Je crois que si justement, ils utilisent des commandes qu'on peut exécuter à l'ouverture du fichier pour pouvoir le configurer d'une certaine manière sans passer par le vimrc. En relisant par contre, je n'avais pas vu la partie sandbox de vim (j'ignorais qu'il faisait ça dans certains cas).
Je suis d'accord que ce n'est pas anodin, mon propos était plutôt sur le fait que ça vient d'une fonctionnalité (en sandbox, je viens de le découvrir). J'ai trouvé que c'était un peu comme accuser la commande :r de pouvoir faire du RCE. Je me corrige, ce n'est pas le cas, vu qu'il y a la sandbox (même si je ne sais pas trop comment elle protège de ça, quelles commandes elle restreint, etc.).
J'ai l'impression qu'on fait beaucoup de bruits pour pas grand chose. En effet, il y avait un soucis et ça a été patché, mais ça semble quand même venir d'une fonctionnalité de VIm: la possibilité de mettre des commandes pour configurer l'éditeur directement dans le fichier.
Est-ce que c'est vraiment une faille nouvelle, ou plutôt une RCE as a feature qui était déjà là depuis longtemps ?
Du côté d'Emacs, quand on regarde la cascade d'évènements qui mène à ça, je rejoins l'analyse des mainteneurs (vous pouvez l'exécuter avec la commande git ls-files… ah non, avec toutes les commandes git). Mais pourquoi ? Parce que Git a une fonctionnalité qui permet de définir un script pour un hook. Et c'est ce script qui est exécuté. Or, il s'agit d'un hook qui ne se trouve qu'en local, donc s'il se trouve sur votre PC, il y a d'autres soucis à se faire.
Ça me rappelle le fuzzing ce genre de tickets, avec une bibliothèque d'analyse d'images qui s'est faite fuzzer et le mainteneur a tout rejeté parce que "bah oui, ça crash sur une image qui n'est pas valide, vous vous attendiez à quoi ?". (si une bonne âme a la source, je ne m'en souviens plus…)
Tout ça pour dire que ce genre de failles, je les trouve un peu ridicule quand on creuse un peu… À ça de se demander si les chercheurs ont vraiment creusé le problème (du moins pour Emacs).
En effet, je trouve que alternative, en plus d'être "plus" neutre, retire l'aspect concurrence, trop mis en avant :(
Je n'avais pas pensé au terme successeur, je trouve ton analyse très juste :)
Je trouve ça dommage de parler de concurrent, pourquoi ne pas utiliser le terme alternative ? Je ne suis ni un grand latexien ni un tysptien, mais il me semble que LaTeX soit bien plus configurable (pour l'instant) pendant que Typst vise la "simplicité" (entre guillemets, vu ce que ça peut déjà produire je suis vraiment impressionné). Les deux communautés peuvent passer d'un moteur à un autre, disons plutôt que l'écosystème évolue et s'agrandit !
Sinon sur un autre sujet, j'ai très hâte de voir un support natif de Tyspt pour orgmode. J'ai déjà vu un plugin mais il semble uniquement fait pour produire des exportations Typst. Rien pour du Typst à la volée, comme il y a actuellement pour LaTeX. Je vais suivre les listes de couriels de près :)
Ce serait aussi avec plaisir si je trouve le temps ! Je mettrais en réponse le lien vers le projet si ça se fait et peut-être que j'écrirais aussi un journal sur ça :p
Super travail déjà, avoir la patience d'organiser tout ça, c'est assez incroyable.
Je vais voir si j'ai le temps de réfléchir à une interface web avec un serveur Flask ou Gofiber derrière, histoire de parser le fichier correctement. Le plus dur à faire sera la recherche de manière dynamique je pense, on peut imaginer le choix entre Intel et AMD, la date (voir les dates) de sorties…
Je n'utilise jamais la même distribution sur mes différents PCs, plus pour en découvrir des nouvelles qu'autre chose. Actuellement, j'utilise Void et Gentoo sur des vieux laptops et Arch sur mon PC de jeux. J'aimerai essayer Guix, LFS ou encore GNU/Hurd dans un futur proche aussi.
Ah en effet, je ne savais pas qu'il était possible de faire ça avec Pronote. Peut-être pour les universités alors, qui n'ont plus ce logiciel mais plutôt Moodle ?
Je trouve ce petit programme super ! Il va faciliter la vie à beaucoup de personnes. Il faudrait cependant le tester sur Windows, car c'est sur ce système que travaillent majoritairement les écoles qui en auront bien besoin.
J'essaierai de mettre un peu la main à la pâte si j'ai le temps ;)
[^] # Re: Vraiment un problème ?
Posté par rick . En réponse au journal Claude trouve une faille dans Vim ET Emacs. Évalué à 2 (+2/-0).
Je crois que si justement, ils utilisent des commandes qu'on peut exécuter à l'ouverture du fichier pour pouvoir le configurer d'une certaine manière sans passer par le vimrc. En relisant par contre, je n'avais pas vu la partie sandbox de vim (j'ignorais qu'il faisait ça dans certains cas).
Je suis d'accord que ce n'est pas anodin, mon propos était plutôt sur le fait que ça vient d'une fonctionnalité (en sandbox, je viens de le découvrir). J'ai trouvé que c'était un peu comme accuser la commande :r de pouvoir faire du RCE. Je me corrige, ce n'est pas le cas, vu qu'il y a la sandbox (même si je ne sais pas trop comment elle protège de ça, quelles commandes elle restreint, etc.).
