Matthieu Moy a écrit 3251 commentaires

Avec un gestionnaire de version comme git/bzr/darcs/hg, chaque développeur aurait eu une copie du repository, et une défaillance du RAID ça aurait été un non-événement ...

Des disquettes, pas à ma connaissance, mais par contre, l'autorun des CD, c'est une catastrophe à ce niveau là. Tu met une biscotte dans le grille-pain, tu la ressort, et paf.

Je crois que c'est comme ça que marchait le rootkit sony d'ailleurs.

Dommage parce que niveau convivialité, c'était une bonne idée ...

Attention, les parts de marché, c'est en nombre de noms de domaine, et ça inclue les cyber-squateurs qui foutent une pauvre page HTML statique sur toutes les variantes de sites connus.

Il y a quelques mois, MS a négocié avec un hébergeur de sites de ce genre de passer de Apache à IIS, ça a fait chutter les parts de marché de près de 5% si ma mémoire est bonne, et pourtant, ça ne représente pas un exploit technique ...

(cherche dans les archives de linuxfr pour plus d'info)

> il n'y a aucune raison d'agir différement pour l'un ou l'autre produit.

Il n'y a pas de raison universelle, mais il y a pleins de raisons non-techniques d'agir différemment.

Déjà, je vois mieux quelqu'un écrire un virus pour casser du Windows juste parce que « Microsoft, saidéméchants » que pour un logiciel open-source.

Et puis bien souvent, les auteurs de virus ou autres malwares le font pour être connus. Les logiciels open-source donnent une possibilité aux gens de devenir connu en construisant, en contribuant. Moi, j'ai été vachement fier quand du code à moi a attéri dans une distrib grand public (même si c'était que pour 20 lignes de code ;-) ). Je pense que l'auteur de virus ressent le même genre de fierté quand son bébé contamine plus de quelques pourcents des ordinateurs de la planete.

Mais on peut trouver pleins de contre-exemples de gens célèbres grace à windows et de script-kiddies sous Linux, hein ;-).

> Pour les Apaches & IIS voir netcraft.org,

C'est où qu'ils parlent de vulnérabilité sur netcraft.org ?

> jusque windows '98, le moindre virus avait les droits admin sur la machine comme n'importe quel utilisateur.

Oui, même windows ME était une merde à ce niveau là.

Et si je te dis que Linux est pas convivial parce que la Red Hat 5.2 était difficile à utiliser, tu me réponds quoi ?

> ... failles fréquentes ...

On peut discuter sur le fait que Windows ai plus ou moins de faille que Linux (toujours difficiles à comparer ces chiffres), mais des failles sous GNU/Linux, y'en a un paquet aussi. pine, mutt, par exemple, ont eu plusieurs fois des buffer-overflow permettant d'executer du code quelconque.

Pour les disquettes, j'ai pas compris l'argument.

> quels sont les part de marché des servers Unix avec Apache, pourquoi sont-ils moins sensible aux virii qu'un autre soft server ???

Une source pour étayer ça ? Moi, les trucs que j'ai vu donnaient vachement plus de failles pour Apache que pour IIS. La vraie différence est le vocabulaire. Sous windows, on appelle une saloperie qui se propage un virus, sous unix, on appelle ça un vers ...

Bah, pour passer d'apt-get à aptitude, il faut principalement changer le nom de la commande :

$ aptitude install foo
$ aptitude search bar
$ aptitude remove foobar
...

Mais tu peux aussi avoir une interface ncurses en faisant juste

$ aptitude

Synaptic, ça marche en ligne de commande ?

Genre "synaptic install foo" ?

> Microsoft, Novell (11)

Tiens, ces deux là sur la même ligne ...

Oh, ça doit être un bug de clusty, je ne vois pas d'autre explication.

Versionné alors, pas journalisé.

« J'ai un site ( http://mon-site-de-spam.com ), et je voudrais que les visiteurs voient une autre URL ( http://ma-banque.com ). Comment fait-on ? »

Plus sérieusement, ce que tu cherches à faire, c'est ce que tentent de faire les spammeurs et arnaqueurs en tous genre. Du « spoofing » d'URL en bon franglais.

