En 2022, il ne passe pas 2 semaines sans que revienne le sujet de poisonnements de librairies. Je m'étonne qu'il n'y ait aucune mention d'une signature obligatoire des crates par son mainteneur pour éviter de répéter les erreurs des gestionnaires de modules npm, pypi, cpan, gems.
Ça n'empêcherait pas un mainteneur de saboter son propre travail, mais ça permettrait de limiter certaines attaques, comme liées à un mainteneur perdant son domain/adresse email, de voir son repo compromis, etc.
Aussi qu'en est-il de mécanismes pour détecter le typosquatting?
Historiquement c'est vrai qu'ils avaient de l'avance. Mais aujourd'hui c'est juste un poste de dépense inutile ? non ? Les gens choisissent ça parce qu'ils sont sur qu'on ne va pas leur reprocher ? Ou il y a encore un avantage techniques ?
Dans ma boite précédente je gérait entre autres des environnements vmware.
Ça coûte cher mais admettons le ça fonctionne. Par 2x en 2 ans on a envisagé des alternatives libres et/ou moins coûteuse. Ce qui nous a fait mettre le projet en pause à chaque fois n'est pas un problème technique mais un problème d'ecosystème et de formation. Par exemple toutes les solutions de backup ont un support correct de vmware. Quand je dis support c'est qu'il te permettent à la fois de restaurer des vms complètes, en cloner et restaurer des fichiers individuels à l'intérieur d'une VM. Malheureusement on avait déjà deux solutions de backup dans la même boite suite à des aquisitions et un seul a un support très limité de KVM, ne supporte pas du tout Proxmox ou xpng/xen. Au final pour gagner du pognon en quittant vmware, on devait investir du temps et de l'argent dans d'autre chose (le backup, le monitoring, le stockage, etc). Donc il fallait commencer par uniformiser la solution de backup, en choisir une qui laisse assez de liberté en terme de solution de virtualisation supportée tout en ne perdant pas de perf/fonctionnalité comparé aux précédentes. Au niveau de la formation interne de notre équipe ça n'aurait pas été nécessairement un problème, par contre certaines filiales avaient des accès et des autonomies plus ou moins élevés sur certains environnement vsphere. Passer à un autre produit impliquait leur acceptation à eux, du coup tu dois être 100% sur de ton coup et ça demande beaucoup de temps et d'effort de test que l'on n'avait pas forcément car on était déjà beaucoup occupés sur d'autres projets.
Entre lâcher quelques centaines de milliers d'euros par an et embaucher 3-4 personnes, beaucoup préfèrent lâcher les euros. Surtout dans la situation actuelle un ingé coûte plusieurs reins par mois.
C'est plus sur le principe, on voit le pip install, voire poetry add se banaliser, et ça peut être utilisé a des fins malveillantes car un néophyte ne s'en méfiera pas du tout. Il vaut mieux éviter et surtout éviter de montrer ce mauvais exemple aux nouveaux.
Comme toujours, techniquement possible ne veut pas dire utilisable au quotidien.
En l’occurrence, y’a littéralement 0 setup à faire. L’iPad est la, macOS propose d’utiliser l’iPad (et uniquement mon iPad, pas celui de madame ou des petits) comme un écran
J'imagine que si personne n'a fait d'effort, c'est qu'on s'est tous rendu compte que ça n'intéresse que 0.001% des utilisateurs et que c'est complètement con comme usagge.
Un peu comme délocker son OS avec sa montre.
C'est du gimmick comme on dit.
Idem pour le partage de clipboard: kde requiert une appli tierce, et c’est un modèle push, pas pull. Sous macOS/iOS, tu fait littéralement un copy et un paste de l’autre côté. Pas un “sélection, share, send to”. Et visiblement, ca marche tellement bien qu’on se prend des bugs comme ca: https://bugs.kde.org/show_bug.cgi?id=410254
T'es en train de nous dire que macos a zéro bug?
Sinon pour la différence de modèle, je trouve ça bien mieux contrôlé de devoir demander expressément le partage, d'autant plus que c'est loin d'être un truc qui te sert toutes les deux minutes. Ça m'énerve déjà assez de parfois donner des informations par erreur à un moteur de recherche en collant une information du presse-papier dans la barre de navigation du navigateur.
Enfin par rapport à l'évidence du "choix tres douteux", je dirais que chacun voit midi à sa porte. En fait, il me paraît au contraire évident que c'est surtout une question d'habitude. Nous on est des utilisateurs en fenêtre unique aussi, mais justement on est de la nouvelle génération (10 ans avec GIMP). Il suffit de voir qu'au contraire, quasi tous les vieux de la vieille que je rencontre préfèrent et utilisent encore le multi-fenêtre pour bien se rendre compte que l'évidence que tu soulignes n'en est en fait absolument pas une.
C'est mon cas par exemple. Je ne vois personnellement pas ce que m'a apporté la mono fenêtre, à part moins de flexibilité quand j'utilisais plusieurs écrans.
Ah et c'est pareil pour sidecar. Un écran utilisant le dummy driver de xorg, un coup de vnc/freenx et tu ajoutes un android/ios/linux/windows/macos/bsd/whatever comme écran additionnel de ton bureau linux.
un fois que t'enleves les outils de dev (le libre ne tente pas de s'imposer face a un standard de fait proprio, le libre EST le standard dans ce monde)
Ça n'a pas toujours été le cas.
