Je déteste ce clown tout autant que toi, mais tu n'as visiblement pas une grande compréhension de ce pays et comment il fonctionne. Le système judiciaire a beaucoup de pouvoir, et Trump n'a absolument pas le 'contrôle de la police et de l'armée'. Les USA sont encore très loin d'être une république bananière.
La première chose que MS ferait serait de poursuivre Trump en justice, la deuxième serait potentiellement de faire appel, la 3ème serait d'aller devant la cour suprème.
Et toutes les sociètés US internationales seraient derrière MS car elles seraient toutes visées par un exode massif loin de tout ce qui est US.
Ca fait beaucoup de sociétés avec des lobbys massifs…
Bref, on peut théoriser, mais en pratique c'est à peu près impensable.
(que se passerait-il pour les entreprises si les abonnements Microsoft 365 prenaient +200% du jour au lendemain ?).
Elles souffriraient, et Microsoft coulerait à pic parce que n'importe qui avec un QI plus élevé que 0 sait que Microsoft signerait la mort de son offre de services en faisant cela. Ces entreprises commenceraient immédiatement à planifier leur migration loin de tout ce qui a le mot Microsoft.
Bref, il n'y a à peu près aucune chance que cela arrive.
Il y a plein de choses qui peuvent poser problème, aussi les permissions auquel a accès le container, mais cela, ça peut se travailler au moins.
Ensuite, évidemment que le problème est tout le code accessible depuis l'entrée de l'Apple système, le code de l'appel système en lui même est très petit en comparaison et pas le problème.
Les instructions Intel t'en as effectivement plus, mais en complexité elles n'ont rien à voir, et contrairement au noyau elles ne changent pas tous les matins.
Les chiffres sont clairs au niveau des vulnérabilités, le reste c'est de l'opinion et de la théorie
Moi je me contente de comparer le nombre de vulnérabilités amenant à une escalation guest -> host avec KVM - Intel/AMD et le nombre de vulnérabilités dans les appels système du kernel Linux, ca suffit pour tout éxpliquer.
Vu mes positions sur Windows que je réitère souvent, on a va dire que je dis régulièrement du bien du plus gros concurrent de mon employeur. Ensuite, Firecracker est … open source. Il a été crée par AWS-Amazon, mais c'est un projet avec une vraie communauté, plein de contributions sont externes à Amazon : https://github.com/firecracker-microvm/firecracker/blob/main/CREDITS.md
Ah mais les trucs parfait cela n'existe nulle part, même hello World n'est pas parfait.
Firecracker a ses avantages et ses inconvénients (pas de support gpu par exemple), mais il rend beaucoup service. Des services massifs comme Lambda et Fargate tournent dessus, tu imagines donc bien que ce problème de retour de RAM que tu as, pour je ne sais quelle raison eux ne l'ont pas.
Ensuite, Firecracker seul comme cela, ou l'utilisateur doit installer, configurer, etc. tour ce bordel c'est douloureux, cela amène certainement des erreurs et autres, parce que c'est compliqué et cela demande des connaissances que tout le monde n'a pas.
Et c'est justement toute la raison pour mon désir qu'on fasse des microVMs des citoyens de première classe dans les OS serveur, histoire que ce soit enfin (plus) simple à utiliser.
Tout dépend du profile de risque. Si tu fais tourner un truc tout simple en Java, sans deserialization, oui probablement
Si tu fais tourner ffmpeg, gstreamer,… sur des fichiers envoyés par des inconnus, non parce qu'il y a un historique de vulnérabilités, du code C qui touche ce contenu que tu ne contrôle pas,… et les conséquences si ça merde sont une prise de contrôle du système, exfiltration des données de tes clients, etc…
Il fut une époque où une VM était juste trop coûteuse pour pouvoir isoler de manière fine, mais les choses changent.
Ensuite k8s, vu comment il fonctionne, effectivement faut pas l'utiliser pour du multi tenant non plus, les permissions des noeuds n'aident pas.
C'est hilarant de toujours me rattacher à Microsoft alors que cela fait plus de 10 ans que je bosses sur Linux, chez ce qui est certainement le plus grand consommateur de Linux au monde.
