De toute façon, il faut bien voir que même complètement exsangues, les boites établies rapportent assez de thunes pour survivre et je peux donner l'exemple de X/Twitter qui est assez parlant. Les revenus publicitaires ont chuté de 50% en virant 80% des employés. Et c'est pas que les 80% servaient à rien (loin de la), mais y a suffisamment d'inertie pour tenir, et les prédictions de crash/disparition de la plateforme se sont avérés pour le moment incorrect.
Je serais curieux d'avoir ton avis sur le sujet. De nombreuses personnes (depuis ici sur linuxfr jusqu'à d'anciens employés sur des réseaux sociaux) avaient en effet annoncé une augmentation des pannes (il y en a eu quelques unes) jusqu'à un crash total qui n'a toujours pas eu lieu.
Je me demande si l'inertie seule explique cela. Il y a aussi peut-être le cash monumental qu'ont ces boites (et musk s'en fiche de perdre l'argent).
Et je ne parle pas de l'effet très pervers sur linkedin ou de nombreuses personnes encensent musk en mode: "il a raison de virer 80% des gens et faire cravacher les restants".
Avec l'IA, tu files tout le code à bouffer à Claude, tu lui expliques la modif que tu veux, il te la fait, et te prépare le patch. À la gueule tu vois vite si c'est du code dégueulasse ou pas (et ça n'en sera vraisemblablement pas).
Oui, alors tu as un truc que tu comprends mal, qui marchotte plus ou moins. Et viendra toujours l'instant de la modif qui va tout péter et là, tu ne vas plus rien comprendre. Tu vas rollback, tu vas essayer de repartir sur la dernière base saine, mais comme c'est un framework que tu connais pas, tu n'y comprends rien. Comme c'est une base de code que tu connais pas non plus tu demandes à l'IA de t'aider (genre rééxplique moi le modèle du templating), l'IA va te répondre, tu ne sauras jamais si c'est vrai ou pas, donc retour au point 1 avec l'IA qui te ponds un code dont tu auras du mal à dire s'il est dégueulasse ou pas.
Paradoxalement je préfère encore prendre le projet en main, le connaître, puis demander à l'agent de faire un truc que je sais faire. Il va écrire le code, les tests, les messages de commit etc… et je peux le corriger au besoin.
Je me suis trop fait avoir avec la légende "si si claude comprends le code et il te fera le patch en vitesse, et si t'as un problème il va t'expliquer le code". Sur le court terme, peut-être que le patch va sortir. A moyen terme, ça pose des problèmes. A long terme, je veux fuir le projet et ne plus jamais y toucher :D
Posté par octane .
En réponse au journal NeoMeca.
Évalué à 10 (+10/-0).
Ca me fait penser aux bots téléphoniques qui t'appellent, tu décroches et une voix te dite "patientez, un téléconseiller va bientôt vous parler". Genre bonhomme, tu crois que non seulement je vais écouter ton télémarketing pourri, mais qu'en plus je vais rester comme un âne à attendre que tu daignes me parler?!?!
Alors tu accuse les site générés par IA, mais le déclin de la qualité date d'avant l'arrivée massive de ces sites.
La qualité de google est en baisse (voire en chute libre), mais pire que ça, ce sont les site webs qui sont d'une qualité catastrophique :-(
Remplis de pubs, de paywalls, d'abonnements à la newsletter etc (oui, j'ai ublock origin mais il y a des pubs qui passent quand même). J'ai arrêté de chercher des recettes de cuisines car 99% des sites culinaires sont remplis de pubs, remplis d'IA SLOP, remplis de tout et n'importe quoi sauf la recette. J'en arrive à un point ou je me demande s'il existe encore des gens qui lisent simplement les sites. Et c'est pareil pour la majorité de mes centres d'intérêts. Je me rends compte que j'esquive google la majeure partie du temps car je sais que je n'aurai rien de pertinent.
Bref, l'openweb est mort, les blogs sont morts, la recherche est morte, youtube est mort, il nous reste quoi? mastodon? linuxfr? reddit? continuez les gars.
en gros "faites quelque chose de constructif". Comme proposer un patch, ou autre.
J'avais lu une prez d'un triageur (ce mot existe?) de bug bounty. Il râlait sans fin contre les rapports auto. Genre un programme bounty ouvre, il se prend un pdf de 500 pages généré par nessus, avec le commentaire "y'a plein de vulns dans le rapport, faut donner le bounty maintenant". Il était fatigué.
J'ai l'impression que l'AI c'est la même chose puissance 10. Tout le monde veut son petit moment de gloire en ayant trouvé la vuln, soit pour l'estime de soi personnelle genre "yeah, j'ai aidé à corriger un bug qui allait provoquer la fin du monde sans moi", soit pour des sous (bounty ou marketing).
Après je trouve la position de Linux assez posée. Quel que soit l'outil, il faut une plus-value humaine, et une réflexion derrière. Il m'est arrivé de remonter des bugs, et clairement quand tu prends le temps de bien comprendre le bug, que tu proposes un bout de patch, et que tu donnes tes tests, tu es mieux reçu que quand tu postes à l'arrache dans une mailing list en mode "démerdez-vous".
gestion de versions: dire à un agent « rebase onto origin/main » et le voir résoudre tout seul des conflits qui auraient pu me faciliter le transit intestinal prendre des heures, franchement, c’est un pur bonheur.
oui, et quand l'IA te dit "y'avait un conflit, mais je l'ai résolu tout seul. Oui oui. Et là, tout est commit."
tu as toujours une petite goutte de sueur glacée qui coule dans le dos et c'est trèèèèès désagréable, surtout quand tu ne trouves rien d'obvious.
relecture de code : recherche de bugs, de scénarios non testés, de commentaires erronés…
ouais, bah comme 1000 développeurs je me suis dit, "tiens je vais construire un mythos à moi et j'aurai plus aucune faille de sécu". Du coup, preprompt, prompt, écriture des findings, puis un deuxième agent qui repasse sur les findings pour les consolider/invalider, puis un autre qui va écrire des pocs, etc.. Au final, immensément de temps perdu pour finir sur des truismes du genre
"alors si tu réussis à bypass l'authentification de ton API alors un attaquant pourrait effectuer des actions normalement réservées à l'admin". Euh, oui?
smoke testing : j’ai une API dont la doc n’est pas forcément hyper fiable, je dis à un agent de jouer différents scénarios et me dire ce qui est vraiment pris en compte ou renvoyé (en-têtes, statuts HTTP, structure réelle du payload…). Autant de bugs évités si le comportement réel est légèrement différent de ce à quoi on s’attendrait (API qui ne suit pas exactement les bonnes pratiques…).
