Tu cites 3 cas qui ont eu certe un gros impact parce que présent longtemps et utilisés un peu partout.
Mais si tu regardes bien dans ces cas si la détection n'a pas été réalisée lors d'une review de code, avoir accès aux code source a permis aux experts sécurités de comprendre et d´identifier très rapidement la raison de la faille. Dans le cas de shellshock, le patch a été proposé par celui qui a découvert la faille.
De plus dans le cas de shellshock, ça a conduit à l'analyse par d'autre chercheurs pour trouver des failles similaires dans le code. Idem pour Heartbleed suite à son annonce de nombreuses vulnérabilitées ont été découvertes.
Donc code libre et ouvert n'est pas une garanti mais est aussi une aide à la découverte des failles même si le nerf de la guerre reste d'avoir:
- une politique de sécurité et de revue de code
- des ressources (quand heartbleed a été annoncé, openssl c'était géré par 2 devs, log4j 1 mainteneur).
- des audits réguliers. Et je dirais que ça c'est de la responsabilité de toute équipe de developpeurs utilisant une librairie. Si tu incorpores du code tiers, la bonne pratique veut que tu le fasses auditer avant, et à intervalles régulières une fois intégré.
L'ironie c'est qu'ils jouent sur la nostalgie de geocities…qui a disparu parce que c'était centralisé. Certains avaient même parlé de toute un pan de culture qui avait disparu [1]. Et ils proposent un truc tout aussi centralisé qui va aussi disparaître à terme. D'un autre côté la perte de geocities et la future perte de neocities peut aussi être vu comme une manière de faire de gros nettoyages chaque n décennies et ne pas user trop de ressources pour des trucs inutiles.
[1] certe tout le monde peut faire une sauvegarde de son site, et le site de neocities lui-même est opensource. Mais je n'ai cependant pas vu beaucoup de sites geocities réapparaitre ailleurs tels quels après sa disparition.
J'avais l'habitude de vanter les mérites de la France aux chinois, et notamment ces libertés qu'ils n'ont pas. Force est de reconnaître que la liberté d'expression en a pris un sacré coup en France (sans en être arrivé au niveau chinois, hein).
J'ai l'impression que tu conclues à l'envers. S'il y a autant de débats, trolls et discussion à n'en plus finir sur le sujet, c'est justement un signe que la liberté d'expression est toujours aussi forte qu'avant.
C'est le silence total qui est un signe de perte de liberté d'expression.
On peut même mélanger les deux, mais la comédie pornographique n'est plus un genre à la mode. Peut être est-ce une conséquence de la volonté du législateur de repousser le X loin des écrans grands publics obligeant le secteur à la surenchère hardcrade?
S'ils pouvaient déjà arrêter de quasi uniquement prétendre mettre en scène des histoires de belles-mères ou demi-sœur et de protagonistes à peine sortis de l'adolescence…c'est pas que je fétichise sur le troisième âge ou les bêtes à tentacules mais sérieux c'est quoi ce délire louche sur les histoires intrafamiliales et les "tout juste 18 ans" ?
Le Figaro, Les échos, L'Opignon, L'Express, Le Point, Le Journal du Dimanche, Valeurs Actuelles, Minute, TF1, CNews, LCI.
Et beaucoup d'autres ne sont pas forcément de gauche, certains sont plutôt au centre. Le Monde je ne le mets pas vraiment à gauche. Marianne c'est pas non plus de gauche, M6 c'est trop popu pour être de droite et de gauche.
J'ai une mauvaise expérience de duplicati. Cet outil semble corrompre ses propres bases d'index et ėtre dans l'impossibilité de les réparer en lisant les archives de backup.
J'imagine qu'ils vont faire comme d'autres services et imposer de créer un compte et fournir une photo d'un papier d'identité lorsque tu y accèdes depuis une ip geolocalisée en France.
Le problème c'est que Donald Trump a popularisé l'idiocracie et la méthode Coué comme solution à tout. Et Papap est un des ses plus émérite disciple manifestement.
Si tu as un problème, mais que les solutions qu'on te propose ne te plaisent pas ou que tu les juges contraignantes. Tu n'as qu'à te répéter à toi même jusqu'à te convaincre au choix:
- que le problème n'existe pas
- qu'il y a des solutions bien plus simples ou moins contraignantes.
J'ai vu beaucoup de parents (dont nous !) céder aux sirènes de l'homéopathie pour ce cas précis, et ce avec succès. C'est là que j'ai un doute, car l'effet placebo sur un nouveau né est limité. Cela dit, il peut encore y avoir un effet placébo sur les parents qui les rendent plus sereins, ce qui aurait un effet apaisant pour le bébé…
Ou simplement que les symptômes disparaissaient d'eux même après quelques heures/jours de toute manière. Tu ne peux faire aucune conclusion de succès avec un patient unique.
