octane a écrit 716 commentaires

pommes de terre au four
font un gratin dauphinois
et les premier froids

Un haïku (俳句, haiku?) est un poème d'origine japonaise extrêmement bref, célébrant l'évanescence des choses et les sensations qu'elles suscitent. Un haïku évoque généralement une saison (le kigo) et comporte souvent une césure (le kireji). Il est composé en principe de 17 mores réparties en trois vers suivant un schéma 5/7/5.

(merci wikipedia :) )

J'avais vu un projet qui semblait bien: https://github.com/flesueur/mi-lxc

J'ai finalement pas pu tester, mais la doc faisait vraiment envie. Tu as un réseau complet, avec des services sur certaines machines, tu peux faire du routage, ajouter des démons, etc… etc..

j'avais entendu plusieurs fois l'histoire de l'interrupteur "magic"/"more magic", mais le voir en vrai, ça fait quelque chose:

tout lier statiquement ;

Ca résoud pas toujours tout. Des fois, on compile statiquement, on envoie sur le système cible, et là:

FATAL: kernel too old

et pouf.

C'est quoi ton parfum de glace préféré ?

OOOOH!!

Faudrait se poser des questions… 😀

wopitain!!! j'ai peut-être des supers-pouvoirs \o/ allez, superman, viens on va se battre! je vais te mettre la misère (bon, tant qu'il s'agit de faire consommer du CPU, on va éviter le regard laser dans un premier temps).

Saitama, je te prends juste après!

Je suis pas d'accord. Le BIOS n'est pas "le plus sensible en terme de sécurité".

ok, du coup tu dirais quoi? (puisque bon, BIOS corrompu == plein de complications pénibles à gérer ensuite)

Il ne traite pas des données complexes venant du réseau

genre iLO? (management réseau)

sauf dans l'esprit enfiévré d'une partie de la communauté du libre qui pense que la NSA et le Mossad s'intéresse à eux

Le paranoïaque est il le seul à penser l'être suffisamment?

ah ça m'intéresse. Pour info, quand ça freeze, est-ce que le curseur de souris bougeait? Et est-ce qu'il était possible de retourner à une console texte (ctrl-alt-F1) ?

c'est toujours l'échec :-(

octane@syncli:~$ cat /etc/default/keyboard 
# KEYBOARD CONFIGURATION FILE

# Consult the keyboard(5) manual page.

XKBMODEL="macbook79"
XKBLAYOUT="fr"
XKBVARIANT="mac"
XKBOPTIONS="lv3:ralt_switch,compose:rwin"

BACKSPACE="guess"
octane@syncli:~$ grep KEYMAP /etc/initramfs-tools/initramfs.conf 
# KEYMAP: [ y | n ]
KEYMAP=y
octane@syncli:~$

J'ai relancé update-initramfs -u, mais toujours rien :-/

A chaque reboot, je me log, puis je tape:

setxkbmap -model macbook79 -layout fr -option "lv3:ralt_switch"
ça marche, mais c'est pénible :-/

Quand j'étais sous Debian, j'utilisais « dpkg-reconfigure keyboard-configuration » pour changer le mapping du clavier.

bah oui, mais non. Ca ne résiste pas à un reboot. Y'a forcément un fichier de config dans lequel est stocké le layout, mais je ne trouve pas lequel.

edit:précision En ligne de commande en tant que root (précision vraisemblablement inutile).

:-)

Une autre solution consiste à créer un fichier de (re-)configuration du clavier qui sera utilisé par la commande xmodmap

Bin je suis très content du fichier de configuration du clavier :-) je veux juste qu'il soit choisi au boot, en console et en graphique plutôt que le PC105

J'utilise un raspi3 alimenté par une prise USB de la freebox. Ca fait son job. Je m'en sers comme bastion VPN/SSH, et c'est laaaaaargement suffisant.
J'ai mis une carte SD de 16Go, je backup de temps en temps le rapsi en l'éteignant, dd la carte SD depuis un PC de bureau, puis je le rallume. C'est pratique :-)

Comparaison hautement fallacieuse: pratiquement personne ne "choisit" Windows. Il est installé sur ton ordinateur quand tu l'achètes.

parceque tu choisis systemd quand tu prends debian, redhat, etc? Il est installé avec ta distro. Qui parle de comparaison fallacieuse?

-des mainteneurs de distros, qui ont dû fournir un travail pour intégrer systemd en remplacement d'init dans leurs distros respectives, c'est pas comme si c'était arrivé brutalement un matin ou qu'ils avaient été victimes de mesures coercitives

Que le bazar des scripts shells et runlevels foireux aient été un problème, personne ne le nie je crois. Qu'on te dise que ton /usr va devenir hermetic, monolithique, et RO, parceque le développeur d'un système d'init pense que c'est le mieux, ça va un poil trop loin.

