Il y a probablement quelques autres coquilles dans ma recopie (mais aussi plusieurs dans l'original que j'ai corrigées, la technologie de correction orthographique sur les machines à écrire de l'époque n'était pas ce qu'elle est aujourd'hui).
J'essaierai peut-être de vectoriser proprement tous les schémas un de ces jours, mais ça ne sera pas pour tout de suite. Et puis peut être qu'on perd la mise en contraste entre le travail réalisé, moderne pour l'époque, et la mise en page à la machine à écrire avec les images insérées à la main (et pas toujours bien droit).
Il me manque également quelques références que je n'ai pas réussi à identifier ou à trouver sur internet (j'ai peu d'espoir pour certaines qui sont probablement des documents internes de la SESCOSEM, mais au moins pour les articles publiés dans Electronics, ça devrait être possible). Les titres et auteurs des articles ne semblent pas toujours très rigoureusement retranscrits, ça ne facilite pas les recherches.
Pour ceux qui voudraient lire la suite (en quelque sorte), la thèse de troisième cycle de Philippe Matherat se trouve sur sa page personnelle
C’est une énorme source de financement qui disparaît mais ce n’est pas la seule et des scientifiques qui ont fuis leur pays on en a un certain nombre d’exemple.
Chaque scientifique qui passe du temps à chercher des financements ou à quitter son pays, c'est un scientifique qui ne passe pas du temps à faire des recherches sur le changement climatique. Et ça marche de façon plus globale. Pas mal de monde doit déjà être occupé à gérer le grand n'importe quoi (annuler des licensiements de fonctionnaires clairement abusifs, etc), mais quand on est face à un tel torrent de caca, c'est difficile de suivre le rythme et ça va pas être le moment propice pour des enquètes de fond ou quoi que ce soit d'autre qui fasse avancer les choses.
Je ne comprend pas de quoi tu parles quand il s'agit de "contourner des niveaux de sécurité"?
On parle de commandes de debug qui permettent au logicieltournant sur la puce de manipuler le composant bluetooth présent également sur la puce.
Si le code n'utilisepas ces commandes (ce qui est probable, puisqu'elles ne sont pas documentées), il ne se passe rien.
Espressif utilisent probablement ces commandes dans leurs développements internes et ça pourrait être pratique de les avoir sous la main hour déployer un patch depuis un driver, un jour.
Dans le cadre d'un scénario d'attaque: pour exploiter ces commundes, il faut déjà être en mesure d'exécuter du code sur la puce. D'où le fait que ça ne soit pas vraiment une backdoor, ça en serait une si on pouvait accéder à ces commandes directement depuis le bluetooth par exemple et dire à la puce "hey donne moi un dump de ton firmware qui est censé être protégé"
Maintenant, dans le cadre d'une attaque sur du matériel utilisant un ESP32, ces commandes pourraient être utilisées pour faire une "escalation de privilèges" comme on dit: une fois que l'attaquant a réussi à exécuter du code pouvant communiquer avec le composant bluetooth, il pourrait trouver un moyen d'exploiter ces commandes pour, peut-être, réussir à injecter du code quelque part (dans le noyau? Dans le firmware bluetooth?) Et ainsi gagner des permissions supplémentaires. Mais ça, c'est le cas de n'importe quel bout de logiciel.
La chose un peu dommage, c'est que ça ne soit pas documenté. Quelqu'un qui aurait tenté de sécuriser par tous les moyens son matériel, pourrait donc être surpris de découvrir ce possible vecteur d'attaque auquel il n'aurait pas pensé.
Il faut être un peu large sur les bans. Pour ma part j'ai fini par exclure toutes les IP de Meta, de Alibaba Cloud, et de Huawei par exemple.
Cela ne va probablement pas perturber les utilisateurs normaux de mon site.
En complément, j'ai aussi un système de ban à partir du user agent:
Le robot fait une ou plusieurs requêtes sur le serveur HTTP
Le serveur répond avec une erreur spécifique (erreur 403 indiquant un accès refusé) pour les user agent que j'ai bloqués (principalement ceux qui ne respectent pas le Crawl-Delay du robots.txt et génèrent plus de traffic que tous les visiteurs non-robotiques combinés).
Fail2ban surveille les logs du serveur HTTP, toute IP qui déclenche des erreurs 403 va assez rapidement être bannie au niveau du pare-feu.
Cette deuxième protection prend un peu de temps à faire effet, mais déjà le fait de retourner une erreur 403 au lieu d'une vraie page au niveau du serveur web, ça réduit considérablement la charge CPU.
Ensuite on peut consulter la liste d'IP bannies par fail2ban, trouver les plages d'IP correspondantes à l'aide d'un whois IP, et décider s'il s'agit d'un range à bloquer manuellement ou pas.
Pas de problème, mon message écrit un peu vite n'était pas très clair, c'est mieux avec un vrai clavier et le temps pour mettre les liens vers les choses auxquelles je voulais faire référence. Comme ça les gens qui n'ont pas déjà lu cette page (ou vécu cette époque sur IRC) comprendront mieux ce que je voulais dire :)
Le cas IRC est un peu différent: Freenode a explosé à cause de la gestion catastrophique de son admin. Les gens sont parti vers LiberaChat (en majorité) ou vers OFTC (qui existait déjà avant, mais moins connu), mais ce sont les deux principaux réseaux. Je n'ai plus aucun contact sur Freenode.
Je ne parlais pas de ça, je parlais du netsplit à l'époque où IRC n'était vraiment qu'un seul réseau fédéré à ses débuts.
À cette époque là il y avait beaucoup plus de conflits entre les opérateurs de différents serveurs qui avaient des règles et pratiques de modération très différentes. La solution a été d'arrêter la fédération globale et d'avoir à la place plusieurs réseaux. Voir cette page qui résume cette histoire.
