Pinaraf a écrit 3671 commentaires

Cette comparaison est complètement stupide, une théorie est plus abstraite qu'un logiciel, n'en déplaise à certains.

Une entreprise réalise un pont.
Des gens l'utilisent.
Et un jour, on tombe sur un os, un défilé militaire passe et leur rythme de marche fait s'effondrer le pont à cause d'une erreur de conception.
L'entreprise qui a conçu le pont est responsable des dégâts.

Si tu as besoin d'un certain niveau de sécurité, tu fais appelle à des personnes ou une structure qui te la fournis contre rémunération. Mais développer un logiciel et assurer un certains niveau de sécurité peuvent être effectué par deux entités différentes. Entités qui peuvent collaborer.

Et c'est exactement pour ça qu'on se retrouve dans la merde niveau sécurité informatique. Si tu penses pouvoir assurer la sécurité a posteriori, c'est pas ta tonne de sparadrap, même payée très cher, qui réglera le problème.

Et même si tu définit des domaines spécifiques, ça ratisse large car ça peut inclure tout noyau, toutes bibliothèques ou autre brique logiciel pouvant être utilisé dans ce domaine. Donc une bonne partie des logiciels libres existants.

Donc se pose la question de la responsabilité. Un gus tout seul dans son garage peut-il être responsable, non. Google, Github, oui. Quelqu'un qui en a fait son travail à temps plein, là par contre, ça devient carrément discutable.
Mais en aucun cas la distinction ne doit se faire sur libre/pas libre, militer en ce sens aboutira soit à une loi inutile puisque ne couvrant pas le problème qu'on a aujourd'hui, soit en l'absence de prise en compte du besoin d'exemption pour des cas très précis.

Mais imposer, pour chaque logiciel, des obligations qui limiteraient la possibilité de création à quelques industriels avec énormément de capital, c'est juste faire de la programmation un privilège qui ne pourra que servir les intérêt d'une haute bourgeoisie.

Je suggère de lire le projet de directive avant de sortir ce genre de phrase.

Si tu développes un logiciel pour, par exemple, compter le nombre de clics sur un bouton, tu n'es pas ciblé par la directive. Pareil pour un logiciel pour gérer une collection de cartes à collectionner, un jeu…
L'objet de la directive reste d'être proportionné aux risques, toute la difficulté de ce genre de travail législatif étant d'exprimer cela correctement.

L'étude d'impact identifiait d'ailleurs des domaines spécifiques, à savoir «Smart Manufacturing, Finance, Energy, Transport and Smart Home».

Donc, pour éviter les abus d'industriels, établissons des règles qui privilégient les plus gros industriels ?

C'est vrai qu'aujourd'hui il n'y a rien qui privilégie les plus gros industriels tiens… combien d'OS mobiles sont réellement utilisés et utilisables sans compromis majeurs ? combien de moteurs de navigateur web ? Puis la tendance avec l'IA ne va pas du tout dans cette direction…

Donc mettons, je fais une app qui devient populaire mais qui traite des données de l'utilisateur, et que je diffuse sous licence libre. Si dedans j'inclue une bibliothèque vérolée volontairement ou non qui va voler les données des utilisateurs, en l'état actuel, je ne peux pas en être tenu pour responsable ?

Le cas des données personnelles est différent à cause du RGPD, si je ne m'abuse, même si là je pense que tu tombes dans un «trou» réglementaire, ce serait à un juge de déclarer si tu es coupable ou non (bon courage à lui).
Ce projet de loi va plus loin en incluant les conséquences possibles en cyber-sécurité.
Imaginons qu'une entreprise vende un logiciel de stockage de mots de passe, et que, oops, ça se fait trouer et les mots de passe partent dans la nature. Aujourd'hui, l'entreprise peut se cacher derrière la licence (sauf à démontrer une faute grave, à nouveau, bon courage), alors qu'avec ce projet de loi il y aura une obligation de moyens minimale pour la sécurité. Est-ce-que ça supprimerait tous les problèmes de sécurité ? Bien sûr que non. Mais quand on se prend une faille de type log4j ou heartbleed, la moindre des choses c'est que les entreprises les utilisant mettent à jour promptement.