Note que l'utilisation peut aussi être interne. Par exemple une équipe de sécurité qui utilise ce genre d'outil pour scanner et fermer/mitiger toute faille en attendant que les équipes de développement/opérationnelles n'aient eu le temps de réagir.
Dans certaines boites, rien que de savoir quelle équipe maintiens quelle application peut prendre des heures, si en plus le mot équipe désigne une personne qui fait ça de façon annexe à sa fonction principale et en plus est en vacances, ça peut parfois être compliqué d'avoir des réactions rapides.
Il faut dire que le monde de l'éducation en général (ce n'est pas le seul) ne s'est pas bien préparé au travail à distance et au travail hybride [1], malgré que les outils libres comme propriétaires existent depuis fort longtemps. Ce qui me choque, c'est que je n'ai pas vu beaucoup d'amélioration en 2 ans de Covid. Ah si ma fille ainée a enfin un compte moodle (mais qui pour l'instant n'a servi qu'à délivrer un devoir.
Pour le reste rien:
- pour aménager les classes à une situation de pandémie. Dans l'école de ma fille ils travaillent toujours avec les fenêtres grandes ouvertes car aucun système de renouvellement de l'air n'a été mis en place. Un avion bondé serait plus sécurisé qu'une salle de classe.
- avoir le matériel nécessaire pour créer des locaux d'enseignements sécurisés.
- pour former les enseignants à faire de l'enseignement en ligne. Je ne parle pas seulement de formation technique. Il faut plus que des outils. Il faut que les professeurs aient des processus et des aides pour savoir comment détecter les élèves en difficultés, leur apporter l'aide qu'ils ont besoin, savoir comment personnaliser les devoirs et/ou gérer les situations ou l'enfant est dans un environnement peu propice à la concentration (problème de bruit, espace, dérangement…).
- équiper les familles avec l'équipement adéquoit.
- former les familles aux problèmes d'ergonomies
- détecter les enfants qui ne peuvent absolument pas travailler à la maison. Parce que logement trop petit pour la famille, pas de connection internet stable, impossibilité pour les parents de mettre en place l'équipement nécessaire (problèmes d'illétrisme par exemple), etc.
[1] Je pense qu'il est illusoire de penser à l'éducation à distance comme un moyen universel si une nouvelle situation nous imposait des confinements durs. Il faut donc pouvoir être préparé à un enseignement hybride où la plupart des enfants peuvent travailler à la maison, mais où ceux qui ne le peuvent pas puissent accéder à des locaux sécurisé et équipée avec le matériel nécessiare pour travailler, même si ce n'est pas l'école elle même. Par exemple aménager des grandes salles de gym / basket / courts de tennis pour accueuillir des enfants/étudiants avec suffisemment de distance entre eux pour éviter des contaminations et du personnel former pour assurer le respect des mesures d'hygiène, le calme nécessaire au travail, la gestion de pauses séparées, etc.
De toute manière c'est un peu hors-sujet l'OS dans la plupart des cas quand on parle de serveurs. La plupart des failles viennent des applis elles-même, il n'a a pas besoin d'élever des privilèges pour obtenir un shell, chiffrer ou exfiltrer des données sensibles.
Tu mentionnes la libraries log4j, la faille fonctionne autant sous linux que sous windows.
Et c'est pas l'OS qui va nous sauver des risques de library poisoning. de gestions de dépendances des librairies et de leur cycle de vie. On l'a vue avec le mainteneur de corejs qui s'est retrouvé plusieurs mois en prison, et là encore c'était vaguement pas trop mal géré dans le sens où il a prévenu avant que la sentence soit définitive mais malgré avoir délégué l'accès à son dépôt à une tierce personne les commits s'étaient réduits à peau de chagrin: https://github.com/zloirock/core-js/graphs/contributors
Même chose si un mainteneur meurt de manière subite, accepte d'introduire des failles ou ne voit pas que des contributions intègrent petit à petit des morceaux permettant de créer une faille (comme cela a été le cas sur le noyau linux via une équipe de recherche. On se rie souvent de l'ecosystem javascript/nodejs mais go, python, rust ou tout autre langage n'offrent aucune sécurité supplémentaire en rapport avec ces risques.
On a plein de souçis à se faire niveau sécurité et l'OS le plus sécurisé du monde n'y changera rien.
Ce n'est pas vraiment à toi de définir la poltique éditoriale du site en sortant une définition Larousse qui n'a rien à voir avec le contexte.
De plus si tu veux faire dans la pédanterie le mot journal est utilisé majoritairement sur internet comme la traduction littérale de log, donc de weblog que l'usage a raccourci en blog.