Freenode est arrivé un peu plus tard.
ce vieux réseau, passé de mode, attire surtout des devs pour des projets libres
Il existe plein d'autres communautés IRC toujours plus ou moins actives. Et qui, même avec beaucoup moins d'utilisateurs, demandent beaucoup plus de modération qu'un canal IRC de projet opensource. La relativé anonymité des utilisateurs (pas de création de compte) fait que c'est un endroit où certaines personnes se croient tout permis. La liste des canaux les plus fréquentés sur Europnet par exemple est assez révéltatrice.
J'ai appris à passer du QWERTY (espagnol) à l'AZERTY sur différentes machines, et ça fonctionne assez bien (avec un petit temps d'adaptation quand je n'ai pas utilisé une disposition depuis quelques temps).
Je ne sais pas si c'est plus ou moins facile quand ce sont deux dispositions très différentes. Il faudra demander aux bilingues bépo-azerty, s'il y en a parmi nous.
On a un petit peu d'expérience sur les trop gros services fédérés avec IRC (la fédération initiale a fini par exploser, il y a plein de "réseaux" indépendants maintenant) et avec Usenet (décentralisé pour la distribution des messages, mais hiérarchisé avec une organisation assez stricte pour la création des groupes, et des possibilités de modération adaptée au sein de chaque groupe de discussion).
C'est vrai que le fédiverse, ou en tout cas Mastodon, passe un peu à côté de tout ça[je ne saurais pas dire si c'est inhérent au protocole ActivityPub ou plutôt de la façon dont il est utilisé par les applications).
Le clavier Frogpad est prévu pour l'utilisation à une main. Cela repose sur l'utnlisation de combinaisons de touches (modifieurs sous le pouce) pour taper toutes les lettres et symboles avec relativement peu de touches.
Il est parfait soit pour le combiner avec une souris, soit pour le porter en (gros) bracelet en combinaison avec un téléphone.
Problème: il n'est plus fabriqué depuis longtemps. Il faudra donc choisir soit une réalisation DIY (on trouve des modèles pour cela), soit une keymap qui s'en rapproche sur un clavier classique.
Pour les plus anciennes, ça peut être très compliqué parce que les jeux exploitent le matériel de façon assez directe.
La N64 est la première où le matériel était assez complexe et les jeux (au moins les premiers sortis) se sont contentés d'exploiter une bibliothèque de fonctions standard.
C'est ce qui a permis une émulation plutôt efficace de certains jeux peu après la sortie de la console avec UltraHLE. Le processeur MIPS de la console était émulé mais tous les appels à l'OS / la bibliothèque standard étaient interceptés et redirigés vers une réimplémentation vers la machine hôte.
Par contre sur d'autres machines (et pour d'autres jeux sur cette console), les choses sont beacoup moins standardisées.
Sur les jeux et consoles modernes, par contre, on retrouve les mêmes technologies un peu partout. Il est donc plus facile d'intercepter, disons, les shaders et les appels à OpenGL.
La dernière console à disposer d'un matériel vraiment spécifique doit être la PS3 avec ses processeurs "cells"?
Il s'agit uniquement du circuit imprimé de la carte mère. Il faut fournir tous les composants à souder dessus, que vous pourrez difficilement trouver à moins de les dé-souder d'une console existante pour les plus importants (conçus spécifiquement pour Nintendo et pas commercialisés par ailleurs).
En revanche la compatibilité avec la console originale devrait être de 100%, pas d'émulation douteuse ici!
Je crois qu'on peut facilement remplacer "l'IA" par "internet" dans cet article pour avoir la version d'il y a 20 ans. Ou alors par "langage de programmation structuré" pour avoir la version d'il y a 40 ans quand les gens pensaient que comprendre et maîtriser son code, ça voulait dire tout écrire en assembleur.
Aujourd'hui beaucoup de mes collègues seraient bien en difficulté pour travailler sans internet, et moi-même je serai beaucoup moins efficace s'il fallait tout faire en assembleur.
Mais au final, le gros du travail, ce n'est pas d'écrire le code. C'est surtout de comprendre ce qu'il faut que le code fasse, vérifier qu'il n'y a pas d'incohérences, essayer de penser à tous les cas imprévus, et structurer tout ça de façon à ce que ça puisse être calculé efficacement par un ordinateur. Il se trouve que l'écriture sous forme de code m'aide à réfléchir à ces problèmes et à structurer les choses. Je ne pense pas pouvoir y parvenir en discutant avec une IA. Peut-être que d'autres personnes y parviendront mieux de cette façon. Peut-être que ça remplacera les développeurs, mais plus probablement qu'avant ça, ça remplacera ou complétera les applications no-code et les tableurs Excel avec des macros compliquées?
Et, comme beaucoup de choses en informatique, on en est à l'étape où tout le monde essaie d'en mettre partout, il faut attendre un peu que ça se décante et voir ce qui est utile ou pas, avec un peu de recul. Et aussi ce qui est économiquement rentable et écologiquement viable. Moi, c'est surtout ce dernier point qui m'inquiète, parce qu'avant d'être un développeur, je suis d'abord un être vivant organique qui a besoin d'une planète et de son écosystème en bon état de fonctionnement. Sinon, l'IA devra se débrouiller sans moi.
Le risque principal à mon avis, c'est le vol ou la suppression des données de l'utilisateur. Le système étant pensé pour un seul utilisateur, il n'y a pas vraiment les problématiques que se pose unix, qui consistent à protéger les utilisateurs les uns des autres.
Il faudrait surtout protéger les applications les unes des autres, ce qui est un problème assez différent et pour lequel Haiku dispose déjà des protections les plus classiques (mémoire virtuelle, etc) même s'il y a royen de faire beaucoup mieux.
J'utilise Haiku comme système principal sur mes machines depuis au moins 10 ans. Il est fonctionnel, et je ne suis pas le seul à faire ça, certains utilisateurs ont même migré directement depuis BeOS ce qui doit donc leur faire une trentaine d'années d'utilisation au total.
Personellement c'est mon système d'exploitation principal et je n'en voudrais aucun autre à la place.