Mais, vraie question, dans ce cas, il faut pas mieux écrire un test et de la doc? Plutôt que de renvoyer une requête analysée par un LLM qui risque d'halluciner un jour?
On pourrait aller encore plus loin, encore plus moderne \o/ importer les réponses des LLM directement! Faudrait que je vibe code un module python qui fasse le même genre de truc
from chatgpt import quick_sort
print(quick_sort.sort([1, 3, 2, 5, 4]))
La prochaine étape, c'est de vibe-coder un générateur de prompt pour aider à interroger les LLM afin d'obtenir des solutions.
chatgpt, écris moi un prompt que je pourrais donner à Claude afin qu'il me code un module python qui fasse ce truc
J'ai l'impression de relire le même article tous les 6 mois avec un nouveau nom à chaque fois. On avait eu droit à PLAGUE, là c'est PamDOORA (l'exploratrice?).
Globalement, faut que l'attaquant soit root, ça se détecte avec l'intégrité de ton gestionnaire de paquet, mais si c'est installé, alors c'est grave.
Je crois que l'IA est plutôt douée pour les tâches de niveau moyen. Ecrire un yaml? Ok. Pondre une fonction C qui va trier un tableau, ça va. Ecrire la doc d'un commit, oué, ça sait faire. Quand tu lui demandes d'améliorer un code que tu as optimisé avec amour pendant des heures, bah l'IA te sors un truc dégueulasse. Un truc un peu niche -> echec assuré. L'IA c'est du niveau moyen plus.
Je vais avoir une position extrêmement agressive : j'ai l'impression que les personnes qui sont le plus fascinées par l'IA sont des mauvais devs. Ils sont incapables de faire un truc propre, l'IA sort un machin vaguement moyen, ils disent que c'est génial, qu'ils n'auraient jamais pu faire mieux, plus vite, plus propre. Moi, ça m'inquiète.
D'un autre côté, je trouve aussi que c'est une bonne jauge : Par exemple, je trouve que l'IA écrit des très très bons scripts shells, très propre, et rapidement. Ca m'a permis de comprendre que je suis une buse complète en bash :D Il y a encore quelques domaines ou je trouve que l'IA est vraiment mauvaise, ça me rassure
J'ai découvert les histoires de Miod sur Mastodon et j'ai adoré. Super intéressant.
Il y a un truc qui me chipotait, et je viens de mettre le doigt dessus. Miod développe (-ait?) pour openBSD, système le + sécurisé au monde. Et ces histoires (elles sont géniales, allez les lire, vraiment) parlent entre autre de portabilité et de systèmes moins connus. Sauf que la portabilité, c'est NetBSD (ben oui). Et ma question, c'est pourquoi openBSD a cherché à être portable? Il cherche à être sécurisé, non? Du coup, je me demande ce qui pousse les devs à porter openBSD sur des archis exotiques (en tout cas ça nous fait des belles histoires à lire :) )
Ça implique un accès physique au Raspberry, un remontage de la carte SD dans une autre machine, un chroot ou autre pour se créer un compte avec les privilèges root, etc.
Dans le cas du raspberry, l'extraction du disque est super simple :-)
Et si la(es) partition(s) contenant les données ont été chiffrées cela ne servirait à rien.
Bah je m'ajoute un user, j'ajoute un binaire suid, j'ajoute un reverse-shell dans une unit systemd, j'ajoute une clé SSH dans le /root/.ssh/authorized_keys (et tous les users aussi du coup, tiens), j'ajoute un backup automatique de la clé LUKS en clair lors du déverrouillage, j'ajoute l'envoi d'un email lors du rallumage du raspi, etc etc…
Puis j'attends que le raspi soit rallumé. Et j'accède aux données \o/
J'ai pas forcément compris. Généralement, l'install d'un raspi de fait en dumpant une image toute faite sur une flash. Et ces installs ne sont pas chiffrées, donc pas de chiffrement de disque. Lorsqu'on veut chiffrer un disque, on utilise un installeur qui prévoit l'option durant l'install, avant formatage et copie des fichiers sur disque.
Je ne sais pas s'il y a un installeur pour raspi autre que des images disques toutes prêtes (mais je suis pas un expert).
Ensuite, j'utilise des raspis sans clavier ni écran. Et je ne chiffre pas les partitions pour cette raison: en cas de reboot, comment entrer le mot de passe de déchiffrement sans clavier?
De mon côté, je propose le test de PMA pour les présentations de personnes réelles : divulgue-t-on des informations privées voire intimes sur la personne pour présenter son travail ?
Pour moi, PMA signifie Procréation Médicalement Assistée, donc j'ai eu beaucoup de mal à comprendre le test :D
Puis j'ai lu tes initiales et j'ai compris que c'était ta vision d'un test.
Pour le seigneur des anneaux, c'est surprenant, mais ok. Je me souviens de la scène du film
-"No man can defeat me!"
-"I am no man" (et bing!)