# Vraiment un problème ?
Posté par rick . En réponse au journal Claude trouve une faille dans Vim ET Emacs. Évalué à 1 (+2/-1).
J'ai l'impression qu'on fait beaucoup de bruits pour pas grand chose. En effet, il y avait un soucis et ça a été patché, mais ça semble quand même venir d'une fonctionnalité de VIm: la possibilité de mettre des commandes pour configurer l'éditeur directement dans le fichier.
Est-ce que c'est vraiment une faille nouvelle, ou plutôt une RCE as a feature qui était déjà là depuis longtemps ?
Du côté d'Emacs, quand on regarde la cascade d'évènements qui mène à ça, je rejoins l'analyse des mainteneurs (vous pouvez l'exécuter avec la commande git ls-files… ah non, avec toutes les commandes git). Mais pourquoi ? Parce que Git a une fonctionnalité qui permet de définir un script pour un hook. Et c'est ce script qui est exécuté. Or, il s'agit d'un hook qui ne se trouve qu'en local, donc s'il se trouve sur votre PC, il y a d'autres soucis à se faire.
Ça me rappelle le fuzzing ce genre de tickets, avec une bibliothèque d'analyse d'images qui s'est faite fuzzer et le mainteneur a tout rejeté parce que "bah oui, ça crash sur une image qui n'est pas valide, vous vous attendiez à quoi ?". (si une bonne âme a la source, je ne m'en souviens plus…)
Tout ça pour dire que ce genre de failles, je les trouve un peu ridicule quand on creuse un peu… À ça de se demander si les chercheurs ont vraiment creusé le problème (du moins pour Emacs).
[^] # Re: Concurrence et orgmode
Posté par rick . En réponse à la dépêche Typst, un système de composition de document qui grandit. Évalué à 2.
En effet, je trouve que alternative, en plus d'être "plus" neutre, retire l'aspect concurrence, trop mis en avant :(
Je n'avais pas pensé au terme successeur, je trouve ton analyse très juste :)
# Concurrence et orgmode
Posté par rick . En réponse à la dépêche Typst, un système de composition de document qui grandit. Évalué à 5.
Je trouve ça dommage de parler de concurrent, pourquoi ne pas utiliser le terme alternative ? Je ne suis ni un grand latexien ni un tysptien, mais il me semble que LaTeX soit bien plus configurable (pour l'instant) pendant que Typst vise la "simplicité" (entre guillemets, vu ce que ça peut déjà produire je suis vraiment impressionné). Les deux communautés peuvent passer d'un moteur à un autre, disons plutôt que l'écosystème évolue et s'agrandit !
Sinon sur un autre sujet, j'ai très hâte de voir un support natif de Tyspt pour orgmode. J'ai déjà vu un plugin mais il semble uniquement fait pour produire des exportations Typst. Rien pour du Typst à la volée, comme il y a actuellement pour LaTeX. Je vais suivre les listes de couriels de près :)
# Ancienne campagne
Posté par rick . En réponse au lien Pétition : rendre Open Source tous les développements sur fond publics (Allemagne). Évalué à 2.
Cette pétition me fait penser à la campagne Public money, public code qui a eu lieu il y a quelques années.
[^] # Re: Super, une interface pour lire tout ça ?
Posté par rick . En réponse au journal Une base de données libre pour les CPU x86 grand public. Évalué à 1.
Ce serait aussi avec plaisir si je trouve le temps ! Je mettrais en réponse le lien vers le projet si ça se fait et peut-être que j'écrirais aussi un journal sur ça :p
# Super, une interface pour lire tout ça ?
Posté par rick . En réponse au journal Une base de données libre pour les CPU x86 grand public. Évalué à 1.
Super travail déjà, avoir la patience d'organiser tout ça, c'est assez incroyable.
Je vais voir si j'ai le temps de réfléchir à une interface web avec un serveur Flask ou Gofiber derrière, histoire de parser le fichier correctement. Le plus dur à faire sera la recherche de manière dynamique je pense, on peut imaginer le choix entre Intel et AMD, la date (voir les dates) de sorties…
# Arch, Void, Gentoo...
Posté par rick . En réponse au message Quelle est votre distribution linux préférée ?. Évalué à 2.
Je n'utilise jamais la même distribution sur mes différents PCs, plus pour en découvrir des nouvelles qu'autre chose. Actuellement, j'utilise Void et Gentoo sur des vieux laptops et Arch sur mon PC de jeux. J'aimerai essayer Guix, LFS ou encore GNU/Hurd dans un futur proche aussi.
[^] # Re: Super mais... (désolé, pas possible d'éditer mon précédent commentaire)
Posté par rick . En réponse à la dépêche WhosWho : le trombinoscope facile. Évalué à 2. Dernière modification le 11 décembre 2021 à 16:20.
Ah en effet, je ne savais pas qu'il était possible de faire ça avec Pronote. Peut-être pour les universités alors, qui n'ont plus ce logiciel mais plutôt Moodle ?
# Super mais...
Posté par rick . En réponse à la dépêche WhosWho : le trombinoscope facile. Évalué à 4.
Je trouve ce petit programme super ! Il va faciliter la vie à beaucoup de personnes. Il faudrait cependant le tester sur Windows, car c'est sur ce système que travaillent majoritairement les écoles qui en auront bien besoin.
J'essaierai de mettre un peu la main à la pâte si j'ai le temps ;)