Sinon pour revenir au sujet, le BSI a son GnuPG, l'ANSSI son Keepass, etc., peut-être un jour une labellisation européenne en sécurité (autre que les certifications cloud j'entends) ?
Parce qu’il fallait bien choisir, nous avons sélectionné les médias ✔️ répondant grosso modo aux critères suivants :
ils produisent essentiellement du contenu écrit, sur papier ou en ligne. ✔️
ils n’appartiennent à aucun groupe industriel, financier, ni à aucun mouvement politique, syndical ou religieux. (hmm LinuxFr.org est dans le mouvement politique du libre)
ils sont détenus par leurs salarié·es, leurs lecteurs et/ou une association. ✔️
professionnels ou bénévoles, ils mènent une véritable démarche d’information, sans se cantonner à l’expression d’opinions. (difficile à trancher, mais on essaie en tout cas)
ils sont favorables à une société plus juste et solidaire, sans exclure aucune catégorie de personnes. ✔️ (enfin sauf les gens sous Emacs quand même)
la publicité n’occupe pas plus de 10 % de leurs pages. ✔️
Ah ben voilà on se dépêche pour produire une dépêche en moins de trois ans, et au final on a une erreur de statistiques dans la première version publiée… Les chiffres de conversion Markdown sont plus faibles qu'initialement annoncés, la dépêche a été rectifiée.
L'erreur venait d'un comptage des éditions de dépêches (table news_versions) au lieu des paragraphes qui convertissent Markdown en HTML (table paragraphs). Or on peut avoir des versions de dépêches en HTML, par contre il faut nécessairement des paragraphes pour avoir du Markdown.
Au final, il y a juste 24 travaux d'Hercule au lieu de 12, ça ne change pas fondamentalement la taille du tas ou de la pile, hormis le fait que ça fait une très grosse allocation initiale…
Il manque aussi une info dans la dépêche : un des intérêts d'avoir du HTML valide pour les dépêches en HTML, c'est que l'on peut espérer convertir automatiquement plus facilement du HTML initialement valide en Markdown que convertir une soupe de balises en sacrifiant des poulets pour obtenir un résultat d'autant plus incertain.
First they ignore it, then they laugh at it, then they tolerate it, then they accept it, then they may even use it from time to time. Jehan-Kevin Del Eff Page
| <p>Soixantième épisode dans la communication entre les différents intervenants autour du site LinuxF |
| <p>Deux puissance sixième épisode dans la communication entre les différents intervenants autour du |
| <p>Soixante‐dixième épisode dans la communication entre les différents intervenants autour du site < |
| <p>Septante‐et‐unième épisode dans la communication entre les différents intervenants autour du site |
| <p>Septante-neuvième épisode dans la communication entre les différents intervenants autour du site |
| <p>Octantième épisode dans la communication entre les différents intervenants autour du site <em>Lin |
| <p>Octante et unième épisode dans la communication entre les différents intervenants autour du site |
| <p>Huitante sixième épisode dans la communication entre les différents intervenants autour du site < |
| <p>Huitante neuvième et nonantième épisode dans la communication entre les différents intervenants a |
| <p>Nonante et unième épisode dans la communication entre les différents intervenants autour du site |
Déçu ? D'avoir mis 10 ans à t'en rendre compte, de ne pas l'avoir proposé en rédaction ou d'utiliser déçu alors qu'il est explicitement demandé de contribuer ?
Cette dépêche récurrente vit aussi grâce à vos remarques, propositions d’ajouts, de compléments et vos retours sur les systèmes fiscaux et les dons dans vos pays respectifs. N’hésitez pas à la commenter pour l’enrichir. Bien que récurrente, cette dépêche est mise à jour et enrichie chaque année.
NB: pas de chance ça tombe sur toi qui a fait d'autres commentaires pertinents sur cette dépêche, mais tu as titillé ce qui m'agace le plus en ce moment sur le site (le dernier cas venant d'un compte sans contenus associé), que je pourrais résumer en "reprocher aux autres son inaction personnelle", ie "tu ne fais pas, pas assez bien ou pas assez pour moi / à mon avis". Contrairement à plein d'autres domaines de la vie où en général tu peux râler autant que tu veux sur ton gouvernement/maire/star de téléréalité/quidam lambda devant ta feuille de chou/radio/télé/page web préférée sans rien faire, dans le monde du Libre en général, du participatif en particulier et ici particulièrement, les contenus sont produits par les personnes qui lisent. Tu veux plus d'articles sur xxx, écris dessus ; tu veux moins d'articles sur yyy, écris sur autre chose ; tu veux compléter, complètes ; pas besoin de chercher à culpabiliser ceux qui font le job. Un avis tout le monde en a un, si seulement tout le monde pouvait aussi avoir des contributions associées à son compte Linuxfr.org.
