patrick_g a écrit 6397 commentaires

Je tiens à ajouter qu'il semble bien que le support d'ext2 ait disparut depuis longtemps

Non le code d'Ext2 est toujours là dans le noyau (surtout à des fins pédagogiques). Voir le PS à la fin du mail de Ted Ts'o :

http://article.gmane.org/gmane.linux.kernel/2029878

Donc si on résume la situation des systèmes de fichiers de type Ext dans le noyau.

Avant le noyau 4.2 :

• Les systèmes de fichiers de type Ext2 sont gérés via le code Ext2 dédié.
• Les systèmes de fichiers de type Ext3 sont gérés via le code Ext3 dédié.
• Les systèmes de fichiers de type Ext4 sont gérés via le code Ext4 dédié (sachant que ce code est également compatible avec Ext2 et Ext3).

A partir du noyau 4.2 :

• Les systèmes de fichiers de type Ext2 sont gérés via le code Ext2 dédié.
• Les systèmes de fichiers de type Ext3 et Ext4 sont gérés via le code Ext4.

HEVC ne dérangeait pas trop de monde avant que les détenteurs de brevets affichent leurs prix

C'est ça que je ne pige pas. Comment HEVC a obtenu son statut de codec majeur et incontournable alors qu'il y avait une telle incertitude sur le prix qui allait être demandé par les multiples détenteurs de brevets ?
On a quand même eu un gros boulot d'implémentation logicielle par tous les acteurs du secteur, on a eu également les fondeurs qui ont implémentés des blocs hardwares décodant le HEVC. Les Blu-ray UHD 4K qui vont sortir se basent sur HEVC.
Et tout ça depuis des années. Et tout ça aussi sans que personne ne s'interroge sur ce qu'il allait falloir débourser à la caisse au final ? Et avec encore des mauvaises surprises potentielles puisque, selon Monty, seuls 50% des détenteurs de brevets ont annoncé la couleur.
C'est incroyable.

Fait.

Pour partager les vidéos familiales je suis bien plus paresseux que toi. je pose juste les fichiers bruts issus de l'appareil sur mon site et je balance les liens par mail en disant de faire "clic droit et enregistrer la cible sous".
Même les moins techniques y parviennent et ils peuvent ensuite lire les vidéos classiquement via vlc.

A moins que tu veuilles dire par "incompatible avec LSM" que mainline insiste absolument pour que grsecurity passe par les fourches caudines de LSM

Oui c'est bien ce que je voulais dire. Grsec n'utilise pas l'infrastructure LSM qui est celle du noyau. Qu'on l'aime ou pas c'est le chemin qui a été choisi par la communauté des codeurs du noyau.

Par ailleurs je colle un lien vers un de tes posts LWN qui me semble intéressant pour les lecteurs de ce journal : https://lwn.net/Articles/598525/
Je ne suis pas d'accord avec tout, en particulier je trouve que tu fais la part trop belle aux devs de grsec sans tenir compte de leur caractère conflictuel et de leur dédain de tout ce qui n'est pas lié à la sécurité.
Comme l'a écrit à de nombreuses reprises Jonathan Corbet, tous les devs noyau qui veulent être recrutés y arrivent très facilement. Ce ne sont pas les employeurs qui manquent. Si Spender et PaXTeam voulaient être payés pour bosser sur le noyau et travailler à intégrer petit à petit leur patch ils pourraient le faire. Mais ils ne veulent pas car cela implique de ne plus être le boss et de ne plus décider seul. Cela implique de faire des compromis, de reconnaitre que la sécurité n'est pas le seul paramètre.
Ils ne sont pas prêts à ça.

une quatrième qui m'échappe à l'instant.

HIDESYM ?

De toute façon le patch grsec est sous GPL.

Le journal ne dit pas ça, à ma connaissance.
il dit que le développeur principal ne va filer qu'aux sponsors.
donc rien sur un interdit de donner cette version stable à son voisin non sponsor

C'est ça. Grsec restreint le patch stable à leurs sponsors mais ensuite ces sponsors font ce qu'ils veulent du code. Ils ont parfaitement le droit de le publier sur un FTP quelconque.

Mais bon ce serait certes conforme à la licence mais sans doute mal perçu par les devs Grsec. En plus ces derniers offrent plus que du code brut à leurs sponsors. Sur le site il y a marqué :

"Sponsors receive personal support, audits of RBAC policies and kernel configurations, the ability to request features tailored to your organization"

Si la qualité technique n'est pas remise en cause, pourquoi c'est pas upstream ?

Cf plus bas ma réponse.