-"argelugheu" (couic….)
la présence de « relous » et autres « fachos » apparaît comme un facteur d'enrichissement de la communauté.
position hasardeuse, j'espère que tu le conçois. Un relou, c'est relou. J'aime la diversité d'opinion, j'aimerai que ça reste au niveau de la liberté des licenses (d'ailleurs si je met ce commentaire en wtfpl c'est possible?), au niveau des logiciels (est-ce qu'il ne manquerait pas un AD pour que linux soit déployable en entreprise, et surtout plus qu'un AD, des GPO facilement déployables), au niveau des recettes de cuisine (non, on ne met pas de fromage rapé dans un gratin, vous avez aussi peu de goût qu'un anglais ou quoi?), ou encore au niveau des bronsonisations. J'ai beaucoup évolué sur les licenses et la différence entre libre et proprio suite à des discussions qui ont eu lieu ici, avec des gens avec qui je n'étais pas d'accord et c'est ce que je viens chercher. Pour parler d'escalade (ou de pates à la violette) je viens pas ici.
Les relous qui viennent parler de sujets rances, ça m'ennuie. Savoir qu'un royaliste est proche d'un iranien, allez en parler ailleurs. Crée libertefr.org et va parler avec tes amis de sujets relous (mais qui t'ouvrent l'esprit j'ai bien compris).
Je me souviens qu'il y avait eu un grand débat ici sur les "nimages" (pour ceux qui s'en souviennent). Globalement, on était arrivé à la conclusion que ça avait rien à foutre là. Les nimages ont disparues et c'est bien. J'aimerai qu'on arrive à ce consensus.
La, on peut se dire "ok, quelqu'un de relou, ça peut arriver, mais ça a peu de chance que ça arrive". Je ne suis pas d'accord, parce que justement, fermer les comptes, c'est une forme d'escalade qui risque de faire enrager la personne, donc assez paradoxalement, je pense que vouloir encore plus retirer des gens qui sont de facto invisible sauf si on va les chercher peut avoir un effet contraire.
Techniquement il existe le shadowban. La personne poste, mais ses posts ne sont visibles que par lui. J'avais lu des stats là dessus, et c'est très intéressant: les gens pénibles se nourrissent des réponses (le fameux dont feed the troll).
Les bannir n'est pas une solution car ça les fait enrager encore plus, et ils reviendront par la fenêtre, avec un nouveau compte, et/ou un nouveau cheval de bataille (le bannissement injuste, etc..).
Le shadowban fait en sorte qu'ils peuvent poster, commenter, passer des heures à rédiger des trucs, et personne ne les lit. C'est hyper efficace, et les râleurs/pénibles finissent par quitter d'eux-mêmes les communautés..
(tiens, personne me répond. Ptet qu'il faut que je me pose des questions :D )
L'équipe de modération se passerait bien de tout cela,
en tout cas, un merci sincère pour le boulot que vous faites, et je sais que c'est pas facile.
Le modérateur ban, on lui dit qu'il surréagit. Le modérateur ne ban pas, on lui dit qu'il laisse perdurer des idées nauséabondes.
Pour revenir à nos moutons, je pense que globalement on est dans une époque de tension, ou le second degré meurt doucement. Toute doit être polarisé, il n'y a que des méchants à combattre uniquement car ils sont méchants et qu'ils nous veulent du mal. Et ça me saoule, j'aimerai plus de légèreté. Je vise particulièrement la droite et et l'extrême droite qui polarise le débat. Quand il y avait 3 hippies à gauche qui rêvaient d'un monde meilleur, ça prenait la tête à personne, on vivait tranquille et on faisait du linux peinard. Maintenant qu'il y a des droitards (extreme, ultra, turbo, ultime) qui viennent expliquer au reste du monde qu'on les laisse pas parler, qu'il faut buter/éradiquer/effacer l'autre partie de la population, ça me pète les rouleaux.
Et surtout que ça vienne déborder sur un site tel que linuxfr, ça me gonfle encore plus violemment. Qu'il faille faire en journal pour en parler, c'est pire. Oui, je demande à ce que le second degré soit mort, et que toute personne qui fasse "gneugneugneu on a plus le droit de rien dire" soit direct permaban sans sommation. Paradoxe de la tolérance tout ça. Venez pas m'expliquer que gnégnégné on débat tout ça, juste vos gueules. Parlez linux (ou recette de pommes de terre à la limite), mais arrêtez de parler politique de droite. Vous connaissez la blague du pigeon et des échecs? Tu as beau essayer de jouer aux échecs avec un pigeon (débattre avec un mec de droite), le pigeon finit par renverser les pièces et chier sur l'échiquier, et se pavane en disant qu'il a gagné.
Connectes toi à ton routeur et analyse le traffic sortant avant et après démarrage de ladite tablette, ça devrait être édifiant (où configure ton ordi comme point d'accès wifi si ton routeur ne le permet pas).
je l'ai fait, avec un telephone. Bah effectivement ça parle énormément. Les seuls flux visibles étaient les requêtes DNS (sinon tout se passe en TLS et flemme de péter les flux). Y'a plein de trackers, de stats, et de télémetrie (si j'en crois les noms DNS du genre telemtetry.xxx.constructeur.com)
Bon. Après on fait quoi? (vraie question hein). J'ai ouvert un windows, c'est globalement pareil. J'ai ouvert un site de news, et c'est pareil, ça fuse dans tous les sens.
le côté RAG, ça va, j'ai joué avec et c'est rigolo :) ma question était plus sur la manière de plugger tout ça ensemble. Genre je lui file le rapport et un premier agent va analyser le contenua via le RAG et vérifier si les POCs sont présents ou non, s'ils sont compréhensibles, etc etc..
Dans le temps pour payer, je rentrais les chiffres de ma CB, je recevais un SMS, je recopiais le code et c'était fini. Pas d'appli, un site web bancaire avec juste les infos intéressantes (comptes, historiques, message au conseiller) et c'est tout.
Maintenant:
- j'ai une appli obligatoire qui passe son temps à me proposer des, euh, services(?) genre "avec notre analyste virtuel on va analyser vos dépenses" (ben non?)