NB2: Désolé Krunch, en plus t'as plein de contenus associés à ton compte toi, dont des dépêches (le Graal par ici). Je t'enverrai un don pour avoir contribué à ma thérapie.
De mon point de vue c'est simplement un énième exemple du fait que le code ouvert n'est en rien différent du code propriétaire niveau sécurité.
Quand bien même tu aurais raison sur une telle absence de différence (et je ne suis pas convaincu par ton affirmation dans le contexte mais peu importe), elle ne concerne que la découverte de failles. Reste ensuite la vitesse de correction, la capacité à corriger (par n'importe qui ou non par exemple), l'apprentissage de ses erreurs, etc. pour lesquels la nature juridique du code (et la publicité/ visibilité) me semble avoir un effet.
Et sans accès possible distant, log4shell perds beaucoup de sa dangerosité.
Si l'attaquant contrôle une machine du réseau local, c'est dangereux aussi (pour en infecter plein d'autres via la faille log4j). Mais bon il y avait déjà un gros problème au départ.
Notons aussi que les outils d'analyse de code statique ou dynamique, libres ou propriétaires, sur du source disponible ou du bytecode, aussi sophistiqués qu'ils soient, n'ont rien vu. Ni les précédents audit de sécurité, relectures, pentests, tests de fuzzing, etc. sur n'importe quel logiciel embarquant des versions vulnérables de log4j, que ce logiciel soit propriétaire ou non. Dit autrement on peut vouloir blâmer la maigre équipe log4j qui a pourtant réagi rapidement, mais personne n'a fait mieux, y compris chez les très gros éditeurs de logiciels ou les grands acteurs de la sécurité. Un peu comme si on blâmait juste l'équipe d'openssl utilisé tout le monde alors que personne n'avait rien vu venir non plus. Et que personne n'a d'inventaire exhaustif de son parc logiciel, que tout le monde a des logiciels n'ayant plus aucun support sécu, que les flux vers l'extérieur sont largement ouverts, sans parler du fait que les donneurs de conseil de maintenant et les colporteurs d'infos approximatives ou erronées sont les mêmes que ceux ayant fait ou non-fait les choix informatiques précédents. Bonnes fêtes de fin d'année aux équipes qui doivent continuer à pat cher.
"Autrefois" la Droite c'était les égoïstes conservateurs ambitieux cupides autoritaires et la Gauche les dispendieux dirigistes naïfs égalitaristes anti-tradition. Maintenant c'est surtout "cette personne n'est pas vraiment de droite elle est trop sociale", "celui-là n'est pas vraiment de gauche il est trop anti-social". Voire X condamné, Y en prison, Z à son 5e appel de sa 8e affaire, lui qui change de parti, etc. Les idées osef, les grands partis n'en produisent plus vraiment, au mieux on a des figures vitrines promettant tout et n'importe quoi, dans l'exagération et le buzz/clash. Du clivant à pas cher, intellectuellement parlant. Bref pas d'idées, moralisation/judiciarisation en cours (faut voir…), populisme, électorat désabusé ou abstentionnistes. (Pour le coup il doit y avoir plus de débats d'idées politiques sur linuxfr.org qu'à beaucoup d'autres endroits, non sans heurts).
Devenu hosts.txt8b, puis hosts.unicode, suivi de hosts.xml avant de migrer vers le plus simple hosts.json, supplanté par hosts yml, qui fût remplacé par hosts.i2bp, révolutionné par hosts.blockchain, sublimé par hosts.nft, transcendé par hosts.ia.ml. En 2032 lors de la Chute du Grand Tout, un fichier hosts.txt fût réinstallé pour les 42 machines et transhumanistes connectés restants, recréant un plus petit Internounet.
https://fr.wikipedia.org/wiki/Nutri-score fournit pas mal d'infos sur le calcul et les critiques actuelles (qui semblent majoritairement venir de l'industrie agroalimentaire, et marginalement des producteurs de roquefort).