Bref les journaux sur linuxfr est un espace de blog ouvert aux membres et ça reste les responsable du site qui peuvent décider ce qui est accepté ou pas, ce qu'on garde ou on n'efface.
Et si ça ne te plaît pas libre à toi de publier ton blog/journal/ezine 100% centré sur « Publication quotidienne donnant des informations ou des opinions sur les nouvelles autour de Linux, de l’informatique, du logiciel libre, etc. ».
De ce que j'en sais quand j'ai commencé il y a 20-25 ans il n'y avait aucue formation ou diplôme spécifique qui correspondait à un admin sys.
À l'époque pour démontrer ses compétences il fallait donc un expérience concrète ou une certification. Les formations et certifications windows étaient déjà très populaires alors que chez Linux RHEL et Ubuntu n'existaient pas encore et la linux foundation et LPI étaient naissants ou confidentiels. Un admin linux c'était souvent aussi ou précédemment un admin unix Solaris, HPUX, AIX.
J'ai travaillé au début pour une administration gouvernementale et ils faisaient un peu dans le social, employant des chômeurs en fin de droits pour qu'ils aient une expérience concrète à mettre sur leur CV. À l'époque c'était tous des newbies sans expérience et certains étaient des branques total, mais j'en ai vu qui avaient du potentiel, généralement parce que leur difficulté d'emploi venait du racisme ambiant et pas vraiment d'eux. Bref le dénominateur commun n'était pas leur niveau mais le fait que l'assurance chômage leur avait payé tout le cursus Microsoft et qu'ils arrivaient tous certifiés. J'imagine que les touristes n'ont pas fait long feu dans l'industrie mais pas de raison que ceux qui étaient sérieux ne l'ont pas été.
Bref tout ça pour dire que l'accès à des formations d'administration de systèmes Microsoft était il n'y a pas si longtemps bien plus facile et accessible que pour Linux. Donc j'en conclut qu'il y a plus de sysadmins Microsoft expérimenté sur le marché.
Note: je parle de formations démontrées, pas de l'accès aux connaissances elles-même car ce qui n'est pas une expérience prouvée ou une certification ne compte pas
sur le marché de l'emploi.
Aucune idée si ça touche aussi le 112 mais c'est quand même effrayant de voir qu'une application que tu n'utilises pas activement (user déconnecté) peut impacter une fonction majeure d'un téléphone. D' autant plus que désinstaller teams ne solutionnerait pas le problème, il faudrait le réinstaller derrière, ce qui veut dire que ça pète un truc de manière permanente si on ne s'y reconnecte pas.
C'est essentiellement lié au fait que chacun pense à sa propre situation avant de penser global.
Imagines que tu travailles dans la ville X et que tu as acheté une maison dans la ville ou le village Y, qui n'a aucune infra de transport public pour connecter à la ville Y parce que les terrains étaient plus abordables. La municipalité de la ville X décide de privilégier les transports non motorisés, en limitant l'accès aux non riverains, en convertissant des voies doubles en voies simples et en limitant les parkings.
Que vas-tu penser? Que ta vie va être un enfer à cause de tes trajets maison-boulot et/ou que ta maison va se déprecier et va devenir invendable, tout ça parce que les habitants de la ville X l'ont décidé.
C'est en oubliant des points clés:
- c'est toi qui t'es foutu dans la merde tout seul en décidant de ne pas pouvoir voter pour des représentants municipaux dans le lieu où tu vis principalement si on exclue les heures de sommeil.
- les habitants de la ville X ont toute légitimité à limiter le traffic et dans des nombreuses villes c'est ce qui va arriver de plus en plus, puisque c'est ce qui augmente l'attrait d'une ville.
- C'est pas comme si c'était nouveau non plus, ça fait plus de 60 ans qu'on agite la sonnette d'alarme du réchauffement climatique du au co2 et plus de 40 ans qu'on voit les ville augmenter progressivement la taille des zones piétones et ça ne peut que s'accélerer. Personne ne peut dire "je ne l'ai pas vu venir" et vouloir freiner des mesures drastique parce qu'il a fait des choix immobiliers douteux.
- les sociétés humaines sont adaptatives. Ce n'est pas parce qu'il y a 0 infra maintenant pour relier la ville Y à la ville X que ce sera toujours le cas.
- la ville Y peut se développer si les gens qui y habitent décident d'y investir et y créer de l'emploi plutôt que de la traiter comme un dortoir.
