Et pourtant, dans les faits c'est le cas. Comme par exemple, pour les mainteneurs de Archlinux.
upstream = nginx/mysql/…, pas arch/slackware/debian
Et puis :
Ben, c’est exactement ce que je dis :
- un système d’init portable tout le monde s’en fout
- systemd n’est pas et ne sera jamais portable parce qu’il expose des fonctionnalités spécifiques à Linux, donc prétendre que « systemd c’est bien parce que ça va enfin nous donner un init universel », je ris très fort
Posté par Moonz .
En réponse au journal Debian à l'heure du choix.
Évalué à 1.
Dernière modification le 03 février 2014 à 22:29.
Avant une solution portable était possible mais tout le monde s’en foutait (la preuve, initng n’a jamais décollé alors qu’il était là des années avant même que upstart soit en discussion, qui lui-même est antérieur à systemd…)
Maintenant une solution portable est juste impossible.
J’ai du mal à voir l’amélioration sur cet axe d’analyse…
C’est pas grave hein : comme je l’ai dit, en pratique tout le monde s’en fout (tout simplement parce que les distribs tiennent à garder le contrôle de leurs scripts d’init, cf debian qui refuse d’utiliser des unit systemd dans lesquelles les chemins seraient hardcodés, et upstream sait que c’est pas son boulot de fournir 200 scripts d’init mais celui du packageur). Tout ce que je dis c’est qu’il est naïf de croire l’excuse que « systemd c’est fait pour simplifier la vie des mainteneurs upstream ». Ça n’a jamais été son but de toute façon, les buts affichés de systemd c’est :
un démarrage rapide (parallélisation des serveurs)
exposition de fonctionnalités Linux-centric peu utilisées à cause du manque d’outils en userspace (typiquement les cgroup)
à plus long terme, intégration des services de bas niveau (init & udev c’est fait, logind va rejoindre bientôt, à terme wayland va probablement l’être)
J’avais laissé un appeau à troll pour les féministes du site et c’est un troll sur les langages qui part. Je suis déçu :(
Déjà, la version Python n’était pas une application web, c’était une application en ligne de commande que j’utilisais sous ssh pour ajouter/modifier des entrées (côté navigateur internet je ne pouvais qu’invoquer l’auto-filler avec du pur javascript, 0 ligne de code côté serveur)
De suis passé sur PHP parce que Python côté serveur je ne connais pas, et j’ai un apriori assez négatif. Disons que la dernière fois que j’avais regardé (il y a des années), le Python sur le web se divisait en deux catégories :
- des frameworks gargantuesques à la django
- des libs très très bas niveau (apache mod_python, cgi, fastcgi…)
Aucun des deux ne m’intéressent, je veux une abstraction simple de la communication au serveur web (bref, je m’en tape que derrière ce soit un mod apache, du cgi ou du fastcgi) mais pas de framework complet.
Pour finir, la partie serveur (et pas web) en Python que j’avais et la partie PHP que je fais n’ont strictement rien à voir niveau fonctionnel, je n’aurais rien pu récupérer. Tout ce qui était fait en Python est soit déjà fait côté JS soit sera fait côté JS.
Posté par Moonz .
En réponse au journal Publication de WKR.
Évalué à 5.
Dernière modification le 30 janvier 2014 à 11:20.
J’ai une bonne nouvelle et une mauvaise nouvelle :)
La bonne nouvelle est que la prochaine version ne nécessitera plus hash_pbkdf2. Le but est de ne faire aucune opération cryptographique sur le serveur ; ce but n’est pas encore atteint à cause du manque d’une interface HTML+JS pour créer un compte (je dois donc créer le ring root sur le serveur, d’où hash_pbkdf2), mais c’est le prochain point sur la todo-list.
La mauvaise nouvelle c’est qu’il faudra quand même une version récente de PHP pour l’interface jsonSerialize (5.4 si j’en crois la documentation).
Sur le pourquoi de AES+PBKDF2 au lieu de crypt, plein de réponses :
- La page Wikipedia sur [DES] explique très bien que ce dernier est déconseillé
- La version PHP est très récente, avant c’était du Python. Et c’était AES+PKBDF2.