[^] # Re: Limiter l'usage pratique de la CI sans avoir honte de rien
Posté par Benoît Sibaud (site web personnel) . En réponse au lien Nouvelle carte d'identité bilingue : l'Académie française prête à saisir le Conseil d'Etat. Évalué à 9. Dernière modification le 08 janvier 2022 à 12:52.
https://en.wikipedia.org/wiki/National_identity_cards_in_the_European_Economic_Area
…
[^] # Re: VS-NfD (ou : ne pas poster de journal à une heure du matin)
Posté par Benoît Sibaud (site web personnel) . En réponse au journal GnuPG devient économiquement viable et n’a plus besoin de dons. Évalué à 4.
Corrigé, merci.
[^] # Re: Petite coquille
Posté par Benoît Sibaud (site web personnel) . En réponse au journal Sauvegarde suite et fin ?. Évalué à 4.
Corrigé, merci.
[^] # Re: Bégaiements
Posté par Benoît Sibaud (site web personnel) . En réponse à la dépêche Statistiques 2021 du site LinuxFr.org. Évalué à 5.
On gagne toujours à remercier ZeroHeure. Mais ce que tu dis est fort juste. Corrigé, merci.
[^] # Re: trop de cidre avec la galette ?
Posté par Benoît Sibaud (site web personnel) . En réponse à la dépêche Statistiques 2021 du site LinuxFr.org. Évalué à 3.
Corrigé, merci.
[^] # Re: Quelle bombe !
Posté par Benoît Sibaud (site web personnel) . En réponse au journal GnuPG devient économiquement viable et n’a plus besoin de dons. Évalué à 5.
Une bombe crypto ou info ? Perso je suis plus bombe.
Sinon pour revenir au sujet, le BSI a son GnuPG, l'ANSSI son Keepass, etc., peut-être un jour une labellisation européenne en sécurité (autre que les certifications cloud j'entends) ?
# LinuxFr.org
Posté par Benoît Sibaud (site web personnel) . En réponse au lien Carte de la «presse pas pareille» (médias libres, indépendants, alternatifs…). Évalué à 10.
Parce qu’il fallait bien choisir, nous avons sélectionné les médias ✔️ répondant grosso modo aux critères suivants :
# Deux hypothèses fausses
Posté par Benoît Sibaud (site web personnel) . En réponse au journal Petite énigme pseudo-mathématique pour commencer l’année et en guise de vœux. Évalué à 3.
(ouais je partage sur l'échec c'est important aussi)
# Erreurs de statistiques
Posté par Benoît Sibaud (site web personnel) . En réponse à la dépêche Validité HTML des pages sur LinuxFr.org. Évalué à 7.
Ah ben voilà on se dépêche pour produire une dépêche en moins de trois ans, et au final on a une erreur de statistiques dans la première version publiée… Les chiffres de conversion Markdown sont plus faibles qu'initialement annoncés, la dépêche a été rectifiée.
L'erreur venait d'un comptage des éditions de dépêches (table
news_versions
) au lieu des paragraphes qui convertissent Markdown en HTML (tableparagraphs
). Or on peut avoir des versions de dépêches en HTML, par contre il faut nécessairement des paragraphes pour avoir du Markdown.Au final, il y a juste 24 travaux d'Hercule au lieu de 12, ça ne change pas fondamentalement la taille du tas ou de la pile, hormis le fait que ça fait une très grosse allocation initiale…
Il manque aussi une info dans la dépêche : un des intérêts d'avoir du HTML valide pour les dépêches en HTML, c'est que l'on peut espérer convertir automatiquement plus facilement du HTML initialement valide en Markdown que convertir une soupe de balises en sacrifiant des poulets pour obtenir un résultat d'autant plus incertain.
[^] # Re: Ecriture provocante
Posté par Benoît Sibaud (site web personnel) . En réponse au journal LinuxFr.org : première quinzaine de décembre 2021. Évalué à 3.
First they ignore it, then they laugh at it, then they tolerate it, then they accept it, then they may even use it from time to time. Jehan-Kevin Del Eff Page
[^] # Re: Ecriture provocante
Posté par Benoît Sibaud (site web personnel) . En réponse au journal LinuxFr.org : première quinzaine de décembre 2021. Évalué à 4.
Ce n'est pas nouveau par contre·
[^] # Re: Jeux de hasard
Posté par Benoît Sibaud (site web personnel) . En réponse au lien 2021 : Les 3 lois de la robotique ne sont pas respectées ;-(. Évalué à 7.