Et comme dit Zatalyz plus haut je parle de ce que je connais.
Sinon pour le coup KDEconnect sait partager le press-papier entre un android et un linux depuis 7 ans déjà. Ça sent la fonctionnalité mac inspirée de Linux pour le coup, t'es sûr que ton argumentaire n'est pas à l'envers? ;-)
Un autre truc aussi, assez courant dans les projets libres qui tente de s’imposer face un standard de fait proprio, c’est le constant retard sur la concurrence. […] Pour citer le libre: « skate where the puck is going, not where it has been ». Le libre a une forte tendance à être obnubilé avec l’état actuel/passé des choses, et à rater les virages technologiques.
C'est de la grosse généralisation. Sur certains domaines, c'est du proprio qui est à la traine.
on en parle des containers?
on en parle des frameworks web?
on en parle des microsVMs?
on pouvait faire tourner des VM sous Mac M1 avec qemu bien avant que Parrallels et VMware n'avait de solution.
on en parle de l'ergonomie des desktop (on peut aimer ou pas gnome3 et plasma mais ils sont bien en avance sur le desktop sclérosé des Mac et de Windows qui tente peinement de les singer)?
on en parle des outils de présentations comme Sozi?
on en parle des outils de gestion de machines as code?
on en parle de tous les outils de documentation/diagram as code?
Alors oui dans beaucoup de cas ce sont des projets orientés dev/services/devops/whatever et ça s'explique parce que dans de nombreux cas ils sont écris par des DEVs qui veulent résoudre un problème qui les concerne directement. Oui sur pleins de trucs les projets libres équivalents sont en retard. C'est à pondérer avec l'investissement. Je ne crois pas me tromper en disant que seul un pouillème du budget developpement mondial est investit dans du libre.
Bref ça n'a rien à voir avec un manque d'ambition ou un philosophie différente de la part des developpeurs libres et/ou proprios.
Je comprenais l'idée de s'unir face à des discriminations communes, mais de mon point de vue on aurait pu ajouter les albinos, les roux, les adeptes de telle ou telle religion, peuples indigèns, voire les athées/agnostiques dans certains pays qui sont vus comme pire que d'être d'une autre religion, etc. Bref beaucoup de gens peuvent être discriminés sur des critères divers et variés et les discriminations changent de nature suivant les cultures/juridictions.
C'est sans doute bien qu'il y ait un domaine pour traiter du sujet, mais je trouve l'argumentaire de gandi un peu foireux en associant .gay et LGBTQ+. Personnellement j'ai déjà du mal à comprendre pourquoi on mélange des concepts totalement différents et indépendants de sexualité et d'identité de genre dans un même acronyme comme si ces personnes devait forcément se sentir partie d'une identité communautaire commune.
Je ne vois pas une personne trans choisir un domaine .gay par exemple, à moins qu'elle soit trans et gay. Encore plus compliqué pour une personne se considérant asexuée, pansexuelle ou bi.
Je n'ai pas bien compris en quoi installer une surcouche supplémentaire va rendre l'aquisition et la gestion de son DNS plus facile. Il me semble que la plupart des registrars ont une interface pour changer les entrées DNS de façon simplifiée.
En général quand je me retrouve avec un fichier excel je suis perdu pour en faire quoique ce soit et finit invariablement par l'exporter en csv et utiliser awk ou ruby (avant j'utilisais perl) pour traiter les données.
D'ailleurs je dois être loin d'être le seul car j'ai vu récemment que quelqu'un a ajouté un support natif de csv dans son implémentation awk go-awk. Sans le support natif faut gérer les potentiels guillemets.
Si je devais prendre mal les commentaires pourris voire carrément hors sujet que j'ai sur le Play Store (et ailleurs)…
Mais la on parle d'un problème d'égo, encore autre chose. On peut juste s'en foutre des notes si notre but n'est pas de plaire à notre égo.
On est d'accord. Je dis juste que tout le monde n'est pas blindé de la même façon.
Après ton logiciel est utilisé dans le monde pro. Tu peux te foutre plus facilement des commentaire négatifs des individuels si le monde pro est content de ton projet.
Mais on a aussi le droit de l'autre côté de dire que l'excuse est pourrie et pas vraiment crédible.
Ben s'il est lassé/fatigué, pour moi ce n'est pas un excuse pourrie. Le playstore peut n'être que la goute d'eau de trop certe mais ce ne sera pas la première personne à quitter pour une goutte d'eau de plus.
Pourquoi pas. Mais personne ne l'oblige à diffuser que par ce biais, il est libre. Donc la logique, si on suit l'excuse, est de balancer l'upload sur Play Store, pas d'arrêter le développement. Ma critique est le soutiens à un acte (arrêter un dev) qui ne correspond pas à l'excuse sortie (Play Store c'est lassant).