- http://fr2.php.net/manual/en/function.crypt.php indique : crypt() will return a hashed string using the standard Unix DES-based algorithm or alternative algorithms that may be available on the system.. Pas envie de faire de la rétro-ingénierie par savoir dans quels cas crypt utilise quels algorithmes.
Posté par Moonz .
En réponse au journal Publication de WKR.
Évalué à 8.
Dernière modification le 30 janvier 2014 à 01:00.
Je suis totalement passé à côté lorsque j’ai fait WKR, je ne l’ai vu qu’il y a quelques jours. Je n’ai pas étudié la chose (utilisation + lisage de code) pendant plus de quelques heures, donc ce que je dis est à prendre avec des pincettes, mais voilà ce que j’en retire :
On a pas vraiment le même usage en tête. TeamPass se veut une version intranet de KeePassX, dans lequel la gestion multi-utilisateur des mots de passe est au centre du système. Dans WKR la seule gestion multi-utilisateur est « on s’échange le mot de passe ». Ça peut paraître secondaire comme différence au premier coup d’œil mais ça implique des choix assez différents
À l’usage WKR est pensé pour s’intégrer le plus aisément possible dans le workflow d’un internaute (je me met sur la page de login du site, j’appuie sur C-x, WKR apparaît et me remplit le formulaire) ; TeamPass ne l’est pas du tout (je me met sur la page de login du site, j’ouvre un nouvel onglet, je me connecte sur TeamPass, je cherche le site associé, je copie le mot de passe, je repasse sur le premier onglet, je colle). Rien de fondamental mais ça montre la priorité de chacun des projets (qu’on s’entende : ce n’est pas une critique de TeamPass, j’utilise KeePass au boulot, ce n’est juste pas le même usage)
TeamPass n’a pas de gestion hiérarchique telle que pensée dans WKR. TeamPass peut organiser hiérarchiquement les entrées dans plusieurs dossiers, il est vrai, mais il est impossible de définir un mot de passe spécifique à un dossier qui permettrait d’ouvrir un dossier fils avec son propre mot de passe ou le mot de passe du dossier père. En fait, dans TeamPass, à toute entrée est associée au plus un et un seul mot de passe permettant de la chiffrer/déchiffrer, parfois 0
TeamPass possède deux systèmes de chiffrement des mots de passe. Le premier, pour les dossiers dits « personnels » (c’est à dire limités à 1 utilisateur et non partageables) est un simple AES dont la clé est dérivée du mot de passe de l’utilisateur, très exactement comme gPass, WKR ou (en tout cas c’est ce qu’ils disent) LastPass.
On en arrive au gros point noir (de mon point de vue) de TeamPass. Le second système de chiffrement des mots de passe est utilisé pour tous les dossiers partageables. C’est aussi de l’AES… avec une clé stockée dans un .php sur le même serveur, clé générée à l’installation et utilisée pour absolument tous les mots de passe excepté les mots de passe personnels. Autrement dit, toute personne qui a pu accéder en lecture à ce fichier est en mesure de déchiffrer la grande majorité des mots de passe. Dans WKR, la seule manière pour l’administrateur du service d’accéder aux mots de passe des utilisateurs est de modifier le javascript envoyé au navigateur pour y insérer un keylogger.
De plus je suis quasiment sûr que les premières implémentations Linux de zeroconf venaient de l’implémentation d’Apple (souvenirs de packages mdnsreponder), mais c’est vieux et j’ai la flemme de faire de l’archéologie pour confirmer/infirmer.
ps: CF c'est quoi? Parceque Google ca aide pas de masse sur le sujet.
Ou tu veux supprimer le sexe de la personne dans le numéro de sécurité sociale ?
Je ne veux rien. Mais je ne vois effectivement aucune raison d’indiquer le sexe dans le numéro de sécurité sociale. Après, je manque peut-être d’imagination…
Posté par Moonz .
En réponse au journal Le féminisme me gonfle.
Évalué à 8.
Dernière modification le 22 janvier 2014 à 17:55.
Alors, à ma connaissance, les pires atrocités, c'était par ordre d'importance les exterminations staliniennes et hitlériennes, et je n'y vois pas le rapport avec la religion.
