Benoît Sibaud a écrit 10019 commentaires

Modifications faites.

Préface modifiée, merci.

NdA: Cet article est une traduction de l'article suivant : How open should your open source be ?

Quelle est la licence de l'article initial pour vérifier si la publication de la traduction est possible (hors accord de l'auteur) ?

• mon premier MiXiT en 2022 (et je regrette de n'avoir pu m'y rendre cette année)
• une autre intervention que j'avais mentionnée dans les liens : Tout ce que vous n'avez jamais voulu savoir sur les fuseaux horaires
• l'étiquette mixit aide à retrouver les infos sur cette conférence

NdM: premier lien BIMI remplacé par une page Wikipédia, le site initial figurant dans notre liste de blocage, probablement en raison d'un souci de spam/SEO précédent.

En supposant que tes présupposés soient vrais (hypothèse), il y aurait encore deux pistes :
- la curative fataliste : changeons les gens, révolution/guillotine/prison/bannissement/inéligibilité/CDD/… plein de moyens possibles
- la préventive optimiste : mettre en place des réducteurs/annulateurs de comportements nocifs, du type justice efficace et rapide, rejet fort de la corruption et des casseroles, approche scandinave de la démocratie, coopération plutôt que compétition, etc.

Sinon concernant l'hypothèse, si un système est parfait, les gens qui sont dedans ne le sont pas forcément, il faut éviter de lire tous pourris, car ça on sait scientifiquement que c'est faux (créature sociale, empathie, vie en société, entraide dans les crises, etc.). Ça ressemble à la vitre cassée, ou à combien de fruits pourris faut-il pour pourrir le panier , ou aux dilemmes du prisonnier ?

Le inotify knocking, créer/supprimer les bons fichiers dans le bon ordre ?

• rotation des logs via logrotate pour notifier le processus qui produit les logs
• génération de plantages volontaires à coup de SIGILL et autres sur un processus victime
• commande kill qui sert notamment à arrêter des processus, rebelles ou non, proprement ou non (sinon faudrait demander direct au noyau de le faire à coup de magic sys requests)

• si le serveur fait miroir, les anciens paquets ne sont plus disponibles (ni comme fichiers, ni dans les métadonnées). Ex: tu veux la version libtropsecure-2.0.0-10 mais la version libtropsecure-2.0.0-11 est parue pour corriger un gros bug ou un souci de sécurité, alors l'ancien paquet va disparaître du dépôt officiel, et donc des miroirs.
• si le serveur fait cache, alors les métadonnées ne référenceront plus les anciens paquets, donc il faut générer soi-même les métadonnées, lister tous les paquets disponibles, produire les métadonnées associées et les republier (soit sans signature GPG, soit avec une autre signature GPG que le dépôt initial s'il en avait une). Ex: ton cache contiendra libtropsecure-1.0.0-1 à -11 (ou plus probablement seulement celles qui ont été téléchargées depuis ce cache), tandis que le dépôt officiel ne les contiendra plus.

On ne peut pas vraiment faire les deux simultanément… au mieux on peut avoir un cache complet, de tout ce qui a pu exister, mais les métadonnées seront différentes et potentiellement signées par une autre clé GPG, et ce cache complet contiendra certes tout ce qu'il y aurait comme paquets dans un miroir, mais aussi bien d'autres plus anciens.

(autre problématique : quand le miroir se met à jour, il peut manquer des fichiers et/ou des métadonnées suivant l'ordre de mise à jour du serveur sur lequel on se base soi-même, et qui a lui-même le même souci ; quand le cache se met à jour, lui il a déjà les fichiers, mais il doit remettre à jour les métadonnées, et en général ce n'est pas une opération atomique donc ça se voit transitoirement pour un client qui l'utiliserait en récupération de métadonnées)

(et il n'y a qu'un 'r' à miroir en français contrairement à mirror en anglais ou Mirrorseite en allemand)