- le télétravail peut être utilisé facilement pour une grande partie du secteur tertiaire. En gros tout ce qui n'implique pas d'avoir à déplacer/accéder à des objets soi-même. Et même pour pleins de commerces avec actuel présence physique, on se rend compte que depuis le Covid nombreuses interactions se font à travers d'une vitre qui pourrait être remplacé par un écran. Et le rangement et mise en place d'une boutique par les vendeur/vendeuses pourraient très bien être opéré à distances via des robots à usage multiple. On paie bien des pilotes pour commander des drones pour aller prendre des photos ou tuer dans des pays tiers, on pourrait bien payer nos vendeurs/vendeuses/manutentionnaires pour piloter des robots multifonctions et ranger les boutiques. On ne le fait pas parce qu'utiliser de la chair fraîche qui finance le pétrole elle-même pour venir travailler coûte plus cher à l'employeur que de faire travailler des robots. Mais si la société décide que la chair-fraiche n'a plus le droit ou ne peut plus payer ce pétrole pour venir travailler on s'adapte via la robotisation, relocalisation des commerces, commerce en ligne.
Je crois que c'est plutôt Manutan qui était naif et qui n'avait aucune idée de ce que couvre le support qu'ils paient.
Ils avaient un contrat de support et ils espéraient avoir le service d'un contrat d'infrastructure sous gestion externalisée. C'est pas vraiment la même chose, et encore moins le même coût.
RedHat ou Cannonical ne les aurait pas plus aidé.
Rubrik fait du logiciel de backup et récupération de données. Ça tombe bien c'est ce qu'ils avaient besoin à ce moment là.
Il faut de toute façon partir du principe qu'un serveur peut tomber à n'importe quel moment, raison pour laquelle le chaos engineering a été inventé.
Il me semble que la durée de vie moyenne d'un container dans l'infra netflix n'excède pas 3h. Dans ces conditions, les noeufs hôtes et hyperviseurs sous-jacents peuvent être drainés et redémarrés à intervalles régulières.
Bon j´ai finalement testé et le resultat est pour le moins décevant.
Le parcours que je fais habituellement est d´un peu moins de 20km. L´itinéraire que me propose google maps est quelques centaines de mètres plus long pour un peu plus de piste cyclable.
Safecycle me propose des trajets de 3 à 7km plus long, qui passent par des zones franchement bien peu cycliste friendly sans vraiment en contrepartie proposer plus de passage protégés et en prenant même un sens interdit.
Au début je me suis dit que le problème vient sûrement de osm ou brouter, mais en testant sur brouter il me propose un trajet très proche de celui que je réalise. Juste avec quelques errements passagers et inutiles en plus (dont un dans un bidonville en passant par une rue qui n´existe pas/plus!) pour éviter du traffic.
[^] # Re: Nuance...
Posté par Psychofox (Mastodon) . En réponse au journal Coût de piratage des serveurs Linux. Évalué à 5.
Tu cites 3 cas qui ont eu certe un gros impact parce que présent longtemps et utilisés un peu partout.
Mais si tu regardes bien dans ces cas si la détection n'a pas été réalisée lors d'une review de code, avoir accès aux code source a permis aux experts sécurités de comprendre et d´identifier très rapidement la raison de la faille. Dans le cas de shellshock, le patch a été proposé par celui qui a découvert la faille.
De plus dans le cas de shellshock, ça a conduit à l'analyse par d'autre chercheurs pour trouver des failles similaires dans le code. Idem pour Heartbleed suite à son annonce de nombreuses vulnérabilitées ont été découvertes.
Donc code libre et ouvert n'est pas une garanti mais est aussi une aide à la découverte des failles même si le nerf de la guerre reste d'avoir:
- une politique de sécurité et de revue de code
- des ressources (quand heartbleed a été annoncé, openssl c'était géré par 2 devs, log4j 1 mainteneur).
- des audits réguliers. Et je dirais que ça c'est de la responsabilité de toute équipe de developpeurs utilisant une librairie. Si tu incorpores du code tiers, la bonne pratique veut que tu le fasses auditer avant, et à intervalles régulières une fois intégré.
# pérennité
Posté par Psychofox (Mastodon) . En réponse au lien neocities : faire le web chouette à nouveau. Évalué à 3.
L'ironie c'est qu'ils jouent sur la nostalgie de geocities…qui a disparu parce que c'était centralisé. Certains avaient même parlé de toute un pan de culture qui avait disparu [1]. Et ils proposent un truc tout aussi centralisé qui va aussi disparaître à terme. D'un autre côté la perte de geocities et la future perte de neocities peut aussi être vu comme une manière de faire de gros nettoyages chaque n décennies et ne pas user trop de ressources pour des trucs inutiles.
[1] certe tout le monde peut faire une sauvegarde de son site, et le site de neocities lui-même est opensource. Mais je n'ai cependant pas vu beaucoup de sites geocities réapparaitre ailleurs tels quels après sa disparition.