Donc tu veux que les auteurs de logiciels libres, en plus de se faire "piller" (selon tes termes, personnellement je pense qu'il faut chercher à développer des mécanismes qui permettent une meilleure répartition des revenus au sein de la chaîne d'approvisionnement logicielle), soient soumis à une responsabilité sur les logiciels qu'ils développent ?

Donc tu veux que Google soit irresponsable pour le tas de hack qu'est Android ?

Et tu peux tartiner de périphrases comme tu veux, une entreprise qui fait son beurre sur le dos des autres, c'est du pillage, que les autres aient été d'accord ou non. Dernier exemple que j'ai vu passer : https://twitter.com/maximilianhils/status/1680193548212228097

L’étude d’impact de la Commission estime à 30% l’augmentation des coûts de développement pour les PME, ce qui est largement supérieur aux marges habituellement constatées dans le secteur.

Hé ben, il faudrait peut-être commencer par là ? Les prix sont-ils maintenus artificiellement bas par l'exploitation d'une armée de développeurs de composants libres récupérés par des pillards dans le but de les commercialiser ?
Note, j'entends bien que la licence permette ce pillage, et que pour les développeurs à la base, ce soit un objectif entendu. Mais il est plus que temps de cesser de se voiler la face, le monde de l'informatique est merdique avec une fuite complète de leurs responsabilités par les éditeurs. Dans tous les autres corps d'ingénierie, l'entreprise est responsable (de ses ponts, trains, voitures, avions…). Alors pourquoi est-ce-que dans l'informatique on jette un pudique voile d'irresponsabilité avec une licence ?

Pour revenir sur le projet de loi :

Selon le projet de texte actuel du comité ITRE, dont des éléments ont été publiés par GitHub la semaine dernière, tout projet de logiciel libre qui compte parmi ses contributeurs des employés d’une entreprise est considéré comme une activité commerciale

Mais heureusement, sinon la solution est évidente : créer un projet bidon à côté, y coller tout le code, et avoir une entité en face qui le commercialise. Et qui s'appeleriot Android, comme disait la pub.

Donc oui, tel qu'il est défini actuellement, ce projet est problématique, mais il est quasi impossible de différencier un vrai projet libre (par exemple PostgreSQL) d'une coquille pour entreprise peu scrupuleuse (Android/AOSP). Je n'ai pas la réponse à cette question, je ne sait pas comment une jurisprudence pourrait s'établir là dessus…

Après tu as choisi de tout passer en 64 bits… Ce n'était pas la seule option, tu pouvais passer le noyau en 64 bits (option supportée par raspbian) et ne migrer en aarch64 que ce qui t'importait (vu ton article, je dirais PHP uniquement)…

J'ai déjà par le passé fait une mise à jour à chaud, sans réinstallation, d'une Debian i386 vers amd64…
Alors pourquoi ne pas l'avoir fait comme ça ? :)

Grosso modo,

dpkg --add-architecture aarch64
apt update
apt install logicielx:aarch64

(Bon faut commencer par le noyau évidemment)

euh le logiciel de contrôle parental?
Putain tu lâche pas ton môme dans la rue sans un semblant d'explication; tu le laisse pas conduire sans lui avoir appris et lorsque tu pars en via ferrata ou accrobranche tu écoutes le tutoriel du guide.

Heu, doucement hein, je pense pas avoir parlé de laisser des mômes en ligne comme ça.

Le logiciel de contrôle parental n'est pas une option envisagée par l'état semble-t-il, puisqu'il a créé tout ce pataques en rendant les sites pornos responsables du filtrage, avec comme autres leviers d'action envisagés les navigateurs web (sigh) et les FAI (re-sigh).

L'astuce c'est de citer wikipedia pour ne pas rentrer dans un débat en plus face à des gens de droite qui se sentent persécutés…

Qui implémentera le blocage du .xxx derrière ?