Je me demande si tu défendrais de la même manière quelqu'un qui dit que c'est lassant les règles que Debian fait pour être dans leurs repos et qu'ils ne veulent pas adapter leur règles pour mon petit besoin (oui, la, j'ai un peu de proprio mais "c'est pour la bonne cause", allez arrêtez avec votre rigidité…)? Certes on n'a pas de réponse automatisée, mais une absence de réponse n'est pas mieux même quand on répond à 100% des critères (faut trouver un "sponsor" pour un paquet, les snaps ça fait hurler mais au moins snapcraft est plus accessible), perso je préfère le Play Store à Debian ou autre distros libre car eux ils répondent même pour une app "pourrie".
Je pense que si.
D'autre part une grande majorité des mainteneurs debian ne sont pas les auteurs des logiciels eux-même. En tant qu'auteur indépendant je fournirais les sources, éventuellement mon propre repo. La grande différence entre l'ecosystem debian/linux et android c'est qu'il est très facile d'héberger ses propres repos, ça ne coûte que du web statique, qu'il est facile d'automatiser la configuration de ton repo aux utilisateurs et populariser ton logiciel. Dans le monde android, la grande majorité des utilisateurs ne vont pas aller plus loin que le playstore.
Moi je ne préfère pas le playstore car il y est très difficile de trouver ce que l'on cherche si ça ne fait pas partie des grosses applis populaires. Ça et les manques de filtrages mentionnés plus haut.
Qu'il veuille arrêter faute de motivation, soit, pas la peine de se victimiser.
La victimisation c'est essentiellement le titre de hacker news. Dans le forum sur lequel il a fait l'annonce, il a invoqué une multitude de raisons et clairement dit que la partie google c'était juste le truc de trop.
Celui qui cherche de la reconnaissance sera toujours déçu à un moment. Ce n'est pas une recherche "positive".
Je suis d'accord. Mais sans chercher à la reconnaissance, si tu cherches à faire du travail correct tu vas aller lire les retours des utilisateurs. Et que tu le veuilles ou non ça va t'affecter d'une manière que chaque individu peut plus ou moins controler.
C'est plus facile pour un team de developpement qui va déléguer le support à une autre équipe. Les dev seront isolés des commentaires directes et acerbes des utilisateurs et n'auront à se concentrer que ce qui a été filtré en amont. Un indépendant n'a pas ce luxe.
Sommes-nous donc d'accord, suite à ton commentaire, pour dire plus simplement que l'auteur arrête pour punir ses utilisateurs de ne pas avoir montré assez de reconnaissance et Google d'assez d'attention?
Je dirais toujours pas. L'auteur arrête par perte de motivation. Je ne vois pas de notion de punition dans sa démarche.
Au final, suite à tes réponses ça me confirme encore plus que le titre du lien me parait encore plus faux, tu dis toi-même entre les lignes que l'auteur ne jette pas l'éponge à cause du Play Store.
Les causes sont multiples mais j'imagine que le fait de se sentir seul face à des réponses automatisés sans espoir de voir un dialogue s'instaurer reste une des causes principales et le déclencheur ultime.
Cela-dit derrière toute annonce publique il y a souvent un espoir de réaction. Ça rappelle les journaux linuxfr des mois précédents ou des fachos annoncaient leur départ dans l'espoir de déclencher un truc. En général si t'es juste plus motivé, que ce soit du developpement logiciel ou une participation à une communauté t'arrêtes juste et tu ne prends même pas la peine de l'annoncer. On vit maintenant dans un monde ou tout le monde veut faire son show et espère au moindre problème déclencher des avalanches de commentaires négatifs sur twitter pour faire plier des plus grands et voir régler ses problèmes particuliers. C'est un peu malsain mais c'est le monde dans lequel on vit. J'imagine qu'il y a un peu de ça.
Le truc c'est qu'il aurait voulu dialoguer avec Google. Le problème c'est qu'on a affaire à des bots.
Et je crois qu'au final plus que de la victimisation, c'est plutôt de la lassitude entre un processus automatisé, sans contact humain et sans souplesse et une perception de manque de reconnaissance en raison du système de reviews/note du playstore. T'as beau avoir des milliers/millions d'utilisateurs satisfaits, un dev indépendant peux être démotivé s'il lit et tente de prendre en compte chaque commentaire négatif, parfois formulé de manière très désagréable.
Dans ce sens je comprends le j'en ai marre, j'arrête et allez tous vous faire foutre!
Après je n'irai pas parler de punir les utilisateurs. Ceux-ci ne sont absolument pas laisés:
- l'appli ne se désinstalle pas des appareils lorsqu'elle est retirée du store.
- le code source est libre et l'auteur n'a pas choisis de supprimer les repos github.
- il existait déjà des forks de fairemail
Au pire du pire si le dev ne revient pas sur sa décision ils devront changer de logiciel et réaspirer tous leurs mails de leur serveur imap/pop. La belle affaire.
L'auteur d'un logiciel, à moins d'être soumis à un contrat, est libre d'abandonner le développement de son logiciel à tout moment et pour n'importe quelle raison, tout comme un artiste a le droit de décider de ne plus jouer telle ou telle chanson quelque soit les désirs de ses fans. Et encore heureux!
(en pratique, il a refusé d'afficher un avertissement sur une fuite de donnée personnelle car il estime, lui et lui seul, qu'un truc qu'il fait n'est pas une fuite de donnée personnelle)
OUI il a refusé d'afficher un avertissement sur le playstore en ajoutant le flag qui dit que des données fuites.