[^] # Re: Sinon la sobriété numérique c'est sympa aussi :D
Posté par Psychofox (Mastodon) . En réponse au journal Testez vos sauvegardes !. Évalué à 6.
J'ai eu ce problème pas plus tard qu'il y a 2 mois.
[^] # Re: Mon avis
Posté par Psychofox (Mastodon) . En réponse au sondage La politique sur LinuxFr.org. Évalué à 3.
J'ai l'impression que tu conclues à l'envers. S'il y a autant de débats, trolls et discussion à n'en plus finir sur le sujet, c'est justement un signe que la liberté d'expression est toujours aussi forte qu'avant.
C'est le silence total qui est un signe de perte de liberté d'expression.
[^] # Re: Oui mais comment ?
Posté par Psychofox (Mastodon) . En réponse au lien Les sites pornos gratuits bloqués?. Évalué à 6.
S'ils pouvaient déjà arrêter de quasi uniquement prétendre mettre en scène des histoires de belles-mères ou demi-sœur et de protagonistes à peine sortis de l'adolescence…c'est pas que je fétichise sur le troisième âge ou les bêtes à tentacules mais sérieux c'est quoi ce délire louche sur les histoires intrafamiliales et les "tout juste 18 ans" ?
[^] # Re: Et une vidéo qui dénonce le silence des médias
Posté par Psychofox (Mastodon) . En réponse au journal Julian Assange a eu une attaque cérébrale à la prison de Belmarsh. Évalué à 10.
Le Figaro, Les échos, L'Opignon, L'Express, Le Point, Le Journal du Dimanche, Valeurs Actuelles, Minute, TF1, CNews, LCI.
Et beaucoup d'autres ne sont pas forcément de gauche, certains sont plutôt au centre. Le Monde je ne le mets pas vraiment à gauche. Marianne c'est pas non plus de gauche, M6 c'est trop popu pour être de droite et de gauche.
[^] # Re: Sinon la sobriété numérique c'est sympa aussi :D
Posté par Psychofox (Mastodon) . En réponse au journal Testez vos sauvegardes !. Évalué à 4.
J'ai une mauvaise expérience de duplicati. Cet outil semble corrompre ses propres bases d'index et ėtre dans l'impossibilité de les réparer en lisant les archives de backup.
[^] # Re: Oui mais comment ?
Posté par Psychofox (Mastodon) . En réponse au lien Les sites pornos gratuits bloqués?. Évalué à 5.
J'imagine qu'ils vont faire comme d'autres services et imposer de créer un compte et fournir une photo d'un papier d'identité lorsque tu y accèdes depuis une ip geolocalisée en France.
[^] # Re: Praticiens
Posté par Psychofox (Mastodon) . En réponse au journal À quoi bon le libre. Évalué à 4.
Le problème c'est que Donald Trump a popularisé l'idiocracie et la méthode Coué comme solution à tout. Et Papap est un des ses plus émérite disciple manifestement.
Si tu as un problème, mais que les solutions qu'on te propose ne te plaisent pas ou que tu les juges contraignantes. Tu n'as qu'à te répéter à toi même jusqu'à te convaincre au choix:
- que le problème n'existe pas
- qu'il y a des solutions bien plus simples ou moins contraignantes.
[^] # Re: ModemManager
Posté par Psychofox (Mastodon) . En réponse au lien Sortie de KDE Plasma Mobile 21.12 avec des améliorations importantes. Évalué à 4.
Il est vendu comme un outil de developpement il ne faut chercher rien d'autre derrière le pinephone.
[^] # Re: Praticiens
Posté par Psychofox (Mastodon) . En réponse au journal À quoi bon le libre. Évalué à 6.
Ou simplement que les symptômes disparaissaient d'eux même après quelques heures/jours de toute manière. Tu ne peux faire aucune conclusion de succès avec un patient unique.
[^] # Re: Éthique et légalité ?
Posté par Psychofox (Mastodon) . En réponse au lien Logout4Shell : Corriger la faille log4j en se servant de la faille log4j. Évalué à 8.
Note que l'utilisation peut aussi être interne. Par exemple une équipe de sécurité qui utilise ce genre d'outil pour scanner et fermer/mitiger toute faille en attendant que les équipes de développement/opérationnelles n'aient eu le temps de réagir.
Dans certaines boites, rien que de savoir quelle équipe maintiens quelle application peut prendre des heures, si en plus le mot équipe désigne une personne qui fait ça de façon annexe à sa fonction principale et en plus est en vacances, ça peut parfois être compliqué d'avoir des réactions rapides.
[^] # Re: Praticiens
Posté par Psychofox (Mastodon) . En réponse au journal À quoi bon le libre. Évalué à 6.