- je dois me logger avec un ID, puis un mot de passe, puis un autre mot de passe (mais pourquoi????). Sachant que le second mot de passe c'est 6 chiffres. Ils prennent la tête pour le premier mdp avec des majuscules minuscules symboles, pas de répétition de caractères, pas d'enchainement pas de mot de dico etc… mais ils sécurisent ça avec 6 chiffres. Mais quel est le fucking sens à ça??
- une fois loggé dans l'appli, si je fais quelque chose de "sensible" (j'ai pas bien compris ce qui est sensible de ce qui ne l'est pas) je dois remettre le code à 6 chiffres.
- si je traîne plus de 8s sans cliquer sur un truc l'appli se verrouille et faut remettre les codes (rhaaaaaah!!!)
- de temps en temps (genre ajout de bénéficiaire pour des virements) je dois aller chercher une carte papier qui contient un tableau et je dois donner le contenu de la case A8 (par exemple). Mais je dois redonner le code à 6 chiffres, puis redonner le code à 6 chiffre après. Et quelqus fois je dois attendre 48h pour pouvoir faire un virement à ce compte ajouté. Mais ils ont ajouté un scan OCR dégueulasse pour m'éviter à rentrer les chiffres à la main je peux prendre en photo le RIB)
- quand je paye sur internet, je dois donner un code internet à 6 chiffres (un autre code, nommé code payement par internet), puis aller ouvrir mon smartphone, ouvrir l'appli, valider le payement, remettre le code à 6 chiffres (celui de l'appli pas celui du payement internet, suivez un peu) et valider deux ou trois fois.
- je crois que je ne reçois plus de SMS, j'ai pas bien compris si c'est bien ou pas, ou si j'ai cliqué sur un truc ou pas, j'ai 0 infos là dessus.
- j'ai eu aussi le coup ou je dois donner mon code de connexion du site web de ma banque (wtf?!!) mais en fait si si c'est tout à fait normal et légitime de mettre le code du site web de sa banque sur un site random dans une iframe, c'est pour que le consommateur se rende bien compte qu'il fait un achat sur internet (toutes ces années à suivre des formations anti-phishing à mettre à la poubelle)….
- on me propose de créer des cartes bleues virtuelles, j'ai vraiment, mais pas du tout envie d'ajouter plusieurs étapes au payement.
Bref. La simplification… Merci les banques.
Des fois j'aimerai tenir le programmeur qu'a pondu cette horreur et le pendre par les pieds jusqu'à ce qu'il m'avoue pourquoi il a fait ça. il aime pas les gens? il a infiltré le monde capitaliste et veut le voir brûler de l'intérieur? il s'ennuyait et a ajouté 12000 étapes?
ollama, je croyais que c'était juste un wrapper (?)
Sinon, je chercherai des docs accessibles sur les manières de plug différentes IA entre elles avec du RAG. Typiquement, j'ai reçu un rapport de pentest d'une de mes applis, et le pentester a pas filé des masses de détails sur ses découvertes. Ce dont je rêve là, c'est d'un système avec plein de petits LLM qui bossent en parallèle:
vas-y, lis le rapport et découpe le en plein de petites vulns
toi, tu prends un MCP d'une kali et tu me crées des pocs pour les vulns
toi, tu prends les poc et tu les tests, et tu reboucles si le poc passe pas
une fois que le poc est passé, tu me proposes une vraie correction
et au final tu me refais un rapport avec des vrais poc.
Autant jouer avec ollama c'est rigolo mais ça va pas très loin une fois que tu lui a demandé de réécrire tes messages de commits comme un dramaturge grec (ou comme Mario), autant l'orchestration de plein de petits llm c'est plus compliqué.
Ou alors je vibe-code un orchestrateur. mmmmh. ou alors je demande à chatgpt de me faire le bon prompt pour demander à mon ollama local de vibecoder un orchestrateur. C'est bien l'IA c'est infini. /s
pourquoi pas, mais ça me parait présomptueux. Des sources, il y en a de partout pour faire un système linux vaguement utilisable, et du coup soit on parle d'intégrité de build, et ça ne va pas très loin (cf jia tan qui a corrompu xz), soit on parle d'intégrité de sources, et là, bah va falloir en auditer du code :-)
boot integrity
ben, genre avec TPM? ou alors j'ai pas compris?
runtime integrity
j'ai du mal à comprendre ce qu'il entend par là. Quand je lance un programme, on parle de quel integrité? celle de mon runtime? genre mon /usr/bin/python3 est safe (mais il os.system("/bin/malware") )? ou bien de l'integrité de tous les programmes? Genre mon malware il est bien codé donc il est intègre? Ou alors on lance un container à chaque fois et le système est intègre (sauf que le pirate a défoncé le serveur dans le container et que ça lui suffit pour dump ta database) mais ton container est intègre, ouf. Ou alors c'est qubes (mais on sait que Lennart aime tout réinventer et tout recoder)
Dans un point plus positif, je suis content (si si c'est vrai) parceque pour un fois, on a une boite qui se monte et qui n'affiche pas en gros police 48 "on fait de l'AI".
[^] # Re: Proportion de petits projet solo ?
Posté par octane . En réponse au journal Audition de la direction de Mistral AI et Solo dev. Évalué à 3 (+1/-0).
intéressant, merci
[^] # Re: Proportion de petits projet solo ?
Posté par octane . En réponse au journal Audition de la direction de Mistral AI et Solo dev. Évalué à 5 (+3/-0).
Je serais curieux d'avoir ton avis sur le sujet. De nombreuses personnes (depuis ici sur linuxfr jusqu'à d'anciens employés sur des réseaux sociaux) avaient en effet annoncé une augmentation des pannes (il y en a eu quelques unes) jusqu'à un crash total qui n'a toujours pas eu lieu.
Je me demande si l'inertie seule explique cela. Il y a aussi peut-être le cash monumental qu'ont ces boites (et musk s'en fiche de perdre l'argent).