Sinon, les mixroVMs c'est très bien, notamment parce que leur faible consommation en ressources comparé aux VMs normales et leur capacité à démarrer très vite fait que dans pas mal de cas tu peux isoler quasiment au niveau requête, sinon au niveau utilisateur, au pire à un pool restreint d'utilisateurs. Pour ce qui est dangereux, genre ces conversions de format par exemple, tu peux le faire d'une manière qui limite énormément l'impact d'une instance compromise.
C'est pas par hasard que Firecracker a été créé par Amazon…
C'est pas méprisant, c'est juste que d'un point de vue sécurité les gens de prélassent dans les containers parce que c'est facile a utiliser. Je comprends un peu, mais cela souligne le besoin d'intégrer les microVMs dans les OS comme citoyens de première classe plutôt que ce qu'ils sont aujourd'hui : en gros des pansements qui ne tiennent pas facilement.
L'overhead des microVMs est assez faible, le coût d'une microVM n'a rien à voir avec celui d'une VM, et il est certainement possible d'intégrer le tout pour qu'un container soit chargé dans une microVM. Il y aura quelques limitations et differences oui mais cela fonctionne très bien.
Oui, effectivement. Et mettre un coussin sur son visage était certainement mieux que rien avant l'obtention de la ceinture de sécurité…
Mais cela fait un moment maintenant qu'on a des VMs, des microVMs. Il y a mieux. Faudrait en faire une primitive de base dans l'OS, bien intégrée, afin que l'adoption grimpe.
L'exemple habituel est les gens qui font tourner plein de services sur le même host, avec le container comme seule barrière entre eux. Le service n'est pas forcément un truc qui fait tourner du code inconnu, mais cela peut aussi etre un service qui fait des conversions de format avec des librairies C. Bref un truc qui a de bonnes chances d'exploser un jour ou l'autre, et quand cela arrive ven les autres services sont compromis aussi.
Si ce que tu veux faire tourner est non trivial (ex: ffmpeg) alors tu atteris au final avec une liste de system calls à permettre qui est pas mal longue, qui contient des trucs assez dangeureux, et tu te retrouves avec autant d'interfaces pour entrer dans ce gros spaghettis de code C qu'est le Kernel.
Tu prends une microVM et tu interface principalement avec un VMM, qui pourrait typiquement être écrit en Rust, tel Firecracker.
Ensuite les unikernels pourquoi pas, on va dire que pour l'instant ils sont du domaine de la curiosité, ils n'ont pas vraiment pris de ce que je vois.
La terrible habitude de beaucoup de gens de croire qu'un container, au sens namespace/seccomp/cgroup du terme, est une barrière de sécurité suffisament sûre pour faire tourner du code potentiellement dangereux dedans.
Vivement qu'on introduise des microVMs comme primitives de premier plan pour que ces gens arrètent de se tirer une balle dans le pied.
Les parts de marché ont montré que les systèmes à problème, Vista et 8, ont été beaucoup moins adoptés que ceux à succès tels que 7 et 10. Les gens regardent oui.
Tu pourrais faire la remarque pour Windows 11 parce que c'est traité comme une update simple à 10, mais pour passer de XP à Vista, de Vista à 7 ou 8, fallait le faire explicitement. Parce que les gens n'allaient pas acheter une nouvelle machine après 2 ans. Et les stats d'adoption ont été très claires: les gens ont rejeté les systèmes qui étaient bâclés.
Microsoft n'a d'autre choix que d'appliquer les lois US, aussi stupides soient elles, et tout provider US, même ceux qui utilisent Linux à fond, auraient dû faire de même
Nan, les ados sont toujours des ados, qui n'ont pas compris grand chose à la réalité.
Oui oui, je suis payé par Microsoft !!! Cela doit être cela…
Ou alors tu es un grand incompris… Tu as vu la lumière, mais moi pauvre mouton n'est pas assez intelligent pour te suivre toi prophète.
