Pinaraf a écrit 3682 commentaires

Je sais que c'est un gros pavé, mais j'ai bien parlé des threads :)

La solution classique dans un tel cas est l'utilisation de threads. Avec les threads, un même espace mémoire est utilisé par plusieurs fils d'exécution… mais si un fil d'exécution plante, il entraîne généralement avec lui l'ensemble du processus. De plus, si on utilise des bibliothèques tierces, sont-elles bien compatibles avec l'usage dans plusieurs threads ? Enfin, une telle évolution est contraignante sur notre propre code (même si Qt sait lever une partie des problèmes liés aux threads en permettant plus facilement d'isoler les objets au sein de chaque thread en les faisant communiquer par signaux/slots).

Et pour les autres points positifs que tu cites, je ne suis pas fortement concerné car j'ai majoritairement travaillé seul sur ce projet, et je considère que si tu n'as pas d'outils pour avoir un démon qui se relance automatiquement t'as raté ta vie :)
À ce sujet, rions un peu, j'ai eu une mise à jour de mon flipper (cf https://linuxfr.org/users/pied/journaux/an-unexpected-linux-reverse-engineering pour plus d'histoires) et en creusant j'ai vu que leur script d'init fait:

while true ; do
   /game/bin/game
   show_message "Restarting"
done

Et j'ai à certains démarrages, mais pas tous, le message "Restarting" à l'écran…

L'API paypal est (était?) très mal documentée à l'époque, mais il y avait bien une fonctionnalité pour l'annulation des autorisations de paiement.
Le blocage de l'argent est une pratique tout à fait normale, c'est monnaie courante dans le cas des cartes bancaires qui ont aussi souvent des transactions en deux parties (autorisation puis capture).
Donc pour le coup, j'accuserais bien uniquement la FNAC et pas Paypal…

J'oubliais, comment utiliser notre Qt cross-compilé ? C'est très simple, il suffit d'utiliser le qmake du dossier /opt/qt5pi/5.12.6/tools, donc /opt/qt5pi/5.12.6/tools/bin/qmake
Pour les projets à base de cmake, il faut utiliser le dossier /opt/qt5pi/5.12.6/build/lib/cmake/ qui contient l'ensemble des éléments requis pour qu'il comprenne ce qu'il se passe…

Ça fait plaisir à lire, félicitations

Si Google te dit que ton site Web doit être en IPv6 pour ne pas perdre des places dans le classement, bah d'un coup, tu as un gros intérêt à former ton équipe sur le sujet.

Ou à mettre ton site derrière CloudFlare ou équivalent qui fasse proxy IPv6 vers ton site… Et donc la seule conséquence serait une nouvelle augmentation du poids de ces fournisseurs de service sur internet.

C'était a priori un faux, l'entrée a été supprimée de la page.

Seulement, cela faisait bien longtemps que je n'utilisais pas leurs DNS, et m’adressais directement aux DNS racines via un bind9 correctement configuré, lequel va par défaut chercher à la fois les IPv4 et les IPv6. Donc chez moi, ça marche.
C'est quand même dommage, non ? Cela veut dire qu'il suffirait à Mr British Telecom d'un petit changement au niveau du DNS pour que tout d'un coup, une proportion non négligeable des utilisateurs se mettent à utiliser l'IPv6 par défaut, ce qui pourrait attirer l’œil du décideur pressé. Alors pourquoi ne le font-ils pas ? Peut-être qu'ils s'attendent à ce que cela casse certains sites, navigateurs, applications ou que sais-je d'autre, et que le coût d'une fraction de leurs utilisateurs furax appelant le support demeure trop important ? Mystère.

Ce n'est pas du tout ça.
Un serveur DNS, qu'il soit en IPv4 ou en IPv6, va répondre une IPv4 à une requête A et une IPv6 à une requête AAAA, et ton système émet ces requêtes AAAA uniquement parce qu'il a désormais une connectivité IPv6.
Rien ne t'interdit, sur un système sans IPv6, de faire ces requêtes AAAA. Je suis présentement en déplacement professionnel, dans un hôtel sans IPv6, et pourtant:

$ dig +short example.com AAAA
2606:2800:220:1:248:1893:25c8:1946

Donc ton opérateur ne commet pas d'erreur grave en ne fournissant pas de DNS en IPv6.

