C'est pourtant ce que j'ai fait: J'ai tellement mis tous les bons mots-clés que j'ai du faire un overflow sur leur outil de requête. Je corresponds tellement au poste que chaque ligne de mon CV et de ma lettre de motiv aurait du me faire prendre. Une lettre de motiv amoureusement tapoté à la main pendant de longues heures avec un CV complètement remis en forme rien que pour eux.
Le problème c'est qu'il y a surement un gugus qui a du taper Ccharpe et se plaindre que non, vraiment, il y a un problème d'emploi en france car personne ne répond aux offres :(
Ou qu'il a eu des échos d'une école ou d'une autre que j'ai pas faire, et bim: blackholé. Ou que mon CV qui contient des liens vers des réalisations que j'ai faite n'a pas passé l'antivirus, ou je sais pas. Bref, je suis en colère et je vais manifester devant le siège social mon mécontentement:
le problème des sites d'emplois/réseaux sociaux, c'est leur visibilité.
Je n'ai pas forcément envie que mon entreprise actuelle sache que j'ai envie de la quitter. C'est arrivé à des collègues, la mise au placard est immédiate. Il y en a en plus qui ont essayé de jouer la dessus pour avoir un augmentation (ou mobilité), la réponse du DRH, c'est "la boite, tu l'aimes ou tu la quittes et moi je ne t'aime plus".
Donc actuellement, c'est discrétion pour mes recherches.
Si tu veux de la confidentialité dans tes emails, n'utilise pas ces services.
Le mot de passe est dans les mains d'un admin inconnu, et tu lui ferais plus confiance qu'à la NSA alors que tu ignores tout des motivations des deux?
Tes mails peuvent toujours finir en clair
Le mail n'offre aucune sécurité
La seule solution, c'est PGP ou une grosse PKI. Il faut en plus une grosse dose d'informations aux utilisateurs: ne pas déchiffrer les mails une fois lu mais les stocker chiffrés ne pas forwarder les mails en clair, etc…
Un attaquant aura quand même accès à ton cercle de connaissances car les destinataires sont en clair.
Tu trouves cette question pertinente et utile ?
Personnellement pour un entretien je trouve cela un peu exagéré.
Ca dépend. Ca dépend surtout de la réponse que va faire le candidat. J'ai eu à superviser une partie d'entretien pour un gars d'admin système (linux) avec un gros bagage en sécurité. J'ai posé des questions du genre: voici un laptop sous linux, peux tu te loguer root dessus? Certains ont rigolé et booté en init=/bin/bash, d'autres ont dit que ça ne se faisait pas, et d'autres ont dit que c'était impossible car linux était "sécurisé" par défaut.
Pareil avec des questions simples, et d'autres pointues. Du genre: qu'est ce que le phishing, ou bien: quelle est la meilleure manière de pousser un patch kernel sur un serveur en prod?
Je ne sais pas qui a été choisi au final, mais on voit vite "ceux qui savent", "ceux qui comprennent très bien la question, qui ne savent pas, mais qui vont trouver vite", et "ceux qui sont perdus car c'était pas dans le cours".
Je fais la réponse de très très très premier degré du responsable.
Travailler à plusieurs ?
Aucun rapport avec un outil de versionning.
Revenir en arrière de 14j 3h 12m 8s ?
Va expliquer l'interêt de ce genre de truc a un chef. Si ça marche, c'est en prod. Si ça marche pas, faut corriger. Pourquoi revenir en arrière?
Gérer 3 branches correspondant aux versions en prod et une branche de développement ?
Cf ci-dessus.
Avoir des sauvegardes ?
Y'a Bob qui zip le dossier tous les soirs et qui se l'envoie par mail. Il paraît.
Générer un changelog a posteriori ?
Un quoi???
Associer des bugs et des corrections ?
Un bug, ça se corrige, point.
Associer des exigences et des patchs/dév associés ?
Le commercial a vendu la techno? Alors tu la codes, et tu te la fermes, t'as pas besoin de savoir pour qui c'est.
Savoir qui a codé quoi pour lui lancer des pierres ?
Les gars, c'est VOTRE code, c'est à VOUS de vous démerder pour savoir qui a fauté.
Gérer le cas de l'écrasement du seul développeur par un tractopelle ?
Des devs, y'en a pleins dans les cabinets de recrutements.
Tester une fonctionnalité expérimentale et la jeter ensuite ?
Quoi? Faire du travail non payé? Je sais que les devs aimeraient passer 80h par semaine devant leur écran à écrire du code, faudrait pas qu'ils s'imaginent pouvoir coder des trucs inutiles.
C'est un peu + large que ça.
Des embauches et des débauches, il y en a tout le temps. C'est au final le mec qui a décidé de partir. Va savoir s'il se sentait mal à OVH ou si l'autre boite le tentait + ou si ça n'a rien à voir, ou si on lui a proposé un x2 en salaire, ou si etc..
En résumé je crois que c'est plutôt un trait d'humour qui est mal passé.
Ceci dit, c'est toujours le problème pour les boites (je parle pas de OVH, hein, je parle de manière générale) de garder des gens. Et les principales raisons pour les gens de partir sont toujours les mêmes:
-salaire
-reconnaissance dans le travail
-répétition des taches.