Et je ne parle pas de l'effet très pervers sur linkedin ou de nombreuses personnes encensent musk en mode: "il a raison de virer 80% des gens et faire cravacher les restants".
Bref, comment twitter tient encore debout?
[^] # Re: Pour être plus précis ...
Posté par octane . En réponse au journal Audition de la direction de Mistral AI et Solo dev. Évalué à 9 (+7/-0).
Oui, alors tu as un truc que tu comprends mal, qui marchotte plus ou moins. Et viendra toujours l'instant de la modif qui va tout péter et là, tu ne vas plus rien comprendre. Tu vas rollback, tu vas essayer de repartir sur la dernière base saine, mais comme c'est un framework que tu connais pas, tu n'y comprends rien. Comme c'est une base de code que tu connais pas non plus tu demandes à l'IA de t'aider (genre rééxplique moi le modèle du templating), l'IA va te répondre, tu ne sauras jamais si c'est vrai ou pas, donc retour au point 1 avec l'IA qui te ponds un code dont tu auras du mal à dire s'il est dégueulasse ou pas.
Paradoxalement je préfère encore prendre le projet en main, le connaître, puis demander à l'agent de faire un truc que je sais faire. Il va écrire le code, les tests, les messages de commit etc… et je peux le corriger au besoin.
Je me suis trop fait avoir avec la légende "si si claude comprends le code et il te fera le patch en vitesse, et si t'as un problème il va t'expliquer le code". Sur le court terme, peut-être que le patch va sortir. A moyen terme, ça pose des problèmes. A long terme, je veux fuir le projet et ne plus jamais y toucher :D
[^] # Re: Réponse aux critiques
Posté par octane . En réponse au journal NeoMeca. Évalué à 10 (+10/-0).
Ca me fait penser aux bots téléphoniques qui t'appellent, tu décroches et une voix te dite "patientez, un téléconseiller va bientôt vous parler". Genre bonhomme, tu crois que non seulement je vais écouter ton télémarketing pourri, mais qu'en plus je vais rester comme un âne à attendre que tu daignes me parler?!?!
[^] # Re: Ça a déjà disparu
Posté par octane . En réponse au lien La recherche Google telle qu'on la connaît va disparaître cet été. Évalué à 10 (+9/-0).
La qualité de google est en baisse (voire en chute libre), mais pire que ça, ce sont les site webs qui sont d'une qualité catastrophique :-(
Remplis de pubs, de paywalls, d'abonnements à la newsletter etc (oui, j'ai ublock origin mais il y a des pubs qui passent quand même). J'ai arrêté de chercher des recettes de cuisines car 99% des sites culinaires sont remplis de pubs, remplis d'IA SLOP, remplis de tout et n'importe quoi sauf la recette. J'en arrive à un point ou je me demande s'il existe encore des gens qui lisent simplement les sites. Et c'est pareil pour la majorité de mes centres d'intérêts. Je me rends compte que j'esquive google la majeure partie du temps car je sais que je n'aurai rien de pertinent.
Bref, l'openweb est mort, les blogs sont morts, la recherche est morte, youtube est mort, il nous reste quoi? mastodon? linuxfr? reddit? continuez les gars.
[^] # Re: En gros
Posté par octane . En réponse au lien Linus Torvalds says AI-powered bug hunters have made Linux security mailing list ‘almost entirely unmanageable’. Évalué à 8 (+6/-0).
en gros "faites quelque chose de constructif". Comme proposer un patch, ou autre.
J'avais lu une prez d'un triageur (ce mot existe?) de bug bounty. Il râlait sans fin contre les rapports auto. Genre un programme bounty ouvre, il se prend un pdf de 500 pages généré par nessus, avec le commentaire "y'a plein de vulns dans le rapport, faut donner le bounty maintenant". Il était fatigué.
J'ai l'impression que l'AI c'est la même chose puissance 10. Tout le monde veut son petit moment de gloire en ayant trouvé la vuln, soit pour l'estime de soi personnelle genre "yeah, j'ai aidé à corriger un bug qui allait provoquer la fin du monde sans moi", soit pour des sous (bounty ou marketing).
Après je trouve la position de Linux assez posée. Quel que soit l'outil, il faut une plus-value humaine, et une réflexion derrière. Il m'est arrivé de remonter des bugs, et clairement quand tu prends le temps de bien comprendre le bug, que tu proposes un bout de patch, et que tu donnes tes tests, tu es mieux reçu que quand tu postes à l'arrache dans une mailing list en mode "démerdez-vous".
[^] # Re: non
Posté par octane . En réponse au journal Un code généré par IA est-il obligatoirement du "AI slop" ?. Évalué à 5 (+3/-0).
oui, et quand l'IA te dit "y'avait un conflit, mais je l'ai résolu tout seul. Oui oui. Et là, tout est commit."
tu as toujours une petite goutte de sueur glacée qui coule dans le dos et c'est trèèèèès désagréable, surtout quand tu ne trouves rien d'obvious.
ouais, bah comme 1000 développeurs je me suis dit, "tiens je vais construire un mythos à moi et j'aurai plus aucune faille de sécu". Du coup, preprompt, prompt, écriture des findings, puis un deuxième agent qui repasse sur les findings pour les consolider/invalider, puis un autre qui va écrire des pocs, etc.. Au final, immensément de temps perdu pour finir sur des truismes du genre
"alors si tu réussis à bypass l'authentification de ton API alors un attaquant pourrait effectuer des actions normalement réservées à l'admin". Euh, oui?
Mais, vraie question, dans ce cas, il faut pas mieux écrire un test et de la doc? Plutôt que de renvoyer une requête analysée par un LLM qui risque d'halluciner un jour?
[^] # Re: "utilisation de l'IA"
Posté par octane . En réponse au journal Un code généré par IA est-il obligatoirement du "AI slop" ?. Évalué à 5 (+3/-0).