Mais sinon, en effet cela n'a aucun rapport avec le fait que le code soit sous license libre. Il me semble que MorphOS, un système hropriétaire et commercial avec une popularité comparable, ne fait pas mieux. Il me semble aussi que des projets libres comme Mozilla dépensent des millions dans des sujets douteux ou simplement dans la rémunération de leurs directeurs.
Dans le cas de Haiku, ce budget réduit est un peu volontaire: c'est lié au fait que le système ne soit toujours qu'en version beta au bout de 25 ans. On est bien en dehors des normes de productivité habituelles du monde moderne, et il y a peu de publicité pour attirer des utilistaeurs pour l'instant (on cherche plutôt des développeurs). Et peut-être qu'un projet open source, ou plutôt sans vocation commerciale (ce qui n'est pas lié), est une bonne façon de se permettre une telle folie. Le tout sans trop de pression et de responsabilités ou de comptes à rendre à qui que ce soit.
Ceux de Haiku inc sont assez peu ciblés avec des buts comme "améliorer fonctionner le navigateur web" ou "travailler sur tous les problèmes qui sont dans la feuille de route pour la version 1". Comme les personnes employées ont toute la confiance du reste de l'équipe, cela fonctionne assez bien.
Par contre, c'est vrai que certaines des idées les plus innovantes (voir presque farfelues) dans Haiku sont venues de personnes qui n'étaient pas payées pour cela. Ce n'est pas forcément une fatalité, mais plutôt que Haiku inc va avoir tendance à établir des contrats pour les tâches que personne ne veut faire.
Pourquoi personne ne veut faire une tâche? Soit parce qu'elle est ennuyeuse et avec peu de retours (refactorisation d'une partie du code qui ne va pas immédiatement apporter de nouvelles fonctionalités), soit parce qu'elle demande un investissement de temps trop important (il y a certains problèmes que je ne parviens pas à corriger simplement parce qu'il me faut 2 jours pour me remémorer toutes les discussions, relire le code, me souvenir comment ça fonctionne et ce qu'il faut changer, et après le week-end est fini).
D'autre part, il me semble que Waddlesplash développe certains projets pour ou avec Haiku qui ne sont pas financés par Haiku inc, et c'était également mon cas lorsque j'étais employé par Haiku. Si le contrat ne définit pas un nombre d'heures fixe par mois, c'est donc tout à fait modulable en fonction de la motivation et/ou du besoin de gagner des sous.
mais peut-on au moins verrouiller sa session pour éviter qu'un plaisantin ne vienne changer le fond d'écran en notre absence ?
Oui bien sûr, c'est disponible dans les paramètres de l'écran de veille.
Il y a également du travail en cours sur le chiffrement des disques (c'est déjà possible mais pas pour le disque de démarrage).
Il faut voir aussi qu'être non root peut permettre éviter les dommages sur les tables de partition des disque/SSD, de péter les différents firmwares qui peuvent être accessibles depuis le système, de sniffer le trafic réseau, etc.
Oui, je n'ai pas dit que c'était inutile, c'est simplement un choix de priorité. Il y a aussi quelques contraintes techniques, cela va probablement un peu casser la compatibilité avec BeOS, qui était importante à l'époque où le choix des fonctionnalités pour la version 1 a été fait.
Pour l'instant l'objectif est de publier une version 1 avec un périmètre à peu près fixe. Cela dit, si quelqu'un se lance dans l'amélioration de la sécurité et la possiblité d'avoir des utilisateurs à accès restreint, et si c'est bien fait, on ne fera pas de difficulté pour intégrer ces changements.
Et en usage serveur (ce qui n'est pas la cible de Haiku d'après ce que j'ai compris, mais il existe quand même des composants) l'absence de multi utilisateurs et de séparation des droits me paraît être un point bloquant.
Oui. N'utilisez pas Haiku sur un serveur, ce n'est pas fait pour, et ce n'est qu'une seule parmi de nombreuses raisons pour cela.
impossible de brancher le téléphone pour débugger en mode adb ou pour d'autres types de transfert (si c'est collé, sinon effectivement ça se débranche) (le kuula semble ne pas avoir ce problème…)
Non, pas de problème avec ça, le câble laisse très bien passer les données. J'utilise souvent mon téléphone en partage de connexion par USB sans aucun problème par exemple.
Par contre c'est équivalent à un câble USB 2: il n'y a qu'une seule paire différentielle de données (contre 3 paires en USB3), et il ne faut pas s'attendre à envoyer des mégawatts à travers.
C'est bien suffisant pour mon usage: recharge lente de la batterie pendant la nuit, et le téléphone tient sans problème toute la journée en général (sauf utilisation du GPS et/ou de l'écran en pleine luminosité quand je fait du vélo toute la journée, mais c'est pas souvent).
Je vois que le n'ai pas répondu au titre du commentaire. On fait par habitude le lien entre la sécurité et la gestion de multiples utilisateurs.
Ce n'est pas vraiment pertinent sur une machine de bureau dans un écosystème moderne. Il est surtout important d'isoler les applications les unes des autres, voire même certaines parties d'une application entre elles (par exemple, les sites webs chargés dans deux onglets d'un navigateur web ne devraient pas pouvoir communiquer entre eux), et aussi l'isolation entre les applications et le matériel (qui a le droit d'accéder à la webcam? d'écrire ou de lire sur le disque?).
Il est probable que Haiku implémentera un jour un modèle un peu similaire à celui de Android, avec des permissions attribuées à chaque application. Mais là aussi, c'est un chantier qui va probablement attendre la publication de la version 1, et qui ne manquera pas de faire râler quelques utilisateurs historiques de BeOS et Haiku qui sont très attachés à leurs vieilles habitudes (nous avons pu le constater avec l'introduction d'un système de gestion de paquets qui interdit de faire des modifications trop directement dans le système).
L'association Haiku inc essaie de ne pas influencer le développement du projet. Les propositions de choses ou de personnes à financer doivent être faites par les développeurs du projet.
