Je n'activerais pas les fournisseurs d'identité tiers, d'expérience c'est encore pire pour les bots.
Ce que tu peux imaginer, c'est via un cron purger chaque jour chaque compte de plus de 5 jours qui a été créé sans générer une issue ou une pull request. Je pense que la plupart des bots sont créés dans le but d'éventuellement servir si un 0day apparait sur une plateforme pour transformer la machine qui l'héberge en noeud de botnet. En attendant ils sont dormants.
Sauf que le faire au niveau de la distribution, c'est presque et un peu une perte de temps quand on parle de langage interprété qui peut être exécuté par une multitude d'OS car chaque distribution/OS doit faire le même travail. Sans compter le principe des environnements virtuels indépendants qui restent très pratique. Les repos de modules par langage ne sont pas une mauvaise idée en soi, mais la partie reviewing doit s'y faire aussi.
Et accessoirement les mainteneurs ne font pas forcément une revue de code. Il y a des failles grosses comme des baleines qui ont terminé dans les distributions, et parfois à cause des mainteneurs, la débacle openssl dans debian en est un bon exemple.
Je dis juste que sans ignorer les problèmes actuels et soulignés ici qu'il ne faut pas idéaliser le passé et que ce qu'on faisait dans le passé n'était pas forcément meilleur.
Du reste c'est pas parce qu'on est hors-ligne et qu'on fait la copie manuellement vers l'infra que le dev va lire tout le code de chaque librairie et s'assurer qu'un module n'a pas ajouté une backdoor du jour au lendemain. La plupart des devs vont seulement la choisir en se basant sur le changelog ou la liste des issues du projet pour corriger tel ou tel bug ou bénéficier d'une fonctionnalité qui les intéressent, pas lire le code lui-même. Et je ne parle même pas des librairies ou modules qui sont au 3ème ou 4e niveau de dépendance. Je dirais que c'est même un processus d'audit à part qui nécessiterait une équipe dédiée.
Dans le monde npm, il y'a des modules qui ne font qu'une poignée de lignes. D'un côté ils évoluent peu vue leur taille et sont donc facile à évaluer, de l'autre ça fait une avalanche de sous-dépendances d'un module à l'autre.
Idéalement je pense que c'est un travail que devraient faire des entités comme github/gitlab/pip/rubygems/cpan/npm.
Un developpeur devrait pouvoir pousser du code sur son repo, mais un peer review indépendant et réalisé par des personnes aguérries devrait être fait à chaque pull request.
Mais on ne peut pas compter sur du volontariat seulement pour ça, il faudrait donc abandonner l'idée que ces forges et outils de distribution ne proposent plus les librairies gratuitement. On peut imaginer un intermédiaire, ceux qui ne payent pas reçoivent tout le code sans review, ceux qui payent n'ont accès qu'à du code dont chaque pull request a été soumise à une review.
En ce temps là on gardait aussi pendant des mois/années plein de vieilles librairies et programmes troués jusqu'à la moelle parce qu'on avait peur de mettre à jour, qu'on n'avait pas d'infra CI/CD ni de contrôle qualité.
Regarder le passé avec nostalgie c'est bien, mais sans naïveté c'est mieux.
Je dirais que c'est plus important pour les captures d'écran sur le site du projet. Une fois la distrib installée le fond d'écran est la première chose qui est remplacé par ceux à qui ça importe donc au final ça peut être une simple couleur que ça ne change en rien le schmilblick.
Je dirais oublie le totalement gratuit, d'une manière ou d'une autre tu le payes et si ce n'est pas avec de l'argent, c'est avec autre chose. Commandes toi un nom de domaine chez un registrar qui propose aussi des boites mails. Moi je suis chez gandi mais il y en a d'autres. Un domaine en .fr ou .eu c'est environ 15€ par an, moins de 2€ par mois donc.
Et avec ça tu peux avoir une ou plusieurs addresse mail qui te suivent toute ta vie, pour laquelle tu peux créer autant d'aliases que tu veux, que tu peux avoir la liberté dans le futur de migrer vers de l'autohébergement (par exemple pour avoir accès à un nombre illimmité de boites/espace) ou vers un autre hébergeur quand bon te semble.
Je n'ai pas fait de forensic sur le disque dur du hp elitebook que j'ai acheté d'occasion il y a quelques années.
J'ai pu constater en revanche qu'il y avait encore une carte sim swisscom dedans et j'ai utilisé la connection 4g sporadiquement dans le train pendant 2 ans sans problème. Maintenant j'ai changé de pays donc j'ai des scrupules à faire payer des frais de roaming à l'entreprise qui paie le forfait donc j'ai arrêté. Mais manifestement ils ont des problèmes de gestion et inventaire de ce qui est utilisé ou pas.