De même pour la merde que les Belges ont foutu au Rwanda, elle a peu de choses à voir avec la religion. Le conflit sino-japonais pendant la seconde guerre mondiale n’a rien à voir avec la religion non plus, et niveau atrocités ça se pose là. Si on remonte plus loin, je doute que les motivations de Gengis Khan aient été religieuses, et pourtant si on devait faire un palmarès des malthusiens-décroissants les plus efficaces, il se placerait largement en tête du podium.
J’ai pas fait d’études poussées sur le sujet mais j’ai vraiment pas l’impression que la religion soit un facteur de conflit sur-représenté relativement à son importance sociale historique.
Cas pratique : je modifie Wordpress pour implémenter la demande d’un client (qui n’y connaît rien de rien en informatique, il m’a juste payé pour avoir un site-vitrine), je met en place sur son serveur.
Qu’est-ce qui dans la GPL m’oblige à retourner ces modifications à la communauté ?
Si 300 ko de données c’est 10.000 lignes de 7 colonnes, ça veut dire que chaque colonne est sur ~ 4 octets, ce qui répond à une de mes questions, le format des données.
Ça ne répond pas à la seconde, la gueule qu’ont les filtres, comment ils sont générés, et quels sont les calculs faits exactement.
On va faire simple : tu pourrais mettre en ligne un exemple de dataset et de résultat attendu ?
À quoi ressemble à un filtre ? Pourquoi 45000 différents, elles sortent d’où ces combinaisons, elles servent à quoi ? Les colonnes sont des chaînes ? des entiers ? quelle taille ?
[^] # Re: dépendance à un système d'init
Posté par Moonz . En réponse au journal Debian à l'heure du choix. Évalué à 0.
upstream = nginx/mysql/…, pas arch/slackware/debian
Ben, c’est exactement ce que je dis :
- un système d’init portable tout le monde s’en fout
- systemd n’est pas et ne sera jamais portable parce qu’il expose des fonctionnalités spécifiques à Linux, donc prétendre que « systemd c’est bien parce que ça va enfin nous donner un init universel », je ris très fort
[^] # Re: dépendance à un système d'init
Posté par Moonz . En réponse au journal Debian à l'heure du choix. Évalué à 2.
mknodexiste toujours :)[^] # Re: bon, une chose de faite
Posté par Moonz . En réponse au journal Nessus depuis un VPS chez OVH, pas possible ?. Évalué à 6.
Même en non low cost, je préfère 1h de downtime que de passer une semaine à me faire retirer de toutes les blacklist du monde.
[^] # Re: dépendance à un système d'init
Posté par Moonz . En réponse au journal Debian à l'heure du choix. Évalué à 1. Dernière modification le 03 février 2014 à 22:29.
Avant une solution portable était possible mais tout le monde s’en foutait (la preuve, initng n’a jamais décollé alors qu’il était là des années avant même que upstart soit en discussion, qui lui-même est antérieur à systemd…)
Maintenant une solution portable est juste impossible.
J’ai du mal à voir l’amélioration sur cet axe d’analyse…
C’est pas grave hein : comme je l’ai dit, en pratique tout le monde s’en fout (tout simplement parce que les distribs tiennent à garder le contrôle de leurs scripts d’init, cf debian qui refuse d’utiliser des unit systemd dans lesquelles les chemins seraient hardcodés, et upstream sait que c’est pas son boulot de fournir 200 scripts d’init mais celui du packageur). Tout ce que je dis c’est qu’il est naïf de croire l’excuse que « systemd c’est fait pour simplifier la vie des mainteneurs upstream ». Ça n’a jamais été son but de toute façon, les buts affichés de systemd c’est :
Pas vraiment non.
[^] # Re: Suggestion de provider OpenId alternatif et non social ?
Posté par Moonz . En réponse au journal Fin de myopenid.com le 1er février. Évalué à 2. Dernière modification le 03 février 2014 à 22:11.
Wikipedia.
Edit : j’ai rien dit, ça avait été en discussion un moment et je croyais que ça avait été mis en place mais en fait non.
[^] # Re: dépendance à un système d'init
Posté par Moonz . En réponse au journal Debian à l'heure du choix. Évalué à 1.
Et utiliser systemd qui est ouvertement et volontairement Linux-only est une avancée sur ce point parce que… ?
Si le but du jeu était de simplifier la vie des mainteneurs de logiciels tiers c’est OpenRC ou initng qui aurait été poussé au forceps, pas systemd.