Pour l'instant, personne ne s'est porté volontaire pour être rémunéré aux côtés de Waddlesplash, que ce soit en cryptomonnaies ou en monnaie sonnante et trébuchante. Si une telle candidature survenait et était acceptée, je ne doute pas que Haiku inc trouvera un moyen de faire parvenir l'argent à son destinataire.
Pour l'instant la gestion des fonds est prudente, et il est n'est pas certain que les candidatures de personnes externes au projet n'ayant pas déjà contribué par ailleurs seraient acceptées. Et parmi les développeurs actifs actuellement, plusieurs ont choisi la sécurité de l'emploi (et la rémunération plus élevée) qu'on peut trouver ailleurs que dans un projet de logiciels libres.
C'est mon cas par exemple: après une année passée à travailler à plein temps pour Haiku, j'ai repris un emploi salarié dans une entreprise classique, ce qui représente pour moi plus de visibilité sur ma rémunération (à l'époque, Haiku inc n'avait pas de telles réserves, et mon contrat était renouvellé d'un mois sur l'autre en fonction des donnations). Aujourd'hui, j'ai acheté un appartement, je suis endetté sur 25 ans, ce n'est pas forcément le bon moment pour se relancer dans une telle aventure. Par contre, j'envisage sérieusement de mettre mon travail salarié à temps partiel pour pouvoir passer plus de temps sur Haiku (ou plutôt, de passer autant de temps sur Haiku mais d'avoir plus de temps pour me reposer le week-end).
Je ne parle même pas de la situation des collègues contributeurs à Haiku qui ont un ou plusieurs enfants à leur charge, ou de ceux qui ont moins de contraintes, mais aussi moins de sous de côté pour prendre le risque d'un emploi à durée incertaine.
Certains d'entre eux sont très expérimentés et vivent dans des pays où le salaire devrait avoir un chiffre de plus pour être attractif. Tout le monde n'est pas prêt à accepter le compromis que fait Waddlesplash (combinant un taux horaire plutôt bas et un temps partiel) pour parvenir à un paiement de moins de 30 000$ par an (brut, il faut encore en soustraire les taxes).
Et même si c'était le cas, on pourra encore être critique sur le fait qu'un projet de logiciel libre choisit de sous-rémunérer ses contributeurs, contribuant ainsi à la casse du progrès social, à la baisse des salaires et à l'appauvrissement des travailleurs salariés.
Le noyau implémente tout le nécessaire. Par exemple on peut créer plusieurs utilisateurs pour les connexions par SSH. Mais l'interface graphique est pour l'instant pour un seul utilisateur.
Cela fera partie des gros changements à faire après la sortie de la version R1 de Haiku. Cette version a déjà pris largement assez de temps comme ça, donc certaines fonctionnalités ont du être laissées de côté pour l'instant, et le support de multiples utilisateurs en session graphiques en fait partie.
Oui j'ai utilisé un pistolet à colle pour fixer l'adaptateur. En petite quantité (il n'y a pas besoin que ce soit très très solide), donc je ne pense pas que ça chauffe assez pour démagnétiser l'aimant? D'après supermagnete il faudrait tout de même chauffer à 80° avant d'avoir une perte de magnétisme permanente.
J'ai quelques collègues qui ont testé de poser des questions techniques sur du développement linux (dont les réponses se trouvent dans les pages de manuel). Ça marche si on pose la question classique. Ça répond à côté si on pose une question sur une fonctionnalité rarement utilisée et dont les données d'entraînement parlent peu ou pas.
Dans le cas des release notes de Linux par exemple, l'IA n'aura accès qu'à ce qu'on lui donne. Tout le contexte de chaque changement qui a été discuté sur les mailing lists du noyau ou ailleurs, après l'entraînement du modèle, il ne va pas te l'inventer. Si on veut en faire une dépêche intéressante, c'est ce genre d'information qu'il faut aller chercher. Sinon on ne fait que remuer des informations déjà connues et sous un format déjà digéré.
Je ne dis pas que ça n'a pas d'intérêt, par exemple si tu as besoin de remplir un dossier de subvention ou d'appel à projet où tout le monde met le même discours à chaque fois. Mais, à mon avis, pas sur un site qui traite d'actualités et sur un sujet un peu pointu.
[^] # Re: Une petite mine d'or…
Posté par pulkomandy (site web personnel, Mastodon) . En réponse au journal La thèse de Jean Gastinel: conception et intégration d'un terminal alphanumérique (1977). Évalué à 7.
J'ai rajouté les 2 images manquantes.
Il y a probablement quelques autres coquilles dans ma recopie (mais aussi plusieurs dans l'original que j'ai corrigées, la technologie de correction orthographique sur les machines à écrire de l'époque n'était pas ce qu'elle est aujourd'hui).
J'essaierai peut-être de vectoriser proprement tous les schémas un de ces jours, mais ça ne sera pas pour tout de suite. Et puis peut être qu'on perd la mise en contraste entre le travail réalisé, moderne pour l'époque, et la mise en page à la machine à écrire avec les images insérées à la main (et pas toujours bien droit).
Il me manque également quelques références que je n'ai pas réussi à identifier ou à trouver sur internet (j'ai peu d'espoir pour certaines qui sont probablement des documents internes de la SESCOSEM, mais au moins pour les articles publiés dans Electronics, ça devrait être possible). Les titres et auteurs des articles ne semblent pas toujours très rigoureusement retranscrits, ça ne facilite pas les recherches.
Pour ceux qui voudraient lire la suite (en quelque sorte), la thèse de troisième cycle de Philippe Matherat se trouve sur sa page personnelle
[^] # Re: Attaque de Trump contre le GIEC
Posté par pulkomandy (site web personnel, Mastodon) . En réponse au lien America is Going Just Great (timeline). Évalué à 5.
Chaque scientifique qui passe du temps à chercher des financements ou à quitter son pays, c'est un scientifique qui ne passe pas du temps à faire des recherches sur le changement climatique. Et ça marche de façon plus globale. Pas mal de monde doit déjà être occupé à gérer le grand n'importe quoi (annuler des licensiements de fonctionnaires clairement abusifs, etc), mais quand on est face à un tel torrent de caca, c'est difficile de suivre le rythme et ça va pas être le moment propice pour des enquètes de fond ou quoi que ce soit d'autre qui fasse avancer les choses.