En faisant ce genre de magouille, tu t'assures les foudres de Google qui va te donner un google ranking de spammeur, et globalement, tu peux être à peu près sûr qu'à un moment où à un autre, ça va merder et tes utilisateurs ne seront pas contents. Et tu as 99% de chances de violer les conditions d'utilisation de ton hébergeur, vu que tu lui bouffe de la bande passante sans lui faire de pub (genre, tu visites toto.com, tu dis merci à toto pour son super site, et en fait, c'était toto.free.fr derrière).

À mon avis, cherches plutôt un moyen de faire héberger ton nom de domaine directement par ton hébergeur.

> Les personnes sont aussi utilisateurs de cet équipement par l'utilisation du serveur dhcp pour le réseau privatif.

Damned, je vais faire un procès à mon sysadmin alors. J'utilise son serveur DHCP, et il ne m'a jamais fait d'offre écrite pour me filer les sources de son serveur.

Ces arguments sont ceux qui ont fait que j'ai cru Canonical quand ils ont annoncé que baz allait continuer à être maintenu, et que la version 1.5 allait sortir en septembre 2005. J'ai investi beaucoup de temps suite à ces annonces, et c'était du temps perdu.

Quand j'ai râlé quelques mois après la date annoncée, la réponse était « mais je vois vraiment pas le problème, je vais la faire la release, mais pas tout de suite ». Et une fois que tout le monde avait fini de migrer vers autre chose, après avoir foutu à la poubelle mes bugfixes, et ignoré tous les bug reports pendant un an, on a droit à une annonce discrète « Ah, bah finalement, on abandonne ».

Bref, la peur de passer pour des guignols, ça a pas vraiment l'air d'être un truc important pour Canonical.

Et puis il y a quand même des trucs révélateurs ... Si le but est vraiment de mettre Launchpad en open-source, pourquoi ça n'a pas été le cas dès le début ? Si le but est vraiment d'être ouvert, pourquoi prendre un projet Summer of Code pour faire un client qui parse l'HTML au lieu de bosser sur une interface XML ou quoi qui permette d'avoir accès à l'info plus facilement ? Ils gardent leurs données bien à l'abris, et je doute que ça soit une coincidence ...

> [...] qui fonctionne en circuit fermée sans être ouverte aux standarts proprio à quoi sert elle ?

1) C'est quoi un « standard proprio » ?

2) Qu'est ce qui te fait dire que gNewSense est en circuit fermé ? Tu crois qu'ils ont patché OpenOffice pour ne pas supporter le .doc ? Qu'ils ont enlevé les hacks de Konqueror qui permettent de surfer sur des pages « optimisées pour IE » ? ... C'est pas parce que c'est libre que c'est incompatible avec le proprio !

En effet, Launchpad n'est ni libre, ni propriétaire, c'est un logiciel « privé ». En soi, ça ne me gène pas plus que ça, mais le problème est qu'ils encourragent les autres distributions à utiliser leur infrastructure, et du fait que ça n'est pas libre, on n'a pas tellement de visibilité sur ce que va devenir ladite infrastructure.

Imagines une distribution qui utilise Launchpad pour la traduction, la gestion des bugs, la gestion des versions, je crois qu'il y a des trucs pour la création de paquet Debian aussi, ... et que se passe-t-il si un jour Canonical dit « ah, bah, on a changé d'avis, finalement, on abandonne Launchpad » (et c'est pas comme si ils l'avaient pas déjà fait avec baz ...), ou bien si ils le rendent payant, ou bien ...

Il y a une question de confiance, là. Canonical dit dans sa FAQ que le but final est de rendre Launchpad open-source, mais sans donner d'échelle de temps. Donc, on peut les croire, ou bien ne pas les croire, c'est selon.

Tu dis que c'est comme Google, en effet, c'est comme Google ;-). Mais si tu choisis de confier tes mails, tes photos, tes documents bureautiques, ton calendrier à Google, c'est aussi qu'il y a une question de confiance ...

Faire une page statique valide, c'est facile.