Donc bon, tu embauches un dev junior à pas cher (32keuros) tu lui demandes de (re)coder toujours la même merde, de faire des tests unitaires jusqu'à 22h30, et lorsque le boss lui refuse une augment de 3% après 4 ans d'expérience, alors oui, il s'en va vite dans une autre boite avec un boost de salaire +20% et des taches + intéressantes. Le jour ou un DRH aura compris qu'il vaut mieux augmenter un mec en le changeant de fonction plutôt que de l'écoeurer jusqu'a démissionner et devoir retrouver+reformer un nouveau (embauché + cher que ce que le démissionnaire demandait), ça ira mieux.
Bref, ma vie de grouillot de SSII.com
Nulle part j'ai dit ça, et c'est même l'opposé. J'ai un pote qui est pris entre un mariage, deux enfants et une entreprise qu'il a monté, et qui aime jouer. Bah là, oui, il préfère payer un peu plus cher et tout débloquer plutôt que d'y passer des heures qu'il n'a pas. Et entre minuit et minuit vingt, il s'éclate en god mode.
C'est exactement le même principe que le cheat mode: des gens s'en servent, d'autres trouvent ça nul.
j'ai jamais compris ce principe de payer pour ne pas jouer mais bon…
Quand tu es jeune, tu as du temps, mais pas d'argent: tu es prêt à t'y reprendre à 42 fois pour passer un niveau, ou battre un donjon pour acquérir l'épée du destin.
Quand tu es moins jeune, coincé entre le métro, le boulot et le manque de dodo, tu as moins de temps, et plus d'argent. Donc tu tentes deux fois la quête, et tu es prêt à payer pour passer à un niveau pour profiter d'un nouveau décor/avatar/etc.. Et si tu peux payer pour avoir l'épée du destin qui permet de marraver la gueule au premier troll venu, alors tu payes avec plaisir.
Je n'ai jamais tenté httpfs. Et puis le fait que boot.kernel.org soit down ne me donne pas beaucoup de confiance dans le procédé.
J'ai beaucoup essayé avec sshfs par contre, avant d'aboutir à la conclusion que ce n'est pas possible. sshfs a besoin de fuse pour fonctionner. Dans l'initrd, on peut tout à fait monter un filesystem en sshfs, par contre le pivot_root échoue lamentablement.
Le problème c'est que fuse lance un process user space, et que le pivot_root ne supporte pas ce genre de truc. Il faut que le montage de la racine soit maintenu à 100% par le noyau sans dépendre d'un process si on veut lancer le /sbin/init correctement.
Mais httpfs ça reste dans la TODO-list de mes projets.
On pourrait donc imaginer un site miroir de linuxfr (ou linuxfr carrément), et juste un boot local dans un KVM qui irait monter l'arborescence de linuxfr pour démarrer. L'arbo de linuxfr serait monté en ro, et avec un petit coup de unionfs dans un fichier local, l'user pourrait faire toutes les modifs qu'il veut.
Donc pourquoi on ferait pas ça, plutôt qu'une grosse machine virtuelle à télécharger qui prend de la BP (je reconnais et salue le travail de zedS au passage). Ca permettrait d'être synchro avec le site officiel en plus.
Qosmos fait surtout du logging pour permettre aux gentils gouvernements respectueux des droits de l'homme et de la liberté de pouvoir surveiller les vils pédonazis voleurs de pains au chocolat. Donc bon, c'est bof.
Et puis ça ne fait pas de l'analyse protocolaire, ça fait de la reconnaissance d'appli.
Je cherche un truc qui puisse, sans proxy, faire des règles du style:
iptables -A FORWARD -p tcp --proto HTTP -m match --user-agent "*Internet explorer*" -j DROP
-> Je ne spécifie pas le port, juste le proto, et je matche sur ce que je veux dans le protocole.
Ou des trucs comme
iptables -A FORWARD -p tcp --proto HTTP -m match --server-version -j REMOVE "server-version"
C'est vieux et du temps a passé, mais concernant la formation, je me rends compte qu'il n'y a aucun enjeu.
On t'enverra toujours à droite à gauche sur des technos improbables du jour au lendemain.
On te considérera expert dans un domaine (et donc sans besoin de formation).
On t'enverra un jour dans une formation dont tu ignorais tout. comme "écriture web" alors que tu fais une appli lourde en python (si, si) (spoil: la formation était une formation SPIP)
Les formations sont considérées comme un cadeau ultime pour lequel tu devrais donner un rein et 180jours de congés.
Aucune formation ne va améliorer ton image de marque dans la boite ou ton salaire.
L'excuse du "trop qualifié", c'est "vu la misère qu'on va te payer, tu vas partir en courant".
Pour devenir chef de projet, oué, mais en changeant d'entreprise pour espérer un +20%. En restant dans la même boîte, tu conserves le même salaire, et souvent le même intitulé de poste, donc très difficile à vendre ensuite: "vous me dites être chef de projet, mais votre feuille de paye indique développeur junior, expliquez moi ça"
Depuis, je n'ai pas vraiment changé d'avis. Je code toujours, et comme toi, j'ai des missions de pissage de code. Et je ne code plus chez moi le soir, je traîne un peu sur internet, mais c'est tout.