Clippy apparaîtrait pour te demander si tu es vraiment sûr.e, il y aurait un captcha pour valider le clic non recommandé impliquant la résolution d'un système d'équations complexes, des conflits au Moyen-Orient et dans les Balkans, et bien évidemment l'insertion simultanée des deux clés physiques dans deux boîtiers séparés de 5m dont les clés doivent être tournées simultanément. Alors tu pourrais accéder au site de tante Catherine aux gifs bariolés de 2003 non mis à jour depuis qui présente un certificat expiré depuis 20 ans, qui est à moitié en http pour certains contenus, qui a changé de nom quand MonEspace a été racheté par GeoVilles puis par PotesDAntan puis par AdSeoSmart2000. Mais bon les liens dessus seraient cassés, les conseils datés et l'applet Java pour gérer le Flash serait indisponible. Et là naturellement tu te dirais tiens si je faisais de l'OpenPGP plutôt que du X.509, ça ne résoudra pas mes problèmes mais ça a l'air marrant.

https://en.m.wikipedia.org/wiki/Certification_path_validation_algorithm
Basé sur https://datatracker.ietf.org/doc/html/rfc5280#page-71 Certification Path Validation

Il est aussi non révoqué, correspond à ce qui a été demandé, prévu pour l'usage considéré, etc.

Cette complexité n'est pas nécessaire pour la personne lambda (un bouton Explications détaillées pourquoi pas, mais il ne peut y avoir 42 icones différentes expliquant chaque situation).

T'as une machine qui ne fait que de l'IPv6 et du TLS 1.3, qui fait relai vers un conteneur qui fait 6-to-4, pour un autre serveur qui ne fait que du TLS 1.2, qui fait relai vers un pod dans Kubernetes qui ne fait que du TLS 1.1, qui renvoie vers un Raspberry qui ne fait que HTTP 0.9 sur TLS 1.0 sans SNI, qui renvoie vers ton ILO3. Simple quoi. Comme ça tu peux accéder en IPV6 et TLS 1.3 à ton ILO3, celle qui protège ta Slackware d'origine pour le concours d'uptime.

Et d'autres, puisqu'Ansible peut aussi entrer en local dans du docker, du LXC, etc.

Corrigé, merci.

TLS c'est sur TCP, DTLS c'est sur UDP.
https://fr.wikipedia.org/wiki/Transport_Layer_Security TLS et de son équivalent en mode non-connecté UDP, la DTLS
https://fr.wikipedia.org/wiki/Datagram_Transport_Layer_Security Le protocole DTLS est basé sur le protocole TLS et fournit des garanties de sécurité similaires.

On trouve du DTLS dans les protocoles au-dessus d'UDP : pour des VPN, pour la voix/vidéo sur IP (DTLS-SRTP dans les navigateurs par exemple), pour des objets connectés avec le LWM2M, etc.

https://nitter.fdn.fr/alexiskarklins/status/1652598353308315649 plus grave, Fitch juge « Outlook stable » ?

Le sommaire ne mentionne pas DTLS et semble se concentrer sur TLS. Il est vrai qu'on trouve plus d'outils pour tester le second que le premier (je ne connais pas de testssl.sh pour DTLS par exemple), mais openssl gère les deux.

Trivial: pour faire une tresse, il faut alterner les trois, comme les sens sur une prise USB.

False

Cf la dépêche de l'année dernière https://linuxfr.org/news/adsillh-licence-pro-administration-et-developpement-de-si-a-base-de-logiciels-libres-et-hybrides#comment-1888303l

…… (*)

(*) traduction: un jour, j'ai connu un unicellulaire qui ne supportait même pas la vie hors de l'eau cet inadapté.

Les jeunes ne savent plus perforer les cartes de programmation, remplacer une pile BIOS, tresser du RJ45 ou du wifi, trouver dans quel sens brancher de l'USB-C, ne savent plus câbler du DB9 ou du DB25, n'y connaissent rien en VLB ou en ISA, ne savent pas configurer les IRQ, ne connaissent pas la suite du message LI quand ça bloque au démarrage, n'utilisent pas ed ou joe, ne lisent pas le VRML dans le texte, ne savent pas coder une applet, ne connaissent pas le format a.out, n'ont jamais redirigé des fichiers aléatoires dans /dev/dsp ou /dev/tty0, tout se perd… ils n'ont même jamais joué à mrboomer.

