oinkoink_daotter a écrit 1695 commentaires

Visiblement, c'est un recrutement géré par la filiale US (au moins au niveau de l'outil de gestion des candidatures) et c'est non seulement autorisé là bas mais assez courant.

C'est ce que je me suis dit en voyant la liste des choix proposés. En l'espèce, je pense que c'est un effet de bord de l'Affirmative Action.

Il faut qu'il y re-retourne car la forme correcte pour la négation est "ne … pas". :-)

Faudrait plus de détails pour savoir si l'équipe QA a réellement régressé ou non. Personnellement je n'en suis pas convaincu.

En 2014 : https://www.networkworld.com/article/2453929/microsoft-subnet/would-microsoft-really-cut-its-qa-department.html
En 2017 : https://www.extremetech.com/computing/246685-microsoft-claims-10-million-fans-help-test-windows-10-but-its-sure-got-a-funny-definition-of-that-word

C'est regrettable mais cela arrive. D'autant plus quand tu as un parc qui se chiffre en millions d'utilisateurs qui ont tous des configurations matérielles, logicielles et des cas d'usage très différents les uns des autres.

J'ai l'impression quand même que l'équipe QA a fait les frais de l'arrivée de Satya. Les foirades de ce niveau n'étaient pas si communes il y a quelques années.

Sur Windows, le bloc notes a toujours été une catastrophe

Ben historiquement, notepad, c'est un CEdit avec une fonction d'ouverture, d'enregistrement et une fonction d'annulation sommaire. Le reste ce sont des contrôles natifs du CEdit. De mémoire, sous NT4/2000 il était même limité à des fichiers de 64ko max. Tout ça pour dire que je ne crois que quiconque n'ait jamais vendu ce truc comme un concurrent à quoi que ce soit.

Sosh et RED proposent un abonnement où la TV est en option. Mais je pense que la box est la même, c'est juste que la TV n'est pas activée.

Non, pour sosh, ce sont deux box. Il te faut la partie "set top box" pour avoir la TV, ou alors passer par leur TV HDMI toute pourrie.

Par contre en voyant toutes ces cartes, je ne vois pas comment les routeurs (les vrai) peuvent continuer d'être vendu avec de vulgaire dualcore.

Ben parce que leurs specs permettent de faire ce pourquoi ils sont vendus. Sur des séries à des millions d'exemplaires, chaque dollar de gagné sur les appros est un dollar dans la popoche.
C'est la base du commerce.

Signal disent qu’ils n’ont aucune connaissance des numéros car l’application n’envoie au serveur que des hashs des numéros

Vue l'entropie moisie des numéros de téléphone, envoyer un hash de numéro de téléphone est à peu de choses près équivalent à le balancer en clair. Je ne dis pas que c'est grave, mais c'est quelque chose à garder en tête.

il achète des contrats et du personnel; les contrats ne tiendront pas longtemps sans le personnel de RedHat,

Dans ces cas là, au moment du rachat, on intéresse financièrement les personnels clef à rester X années.

Je ne vois pas trop ce que tu veux dire. La plupart doivent correspondre à ce critère.

Le font il bien ? Il s'agit d'avoir une bonne assurance de ça. Par exemple, est il possible quand tu fais une opération de signature, tu ne signes que ce que tu penses signer et pas autre chose, genre t'as pas une vulnérabilité béante qui fait qu'il est possible quand tu signes un PDF d'ordre de virement en 1 vers A il te fait signer un virement de 10 vers B.

Ben, tu prends celle du HSM

Comment tu t'assures de la qualité des clefs qui sont dans le HSM ? Et de la PKI qui va autour ? Il ne s'agirait pas d'utiliser des clefs faibles parce que l'on a utilisé une entropie toute naze.

Ça aussi, la plupart des softs doivent le faire.

…

Certitude de quoi ?

Il faudrait que tu regardes un peu le RGS, je pense. Toute la logique y est expliquée et notamment les niveaux d'assurance. Je peux te dire que pour avoir une signature équivalente niveau preuve à une signature manuscrite (le ***), on tape dans du dur.

En fait, je m'étonnais justement du faible nombre de trace vis à vis de RGS dans le monde du libre.

Le problème du "libre" sur ces sujets, c'est que personne ne porte le sujet de la compliance à quelque norme que ce soit.
Dans le cas du RGS, il faut en plus s'assurer que la solution complète tienne la route. Dans l'exemple du lecteur de PDF : token+drivers, soft PDF, PKI, etc. Donc l'intégrateur doit s'y coller.

le libre est souvent en avance sur la sécurité (notamment le chiffrement, du fait de la difficulté d'avoir un code qui est exempt d'exploit).

Je ne vois pas sur quoi tu peux te fonder pour balancer une affirmation de ce genre. Sur la crypto, wat ? Sur les codes exempts d'exploits, je rappelle que ce n'est pas parce qu'un code est ouvert qu'on le regarde. Ex. OpenSSL et ses multiples déboires, XEN et ses XSA monstrueux, etc.

Le fonctionnement de RGS encourage des comportements dangereux,

C'est le cas de n'importe quel truc un peu contraignant. On peut aussi ne rien faire et laisser n'importe qui signer n'importe quoi avec mupdf dans la joie et la bonne humeur.

Du coup in fine, quand il y aura contestation judiciaire (parce qu'il s'agit bien de cela, le RGS est là pour apporter une preuve) ça sera compliqué.

Oui, c'est de la preuve, cf mon post du dessus.
Avec un bricolage à base de mupdf, même si techniquement ça fonctionne, tu t'auto-démolis juridiquement.