[^] # Re: Réponse d’espressif
Posté par pulkomandy (site web personnel, Mastodon) . En réponse au journal Une backdoor dans les ESP32 ?. Évalué à 8.
Je ne comprend pas de quoi tu parles quand il s'agit de "contourner des niveaux de sécurité"?
On parle de commandes de debug qui permettent au logicieltournant sur la puce de manipuler le composant bluetooth présent également sur la puce.
Si le code n'utilisepas ces commandes (ce qui est probable, puisqu'elles ne sont pas documentées), il ne se passe rien.
Espressif utilisent probablement ces commandes dans leurs développements internes et ça pourrait être pratique de les avoir sous la main hour déployer un patch depuis un driver, un jour.
Dans le cadre d'un scénario d'attaque: pour exploiter ces commundes, il faut déjà être en mesure d'exécuter du code sur la puce. D'où le fait que ça ne soit pas vraiment une backdoor, ça en serait une si on pouvait accéder à ces commandes directement depuis le bluetooth par exemple et dire à la puce "hey donne moi un dump de ton firmware qui est censé être protégé"
Maintenant, dans le cadre d'une attaque sur du matériel utilisant un ESP32, ces commandes pourraient être utilisées pour faire une "escalation de privilèges" comme on dit: une fois que l'attaquant a réussi à exécuter du code pouvant communiquer avec le composant bluetooth, il pourrait trouver un moyen d'exploiter ces commandes pour, peut-être, réussir à injecter du code quelque part (dans le noyau? Dans le firmware bluetooth?) Et ainsi gagner des permissions supplémentaires. Mais ça, c'est le cas de n'importe quel bout de logiciel.
La chose un peu dommage, c'est que ça ne soit pas documenté. Quelqu'un qui aurait tenté de sécuriser par tous les moyens son matériel, pourrait donc être surpris de découvrir ce possible vecteur d'attaque auquel il n'aurait pas pensé.
[^] # Re: .
Posté par pulkomandy (site web personnel, Mastodon) . En réponse au lien Les hébergeurs associatifs en difficulté face aux indexeurs d'entraînement IA. Évalué à 6.
Il faut être un peu large sur les bans. Pour ma part j'ai fini par exclure toutes les IP de Meta, de Alibaba Cloud, et de Huawei par exemple.
Cela ne va probablement pas perturber les utilisateurs normaux de mon site.
En complément, j'ai aussi un système de ban à partir du user agent:
Cette deuxième protection prend un peu de temps à faire effet, mais déjà le fait de retourner une erreur 403 au lieu d'une vraie page au niveau du serveur web, ça réduit considérablement la charge CPU.
Ensuite on peut consulter la liste d'IP bannies par fail2ban, trouver les plages d'IP correspondantes à l'aide d'un whois IP, et décider s'il s'agit d'un range à bloquer manuellement ou pas.
[^] # Re: Ce n'était peut-être pas si précipité de fermer l'instance
Posté par pulkomandy (site web personnel, Mastodon) . En réponse au lien Au sujet du fediverse, de Zaclys et de la modération. Évalué à 2.
Pas de problème, mon message écrit un peu vite n'était pas très clair, c'est mieux avec un vrai clavier et le temps pour mettre les liens vers les choses auxquelles je voulais faire référence. Comme ça les gens qui n'ont pas déjà lu cette page (ou vécu cette époque sur IRC) comprendront mieux ce que je voulais dire :)
[^] # Re: Ce n'était peut-être pas si précipité de fermer l'instance
Posté par pulkomandy (site web personnel, Mastodon) . En réponse au lien Au sujet du fediverse, de Zaclys et de la modération. Évalué à 4. Dernière modification le 07 mars 2025 à 13:06.
Je ne parlais pas de ça, je parlais du netsplit à l'époque où IRC n'était vraiment qu'un seul réseau fédéré à ses débuts.
À cette époque là il y avait beaucoup plus de conflits entre les opérateurs de différents serveurs qui avaient des règles et pratiques de modération très différentes. La solution a été d'arrêter la fédération globale et d'avoir à la place plusieurs réseaux. Voir cette page qui résume cette histoire.
Freenode est arrivé un peu plus tard.
Il existe plein d'autres communautés IRC toujours plus ou moins actives. Et qui, même avec beaucoup moins d'utilisateurs, demandent beaucoup plus de modération qu'un canal IRC de projet opensource. La relativé anonymité des utilisateurs (pas de création de compte) fait que c'est un endroit où certaines personnes se croient tout permis. La liste des canaux les plus fréquentés sur Europnet par exemple est assez révéltatrice.
[^] # Re: Dvorak
Posté par pulkomandy (site web personnel, Mastodon) . En réponse au journal Clavier une main. Évalué à 4.
J'ai appris à passer du QWERTY (espagnol) à l'AZERTY sur différentes machines, et ça fonctionne assez bien (avec un petit temps d'adaptation quand je n'ai pas utilisé une disposition depuis quelques temps).
Je ne sais pas si c'est plus ou moins facile quand ce sont deux dispositions très différentes. Il faudra demander aux bilingues bépo-azerty, s'il y en a parmi nous.
[^] # Re: Ce n'était peut-être pas si précipité de fermer l'instance
Posté par pulkomandy (site web personnel, Mastodon) . En réponse au lien Au sujet du fediverse, de Zaclys et de la modération. Évalué à 6.
On a un petit peu d'expérience sur les trop gros services fédérés avec IRC (la fédération initiale a fini par exploser, il y a plein de "réseaux" indépendants maintenant) et avec Usenet (décentralisé pour la distribution des messages, mais hiérarchisé avec une organisation assez stricte pour la création des groupes, et des possibilités de modération adaptée au sein de chaque groupe de discussion).