De tout temps les Hommes… non je rigole. Au début de l'informatique, il était difficile de saisir un caractère, d'afficher plusieurs caractères ou une ligne, d'écrire dans un fichier. Puis on a pu (dans le désordre) afficher des pages entières, avoir de la couleur, avoir un environnement graphique, gérer du réseau, gérer des imprimantes/souris/stylos optiques/tablettes graphiques/modems/…(périphérique de votre choix ici)… On a eu une RAM/ROM puis des fichiers, puis des systèmes de fichiers, puis des partitions, puis des partitions dans du chiffrement dans des volumes logiques sur des disques multiples avec du RAID. On a eu un curseur clignotant, puis un curseur qui suit une souris, puis du fenêtrage, de la communication inter-fenêtre, de l'affichage déporté, du multi-écrans, de l'anticrénelage, de l'entrelacé, du 4K, etc. On a eu un caractère EBCDIC, ASCII 7 bits, puis 8 bits, puis ANSI truc ou ISO machin, puis Unicode, de l'écriture bidirectionnelle. On a eu des palanquées de langages informatiques qui se succèdent avec des paradigmes différents, des "nouveautés" (enfin souvent avec des années de décalage avec la recherche dans le domaine), de la montée en gamme dans la chaîne de valeur (plus besoin de placer la tête de lecture manuellement pour faire une lecture/écriture quelque part, on peut juste écrire « lis ce truc » quel que soit la nature du « truc »). Les bibliothèques standards contiennent toutes sortes de structures de données, des composants pour gérer des expressions rationnelles, des logs, de la compression, du chiffrement, des tas de protocoles (genre HTTP, SMTP, DNS, etc.). Avant tu faisais marcher ton processus unique sur un processeur monocœur, maintenant tu as des machines multiples en grille de calcul avec chacune de multiples CPU et GPU, eux-mêmes multi-cœurs, gérant de multiples fils d'exécution, avec de la prédiction, de multiples couches de virtualisation (y compris dans les processeurs). Avant tu lançais une tâche, maintenant tu coordonnes un déploiement multi-région multi-centres de données multi-hyperviseurs multi-serveurs pour déployer de la vachement très haute disponibilité (en attendant le multi-planète). Etc. Etc.

Il y a longtemps un humain pouvait avoir lu toute la littérature existante, puis c'est devenu impossible pour plein de raisons (volume, multilinguisme, accès, perte, etc.). Un humain pouvait connaître quasi tout en science, puis c'est devenu impossible. Un humain pouvait connaître toute la théorie informatique, puis c'est devenu impossible. Un humain pouvait savoir un peu tout en informatique puis c'est devenu impossible (personne ne fait du full-stack frontend backend crypto réseau matériel stockage base de données IA traitement d'images et de vidéos compression quantique hautes performances).

Tout ça pour dire que l'on n'attend probablement pas le même type de connaissances d'une « personne qui s'y connaît » il y a 40 ans, 20 ans, maintenant ou dans 20 ans. Est-ce que je veux encore apprendre l'informatique pour écrire un caractère sur l'écran ? Non, je veux « faire de l'IA », « développer des jeux vidéos », « bâtir mon propre réseau social », « mettre en place un serveur très basse consommation », « assurer une reproductibilité parfaire à la compilation et au déploiement », etc. D'où la question quelles sont les compétences / connaissances utiles maintenant et à l'avenir ? (et pas celles que je peux avoir moi personnellement maintenant). Et, tant que le développement informatique se poursuit (ie. hors crise mondiale majeure disons), on continuera à monter en gamme dans l'échelle de valeur, à vouloir faire des choses plus haut niveau, plus abstraites (tout en continuant localement à faire du bas niveau (*), c'est le spectre des possibles qui s'agrandit dans toutes les directions).

(*) citons des extrêmes actuels : la NASA qui doit gérer au degré près la température d'un CPU d'il y a 30 ans qui quitte le système solaire et a besoin de vétérans connaissant par cœur un assembleur antedéluvien et disparu partout ailleurs ; versus du trading à haute fréquence qui cherche à gagner des nanosecondes, du calcul intensif avec des zillions de CPU en parallèles, des gens qui veulent bâtir des mondes virtuels immersifs, etc.

Corrigé, merci.

Ou confondre timbale et timbale pour rester dans la vaisselle.