La probabilité d'effets secondaires et de séquelles à long terme paraît importante, même en jouant un peu sur les probabilités (cf https://www.reddit.com/r/ForgottenWeapons/comments/frcy7v/triple_barrel_18shot_pistola_con_caricato_revolver/ ou
https://www.coolthings.com/triple-barrel-revolver/ ). Je conseillerai plutôt aux gens de continuer à jouer avec des cailloux magiques ou de se parfumer à l'extrait d'huile essentielle de foie de morue, en s'entourant de jambon et en dansant à la pleine lune, comme des gens rationnels.
[^] # Re: note perdue en modération
Posté par Benoît Sibaud (site web personnel) . En réponse à la dépêche GWorkspace 1.0 pour Noël et pour Bertrand Dekoninck. Évalué à 4.
Un effet de la découpe de la dépêche en deux parties : utilisation et définition de la note doivent être dans la même partie. Corrigé, merci.
[^] # Re: Tor
Posté par Benoît Sibaud (site web personnel) . En réponse à la dépêche Dons aux associations, épisode 10. Évalué à 5.
Déçu ? D'avoir mis 10 ans à t'en rendre compte, de ne pas l'avoir proposé en rédaction ou d'utiliser déçu alors qu'il est explicitement demandé de contribuer ?
NB: pas de chance ça tombe sur toi qui a fait d'autres commentaires pertinents sur cette dépêche, mais tu as titillé ce qui m'agace le plus en ce moment sur le site (le dernier cas venant d'un compte sans contenus associé), que je pourrais résumer en "reprocher aux autres son inaction personnelle", ie "tu ne fais pas, pas assez bien ou pas assez pour moi / à mon avis". Contrairement à plein d'autres domaines de la vie où en général tu peux râler autant que tu veux sur ton gouvernement/maire/star de téléréalité/quidam lambda devant ta feuille de chou/radio/télé/page web préférée sans rien faire, dans le monde du Libre en général, du participatif en particulier et ici particulièrement, les contenus sont produits par les personnes qui lisent. Tu veux plus d'articles sur xxx, écris dessus ; tu veux moins d'articles sur yyy, écris sur autre chose ; tu veux compléter, complètes ; pas besoin de chercher à culpabiliser ceux qui font le job. Un avis tout le monde en a un, si seulement tout le monde pouvait aussi avoir des contributions associées à son compte Linuxfr.org.
NB2: Désolé Krunch, en plus t'as plein de contenus associés à ton compte toi, dont des dépêches (le Graal par ici). Je t'enverrai un don pour avoir contribué à ma thérapie.
[^] # Re: Suisse
Posté par Benoît Sibaud (site web personnel) . En réponse à la dépêche Dons aux associations, épisode 10. Évalué à 4. Dernière modification le 28 décembre 2021 à 17:45.
La déductibilité n'est étonnamment pas mentionnée sur https://debian.ch/
[^] # Re: Coquilles
Posté par Benoît Sibaud (site web personnel) . En réponse à la dépêche .NET 6 est sorti - La version la plus rapide à ce jour. Évalué à 5.
Corrigé, merci.
[^] # Re: Publicité mensongère éhontée ?!!
Posté par Benoît Sibaud (site web personnel) . En réponse à la dépêche .NET 6 est sorti - La version la plus rapide à ce jour. Évalué à 6.
Clarification du remerciement, s'il en était besoin.
[^] # Re: Publicité mensongère éhontée ?!!
Posté par Benoît Sibaud (site web personnel) . En réponse à la dépêche .NET 6 est sorti - La version la plus rapide à ce jour. Évalué à 10. Dernière modification le 26 décembre 2021 à 09:11.
https://en.m.wikipedia.org/wiki/.NET est plus à jour. Ou https://github.com/dotnet/core
Il s'agit d'une traduction, avec autorisation, donc on ne va pas changer le texte.
Ça n'empêche pas d'ajouter une note de modération ce qui est désormais fait.
[^] # Re: outils et génie logiciel
Posté par Benoît Sibaud (site web personnel) . En réponse au journal log4shell : Et après ?. Évalué à 9. Dernière modification le 25 décembre 2021 à 09:36.
Quand bien même tu aurais raison sur une telle absence de différence (et je ne suis pas convaincu par ton affirmation dans le contexte mais peu importe), elle ne concerne que la découverte de failles. Reste ensuite la vitesse de correction, la capacité à corriger (par n'importe qui ou non par exemple), l'apprentissage de ses erreurs, etc. pour lesquels la nature juridique du code (et la publicité/ visibilité) me semble avoir un effet.
