patrick_g a écrit 6392 commentaires

une quatrième qui m'échappe à l'instant.

HIDESYM ?

De toute façon le patch grsec est sous GPL.

Le journal ne dit pas ça, à ma connaissance.
il dit que le développeur principal ne va filer qu'aux sponsors.
donc rien sur un interdit de donner cette version stable à son voisin non sponsor

C'est ça. Grsec restreint le patch stable à leurs sponsors mais ensuite ces sponsors font ce qu'ils veulent du code. Ils ont parfaitement le droit de le publier sur un FTP quelconque.

Mais bon ce serait certes conforme à la licence mais sans doute mal perçu par les devs Grsec. En plus ces derniers offrent plus que du code brut à leurs sponsors. Sur le site il y a marqué :

"Sponsors receive personal support, audits of RBAC policies and kernel configurations, the ability to request features tailored to your organization"

Si la qualité technique n'est pas remise en cause, pourquoi c'est pas upstream ?

Cf plus bas ma réponse.

C'était ce journal : https://linuxfr.org/users/patrick_g/journaux/renforcer-la-s%C3%A9curit%C3%A9-du-noyau

Je crois que Vasiliy Kulikov a réussi à faire passer en upstream quelques trucs non invasifs mais qu'ensuite ça c'est arrêté là.
Je sais que Dan Rosenberg a également bossé sur la remontée upstream de certains parties du code de grsecurity.

Mais le problème c'est qu'il est très difficile d'upstreamer le patch complet pour les raisons suivants :

• Très gros.
• Très invasif.
• Incompatible avec LSM.
• Impact sur les performances.
• Aucune volonté des devs grsec de découper le patch proprement. Ils disent que c'est un tout à prendre ou à laisser.
• Aucune volonté des devs grsec de proposer le patch upstream.
• Différence de philosophie avec les devs du noyau ("la sécurité est le seul paramétre" vs "la sécurité est l'un des paramètres").
• Les devs grsec sont perçus par beaucoup de gens comme étant incapables de travailler en équipe de façon sereine.

J'ai un peu le même sentiment que toi.
Brad et PaXteam ont toujours eu un comportement "assez particulier" (surtout Brad) vis à vis des idéaux du libre. Leur qualité technique n'est pas en cause mais il semble impossible de travailler en bonne intelligence avec eux.
Cette décision de restreindre l'accès au patch stable risque de marginaliser encore plus le projet. Je leur souhaite au moins que cela entraine l'arrivée de nouveaux sponsors.

En fait je me disais en éditant ce journal qu’il serait vraiment cool d’avoir l’éditeur de dépêche pour les journaux et qui permet d’éditer paragraphe par paragraphe.

Si elle n'existe pas déjà il faut faire une entrée dans le suivi à ce sujet.

Malheureusement le candidat sortant aux dernières présidentielles s'est un peu torché avec la limitation du financement de sa campagne

Comme je l'ai dit le contrôle se fait a posteriori.
Les candidats ont donc la possibilité de tenter de ruser avec le système…mais ils peuvent se faire choper après et doivent alors rembourser l'avance qui leur avait été payée par l’État.
Cela a été le cas de Sarkozy qui, compte tenu de diverses dépenses réintégrées dans les comptes par la commission, avait dépassé le plafond autorisé. Donc remboursement et amende.
Paf, le système a fonctionné.

https://en.wikipedia.org/wiki/Citizens_United_v._FEC

https://en.wikipedia.org/wiki/Political_action_committee#Super_PACs

C'est d'autant plus malheureux qu'en France ça soit pareil.

Pas du tout pareil ! En France les dons aux partis sont régulés avec un contrôle a posteriori, il y un financement public et le temps de parole sur les médias est contrôlé.
L'inverse absolu du système US donc. D'ailleurs le système français, avec tous les défauts et les perversions qu'on peut imaginer, est quand même cité en exemple par les partisans américains d'une réforme de leur système.

Merci de regarder la vidéo et tu comprendra de quoi je veux parler. La corruption du système US actuel est précisément le coeur du message que Lawrence Lessig veux faire comprendre à ses concitoyens.