• Le FAI ? Facile de contourner, surtout avec DNS over TLS
• Le navigateur web ? Idem, facile
• Heu, ben il reste qui ?

l'extrème gauche est au pouvoir, pas au gouvernement oui, mais dans les régions, dans les départements et les villes…

Je veux bien la liste, pour les régions par exemple… En excluant les territoires d'outre-mer (parce que je ne connais pas assez les partis locaux), nous avons 5 régions qui ne sont pas dirigées par la droite ou le centre-droit :
- Occitanie : Carole Delga, PS
- Nouvelle Aquitaine : Alain Rousset, PS
- Bourgogne-Franche-Comté : Marie-Guite Dufay, PS
- Centre-Val de Loire : François Bonneau, PS
- Bretagne : Loïg Chesnais-Girard, «Alliance progressiste des Socialistes et Démocrates de Bretagne»

Dans le cas du PS, la définition sur wikipedia : «Le Parti socialiste (PS) est un parti politique français historiquement classé à gauche sur l’échiquier politique et depuis les années 2010, à gauche et au centre gauche.»
Donc reste les bretons, le président du conseil est issu du PS.

Donc «l'extrème gauche» n'est au pouvoir dans aucune région.

Puisque Linux.fr semble être devenu un blog politique

Linuxfr.org (Linux.fr ? n'importe quoi) est et a toujours été politique, puisque c'est la conséquence même des principes du logiciel libre.

Simple curiosité de ma part, comment fonctionne ce mécanisme de récompense ? Il me semble que c'est la première fois que deux mois hors été sont ainsi groupés depuis plusieurs années, et le mois d'avril a disparu dans l'opération.
Vous devez négocier avec des «sponsors» ? Ou ils vous donnent un quota de récompenses que vous devez alors répartir sur l'ensemble des contributions sur une période ?

Oula faut pas titiller les défenseurs de KDE 1, ils ont une mauvaise fois dont on a plus l'habitude.

Merci :)

Note, je n'ai jamais utilisé KDE 1, j'ai commencé avec le 2.0. C'est juste la comparaison idiote que je trouve… ben… idiote.

Au passage, le saviez-vous ? L'interface de Windows 95 était optionnelle, à l'installation on pouvait choisir de booter sur le "Program Manager" de Windows 3.11…

Il est moins proche que serenity, mais l'explorateur de fichier, les décorations de fenêtre, le menu "démarré" et la barre des tâches sont très inspirés. Vu la capture je dirais qu'ils se sont inspiré mais n'ont pas cherché à reproduire et ont donc fais des choses en plus et rendu les choses paramétrables.

Tout comme Windows 95 était très inspiré d'autres éléments de l'époque, eux-mêmes très inspirés d'autres qui ont précédé… Et c'est le fond de ma réaction au final, je trouve ça insultant pour le projet KDE de systématiquement l'abaisser à une "copie de l'interface de Windows". Il faut être aveugle ou d'extrême mauvaise foi pour dire que la différence entre KDE 1.0 et Windows 95 est minime.

Ou alors à mon tour tiens, je me lance : je trouve que la différence entre Gnome 42 et notepad.exe est minime. (bah oui, à force de retirer des fonctionnalités…)

KDE 1.0 et FVWM95 étaient déjà sur le créneau, la différence avec windows était minime.

Alors pour FVWM95 je ne dirais pas, mais pour KDE 1.0… Je vois toujours pas.

https://llu.is/wp-content/uploads/2009/08/KDE_1.0.jpg

Si ressemble à Windows tout système avec une barre en bas de l'écran… Que dire de par exemple CDE sorti avant Windows 95 ?

C'est juste irréaliste de s'attendre à ce que chaque bootloader fasse tout ce travail sur chaque carte ARM ou RISC-V qui existe.