On m'a souvent dit qu'il fallait absolument prendre la direction du management pour évoluer. Mais tous les gens que je connais qui sont devenu manager (pas qu'en informatique, aussi en ingénieur automobile par exemple) disent la même chose: manager, ce n'est plus coder (ou concevoir de l'usinage de pièces par exemple).
Tu fais de la paperasse, tu manages des gens, tu fais des tableaux de bord et des compte rendus, tu participes à plein de réunions, tu dois lécher un peu le N+1 pour avoir de l'info, tu dois te mettre bien avec la secrétaire du big boss pour avoir l'info avant les autres, etc, etc.. Ton métier initial? Éventuellement, tu peux choisir d'en faire encore un peu, mais ne rêve pas, tu n'est plus un grouillot d'exécutant, tu es un chef, un patron, un manager (à lire d'un air ironique).
Je crois qu'il n'y a pas de solution simple à ce problème. Le problème de l'info, c'est que c'est un peu trop théorisé aujourd'hui, que tout le monde est ingénieur, et que tout s'externalise.
Tout le monde est ingénieur: tu te retrouves à faire du boulot de sans diplôme, et c'est la jungle pour faire passer ses idées.
Tout est trop théorisé: en gros, on calcule des jours/hommes et le produit doit être fini.
tout s'externalise: tu es sous les directives de différents donneurs d'ordres qui s'en branlent de ton boulot, ils veulent juste le respect des délais, des livraisons et du payement.
Il parait qu'aux US les deux filières existent: la première technique, la seconde managériale. Et avoir 50 ans et coder c'est naturel pour eux, et c'est une expertise reconnue et qu'il faut écouter. En france, si as 30 ans tu n'es pas manager, c'est que tu es un raté qui culminera à 2000euros/mois dans le meilleur des cas.
Ca sent un peu le coup de buzz quand même. Avec les gros détails: "de 12h53 à 15h49" et le fait qu'une petite quantité de RIBs ont pu sortir.
Allez, je la fais longue, c'est sûrement encore une SQL injection bidon. Les admins l'ont vu (bravo sincère à eux), et ils ont bloqué le bouzin. Pas de quoi en faire un fromage.
Je peux faire pareil, hein: "Mon admin à courageusement résisté à des centaines d'attaques provenant de hacker chinois" car j'ai vu passer un scan de port sur mon firewall et un ssh scan.
Dans ce cas, on avait pas dit que le système pyramidal de certificat est tout cassé
Non. C'est plus compliqué et plus simple que ça. Le système actuel repose sur la confiance que tu places envers les autorités. Confiance dans le choix des algos, dans leurs implémentations, dans leur sécurité interne et dans leur mécanisme de délivrance de certificats.
Or, on s'aperçoit aujourd'hui que les autorités de confiance qui remplissent nos navigateurs ne sont malheureusement pas de confiances:
- Ils utilisent des algos dépassés (genre 512 bits encore récemment)
- Ils utilisent des méthodes moisies (genre signature MD5 + date + numéro de série prévisible)
- Ils se font pirater (genre diginotar)
- Ils signent n'importe quoi (même une demande pour mozilla.org provenant d'une boite mail intraçable, si, si)
- Ils disparaissent dans la nature (genre on a une CA dans le magasin, mais personne ne sait à qui elle appartient, ni qui en possède la clé)
- Ils sont trop nombreux (sérieux, pourquoi vous faites confiance à la poste turque ou a une boite thaïlandaise?)
- Ils sont plus intéressés par la vente rapide de certificats que par la vérification des demandeurs
- Ils ne fournissent pas tous OCSP (et avec des CRL de pleins de Mo, on ne les lit pas)
- etc, etc..
Donc, on peut dire que la confiance dans les CA est cassée, et donc que le mécanisme de certificat est cassé.
A part ça, si tu as vraiment confiance dans ta CA, alors le système de PKI est très efficace et marche très bien.
Tu parles en effet de preuve de code et non pas preuve de l'alea.
Le fait de ne pas connaître la graine initiale dans le noyau n'est pas le seul problème. "La sécurité de ces deux algorithmes est basée sur l'hypothèse qu'un attaquant ne connait pas l'état interne du générateur (qui est donc conservé dans le noyau)." Oui, mais l'attaquant peut connaitre une longue suite de valeurs générées.
Le second problème concerne la distribution de l'alea (et là, je ressors des vieux souvenirs de cours). On sait qu'une distribution aléatoire doit avoir des propriétés. On sait que l'on a:
La moyenne des valeurs aléatoires générées doit correspondre au milieu de la plage. Si on tire un très grand nombre de valeurs aléatoires entre 0 et 1000, la moyenne doit être autour de 500.
Problème: la suite suivante répond au critère mais n'est pas aléatoire: 499,501,499,501,499,501,…
Une autre hypothèse indique que chaque valeur doit avoir une équiprobabilité de sortie. Cela permet de dégager la suite du dessus, mais la suite: 1,2,3,4,5,6,7,…,1000 est parfaitement équiprobable sur 1000 tirages, mais n'est pas aléatoire.