Et une conférence Ted de Lawrence Lessig qui tabasse bien (en VOST) : https://www.youtube.com/watch?v=mw2z9lV3W1g
J'ai rarement vu un orateur aussi bon et une conférence aussi convaincante. Et pourtant, du fait de la corruption du système politique américain, il n'a malheureusement aucune chance.

je m'abstiendrais de commenter le projet RISC-V car ce n'est pas le sujet mais je n'en pense pas grand bien techniquement.

Ça m'intéresse. Tu peux développer un peu tes critiques ?
De mon côté j'avais lu que l'ISA était très propre.

Il va de soi qu’il est important que la communauté se mobilise, par un soutien financier

il ne va pas de soi du tout. Surtout quand on lit le premier lien critique.

Pour un parfait béotien comme moi c'est fascinant de voir ces discussions techniques sur les vélos.
Un vélo c'est un vélo quoi. Deux roues, une selle, des pédales et puis c'est tout.
Mais là d'un coup on découvre tout un monde de détails techniques ésotériques: des freins à disques (hydrauliques ou pas) et des freins à patins (V-Brakes ou Cantilever), des roues de 27.5 pouces mais qui en fait n'en sont pas, le standard ETRTO, les dérailleurs électriques, les largeurs de moyeux…etc.
Médaille d'or pour la phrase "Leviers au cadre car les plateaux ne sont pas indexés et cela permet d'avoir une ligne de chaîne quasi-parfaite".

On comprend un peu mieux ce que peuvent ressentir les gens qui ne s’intéressent pas aux ordinateurs quand on leur parle de passer à Linux ou bien d'acheter un SSD pour remplacer leur disque dur.

Je suis sous Xubuntu 15.04 et j'utilise également le paquet Firefox des dépôts.
Je n'ai évidemment pas de flashplayer d'installé.

Chez moi ça marche.

Sous Ubuntu une méthode très simple pour améliorer un peu la sécurité de Firefox c'est d'activer le profil apparmor.

On liste pour voir les profils qui sont actuellement actifs :

patrick@laptop:~$ sudo apparmor_status
[sudo] password for patrick: 
apparmor module is loaded.
17 profiles are loaded.
17 profiles are in enforce mode.
   /sbin/dhclient
   /usr/bin/evince
   /usr/bin/evince-previewer
   /usr/bin/evince-previewer//sanitized_helper
   /usr/bin/evince-thumbnailer
   /usr/bin/evince-thumbnailer//sanitized_helper
   /usr/bin/evince//sanitized_helper
   /usr/lib/NetworkManager/nm-dhcp-client.action
   /usr/lib/NetworkManager/nm-dhcp-helper
   /usr/lib/connman/scripts/dhclient-script
   /usr/lib/cups/backend/cups-pdf
   /usr/lib/lightdm/lightdm-guest-session
   /usr/lib/lightdm/lightdm-guest-session//chromium
   /usr/sbin/cups-browsed
   /usr/sbin/cupsd
   /usr/sbin/cupsd//third_party
   /usr/sbin/tcpdump
0 profiles are in complain mode.
3 processes have profiles defined.
3 processes are in enforce mode.
   /sbin/dhclient (1434) 
   /usr/sbin/cups-browsed (735) 
   /usr/sbin/cupsd (689) 
0 processes are in complain mode.
0 processes are unconfined but have a profile defined.

On active le profil Firefox (qui existe déjà mais n'est pas actif par défaut) :

patrick@laptop:~$ sudo aa-enforce /etc/apparmor.d/usr.bin.firefox
Setting /etc/apparmor.d/usr.bin.firefox to enforce mode.

