a les moyens d’intercepter les colis Amazon pour mettre un mouchard dans le hardware du laptop que tu as commandé s’ils en ont vraiment envie, alors tu pense bien que ta sortie « je fais confiance au libre et pas au proprio », ça les fait bien rigoler.

La sécurité dans la vie réelle c’est confiance/pas confiance dans un contexte donné, pour un scénario donné, pour un attaquant donné. Oui, on sait que Android n’est pas de confiance pour l’attaquant NSA et le scénario « je veux garder secrètes des activités politiques sensibles ». Mais ce n’est pas du tout ce dont il est question ici ; ici le scénario c’est « je télécharge une appli sur l’AppStore, je ne veux pas me retrouver avec mes données chiffrées et un Russe qui me vend la clé pour 100€ ».

On s’inquiète de cette faille parce qu’elle fait passer le modèle de sécurité d’Android de « sûr » à « non sûr » pour ce scénario face à cet attaquant. Et ne t’en déplaise, pour l’écrasante majorité de la population, c’est ce scénario et cet attaquant la plus grande menace en pratique (et de très très loin), pas Google qui utilise tes données pour cibler la publicité (ça tout le monde le sait et s’en accommode ou s’en fout) ou la NSA qui t’espionne.

Assez de théorie : en pratique, donne moi juste un exemple d’une entreprise type Google qui fasse un coup de pute dans ton dos de type ransomware (un truc qui arrive dans la vie réelle et qui justifie de s’inquiéter d’une faille de sécurité type décrite dans le journal)

Pour l’instant, le pire truc que m’ait fait Google c’est cibler les 2 publicités/an qui arrivent à passer à travers adblock. Je peux concevoir que ça emmerde certains, mais de là à mettre ça au même niveau qu’un ransomware, faut vraiment avoir un sens des priorités bien étrange.

MS a dés le début été clair sur ce qui est pris, pourquoi, et comment l’arrêter

Je n’ai pas testé W10, donc c’est une vraie question : c’est clair dans l’OS lui-même et bien visible, ou seulement à des lecteurs réguliers de sites techniques ou planqué au fin fond de l’aide Windows ?

Typiquement le domaine publique est libre et n'est jamais propriétaire

Ben non, justement. Un freeware (binaire gratuit et librement redistribuable mais dont le code source est gardé secret) c’est très proche du domaine public (autant que BSD/MIT), mais c’est non-libre. Si demain la propriété intellectuelle était abolie et que tout était dans le domaine public, ça ne rendrait pas Windows libre pour autant, tant que son code source reste inaccessible à ses utilisateurs.

Pourquoi je ferai erreur ? Je n’ai pas dit « les logiciels libres ont besoin de la propriété intellectuelle pour exister », j’ai dit « la licence GPL repose sur la propriété intellectuelle ». Je dis simplement que la distinction propriété intellectuelle/domaine public est orthogonale à la distinction logiciel libre/propriétaire, et que ton analogie fait référence à la première, pas la seconde.

Ça c’est domaine public vs propriété intellectuelle, pas logiciel libre vs logiciel propriétaire.

La GPL a tout autant que les CLUF de Microsoft besoin la propriété intellectuelle pour exister (bah oui, sans propriété intellectuelle, bonne chance pour défendre la clause d’obligation de distribuer les dérivés sous une licence compatible) ; à l’inverse les Freeware non-libre n’ont aucun besoin de propriété intellectuelle mais ne sont pas libres pour autant.

donc en fait c'est mieux! Tu as ton smartphone avec toi, qui a le client XMPP, tu reçoit la demande de connexion, tu te loggues, tu fais ton truc tu te délogues tout en étant sûr que personne ne pourra accéder de nouveau à ton compte à partir de cette machine (ce qui n'est pas le cas sans XMPP car tu taperais ton login/pass et hop le keylogger…)

Je suis également fan de ce mode de fonctionnement, j’ai d’ailleurs dans les cartons un projet perso assez proche dans la philosophie.

Cette remarque n’était là que pour illustrer ce qui peut arriver à cause du point qui me dérange réellement : lier dans le protocole même un mode de fonctionnement somme tout assez rigide, dans une proposition de SSO pour le web. Il faut comparer à OpenID qui par exemple dit explicitement : « le mode d’authentification exact entre l’utilisateur et son fournisseur d’identité n’est pas spécifié et est laissé à la libre appréciation de l’utilisateur ». D’ailleurs la XEP 0070 pourrait parfaitement être un des modes d’authentification fourni par une implémentation de fournisseur d’identité OpenID.

Le but c'est justement de ne plus avoir de mot de passe à retenir

Regarde les boutons « se connecter avec facebook » : ils sont différents d’un site à l’autre ; le webmaster a le contrôle dessus.