On peut encore vérifier les écarts entre deux tirages successifs. Etc…
Au final, on se rend compte qu'on a plusieurs moyens simples d'écarter des mauvaise suites aléatoires ce qui permet de créer des tests de conformités, mais qu'on a pas de moyen sûr de prouver la bonne qualité de l'aléatoire. A l'époque mon prof ne jurait que par les sources hardwares de "bruit" et démontait systématiquement les sources purement logicielles.
Certes, mais c'est une seule interface pour toutes les mises à jour, pas chaque logiciel qui a son icône dans la zone de notification
J'ai un firefox récent (iceweasel? mouhahahah). Un chrome. Un metasploit qui n'existe pas dans les depots debian. D'autres outils dont la mise à jour auto marche mieux que les packages debian qui viennent seulement les nuits de pleine lune. Un acrobat reader sous linux (rigolez pas, je souffre). Et j'ai eu a utiliser une lib en version plus récente que celle packagée, donc tout à la mano.
Bref, un gros bouzin a mettre à jour.
En fait, ça ressemble à windows pour le coup. Un OS et quelques applicatifs qui se mettent à jour, le reste c'est à la va comme je te pousse.
On est pas dérangé tous les jours par une mise à jour "Acrobat" ou "Flash" ou "Antivirus" ou autre.
Euh, bah sous debian c'est au moins une fois par semaine, et de temps en temps tous les jours, donc bon.
Les disques réseaux, externes, tout le matériel se monte automatiquement au démarrage pour avoir un espace de travail immédiatement opérationnel
bwahahah, sous debian (encore), le réseau nfs se monte avant dnsmasq. Et comme mes résolutions de noms fonctionnent avec dnsmasq, ça pète à tous les démarrages. Mais là, ça tombe bien car je veux les monter à la demande. On va appeler ça une feature, donc.
Ah, oui, et là mon karma va en prendre un coup car sur linuxfr, il y a pire que de faire un journal sur le féminisme: c'est dire du mal de debian. (joke, troll, vendredi, toussa, patapé)
Allez, zou: sage-femme. Ca rabaisse parce que ça implique que toutes les femmes ne sont pas sages? Moi, je vois plutôt ça comme le fait que la noble profession qui a trait à l'accouchement est valorisante.
Bwahahah.
Etymologie de sage-femme: sage dans le sens, savoir, connaissance. Donc une personne qui connait bien les femmes. Ca tombe bien, elles sont consultées dans le cadre des accouchements qui est quand même plutôt féminin de manière générale.
Mais rien n'empêche qu'un homme ait une connaissance sur l'accouchement. Donc un homme sage-femme, ça ne me choque pas. Même si on entend parler de maïeuticien, allez donc chercher l'étymologie, c'est rigolo aussi.
Oui, et le coup de 'je bloque tout ce qui n'est pas connu et n'autorise que ce qui est explicitement autorisé', ça ne serait pas le fonctionnement de bit9? https://www.bit9.com/
C'est mal de se moquer, mais ils se sont fait pirater. La raison? Ils n'utilisent pas leurs propres produits sur leurs serveurs, et n'ont donc pas pu empêcher un pirate de leur voler leur clé de signature. Le pirate a donc pu signer du malware et le faire exécuter sur des machines protégées par Bit9 :-)
[^] # Re: Rajouter beaucoup de mots clés
Posté par octane . En réponse au journal Ras le bol des plateformes d'e-recrutement. Évalué à 7.
C'est pourtant ce que j'ai fait: J'ai tellement mis tous les bons mots-clés que j'ai du faire un overflow sur leur outil de requête. Je corresponds tellement au poste que chaque ligne de mon CV et de ma lettre de motiv aurait du me faire prendre. Une lettre de motiv amoureusement tapoté à la main pendant de longues heures avec un CV complètement remis en forme rien que pour eux.
Le problème c'est qu'il y a surement un gugus qui a du taper Ccharpe et se plaindre que non, vraiment, il y a un problème d'emploi en france car personne ne répond aux offres :(
Ou qu'il a eu des échos d'une école ou d'une autre que j'ai pas faire, et bim: blackholé. Ou que mon CV qui contient des liens vers des réalisations que j'ai faite n'a pas passé l'antivirus, ou je sais pas. Bref, je suis en colère et je vais manifester devant le siège social mon mécontentement:
[^] # Re: Rien par les sites d'emploi/réseaux sociaux ?
Posté par octane . En réponse au journal Ras le bol des plateformes d'e-recrutement. Évalué à 10.
le problème des sites d'emplois/réseaux sociaux, c'est leur visibilité.
Je n'ai pas forcément envie que mon entreprise actuelle sache que j'ai envie de la quitter. C'est arrivé à des collègues, la mise au placard est immédiate. Il y en a en plus qui ont essayé de jouer la dessus pour avoir un augmentation (ou mobilité), la réponse du DRH, c'est "la boite, tu l'aimes ou tu la quittes et moi je ne t'aime plus".
Donc actuellement, c'est discrétion pour mes recherches.