-les clients de RH

mais ils s'en br*anlent les client de RH du système d'init. On aurait pu leur coller un init quelconque, ils s'en fichent. Ca leur fait pas lever le sourcil plus haut que lors du passage d'un initrd à un initramfs. ou de /etc/machin.conf à /etc/machin.d/

Dans le temps on choisissait linux, et on se heurtait à ce fameux "bon sens". Si tout le monde choisit windows, c'est qu'ils sont pas débiles, pourquoi tu t'acharnes à vouloir utiliser ton jouet?

Maintenant, on a les mêmes remarques sur linux.

"il ne prend pas la mesure de ses projets"

ben….

https://0pointer.net/blog/fitting-everything-together.html

"we did not publicly communicate a broader vision of how they should all fit together in the long run."

"from my personal perspective"

"explain how I personally would build an OS and where I personally think OS development with Linux should go."

"I kept wondering, how would I actually build an OS"

etc, etc…

Ce qui est globalement le reproche qui lui est fait. Il voit un problème par son petit bout de lorgnette, il le résout pour lui. Comme il est pas bête (aucune ironie ici), il regarde l'existant, en extrait ses défauts, puis annonce sa solution comme étant la meilleure. Et c'est là ou on est pas forcément d'accord.

Ca me rappelle un développeur gnome qui faisait tout à sa sauce. Les gens râlaient, et lui continuait sur sa lancée, sûr de lui et de ses solutions. Alors certes, il bossait (beaucoup), mais est-ce vraiment la bonne manière d'avancer?

Et c'est là ou on se rend compte que la qualité d'un antivirus est très subjective :D

Pour des raisons très compréhensibles, on ne va pas mettre des virus à tester. Du coup, comment tester la qualité des AV? Bah on a EICAR mais là, tous les AV le détectent, donc au mieux on vérifie juste que l'AV est démarré (ce qui est dejà pas mal).

Et même si on tombe sur un set de fichiers vérolés et qu'on le teste, est-ce que c'est un bon AV? Il a bloqué des trucs connus, donc c'est bien, mais il réagira comment face à un nouveau virus?

enfin tout ça pour dire que tester un AV avec un script shell, je vois pas trop comment ça peut faire l'affaire

Tu veux tester quoi? Vérifier que la solution fonctionne?

Bah donne à manger des fichiers à ton antivirus?
Est-ce qu'il y a une CLI pour ton antivirus? Genre:

$ scan <file>
du coup, tu fais:

$ for file in directory/* ; do scan $file ; done
puis regarde les logs de sortie, mais faut voir comment réagit l'antivirus, ce que tu veux tester (le nombre de faux positifs, le nombre de faux négatifs, le taux de couverture (par rapport à quelle référence?), etc…)

je vais me faire l'avocat du diable, mais il parle de pyenv. Du coup tu dis:

c'est tout de même mieux qu'un code hébergé sur un dépôt github dont on ignore la maîtrise.

Or, pyenv est hébergé sur github. Donc faire curl github.com/pyenv | bash c'est mal. Mais faire git clone github.com/pyenv && pyenv/bin/pyenv c'est plus sécurisé?

Malheureusement si tu veux tester un logiciel, tu vas tôt ou tard lancer un binaire précompilé, ou un script que tu n'auras pas relu.

Maintenant, ouais, je hurle contre le curl | bash pour plein d'autres raisons. Mais là, ce qui m'ennuie c'est que ça devient du cargo cult, tout le monde dit que c'est mal, tout le monde hurle en expliquant que c'est mal mais plus personne ne donne vraiment de raisons. Petite histoire : j'ai connu des devs qui refusaient absolument d'utiliser strcpy (c'est bien) mais sans avoir compris les raisons. Du coup, on voyait des contorsions assez tordues dans des cas idiots, genre strncpy(dst, src, strlen(src)); [CRANE D'OCTANE QUI SE FRACASSE CONTRE LE CLAVIER QUAND IL LIT CA EN CODE REVIEW].

Enfin voilà, tout ça pour dire que curl | bash faut pas utiliser, mais faut pas se bercer d'illusions non plus sur les paquets de la distro magiquement vérifiés.

Si cet éditeur se fait pirater au point de se faire voler sa clé privée, il lui suffit de révoquer son certificat publiquement, et le gestionnaire de paquets ne fera plus confiance aux paquets signés par lui.

Parceque se pose la question du code review de l'éditeur. Et si le maintener[1] fait un git clone && debuild etc… alors le risque d'apt-get install pyenv est il plus faible qu'un curl | bash ? En vrai? Et comment as tu vérifié que le maintener a bien géré l'install? C'est pas en faisant confiance à son certificat….

[1] no shame pour le maintener je sais que c'est un boulot difficile

j'ai pas mal utilisé tes tutos pour faire des petites vidéos avec mes neveux :-)

Là, je bute sur un truc que je n'arrive pas à faire: un kamehameha (ou un hadoken pour les fans de jeux de baston).