[^] # Re: L'opensource et maven fonctionne très bien
Posté par Benoît Sibaud (site web personnel) . En réponse au journal log4shell : Et après ?. Évalué à 8.
Si l'attaquant contrôle une machine du réseau local, c'est dangereux aussi (pour en infecter plein d'autres via la faille log4j). Mais bon il y avait déjà un gros problème au départ.
# outils et génie logiciel
Posté par Benoît Sibaud (site web personnel) . En réponse au journal log4shell : Et après ?. Évalué à 10.
Notons aussi que les outils d'analyse de code statique ou dynamique, libres ou propriétaires, sur du source disponible ou du bytecode, aussi sophistiqués qu'ils soient, n'ont rien vu. Ni les précédents audit de sécurité, relectures, pentests, tests de fuzzing, etc. sur n'importe quel logiciel embarquant des versions vulnérables de log4j, que ce logiciel soit propriétaire ou non. Dit autrement on peut vouloir blâmer la maigre équipe log4j qui a pourtant réagi rapidement, mais personne n'a fait mieux, y compris chez les très gros éditeurs de logiciels ou les grands acteurs de la sécurité. Un peu comme si on blâmait juste l'équipe d'openssl utilisé tout le monde alors que personne n'avait rien vu venir non plus. Et que personne n'a d'inventaire exhaustif de son parc logiciel, que tout le monde a des logiciels n'ayant plus aucun support sécu, que les flux vers l'extérieur sont largement ouverts, sans parler du fait que les donneurs de conseil de maintenant et les colporteurs d'infos approximatives ou erronées sont les mêmes que ceux ayant fait ou non-fait les choix informatiques précédents. Bonnes fêtes de fin d'année aux équipes qui doivent continuer à pat cher.
[^] # Re: J'ai pas tout lu ...mais
Posté par Benoît Sibaud (site web personnel) . En réponse au sondage La politique sur LinuxFr.org. Évalué à 6.
"Autrefois" la Droite c'était les égoïstes conservateurs ambitieux cupides autoritaires et la Gauche les dispendieux dirigistes naïfs égalitaristes anti-tradition. Maintenant c'est surtout "cette personne n'est pas vraiment de droite elle est trop sociale", "celui-là n'est pas vraiment de gauche il est trop anti-social". Voire X condamné, Y en prison, Z à son 5e appel de sa 8e affaire, lui qui change de parti, etc. Les idées osef, les grands partis n'en produisent plus vraiment, au mieux on a des figures vitrines promettant tout et n'importe quoi, dans l'exagération et le buzz/clash. Du clivant à pas cher, intellectuellement parlant. Bref pas d'idées, moralisation/judiciarisation en cours (faut voir…), populisme, électorat désabusé ou abstentionnistes. (Pour le coup il doit y avoir plus de débats d'idées politiques sur linuxfr.org qu'à beaucoup d'autres endroits, non sans heurts).
# évolution technologique
Posté par Benoît Sibaud (site web personnel) . En réponse au lien Le bon vieux temps du HOSTS.TXT. Évalué à 10.
Devenu hosts.txt8b, puis hosts.unicode, suivi de hosts.xml avant de migrer vers le plus simple hosts.json, supplanté par hosts yml, qui fût remplacé par hosts.i2bp, révolutionné par hosts.blockchain, sublimé par hosts.nft, transcendé par hosts.ia.ml. En 2032 lors de la Chute du Grand Tout, un fichier hosts.txt fût réinstallé pour les 42 machines et transhumanistes connectés restants, recréant un plus petit Internounet.
[^] # Re: Pertinence du Nutri Score ?
Posté par Benoît Sibaud (site web personnel) . En réponse à la dépêche Open Food Facts - quelques nouvelles. Évalué à 9. Dernière modification le 21 décembre 2021 à 10:53.
https://fr.wikipedia.org/wiki/Nutri-score fournit pas mal d'infos sur le calcul et les critiques actuelles (qui semblent majoritairement venir de l'industrie agroalimentaire, et marginalement des producteurs de roquefort).
[^] # Re: Problème de mise en page.
Posté par Benoît Sibaud (site web personnel) . En réponse à la dépêche Sortie de la version 0.6.0 du configurateur de FPGA openFPGALoader. Évalué à 4.
Encore un souci de différence de rendu entre modération et publication… Corrigé, merci.