# mauvaise solution
Posté par octane . En réponse au journal Je ne connaissais pas, maintenant c'est fermé.. Évalué à 8.
Si tu veux de la confidentialité dans tes emails, n'utilise pas ces services.
Le mot de passe est dans les mains d'un admin inconnu, et tu lui ferais plus confiance qu'à la NSA alors que tu ignores tout des motivations des deux?
Tes mails peuvent toujours finir en clair
Le mail n'offre aucune sécurité
La seule solution, c'est PGP ou une grosse PKI. Il faut en plus une grosse dose d'informations aux utilisateurs: ne pas déchiffrer les mails une fois lu mais les stocker chiffrés ne pas forwarder les mails en clair, etc…
Un attaquant aura quand même accès à ton cercle de connaissances car les destinataires sont en clair.
Et pour finir, un petit mot sur ce gentil gmail de google "do no evil" : "a person has no legitimate expectation of privacy in information he voluntarily turns over to third parties. " et "Google filing says Gmail users have no expectation of privacy"
voir http://news.cnet.com/8301-1023_3-57598420-93/google-filing-says-gmail-users-have-no-expectation-of-privacy/
[^] # Re: Algorithmique
Posté par octane . En réponse au journal Ce qu'on demande à un développeur aujourd'hui. Évalué à 7.
Ca dépend. Ca dépend surtout de la réponse que va faire le candidat. J'ai eu à superviser une partie d'entretien pour un gars d'admin système (linux) avec un gros bagage en sécurité. J'ai posé des questions du genre: voici un laptop sous linux, peux tu te loguer root dessus? Certains ont rigolé et booté en init=/bin/bash, d'autres ont dit que ça ne se faisait pas, et d'autres ont dit que c'était impossible car linux était "sécurisé" par défaut.
Pareil avec des questions simples, et d'autres pointues. Du genre: qu'est ce que le phishing, ou bien: quelle est la meilleure manière de pousser un patch kernel sur un serveur en prod?
Je ne sais pas qui a été choisi au final, mais on voit vite "ceux qui savent", "ceux qui comprennent très bien la question, qui ne savent pas, mais qui vont trouver vite", et "ceux qui sont perdus car c'était pas dans le cours".
[^] # Re: qu'est-ce qu'il dit ?
Posté par octane . En réponse au journal Ce qu'on demande à un développeur aujourd'hui. Évalué à 10.
Je fais la réponse de très très très premier degré du responsable.
Aucun rapport avec un outil de versionning.
Va expliquer l'interêt de ce genre de truc a un chef. Si ça marche, c'est en prod. Si ça marche pas, faut corriger. Pourquoi revenir en arrière?
Cf ci-dessus.
Y'a Bob qui zip le dossier tous les soirs et qui se l'envoie par mail. Il paraît.
Un quoi???
Un bug, ça se corrige, point.
Le commercial a vendu la techno? Alors tu la codes, et tu te la fermes, t'as pas besoin de savoir pour qui c'est.
Les gars, c'est VOTRE code, c'est à VOUS de vous démerder pour savoir qui a fauté.
Des devs, y'en a pleins dans les cabinets de recrutements.
Quoi? Faire du travail non payé? Je sais que les devs aimeraient passer 80h par semaine devant leur écran à écrire du code, faudrait pas qu'ils s'imaginent pouvoir coder des trucs inutiles.
Voila
# Partout pareil
Posté par octane . En réponse au journal L'Open Source chez OVH. Évalué à 10.
C'est un peu + large que ça.
Des embauches et des débauches, il y en a tout le temps. C'est au final le mec qui a décidé de partir. Va savoir s'il se sentait mal à OVH ou si l'autre boite le tentait + ou si ça n'a rien à voir, ou si on lui a proposé un x2 en salaire, ou si etc..
En résumé je crois que c'est plutôt un trait d'humour qui est mal passé.
Ceci dit, c'est toujours le problème pour les boites (je parle pas de OVH, hein, je parle de manière générale) de garder des gens. Et les principales raisons pour les gens de partir sont toujours les mêmes:
-salaire
-reconnaissance dans le travail
-répétition des taches.
Donc bon, tu embauches un dev junior à pas cher (32keuros) tu lui demandes de (re)coder toujours la même merde, de faire des tests unitaires jusqu'à 22h30, et lorsque le boss lui refuse une augment de 3% après 4 ans d'expérience, alors oui, il s'en va vite dans une autre boite avec un boost de salaire +20% et des taches + intéressantes. Le jour ou un DRH aura compris qu'il vaut mieux augmenter un mec en le changeant de fonction plutôt que de l'écoeurer jusqu'a démissionner et devoir retrouver+reformer un nouveau (embauché + cher que ce que le démissionnaire demandait), ça ira mieux.
Bref, ma vie de grouillot de SSII.com
[^] # Re: il faudrait rectifier par des jeux gratuits
Posté par octane . En réponse au journal Comment les jeux gratuits font payer leurs utilisateurs. Évalué à 5.
Nulle part j'ai dit ça, et c'est même l'opposé. J'ai un pote qui est pris entre un mariage, deux enfants et une entreprise qu'il a monté, et qui aime jouer. Bah là, oui, il préfère payer un peu plus cher et tout débloquer plutôt que d'y passer des heures qu'il n'a pas. Et entre minuit et minuit vingt, il s'éclate en god mode.