Il faut dire que le monde de l'éducation en général (ce n'est pas le seul) ne s'est pas bien préparé au travail à distance et au travail hybride [1], malgré que les outils libres comme propriétaires existent depuis fort longtemps. Ce qui me choque, c'est que je n'ai pas vu beaucoup d'amélioration en 2 ans de Covid. Ah si ma fille ainée a enfin un compte moodle (mais qui pour l'instant n'a servi qu'à délivrer un devoir.
Pour le reste rien:
- pour aménager les classes à une situation de pandémie. Dans l'école de ma fille ils travaillent toujours avec les fenêtres grandes ouvertes car aucun système de renouvellement de l'air n'a été mis en place. Un avion bondé serait plus sécurisé qu'une salle de classe.
- avoir le matériel nécessaire pour créer des locaux d'enseignements sécurisés.
- pour former les enseignants à faire de l'enseignement en ligne. Je ne parle pas seulement de formation technique. Il faut plus que des outils. Il faut que les professeurs aient des processus et des aides pour savoir comment détecter les élèves en difficultés, leur apporter l'aide qu'ils ont besoin, savoir comment personnaliser les devoirs et/ou gérer les situations ou l'enfant est dans un environnement peu propice à la concentration (problème de bruit, espace, dérangement…).
- équiper les familles avec l'équipement adéquoit.
- former les familles aux problèmes d'ergonomies
- détecter les enfants qui ne peuvent absolument pas travailler à la maison. Parce que logement trop petit pour la famille, pas de connection internet stable, impossibilité pour les parents de mettre en place l'équipement nécessaire (problèmes d'illétrisme par exemple), etc.
[1] Je pense qu'il est illusoire de penser à l'éducation à distance comme un moyen universel si une nouvelle situation nous imposait des confinements durs. Il faut donc pouvoir être préparé à un enseignement hybride où la plupart des enfants peuvent travailler à la maison, mais où ceux qui ne le peuvent pas puissent accéder à des locaux sécurisé et équipée avec le matériel nécessiare pour travailler, même si ce n'est pas l'école elle même. Par exemple aménager des grandes salles de gym / basket / courts de tennis pour accueuillir des enfants/étudiants avec suffisemment de distance entre eux pour éviter des contaminations et du personnel former pour assurer le respect des mesures d'hygiène, le calme nécessaire au travail, la gestion de pauses séparées, etc.
[^] # Re: Nuance...
Posté par Psychofox (Mastodon) . En réponse au journal Coût de piratage des serveurs Linux. Évalué à 7.
De toute manière c'est un peu hors-sujet l'OS dans la plupart des cas quand on parle de serveurs. La plupart des failles viennent des applis elles-même, il n'a a pas besoin d'élever des privilèges pour obtenir un shell, chiffrer ou exfiltrer des données sensibles.
Tu mentionnes la libraries log4j, la faille fonctionne autant sous linux que sous windows.
Et c'est pas l'OS qui va nous sauver des risques de library poisoning. de gestions de dépendances des librairies et de leur cycle de vie. On l'a vue avec le mainteneur de corejs qui s'est retrouvé plusieurs mois en prison, et là encore c'était vaguement pas trop mal géré dans le sens où il a prévenu avant que la sentence soit définitive mais malgré avoir délégué l'accès à son dépôt à une tierce personne les commits s'étaient réduits à peau de chagrin:
https://github.com/zloirock/core-js/graphs/contributors
Même chose si un mainteneur meurt de manière subite, accepte d'introduire des failles ou ne voit pas que des contributions intègrent petit à petit des morceaux permettant de créer une faille (comme cela a été le cas sur le noyau linux via une équipe de recherche. On se rie souvent de l'ecosystem javascript/nodejs mais go, python, rust ou tout autre langage n'offrent aucune sécurité supplémentaire en rapport avec ces risques.
On a plein de souçis à se faire niveau sécurité et l'OS le plus sécurisé du monde n'y changera rien.
[^] # Re: Ici c'est Linuxfr.org
Posté par Psychofox (Mastodon) . En réponse au journal À quoi bon le libre. Évalué à 2. Dernière modification le 12 décembre 2021 à 13:18.
Ce n'est pas vraiment à toi de définir la poltique éditoriale du site en sortant une définition Larousse qui n'a rien à voir avec le contexte.
De plus si tu veux faire dans la pédanterie le mot journal est utilisé majoritairement sur internet comme la traduction littérale de log, donc de weblog que l'usage a raccourci en blog.
Bref les journaux sur linuxfr est un espace de blog ouvert aux membres et ça reste les responsable du site qui peuvent décider ce qui est accepté ou pas, ce qu'on garde ou on n'efface.