C'est vrai que le fédiverse, ou en tout cas Mastodon, passe un peu à côté de tout ça[je ne saurais pas dire si c'est inhérent au protocole ActivityPub ou plutôt de la façon dont il est utilisé par les applications).
# Frogpad
Posté par pulkomandy (site web personnel, Mastodon) . En réponse au journal Clavier une main. Évalué à 3.
Le clavier Frogpad est prévu pour l'utilisation à une main. Cela repose sur l'utnlisation de combinaisons de touches (modifieurs sous le pouce) pour taper toutes les lettres et symboles avec relativement peu de touches.
Il est parfait soit pour le combiner avec une souris, soit pour le porter en (gros) bracelet en combinaison avec un téléphone.
Problème: il n'est plus fabriqué depuis longtemps. Il faudra donc choisir soit une réalisation DIY (on trouve des modèles pour cela), soit une keymap qui s'en rapproche sur un clavier classique.
[^] # Re: Une vidéo intéressante sur le procédé
Posté par pulkomandy (site web personnel, Mastodon) . En réponse au journal Sonic Unleashed nativement sous Linux (et probablement de futurs jeux XBOX 360). Évalué à 6.
ça dépend de quelles consoles on parle.
Pour les plus anciennes, ça peut être très compliqué parce que les jeux exploitent le matériel de façon assez directe.
La N64 est la première où le matériel était assez complexe et les jeux (au moins les premiers sortis) se sont contentés d'exploiter une bibliothèque de fonctions standard.
C'est ce qui a permis une émulation plutôt efficace de certains jeux peu après la sortie de la console avec UltraHLE. Le processeur MIPS de la console était émulé mais tous les appels à l'OS / la bibliothèque standard étaient interceptés et redirigés vers une réimplémentation vers la machine hôte.
Par contre sur d'autres machines (et pour d'autres jeux sur cette console), les choses sont beacoup moins standardisées.
Sur les jeux et consoles modernes, par contre, on retrouve les mêmes technologies un peu partout. Il est donc plus facile d'intercepter, disons, les shaders et les appels à OpenGL.
La dernière console à disposer d'un matériel vraiment spécifique doit être la PS3 avec ses processeurs "cells"?
# Précisions
Posté par pulkomandy (site web personnel, Mastodon) . En réponse au lien nonSNES : des plans sous licence libre pour construire un clone de SNES. Évalué à 4.
Il s'agit uniquement du circuit imprimé de la carte mère. Il faut fournir tous les composants à souder dessus, que vous pourrez difficilement trouver à moins de les dé-souder d'une console existante pour les plus importants (conçus spécifiquement pour Nintendo et pas commercialisés par ailleurs).
En revanche la compatibilité avec la console originale devrait être de 100%, pas d'émulation douteuse ici!
# Plus ça change...
Posté par pulkomandy (site web personnel, Mastodon) . En réponse au lien Je suis heureux que l'IA n'existait pas lorsque j'ai appris à coder. Évalué à 3.
Je crois qu'on peut facilement remplacer "l'IA" par "internet" dans cet article pour avoir la version d'il y a 20 ans. Ou alors par "langage de programmation structuré" pour avoir la version d'il y a 40 ans quand les gens pensaient que comprendre et maîtriser son code, ça voulait dire tout écrire en assembleur.
Aujourd'hui beaucoup de mes collègues seraient bien en difficulté pour travailler sans internet, et moi-même je serai beaucoup moins efficace s'il fallait tout faire en assembleur.
Mais au final, le gros du travail, ce n'est pas d'écrire le code. C'est surtout de comprendre ce qu'il faut que le code fasse, vérifier qu'il n'y a pas d'incohérences, essayer de penser à tous les cas imprévus, et structurer tout ça de façon à ce que ça puisse être calculé efficacement par un ordinateur. Il se trouve que l'écriture sous forme de code m'aide à réfléchir à ces problèmes et à structurer les choses. Je ne pense pas pouvoir y parvenir en discutant avec une IA. Peut-être que d'autres personnes y parviendront mieux de cette façon. Peut-être que ça remplacera les développeurs, mais plus probablement qu'avant ça, ça remplacera ou complétera les applications no-code et les tableurs Excel avec des macros compliquées?
Et, comme beaucoup de choses en informatique, on en est à l'étape où tout le monde essaie d'en mettre partout, il faut attendre un peu que ça se décante et voir ce qui est utile ou pas, avec un peu de recul. Et aussi ce qui est économiquement rentable et écologiquement viable. Moi, c'est surtout ce dernier point qui m'inquiète, parce qu'avant d'être un développeur, je suis d'abord un être vivant organique qui a besoin d'une planète et de son écosystème en bon état de fonctionnement. Sinon, l'IA devra se débrouiller sans moi.
[^] # Re: Quid de la sécurité ?
Posté par pulkomandy (site web personnel, Mastodon) . En réponse à la dépêche Nouvelles de Haiku - Hiver 2024-25. Évalué à 4.
Le risque principal à mon avis, c'est le vol ou la suppression des données de l'utilisateur. Le système étant pensé pour un seul utilisateur, il n'y a pas vraiment les problématiques que se pose unix, qui consistent à protéger les utilisateurs les uns des autres.
Il faudrait surtout protéger les applications les unes des autres, ce qui est un problème assez différent et pour lequel Haiku dispose déjà des protections les plus classiques (mémoire virtuelle, etc) même s'il y a royen de faire beaucoup mieux.
[^] # Re: Quid de la sécurité ?
Posté par pulkomandy (site web personnel, Mastodon) . En réponse à la dépêche Nouvelles de Haiku - Hiver 2024-25. Évalué à 6.
J'utilise Haiku comme système principal sur mes machines depuis au moins 10 ans. Il est fonctionnel, et je ne suis pas le seul à faire ça, certains utilisateurs ont même migré directement depuis BeOS ce qui doit donc leur faire une trentaine d'années d'utilisation au total.