C'est quand même hilarant… J'ai vraiment l'impression d'être de retour en genre 2001 - 2002 avec des ados qui viennent m'assurer que Linux est le meilleur OS de l'univers et Microsoft est Darth Vador incarné.
Je ne veux pas le comprendre car c'est totalement faux. La preuve étant que beaucoup ont passé d'un système à l'autre (Nokia -> iPhone ou Android, iPhone -> Android, Windows -> MacOS, etc…) d'eux même plusieurs fois.
Mais c'est tellement plus agréable d'imaginer que le consommateur est stupide, ca permet d'excuser toutes les tares de son système favori !
Les DSI l'avaient choisi tout comme d'autres DSI avaient choisi BlackBerry. Ces DSI n'ont pas eu peur eux, n'étaient pas corrompu ou incompétents il faut croire, ils ont changé de système et sont passés à mieux
Ensuite Android a clairement attiré certains utilisateurs d'iPhone, tout comme il a attiré plein d'utilisateurs de Symbian et BlackBerry vu le changement de parts de marché.
Oui les gens sont prêts à changer de système quand le bénéfice est clair.
[^] # Re: Souveraineté Numérique
Posté par pasBill pasGates . En réponse au journal Hexagone : une suite collaborative souveraine… pour quoi faire ?. Évalué à -10.
Mon dieu, tu rèves…
Je déteste ce clown tout autant que toi, mais tu n'as visiblement pas une grande compréhension de ce pays et comment il fonctionne. Le système judiciaire a beaucoup de pouvoir, et Trump n'a absolument pas le 'contrôle de la police et de l'armée'. Les USA sont encore très loin d'être une république bananière.
[^] # Re: Souveraineté Numérique
Posté par pasBill pasGates . En réponse au journal Hexagone : une suite collaborative souveraine… pour quoi faire ?. Évalué à -8.
La première chose que MS ferait serait de poursuivre Trump en justice, la deuxième serait potentiellement de faire appel, la 3ème serait d'aller devant la cour suprème.
Et toutes les sociètés US internationales seraient derrière MS car elles seraient toutes visées par un exode massif loin de tout ce qui est US.
Ca fait beaucoup de sociétés avec des lobbys massifs…
Bref, on peut théoriser, mais en pratique c'est à peu près impensable.
[^] # Re: Souveraineté Numérique
Posté par pasBill pasGates . En réponse au journal Hexagone : une suite collaborative souveraine… pour quoi faire ?. Évalué à 1.
Elles souffriraient, et Microsoft coulerait à pic parce que n'importe qui avec un QI plus élevé que 0 sait que Microsoft signerait la mort de son offre de services en faisant cela. Ces entreprises commenceraient immédiatement à planifier leur migration loin de tout ce qui a le mot Microsoft.
Bref, il n'y a à peu près aucune chance que cela arrive.
[^] # Re: containers
Posté par pasBill pasGates . En réponse au journal Sécurité de linux. Évalué à 2.
Il y a plein de choses qui peuvent poser problème, aussi les permissions auquel a accès le container, mais cela, ça peut se travailler au moins.
Ensuite, évidemment que le problème est tout le code accessible depuis l'entrée de l'Apple système, le code de l'appel système en lui même est très petit en comparaison et pas le problème.
Les instructions Intel t'en as effectivement plus, mais en complexité elles n'ont rien à voir, et contrairement au noyau elles ne changent pas tous les matins.
Les chiffres sont clairs au niveau des vulnérabilités, le reste c'est de l'opinion et de la théorie
[^] # Re: containers
Posté par pasBill pasGates . En réponse au journal Sécurité de linux. Évalué à 1.
Moi je me contente de comparer le nombre de vulnérabilités amenant à une escalation guest -> host avec KVM - Intel/AMD et le nombre de vulnérabilités dans les appels système du kernel Linux, ca suffit pour tout éxpliquer.
[^] # Re: containers
Posté par pasBill pasGates . En réponse au journal Sécurité de linux. Évalué à 2.