Et si ça ne te plaît pas libre à toi de publier ton blog/journal/ezine 100% centré sur « Publication quotidienne donnant des informations ou des opinions sur les nouvelles autour de Linux, de l’informatique, du logiciel libre, etc. ».
Personne ne t'en empêche.
[^] # Re: Windows, c'est de la verole à ransomware
Posté par Psychofox (Mastodon) . En réponse au journal Coût de piratage des serveurs Linux. Évalué à 4.
Et la quantité d'argent qu'il y a dedans est de quelques centimes, bien inférieure au prix de ce porte-monnaie.
[^] # Re: Nuance...
Posté par Psychofox (Mastodon) . En réponse au journal Coût de piratage des serveurs Linux. Évalué à 4.
De ce que j'en sais quand j'ai commencé il y a 20-25 ans il n'y avait aucue formation ou diplôme spécifique qui correspondait à un admin sys.
À l'époque pour démontrer ses compétences il fallait donc un expérience concrète ou une certification. Les formations et certifications windows étaient déjà très populaires alors que chez Linux RHEL et Ubuntu n'existaient pas encore et la linux foundation et LPI étaient naissants ou confidentiels. Un admin linux c'était souvent aussi ou précédemment un admin unix Solaris, HPUX, AIX.
J'ai travaillé au début pour une administration gouvernementale et ils faisaient un peu dans le social, employant des chômeurs en fin de droits pour qu'ils aient une expérience concrète à mettre sur leur CV. À l'époque c'était tous des newbies sans expérience et certains étaient des branques total, mais j'en ai vu qui avaient du potentiel, généralement parce que leur difficulté d'emploi venait du racisme ambiant et pas vraiment d'eux. Bref le dénominateur commun n'était pas leur niveau mais le fait que l'assurance chômage leur avait payé tout le cursus Microsoft et qu'ils arrivaient tous certifiés. J'imagine que les touristes n'ont pas fait long feu dans l'industrie mais pas de raison que ceux qui étaient sérieux ne l'ont pas été.
Bref tout ça pour dire que l'accès à des formations d'administration de systèmes Microsoft était il n'y a pas si longtemps bien plus facile et accessible que pour Linux. Donc j'en conclut qu'il y a plus de sysadmins Microsoft expérimenté sur le marché.
Note: je parle de formations démontrées, pas de l'accès aux connaissances elles-même car ce qui n'est pas une expérience prouvée ou une certification ne compte pas
sur le marché de l'emploi.
[^] # Re: trop de fonctionnalités tues les fonctionnalités?
Posté par Psychofox (Mastodon) . En réponse au lien Pixel (and Microsoft Teams) prevented me from calling 911. Évalué à 2.
Note qu'ils ne parlent pas de se relogger après l'installation, donc non je crois que ça n'a rien à voir avec froisser Microsoft.
[^] # Re: Nuance...
Posté par Psychofox (Mastodon) . En réponse au journal Coût de piratage des serveurs Linux. Évalué à 8.
Je dirais que le salaire est plus une condition directe de la rareté que du niveau de compétence.
# trop de fonctionnalités tues les fonctionnalités?
Posté par Psychofox (Mastodon) . En réponse au lien Pixel (and Microsoft Teams) prevented me from calling 911. Évalué à 7. Dernière modification le 09 décembre 2021 à 10:16.
Probablement lié au developpement de cette fonctionnalité:
https://blog.enablingtechcorp.com/planning-emergency-calling-for-microsoft-teams
Aucune idée si ça touche aussi le 112 mais c'est quand même effrayant de voir qu'une application que tu n'utilises pas activement (user déconnecté) peut impacter une fonction majeure d'un téléphone. D' autant plus que désinstaller teams ne solutionnerait pas le problème, il faudrait le réinstaller derrière, ce qui veut dire que ça pète un truc de manière permanente si on ne s'y reconnecte pas.
[^] # Re: Perspective
Posté par Psychofox (Mastodon) . En réponse au lien Et si on supprimait des autoroutes pour éviter les embouteillages ? - numerama. Évalué à 2.
C'est essentiellement lié au fait que chacun pense à sa propre situation avant de penser global.
Imagines que tu travailles dans la ville X et que tu as acheté une maison dans la ville ou le village Y, qui n'a aucune infra de transport public pour connecter à la ville Y parce que les terrains étaient plus abordables. La municipalité de la ville X décide de privilégier les transports non motorisés, en limitant l'accès aux non riverains, en convertissant des voies doubles en voies simples et en limitant les parkings.
Que vas-tu penser? Que ta vie va être un enfer à cause de tes trajets maison-boulot et/ou que ta maison va se déprecier et va devenir invendable, tout ça parce que les habitants de la ville X l'ont décidé.