[^] # Re: cryptomonaie
Posté par pulkomandy (site web personnel, Mastodon) . En réponse à la dépêche Nouvelles de Haiku - Hiver 2024-25. Évalué à 7.
Personellement c'est mon système d'exploitation principal et je n'en voudrais aucun autre à la place.
Mais sinon, en effet cela n'a aucun rapport avec le fait que le code soit sous license libre. Il me semble que MorphOS, un système hropriétaire et commercial avec une popularité comparable, ne fait pas mieux. Il me semble aussi que des projets libres comme Mozilla dépensent des millions dans des sujets douteux ou simplement dans la rémunération de leurs directeurs.
Dans le cas de Haiku, ce budget réduit est un peu volontaire: c'est lié au fait que le système ne soit toujours qu'en version beta au bout de 25 ans. On est bien en dehors des normes de productivité habituelles du monde moderne, et il y a peu de publicité pour attirer des utilistaeurs pour l'instant (on cherche plutôt des développeurs). Et peut-être qu'un projet open source, ou plutôt sans vocation commerciale (ce qui n'est pas lié), est une bonne façon de se permettre une telle folie. Le tout sans trop de pression et de responsabilités ou de comptes à rendre à qui que ce soit.
[^] # Re: cryptomonaie
Posté par pulkomandy (site web personnel, Mastodon) . En réponse à la dépêche Nouvelles de Haiku - Hiver 2024-25. Évalué à 4.
Ça dépend comment le contrat est négocié.
Ceux de Haiku inc sont assez peu ciblés avec des buts comme "améliorer fonctionner le navigateur web" ou "travailler sur tous les problèmes qui sont dans la feuille de route pour la version 1". Comme les personnes employées ont toute la confiance du reste de l'équipe, cela fonctionne assez bien.
Par contre, c'est vrai que certaines des idées les plus innovantes (voir presque farfelues) dans Haiku sont venues de personnes qui n'étaient pas payées pour cela. Ce n'est pas forcément une fatalité, mais plutôt que Haiku inc va avoir tendance à établir des contrats pour les tâches que personne ne veut faire.
Pourquoi personne ne veut faire une tâche? Soit parce qu'elle est ennuyeuse et avec peu de retours (refactorisation d'une partie du code qui ne va pas immédiatement apporter de nouvelles fonctionalités), soit parce qu'elle demande un investissement de temps trop important (il y a certains problèmes que je ne parviens pas à corriger simplement parce qu'il me faut 2 jours pour me remémorer toutes les discussions, relire le code, me souvenir comment ça fonctionne et ce qu'il faut changer, et après le week-end est fini).
D'autre part, il me semble que Waddlesplash développe certains projets pour ou avec Haiku qui ne sont pas financés par Haiku inc, et c'était également mon cas lorsque j'étais employé par Haiku. Si le contrat ne définit pas un nombre d'heures fixe par mois, c'est donc tout à fait modulable en fonction de la motivation et/ou du besoin de gagner des sous.
[^] # Re: Quid de la sécurité ?
Posté par pulkomandy (site web personnel, Mastodon) . En réponse à la dépêche Nouvelles de Haiku - Hiver 2024-25. Évalué à 5.
Oui bien sûr, c'est disponible dans les paramètres de l'écran de veille.
Il y a également du travail en cours sur le chiffrement des disques (c'est déjà possible mais pas pour le disque de démarrage).
Oui, je n'ai pas dit que c'était inutile, c'est simplement un choix de priorité. Il y a aussi quelques contraintes techniques, cela va probablement un peu casser la compatibilité avec BeOS, qui était importante à l'époque où le choix des fonctionnalités pour la version 1 a été fait.
Pour l'instant l'objectif est de publier une version 1 avec un périmètre à peu près fixe. Cela dit, si quelqu'un se lance dans l'amélioration de la sécurité et la possiblité d'avoir des utilisateurs à accès restreint, et si c'est bien fait, on ne fera pas de difficulté pour intégrer ces changements.
Oui. N'utilisez pas Haiku sur un serveur, ce n'est pas fait pour, et ce n'est qu'une seule parmi de nombreuses raisons pour cela.
[^] # Re: Mon retour d'expérience
Posté par pulkomandy (site web personnel, Mastodon) . En réponse au journal J'ai testé pour vous: un câble USB magnétique. Évalué à 3.
Non, pas de problème avec ça, le câble laisse très bien passer les données. J'utilise souvent mon téléphone en partage de connexion par USB sans aucun problème par exemple.
Par contre c'est équivalent à un câble USB 2: il n'y a qu'une seule paire différentielle de données (contre 3 paires en USB3), et il ne faut pas s'attendre à envoyer des mégawatts à travers.
C'est bien suffisant pour mon usage: recharge lente de la batterie pendant la nuit, et le téléphone tient sans problème toute la journée en général (sauf utilisation du GPS et/ou de l'écran en pleine luminosité quand je fait du vélo toute la journée, mais c'est pas souvent).
[^] # Re: Quid de la sécurité ?
Posté par pulkomandy (site web personnel, Mastodon) . En réponse à la dépêche Nouvelles de Haiku - Hiver 2024-25. Évalué à 8.
Je vois que le n'ai pas répondu au titre du commentaire. On fait par habitude le lien entre la sécurité et la gestion de multiples utilisateurs.
Ce n'est pas vraiment pertinent sur une machine de bureau dans un écosystème moderne. Il est surtout important d'isoler les applications les unes des autres, voire même certaines parties d'une application entre elles (par exemple, les sites webs chargés dans deux onglets d'un navigateur web ne devraient pas pouvoir communiquer entre eux), et aussi l'isolation entre les applications et le matériel (qui a le droit d'accéder à la webcam? d'écrire ou de lire sur le disque?).
Il est probable que Haiku implémentera un jour un modèle un peu similaire à celui de Android, avec des permissions attribuées à chaque application. Mais là aussi, c'est un chantier qui va probablement attendre la publication de la version 1, et qui ne manquera pas de faire râler quelques utilisateurs historiques de BeOS et Haiku qui sont très attachés à leurs vieilles habitudes (nous avons pu le constater avec l'introduction d'un système de gestion de paquets qui interdit de faire des modifications trop directement dans le système).