Mais bon ça ne m'étonne pas des études ont calculé qu'en moyenne environ 30% des serveurs informatiques sont inutilisés/oubliés.
J'ai pas bien compris cette plainte sur presque la moitié de l'annonce. Surtout que le site de libreoffice ne met pas en avant une version entreprise, juste un petit lien "Business Users: click here" dans la rubrique download qui pointe vers 3 entreprises offrant du support (Adfinis, CiB) ou un produit dérivé (Collabora).
Bref je comprends que les entreprises qui payent des devs pour libreoffice aimeraient avoir un retour sur investissement, mais leur truc est très très mal formulé.
Un clavier vendu en 2021. Tu vas dans une magasin quelconque vendant des laptops, tu regardes les clavier et tu verras qu'il n'y a plus beaucoup de flèches dessinées sur les touches.
Mais problème, si on veut contrôler le volume à distance (télécommande, smartphone, satellite, etc), comment fait-on ?
On ne le fait pas. Hop, problème réglé, pas besoin d'abandonner ce potard traditionnel que l'on aime tant.
Nan mais sérieusement, s'il y a une affirmation universelle sur les télécommandes, mais qui s'applique aussi aux smartphones, c'est qu'ils ne sont jamais où on voudrait qu'ils soient et qu'on passe notre temps à les chercher. Quite à devoir se lever, autant régler le volume une fois pour toute sur l'ampli.
[^] # Re: Une phrase importante
Posté par Psychofox (Mastodon) . En réponse au journal Gitea contre les bots. Évalué à 0. Dernière modification le 12 février 2021 à 11:18.
# une option
Posté par Psychofox (Mastodon) . En réponse au journal Gitea contre les bots. Évalué à 10.
Je n'activerais pas les fournisseurs d'identité tiers, d'expérience c'est encore pire pour les bots.
Ce que tu peux imaginer, c'est via un cron purger chaque jour chaque compte de plus de 5 jours qui a été créé sans générer une issue ou une pull request. Je pense que la plupart des bots sont créés dans le but d'éventuellement servir si un 0day apparait sur une plateforme pour transformer la machine qui l'héberge en noeud de botnet. En attendant ils sont dormants.
[^] # Re: La faille entre la chaise et le clavier
Posté par Psychofox (Mastodon) . En réponse au lien Dependency Confusion: How I Hacked Into Apple, Microsoft and Dozens of Other Companies. Évalué à 6.
Sauf que le faire au niveau de la distribution, c'est presque et un peu une perte de temps quand on parle de langage interprété qui peut être exécuté par une multitude d'OS car chaque distribution/OS doit faire le même travail. Sans compter le principe des environnements virtuels indépendants qui restent très pratique. Les repos de modules par langage ne sont pas une mauvaise idée en soi, mais la partie reviewing doit s'y faire aussi.
Et accessoirement les mainteneurs ne font pas forcément une revue de code. Il y a des failles grosses comme des baleines qui ont terminé dans les distributions, et parfois à cause des mainteneurs, la débacle openssl dans debian en est un bon exemple.
[^] # Re: La faille entre la chaise et le clavier
Posté par Psychofox (Mastodon) . En réponse au lien Dependency Confusion: How I Hacked Into Apple, Microsoft and Dozens of Other Companies. Évalué à 2. Dernière modification le 11 février 2021 à 12:06.
Deadline ou pas je crois qu'on ne peut pas comparer le monde universitaire avec le monde de l'entreprise.
[^] # Re: La faille entre la chaise et le clavier
Posté par Psychofox (Mastodon) . En réponse au lien Dependency Confusion: How I Hacked Into Apple, Microsoft and Dozens of Other Companies. Évalué à 7. Dernière modification le 11 février 2021 à 12:04.
Je dis juste que sans ignorer les problèmes actuels et soulignés ici qu'il ne faut pas idéaliser le passé et que ce qu'on faisait dans le passé n'était pas forcément meilleur.
Du reste c'est pas parce qu'on est hors-ligne et qu'on fait la copie manuellement vers l'infra que le dev va lire tout le code de chaque librairie et s'assurer qu'un module n'a pas ajouté une backdoor du jour au lendemain. La plupart des devs vont seulement la choisir en se basant sur le changelog ou la liste des issues du projet pour corriger tel ou tel bug ou bénéficier d'une fonctionnalité qui les intéressent, pas lire le code lui-même. Et je ne parle même pas des librairies ou modules qui sont au 3ème ou 4e niveau de dépendance. Je dirais que c'est même un processus d'audit à part qui nécessiterait une équipe dédiée.