C'est en oubliant des points clés:
- c'est toi qui t'es foutu dans la merde tout seul en décidant de ne pas pouvoir voter pour des représentants municipaux dans le lieu où tu vis principalement si on exclue les heures de sommeil.
- les habitants de la ville X ont toute légitimité à limiter le traffic et dans des nombreuses villes c'est ce qui va arriver de plus en plus, puisque c'est ce qui augmente l'attrait d'une ville.
- C'est pas comme si c'était nouveau non plus, ça fait plus de 60 ans qu'on agite la sonnette d'alarme du réchauffement climatique du au co2 et plus de 40 ans qu'on voit les ville augmenter progressivement la taille des zones piétones et ça ne peut que s'accélerer. Personne ne peut dire "je ne l'ai pas vu venir" et vouloir freiner des mesures drastique parce qu'il a fait des choix immobiliers douteux.
- les sociétés humaines sont adaptatives. Ce n'est pas parce qu'il y a 0 infra maintenant pour relier la ville Y à la ville X que ce sera toujours le cas.
- la ville Y peut se développer si les gens qui y habitent décident d'y investir et y créer de l'emploi plutôt que de la traiter comme un dortoir.
- le télétravail peut être utilisé facilement pour une grande partie du secteur tertiaire. En gros tout ce qui n'implique pas d'avoir à déplacer/accéder à des objets soi-même. Et même pour pleins de commerces avec actuel présence physique, on se rend compte que depuis le Covid nombreuses interactions se font à travers d'une vitre qui pourrait être remplacé par un écran. Et le rangement et mise en place d'une boutique par les vendeur/vendeuses pourraient très bien être opéré à distances via des robots à usage multiple. On paie bien des pilotes pour commander des drones pour aller prendre des photos ou tuer dans des pays tiers, on pourrait bien payer nos vendeurs/vendeuses/manutentionnaires pour piloter des robots multifonctions et ranger les boutiques. On ne le fait pas parce qu'utiliser de la chair fraîche qui finance le pétrole elle-même pour venir travailler coûte plus cher à l'employeur que de faire travailler des robots. Mais si la société décide que la chair-fraiche n'a plus le droit ou ne peut plus payer ce pétrole pour venir travailler on s'adapte via la robotisation, relocalisation des commerces, commerce en ligne.
[^] # Re: Merci à Manutan
Posté par Psychofox (Mastodon) . En réponse au journal Manutan, cyberattaque et Windows/Linux . Évalué à 7. Dernière modification le 08 décembre 2021 à 17:16.
Je crois que c'est plutôt Manutan qui était naif et qui n'avait aucune idée de ce que couvre le support qu'ils paient.
Ils avaient un contrat de support et ils espéraient avoir le service d'un contrat d'infrastructure sous gestion externalisée. C'est pas vraiment la même chose, et encore moins le même coût.
RedHat ou Cannonical ne les aurait pas plus aidé.
Rubrik fait du logiciel de backup et récupération de données. Ça tombe bien c'est ce qu'ils avaient besoin à ce moment là.
[^] # Re: ha...
Posté par Psychofox (Mastodon) . En réponse au journal Manutan, cyberattaque et Windows/Linux . Évalué à 5.
Il faut de toute façon partir du principe qu'un serveur peut tomber à n'importe quel moment, raison pour laquelle le chaos engineering a été inventé.
Il me semble que la durée de vie moyenne d'un container dans l'infra netflix n'excède pas 3h. Dans ces conditions, les noeufs hôtes et hyperviseurs sous-jacents peuvent être drainés et redémarrés à intervalles régulières.
# mitigé
Posté par Psychofox (Mastodon) . En réponse à la dépêche SafeCycle - Itinéraire pour vélo, centré sur la sécurité. Évalué à 4.
Bon j´ai finalement testé et le resultat est pour le moins décevant.
Le parcours que je fais habituellement est d´un peu moins de 20km. L´itinéraire que me propose google maps est quelques centaines de mètres plus long pour un peu plus de piste cyclable.
Safecycle me propose des trajets de 3 à 7km plus long, qui passent par des zones franchement bien peu cycliste friendly sans vraiment en contrepartie proposer plus de passage protégés et en prenant même un sens interdit.
Au début je me suis dit que le problème vient sûrement de osm ou brouter, mais en testant sur brouter il me propose un trajet très proche de celui que je réalise. Juste avec quelques errements passagers et inutiles en plus (dont un dans un bidonville en passant par une rue qui n´existe pas/plus!) pour éviter du traffic.
[^] # Re: Objectif de vie inutile
Posté par Psychofox (Mastodon) . En réponse au journal Comptes de 1999 qui êtes vous?. Évalué à 6.
Pour cela il nous faudrait trouver un Lead Architect.