Alors je ne suis pas beaucoup intervenu dans ce fil, mais note bien que ma déception est quant au choix d'UEFI, pas quant au choix d'avoir un firmware ou non. Je maudis les cartes ARM "nues".
D'ici quelques semaines (le temps de finir le remplacement de mon serveur actuel un peu limite) je n'aurai plus que des cartes ARM64 équipées d'un Petitboot. Et pour le coup, ça me semble répondre au problème bien plus proprement qu'un UEFI : au lieu d'avoir une réinvention de toute la pile de stockage, le réseau, l'affichage et je ne sais combien d'autres pilotes, on prend un noyau Linux et on le colle dans l'EEPROM, et une simple appli en espace utilisateur, remplaçable/bidouillable à souhait, s'occupe d'afficher un menu, charger l'OS cible…

Le but dans Ladybird est de ne pas utiliser QtWebEngine. Et je suppose qu'à la base, le développement de Ladybird permet d'avoir un navigateur dans Serenity sans avoir à supporter l'immensité des dépendances de Blink, WebKit ou Gecko.

Dans la doc où j'ai découvert de projet, il est question d'une image EFI de GRUB, logée dans la partition EFI, et qui serait exécutée par U-Boot. Quand tu as parlé d'UEFI, j'ai pensé que tu parlais du firmware de la carte.

Une image EFI de grub implique qu'un environnement UEFI tourne, avec tous ses "Boot Services" et tout le toutim.
D'ailleurs ton lien sur OpenSBI mentionne bien l'idée de reprendre EDK2, implémentation libre d'UEFI…

L'article parle clairement d'une partition EFI, je suppose pour désigner une partition d'UUID C12A7328-F81F-11D2-BA4B-00A0C93EC93B sur une table GPT, ie une "EFI System Partition".
Si le but est d'utiliser une partition ESP pour ne pas y stocker des exécutables EFI mais plutôt pour y stocker des fichiers arbitraires, mea culpa dans ce cas, mais c'est un détournement dégueulasse.
Je pensais qu'il s'agissait plutôt de ce genre d'utilisation d'u-boot, dans l'exemple ici pour le projet Fedora qui souhaiterait ne pas se poser la question et avoir un environnement UEFI au démarrage, y compris sur les x86 à BIOS…
https://lists.fedoraproject.org/archives/list/devel@lists.fedoraproject.org/thread/GOETDM5SWINBX5ZDV37SWMHIPRRUVVTT/
Et si on est dans ce cas, je trouve ça terriblement triste. J'ai déjà goûté de loin à de l'OpenFirmware, et de plus près à du PetitBoot, et je trouve PetitBoot extraordinaire par rapport à l'enfer d'un UEFI. (Et quand j'aurai du temps libre, je finirai ce que je compte bidouiller sur PetitBoot et j'en ferai un journal, promis.)
Je ne comprends pas pourquoi on s'imposerait cette calamité sur des plateformes qui n'ont clairement pas mérité ça.

Yay, encore des machines où on va mettre de l'UEFI parce que … parce que quoi en fait ? y'a un Windows RISC-V prévu bientôt, avec uniquement le support de ce firmware ?

Par curiosité, est-ce que le rapport coût/bénéfice est bien raisonnable?

Coût : tu l'as dit.
Bénéfice : ne pas perdre des (gros) clients qui exigent ça parce que c'est dans la liste des cases à cocher…

Donc… oui c'est raisonnable, même si c'est assez idiot d'en arriver à mettre ça en place.

C'est hélas un regrettable oubli, mais moins grave pour les distributions où c'est bien empaqueté.

Idem pour jGnash alors, il n'était pas nécessaire de dire qu'il dépend de Java puisque s'il est bien empaqueté tout roule.
Et c'est la même chose pour tous les autres. Ils vont dépendre de compilateurs, de bibliothèques et d'autres éléments qui font que l'empaquetage doit être bien fait.

Donc : pourquoi faire une différence sur Java ?

Bref, pour moi, c'est justement pareil que d'indiquer qu'il faut Mono (ce n'est pas juste un binaire statique ni un script qu'on passe à un interpréteur.)

Alors pourquoi n'est-il pas indiqué qu'il faut Mono pour Denaro ?
(Et j'ai pas essayé, mais normalement on peut désormais faire des binaires à partir de projets Java…)