Vu mes positions sur Windows que je réitère souvent, on a va dire que je dis régulièrement du bien du plus gros concurrent de mon employeur. Ensuite, Firecracker est … open source. Il a été crée par AWS-Amazon, mais c'est un projet avec une vraie communauté, plein de contributions sont externes à Amazon : https://github.com/firecracker-microvm/firecracker/blob/main/CREDITS.md
[^] # Re: containers
Posté par pasBill pasGates . En réponse au journal Sécurité de linux. Évalué à 2.
Ah mais les trucs parfait cela n'existe nulle part, même hello World n'est pas parfait.
Firecracker a ses avantages et ses inconvénients (pas de support gpu par exemple), mais il rend beaucoup service. Des services massifs comme Lambda et Fargate tournent dessus, tu imagines donc bien que ce problème de retour de RAM que tu as, pour je ne sais quelle raison eux ne l'ont pas.
Ensuite, Firecracker seul comme cela, ou l'utilisateur doit installer, configurer, etc. tour ce bordel c'est douloureux, cela amène certainement des erreurs et autres, parce que c'est compliqué et cela demande des connaissances que tout le monde n'a pas.
Et c'est justement toute la raison pour mon désir qu'on fasse des microVMs des citoyens de première classe dans les OS serveur, histoire que ce soit enfin (plus) simple à utiliser.
[^] # Re: containers
Posté par pasBill pasGates . En réponse au journal Sécurité de linux. Évalué à 3. Dernière modification le 09 juin 2025 à 09:24.
Tout dépend du profile de risque. Si tu fais tourner un truc tout simple en Java, sans deserialization, oui probablement
Si tu fais tourner ffmpeg, gstreamer,… sur des fichiers envoyés par des inconnus, non parce qu'il y a un historique de vulnérabilités, du code C qui touche ce contenu que tu ne contrôle pas,… et les conséquences si ça merde sont une prise de contrôle du système, exfiltration des données de tes clients, etc…
Il fut une époque où une VM était juste trop coûteuse pour pouvoir isoler de manière fine, mais les choses changent.
Ensuite k8s, vu comment il fonctionne, effectivement faut pas l'utiliser pour du multi tenant non plus, les permissions des noeuds n'aident pas.
[^] # Re: containers
Posté par pasBill pasGates . En réponse au journal Sécurité de linux. Évalué à 1. Dernière modification le 08 juin 2025 à 21:13.
C'est hilarant de toujours me rattacher à Microsoft alors que cela fait plus de 10 ans que je bosses sur Linux, chez ce qui est certainement le plus grand consommateur de Linux au monde.
Sinon, les mixroVMs c'est très bien, notamment parce que leur faible consommation en ressources comparé aux VMs normales et leur capacité à démarrer très vite fait que dans pas mal de cas tu peux isoler quasiment au niveau requête, sinon au niveau utilisateur, au pire à un pool restreint d'utilisateurs. Pour ce qui est dangereux, genre ces conversions de format par exemple, tu peux le faire d'une manière qui limite énormément l'impact d'une instance compromise.
C'est pas par hasard que Firecracker a été créé par Amazon…
[^] # Re: containers
Posté par pasBill pasGates . En réponse au journal Sécurité de linux. Évalué à 3.
C'est pas méprisant, c'est juste que d'un point de vue sécurité les gens de prélassent dans les containers parce que c'est facile a utiliser. Je comprends un peu, mais cela souligne le besoin d'intégrer les microVMs dans les OS comme citoyens de première classe plutôt que ce qu'ils sont aujourd'hui : en gros des pansements qui ne tiennent pas facilement.
L'overhead des microVMs est assez faible, le coût d'une microVM n'a rien à voir avec celui d'une VM, et il est certainement possible d'intégrer le tout pour qu'un container soit chargé dans une microVM. Il y aura quelques limitations et differences oui mais cela fonctionne très bien.
[^] # Re: containers
Posté par pasBill pasGates . En réponse au journal Sécurité de linux. Évalué à 0.
Oui, effectivement. Et mettre un coussin sur son visage était certainement mieux que rien avant l'obtention de la ceinture de sécurité…
Mais cela fait un moment maintenant qu'on a des VMs, des microVMs. Il y a mieux. Faudrait en faire une primitive de base dans l'OS, bien intégrée, afin que l'adoption grimpe.