Pourquoi copier-coller quand on peut importer directement?
https://pypi.org/project/stackoverflow/
On pourrait aller encore plus loin, encore plus moderne \o/ importer les réponses des LLM directement! Faudrait que je vibe code un module python qui fasse le même genre de truc
La prochaine étape, c'est de vibe-coder un générateur de prompt pour aider à interroger les LLM afin d'obtenir des solutions.
(crâne qui explose)
# c'est pas nouveau?
Posté par octane . En réponse au lien Nouveau malware PamDOORA pour linux. Évalué à 4 (+2/-0).
J'ai l'impression de relire le même article tous les 6 mois avec un nouveau nom à chaque fois. On avait eu droit à PLAGUE, là c'est PamDOORA (l'exploratrice?).
Globalement, faut que l'attaquant soit root, ça se détecte avec l'intégrité de ton gestionnaire de paquet, mais si c'est installé, alors c'est grave.
voilà, voilà.
[^] # Re: Pendant ce temps
Posté par octane . En réponse au journal De développeur à orchestrateur, comment l'IA a changé ma vie. Évalué à 10 (+19/-0).
Je crois que l'IA est plutôt douée pour les tâches de niveau moyen. Ecrire un yaml? Ok. Pondre une fonction C qui va trier un tableau, ça va. Ecrire la doc d'un commit, oué, ça sait faire. Quand tu lui demandes d'améliorer un code que tu as optimisé avec amour pendant des heures, bah l'IA te sors un truc dégueulasse. Un truc un peu niche -> echec assuré. L'IA c'est du niveau moyen plus.
Je vais avoir une position extrêmement agressive : j'ai l'impression que les personnes qui sont le plus fascinées par l'IA sont des mauvais devs. Ils sont incapables de faire un truc propre, l'IA sort un machin vaguement moyen, ils disent que c'est génial, qu'ils n'auraient jamais pu faire mieux, plus vite, plus propre. Moi, ça m'inquiète.
D'un autre côté, je trouve aussi que c'est une bonne jauge : Par exemple, je trouve que l'IA écrit des très très bons scripts shells, très propre, et rapidement. Ca m'a permis de comprendre que je suis une buse complète en bash :D Il y a encore quelques domaines ou je trouve que l'IA est vraiment mauvaise, ça me rassure
[^] # Re: cut
Posté par octane . En réponse au message grepLittleLine.sh. Évalué à 2 (+0/-0).
dans un fichier minifié, tout est dans une seule ligne, et tu veux justement savoir s'il y a le truc qui t'intéresse.
# les histoires de Miod
Posté par octane . En réponse au journal Moi, Linuxfr et le SEO, et ... LA GLOIRE !!! Merci. Évalué à 3 (+1/-0).
J'ai découvert les histoires de Miod sur Mastodon et j'ai adoré. Super intéressant.
Il y a un truc qui me chipotait, et je viens de mettre le doigt dessus. Miod développe (-ait?) pour openBSD, système le + sécurisé au monde. Et ces histoires (elles sont géniales, allez les lire, vraiment) parlent entre autre de portabilité et de systèmes moins connus. Sauf que la portabilité, c'est NetBSD (ben oui). Et ma question, c'est pourquoi openBSD a cherché à être portable? Il cherche à être sécurisé, non? Du coup, je me demande ce qui pousse les devs à porter openBSD sur des archis exotiques (en tout cas ça nous fait des belles histoires à lire :) )
[^] # Re: Pourquoi donc ?
Posté par octane . En réponse au message Debian pour raspberry - Chiffrement du rootfs. Évalué à 4 (+2/-0).
Dans le cas du raspberry, l'extraction du disque est super simple :-)
Bah je m'ajoute un user, j'ajoute un binaire suid, j'ajoute un reverse-shell dans une unit systemd, j'ajoute une clé SSH dans le /root/.ssh/authorized_keys (et tous les users aussi du coup, tiens), j'ajoute un backup automatique de la clé LUKS en clair lors du déverrouillage, j'ajoute l'envoi d'un email lors du rallumage du raspi, etc etc…
Puis j'attends que le raspi soit rallumé. Et j'accède aux données \o/
# pas forcément compris
Posté par octane . En réponse au message Debian pour raspberry - Chiffrement du rootfs. Évalué à 3 (+1/-0).
J'ai pas forcément compris. Généralement, l'install d'un raspi de fait en dumpant une image toute faite sur une flash. Et ces installs ne sont pas chiffrées, donc pas de chiffrement de disque. Lorsqu'on veut chiffrer un disque, on utilise un installeur qui prévoit l'option durant l'install, avant formatage et copie des fichiers sur disque.
Je ne sais pas s'il y a un installeur pour raspi autre que des images disques toutes prêtes (mais je suis pas un expert).
Ensuite, j'utilise des raspis sans clavier ni écran. Et je ne chiffre pas les partitions pour cette raison: en cas de reboot, comment entrer le mot de passe de déchiffrement sans clavier?
[^] # Re: Présentation inversée
Posté par octane . En réponse au journal Alison Bechdel sur France culture. Évalué à 2 (+2/-2).
Pour moi, PMA signifie Procréation Médicalement Assistée, donc j'ai eu beaucoup de mal à comprendre le test :D
Puis j'ai lu tes initiales et j'ai compris que c'était ta vision d'un test.
Pour le seigneur des anneaux, c'est surprenant, mais ok. Je me souviens de la scène du film
-"No man can defeat me!"
-"I am no man" (et bing!)
-"argelugheu" (couic….)
[^] # Re: La musique de démarrage des premières versions d'Ubuntu
Posté par octane . En réponse au lien Le « Wizz » de MSN, le son de Windows 95, un modem qui crépite… Ces bruits que nos enfants n'entendront sans doute jamais. Évalué à 6 (+4/-0).