Puis on liste à nouveau pour voir les profils chargés :

patrick@laptop:~$ sudo apparmor_status
[sudo] password for patrick: 
apparmor module is loaded.
22 profiles are loaded.
22 profiles are in enforce mode.
   /sbin/dhclient
   /usr/bin/evince
   /usr/bin/evince-previewer
   /usr/bin/evince-previewer//sanitized_helper
   /usr/bin/evince-thumbnailer
   /usr/bin/evince-thumbnailer//sanitized_helper
   /usr/bin/evince//sanitized_helper
   /usr/lib/NetworkManager/nm-dhcp-client.action
   /usr/lib/NetworkManager/nm-dhcp-helper
   /usr/lib/connman/scripts/dhclient-script
   /usr/lib/cups/backend/cups-pdf
   /usr/lib/firefox/firefox{,*[^s][^h]}
   /usr/lib/firefox/firefox{,*[^s][^h]}//browser_java
   /usr/lib/firefox/firefox{,*[^s][^h]}//browser_openjdk
   /usr/lib/firefox/firefox{,*[^s][^h]}//lsb_release
   /usr/lib/firefox/firefox{,*[^s][^h]}//sanitized_helper
   /usr/lib/lightdm/lightdm-guest-session
   /usr/lib/lightdm/lightdm-guest-session//chromium
   /usr/sbin/cups-browsed
   /usr/sbin/cupsd
   /usr/sbin/cupsd//third_party
   /usr/sbin/tcpdump
0 profiles are in complain mode.
3 processes have profiles defined.
3 processes are in enforce mode.
   /sbin/dhclient (1434) 
   /usr/sbin/cups-browsed (735) 
   /usr/sbin/cupsd (689) 
0 processes are in complain mode.
0 processes are unconfined but have a profile defined.
patrick@laptop:~$ 

Et je vois que LWN a fait un article très bien foutu au sujet de cette keynote : https://lwn.net/Articles/654124/
Comme d'hab l'article sera libéré du paywall la semaine prochaine.

Parmi les nombreuses vidéos je conseille la très intéressante Keynote de Pamela Chestek au sujet de l'affaire Groupon (qui avait essayé de sortir un produit nommé Gnome en se fichant complètement du copyright de la fondation GNOME). Elle explique bien que Groupon avait largement sous-estimé la force et la réactivité de la communauté du libre et qu'ils ont été obligé de battre piteusement en retraite.

La vidéo est là (au format Theora pour faire enrager Zenitram) :
http://videos.guadec.org/2015/Keynote%20-%20How%20the%20Power%20of%20Community%20Prevails%20%E2%80%94%20It%E2%80%99s%20Not%20Only%20About%20the%20Code/

Et à 14:22 il y a même une copie d'écran de LinuxFR !

édit: je n'arrive pas a insérer les images dans mon commentaire.

https://linuxfr.org/aide#aide-imgcertificatssl

Ah je me demandais pourquoi Hello avait été enlevé et maintenant j'ai ma réponse.
Merci !

Démission de Michael Niedermayer comme ultime tentative pour réunir les deux communautés

Est-ce qu'il y a déjà une réponse de la part des devs de libav ?
Un réunification est-elle envisageable ?

Je suis tout de meme curieux de voir la reaction des constructeurs/opérateurs…

La réaction sera un silence assourdissant (sauf peut-être pour les smartphones encore en vente).

En faite ça ne touche que HangOut, donc pour ceux qui ne l'utilise pas il n'y a pas de risque.

C'est faux. Le blog de Zimperium indique bien que toutes les applications qui utilisent le moteur vidéo Stagefright sont impactées. D'ailleurs Firefox (pour les versions inférieures à 38) est aussi vulnérable.
Ce qui est vrai c'est que le vecteur d'attaque le plus probable de ces failles du moteur vidéo passe par un MMS. Donc les logiciels les plus vulnérables sont HangOut et Messenger.

Et pour la mise à jour c'est par le store de Google. Donc les constructeurs ne sont pas concerner par le processus.

C'est également faux puisque la correction du moteur vidéo Stagefright va nécessiter une mise à jour complète. Le blog de Zimperium indique : fixes for these issues require an OTA firmware update for all affected devices. Such updates for Android devices have traditionally taken a long time to reach users. Devices older than 18 months are unlikely to receive an update at all..