C'est exactement le même principe que le cheat mode: des gens s'en servent, d'autres trouvent ça nul.
[^] # Re: il faudrait rectifier par des jeux gratuits
Posté par octane . En réponse au journal Comment les jeux gratuits font payer leurs utilisateurs. Évalué à 5.
Quand tu es jeune, tu as du temps, mais pas d'argent: tu es prêt à t'y reprendre à 42 fois pour passer un niveau, ou battre un donjon pour acquérir l'épée du destin.
Quand tu es moins jeune, coincé entre le métro, le boulot et le manque de dodo, tu as moins de temps, et plus d'argent. Donc tu tentes deux fois la quête, et tu es prêt à payer pour passer à un niveau pour profiter d'un nouveau décor/avatar/etc.. Et si tu peux payer pour avoir l'épée du destin qui permet de marraver la gueule au premier troll venu, alors tu payes avec plaisir.
[^] # Re: Machine virtuelle de développement
Posté par octane . En réponse à la dépêche Retour sur l'appel à contributions de LinuxFr.org. Évalué à 3.
Je n'ai jamais tenté httpfs. Et puis le fait que boot.kernel.org soit down ne me donne pas beaucoup de confiance dans le procédé.
J'ai beaucoup essayé avec sshfs par contre, avant d'aboutir à la conclusion que ce n'est pas possible. sshfs a besoin de fuse pour fonctionner. Dans l'initrd, on peut tout à fait monter un filesystem en sshfs, par contre le pivot_root échoue lamentablement.
Le problème c'est que fuse lance un process user space, et que le pivot_root ne supporte pas ce genre de truc. Il faut que le montage de la racine soit maintenu à 100% par le noyau sans dépendre d'un process si on veut lancer le /sbin/init correctement.
Mais httpfs ça reste dans la TODO-list de mes projets.
[^] # Re: Machine virtuelle de développement
Posté par octane . En réponse à la dépêche Retour sur l'appel à contributions de LinuxFr.org. Évalué à 4.
Question (peut-être bête).
On sait booter par le réseau sur des machines en httpfs ( http://web.archive.org/web/20110726215923/http://boot.kernel.org/ ) par exemple.
On pourrait donc imaginer un site miroir de linuxfr (ou linuxfr carrément), et juste un boot local dans un KVM qui irait monter l'arborescence de linuxfr pour démarrer. L'arbo de linuxfr serait monté en ro, et avec un petit coup de unionfs dans un fichier local, l'user pourrait faire toutes les modifs qu'il veut.
Donc pourquoi on ferait pas ça, plutôt qu'une grosse machine virtuelle à télécharger qui prend de la BP (je reconnais et salue le travail de zedS au passage). Ca permettrait d'être synchro avec le site officiel en plus.
[^] # Re: Deux idées
Posté par octane . En réponse au journal [non-troll] Faire confiance à (N)S(A)ELinux ou aux *BSD ?. Évalué à 2.
Qosmos fait surtout du logging pour permettre aux gentils gouvernements respectueux des droits de l'homme et de la liberté de pouvoir surveiller les vils pédonazis voleurs de pains au chocolat. Donc bon, c'est bof.
[^] # Re: Deux idées
Posté par octane . En réponse au journal [non-troll] Faire confiance à (N)S(A)ELinux ou aux *BSD ?. Évalué à 2.
Ca existe encore? C'est pas mort, enterré sous 18 pieds de terre?
http://l7-filter.clearfoundation.com/
derniere info: 2011.
Et puis ça ne fait pas de l'analyse protocolaire, ça fait de la reconnaissance d'appli.
Je cherche un truc qui puisse, sans proxy, faire des règles du style:
iptables -A FORWARD -p tcp --proto HTTP -m match --user-agent "*Internet explorer*" -j DROP
-> Je ne spécifie pas le port, juste le proto, et je matche sur ce que je veux dans le protocole.
Ou des trucs comme
iptables -A FORWARD -p tcp --proto HTTP -m match --server-version -j REMOVE "server-version"
[^] # Re: Réponse
Posté par octane . En réponse à la dépêche Première mise en demeure pour l'association LinuxFr. Évalué à 5.
linkoe : mouhahahahahah :-)
C'est de bonne guerre après le linuxrf
[^] # Re: Ils ont de l'humour
Posté par octane . En réponse à la dépêche Première mise en demeure pour l'association LinuxFr. Évalué à 9.
Juste énorme!
L'histoire est quand même navrante à tout point de vue, mais entre les commentaires sur linuxfr et twitter, qu'est ce qu'on rigole :-)
[^] # Re: La filière technique et managériale
Posté par octane . En réponse au journal [HS] Développeur un peu perdu… ou pas… Que faire maintenant ? Changer de vie ?. Évalué à 6.
C'est vieux et du temps a passé, mais concernant la formation, je me rends compte qu'il n'y a aucun enjeu.
L'excuse du "trop qualifié", c'est "vu la misère qu'on va te payer, tu vas partir en courant".