[^] # Re: Python -> Php
Posté par Moonz . En réponse au journal Publication de WKR. Évalué à 3.
J’avais laissé un appeau à troll pour les féministes du site et c’est un troll sur les langages qui part. Je suis déçu :(
Déjà, la version Python n’était pas une application web, c’était une application en ligne de commande que j’utilisais sous ssh pour ajouter/modifier des entrées (côté navigateur internet je ne pouvais qu’invoquer l’auto-filler avec du pur javascript, 0 ligne de code côté serveur)
De suis passé sur PHP parce que Python côté serveur je ne connais pas, et j’ai un apriori assez négatif. Disons que la dernière fois que j’avais regardé (il y a des années), le Python sur le web se divisait en deux catégories :
- des frameworks gargantuesques à la django
- des libs très très bas niveau (apache mod_python, cgi, fastcgi…)
Aucun des deux ne m’intéressent, je veux une abstraction simple de la communication au serveur web (bref, je m’en tape que derrière ce soit un mod apache, du cgi ou du fastcgi) mais pas de framework complet.
Pour finir, la partie serveur (et pas web) en Python que j’avais et la partie PHP que je fais n’ont strictement rien à voir niveau fonctionnel, je n’aurais rien pu récupérer. Tout ce qui était fait en Python est soit déjà fait côté JS soit sera fait côté JS.
[^] # Re: pbkdf2
Posté par Moonz . En réponse au journal Publication de WKR. Évalué à 5. Dernière modification le 30 janvier 2014 à 11:20.
J’ai une bonne nouvelle et une mauvaise nouvelle :)
La bonne nouvelle est que la prochaine version ne nécessitera plus
hash_pbkdf2. Le but est de ne faire aucune opération cryptographique sur le serveur ; ce but n’est pas encore atteint à cause du manque d’une interface HTML+JS pour créer un compte (je dois donc créer le ring root sur le serveur, d’oùhash_pbkdf2), mais c’est le prochain point sur la todo-list.La mauvaise nouvelle c’est qu’il faudra quand même une version récente de PHP pour l’interface
jsonSerialize(5.4 si j’en crois la documentation).Sur le pourquoi de AES+PBKDF2 au lieu de crypt, plein de réponses :
- La page Wikipedia sur [DES] explique très bien que ce dernier est déconseillé
- La version PHP est très récente, avant c’était du Python. Et c’était AES+PKBDF2.
- http://fr2.php.net/manual/en/function.crypt.php indique :
crypt() will return a hashed string using the standard Unix DES-based algorithm or alternative algorithms that may be available on the system.. Pas envie de faire de la rétro-ingénierie par savoir dans quels cascryptutilise quels algorithmes.[^] # Re: Et la plus grosse faille est ... AMAZON
Posté par Moonz . En réponse au journal Mots de passe et ingénierie sociale. Évalué à 6.
Le machin à 15€ que tu gères à l’aide d’un logiciel codé avec les pieds par un stagiaires payé au lance-pierre ? Comme c’est étonnant…
[^] # Re: TeamPass
Posté par Moonz . En réponse au journal Publication de WKR. Évalué à 8. Dernière modification le 30 janvier 2014 à 01:00.