Dans le monde npm, il y'a des modules qui ne font qu'une poignée de lignes. D'un côté ils évoluent peu vue leur taille et sont donc facile à évaluer, de l'autre ça fait une avalanche de sous-dépendances d'un module à l'autre.
[^] # Re: La faille entre la chaise et le clavier
Posté par Psychofox (Mastodon) . En réponse au lien Dependency Confusion: How I Hacked Into Apple, Microsoft and Dozens of Other Companies. Évalué à 2.
Ça ne marche pas comme ça. On ne peut pas just "siloter" et se dire que ça va aller.
[^] # Re: La faille entre la chaise et le clavier
Posté par Psychofox (Mastodon) . En réponse au lien Dependency Confusion: How I Hacked Into Apple, Microsoft and Dozens of Other Companies. Évalué à 2.
Il y a une double négation de trop dans ma phrase sur l'abandon de la gratuité.
[^] # Re: La faille entre la chaise et le clavier
Posté par Psychofox (Mastodon) . En réponse au lien Dependency Confusion: How I Hacked Into Apple, Microsoft and Dozens of Other Companies. Évalué à 2. Dernière modification le 11 février 2021 à 10:28.
Idéalement je pense que c'est un travail que devraient faire des entités comme github/gitlab/pip/rubygems/cpan/npm.
Un developpeur devrait pouvoir pousser du code sur son repo, mais un peer review indépendant et réalisé par des personnes aguérries devrait être fait à chaque pull request.
Mais on ne peut pas compter sur du volontariat seulement pour ça, il faudrait donc abandonner l'idée que ces forges et outils de distribution ne proposent plus les librairies gratuitement. On peut imaginer un intermédiaire, ceux qui ne payent pas reçoivent tout le code sans review, ceux qui payent n'ont accès qu'à du code dont chaque pull request a été soumise à une review.
[^] # Re: La faille entre la chaise et le clavier
Posté par Psychofox (Mastodon) . En réponse au lien Dependency Confusion: How I Hacked Into Apple, Microsoft and Dozens of Other Companies. Évalué à 10.
En ce temps là on gardait aussi pendant des mois/années plein de vieilles librairies et programmes troués jusqu'à la moelle parce qu'on avait peur de mettre à jour, qu'on n'avait pas d'infra CI/CD ni de contrôle qualité.
Regarder le passé avec nostalgie c'est bien, mais sans naïveté c'est mieux.
[^] # Re: Pour ce que ça change...
Posté par Psychofox (Mastodon) . En réponse au journal Fini l'obligation de compatibilité IPv6 par la loi. Évalué à 3.
en quoi est-il plus complexe?
[^] # Re: pas vraiment mon préféré.
Posté par Psychofox (Mastodon) . En réponse au journal Mageia 8, la RC1 vient de sortir. Évalué à 5.
Je dirais que c'est plus important pour les captures d'écran sur le site du projet. Une fois la distrib installée le fond d'écran est la première chose qui est remplacé par ceux à qui ça importe donc au final ça peut être une simple couleur que ça ne change en rien le schmilblick.
# too late :)
Posté par Psychofox (Mastodon) . En réponse au lien LibreOffice 7.1 Community released by The Document Foundation. Évalué à 2.
VIEUX!!!!
# docker prune
Posté par Psychofox (Mastodon) . En réponse au message Peut on purger le contenu de /var/lib/docker/overlay2/ ?. Évalué à 4.
Pour être sûr de supprimer des choses non utilisées il convient d'utiliser la commande docker system prune (https://docs.docker.com/config/pruning/)
Il faut bien sûr faire attention si on utilises le flag --volumes de ne pas supprimer un volume qu'on aurait voulu garder/sauvegarder.
# domaine
Posté par Psychofox (Mastodon) . En réponse au message prestataire gratuit courrier électronique. Évalué à 10. Dernière modification le 05 février 2021 à 10:01.
Je dirais oublie le totalement gratuit, d'une manière ou d'une autre tu le payes et si ce n'est pas avec de l'argent, c'est avec autre chose. Commandes toi un nom de domaine chez un registrar qui propose aussi des boites mails. Moi je suis chez gandi mais il y en a d'autres. Un domaine en .fr ou .eu c'est environ 15€ par an, moins de 2€ par mois donc.
Et avec ça tu peux avoir une ou plusieurs addresse mail qui te suivent toute ta vie, pour laquelle tu peux créer autant d'aliases que tu veux, que tu peux avoir la liberté dans le futur de migrer vers de l'autohébergement (par exemple pour avoir accès à un nombre illimmité de boites/espace) ou vers un autre hébergeur quand bon te semble.