MAIS la fonctionnalité incriminée, qui est d'aller faire des requêtes à favicon.io en utilisant les domaines utilisés dans ta liste de contacts pour afficher l'icône correspondante, est désactivée par défaut, et t'affiches une message d'avertissement que ces données vont être uploadéss si tu souhaites l'activer.
Du coup ce n'est pas vraiment une question de gentil, de méchants et de coupables, c'est une question de manque de granularité dans la catégorisation des applis. En gros on a le choix entre mettre son appli :
- chez les gentils qui respectent ta vie privée mais sans aucune fonctionnalité optionelle qui potentiellement fuite des données.
- chez les méchants qui aspirent ta vie privée.
Alors que lui il aimerait rester gentil, parce qu'il tient à rester gentil tout en gardant la fonctionnalité optionnelle que certains utilisateurs lui ont réclamé. Alors oui il est coupable de ne pas s'être conformé aux règles du playstore, mais ça n'en fait pas de Google des gentils et on peut trouver raisonnable du point de vue d'un DEV de ne pas vouloir avoir son appli catégorisée comme spyware si une fonction optionnelle, avertissant l'utilisateur, fuite des noms de domaines d'une liste de contacts (sans fuiter les contacts directement), et de demander à Google de trouver une autre manière de faire.
Maintenant si on arrête de se mettre du côté du developpeur ou de Google qu'est-ce qu'on voit?
Que pour se conformer aux règlementations européennes Google te permets de voir si l'appli que tu veux installer peut t'envoyer de la pub ou fuiter des données personnelles. Mais qu'ils refusent délibérément d'ajouter des filtres de recherche permettant aux utilisateurs de ne chercher que parmi les applis respectant la vie privée et n'affichant pas de publicité.
Moi en tant qu'utilisateur j'aimerai pouvoir avoir ces filtres:
- applis sans pub
- applis qui n'utilisent pas de services externes du tout
- applis qui utilisent optionnellement des services externes (avec liste des fonctions et services en question dans la description de l'appli)
Le chiffrement on va dire qu'ils s'enfoutent car ce qu'ils veulent rendre obligatoire d'avoir un spyware qui analyse tes ordinateurs et ordiphones. Bref c'est chiffré de bout en bout, sauf qu'il y a des yeux et des oreilles à chaque bout.
Et en plus un truc qui sera sûrement tellement mal fait que ce sera openbar pour tout le monde.
Fedora sort 2 versions par an, octobre et avril. Donc tu auras toujours une version récente si tu ne sautes pas les versions.
Auras-tu tout le temps la toute dernière? non mais elle sera toujours récente.
Si tu veux constemment la toute dernière le mieux c'est d'utiliser un distrib en mode rolling release comme Archlinux ou de compiler kde plasma toi-même.
Sans wattmètre si chaque "colocataire" a sa VM c'est relativement facile de savoir si l'une se met à consommer beaucoup plus que les autres et discuter avec son utilisateur. J'imagine que l'auteur du journal va monitorer les usages.
qu'en est-il de la licence pro permettant d'augmenter les quotas de téléchargement vers le Docker-hub. Dans une entreprise qui fait un peu de Devops avec des containers Docker sur une forge Gitlab avec des runners, il se trouve que les quotas peuvent être assez vite consommé: 100 téléchargements toutes les 6 heures.
Si tu utilises gitlab, tu peux utiliser la registry de gitlab. Ça limite largement les pulls à faire sur le docker hub.
On peut critiquer le fait que docker propose des applis proprios mais je trouve normal qu'il monétisent un accès au repo après une certaine limite étant donné les coûts d'infrastructure que cela apporte. Ça ne bloque pas les usages léger / hobby et les business peuvent choisir de payer, financer toute autre alternative et/ou maintenir leurs images de base. On peut déjà faire plein de truc avec une dockerfile FROM scratch.
Ce ne sont pas les perfs qui me chagrinent si je mets docker dans une VM, c'est le fait que je dois réserver par avance la mémoire et l'espace disque… et ça vraiment, surtout pour la mémoire, c'est un grosse perte en pratique (docker a fait sa pub comme étant beaucoup plus rapide / flexible que les VM, c'est quand même marrant de le voir se justifier d'être dans une VM, même si c'est pour les développeurs…).
Ça peut être vu de deux manières:
- comme une perte (selon toi).
- comme un gain de contrôle.
Ce qui aurait été bien c'est de pouvoir choisir, comme sur le client podman desktop mentionné plus haut (qui supporte aussi docker).
A moins de ne jamais accéder à la moindre donnée du Hub, ce qui me laisse particulièrement songeur…
Soit-dit en passant sur une distro du monde redhat et avec podman, les repos redhat sont proposés en premier et quay est aussi proposé en plus du docker hub si on ne précise pas le préfix docker.io avec l'image.
En même temps sous linux si tu mets un utilisateur régulier dans le groupe docker (ce que beaucoup de gens faisaient par défaut), docker devient une faille de sécurité béante.
Et quand tu vois le bordel de manipulations pour juste faire tourner docker en mode rootless tu comprends vite leur intérêt d'encapsuler le tout dans une boite noire pas libre: https://docs.docker.com/engine/security/rootless/
Les autres n'ont pas attendu et utilisent déjà podman depuis quelques années.