[^] # Re: containers
Posté par pasBill pasGates . En réponse au journal Sécurité de linux. Évalué à 2.
L'exemple habituel est les gens qui font tourner plein de services sur le même host, avec le container comme seule barrière entre eux. Le service n'est pas forcément un truc qui fait tourner du code inconnu, mais cela peut aussi etre un service qui fait des conversions de format avec des librairies C. Bref un truc qui a de bonnes chances d'exploser un jour ou l'autre, et quand cela arrive ven les autres services sont compromis aussi.
[^] # Re: containers
Posté par pasBill pasGates . En réponse au journal Sécurité de linux. Évalué à 7.
C'est assez simple en fait.
Si ce que tu veux faire tourner est non trivial (ex: ffmpeg) alors tu atteris au final avec une liste de system calls à permettre qui est pas mal longue, qui contient des trucs assez dangeureux, et tu te retrouves avec autant d'interfaces pour entrer dans ce gros spaghettis de code C qu'est le Kernel.
Tu prends une microVM et tu interface principalement avec un VMM, qui pourrait typiquement être écrit en Rust, tel Firecracker.
Ensuite les unikernels pourquoi pas, on va dire que pour l'instant ils sont du domaine de la curiosité, ils n'ont pas vraiment pris de ce que je vois.
# containers
Posté par pasBill pasGates . En réponse au journal Sécurité de linux. Évalué à 9.
La terrible habitude de beaucoup de gens de croire qu'un container, au sens namespace/seccomp/cgroup du terme, est une barrière de sécurité suffisament sûre pour faire tourner du code potentiellement dangereux dedans.
Vivement qu'on introduise des microVMs comme primitives de premier plan pour que ces gens arrètent de se tirer une balle dans le pied.
[^] # Re: Atomique ?
Posté par pasBill pasGates . En réponse à la dépêche GNOME OS comme Linux idéal, partie 1 : la promesse de l'atomique. Évalué à 2. Dernière modification le 04 juin 2025 à 13:54.
C'est un outil Microsoft que tu peux installer depuis le Microsoft store tour comme tu installes tous tes outils a travers yum ou apt-get
Tes critiques font pitié tellement elles montrent que tu ne sais absolument pas de quoi tu parles
[^] # Re: Atomique ?
Posté par pasBill pasGates . En réponse à la dépêche GNOME OS comme Linux idéal, partie 1 : la promesse de l'atomique. Évalué à 3.
Les parts de marché ont montré que les systèmes à problème, Vista et 8, ont été beaucoup moins adoptés que ceux à succès tels que 7 et 10. Les gens regardent oui.
Tu pourrais faire la remarque pour Windows 11 parce que c'est traité comme une update simple à 10, mais pour passer de XP à Vista, de Vista à 7 ou 8, fallait le faire explicitement. Parce que les gens n'allaient pas acheter une nouvelle machine après 2 ans. Et les stats d'adoption ont été très claires: les gens ont rejeté les systèmes qui étaient bâclés.
[^] # Re: Atomique ?
Posté par pasBill pasGates . En réponse à la dépêche GNOME OS comme Linux idéal, partie 1 : la promesse de l'atomique. Évalué à -1.
C'est hilarant.
https://www.theregister.com/2024/07/21/crowdstrike_linux_crashes_restoration_tools/
Microsoft n'a d'autre choix que d'appliquer les lois US, aussi stupides soient elles, et tout provider US, même ceux qui utilisent Linux à fond, auraient dû faire de même
Nan, les ados sont toujours des ados, qui n'ont pas compris grand chose à la réalité.
[^] # Re: Atomique ?
Posté par pasBill pasGates . En réponse à la dépêche GNOME OS comme Linux idéal, partie 1 : la promesse de l'atomique. Évalué à -1.
Fais moi rire !
Amazon offre une version de Samba "cloud" par exemple ( https://aws.amazon.com/cloud-directory/ ), ils aident au développement de Samba directement.