Pour devenir chef de projet, oué, mais en changeant d'entreprise pour espérer un +20%. En restant dans la même boîte, tu conserves le même salaire, et souvent le même intitulé de poste, donc très difficile à vendre ensuite: "vous me dites être chef de projet, mais votre feuille de paye indique développeur junior, expliquez moi ça"
# La filière technique et managériale
Posté par octane . En réponse au journal [HS] Développeur un peu perdu… ou pas… Que faire maintenant ? Changer de vie ?. Évalué à 10.
J'avais écrit il y a quelque temps un journal: https://linuxfr.org/users/octane/journaux/programmez-vous-chez-vous
Depuis, je n'ai pas vraiment changé d'avis. Je code toujours, et comme toi, j'ai des missions de pissage de code. Et je ne code plus chez moi le soir, je traîne un peu sur internet, mais c'est tout.
On m'a souvent dit qu'il fallait absolument prendre la direction du management pour évoluer. Mais tous les gens que je connais qui sont devenu manager (pas qu'en informatique, aussi en ingénieur automobile par exemple) disent la même chose: manager, ce n'est plus coder (ou concevoir de l'usinage de pièces par exemple).
Tu fais de la paperasse, tu manages des gens, tu fais des tableaux de bord et des compte rendus, tu participes à plein de réunions, tu dois lécher un peu le N+1 pour avoir de l'info, tu dois te mettre bien avec la secrétaire du big boss pour avoir l'info avant les autres, etc, etc.. Ton métier initial? Éventuellement, tu peux choisir d'en faire encore un peu, mais ne rêve pas, tu n'est plus un grouillot d'exécutant, tu es un chef, un patron, un manager (à lire d'un air ironique).
Je crois qu'il n'y a pas de solution simple à ce problème. Le problème de l'info, c'est que c'est un peu trop théorisé aujourd'hui, que tout le monde est ingénieur, et que tout s'externalise.
Tout le monde est ingénieur: tu te retrouves à faire du boulot de sans diplôme, et c'est la jungle pour faire passer ses idées.
Tout est trop théorisé: en gros, on calcule des jours/hommes et le produit doit être fini.
tout s'externalise: tu es sous les directives de différents donneurs d'ordres qui s'en branlent de ton boulot, ils veulent juste le respect des délais, des livraisons et du payement.
Il parait qu'aux US les deux filières existent: la première technique, la seconde managériale. Et avoir 50 ans et coder c'est naturel pour eux, et c'est une expertise reconnue et qu'il faut écouter. En france, si as 30 ans tu n'es pas manager, c'est que tu es un raté qui culminera à 2000euros/mois dans le meilleur des cas.
# et le nom?
Posté par octane . En réponse au journal tontoncloud, tentative d'auto-hébergement #pourlesnuls.. Évalué à 8.
J'aurais bien choisi Dans Ton Cloud, pour faire des réparties pleines de finesse et de bon goût.
# moué.
Posté par octane . En réponse au journal [HS] Mediapart victime d'une attaque informatique. Évalué à -1.
Ca sent un peu le coup de buzz quand même. Avec les gros détails: "de 12h53 à 15h49" et le fait qu'une petite quantité de RIBs ont pu sortir.
Allez, je la fais longue, c'est sûrement encore une SQL injection bidon. Les admins l'ont vu (bravo sincère à eux), et ils ont bloqué le bouzin. Pas de quoi en faire un fromage.
Je peux faire pareil, hein: "Mon admin à courageusement résisté à des centaines d'attaques provenant de hacker chinois" car j'ai vu passer un scan de port sur mon firewall et un ssh scan.
[^] # Re: Pyramide
Posté par octane . En réponse au journal PKI open source: retours d'experience ?. Évalué à 7.
Non. C'est plus compliqué et plus simple que ça. Le système actuel repose sur la confiance que tu places envers les autorités. Confiance dans le choix des algos, dans leurs implémentations, dans leur sécurité interne et dans leur mécanisme de délivrance de certificats.
Or, on s'aperçoit aujourd'hui que les autorités de confiance qui remplissent nos navigateurs ne sont malheureusement pas de confiances:
- Ils utilisent des algos dépassés (genre 512 bits encore récemment)
- Ils utilisent des méthodes moisies (genre signature MD5 + date + numéro de série prévisible)
- Ils se font pirater (genre diginotar)
- Ils signent n'importe quoi (même une demande pour mozilla.org provenant d'une boite mail intraçable, si, si)
- Ils disparaissent dans la nature (genre on a une CA dans le magasin, mais personne ne sait à qui elle appartient, ni qui en possède la clé)
- Ils sont trop nombreux (sérieux, pourquoi vous faites confiance à la poste turque ou a une boite thaïlandaise?)
- Ils sont plus intéressés par la vente rapide de certificats que par la vérification des demandeurs
- Ils ne fournissent pas tous OCSP (et avec des CRL de pleins de Mo, on ne les lit pas)
- etc, etc..
Donc, on peut dire que la confiance dans les CA est cassée, et donc que le mécanisme de certificat est cassé.
A part ça, si tu as vraiment confiance dans ta CA, alors le système de PKI est très efficace et marche très bien.