C'était ce journal : https://linuxfr.org/users/patrick_g/journaux/renforcer-la-s%C3%A9curit%C3%A9-du-noyau

Je crois que Vasiliy Kulikov a réussi à faire passer en upstream quelques trucs non invasifs mais qu'ensuite ça c'est arrêté là.
Je sais que Dan Rosenberg a également bossé sur la remontée upstream de certains parties du code de grsecurity.

Mais le problème c'est qu'il est très difficile d'upstreamer le patch complet pour les raisons suivants :

• Très gros.
• Très invasif.
• Incompatible avec LSM.
• Impact sur les performances.
• Aucune volonté des devs grsec de découper le patch proprement. Ils disent que c'est un tout à prendre ou à laisser.
• Aucune volonté des devs grsec de proposer le patch upstream.
• Différence de philosophie avec les devs du noyau ("la sécurité est le seul paramétre" vs "la sécurité est l'un des paramètres").
• Les devs grsec sont perçus par beaucoup de gens comme étant incapables de travailler en équipe de façon sereine.

J'ai un peu le même sentiment que toi.
Brad et PaXteam ont toujours eu un comportement "assez particulier" (surtout Brad) vis à vis des idéaux du libre. Leur qualité technique n'est pas en cause mais il semble impossible de travailler en bonne intelligence avec eux.
Cette décision de restreindre l'accès au patch stable risque de marginaliser encore plus le projet. Je leur souhaite au moins que cela entraine l'arrivée de nouveaux sponsors.

En fait je me disais en éditant ce journal qu’il serait vraiment cool d’avoir l’éditeur de dépêche pour les journaux et qui permet d’éditer paragraphe par paragraphe.

Si elle n'existe pas déjà il faut faire une entrée dans le suivi à ce sujet.

Malheureusement le candidat sortant aux dernières présidentielles s'est un peu torché avec la limitation du financement de sa campagne

Comme je l'ai dit le contrôle se fait a posteriori.
Les candidats ont donc la possibilité de tenter de ruser avec le système…mais ils peuvent se faire choper après et doivent alors rembourser l'avance qui leur avait été payée par l’État.
Cela a été le cas de Sarkozy qui, compte tenu de diverses dépenses réintégrées dans les comptes par la commission, avait dépassé le plafond autorisé. Donc remboursement et amende.
Paf, le système a fonctionné.

https://en.wikipedia.org/wiki/Citizens_United_v._FEC

https://en.wikipedia.org/wiki/Political_action_committee#Super_PACs

C'est d'autant plus malheureux qu'en France ça soit pareil.

Pas du tout pareil ! En France les dons aux partis sont régulés avec un contrôle a posteriori, il y un financement public et le temps de parole sur les médias est contrôlé.
L'inverse absolu du système US donc. D'ailleurs le système français, avec tous les défauts et les perversions qu'on peut imaginer, est quand même cité en exemple par les partisans américains d'une réforme de leur système.

Merci de regarder la vidéo et tu comprendra de quoi je veux parler. La corruption du système US actuel est précisément le coeur du message que Lawrence Lessig veux faire comprendre à ses concitoyens.

Et une conférence Ted de Lawrence Lessig qui tabasse bien (en VOST) : https://www.youtube.com/watch?v=mw2z9lV3W1g
J'ai rarement vu un orateur aussi bon et une conférence aussi convaincante. Et pourtant, du fait de la corruption du système politique américain, il n'a malheureusement aucune chance.

je m'abstiendrais de commenter le projet RISC-V car ce n'est pas le sujet mais je n'en pense pas grand bien techniquement.

Ça m'intéresse. Tu peux développer un peu tes critiques ?
De mon côté j'avais lu que l'ISA était très propre.

Il va de soi qu’il est important que la communauté se mobilise, par un soutien financier

il ne va pas de soi du tout. Surtout quand on lit le premier lien critique.

Pour un parfait béotien comme moi c'est fascinant de voir ces discussions techniques sur les vélos.
Un vélo c'est un vélo quoi. Deux roues, une selle, des pédales et puis c'est tout.
Mais là d'un coup on découvre tout un monde de détails techniques ésotériques: des freins à disques (hydrauliques ou pas) et des freins à patins (V-Brakes ou Cantilever), des roues de 27.5 pouces mais qui en fait n'en sont pas, le standard ETRTO, les dérailleurs électriques, les largeurs de moyeux…etc.
Médaille d'or pour la phrase "Leviers au cadre car les plateaux ne sont pas indexés et cela permet d'avoir une ligne de chaîne quasi-parfaite".

On comprend un peu mieux ce que peuvent ressentir les gens qui ne s’intéressent pas aux ordinateurs quand on leur parle de passer à Linux ou bien d'acheter un SSD pour remplacer leur disque dur.