ça me rappelle un truc :D
http://neil.franklin.ch/Jokes_and_Fun/Linux_Quotes.html
"Whoa…I did a 'zcat /vmlinuz > /dev/audio' and I think I heard God…"
(mikecd on #Linux)
[^] # Re: ensemble
Posté par octane . En réponse au journal Les "fachos", fascistes, nazis et autres intolérants sont-ils tolérés sur linuxfr.org ?. Évalué à 8. Dernière modification le 25 février 2026 à 09:30.
position hasardeuse, j'espère que tu le conçois. Un relou, c'est relou. J'aime la diversité d'opinion, j'aimerai que ça reste au niveau de la liberté des licenses (d'ailleurs si je met ce commentaire en wtfpl c'est possible?), au niveau des logiciels (est-ce qu'il ne manquerait pas un AD pour que linux soit déployable en entreprise, et surtout plus qu'un AD, des GPO facilement déployables), au niveau des recettes de cuisine (non, on ne met pas de fromage rapé dans un gratin, vous avez aussi peu de goût qu'un anglais ou quoi?), ou encore au niveau des bronsonisations. J'ai beaucoup évolué sur les licenses et la différence entre libre et proprio suite à des discussions qui ont eu lieu ici, avec des gens avec qui je n'étais pas d'accord et c'est ce que je viens chercher. Pour parler d'escalade (ou de pates à la violette) je viens pas ici.
Les relous qui viennent parler de sujets rances, ça m'ennuie. Savoir qu'un royaliste est proche d'un iranien, allez en parler ailleurs. Crée libertefr.org et va parler avec tes amis de sujets relous (mais qui t'ouvrent l'esprit j'ai bien compris).
Je me souviens qu'il y avait eu un grand débat ici sur les "nimages" (pour ceux qui s'en souviennent). Globalement, on était arrivé à la conclusion que ça avait rien à foutre là. Les nimages ont disparues et c'est bien. J'aimerai qu'on arrive à ce consensus.
[^] # Re: ensemble
Posté par octane . En réponse au journal Les "fachos", fascistes, nazis et autres intolérants sont-ils tolérés sur linuxfr.org ?. Évalué à 10.
Techniquement il existe le shadowban. La personne poste, mais ses posts ne sont visibles que par lui. J'avais lu des stats là dessus, et c'est très intéressant: les gens pénibles se nourrissent des réponses (le fameux dont feed the troll).
Les bannir n'est pas une solution car ça les fait enrager encore plus, et ils reviendront par la fenêtre, avec un nouveau compte, et/ou un nouveau cheval de bataille (le bannissement injuste, etc..).
Le shadowban fait en sorte qu'ils peuvent poster, commenter, passer des heures à rédiger des trucs, et personne ne les lit. C'est hyper efficace, et les râleurs/pénibles finissent par quitter d'eux-mêmes les communautés..
(tiens, personne me répond. Ptet qu'il faut que je me pose des questions :D )
[^] # Re: Pas si simple…
Posté par octane . En réponse au journal Les "fachos", fascistes, nazis et autres intolérants sont-ils tolérés sur linuxfr.org ?. Évalué à 10.
en tout cas, un merci sincère pour le boulot que vous faites, et je sais que c'est pas facile.
Le modérateur ban, on lui dit qu'il surréagit. Le modérateur ne ban pas, on lui dit qu'il laisse perdurer des idées nauséabondes.
Pour revenir à nos moutons, je pense que globalement on est dans une époque de tension, ou le second degré meurt doucement. Toute doit être polarisé, il n'y a que des méchants à combattre uniquement car ils sont méchants et qu'ils nous veulent du mal. Et ça me saoule, j'aimerai plus de légèreté. Je vise particulièrement la droite et et l'extrême droite qui polarise le débat. Quand il y avait 3 hippies à gauche qui rêvaient d'un monde meilleur, ça prenait la tête à personne, on vivait tranquille et on faisait du linux peinard. Maintenant qu'il y a des droitards (extreme, ultra, turbo, ultime) qui viennent expliquer au reste du monde qu'on les laisse pas parler, qu'il faut buter/éradiquer/effacer l'autre partie de la population, ça me pète les rouleaux.
Et surtout que ça vienne déborder sur un site tel que linuxfr, ça me gonfle encore plus violemment. Qu'il faille faire en journal pour en parler, c'est pire. Oui, je demande à ce que le second degré soit mort, et que toute personne qui fasse "gneugneugneu on a plus le droit de rien dire" soit direct permaban sans sommation. Paradoxe de la tolérance tout ça. Venez pas m'expliquer que gnégnégné on débat tout ça, juste vos gueules. Parlez linux (ou recette de pommes de terre à la limite), mais arrêtez de parler politique de droite. Vous connaissez la blague du pigeon et des échecs? Tu as beau essayer de jouer aux échecs avec un pigeon (débattre avec un mec de droite), le pigeon finit par renverser les pièces et chier sur l'échiquier, et se pavane en disant qu'il a gagné.
[^] # Re: Xiaomi
Posté par octane . En réponse au journal Expérience mitigée d'exploitation de vidéos 360° sous Linux. Évalué à 2.
je l'ai fait, avec un telephone. Bah effectivement ça parle énormément. Les seuls flux visibles étaient les requêtes DNS (sinon tout se passe en TLS et flemme de péter les flux). Y'a plein de trackers, de stats, et de télémetrie (si j'en crois les noms DNS du genre telemtetry.xxx.constructeur.com)
Bon. Après on fait quoi? (vraie question hein). J'ai ouvert un windows, c'est globalement pareil. J'ai ouvert un site de news, et c'est pareil, ça fuse dans tous les sens.
[^] # Re: Limitation
Posté par octane . En réponse au lien Plus d’un tiers des Français utilise l’IA générative tous les jours. Évalué à 3.
le côté RAG, ça va, j'ai joué avec et c'est rigolo :) ma question était plus sur la manière de plugger tout ça ensemble. Genre je lui file le rapport et un premier agent va analyser le contenua via le RAG et vérifier si les POCs sont présents ou non, s'ils sont compréhensibles, etc etc..