Ça aurait pu être pire, il aurait pu être communiste.

Et quand je lis le mail de RMS, je me dis bien "le con, il aurait pas du dire ça", mais je lis juste un message de pur "intellect". C'est très froid pour les victimes, oui, mais c'est le principe même d'un raisonnement d'être détaché et de ne pas laisser les émotions prendre le relais.

Mais je parle bien du mail original, pas un extrait partiel mélangé à du contenu inventé. Et avec tout le barnum médiatique en cours, ça en devient difficile à trouver (je ne trouve plus que le lien vers le fil repris sur vice)

Ta réaction m'a fait pensé à un thread twitter, ou une personne disait que les journalistes ne servaient plus à rien car on pouvait avoir l'information à la source. Et il m'indiquait une série de manière de s'informer.

La bonne blague.
Si le travail d'un journaliste était juste de faire ça, je pense qu'il y a 100 ou 200 ans on aurait déjà pensé à les virer.
Un journaliste doit enquêter, contrôler, croiser les sources, analyser, pondérer.
Prenons le cas dont on parle ici.
Ceci n'est pas du journalisme : https://futurism.com/richard-stallman-epstein-scandal ; https://medium.com/@selamie/remove-richard-stallman-fec6ec210794
Ce sont des articles, à charge, d'activistes ou de personnes ayant un objectif précis autre qu'informer.
Je n'ai pas trouvé de vrai article, neutre, concernant cette affaire. Déjà parce que j'ai pas beaucoup le temps, mais aussi à mon avis, pour une raison simple : c'est juste trop frais. Le journalisme ne peut marcher que conjointement avec le temps. Si on ne laisse pas le temps passer, les émotions prennent le dessus et on ne peut pas réfléchir.

En plus nous sommes dans un monde où l'info circule vite et loin, le MIT a une réputation internationale. Et nous sommes dans un contexte sociétal où on sort du tabou des agressions sexuelles subies pour les victimes. La réaction de RMS fait clairement tâche. Si le MIT ne réagissait pas en maintenant RMS à ce poste sans rien dire, ça pourrait entacher cette réputation.

Ouais, enfin céder à la vindicte populaire qui se base sur des détournements du message de RMS en prenant uniquement des extraits choisis du mail… Oui il aurait du se taire sur ce sujet, mais comment peut-on se réjouir d'une réaction sans aucune forme de justice indépendante ?

La forme est risible… mais y'a quand même du vrai sur les grosses lacunes de MySQL par rapport aux autres grands SGBDR.
Après, c'est quand même cocasse de la part d'un DBA SQL Server. Je me demande s'il s'était mis en nolock pendant la rédaction de l'article… (je vois des DBAs de l'autre côté de la boite, je suis bien content avec mes Pg quand je vois leurs échanges)

C'est loin, mais c'est beau.

La lib litigieuse est tout de même la libc, c'est pas la lib la plus insignifiante à recompiler et forcer. Je trouve le hack sur l'interpréteur plus léger et au final plus fiable.
Par ailleurs, à la compilation il me semble qu'elle inclut toutes les versions, qui sont directement optimisées en assembleur, ce n'est pas du code généré par le compilateur (à vérifier, j'ai plus compilé la libc depuis longtemps)

J'espère qu'il y aura des offres d'emploi sympas sur lolix ou équivalent à ce moment là…

Ça donne une idée de la qualité de l'entreprise.

Si seulement c'était la seule horreur… On peut aussi se planter dans le choix d'algo, ne pas lire les limites de l'algo de hachage utilisée (genre les mots de passe étaient tronqués à 8 caractères, de mémoire…)

Tout ça ne concerne pas PeopleDoc, où les devs ont choisi de ne pas implémenter le hachage eux-même : ils ont délégué à leur framework, du coup au moins c'est audité par des tiers et c'est propre.