# et les signatures?
Posté par Psychofox (Mastodon) . En réponse à la dépêche Alire, le package manager d'Ada. Évalué à 8.
En 2022, il ne passe pas 2 semaines sans que revienne le sujet de poisonnements de librairies. Je m'étonne qu'il n'y ait aucune mention d'une signature obligatoire des crates par son mainteneur pour éviter de répéter les erreurs des gestionnaires de modules npm, pypi, cpan, gems.
Ça n'empêcherait pas un mainteneur de saboter son propre travail, mais ça permettrait de limiter certaines attaques, comme liées à un mainteneur perdant son domain/adresse email, de voir son repo compromis, etc.
Aussi qu'en est-il de mécanismes pour détecter le typosquatting?
[^] # Re: Un peu de crainte pour le coût de maintenance ...
Posté par Psychofox (Mastodon) . En réponse au journal Broadcom rachète VMware. Évalué à 10.
Dans ma boite précédente je gérait entre autres des environnements vmware.
Ça coûte cher mais admettons le ça fonctionne. Par 2x en 2 ans on a envisagé des alternatives libres et/ou moins coûteuse. Ce qui nous a fait mettre le projet en pause à chaque fois n'est pas un problème technique mais un problème d'ecosystème et de formation. Par exemple toutes les solutions de backup ont un support correct de vmware. Quand je dis support c'est qu'il te permettent à la fois de restaurer des vms complètes, en cloner et restaurer des fichiers individuels à l'intérieur d'une VM. Malheureusement on avait déjà deux solutions de backup dans la même boite suite à des aquisitions et un seul a un support très limité de KVM, ne supporte pas du tout Proxmox ou xpng/xen. Au final pour gagner du pognon en quittant vmware, on devait investir du temps et de l'argent dans d'autre chose (le backup, le monitoring, le stockage, etc). Donc il fallait commencer par uniformiser la solution de backup, en choisir une qui laisse assez de liberté en terme de solution de virtualisation supportée tout en ne perdant pas de perf/fonctionnalité comparé aux précédentes. Au niveau de la formation interne de notre équipe ça n'aurait pas été nécessairement un problème, par contre certaines filiales avaient des accès et des autonomies plus ou moins élevés sur certains environnement vsphere. Passer à un autre produit impliquait leur acceptation à eux, du coup tu dois être 100% sur de ton coup et ça demande beaucoup de temps et d'effort de test que l'on n'avait pas forcément car on était déjà beaucoup occupés sur d'autres projets.
Entre lâcher quelques centaines de milliers d'euros par an et embaucher 3-4 personnes, beaucoup préfèrent lâcher les euros. Surtout dans la situation actuelle un ingé coûte plusieurs reins par mois.
[^] # Re: XDG
Posté par Psychofox (Mastodon) . En réponse à la dépêche Environnement moderne de travail Python. Évalué à 3.
Corrigé pour toi ;-)
J'attends le ah oui mais c'est pas pareil.
[^] # Re: Ça n’est pas parce qu’on peut faire quelque chose des outils qu’ils ne sont pas ...
Posté par Psychofox (Mastodon) . En réponse au journal PAO, graphisme et colorimétrie dans le libre. Évalué à 4.
J'imagine que si personne n'a fait d'effort, c'est qu'on s'est tous rendu compte que ça n'intéresse que 0.001% des utilisateurs et que c'est complètement con comme usagge.
Un peu comme délocker son OS avec sa montre.
C'est du gimmick comme on dit.
T'es en train de nous dire que macos a zéro bug?
Sinon pour la différence de modèle, je trouve ça bien mieux contrôlé de devoir demander expressément le partage, d'autant plus que c'est loin d'être un truc qui te sert toutes les deux minutes. Ça m'énerve déjà assez de parfois donner des informations par erreur à un moteur de recherche en collant une information du presse-papier dans la barre de navigation du navigateur.
[^] # Re: Ça n’est pas parce qu’on peut faire quelque chose des outils qu’ils ne sont pas ...
Posté par Psychofox (Mastodon) . En réponse au journal PAO, graphisme et colorimétrie dans le libre. Évalué à 9.
C'est mon cas par exemple. Je ne vois personnellement pas ce que m'a apporté la mono fenêtre, à part moins de flexibilité quand j'utilisais plusieurs écrans.
[^] # Re: Ça n’est pas parce qu’on peut faire quelque chose des outils qu’ils ne sont pas ...
Posté par Psychofox (Mastodon) . En réponse au journal PAO, graphisme et colorimétrie dans le libre. Évalué à 9. Dernière modification le 26 mai 2022 à 13:58.
Ah et c'est pareil pour sidecar. Un écran utilisant le dummy driver de xorg, un coup de vnc/freenx et tu ajoutes un android/ios/linux/windows/macos/bsd/whatever comme écran additionnel de ton bureau linux.
Et c'est possible depuis une éternité.
[^] # Re: Ça n’est pas parce qu’on peut faire quelque chose des outils qu’ils ne sont pas ...
Posté par Psychofox (Mastodon) . En réponse au journal PAO, graphisme et colorimétrie dans le libre. Évalué à 9.
Ça n'a pas toujours été le cas.