Mais faire une page dynamique et être sûr qu'elle restera valide quoi qu'il arrive, c'est une autre paire de manche. C'est si facile de laisser passer une balise incorrecte ou un & dans un commentaire sur un forum, un blog ou linuxfr ...

Bien sûr que quand on code correctement, ça n'arrive pas, mais je ne trouve pas que ça soit une question « triviale ».

Au passage, c'est ce genre d'algos qui est utilisé par les moteurs de recherches. Le web est juste un énorme graph ;-).

Et bah, PbPg est encore une fois la star de Linuxfr !

Finalement, la GPL, c'est comme la licence de Windows : pas vu, pas pris.

Quand je pense qu'il y a encore des entreprises qui payent plusieurs licences de Windows, y'en a vraiment qui ballancent l'argent par les fenêtres.

Tu ne réponds pas à la question.

J'ai fait un "cp -r" sur un logiciel libre. Pas d'entreprise, pas de salarié, rien du tout, juste moi et mon "cp -r". Dois-je faire cette autorisation écrite ?

Pire, un jour, j'ai fait un "cp -r" d'un binaire, et j'ai même pas fait la copie des sources. Là, j'ai peur de la réponse du tribunal ...

Tiens, j'ai une question à poser au spécialiste de la GPL que tu es.

Je viens de modifier un logiciel sous GPL, et j'ai fait "cp -r" dessus.

A qui dois-je adresser l'offre écrite de mise à disposition des sources ?

> Et où il est écrit que louer/mettre à disposition est une utilisation interne ?

Nulle part.

Il y a deux questions distinctes ici :

1) Est-ce qu'une entreprise a le droit de faire des copies, sans distribuer.

2) Est-ce que le cas de Free est une distribution.

La question 2) peut prêter au débat, mais c'est quand même assez tordu de considérer qu'il y a distribution alors que le soft n'a jamais quité le matériel de Free.

Et quand on te dis ça, tu réponds qu'il n'y a pas eu distribution, mais qu'il y a eu copie, et tu cites la GPL et l'article qui parle de copie. Tu prétends que la réponse à la question 1) est que c'est interdit par la GPL. Si tu n'as pas de problème avec le fait que Free fasse des copies internes, pourquoi tu t'acharnes à parler de la notion de copie dans la GPL ?

Bref, quand on parle de 1), tu dis « oui, mais pour le 2), bla bla bla », et quand on parle de 2), tu réponds « oui, mais pour le 1), patati ». Tu est totalement incohérent.

Autre possibilité :

- Un système minimaliste, paranoiaque de la sécurité, qui fait tourner un anti-virus, un firewall, ...
- Un windows pas à jour, configuré avec les pieds, qui tourne à l'intérieur.

Un intérêt du système, c'est que le système qui fait tourner l'anti-virus (ou chkrootkit par exemple pour GNU/Linux) est différent de celui qu'on scanne. Donc le virus/trojan/rootkit, même avec tous les droits sur l'OS corrompu, ne peut pas désactiver les mesures de sécurité de l'OS hote.

Visiblement, c'est vers ça qu'Intel veut aller.

http://www.gnu.org/licenses/gpl-faq.html#GPLRequireSourcePos(...)

[...]. an organization can make a modified version and use it internally without ever releasing it outside the organization.

Tu penses vraiment sérieusement que la FAQ parle d'une organisation qui ferait un usage interde d'un logiciel GPL sans jamais le copier ?? Si oui, rien à dire.

Par exemple, Google a parait-il une version interne du noyau Linux, et ce qui les autorise à ne pas distribuer leur version modifiée, c'est peut-être le fait qu'ils n'ont cette version que sur un seul de leurs ordinateurs. Parce que si ils ont leur version modifiée sur, disons, deux PC en interne, ça veut dire qu'ils ont fait une copie sans distribution. Qu'est-ce qui les autorise à faire ça d'après-toi ?

Bon, écoutes, la FAQ est claire. Si t'es pas d'accord avec la FAQ, écris à la FSF et demandes leur de corriger la FAQ avec tes arguments, et reviens en parler ici après.