M’enfin, ça c’est du détail, pour expliciter ma critique c’est que la fenêtre d’authentification standard du navigateur n’est pas adaptée, et pas adaptable : même si l’utilisateur n’est pas supposé rentrer son mot de passe, il se le verra demandé quand même, ce qui est pour le moins déroutant. Et dangereux : il sera tenté de rentrer son mot de passe XMPP, et si jamais le schéma d’authentification est Basic, le mot de passe sera vu en clair par le serveur. Et bien évidemment, vu que personne (sauf l’éditeur du navigateur) n’a de contrôle sur cette fenêtre, impossible d’écrire en gros ATTENTION, LAISSEZ VOTRE MOT DE PASSE VIDE.

D’autant plus que je ne vois pas l’intérêt de faire un tel foin de WWW-Authenticate dans cette XEP. C’est uniquement pour que l’utilisateur puisse communiquer son JID au serveur web ; la XEP aurait largement pu dire « pas mon problème, faites comme vous voulez : formulaire classique, WWW-Authenticate ou télépathie ». De ce que je vois, rien ne m’empêche techniquement d’implémenter la XEP en remplaçant le mécanisme WWW-Authenticate par un bête formulaire « entrez votre JID » (ce qui en un sens limite ma critique à la rédaction de la XEP plutôt qu’à la proposition technique en elle-même).

Je n'ai pas bien compris ce point, de quel plugin firefox tu parles ? La gestion est côté serveur de ce que j'ai compris, même si le client HTTP intervient, c'est via des comportements standards.

Tu as raison, j’ai survolé trop vite, j’ai cru qu’ils définissaient un nouveau schéma d’authentification mais c’est bien du Basic/Digest classique.

Arrête moi si je me trompe, mais en survolant la XEP, je vois :

• WWW-Authenticate ? Aucune chance ; les éditeurs de sites veulent garder le contrôle sur l’interface de connexion (ne serait-ce que pour offrir des trucs genre une cache à cocher « retenir mon mot de passe », ou un captcha)
• ça demande une gestion côté navigateur, ça peut pas être fait en pur JS. Le plugin firefox n’a pas l’air maintenu (et même pas accessible)
• ça veut dire que mon client xmpp doit tourner au moment où je fais la requête HTTP. Si je suis chez un pote et que je veux accéder à un truc en utilisant son PC, je dois installer un client XMPP dessus ? ça n’a pas l’air très pratique…

Une heap totalement renouvelée, qui s'applique à tous les processus, largement plus efficace d'un point de vue sécurité, et une approche qu'on ne voit sur aucun autre OS majeur
CFG pour rendre encore plus difficile l'exploitation de faille, de nouveau une technologie qu'aucun OS grand public n'a (et je doutes même qu'il y ait un seul autre OS l'ayant…)

Un petit lien serait le bienvenu :)

Kmail, Thunderbird et Mutt sont compatibles à 100 %, pourquoi les nommer différemment ?

Plateforme différente (KDE/Multiplateforme/TUI) avec des besoins différents (intégration forte au bureau/multiplateforme/utilisation à travers SSH) et même incompatibles.

La raison pour laquelle les devs de Kmail et Mutt ne se mettront jamais ensemble pour les fusionner en un client mail, c’est que le développeur de Mutt refusera toute solution empêchant l’utilisation de Mutt sur le VPS super léger qui n’a pas X, et que le développeur de Kmail refusera toute solution limitant l’intégration à l’environnement KDE. Le compromis est impossible.

Quelles incompatibilités de vision empêchent le compromis, dans le cas de Movim/SàT ?

Allez prochaine étape, d'ici 10 ans la communauté Javascript commencera peut être à réaliser que changer 100% de ses frameworks tous les deux ans et combiner les 35 outils hype du mois n'a aucun absolument intérêt :)

C’est toujours préférable à la communauté Java qui s’obstine à utiliser de vieux outils bloated et pas adaptés « parce que tout le monde l’utilise » :)

Le problème c’est quand tu leur demandes un reçu fiscal sous une forme acceptable par le fisc français.

Je décroche et là un répondeur me demande de rappeler a ce numéro pour confirmer l'adresse d'un colis en cours de livraison.

J’ai eu ce genre d’appel même sans commander de coli. Coïncidence je pense :)

Si tout le monde prenait le bus il suffirait de mettre 5 bus au lieu d'un.

Le problème c’est gérer les deux piques de pointes (matin et soir) vs le reste de la journée. Pour mettre 5 bus au lieu d’un il faut embaucher 5 fois plus de conducteurs, qui devront se tourner les pouces (payés ou non ?) le reste de la journée.

mais sans obligation, SHALL et non MUST

shall et must sont synonymes

http://www.ietf.org/rfc/rfc2119.txt

Dans le même document, inflation prévue: 1%. Le budget enseignement reste stable, et la justice baisse très légèrement. Les budgets santé et totaux continuent à augmenter.