Quand à tes plaintes sur la doc en francais, c'est assez drôle. Rappelles moi le jour ou Samba aura le quart du dixième de la doc d'AD en francais.
Tu n'as vraiment aucune idée de ce dont tu parles, c'est affolant.
[^] # Re: Atomique ?
Posté par pasBill pasGates . En réponse à la dépêche GNOME OS comme Linux idéal, partie 1 : la promesse de l'atomique. Évalué à -1.
Oui oui, je suis payé par Microsoft !!! Cela doit être cela…
Ou alors tu es un grand incompris… Tu as vu la lumière, mais moi pauvre mouton n'est pas assez intelligent pour te suivre toi prophète.
C'est quand même hilarant… J'ai vraiment l'impression d'être de retour en genre 2001 - 2002 avec des ados qui viennent m'assurer que Linux est le meilleur OS de l'univers et Microsoft est Darth Vador incarné.
[^] # Re: Atomique ?
Posté par pasBill pasGates . En réponse à la dépêche GNOME OS comme Linux idéal, partie 1 : la promesse de l'atomique. Évalué à 0.
Je ne veux pas le comprendre car c'est totalement faux. La preuve étant que beaucoup ont passé d'un système à l'autre (Nokia -> iPhone ou Android, iPhone -> Android, Windows -> MacOS, etc…) d'eux même plusieurs fois.
Mais c'est tellement plus agréable d'imaginer que le consommateur est stupide, ca permet d'excuser toutes les tares de son système favori !
[^] # Re: Atomique ?
Posté par pasBill pasGates . En réponse à la dépêche GNOME OS comme Linux idéal, partie 1 : la promesse de l'atomique. Évalué à 2.
ProcessExplorer de SysInternals, tu regardes quel processus a un handle sur un chemin qui se trouve sur le device et tu auras ta réponse.
De rien !
[^] # Re: Atomique ?
Posté par pasBill pasGates . En réponse à la dépêche GNOME OS comme Linux idéal, partie 1 : la promesse de l'atomique. Évalué à 1. Dernière modification le 24 mai 2025 à 09:41.
Les DSI l'avaient choisi tout comme d'autres DSI avaient choisi BlackBerry. Ces DSI n'ont pas eu peur eux, n'étaient pas corrompu ou incompétents il faut croire, ils ont changé de système et sont passés à mieux
Ensuite Android a clairement attiré certains utilisateurs d'iPhone, tout comme il a attiré plein d'utilisateurs de Symbian et BlackBerry vu le changement de parts de marché.
Oui les gens sont prêts à changer de système quand le bénéfice est clair.
[^] # Re: Atomique ?
Posté par pasBill pasGates . En réponse à la dépêche GNOME OS comme Linux idéal, partie 1 : la promesse de l'atomique. Évalué à 1.
Mais au contraire, ils avaient Windows mobile, ils ont sciemment choisi de passer sur iPhone. Ensuite ils ont sciemment choisi de passer sur Android.
Tour comme un certain nombre ont sciemment choisi de passer de Windows à MacOS
Les gens sont loin d'être aussi stupide que vous le dites, mais ils ne vont simplement pas faire l'effort de changer pour une amélioration minime.
[^] # Re: Atomique ?
Posté par pasBill pasGates . En réponse à la dépêche GNOME OS comme Linux idéal, partie 1 : la promesse de l'atomique. Évalué à -1.
Ah ben voilà, c'est la peur en fait. Les DSIs savent que Linux c'est mieux mais ils ont peur !
Ou sinon, ils sont incompétents.
Ou sinon ils sont corrompus.
etc…
C'est TELLEMENT lassant de chercher des excuses alambiquées tout le temps… tout cela pour éviter d'admettre la réalité.
[^] # Re: Atomique ?
Posté par pasBill pasGates . En réponse à la dépêche GNOME OS comme Linux idéal, partie 1 : la promesse de l'atomique. Évalué à 1.
Correction :
TU ne sais pas comment faire pour déterminer la raison. Ton incompréhension cet OS n'est pas la faute de l'OS, c'est la tienne.