Je suis sous Xubuntu 15.04 et j'utilise également le paquet Firefox des dépôts.
Je n'ai évidemment pas de flashplayer d'installé.

Chez moi ça marche.

Sous Ubuntu une méthode très simple pour améliorer un peu la sécurité de Firefox c'est d'activer le profil apparmor.

On liste pour voir les profils qui sont actuellement actifs :

patrick@laptop:~$ sudo apparmor_status
[sudo] password for patrick: 
apparmor module is loaded.
17 profiles are loaded.
17 profiles are in enforce mode.
   /sbin/dhclient
   /usr/bin/evince
   /usr/bin/evince-previewer
   /usr/bin/evince-previewer//sanitized_helper
   /usr/bin/evince-thumbnailer
   /usr/bin/evince-thumbnailer//sanitized_helper
   /usr/bin/evince//sanitized_helper
   /usr/lib/NetworkManager/nm-dhcp-client.action
   /usr/lib/NetworkManager/nm-dhcp-helper
   /usr/lib/connman/scripts/dhclient-script
   /usr/lib/cups/backend/cups-pdf
   /usr/lib/lightdm/lightdm-guest-session
   /usr/lib/lightdm/lightdm-guest-session//chromium
   /usr/sbin/cups-browsed
   /usr/sbin/cupsd
   /usr/sbin/cupsd//third_party
   /usr/sbin/tcpdump
0 profiles are in complain mode.
3 processes have profiles defined.
3 processes are in enforce mode.
   /sbin/dhclient (1434) 
   /usr/sbin/cups-browsed (735) 
   /usr/sbin/cupsd (689) 
0 processes are in complain mode.
0 processes are unconfined but have a profile defined.

On active le profil Firefox (qui existe déjà mais n'est pas actif par défaut) :

patrick@laptop:~$ sudo aa-enforce /etc/apparmor.d/usr.bin.firefox
Setting /etc/apparmor.d/usr.bin.firefox to enforce mode.

Puis on liste à nouveau pour voir les profils chargés :

patrick@laptop:~$ sudo apparmor_status
[sudo] password for patrick: 
apparmor module is loaded.
22 profiles are loaded.
22 profiles are in enforce mode.
   /sbin/dhclient
   /usr/bin/evince
   /usr/bin/evince-previewer
   /usr/bin/evince-previewer//sanitized_helper
   /usr/bin/evince-thumbnailer
   /usr/bin/evince-thumbnailer//sanitized_helper
   /usr/bin/evince//sanitized_helper
   /usr/lib/NetworkManager/nm-dhcp-client.action
   /usr/lib/NetworkManager/nm-dhcp-helper
   /usr/lib/connman/scripts/dhclient-script
   /usr/lib/cups/backend/cups-pdf
   /usr/lib/firefox/firefox{,*[^s][^h]}
   /usr/lib/firefox/firefox{,*[^s][^h]}//browser_java
   /usr/lib/firefox/firefox{,*[^s][^h]}//browser_openjdk
   /usr/lib/firefox/firefox{,*[^s][^h]}//lsb_release
   /usr/lib/firefox/firefox{,*[^s][^h]}//sanitized_helper
   /usr/lib/lightdm/lightdm-guest-session
   /usr/lib/lightdm/lightdm-guest-session//chromium
   /usr/sbin/cups-browsed
   /usr/sbin/cupsd
   /usr/sbin/cupsd//third_party
   /usr/sbin/tcpdump
0 profiles are in complain mode.
3 processes have profiles defined.
3 processes are in enforce mode.
   /sbin/dhclient (1434) 
   /usr/sbin/cups-browsed (735) 
   /usr/sbin/cupsd (689) 
0 processes are in complain mode.
0 processes are unconfined but have a profile defined.
patrick@laptop:~$ 

Et je vois que LWN a fait un article très bien foutu au sujet de cette keynote : https://lwn.net/Articles/654124/
Comme d'hab l'article sera libéré du paywall la semaine prochaine.

Parmi les nombreuses vidéos je conseille la très intéressante Keynote de Pamela Chestek au sujet de l'affaire Groupon (qui avait essayé de sortir un produit nommé Gnome en se fichant complètement du copyright de la fondation GNOME). Elle explique bien que Groupon avait largement sous-estimé la force et la réactivité de la communauté du libre et qu'ils ont été obligé de battre piteusement en retraite.

La vidéo est là (au format Theora pour faire enrager Zenitram) :
http://videos.guadec.org/2015/Keynote%20-%20How%20the%20Power%20of%20Community%20Prevails%20%E2%80%94%20It%E2%80%99s%20Not%20Only%20About%20the%20Code/

Et à 14:22 il y a même une copie d'écran de LinuxFR !