J'ai créé ce journal pour aborder l'aspect open-source des implémentations.

Et du coup, qu'est ce que tu veux que l'on te dise, exactement ?
La compatibilité avec le RGS passe par une certification variable sur une base d'exigences. A priori, il n'y a pas de solutions libres avec le tampon kivabien.

C'est regrettable, mais c'est ainsi, that's law.

Alors pardonnez moi du peu. je crains que les garanties n'engages que ceux qui y croient !

Ben en l'espèce, ça ne semble pas être un problème de RGS, mais plus un problème de sécu opérationnelle.

mupdf permet de signer et valider qu'un PDF est signé par exemple

Il y a des millions de logiciels qui permettent de signer des PDF. Le tout est d'en trouver un qui fasse ça suffisamment proprement pour que ce soit compatible du RGS.

Je cite (RGS v2, annexe A1 v3, page 5, L28-30) :"La mise en œuvre d’un procédé de signature électronique respectant les exigences définies pour le niveau *** permet de bénéficier de la présomption de fiabilité du procédé de signature telle que prévue dans l’article 1316-4 du code civil."

Traduction : il faut taper dans du *** pour avoir une valeur probante équivalente à une signature manuscrite originale. C'est WTF, mais c'est comme ça.

Le RGS pour la signature c'est 1) un logiciel qui ne fait pas n'importe quoi, 2) avec des clefs qui ne viennent pas de n'importe où, 3) en utilisant plus ou moins une fonction crypto de confiance, 4) avec un certain niveau de certitude.

Entre le * et le ***, les critères varient et le niveau d'assurance, mais avec mupdf, on peut signer, mais de ce que j'en vois, ça ne pourrait même pas être sur le radar du RGS.

(… Mais encore faut-il être sur qu'on a besoin d'un tampon RGS)

Ce n'est pas plus forcé qu'avec un système multimédia bricolé par un sous-traitant de PSA.

Le GDPR est là komem.
Il me tarde que les voitures refusent de démarrer tant que l'on n'a pas accepté les TOS <3

Au hasard :

• un décideur s'est fait plaisir (peut être influencé par un commercial) et a mis en place une solution certifiée/évaluée/qualifiée alors qu'il n'y en avait pas besoin
• il n'existe pas de solution libre conforme et certifiée comme telle répondant au niveau d'exigence retenu/imposé vis à vis du RGS (il y a des exigences différentes quand on vise le une ou trois étoiles)

MS fait machine arrière et va lécher ses plaies en compagnie de son brouteur dont tout le monde se fiche : https://www.neowin.net/news/microsoft-ditches-warning-against-installing-rival-browsers-in-latest-windows-10-build

je pense que j'entendrais les coups de fouet claquer à chaque fois que je devrais taper ces mots.

Pour resituer, l'abolition de l'esclavage aux USA, c'était il y a 135 ans, à la fin de la guerre de Sécession, soit à peu près 5 générations, si on met 30 ans dans une génération, ce qui est beaucoup. Je pense sincèrement que pour une très très grande partie des descendants des concernés, ça ne doit plus claquer très fort.

-oups doublon-

Il y a quand même un truc : ce n'est pas parce que quelqu'un se sent offensé par quelque chose que ce quelque chose doit être changé. Ici, le terme maître/esclave tel qu'utilisé en informatique me semble assez éloigné niveau sens des plantations et des champs de coton.

c'est que la plupart des grands journaux (et en particulier ceux qui sont détenus par les dits milliardaires) ont la même opinion, à quelques nuances près.

Le figaro, Le Monde et Libé ne sont pas d'accord sur grand chose, hein.

maintenant un iPhone concurrence complètement un Reflex, chose impensable il y a encore quelques années (double capteur f/1.8 et zoom optique f/2.4, smart HDR, neural engine…)

Euh … non. Déjà un, y a pas vraiment de zoom, donc ça reste grand angle only, il ne faut pas l'oublier (même avec le "x2"). Deux, même si ça s'améliore de génération en génération, les photos de nuit restent très bruitées. Trois, autant la profondeur de champ à postériori ça peut être rigolo, autant non, la gestion de la profondeur de champ n'arrive pas au niveau d'un reflex et ça n'y arrivera jamais très bien. Je m'explique. L'iPhone "mesure" la distance entre l'objectif et l'image pour déterminer le sujet et l'arrière plan puis il bricole un truc pour créer un flou à l'arrière plan, soit en prenant une photo hors zone de focus avec le deuxième objectif, soit en floutant lui même (avec le Xr?). Le truc c'est que le détourage du premier plan ne marche pas super, notamment :

• quand les cheveux ne sont pas plaqués contre le visage (sur un portrait humain);
• au niveau des limites des objets (exemple entre un verre et l'arrière plan, on voit bien ou il a bricolé);
• quand il y a autre chose qu'un visage au premier plan, par exemple avec un mur à gauche de la photo et un visage à droite, il va flouter le mur même s'il est dans le même plan focal que le visage.

Donc on final, ça fait des trucs très sympa, mais avec des aberrations quand on sait quoi chercher.
Je resterai prudent quand on compare au reflex…

C'est du SIM + eSIM …

Sauf pour le Max sur les version CN si on veut ergoter.
A priori pas de support en France pour la eSIM pour le moment. Ce qui est normal puisque ça n'arrange pas du tout du tout les opérateurs.

Non, pas un traitre mot. Ce qui est normal puisque pour le moment il n'y a pas de produit.

Ca peut aussi être parce que le clavier s'est blo