Moonz a écrit 3542 commentaires

et dans le cas de la boite en faillite je me base sur le fait que c'est vendu comme "banque" alors qu'il n'y a aucune protection (et c'est voulu).

C’était une plateforme d’échange, pas une banque.

Le truc, c’est que « feature-complete » est un choix que tout le monde ne fait pas et qui n’implique pas automagiquement que le logiciel est mort dans le sens « troué de bug et de failles de sécurité, incompilable sur les systèmes modernes… »

ta passphrase tu ne la rentres jamais?

Quasiment jamais non. Magie de la cryptographie symétrique, pour recevoir des bitcoins tu n’as absolument pas besoin de passphrase, et comme j’en dépense pas…

Maintenant, revenons à ma « non-lecture » :

et on ne peut pas s'enfuir dans la rue tranquille peinard après avoir foutu un coup de clé à molette sur la personne.

Tu me mets un coup de clé à molette dans la rue et tu t’enfuis avec mon portable, tu fais comment pour chopper la passphrase ?

Continuons ma non-lecture :

l'or

Nous sommes donc sur une comparaison or-bitcoin. Comme tu t’es bien renseigné sur le sujet avant d’en discuter, tu sais bien évidemment que tu peux avoir plusieurs adresses, et que tu n’as pas besoin de la clé privée (le fameux wallet.dat) pour recevoir des bitcoin. Tu peux donc te créer une adresse qu’on appellera « bas de laine ». Tu mets ensuite cette clé sur une clé usb que tu enterres dans ton potager. Magie, tu peux alors envoyer autant de bitcoin dessus sans qu’un méchant pirate qui ait accès à ta machine puisse te voler à distance, exactement comme l’or.

Bon, ce serait un peu stupide (une clé usb enterrée dans le potager risque d’avoir quelques soucis de durée de vie), alors tu peux faire les choses un peu différemment : tu chiffres le wallet.dat que tu gardes sur ta machine avec une passphrase d’une centaine de caractères que tu imprimes sur un bout de papier plastifié (parce que le papier pas plastifié c’est biodégradable, même problème que la clé usb) que tu enterres dans ton potager. Et que tu n’entres bien entendu jamais et sous aucun prétexte sur ton PC (mais de toute façon tu t’en souviens pas, donc aucun risque).

Et voilà, magie de la technologie, un méchant hacker sur ton PC ne peut pas te voler ton précieux bas de laine, par contre quelqu’un avec une batte de base-ball le peut. Exactement comme l’or.

Or 1 - Bitcoin 1.

C’est fou, dès que je discute avec toi je suis obligé de mettre les mot-clef en gras :

Et de fait que ça restera à jamais

Donc oui, aujourd’hui sauvegarder ses bitcoin ce n’est pas trivial, je n’ai pas dit le contraire. Mais ce n’est pas une barrière inhérente à la technologie, juste une question de bonne volonté des implémentations (d’ailleurs peut-être que certaines implémentations l’ont déjà fait, mais comme ni moi (qui utilise que des trucs de barbus en ligne de commande) ni toi (parce que tu n’utilises pas bitcoin) ne l’utilisons…)

Et s3cmd c’est un exemple hein, personnellement c’est chez S3 (USA), chez moi (France) et sur mon VPS (Allemagne). Certes, pas vraiment aux quatre coins de la planète, mais bon…

Heu, ma passphrase elle est pas stockée sur ma machine hein…

Tu as 2 millions en bitcoin

2 millions en bitcoin dans son wallet.dat c’est un peu l’équivalent informatique de 200 million d’euros en petites coupures sous ton matelas.

C’est possible mais c’est ni intelligent ni réaliste comme scénario.

C’est vrai que faire une interface graphique autour de gpg -e | s3cmd put c’est du domaine de la SF tellement c’est de la haute technologie.

Passer à WPF c’est pas faire évoluer une application mais la réécrire.

Par contre GNU bc n’a pas eu de release depuis 2000, c’est qu’il doit être mort et inutilisable, n’ayant plus sa place que dans les musée de l’informatique, n’est-ce pas ?

Sauf que chez toi tu peux le chiffrer avec une passphrase bien compliquée et distribuer le wallet chiffré aux quatre coins de la planète en cas d’incendie/formatage/whatever.

Avec l’or c’est un poil plus compliqué.

Et c’est vrai qu’avec la gentille régulation de l’euro par l’UE, des déposants qui perdent en toute légalité une partie de leur avoir ça peut pas arriver.

Pas de commit depuis 2 ans

Pas de commit parce qu’il fait le job et que je n’ai eu aucun bug :)

Un module FUSE, Sérieux?