# mon expérience
Posté par Psychofox (Mastodon) . En réponse au lien Le PC d'occasion (Partie 1). Évalué à 6.
Je n'ai pas fait de forensic sur le disque dur du hp elitebook que j'ai acheté d'occasion il y a quelques années.
J'ai pu constater en revanche qu'il y avait encore une carte sim swisscom dedans et j'ai utilisé la connection 4g sporadiquement dans le train pendant 2 ans sans problème. Maintenant j'ai changé de pays donc j'ai des scrupules à faire payer des frais de roaming à l'entreprise qui paie le forfait donc j'ai arrêté. Mais manifestement ils ont des problèmes de gestion et inventaire de ce qui est utilisé ou pas.
Mais bon ça ne m'étonne pas des études ont calculé qu'en moyenne environ 30% des serveurs informatiques sont inutilisés/oubliés.
[^] # Re: Je ne suis pas convaincu par leur distinction "Community" vs "Enterprise"
Posté par Psychofox (Mastodon) . En réponse au lien LibreOffice 7.1 "Community" est sorti. Évalué à 4.
J'ai pas bien compris cette plainte sur presque la moitié de l'annonce. Surtout que le site de libreoffice ne met pas en avant une version entreprise, juste un petit lien "Business Users: click here" dans la rubrique download qui pointe vers 3 entreprises offrant du support (Adfinis, CiB) ou un produit dérivé (Collabora).
Bref je comprends que les entreprises qui payent des devs pour libreoffice aimeraient avoir un retour sur investissement, mais leur truc est très très mal formulé.
# moi ce que je me demande...
Posté par Psychofox (Mastodon) . En réponse au journal Screech bronsonnisé. Évalué à 4.
…c'est où vous trouvez les annonces mortuaires pour ces acteurs qui ont retourné dans l'anonymat total.
[^] # Re: Du coté Serveur / Station haute performance ...
Posté par Psychofox (Mastodon) . En réponse au journal Assembleur de PC en France. Évalué à -1.
Un clavier vendu en 2021. Tu vas dans une magasin quelconque vendant des laptops, tu regardes les clavier et tu verras qu'il n'y a plus beaucoup de flèches dessinées sur les touches.
[^] # Re: Du coté Serveur / Station haute performance ...
Posté par Psychofox (Mastodon) . En réponse au journal Assembleur de PC en France. Évalué à 0.
Cela-dit sur la majorité des claviers moderne il n'y a plus de flèche de dessinée sur la plupart des touches que tu as mentionné.
[^] # Re: Imprimante multi-fonctions
Posté par Psychofox (Mastodon) . En réponse au journal Maximizer, Satisficer et Achat d'une Nouvelle Imprimante. Évalué à 3.
Pour ma part ça fait belle lurette que je scan en prenant une photo et en redressant celle-ci avec mon smartphone.
[^] # Re: Qui écrit le patch ?
Posté par Psychofox (Mastodon) . En réponse au journal CVE-2021-3156 Vulnérabilité majeure dans sudo. Évalué à 7.
Non ce sont les mainteneurs de distros qui backportent le patch.
[^] # Re: Qui écrit le patch ?
Posté par Psychofox (Mastodon) . En réponse au journal CVE-2021-3156 Vulnérabilité majeure dans sudo. Évalué à 4. Dernière modification le 29 janvier 2021 à 10:06.
Il y a eu un embargo pour que les distribs majeures puissent déposer le paquet patchés sur leurs mirroirs avant l'annonce.
[^] # Re: Amidon
Posté par Psychofox (Mastodon) . En réponse au journal de l'art et la manière de faire du gratin dauphinois. Évalué à 10.
L'intérêt du gratin dauphinois, c'est justement de pas être léger.
# pas une grande nouvelle
Posté par Psychofox (Mastodon) . En réponse au lien Selon des chercheurs, les favicons peuvent être utilisées pour vous pister. Évalué à 3.
Ils étaient où ces 20 dernières années? Dans une grotte sans accès au réseau et à la civilisation?
# solution
Posté par Psychofox (Mastodon) . En réponse au journal Manifeste contre la roue codeuse. Évalué à 5. Dernière modification le 26 janvier 2021 à 14:18.
On ne le fait pas. Hop, problème réglé, pas besoin d'abandonner ce potard traditionnel que l'on aime tant.
Nan mais sérieusement, s'il y a une affirmation universelle sur les télécommandes, mais qui s'applique aussi aux smartphones, c'est qu'ils ne sont jamais où on voudrait qu'ils soient et qu'on passe notre temps à les chercher. Quite à devoir se lever, autant régler le volume une fois pour toute sur l'ampli.