# dans le temps, c'était mieux avant
Posté par octane . En réponse au journal Boursorama semble dorénavant imposer l'usage d'un smartphone pour utiliser ses services. Évalué à 6.
Dans le temps pour payer, je rentrais les chiffres de ma CB, je recevais un SMS, je recopiais le code et c'était fini. Pas d'appli, un site web bancaire avec juste les infos intéressantes (comptes, historiques, message au conseiller) et c'est tout.
Maintenant:
- j'ai une appli obligatoire qui passe son temps à me proposer des, euh, services(?) genre "avec notre analyste virtuel on va analyser vos dépenses" (ben non?)
- je dois me logger avec un ID, puis un mot de passe, puis un autre mot de passe (mais pourquoi????). Sachant que le second mot de passe c'est 6 chiffres. Ils prennent la tête pour le premier mdp avec des majuscules minuscules symboles, pas de répétition de caractères, pas d'enchainement pas de mot de dico etc… mais ils sécurisent ça avec 6 chiffres. Mais quel est le fucking sens à ça??
- une fois loggé dans l'appli, si je fais quelque chose de "sensible" (j'ai pas bien compris ce qui est sensible de ce qui ne l'est pas) je dois remettre le code à 6 chiffres.
- si je traîne plus de 8s sans cliquer sur un truc l'appli se verrouille et faut remettre les codes (rhaaaaaah!!!)
- de temps en temps (genre ajout de bénéficiaire pour des virements) je dois aller chercher une carte papier qui contient un tableau et je dois donner le contenu de la case A8 (par exemple). Mais je dois redonner le code à 6 chiffres, puis redonner le code à 6 chiffre après. Et quelqus fois je dois attendre 48h pour pouvoir faire un virement à ce compte ajouté. Mais ils ont ajouté un scan OCR dégueulasse pour m'éviter à rentrer les chiffres à la main je peux prendre en photo le RIB)
- quand je paye sur internet, je dois donner un code internet à 6 chiffres (un autre code, nommé code payement par internet), puis aller ouvrir mon smartphone, ouvrir l'appli, valider le payement, remettre le code à 6 chiffres (celui de l'appli pas celui du payement internet, suivez un peu) et valider deux ou trois fois.
- je crois que je ne reçois plus de SMS, j'ai pas bien compris si c'est bien ou pas, ou si j'ai cliqué sur un truc ou pas, j'ai 0 infos là dessus.
- j'ai eu aussi le coup ou je dois donner mon code de connexion du site web de ma banque (wtf?!!) mais en fait si si c'est tout à fait normal et légitime de mettre le code du site web de sa banque sur un site random dans une iframe, c'est pour que le consommateur se rende bien compte qu'il fait un achat sur internet (toutes ces années à suivre des formations anti-phishing à mettre à la poubelle)….
- on me propose de créer des cartes bleues virtuelles, j'ai vraiment, mais pas du tout envie d'ajouter plusieurs étapes au payement.
Bref. La simplification… Merci les banques.
Des fois j'aimerai tenir le programmeur qu'a pondu cette horreur et le pendre par les pieds jusqu'à ce qu'il m'avoue pourquoi il a fait ça. il aime pas les gens? il a infiltré le monde capitaliste et veut le voir brûler de l'intérieur? il s'ennuyait et a ajouté 12000 étapes?
[^] # Re: Limitation
Posté par octane . En réponse au lien Plus d’un tiers des Français utilise l’IA générative tous les jours. Évalué à 3. Dernière modification le 10 février 2026 à 09:54.
ollama, je croyais que c'était juste un wrapper (?)
Sinon, je chercherai des docs accessibles sur les manières de plug différentes IA entre elles avec du RAG. Typiquement, j'ai reçu un rapport de pentest d'une de mes applis, et le pentester a pas filé des masses de détails sur ses découvertes. Ce dont je rêve là, c'est d'un système avec plein de petits LLM qui bossent en parallèle:
et au final tu me refais un rapport avec des vrais poc.
Autant jouer avec ollama c'est rigolo mais ça va pas très loin une fois que tu lui a demandé de réécrire tes messages de commits comme un dramaturge grec (ou comme Mario), autant l'orchestration de plein de petits llm c'est plus compliqué.
Ou alors je vibe-code un orchestrateur. mmmmh. ou alors je demande à chatgpt de me faire le bon prompt pour demander à mon ollama local de vibecoder un orchestrateur. C'est bien l'IA c'est infini. /s
# intégrité
Posté par octane . En réponse au lien Introducing Amutable. Évalué à 4.
build-integrity
pourquoi pas, mais ça me parait présomptueux. Des sources, il y en a de partout pour faire un système linux vaguement utilisable, et du coup soit on parle d'intégrité de build, et ça ne va pas très loin (cf jia tan qui a corrompu xz), soit on parle d'intégrité de sources, et là, bah va falloir en auditer du code :-)
boot integrity
ben, genre avec TPM? ou alors j'ai pas compris?
runtime integrity
j'ai du mal à comprendre ce qu'il entend par là. Quand je lance un programme, on parle de quel integrité? celle de mon runtime? genre mon /usr/bin/python3 est safe (mais il os.system("/bin/malware") )? ou bien de l'integrité de tous les programmes? Genre mon malware il est bien codé donc il est intègre? Ou alors on lance un container à chaque fois et le système est intègre (sauf que le pirate a défoncé le serveur dans le container et que ça lui suffit pour dump ta database) mais ton container est intègre, ouf. Ou alors c'est qubes (mais on sait que Lennart aime tout réinventer et tout recoder)
Dans un point plus positif, je suis content (si si c'est vrai) parceque pour un fois, on a une boite qui se monte et qui n'affiche pas en gros police 48 "on fait de l'AI".
[^] # Re: Un autre livre du même titre
Posté par octane . En réponse au journal C’est vendredi, jour de lecture. Évalué à 2.
Et si je ne me trompe, paideia en grec signifie "enfants", il doit y avoir un lien?