Je suis totalement passé à côté lorsque j’ai fait WKR, je ne l’ai vu qu’il y a quelques jours. Je n’ai pas étudié la chose (utilisation + lisage de code) pendant plus de quelques heures, donc ce que je dis est à prendre avec des pincettes, mais voilà ce que j’en retire :
On a pas vraiment le même usage en tête. TeamPass se veut une version intranet de KeePassX, dans lequel la gestion multi-utilisateur des mots de passe est au centre du système. Dans WKR la seule gestion multi-utilisateur est « on s’échange le mot de passe ». Ça peut paraître secondaire comme différence au premier coup d’œil mais ça implique des choix assez différents
À l’usage WKR est pensé pour s’intégrer le plus aisément possible dans le workflow d’un internaute (je me met sur la page de login du site, j’appuie sur C-x, WKR apparaît et me remplit le formulaire) ; TeamPass ne l’est pas du tout (je me met sur la page de login du site, j’ouvre un nouvel onglet, je me connecte sur TeamPass, je cherche le site associé, je copie le mot de passe, je repasse sur le premier onglet, je colle). Rien de fondamental mais ça montre la priorité de chacun des projets (qu’on s’entende : ce n’est pas une critique de TeamPass, j’utilise KeePass au boulot, ce n’est juste pas le même usage)
TeamPass n’a pas de gestion hiérarchique telle que pensée dans WKR. TeamPass peut organiser hiérarchiquement les entrées dans plusieurs dossiers, il est vrai, mais il est impossible de définir un mot de passe spécifique à un dossier qui permettrait d’ouvrir un dossier fils avec son propre mot de passe ou le mot de passe du dossier père. En fait, dans TeamPass, à toute entrée est associée au plus un et un seul mot de passe permettant de la chiffrer/déchiffrer, parfois 0
TeamPass possède deux systèmes de chiffrement des mots de passe. Le premier, pour les dossiers dits « personnels » (c’est à dire limités à 1 utilisateur et non partageables) est un simple AES dont la clé est dérivée du mot de passe de l’utilisateur, très exactement comme gPass, WKR ou (en tout cas c’est ce qu’ils disent) LastPass.
On en arrive au gros point noir (de mon point de vue) de TeamPass. Le second système de chiffrement des mots de passe est utilisé pour tous les dossiers partageables. C’est aussi de l’AES… avec une clé stockée dans un .php sur le même serveur, clé générée à l’installation et utilisée pour absolument tous les mots de passe excepté les mots de passe personnels. Autrement dit, toute personne qui a pu accéder en lecture à ce fichier est en mesure de déchiffrer la grande majorité des mots de passe. Dans WKR, la seule manière pour l’administrateur du service d’accéder aux mots de passe des utilisateurs est de modifier le javascript envoyé au navigateur pour y insérer un keylogger.
[^] # Re: Mauvais paradigme
Posté par Moonz . En réponse au journal La GPL est un échec (FreeBSD 10 est sorti). Évalué à 3. Dernière modification le 29 janvier 2014 à 15:53.
Je serais excessivement surpris qu’il soit développé par Apple.
Un codec audio : http://alac.macosforge.org/
Une lib de parallélisme : http://libdispatch.macosforge.org/ (utilisable avec Apache et pas seulement sous OSX)
Un serveur CardDAV/CalDAV : http://calendarserver.org/
Un serveur RTP/RTSP : http://dss.macosforge.org/
De plus je suis quasiment sûr que les premières implémentations Linux de zeroconf venaient de l’implémentation d’Apple (souvenirs de packages mdnsreponder), mais c’est vieux et j’ai la flemme de faire de l’archéologie pour confirmer/infirmer.
CoreFoundation
[^] # Re: mon avis
Posté par Moonz . En réponse au journal Le féminisme me gonfle. Évalué à 3.
Je ne veux rien. Mais je ne vois effectivement aucune raison d’indiquer le sexe dans le numéro de sécurité sociale. Après, je manque peut-être d’imagination…
[^] # Re: Mauvais paradigme
Posté par Moonz . En réponse au journal La GPL est un échec (FreeBSD 10 est sorti). Évalué à 2.
http://opensource.apple.com/source/AppleAC97Audio/
http://opensource.apple.com/source/IOACPIFamily/
http://opensource.apple.com/source/AppleDP83816Ethernet/
http://opensource.apple.com/source/AppleIntelPIIXATA/
…
je continue ?
http://opensource.apple.com/source/BootX/
http://opensource.apple.com/source/CF/
http://opensource.apple.com/source/QuickTimeStreamingServer/
http://opensource.apple.com/source/launchd/
(liste non exhaustive)
[^] # Re: mon avis
Posté par Moonz . En réponse au journal Le féminisme me gonfle. Évalué à 2.
Pourquoi donc ?
[^] # Re: Moi aussi
Posté par Moonz . En réponse au journal Le féminisme me gonfle. Évalué à 8. Dernière modification le 22 janvier 2014 à 17:55.
De même pour la merde que les Belges ont foutu au Rwanda, elle a peu de choses à voir avec la religion. Le conflit sino-japonais pendant la seconde guerre mondiale n’a rien à voir avec la religion non plus, et niveau atrocités ça se pose là. Si on remonte plus loin, je doute que les motivations de Gengis Khan aient été religieuses, et pourtant si on devait faire un palmarès des malthusiens-décroissants les plus efficaces, il se placerait largement en tête du podium.