Il me semble qu'il est obligatoire, pour tout prestataire hébergeant les fiches de paie, d'avoir une solution d'archivage tamponnée proprement. Dans le cas de PeopleDoc, c'est la Caisse des Dépôts et Consignations. On va dire que si elle disparaît également, les fiches de paie seront pas ma première inquiétude (même si je sauvegarde tout aussi sur mon PC, par principe)

Avec un sel aléatoire aussi… j'ai déjà vu y'a un certain temps une entreprise utiliser une constante… c'était assez rigolo quand on a tenté un brute-force sur la base pour justifier l'évolution.

Heu, non non. C'est pas en passe d'ailleurs, c'est fait le rachat… mais l'entité juridique PeopleDoc France reste là, et promis juré si un collègue américain essaye d'accéder aux données on lui tape dessus. Plus sérieusement, les équipes de développement, de production, de vente… restent séparées. Donc ils auront accès aux données de leurs clients, et nous des nôtres, mais pas d'échanges inutiles.

Alors la chapeau au prestataire, encore ça en 2019… Je parie du coup que les pass ne sont pas chiffrés.

Alors… je bosse pour PeopleDoc, je vais pas tenter de défendre les collègues juristes ou devs, et fort heureusement les mots de passe sont hachés (et pas chiffrés, heureusement).

Et la seule règle que je connaisse (je viens d'aller sur mon compte perso) c'est «au moins 8 caractères, un chiffre, une lettre majuscule et une lettre minuscule».
Du coup, si tu as un contexte précis où les règles sont différentes, je prends, j'adore faire chier les collègues.

~rip()

Cela étant dit, je ne sais pas si ça changerait grand chose et ce sera probablement encore un écran ignoré parmi les nombreuses sollicitations provenant d'un téléphone moyen pour beaucoup de gens (j'espère me tromper bien sûr).

C'est bien le problème, et ce sur quoi semble compter Google vu les captures d'écran.
À partir du moment où tu laisses la possibilité de faire Next Next Next Next, tu n'as pas créé un vrai choix pour l'utilisateur, tu exploites l'absence d'intérêt de l'utilisateur. L'écran de Microsoft n'avait pas ce défaut. Pour rappel:

On ne pouvait passer sans faire un choix. Et ça change tout.

Par contre, a décharge pour Google, la Commission leur donne 90 jours pour faire quelque chose. Dans le temps imparti, je vois pas trop ce qu'ils pouvaient faire de mieux qu'une mise a jour de leur store.

C'est sûr qu'ils pouvaient pas se douter qu'abuser d'une position dominante pour imposer leurs logiciels serait illégal, c'est une première…

La bonne blague. Je traduis l'annonce de Google : «Ces nouveaux écrans seront affichés à l'utilisateur à la première ouverture du Google Play Store après une mise à jour».
Donc… L'utilisateur verra deux écrans, qui permettent certes d'installer d'autres programmes, mais n'importe quel choix autre que Google va nécessiter au moins un clic de plus puisque Google Chrome et Google Search sont déjà installés… Même si Google Chrome est installé, Google devrait demander à l'utilisateur qu'il le revalide.
Et est-ce-que le choix d'un autre navigateur va masquer par défaut l’icône de Chrome de la page d'accueil d'Android pour le confiner à la liste complète des applications ? (Je parle pas trop l'Android ni l'iOS, donc toutes mes excuses si ce n'est pas le bon nom pour ces différentes parties d'interface)
On est très loin de l'écran qu'avait implémenté Microsoft et qui masquait Internet Explorer du bureau, et ne faisait aucune différence entre les différents navigateurs à la sélection.

«Portability - Run SSH through the browser without requiring client software or browser plugins.»

Heu, vraiment ? Comment tu fais passer des outils comme Ansible dans ce cas ?