Et comme dit Zatalyz plus haut je parle de ce que je connais.
Sinon pour le coup KDEconnect sait partager le press-papier entre un android et un linux depuis 7 ans déjà. Ça sent la fonctionnalité mac inspirée de Linux pour le coup, t'es sûr que ton argumentaire n'est pas à l'envers? ;-)
[^] # Re: Ça n’est pas parce qu’on peut faire quelque chose des outils qu’ils ne sont pas ...
Posté par Psychofox (Mastodon) . En réponse au journal PAO, graphisme et colorimétrie dans le libre. Évalué à 9. Dernière modification le 25 mai 2022 à 23:13.
C'est de la grosse généralisation. Sur certains domaines, c'est du proprio qui est à la traine.
Alors oui dans beaucoup de cas ce sont des projets orientés dev/services/devops/whatever et ça s'explique parce que dans de nombreux cas ils sont écris par des DEVs qui veulent résoudre un problème qui les concerne directement. Oui sur pleins de trucs les projets libres équivalents sont en retard. C'est à pondérer avec l'investissement. Je ne crois pas me tromper en disant que seul un pouillème du budget developpement mondial est investit dans du libre.
Bref ça n'a rien à voir avec un manque d'ambition ou un philosophie différente de la part des developpeurs libres et/ou proprios.
[^] # Re: argumentaire
Posté par Psychofox (Mastodon) . En réponse au lien Nom de domaine en .gay, l’extension engagée. Évalué à 3.
Merci pour ces indices très instructifs!
Je comprenais l'idée de s'unir face à des discriminations communes, mais de mon point de vue on aurait pu ajouter les albinos, les roux, les adeptes de telle ou telle religion, peuples indigèns, voire les athées/agnostiques dans certains pays qui sont vus comme pire que d'être d'une autre religion, etc. Bref beaucoup de gens peuvent être discriminés sur des critères divers et variés et les discriminations changent de nature suivant les cultures/juridictions.
# argumentaire
Posté par Psychofox (Mastodon) . En réponse au lien Nom de domaine en .gay, l’extension engagée. Évalué à 7. Dernière modification le 25 mai 2022 à 08:57.
C'est sans doute bien qu'il y ait un domaine pour traiter du sujet, mais je trouve l'argumentaire de gandi un peu foireux en associant .gay et LGBTQ+. Personnellement j'ai déjà du mal à comprendre pourquoi on mélange des concepts totalement différents et indépendants de sexualité et d'identité de genre dans un même acronyme comme si ces personnes devait forcément se sentir partie d'une identité communautaire commune.
Je ne vois pas une personne trans choisir un domaine .gay par exemple, à moins qu'elle soit trans et gay. Encore plus compliqué pour une personne se considérant asexuée, pansexuelle ou bi.
# surcouche
Posté par Psychofox (Mastodon) . En réponse à la dépêche happyDomain - On devrait tous avoir un nom de domaine. Évalué à 10.
Je n'ai pas bien compris en quoi installer une surcouche supplémentaire va rendre l'aquisition et la gestion de son DNS plus facile. Il me semble que la plupart des registrars ont une interface pour changer les entrées DNS de façon simplifiée.
[^] # Re: Premiers souvenirs
Posté par Psychofox (Mastodon) . En réponse au lien Le tableur Lotus 1-2-3 fonctionne sous Linux 30 ans après sa sortie. Évalué à 7.
En général quand je me retrouve avec un fichier excel je suis perdu pour en faire quoique ce soit et finit invariablement par l'exporter en csv et utiliser awk ou ruby (avant j'utilisais perl) pour traiter les données.
D'ailleurs je dois être loin d'être le seul car j'ai vu récemment que quelqu'un a ajouté un support natif de csv dans son implémentation awk go-awk. Sans le support natif faut gérer les potentiels guillemets.
[^] # Re: petit resumé
Posté par Psychofox (Mastodon) . En réponse au lien Le développeur de FairEmail jette l'éponge après que Google a classé l'app libre comme spyware. Évalué à 10.
On est d'accord. Je dis juste que tout le monde n'est pas blindé de la même façon.
Après ton logiciel est utilisé dans le monde pro. Tu peux te foutre plus facilement des commentaire négatifs des individuels si le monde pro est content de ton projet.
Ben s'il est lassé/fatigué, pour moi ce n'est pas un excuse pourrie. Le playstore peut n'être que la goute d'eau de trop certe mais ce ne sera pas la première personne à quitter pour une goutte d'eau de plus.
Je pense que si.
D'autre part une grande majorité des mainteneurs debian ne sont pas les auteurs des logiciels eux-même. En tant qu'auteur indépendant je fournirais les sources, éventuellement mon propre repo. La grande différence entre l'ecosystem debian/linux et android c'est qu'il est très facile d'héberger ses propres repos, ça ne coûte que du web statique, qu'il est facile d'automatiser la configuration de ton repo aux utilisateurs et populariser ton logiciel. Dans le monde android, la grande majorité des utilisateurs ne vont pas aller plus loin que le playstore.
Moi je ne préfère pas le playstore car il y est très difficile de trouver ce que l'on cherche si ça ne fait pas partie des grosses applis populaires. Ça et les manques de filtrages mentionnés plus haut.