J’ai pas fait d’études poussées sur le sujet mais j’ai vraiment pas l’impression que la religion soit un facteur de conflit sur-représenté relativement à son importance sociale historique.
[^] # Re: C'est le moment...
Posté par Moonz . En réponse au journal Le féminisme me gonfle. Évalué à 3.
Moi toutes ces discussions sur c’est-moi-le-plus-égalitariste-d’abord-espèce-de-sale-raciste-sexiste me font plutôt penser à ça :
http://www.youtube.com/watch?v=TNkdCQZzVL0
[^] # Re: Moi aussi
Posté par Moonz . En réponse au journal Le féminisme me gonfle. Évalué à 7. Dernière modification le 22 janvier 2014 à 17:39.
Avec la politique aussi.
Vite, une loi pour interdire la politique !
[^] # Re: Mon opinion à deux francs six sous
Posté par Moonz . En réponse au journal La GPL est un échec (FreeBSD 10 est sorti). Évalué à 4. Dernière modification le 21 janvier 2014 à 17:18.
Cas pratique : je modifie Wordpress pour implémenter la demande d’un client (qui n’y connaît rien de rien en informatique, il m’a juste payé pour avoir un site-vitrine), je met en place sur son serveur.
Qu’est-ce qui dans la GPL m’oblige à retourner ces modifications à la communauté ?
(indice : une licence qui obligerait à reverser les modifications à l’auteur original ne serait pas libre au sens de Debian)
[^] # Re: asshole detector
Posté par Moonz . En réponse au journal La communauté Linuxfr n'a-t-elle plus rien (de technique) à dire ?. Évalué à 3. Dernière modification le 21 janvier 2014 à 12:20.
https://github.com/nose-devs/nose/
http://pear.php.net/
http://beaver-editor.sourceforge.net/
http://www.jedsoft.org/slang/doc/html/slang.html
http://www.gnome.org/
Ne t’en déplaise, trouver des noms/acronymes amusants pour baptiser un logiciel c’est un peu une tradition dans le logiciel libre.
[^] # Re: asshole detector
Posté par Moonz . En réponse au journal La communauté Linuxfr n'a-t-elle plus rien (de technique) à dire ?. Évalué à 0.
J’entends, mais pourquoi 20% et pas 0% ?
[^] # Re: Niveau 0
Posté par Moonz . En réponse au journal L'art de stocker des mots de passe. Évalué à 8.
Et les mots de passe en clair c'est le niveau combien ?
(oui, j’en ai vu dans un projet codé en 2013)
[^] # Re: NSFW
Posté par Moonz . En réponse à la dépêche 0.h un weboob. Évalué à 2.
Quels concurrents ?
[^] # Re: Brace yourselves, bullshit is coming.
Posté par Moonz . En réponse à la dépêche Concours "Evenja Café", un nouveau paradigme de programmation. Évalué à 2. Dernière modification le 07 janvier 2014 à 18:55.
Si 300 ko de données c’est 10.000 lignes de 7 colonnes, ça veut dire que chaque colonne est sur ~ 4 octets, ce qui répond à une de mes questions, le format des données.
Ça ne répond pas à la seconde, la gueule qu’ont les filtres, comment ils sont générés, et quels sont les calculs faits exactement.
On va faire simple : tu pourrais mettre en ligne un exemple de dataset et de résultat attendu ?
[^] # Re: Mailing list : hackerspace FixMe
Posté par Moonz . En réponse à la dépêche Concours "Evenja Café", un nouveau paradigme de programmation. Évalué à 3.
Et tu n’as pas expliqué en direct à quelqu’un qui lui serait capable d’expliquer de manière intelligible ?
[^] # Re: Brace yourselves, bullshit is coming.
Posté par Moonz . En réponse à la dépêche Concours "Evenja Café", un nouveau paradigme de programmation. Évalué à 3.
300K = 300 kilo-octets ou 300 000 lignes ?
À quoi ressemble à un filtre ? Pourquoi 45000 différents, elles sortent d’où ces combinaisons, elles servent à quoi ? Les colonnes sont des chaînes ? des entiers ? quelle taille ?