# Validation de l'alea
Posté par octane . En réponse au journal Analyser la génération de nombre aléatoire du noyau. Évalué à 6.
Tu parles en effet de preuve de code et non pas preuve de l'alea.
Le fait de ne pas connaître la graine initiale dans le noyau n'est pas le seul problème. "La sécurité de ces deux algorithmes est basée sur l'hypothèse qu'un attaquant ne connait pas l'état interne du générateur (qui est donc conservé dans le noyau)." Oui, mais l'attaquant peut connaitre une longue suite de valeurs générées.
Le second problème concerne la distribution de l'alea (et là, je ressors des vieux souvenirs de cours). On sait qu'une distribution aléatoire doit avoir des propriétés. On sait que l'on a:
La moyenne des valeurs aléatoires générées doit correspondre au milieu de la plage. Si on tire un très grand nombre de valeurs aléatoires entre 0 et 1000, la moyenne doit être autour de 500.
Problème: la suite suivante répond au critère mais n'est pas aléatoire: 499,501,499,501,499,501,…
Une autre hypothèse indique que chaque valeur doit avoir une équiprobabilité de sortie. Cela permet de dégager la suite du dessus, mais la suite: 1,2,3,4,5,6,7,…,1000 est parfaitement équiprobable sur 1000 tirages, mais n'est pas aléatoire.
On peut encore vérifier les écarts entre deux tirages successifs. Etc…
Au final, on se rend compte qu'on a plusieurs moyens simples d'écarter des mauvaise suites aléatoires ce qui permet de créer des tests de conformités, mais qu'on a pas de moyen sûr de prouver la bonne qualité de l'aléatoire. A l'époque mon prof ne jurait que par les sources hardwares de "bruit" et démontait systématiquement les sources purement logicielles.
[^] # Re: la sobriété
Posté par octane . En réponse au sondage Selon vous, quel est l'avantage d'un système libre type GNU/Linux sur un ordinateur de bureau ?. Évalué à -10.
J'ai un firefox récent (iceweasel? mouhahahah). Un chrome. Un metasploit qui n'existe pas dans les depots debian. D'autres outils dont la mise à jour auto marche mieux que les packages debian qui viennent seulement les nuits de pleine lune. Un acrobat reader sous linux (rigolez pas, je souffre). Et j'ai eu a utiliser une lib en version plus récente que celle packagée, donc tout à la mano.
Bref, un gros bouzin a mettre à jour.
En fait, ça ressemble à windows pour le coup. Un OS et quelques applicatifs qui se mettent à jour, le reste c'est à la va comme je te pousse.
[^] # Re: la sobriété
Posté par octane . En réponse au sondage Selon vous, quel est l'avantage d'un système libre type GNU/Linux sur un ordinateur de bureau ?. Évalué à 1. Dernière modification le 18 mars 2013 à 15:47.
J'ai une debian, et:
Euh, bah sous debian c'est au moins une fois par semaine, et de temps en temps tous les jours, donc bon.
bwahahah, sous debian (encore), le réseau nfs se monte avant dnsmasq. Et comme mes résolutions de noms fonctionnent avec dnsmasq, ça pète à tous les démarrages. Mais là, ça tombe bien car je veux les monter à la demande. On va appeler ça une feature, donc.
Ah, oui, et là mon karma va en prendre un coup car sur linuxfr, il y a pire que de faire un journal sur le féminisme: c'est dire du mal de debian. (joke, troll, vendredi, toussa, patapé)
[^] # Re: Sur l'extension des genres grammaticaux en français
Posté par octane . En réponse au journal [Attention, journal bookmark ET féministe] Tiens, prends ça, tu le mérites !. Évalué à 7.
Bwahahah.
Etymologie de sage-femme: sage dans le sens, savoir, connaissance. Donc une personne qui connait bien les femmes. Ca tombe bien, elles sont consultées dans le cadre des accouchements qui est quand même plutôt féminin de manière générale.
Mais rien n'empêche qu'un homme ait une connaissance sur l'accouchement. Donc un homme sage-femme, ça ne me choque pas. Même si on entend parler de maïeuticien, allez donc chercher l'étymologie, c'est rigolo aussi.
[^] # Re: 1181
Posté par octane . En réponse à la dépêche Jeudi du libre de mars 2013 à Lyon : sécurisez vos communications avec OpenPGP. Évalué à 2.
Pour ceux qui moinssent le commentaire du dessus, voici l'explication :
http://xkcd.com/1181/
[^] # Re: Une blague
Posté par octane . En réponse au journal Davfi, le premier antivirus libre français.. Évalué à 6.
Oui, et le coup de 'je bloque tout ce qui n'est pas connu et n'autorise que ce qui est explicitement autorisé', ça ne serait pas le fonctionnement de bit9?
https://www.bit9.com/
C'est mal de se moquer, mais ils se sont fait pirater. La raison? Ils n'utilisent pas leurs propres produits sur leurs serveurs, et n'ont donc pas pu empêcher un pirate de leur voler leur clé de signature. Le pirate a donc pu signer du malware et le faire exécuter sur des machines protégées par Bit9 :-)