La victimisation c'est essentiellement le titre de hacker news. Dans le forum sur lequel il a fait l'annonce, il a invoqué une multitude de raisons et clairement dit que la partie google c'était juste le truc de trop.
Je suis d'accord. Mais sans chercher à la reconnaissance, si tu cherches à faire du travail correct tu vas aller lire les retours des utilisateurs. Et que tu le veuilles ou non ça va t'affecter d'une manière que chaque individu peut plus ou moins controler.
C'est plus facile pour un team de developpement qui va déléguer le support à une autre équipe. Les dev seront isolés des commentaires directes et acerbes des utilisateurs et n'auront à se concentrer que ce qui a été filtré en amont. Un indépendant n'a pas ce luxe.
Je dirais toujours pas. L'auteur arrête par perte de motivation. Je ne vois pas de notion de punition dans sa démarche.
Les causes sont multiples mais j'imagine que le fait de se sentir seul face à des réponses automatisés sans espoir de voir un dialogue s'instaurer reste une des causes principales et le déclencheur ultime.
Cela-dit derrière toute annonce publique il y a souvent un espoir de réaction. Ça rappelle les journaux linuxfr des mois précédents ou des fachos annoncaient leur départ dans l'espoir de déclencher un truc. En général si t'es juste plus motivé, que ce soit du developpement logiciel ou une participation à une communauté t'arrêtes juste et tu ne prends même pas la peine de l'annoncer. On vit maintenant dans un monde ou tout le monde veut faire son show et espère au moindre problème déclencher des avalanches de commentaires négatifs sur twitter pour faire plier des plus grands et voir régler ses problèmes particuliers. C'est un peu malsain mais c'est le monde dans lequel on vit. J'imagine qu'il y a un peu de ça.
[^] # Re: petit resumé
Posté par Psychofox (Mastodon) . En réponse au lien Le développeur de FairEmail jette l'éponge après que Google a classé l'app libre comme spyware. Évalué à 8. Dernière modification le 20 mai 2022 à 11:12.
Le truc c'est qu'il aurait voulu dialoguer avec Google. Le problème c'est qu'on a affaire à des bots.
Et je crois qu'au final plus que de la victimisation, c'est plutôt de la lassitude entre un processus automatisé, sans contact humain et sans souplesse et une perception de manque de reconnaissance en raison du système de reviews/note du playstore. T'as beau avoir des milliers/millions d'utilisateurs satisfaits, un dev indépendant peux être démotivé s'il lit et tente de prendre en compte chaque commentaire négatif, parfois formulé de manière très désagréable.
Dans ce sens je comprends le j'en ai marre, j'arrête et allez tous vous faire foutre!
Après je n'irai pas parler de punir les utilisateurs. Ceux-ci ne sont absolument pas laisés:
- l'appli ne se désinstalle pas des appareils lorsqu'elle est retirée du store.
- le code source est libre et l'auteur n'a pas choisis de supprimer les repos github.
- il existait déjà des forks de fairemail
Au pire du pire si le dev ne revient pas sur sa décision ils devront changer de logiciel et réaspirer tous leurs mails de leur serveur imap/pop. La belle affaire.
L'auteur d'un logiciel, à moins d'être soumis à un contrat, est libre d'abandonner le développement de son logiciel à tout moment et pour n'importe quelle raison, tout comme un artiste a le droit de décider de ne plus jouer telle ou telle chanson quelque soit les désirs de ses fans. Et encore heureux!
[^] # Re: petit resumé
Posté par Psychofox (Mastodon) . En réponse au lien Le développeur de FairEmail jette l'éponge après que Google a classé l'app libre comme spyware. Évalué à 10.
La réalité est un peu plus nuancée que ça.
OUI il a refusé d'afficher un avertissement sur le playstore en ajoutant le flag qui dit que des données fuites.
MAIS la fonctionnalité incriminée, qui est d'aller faire des requêtes à favicon.io en utilisant les domaines utilisés dans ta liste de contacts pour afficher l'icône correspondante, est désactivée par défaut, et t'affiches une message d'avertissement que ces données vont être uploadéss si tu souhaites l'activer.
Du coup ce n'est pas vraiment une question de gentil, de méchants et de coupables, c'est une question de manque de granularité dans la catégorisation des applis. En gros on a le choix entre mettre son appli :
- chez les gentils qui respectent ta vie privée mais sans aucune fonctionnalité optionelle qui potentiellement fuite des données.
- chez les méchants qui aspirent ta vie privée.
Alors que lui il aimerait rester gentil, parce qu'il tient à rester gentil tout en gardant la fonctionnalité optionnelle que certains utilisateurs lui ont réclamé. Alors oui il est coupable de ne pas s'être conformé aux règles du playstore, mais ça n'en fait pas de Google des gentils et on peut trouver raisonnable du point de vue d'un DEV de ne pas vouloir avoir son appli catégorisée comme spyware si une fonction optionnelle, avertissant l'utilisateur, fuite des noms de domaines d'une liste de contacts (sans fuiter les contacts directement), et de demander à Google de trouver une autre manière de faire.
Maintenant si on arrête de se mettre du côté du developpeur ou de Google qu'est-ce qu'on voit?