Qu’est-ce que tu as contre FUSE ? IMO c’est le truc le plus utile pour le desktop qu’ait fait le noyau depuis udev (et je regrette très fort que ce soit pas plus utilisé)

ça semble engendrer des comportements bizarres avec ls

Pas en fonctionnement normal non. Ça arrive seulement quand tu as des dotfiles que tu n’as pas déplacés dans .config/

La FAQ n’est pas assez claire ? Ce serait l’occasion d’un commit, remarque :)

Sinon peut-être qu'on fait des programmes qui respectent les normes par défaut.

Ce serait la solution parfaite bien sûr, mais malheureusement c’est déjà ce qu’on me disait en 2008 quand j’ai repris libetc… Il faut bien une solution en attendant.

http://ordiluc.net/fs/libetc/
https://github.com/sloonz/rewritefs

Tu en as des tonnes sur github. La seule difficulté est de les trouver (les trucs de quelques centaines de lignes de code font rarement de la pub en première page sur /.) En auto-pub :

• https://github.com/sloonz/maildir-feed : ~250 lignes de code
• https://github.com/sloonz/kanjidic : ~350 lignes de code
• https://github.com/sloonz/utils/blob/master/bin/scan : ~250 lignes de code

C’est vrai pour les bloatware.

Pour les logiciels qui se comptent en centaine de lignes de code, c’est beaucoup moins vrai.

Je ne vois pas en quoi c’est spécifique au web. Au pif :

$ ldd =claws-mail | wc -l
85

Je préfère ça à la situation où chacun réinvente la roue (carrée) de son côté.

Je ne comprends pas ton code ou 'pseudo-code', donc la seule chose que je te dirais, est que Python n'est pas "full-object". La personne t'affirmant le contraire est un imbécile. Ruby, au contraire, est "full-object".

Qu’est-ce que tu endends par "full-object" ?

Les nombres, les modules, les fonctions, les classes sont des objets en Python.

Parce que syntaxiquement nombre + "." indique que l’utilisateur veut écrire un nombre à virgules et s’attend à un nombre après.

(1).__class__ marche très bien.

La grande majorité des failles c’est pas dans des trucs « évidemment » sensibles, c’est des sprintf mal gérés par exemple, et ça arrive dans toutes les applications.

D’autant plus que se linker à une lib qui fait les choses correctement ne garantit pas que tu utilises correctement la lib toi-même (gestion de l’IV/salt dans les opérations crypto par exemple).

En matière de sécurité, on a une obligation de résultat.

Avec de tels principes je crois que tu peux désinstaller 99% des logiciels sur ta machine (allez, je te laisse cat, mais sans shell pour l’exécuter ça va être rigolo).

Heu, non, le cas est franchement différent :

• Le bug de debian vient du fait d’essayer de suivre des bonnes pratiques (éliminer des warning d’outils d’analyse). Le bug d’Apple vient du fait de ne pas détecter/éliminer assez de warning
• Le bug de debian n’aurait jamais pu être détecté par des tests unitaire/couverture de code. Le code Apple incriminé aurait dû (si on veut faire un code de qualité bien sûr) être couvert par un test unitaire, et ne l’a visiblement pas été.

Le « scandale » que les gens font sur ce site vient du fait que l’erreur aurait dû être facilement détectée, pas du fait de son impact.

Non, car je ne parle de l'amélioration par rapport à ce que j'ai maintenant sur ma Fedora 20, histoire de comparer à feature grosso modo égales.

Parce que dans Fedora 20 systemd est déjà intégré à l’initrd mais pas bash ? Parce que chez moi (Archlinux) c’est l’inverse, dans l’initrd j’ai bien un shell de base (ash) et pas systemd, donc si je veux y mettre systemd-networkd je dois à priori ajouter systemd. À l’inverse, si je veux mettre un script network pas la peine de compter le shell, il y est déjà.

Tu n’oublierais pas les 1020k de systemd (qui en plus tire la libdbus de 290k) dans ton décompte ? :)

Ben si, ça signifie respecter les spécificités du système cible sans introduire de couplage fort dessus.

Cairo par exemple est portable et intégré au système : portable pas la peine de s’étendre dessus, intégré au système : il utilise Quartz sous OSX, xlib/xcb sous Linux, GDI sous Windows. Apache est portable mais capable d’utiliser des mécaniques spécifiques à l’OS (epoll sous Linux, GCD sous OSX)…

Le problème est qu’il n’y a actuellement aucune espèce de protocole pour que les applications et le compositeur se mettent d’accord.

Autrement dit, une application qui aura des décorations sous Weston (client-side decoration) n’aura aucune décoration sous KWin (server-side décoration) et inversement une application qui aura des décorations sous KWin aura une double décoration sous Weston.

Comme KWin est isolé sur la position « server-side decoration », soit un protocole sort assez rapidement pour éviter les emmerdes, soit KDE sera forcé de rentrer dans le rang et d’accepter les client-side decorations qui seront le standard de fait pour Wayland.

Tu as oublié logind et udev.

Non, "for any" fait référence au destinataire, pas à l’envoyeur. La ligne limite bien aux envoyeurs locaux ("from local").