Et chez moi (enfin, pas que chez moi) baisser très légèrement ≠ sabrer. Je veux dire, si une baisse de 1% c’est un « sabrage », que dire d’une augmentation de 4% ? Une explosion big-bangesque incontrôlée ?

les budgets inique qui sabre santé, éducation et justice

?

Budget 2016 : http://proxy-pubminefi.diffusion.finances.gouv.fr/pub/document/18/19765.pdf

Le budget santé augmente de 60 millions (+5%), l’enseignement scolaire de 530 millions (+1%), la justice de 10 millions (+1,5 pour mille). Seul le budget recherche/enseignement supérieur baisse légèrement, de 10 millions (-0,4 pour mille). Hors charge de la dette, la dépense totale augmente de 10 milliards (+3,4%). Comment fais tu pour qualifier une telle évolution de « sabrage » des dépenses ?

Je répète le point important

par les instances anti-spam que j'ai paramétré

donc si je veux envoyer un mail à quelqu’un à partir de mon propre serveur, je dois demander à son hébergeur de mail de me paramétrer comme « instance anti-spam à peu près de confiance ». Ça va vite fatiguer tout le monde, et concentrer encore plus le contrôle des emails sur quelques gros acteurs.

il faut juste se faire signer par la toile de confiance

C’est encore pire. Sans même parler de l’aspect pas pratique du tout (je dois manuellement whitelister chaque personne qui veut m’envoyer un mail ? C’est déjà possible aujourd’hui, mais personne n’est assez masochiste pour le faire), comment fonctionne le premier contact ?

– si la clé GPG qui signe n'est pas signée par les instances anti-spam que j'ai paramétré --> poubelle.

Ça c’est la mort certaine de toute forme d’auto-hébergement des mails, ou même sans aller à l’autohébergement la mort des petites/moyennes structures (s’il faut whitelister manuellement les domaines d’envoi, personne va se faire chier à aller plus loin que gmail/yahoo/hotmail).

l'absence d'indemnité pour un salarié victime d'un licenciement abusif (article 102 de la loi Macron)

Je ne vois pas où tu lis ça : http://www.legifrance.gouv.fr/eli/loi/2015/8/6/EINX1426821L/jo#JORFARTI000030979380

¹ et ² : à leur décharge, il n'est pas évident pour un employé de call-center bengali (ou breton) de prononcer correctement les noms alsaciens :-/

Je te rassure : pour les français non plus.

Car bon, l'égoïsme de la Silicon Valley avec certes des salaires sympas mais dont les habitants non informaticiens râlent faute de quoi trouver un logement avec leurs salaires bien plus bas

Pas grand rapport avec les impôts. On a à peu près la même chose à Paris où le prix de l’immobilier rend la vie des bas salaires bien plus compliquée qu’en province, par exemple.

l'égoïsme de la Silicon Valley

Ça me semble un jugement assez rapide, et insultant pour les habitants. Des impôts bas (et de fait les impôts ne sont pas spécialement bas dans la Silicon Valley, l’impôt sur le revenu y est comparable à ce qu’on trouve en France par exemple[1], de même que l’impôt sur les sociétés [2]) ne signifient pas des individus égoïstes. Je ne suis pas dans le coin donc je peux difficilement juger, mais je sais par exemple que le mouvement effective altruism est né là bas.

---

[1] http://www.tax-brackets.org/federaltaxtable + http://www.tax-brackets.org/californiataxtable à comparer avec http://www.impots.gouv.fr/portal/dgi/public/popup?espId=1&typePage=cpr02&docOid=documentstandard_6889
[2] https://en.wikipedia.org/wiki/Corporate_tax_in_the_United_States#Federal_tax_rates + https://www.ftb.ca.gov/businesses/faq/717.shtml contre 33% en France.

L'intérêt de google est que le web se développe, mais il y va quand même prioritairement pour ses intérêts dans un but de commerce.

Bien évidemment que l’évolution des standards part de besoins bien réels, et heureusement. Mozilla fait exactement la même chose : comme souligné ailleurs, énormément de contributions Mozilliennes aux standards part du besoin de faire un OS (FFOS) en pur HTML. Et Google est loin de se contenter des trucs haut niveau pour leurs fonctionnalités (type Beacon), ils contribuent également beaucoup à la technique pure : HTTP/2.0 c’est eux (ça vient de spdy), Shadow DOM et les Web Components en général c’est eux.

Un bon exemple, la mise en avant des nom de domaines sur les URL … chrome était le dernier à le mettre et de loin, même IE l'avais mis avant

?

Chrome l’a depuis le début : http://google-chrome.brothersoft.com/google-chrome0.2.149.27-beta-screenshots-1

Firefox 3.5 (sorti deux ans plus tard) ne l’avait toujours pas : http://www.brothersoft.com/firefox-372763.html

Et tout ceci n’a rien à voir avec les standards du web.

glouglou était aussi en tête de vouloir que le javascript passe en compilé

asm.js et emscripten viennent de Mozilla, et Mozilla est loin de traîner des pieds sur Webassembly.