Que pour se conformer aux règlementations européennes Google te permets de voir si l'appli que tu veux installer peut t'envoyer de la pub ou fuiter des données personnelles. Mais qu'ils refusent délibérément d'ajouter des filtres de recherche permettant aux utilisateurs de ne chercher que parmi les applis respectant la vie privée et n'affichant pas de publicité.
Moi en tant qu'utilisateur j'aimerai pouvoir avoir ces filtres:
- applis sans pub
- applis qui n'utilisent pas de services externes du tout
- applis qui utilisent optionnellement des services externes (avec liste des fonctions et services en question dans la description de l'appli)
[^] # Re: petit resumé
Posté par Psychofox (Mastodon) . En réponse au lien Le développeur de FairEmail jette l'éponge après que Google a classé l'app libre comme spyware. Évalué à 6.
Ils ne communiquent pas parce qu'il n'y a personne derrière. C'est tout automatisé.
# pas vraiment le chiffrement
Posté par Psychofox (Mastodon) . En réponse au lien « Il semble vraiment que la Commission européenne veuille annuler le chiffrement ». Évalué à 7. Dernière modification le 16 mai 2022 à 16:49.
Le chiffrement on va dire qu'ils s'enfoutent car ce qu'ils veulent rendre obligatoire d'avoir un spyware qui analyse tes ordinateurs et ordiphones. Bref c'est chiffré de bout en bout, sauf qu'il y a des yeux et des oreilles à chaque bout.
Et en plus un truc qui sera sûrement tellement mal fait que ce sera openbar pour tout le monde.
[^] # Re: Changer de distribution
Posté par Psychofox (Mastodon) . En réponse à la dépêche Sortie de Fedora Linux 36. Évalué à 5.
Fedora sort 2 versions par an, octobre et avril. Donc tu auras toujours une version récente si tu ne sautes pas les versions.
Auras-tu tout le temps la toute dernière? non mais elle sera toujours récente.
Si tu veux constemment la toute dernière le mieux c'est d'utiliser un distrib en mode rolling release comme Archlinux ou de compiler kde plasma toi-même.
[^] # Re: Toujours excellent
Posté par Psychofox (Mastodon) . En réponse à la dépêche Sortie de Fedora Linux 36. Évalué à 8.
Moi je suis aussi satisfait. J'ai 5 laptops et 2 VPS sous Fedora depuis la 26 ou 27, zéro critique à formuler.
[^] # Re: oui et non
Posté par Psychofox (Mastodon) . En réponse au journal Lancement de la Coloc, partage de serveurs chez un particulier. Évalué à 4.
Sans wattmètre si chaque "colocataire" a sa VM c'est relativement facile de savoir si l'une se met à consommer beaucoup plus que les autres et discuter avec son utilisateur. J'imagine que l'auteur du journal va monitorer les usages.
[^] # Re: Ce n'est pas nouveau
Posté par Psychofox (Mastodon) . En réponse au journal La Poste ne distribue plus le courrier et le jette à la poubelle. Évalué à 4.
Montes une instance zulip rapidement alors ;-)
[^] # Re: License?
Posté par Psychofox (Mastodon) . En réponse au journal Docker Desktop 4 Linux et rootless containers. Évalué à 5. Dernière modification le 13 mai 2022 à 13:46.
Si tu utilises gitlab, tu peux utiliser la registry de gitlab. Ça limite largement les pulls à faire sur le docker hub.
On peut critiquer le fait que docker propose des applis proprios mais je trouve normal qu'il monétisent un accès au repo après une certaine limite étant donné les coûts d'infrastructure que cela apporte. Ça ne bloque pas les usages léger / hobby et les business peuvent choisir de payer, financer toute autre alternative et/ou maintenir leurs images de base. On peut déjà faire plein de truc avec une dockerfile FROM scratch.
[^] # Re: Modèle de conteneurisation
Posté par Psychofox (Mastodon) . En réponse au journal Docker Desktop 4 Linux et rootless containers. Évalué à 4.
Ça peut être vu de deux manières:
- comme une perte (selon toi).
- comme un gain de contrôle.
Ce qui aurait été bien c'est de pouvoir choisir, comme sur le client podman desktop mentionné plus haut (qui supporte aussi docker).
[^] # Re: Podman-Desktop-Companion
Posté par Psychofox (Mastodon) . En réponse au journal Docker Desktop 4 Linux et rootless containers. Évalué à 4.
Soit-dit en passant sur une distro du monde redhat et avec podman, les repos redhat sont proposés en premier et quay est aussi proposé en plus du docker hub si on ne précise pas le préfix docker.io avec l'image.
[^] # Re: Modèle de conteneurisation
Posté par Psychofox (Mastodon) . En réponse au journal Docker Desktop 4 Linux et rootless containers. Évalué à 5.
En même temps sous linux si tu mets un utilisateur régulier dans le groupe docker (ce que beaucoup de gens faisaient par défaut), docker devient une faille de sécurité béante.
Et quand tu vois le bordel de manipulations pour juste faire tourner docker en mode rootless tu comprends vite leur intérêt d'encapsuler le tout dans une boite noire pas libre:
https://docs.docker.com/engine/security/rootless/
Les autres n'ont pas attendu et utilisent déjà podman depuis quelques années.