Autant mettre un bonhomme sur un fond vert, puis incruster le bonhomme dans une scène y'a des tutos (dont un des tiens, merci), autant ajouter un effet comme un kamehameha ou des éclairs ou de le fumée, je vois pas (?). Faut trouver une base d'effet sur fond vert? Mais ça se trouve où?

En gros, tu peux.

1ere méthode, risquée:

WARNING: il existe un risque de perte totale de données. Use at your own risk, disclaimer, attention, et tout ce genre de choses.

Tu supprimes ta partition de 74Go (si si). Tu en crées une nouvelle de 320Go. Tu utilises resize2fs ensuite. Et hop.

cf https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/6/html/storage_administration_guide/ext4grow

Fin du WARNING: il existe un risque de perte totale de données. Use at your own risk, disclaimer, attention, et tout ce genre de choses.

2eme méthode, easy:

Tu crées une deuxième partition. Tu la formattes, tu la mount quelque part (/home ? /stockage ?, enfin un peu ou tu veux)

3eme méthode, safe, longue et pénible:
Tu backup tout, tu formattes tout, tu recrées une partition de 320Go, tu restaures la sauvegarde.

PS: pourquoi mettre une photo sur un google drive? Je clique pas sur ce genre de trucs :-/

Au boulot nous utilisions l'outil d'Intel, en version 2016. Le process est simple, il suffit de prendre le binaire de notre programme, le lancer avec Inspector et les bons paramètres, puis de regarder les erreurs qu'il remonte. Évidemment il ne remonte rien puisque nous développons parfaitement {{À prouver}}.

ça veut dire qu'il fonctionne sur un binaire dont on a pas les sources? Genre un vieux truc qui pète de temps en temps, je le monitor avec Inspector, je lui envoie du data random et je regarde quand est-ce qu'il crash? Ca peut être pas mal pour trouver un corner case un peu cheulou?

Ou alors il faut malgré tout recompiler le binaire? (pour un fuzzing un peu dumb ça pourrait être bien aussi, là j'ai ASAN qui est bien mais je testerai bien d'autres tools :) )

il y a eu beaucoup de discussions, et dans les faits, il est impossible d'arriver au niveau de confiance d'un vote papier dans une urne.

Il y a beaucoup de problèmes à résoudre.

Bien évidemment, il faut que la machine compte correctement et honnêtement les votes. Il y a eu plein de propositions, mais aucune ne marche en vrai (je fais volontairement court, car la sécurité de la machine à voter, même déco d'internet, n'est pas garantie mais je rentre pas dans ce débat).

Ensuite, il faut éviter l'achat de vote, ou le vote sous contrainte. Si la machine te fournit un identifiant unique permettant de vérifier la prise en compte de ton vote pour le bon candidat, cela ouvre la porte à la coercition car un tiers pourra vérifier que tu as "bien" voté.

Enfin, il faut que le vote reste compréhensible. Une urne, un papier, on compte on recompte, on a un tas de bulletins, ça reste clair compréhensible et vérifiable par n'importe quel citoyen. Devoir lire trois thèses sur la prouvabilité mathématique d'une élection puis du code informatique embarqué, c'est moins simple, et du coup c'est opaque (indépendamment de la bonne foi de la preuve).

Et surtout, quel problème veut-on résoudre avec les machines à voter? La rapidité? On a les résultats 2h avant la fin du scrutin, explique moi comment aller plus vite avec une machine à voter? (sarcasme: on le saura depuis la veille car elles seront truquées haha).

intéressant, merci

Déjà les tests techniques sur papier/tableau blanc c'est ridicule, PERSONNE ne développe dans cette situation.

Je parlais pas d'un tableau blanc, mais d'un PC devant lequel on te colle pour faire un exo. Après, un tableau blanc pour écrire du pseudo code, ça peut aussi le faire.

Et sur la façon de procéder par l'OP de l'article, j'appelle ça "faire travailler quelqu'un gratos". Alors oui, il confronte le candidat à ce qu'il va vraiment devoir affronter s'il est engagé. Mais en attendant, il gagne potentiellement 4/6H de travail non-rémunéré.

N'exagérons pas. Je parle de petites épreuves qui ont été travaillées par l'équipe de recrutement. Et je m'attends pas à retrouver le code produit dans un logiciel (Et imaginer qu'une boite puisse sortir un logiciel uniquement en comptant sur les recrutements, ça me parait assez bancal).

A côté de ça, peaufiner ton CV et ta lettre de motivation ça a du demander quelques heures? (enfin, c'est ce que j'ai fait plusieurs fois pour des postes, se renseigner sur la boite, etc..). Donc bon, publier quelques lignes de code et les expliquer, ça me parait pas le bout du monde.

Et pour le côté "gratos", est-ce que tu vas parler de tes expériences dans l'ancienne boîte? Des projets en cours? Des clients? De contrats chiffrés? D'un organigramme? Ce genre d'infos ça vaut largement plus que 4h de dev à mon avis…