[^] # Re: cryptomonaie
Posté par pulkomandy (site web personnel, Mastodon) . En réponse à la dépêche Nouvelles de Haiku - Hiver 2024-25. Évalué à 10.
L'association Haiku inc essaie de ne pas influencer le développement du projet. Les propositions de choses ou de personnes à financer doivent être faites par les développeurs du projet.
Pour l'instant, personne ne s'est porté volontaire pour être rémunéré aux côtés de Waddlesplash, que ce soit en cryptomonnaies ou en monnaie sonnante et trébuchante. Si une telle candidature survenait et était acceptée, je ne doute pas que Haiku inc trouvera un moyen de faire parvenir l'argent à son destinataire.
Pour l'instant la gestion des fonds est prudente, et il est n'est pas certain que les candidatures de personnes externes au projet n'ayant pas déjà contribué par ailleurs seraient acceptées. Et parmi les développeurs actifs actuellement, plusieurs ont choisi la sécurité de l'emploi (et la rémunération plus élevée) qu'on peut trouver ailleurs que dans un projet de logiciels libres.
C'est mon cas par exemple: après une année passée à travailler à plein temps pour Haiku, j'ai repris un emploi salarié dans une entreprise classique, ce qui représente pour moi plus de visibilité sur ma rémunération (à l'époque, Haiku inc n'avait pas de telles réserves, et mon contrat était renouvellé d'un mois sur l'autre en fonction des donnations). Aujourd'hui, j'ai acheté un appartement, je suis endetté sur 25 ans, ce n'est pas forcément le bon moment pour se relancer dans une telle aventure. Par contre, j'envisage sérieusement de mettre mon travail salarié à temps partiel pour pouvoir passer plus de temps sur Haiku (ou plutôt, de passer autant de temps sur Haiku mais d'avoir plus de temps pour me reposer le week-end).
Je ne parle même pas de la situation des collègues contributeurs à Haiku qui ont un ou plusieurs enfants à leur charge, ou de ceux qui ont moins de contraintes, mais aussi moins de sous de côté pour prendre le risque d'un emploi à durée incertaine.
Certains d'entre eux sont très expérimentés et vivent dans des pays où le salaire devrait avoir un chiffre de plus pour être attractif. Tout le monde n'est pas prêt à accepter le compromis que fait Waddlesplash (combinant un taux horaire plutôt bas et un temps partiel) pour parvenir à un paiement de moins de 30 000$ par an (brut, il faut encore en soustraire les taxes).
Et même si c'était le cas, on pourra encore être critique sur le fait qu'un projet de logiciel libre choisit de sous-rémunérer ses contributeurs, contribuant ainsi à la casse du progrès social, à la baisse des salaires et à l'appauvrissement des travailleurs salariés.
[^] # Re: Quid de la sécurité ?
Posté par pulkomandy (site web personnel, Mastodon) . En réponse à la dépêche Nouvelles de Haiku - Hiver 2024-25. Évalué à 6.
Bonjour,
Le noyau implémente tout le nécessaire. Par exemple on peut créer plusieurs utilisateurs pour les connexions par SSH. Mais l'interface graphique est pour l'instant pour un seul utilisateur.
Cela fera partie des gros changements à faire après la sortie de la version R1 de Haiku. Cette version a déjà pris largement assez de temps comme ça, donc certaines fonctionnalités ont du être laissées de côté pour l'instant, et le support de multiples utilisateurs en session graphiques en fait partie.
[^] # Re: Pareil
Posté par pulkomandy (site web personnel, Mastodon) . En réponse au journal J'ai testé pour vous: un câble USB magnétique. Évalué à 3.
Oui j'ai utilisé un pistolet à colle pour fixer l'adaptateur. En petite quantité (il n'y a pas besoin que ce soit très très solide), donc je ne pense pas que ça chauffe assez pour démagnétiser l'aimant? D'après supermagnete il faudrait tout de même chauffer à 80° avant d'avoir une perte de magnétisme permanente.
# C'est vrai, l'humanité est foutue
Posté par pulkomandy (site web personnel, Mastodon) . En réponse au lien L'humanité est foutue. Évalué à 8.
Les gens commencent à prendre au sérieux le premier post Reddit venu. Effectivement ça ne présage rien de bon pour la survie de l'humanité.
[^] # Re: Halte là ! Vous faites fausse route !
Posté par pulkomandy (site web personnel, Mastodon) . En réponse au journal Sommet pour l’action sur l'IA, réaction à chaud. Évalué à 3.
Pour le 1 il me semblait que Coca Cola et McDonalds étaient déjà sur le coup depuis pas mal de temps, pourtant?
[^] # Re: Faux débat
Posté par pulkomandy (site web personnel, Mastodon) . En réponse au sondage Faut-il accepter les contenus générés par IA sur LinuxFr.org ?. Évalué à 8.
J'ai quelques collègues qui ont testé de poser des questions techniques sur du développement linux (dont les réponses se trouvent dans les pages de manuel). Ça marche si on pose la question classique. Ça répond à côté si on pose une question sur une fonctionnalité rarement utilisée et dont les données d'entraînement parlent peu ou pas.
Dans le cas des release notes de Linux par exemple, l'IA n'aura accès qu'à ce qu'on lui donne. Tout le contexte de chaque changement qui a été discuté sur les mailing lists du noyau ou ailleurs, après l'entraînement du modèle, il ne va pas te l'inventer. Si on veut en faire une dépêche intéressante, c'est ce genre d'information qu'il faut aller chercher. Sinon on ne fait que remuer des informations déjà connues et sous un format déjà digéré.
Je ne dis pas que ça n'a pas d'intérêt, par exemple si tu as besoin de remplir un dossier de subvention ou d'appel à projet où tout le monde met le même discours à chaque fois. Mais, à mon avis, pas sur un site qui traite d'actualités et sur un sujet un peu pointu.